Partager via


Agir sur les résultats de requête de repérage avancés

S’applique à :

  • Microsoft Defender XDR

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Vous pouvez rapidement contenir des menaces ou traiter les ressources compromises que vous trouvez dans la chasse avancée à l’aide d’options d’action puissantes et complètes. Avec ces options, vous pouvez :

  • Effectuer diverses actions sur les appareils
  • Fichiers de mise en quarantaine

Autorisations requises

Pour effectuer des actions sur les appareils par le biais de la chasse avancée, vous avez besoin d’un rôle dans Microsoft Defender pour point de terminaison disposant des autorisations nécessaires pour envoyer des actions de correction sur les appareils.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Si vous ne pouvez pas effectuer d’action, contactez un administrateur général pour obtenir l’autorisation suivante :

Actions de correction actives Gestion des menaces > et des vulnérabilités - Gestion des corrections

Pour prendre des mesures sur les e-mails par le biais de la chasse avancée, vous avez besoin d’un rôle dans Microsoft Defender pour Office 365 pour rechercher et vider les e-mails.

Effectuer diverses actions sur les appareils

Vous pouvez effectuer les actions suivantes sur les appareils identifiés par la colonne dans les DeviceId résultats de votre requête :

  • Isoler les appareils affectés pour contenir une infection ou empêcher les attaques de se déplacer latéralement
  • Collecter le package d’investigation pour obtenir plus d’informations d’investigation
  • Exécuter une analyse antivirus pour rechercher et supprimer les menaces à l’aide des dernières mises à jour du renseignement de sécurité
  • Lancer une investigation automatisée pour case activée et corriger les menaces sur l’appareil et éventuellement sur d’autres appareils affectés
  • Restreindre l’exécution de l’application uniquement aux fichiers exécutables signés par Microsoft, ce qui empêche l’activité des menaces ultérieures par le biais de programmes malveillants ou d’autres exécutables non approuvés

Pour en savoir plus sur la façon dont ces actions de réponse sont effectuées via Microsoft Defender pour point de terminaison, consultez actions de réponse sur les appareils.

Fichiers de mise en quarantaine

Vous pouvez déployer l’action de mise en quarantaine sur les fichiers afin qu’ils soient automatiquement mis en quarantaine lorsqu’ils sont rencontrés. Lorsque vous sélectionnez cette action, vous pouvez choisir entre les colonnes suivantes pour identifier les fichiers dans les résultats de votre requête à mettre en quarantaine :

  • SHA1: dans les tables de chasse les plus avancées, cette colonne fait référence au SHA-1 du fichier affecté par l’action enregistrée. Par exemple, si un fichier a été copié, ce fichier affecté est le fichier copié.
  • InitiatingProcessSHA1: dans les tables de chasse les plus avancées, cette colonne fait référence au fichier responsable du lancement de l’action enregistrée. Par exemple, si un processus enfant a été lancé, ce fichier initiateur fait partie du processus parent.
  • SHA256: cette colonne est l’équivalent SHA-256 du fichier identifié par la SHA1 colonne.
  • InitiatingProcessSHA256: cette colonne est l’équivalent SHA-256 du fichier identifié par la InitiatingProcessSHA1 colonne.

Pour en savoir plus sur la façon dont les actions de mise en quarantaine sont effectuées et sur la façon dont les fichiers peuvent être restaurés, consultez actions de réponse sur les fichiers.

Remarque

Pour localiser des fichiers et les mettre en quarantaine, les résultats de la requête doivent également inclure des DeviceId valeurs en tant qu’identificateurs d’appareil.

Pour effectuer l’une des actions décrites, sélectionnez un ou plusieurs enregistrements dans les résultats de votre requête, puis sélectionnez Effectuer des actions. Un Assistant vous guide tout au long du processus de sélection, puis d’envoi de vos actions préférées.

Capture d’écran de l’option Prendre des actions dans le portail Microsoft Defender.

Effectuer diverses actions sur les e-mails

Outre les étapes de correction axées sur l’appareil, vous pouvez également effectuer certaines actions sur les e-mails à partir des résultats de votre requête. Sélectionnez les enregistrements sur lesquels vous souhaitez effectuer une action, sélectionnez Effectuer des actions, puis sous Choisir des actions, sélectionnez votre choix parmi les éléments suivants :

  • Move to mailbox folder - sélectionnez cette action pour déplacer les messages électroniques vers le dossier Courrier indésirable, Boîte de réception ou Éléments supprimés

    Notez que vous pouvez déplacer les résultats des e-mails constitués d’éléments mis en quarantaine (pour instance, dans le cas de faux positifs) en sélectionnant l’option Boîte de réception.

    Capture d’écran de l’option Boîte de réception sous le volet Prendre des actions dans le portail Microsoft Defender.

  • Delete email - sélectionnez cette action pour déplacer les messages électroniques vers le dossier Éléments supprimés (suppression réversible) ou les supprimer définitivement (suppression définitive)

    La sélection de la suppression réversible supprime également automatiquement les messages du dossier Éléments envoyés de l’expéditeur si l’expéditeur se trouve dans le organization.

    Capture d’écran de l’option Prendre des actions dans le portail Microsoft Defender.

    La suppression réversible automatique de la copie de l’expéditeur est disponible pour les résultats à l’aide des EmailEvents tables et , EmailPostDeliveryEvents mais pas de la UrlClickEvents table. En outre, le résultat doit contenir les colonnes EmailDirection et SenderFromAddress les colonnes de cette option d’action à afficher dans l’Assistant Prendre des actions. La copie de l’expéditeur propre s’applique aux e-mails intra-organization et aux e-mails sortants, ce qui garantit que seule la copie de l’expéditeur est supprimée de manière réversible pour ces messages électroniques. Les messages entrants sont hors de portée.

    Consultez la requête suivante comme référence :

    EmailEvents
    | where ThreatTypes contains "spam"
    | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
    

Vous pouvez également fournir un nom de correction et une brève description de l’action entreprise pour la suivre facilement dans l’historique du centre de notifications. Vous pouvez également utiliser l’ID d’approbation pour filtrer ces actions dans le centre de notifications. Cet ID est fourni à la fin de l’Assistant :

Assistant prise d’actions montrant choisir des actions pour les entités

Ces actions d’e-mail s’appliquent également aux détections personnalisées .

Passer en revue les actions effectuées

Chaque action est enregistrée individuellement dans le centre de notifications sousHistorique du centre> de notifications (security.microsoft.com/action-center/history). Accédez au centre de notifications pour case activée la status de chaque action.

Remarque

Certaines tables de cet article peuvent ne pas être disponibles dans Microsoft Defender pour point de terminaison. Activez Microsoft Defender XDR pour rechercher les menaces à l’aide de sources de données supplémentaires. Vous pouvez déplacer vos flux de travail de chasse avancés de Microsoft Defender pour point de terminaison vers Microsoft Defender XDR en suivant les étapes décrites dans Migrer des requêtes de chasse avancées à partir de Microsoft Defender pour point de terminaison.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.