Recevoir des notifications par e-mail pour les actions de réponse dans Microsoft Defender XDR

S’applique à :

• Microsoft Defender XDR

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Vous pouvez configurer Microsoft Defender XDR pour vous informer par e-mail des actions de réponse manuelles ou automatisées.

Les actions de réponse manuelle sont des actions que les équipes de sécurité peuvent utiliser pour arrêter les menaces ou faciliter l’investigation des attaques. Ces actions varient en fonction de la charge de travail Defender activée dans votre environnement.

En revanche, les actions de réponse automatisées sont des fonctionnalités de Microsoft Defender XDR qui mettent automatiquement à l’échelle l’investigation et la résolution des menaces. Les fonctionnalités de correction automatisée se composent d’une interruption automatique des attaques et d’une investigation et d’une réponse automatisées.

Remarque

Vous avez besoin de l’autorisation Gérer les paramètres de sécurité pour configurer les paramètres de notification par e-mail. Si vous avez choisi d’utiliser la gestion des autorisations de base, les utilisateurs disposant des rôles Administrateur de la sécurité ou Administrateur général peuvent configurer des notifications par e-mail. De même, si votre organisation utilise le contrôle d’accès en fonction du rôle (RBAC), vous pouvez uniquement créer, modifier, supprimer et recevoir des notifications basées sur des groupes d’appareils que vous êtes autorisé à gérer.

Remarque

Microsoft recommande d’utiliser des rôles avec moins d’autorisations pour une meilleure sécurité. Le rôle Administrateur général, qui dispose de nombreuses autorisations, doit être utilisé uniquement en cas d’urgence lorsqu’aucun autre rôle n’est approprié.

Créer une règle pour les notifications par e-mail

Remarque

La notification par e-mail de l’action de réponse ne prend actuellement pas en charge les détections personnalisées contenant des actions de réponse.

Pour créer une règle pour les notifications par e-mail, procédez comme suit :

1. Dans le volet de navigation de Microsoft Defender XDR, sélectionnez Paramètres > Microsoft Defender XDR. Sous Général, sélectionnez Notifications par e-mail. Accédez à l’onglet Actions .
2. Sélectionnez Ajouter une règle de notification. Ajoutez un nom de règle et une description sous Informations de base. Les champs Nom et Description acceptent uniquement les lettres, les chiffres et les espaces.
3. Passez à la section suivante en sélectionnant Suivant en bas du volet.
4. Vous pouvez choisir le type d’action, l’état et l’origine de l’action dans la section Paramètres de notification .
5. Sous Source de l’action, sélectionnez si vous souhaitez être averti pour les actions de réponse manuelles ou automatisées. Vous pouvez sélectionner les deux options.
6. Sélectionnez les actions de réponse spécifiques dans la liste de contrôle qui s’affiche sous Action. Vous pouvez choisir plusieurs actions disponibles dans la liste de contrôle. Notez que les actions de réponse varient en fonction de la charge de travail Defender activée dans votre environnement. Toutes les actions sélectionnées s’affichent dans le champ Action une fois l’opération terminée.
7. Vous pouvez choisir d’être averti en fonction des groupes d’appareils où les actions de réponse sont appliquées dans l’étendue Groupes d’appareils. Pour être informé des actions de réponse effectuées dans tous les groupes d’appareils actuels et futurs, sélectionnez Tous les groupes d’appareils . Pour être informé des actions de réponse effectuées sur les appareils qui appartiennent à votre groupe d’appareils sélectionné, choisissez Groupes d’appareils sélectionnés.
8. Sélectionnez si vous souhaitez être averti si une action est terminée ou a échoué dans le champ État de l’action . Vous pouvez sélectionner toutes les options disponibles.
9. En bas du volet, vous pouvez passer à la section suivante en sélectionnant Suivant. Vous pouvez également revenir à la section Informations de base en sélectionnant Précédent.
10. Dans la section Destinataires , vous pouvez ajouter une ou plusieurs adresses e-mail qui recevront des notifications. Séparez plusieurs adresses en ajoutant une virgule à la fin de chaque adresse. Sélectionnez Ajouter pour ajouter les destinataires. Vous pouvez voir les destinataires en bas du volet après avoir ajouté des adresses.
11. Testez la notification en sélectionnant Envoyer un e-mail de test. Sélectionnez Suivant en bas du volet pour passer à la section révision.
12. Vérifiez les détails de la règle dans la section Vérifier la règle . Vous pouvez modifier les détails en sélectionnant Modifier sous les détails de chaque section.
13. Sélectionnez Envoyer en bas du volet pour terminer la création de la règle. Les destinataires commencent à recevoir des notifications par e-mail en fonction des paramètres. La nouvelle règle apparaît dans la liste Des règles de notifications sous l’onglet Actions.
14. Pour modifier ou supprimer une règle de notification, sélectionnez-la dans la liste. Sélectionnez Modifier pour modifier les détails de la règle. Sélectionnez Supprimer pour supprimer la règle.

Une fois que vous avez obtenu la notification, vous pouvez accéder directement à l’action et passer en revue ou corriger l’action.

Étapes suivantes

• Recevoir des notifications par e-mail sur les incidents
• Recevoir des notifications par e-mail sur les nouveaux rapports dans Analyse des menaces

Voir aussi

• Configurer les fonctionnalités d’interruption d’attaque automatique
• Configurer l’investigation et la réponse automatisées

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.