Gérer les incidents dans Microsoft Defender XDR

Remarque

Vous voulez découvrir Microsoft Defender XDR ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft Defender XDR.

S’applique à :

• Microsoft Defender XDR

La gestion des incidents est essentielle pour s’assurer que les incidents sont nommés, attribués et étiquetés afin d’optimiser le temps dans votre flux de travail des incidents et de contenir et de traiter plus rapidement les menaces.

Vous pouvez gérer les incidents à partir des alertes > incidents & Incidents lors du lancement rapide du portail Microsoft Defender (security.microsoft.com). Voici un exemple.

Voici les façons dont vous pouvez gérer vos incidents :

• Modifier le nom de l’incident
• Ajouter des étiquettes d’incident
• Affecter l’incident à un compte d’utilisateur
• Les résoudre
• Spécifier sa classification
• Ajouter des commentaires

Vous pouvez gérer les incidents à partir du volet Gérer les incidents pour un incident. Voici un exemple.

Vous pouvez afficher ce volet à partir du lien Gérer l’incident sur :

• Page de récit d’alerte .
• Volet Propriétés d’un incident dans la file d’attente des incidents.
• Page de résumé d’un incident.
• Option Gérer l’incident située dans le coin supérieur droit de la page Incident.

Dans les cas où vous souhaitez déplacer des alertes d’un incident à un autre, vous pouvez également le faire à partir de l’onglet Alertes , créant ainsi un incident plus grand ou plus petit qui inclut toutes les alertes pertinentes.

Modifier le nom de l’incident

Microsoft Defender XDR attribue automatiquement un nom en fonction des attributs d’alerte tels que le nombre de points de terminaison affectés, les utilisateurs affectés, les sources de détection ou les catégories. Cela vous permet de comprendre rapidement l’étendue de l’incident. Par exemple : incident multiphase sur plusieurs points de terminaison signalés par plusieurs sources.

Vous pouvez modifier le nom de l’incident à partir du champ Nom de l’incident dans le volet Gérer l’incident .

Remarque

Les incidents qui existaient avant le déploiement de la fonctionnalité de nommage automatique des incidents conservent leur nom.

Ajouter des balises d’incident

Vous pouvez ajouter des balises personnalisées à un incident, par exemple pour marquer un groupe d’incidents avec une caractéristique commune. Vous pouvez filtrer ultérieurement la file d’attente des incidents pour tous les incidents qui contiennent une balise spécifique.

Lorsque vous commencez à taper, vous avez la possibilité de sélectionner dans une liste d’étiquettes précédemment utilisées et sélectionnées.

Affecter un incident

Si un incident n’a pas encore été attribué, vous pouvez sélectionner la zone Attribuer à et spécifier le compte d’utilisateur. Pour réappretribuer un incident, supprimez le compte d’affectation actuel en sélectionnant le « x » en regard du nom du compte, puis sélectionnez la zone Attribuer à . L’attribution de la propriété d’un incident affecte la même propriété à toutes les alertes qui lui sont associées.

Vous pouvez obtenir la liste des incidents qui vous sont attribués en filtrant la file d’attente des incidents.

1. Dans la file d’attente des incidents, sélectionnez Filtres.
2. Dans la section Affectation d’incident , désactivez Sélectionner tout et sélectionnez Attribué à moi.
3. Sélectionnez Appliquer, puis fermez le volet Filtres .

Vous pouvez ensuite enregistrer l’URL résultante dans votre navigateur en tant que signet pour afficher rapidement la liste des incidents qui vous sont attribués.

Résoudre un incident

Si l’incident a été corrigé, sélectionnez Résoudre l’incident pour déplacer le bouton bascule vers la droite. Notez que la résolution d’un incident résout également toutes les alertes liées et actives liées à l’incident.

Un incident qui n’est pas résolu s’affiche comme Actif.

Spécifier la classification

Dans le champ Classification , vous spécifiez si l’incident est :

• Non défini (valeur par défaut).
• Vrai positif avec un type de menace. Utilisez cette classification pour les incidents qui indiquent avec précision une menace réelle. Spécifier le type de menace permet à votre équipe de sécurité de voir les modèles de menace et d’agir pour défendre votre organisation contre celles-ci.
• Activité d’information attendue avec un type d’activité. Utilisez les options de cette catégorie pour classifier les incidents pour les tests de sécurité, l’activité d’équipe rouge et le comportement inhabituel attendu des applications et des utilisateurs approuvés.
• Les faux positifs pour les types d’incidents que vous déterminez peuvent être ignorés, car ils sont techniquement inexacts ou trompeurs.

La classification des incidents et la spécification de leur status et de leur type permettent d’ajuster Microsoft Defender XDR pour fournir une meilleure détermination de la détection au fil du temps.

Ajouter des commentaires

Vous pouvez ajouter plusieurs commentaires à un incident avec le champ Commentaire . Chaque commentaire est ajouté aux événements historiques de l’incident. Vous pouvez voir les commentaires et l’historique d’un incident à partir du lien Commentaires et historique sur la page Résumé .

Prochaines étapes

Pour les nouveaux incidents, commencez votre enquête.

Pour les incidents in-process, poursuivez votre enquête.

Pour les incidents résolus, effectuez une révision post-incident.

Voir aussi

• Vue d’ensemble des incidents
• Hiérarchiser les incidents
• Enquêter sur des incidents

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.