Partage via


Actions de correction dans Microsoft Defender XDR

S’applique à :

  • Microsoft Defender XDR

Pendant et après une investigation automatisée dans Microsoft Defender XDR, les actions de correction sont identifiées pour les éléments malveillants ou suspects. Certains types d’actions de correction sont effectués sur les appareils, également appelés points de terminaison. D’autres actions de correction sont effectuées sur les identités, les comptes et le contenu des e-mails. En outre, certains types d’actions de correction peuvent se produire automatiquement, tandis que d’autres types d’actions de correction sont effectués manuellement par l’équipe de sécurité de votre organisation. Lorsqu’une investigation automatisée entraîne une ou plusieurs actions de correction, elle se termine uniquement lorsque les actions de correction sont prises, approuvées ou rejetées.

Importante

Le fait que les actions de correction soient effectuées automatiquement ou uniquement après approbation dépend de certains paramètres, tels que les niveaux d’automatisation. Pour en savoir plus, reportez-vous aux articles suivants :

Le tableau suivant récapitule les actions de correction actuellement prises en charge dans Microsoft Defender XDR.

Actions de correction de l’appareil (point de terminaison) Actions de correction des e-mails Utilisateurs (comptes)
- Collecter le package d’investigation
- Isoler l’appareil (cette action peut être annulée)
- Machine hors-bord
- Libérer l’exécution du code
- Mise en quarantaine
- Exemple de demande
- Restreindre l’exécution du code (cette action peut être annulée)
- Exécuter une analyse antivirus
- Arrêter et mettre en quarantaine
- Contenir des appareils du réseau
- Url de blocage (temps de clic)
- Suppression réversible de messages électroniques ou de clusters
- E-mail de mise en quarantaine
- Mettre en quarantaine une pièce jointe d’un e-mail
- Désactiver le transfert de courrier externe
- Désactiver l’utilisateur
- Réinitialiser le mot de passe de l’utilisateur
- Confirmer que l’utilisateur est compromis

Les actions de correction, qu’elles soient en attente d’approbation ou déjà terminées, peuvent être consultées dans le Centre de notifications.

Actions de correction qui suivent des investigations automatisées

Lorsqu’une enquête automatisée est terminée, un verdict est rendu pour chaque élément de preuve impliqué. Selon le verdict, des actions de correction sont identifiées. Dans certains cas, des actions de correction sont effectuées automatiquement. dans d’autres cas, les actions de correction attendent une approbation. Tout dépend de la façon dont l’investigation et la réponse automatisées sont configurées.

Le tableau suivant répertorie les verdicts et résultats possibles :

Verdict Entités affectées Résultats
Malveillant Appareils (points de terminaison) Les actions de correction sont effectuées automatiquement (en supposant que les groupes d’appareils de votre organisation sont définis sur Complet - corriger automatiquement les menaces)
Compromis Utilisateurs Les actions d'assainissement prennent automatiquement effet
Malveillant Contenu de l’e-mail (URL ou pièces jointes) Les actions de correction recommandées sont en attente d’approbation
Suspect Appareils ou contenu de l’e-mail Les actions de correction recommandées sont en attente d’approbation
Aucune menace détectée Appareils ou contenu de l’e-mail Aucune action de correction n’est nécessaire

Actions de correction effectuées manuellement

En plus des actions de correction qui suivent des investigations automatisées, votre équipe des opérations de sécurité peut effectuer certaines actions de correction manuellement. Ces actions incluent :

  • Action manuelle de l’appareil, telle que l’isolation de l’appareil ou la mise en quarantaine de fichiers
  • Action d’e-mail manuelle, telle que la suppression réversible de messages électroniques
  • Action manuelle de l’utilisateur, telle que désactiver l’utilisateur ou réinitialiser le mot de passe de l’utilisateur
  • Action de repérage avancée sur les appareils, les utilisateurs ou les e-mails
  • Action de l’explorateur sur le contenu des e-mails, comme le déplacement d’e-mails vers du courrier indésirable, la suppression réversible d’e-mails ou la suppression définitive d’e-mails
  • Action de réponse dynamique manuelle, telle que la suppression d’un fichier, l’arrêt d’un processus et la suppression d’une tâche planifiée
  • Action de réponse en direct avec les API Microsoft Defender pour point de terminaison, comme l’isolation d’un appareil, l’exécution d’une analyse antivirus et l’obtention d’informations sur un fichier

Étapes suivantes

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.