Réponse aux incidents avec Microsoft Defender XDR
Remarque
Vous voulez découvrir Microsoft Defender XDR ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft Defender XDR.
S’applique à :
- Microsoft Defender XDR
Un incident dans Microsoft Defender XDR est une collection d’alertes corrélées et de données associées qui constituent l’histoire d’une attaque.
Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client.
Étant donné que le regroupement des alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieux, Microsoft Defender XDR agrège automatiquement les alertes et les informations associées dans un incident.
Le regroupement d’alertes associées dans un incident vous donne une vue complète d’une attaque. Par exemple, vous pouvez voir :
- Où l’attaque a démarré.
- Quelles tactiques ont été utilisées.
- Jusqu’où l’attaque est-elle passée dans votre locataire.
- L’étendue de l’attaque, par exemple le nombre d’appareils, d’utilisateurs et de boîtes aux lettres qui ont été affectés.
- Toutes les données associées à l’attaque.
Si cette option est activée, Microsoft Defender XDR pouvez examiner et résoudre automatiquement les alertes par le biais de l’automatisation et de l’intelligence artificielle. Vous pouvez également effectuer des étapes de correction supplémentaires pour résoudre l’attaque.
Incidents et alertes dans le portail Microsoft Defender
Vous gérez les incidents à partir des & alertes > Incidents Incidents lors du lancement rapide du portail Microsoft Defender. Voici un exemple.
La sélection d’un nom d’incident affiche l’intégralité de l’histoire de l’attaque de l’incident, notamment :
- Page d’alerte dans l’incident : étendue des alertes liées à l’incident et leurs informations sous le même onglet.
- Graphe : représentation visuelle de l’attaque qui connecte les différentes entités suspectes qui font partie de l’attaque à leurs ressources associées, telles que les utilisateurs, les appareils et les boîtes aux lettres.
Vous pouvez afficher les détails de l’entité directement à partir du graphique et agir dessus avec des options de réponse telles que la suppression de fichiers ou l’isolation de l’appareil.
Les onglets supplémentaires pour un incident sont les suivants :
Histoire de l’attaque
L’histoire complète de l’attaque, y compris toutes les alertes, les ressources et les actions de correction effectuées.
Alertes
Toutes les alertes liées à l’incident et à leurs informations.
Éléments
Toutes les ressources (appareils, utilisateurs, boîtes aux lettres et applications) qui ont été identifiées comme faisant partie ou liée à l’incident.
Enquêtes
Toutes les investigations automatisées déclenchées par les alertes dans l’incident.
Preuve et réponse
Tous les événements pris en charge et les entités suspectes dans les alertes de l’incident.
Résumé
Vue d’ensemble rapide des ressources affectées associées aux alertes.
Remarque
Si vous voyez une alerte de type d’alerte non prise en charge status, cela signifie que les fonctionnalités d’investigation automatisée ne peuvent pas récupérer cette alerte pour exécuter une investigation automatisée. Toutefois, vous pouvez examiner ces alertes manuellement.
Exemple de workflow de réponse aux incidents pour Microsoft Defender XDR
Voici un exemple de flux de travail pour répondre aux incidents dans Microsoft 365 avec le portail Microsoft Defender.
En continu, identifiez les incidents les plus prioritaires pour l’analyse et la résolution dans la file d’attente des incidents et préparez-les pour la réponse. Il s’agit d’une combinaison de :
- Triage pour déterminer les incidents de priorité la plus élevée par le filtrage et le tri de la file d’attente des incidents.
- Gestion des incidents en modifiant leur titre, en les affectant à un analyste et en ajoutant des balises et des commentaires.
Envisagez les étapes suivantes pour votre propre workflow de réponse aux incidents :
Pour chaque incident, commencez une attaque et alertez l’investigation et l’analyse :
Affichez l’histoire de l’attaque de l’incident pour comprendre son étendue, sa gravité, sa source de détection et les entités affectées.
Commencez à analyser les alertes pour comprendre leur origine, leur étendue et leur gravité avec l’histoire de l’alerte dans l’incident.
Si nécessaire, collectez des informations sur les appareils, les utilisateurs et les boîtes aux lettres concernés à l’aide du graphique. Cliquez avec le bouton droit sur une entité pour ouvrir un menu volant avec tous les détails.
Découvrez comment Microsoft Defender XDR a résolu automatiquement certaines alertes sous l’onglet Investigations.
Si nécessaire, utilisez les informations du jeu de données pour l’incident pour plus d’informations avec l’onglet Preuve et réponse .
Après ou pendant votre analyse, effectuez l’endiguement pour réduire tout impact supplémentaire de l’attaque et l’élimination de la menace de sécurité.
Autant que possible, récupérez l’attaque en restaurant vos ressources de locataire à l’état dans lequel elles se trouvaient avant l’incident.
Résolvez l’incident et prenez le temps d’apprendre après l’incident pour :
- Comprendre le type de l’attaque et son impact.
- Recherchez une tendance d’attaque dans Threat Analytics et la communauté de sécurité.
- Rappelez-vous le flux de travail que vous avez utilisé pour résoudre l’incident et mettre à jour vos workflows, processus, stratégies et playbooks standard en fonction des besoins.
- Déterminez si des modifications de votre configuration de sécurité sont nécessaires et implémentez-les.
Si vous débutez dans l’analyse de la sécurité, consultez l’introduction à la réponse à votre premier incident pour obtenir des informations supplémentaires et parcourir un exemple d’incident.
Pour plus d’informations sur la réponse aux incidents dans les produits Microsoft, consultez cet article.
Exemples d’opérations de sécurité pour Microsoft Defender XDR
Voici un exemple d’opérations de sécurité (SecOps) pour Microsoft Defender XDR.
Les tâches quotidiennes peuvent inclure :
- Gestion des incidents
- Examen des actions d’investigation et de réponse automatisées (AIR) dans le centre de notifications
- Examen de la dernière version d’Analyse des menaces
- Réponse aux incidents
Les tâches mensuelles peuvent inclure :
- Examen des paramètres AIR
- Examen du degré de sécurisation et de la Gestion des vulnérabilités Microsoft Defender
- Rapports à votre chaîne de gestion de la sécurité informatique
Les tâches trimestrielles peuvent inclure un rapport et une séance d’information sur les résultats de la sécurité à l’intention du responsable de la sécurité de l’information (CISO).
Les tâches annuelles peuvent inclure la conduite d’un incident majeur ou d’un exercice de violation pour tester votre personnel, vos systèmes et vos processus.
Les tâches quotidiennes, mensuelles, trimestrielles et annuelles peuvent être utilisées pour mettre à jour ou affiner les processus, les stratégies et les configurations de sécurité.
Pour plus d’informations, consultez Intégration de Microsoft Defender XDR dans vos opérations de sécurité.
Ressources SecOps dans les produits Microsoft
Pour plus d’informations sur SecOps sur les produits Microsoft, consultez les ressources suivantes :
Recevoir des notifications d’incident par e-mail
Vous pouvez configurer Microsoft Defender XDR pour informer votre personnel par e-mail de nouveaux incidents ou de mises à jour d’incidents existants. Vous pouvez choisir d’obtenir des notifications en fonction des points suivants :
- Gravité de l’alerte
- Sources d’alerte
- Groupe d’appareils
Pour configurer Notifications par e-mail pour les incidents, consultez obtenir Notifications par e-mail sur les incidents.
Formation pour les analystes de sécurité
Utilisez ce module d’apprentissage de Microsoft Learn pour comprendre comment utiliser Microsoft Defender XDR pour gérer les incidents et les alertes.
| Formation : | Examiner les incidents avec Microsoft Defender XDR |
|---|---|
 |
Microsoft Defender XDR unifie les données sur les menaces de plusieurs services et utilise l’IA pour les combiner en incidents et alertes. Découvrez comment réduire le temps entre un incident et sa gestion pour sa prochaine réponse et résolution. 27 min - 6 unités |
Prochaines étapes
Utilisez les étapes répertoriées en fonction de votre niveau d’expérience ou de votre rôle au sein de votre équipe de sécurité.
Niveau d’expérience
Suivez ce tableau pour connaître votre niveau d’expérience avec l’analyse de la sécurité et la réponse aux incidents.
| Niveau | Étapes |
|---|---|
| New |
|
| Expérimenté |
|
Rôle d’équipe de sécurité
Suivez ce tableau en fonction de votre rôle d’équipe de sécurité.
| Role | Étapes |
|---|---|
| Répondeur aux incidents (niveau 1) | Commencez à utiliser la file d’attente des incidents à partir de la page Incidents du portail Microsoft Defender. Vous pouvez alors effectuer les opérations suivantes :
|
| Enquêteur ou analyste de sécurité (niveau 2) |
|
| Analyste de sécurité avancé ou chasseur de menaces (niveau 3) |
|
| Responsable SOC | Découvrez comment intégrer Microsoft Defender XDR à votre Centre des opérations de sécurité (SOC). |
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Soumettre et afficher des commentaires pour