Configurer les fonctionnalités d’investigation et de correction automatisées dans Microsoft Defender pour point de terminaison

S’applique à :

• Microsoft Defender XDR
• Microsoft Defender pour point de terminaison Plan 2

Si votre organization utilise Defender pour point de terminaison (ou Defender pour entreprise), les fonctionnalités d’investigation et de correction automatisées peuvent faire gagner du temps et des efforts à votre équipe chargée des opérations de sécurité. Comme indiqué dans ce billet de blog, ces fonctionnalités imitent les étapes idéales qu’un analyste de sécurité prend pour examiner et corriger les menaces. En savoir plus sur l’investigation et la correction automatisées.

Si vous utilisez Defender pour point de terminaison, vous pouvez spécifier un niveau d’automatisation afin que lorsqu’une menace est détectée sur un appareil, l’entité puisse être corrigée automatiquement ou uniquement après approbation par votre équipe de sécurité. Vous pouvez configurer l’investigation et la correction automatisées avec des groupes d’appareils.

Remarque

Dans Defender pour les entreprises, l’investigation automatisée est configurée automatiquement. Consultez fonctionnalités avancées.

Configurer des groupes d’appareils

1. Dans le portail Microsoft Defender (https://security.microsoft.com), dans la page Paramètres, sous Autorisations, sélectionnez Groupes d’appareils.

2. Sélectionnez + Ajouter un groupe d’appareils.

3. Create au moins un groupe d’appareils, comme suit :

   • Spécifiez un nom et une description pour le groupe d’appareils.
   • Dans la liste Niveau d’automatisation, sélectionnez un niveau, tel que Complet - Corriger automatiquement les menaces. Le niveau d’automatisation détermine si les actions de correction sont effectuées automatiquement ou uniquement après approbation. Pour plus d’informations, consultez Niveaux d’automatisation dans l’investigation et la correction automatisées.
   • Dans la section Membres , utilisez une ou plusieurs conditions pour identifier et inclure des appareils.

4. Sélectionnez Terminé lorsque vous avez terminé la configuration de votre groupe d’appareils.

Remarque

L’option Investigation automatisée a été supprimée du paramètre fonctionnalités avancées dans Defender pour point de terminaison. L’investigation automatisée est désormais activée par défaut.

Prochaines étapes

• Visitez le Centre de notifications pour afficher les actions de correction en attente et terminées
• Examiner et approuver les actions en attente

Voir aussi

• Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison
• Niveaux d’automatisation dans l’investigation et la correction automatisées

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.