Vue d’ensemble des enquêtes automatisées
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
Plateformes
- Windows
Souhaitez-vous découvrir comment cela fonctionne ? Regardez la vidéo suivante :
La technologie d’investigation automatisée utilise différents algorithmes d’inspection et est basée sur des processus utilisés par les analystes de sécurité. Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à valeur élevée. Toutes les actions de correction, qu’elles soient en attente ou terminées, sont suivies dans le centre de notifications . Dans le Centre de notifications, les actions en attente sont approuvées (ou rejetées) et les actions terminées peuvent être annulées si nécessaire.
Cet article fournit une vue d’ensemble d’AIR et inclut des liens vers les étapes suivantes et des ressources supplémentaires.
Conseil
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Démarrage de l’investigation automatisée
Une investigation automatisée peut démarrer lorsqu’une alerte est déclenchée ou lorsqu’un opérateur de sécurité lance l’investigation.
Situation | Action exécutée |
---|---|
Une alerte est déclenchée | En général, une investigation automatisée démarre lorsqu’une alerte est déclenchée et qu’un incident est créé. Par exemple, supposons qu’un fichier malveillant réside sur un appareil. Lorsque ce fichier est détecté, une alerte est déclenchée et un incident est créé. Un processus d’investigation automatisé commence sur l’appareil. Comme d’autres alertes sont générées en raison du même fichier sur d’autres appareils, elles sont ajoutées à l’incident associé et à l’investigation automatisée. |
Une investigation est démarrée manuellement | Une investigation automatisée peut être démarrée manuellement par votre équipe des opérations de sécurité. Par exemple, supposons qu’un opérateur de sécurité examine une liste d’appareils et remarque qu’un appareil présente un niveau de risque élevé. L’opérateur de sécurité peut sélectionner l’appareil dans la liste pour ouvrir son menu volant, puis sélectionner Lancer l’investigation automatisée. |
Comment une investigation automatisée étend sa portée
Pendant qu’une investigation est en cours d’exécution, toutes les autres alertes générées à partir de l’appareil sont ajoutées à une investigation automatisée en cours jusqu’à ce que cette investigation soit terminée. En outre, si la même menace est visible sur d’autres appareils, ces appareils sont ajoutés à l’investigation.
Si une entité incriminée est visible sur un autre appareil, le processus d’investigation automatisé étend son étendue pour inclure cet appareil, et un playbook de sécurité général démarre sur cet appareil. Si au moins 10 appareils sont trouvés au cours de ce processus d’extension à partir de la même entité, cette action d’extension nécessite une approbation et est visible sous l’onglet Actions en attente .
Comment les menaces sont corrigées
À mesure que des alertes sont déclenchées et qu’une enquête automatisée s’exécute, un verdict est généré pour chaque élément de preuve examiné. Les verdicts peuvent être :
- Malveillant ;
- Suspect ; Ou
- Aucune menace détectée.
À mesure que les verdicts sont atteints, les investigations automatisées peuvent entraîner une ou plusieurs actions de correction. Parmi les exemples d’actions de correction, citons l’envoi d’un fichier en quarantaine, l’arrêt d’un service, la suppression d’une tâche planifiée, etc. Pour plus d’informations, consultez Actions de correction.
Selon le niveau d’automatisation défini pour votre organization, ainsi que d’autres paramètres de sécurité, les actions de correction peuvent se produire automatiquement ou uniquement après approbation par votre équipe des opérations de sécurité. Les paramètres de sécurité supplémentaires qui peuvent affecter la correction automatique incluent la protection contre les applications potentiellement indésirables (PUA).
Toutes les actions de correction, qu’elles soient en attente ou terminées, sont suivies dans le centre de notifications . Si nécessaire, votre équipe des opérations de sécurité peut annuler une action de correction. Pour plus d’informations, consultez Examiner et approuver les actions de correction à la suite d’une investigation automatisée.
Conseil
Consultez la nouvelle page d’investigation unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la page d’investigation unifiée.
Configuration requise pour AIR
Votre abonnement doit inclure Defender pour point de terminaison ou Defender entreprise.
Remarque
L’investigation et la réponse automatisées nécessitent Microsoft Defender Antivirus pour s’exécuter en mode passif ou actif. Si Microsoft Defender Antivirus est désactivé ou désinstallé, l’investigation et la réponse automatisées ne fonctionnent pas correctement.
Actuellement, AIR prend uniquement en charge les versions de système d’exploitation suivantes :
- Windows Server 2012 R2 (préversion)
- Windows Server 2016 (préversion)
- Windows Server 2019
- Windows Server 2022
- Windows 10, version 1709 (build du système d’exploitation 16299.1085 avec KB4493441) ou ultérieure
- Windows 10, version 1803 (build du système d’exploitation 17134.704 avec KB4493464) ou ultérieure
- Windows 10, version 1803 ou ultérieure
- Windows 11
Remarque
L’investigation et la réponse automatisées sur Windows Server 2012 R2 et Windows Server 2016 nécessitent l’installation de l’agent unifié.
Prochaines étapes
- En savoir plus sur les niveaux d’automatisation
- Consultez le guide interactif : Examiner et corriger les menaces avec Microsoft Defender pour point de terminaison
- Configurer les fonctionnalités d’investigation et de correction automatisées dans Microsoft Defender pour point de terminaison
Voir aussi
- Protection PUA
- Investigation et réponse automatisées dans Microsoft Defender pour Office 365
- Investigation et réponse automatisées dans Microsoft Defender XDR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.