Examiner les alertes dans Microsoft Defender XDR

S’applique à :

• Microsoft Defender XDR

Remarque

Cet article décrit les alertes de sécurité dans Microsoft Defender XDR. Toutefois, vous pouvez utiliser des alertes d’activité pour envoyer des notifications par e-mail à vous-même ou à d’autres administrateurs lorsque les utilisateurs effectuent des activités spécifiques dans Microsoft 365. Pour plus d’informations, consultez Créer des alertes d’activité - Microsoft Purview | Microsoft Docs.

Les alertes constituent la base de tous les incidents et indiquent l’occurrence d’événements malveillants ou suspects dans votre environnement. Les alertes font généralement partie d’une attaque plus large et fournissent des indices sur un incident.

Dans Microsoft Defender XDR, les alertes associées sont agrégées pour former des incidents. Les incidents fournissent toujours le contexte plus large d’une attaque, mais l’analyse des alertes peut être utile quand une analyse plus approfondie est nécessaire.

La file d’attente Alertes affiche l’ensemble actuel d’alertes. Vous accédez à la file d’attente des alertes à partir des incidents & alertes > Alertes lors du lancement rapide du portail Microsoft Defender.

Les alertes de différentes solutions de sécurité Microsoft telles que Microsoft Defender pour point de terminaison, Defender pour Office 365, Microsoft Sentinel, Defender pour le cloud, Defender pour Identity, Defender for Cloud Apps, Defender XDR, Gouvernance des applications, Microsoft Entra ID Protection et Protection contre la perte de données Microsoft s’affichent ici.

Par défaut, la file d’attente des alertes dans le portail Microsoft Defender affiche les alertes nouvelles et en cours des 30 derniers jours. L’alerte la plus récente se trouve en haut de la liste pour vous permettre de la voir en premier.

Dans la file d’attente des alertes par défaut, vous pouvez sélectionner Filtrer pour afficher un volet Filtre , à partir duquel vous pouvez spécifier un sous-ensemble des alertes. Voici un exemple.

Vous pouvez filtrer les alertes en fonction des critères suivants :

• Severity
• Statut
• Catégories
• Sources de service/détection
• Tags
• Stratégie
• Entités (ressources impactées)
• État d’analyse automatisée
• ID d’abonnement d’alerte

Rôles requis pour les alertes Defender pour Office 365

Vous devez disposer de l’un des rôles suivants pour accéder aux alertes Microsoft Defender pour Office 365 :

• Pour les rôles globaux Microsoft Entra :

  • Administrateur général
  • Administrateur de sécurité
  • Opérateur de sécurité
  • Lecteur général
  • Lecteur de sécurité

• Groupes de rôles de sécurité & conformité Office 365

  • Administrateur de conformité
  • Gestion de l’organisation

• Un rôle personnalisé

Analyser une alerte

Pour afficher la page d’alerte principale, sélectionnez le nom de l’alerte. Voici un exemple.

Vous pouvez également sélectionner l’action Ouvrir la page d’alerte principale dans le volet Gérer l’alerte .

Une page d’alerte est composée des sections suivantes :

• Récit d’alerte, qui est la chaîne d’événements et d’alertes liées à cette alerte dans l’ordre chronologique
• Détails du résumé

Dans une page d’alerte, vous pouvez sélectionner les points de suspension (...) en regard de n’importe quelle entité pour voir les actions disponibles, telles que la liaison de l’alerte à un autre incident. La liste des actions disponibles dépend du type d’alerte.

Sources d’alerte

Les alertes Microsoft Defender XDR proviennent de solutions telles que Microsoft Defender pour point de terminaison, Defender pour Office 365, Defender pour Identity, Defender pour cloud Apps, le module complémentaire de gouvernance des applications pour Microsoft Defender pour les applications cloud, Microsoft Entra ID Protection et Microsoft Data Loss Prevention. Vous remarquerez peut-être des alertes avec des caractères ajoutés dans l’alerte. Le tableau suivant fournit des conseils pour vous aider à comprendre le mappage des sources d’alerte en fonction du caractère ajouté à l’alerte.

Remarque

• Les GUID ajoutés sont spécifiques uniquement aux expériences unifiées telles que la file d’attente des alertes unifiées, la page des alertes unifiées, l’investigation unifiée et l’incident unifié.
• Le caractère ajouté ne modifie pas le GUID de l’alerte. La seule modification apportée au GUID est le composant ajouté.

Source d’alerte	ID d’alerte avec des caractères ajoutés
Microsoft Defender XDR	ra{GUID} ta{GUID} pour les alertes de ThreatExperts ea{GUID} pour les alertes provenant de détections personnalisées
Microsoft Defender pour Office 365	fa{GUID} Exemple : fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender pour point de terminaison	da{GUID} ed{GUID} pour les alertes provenant de détections personnalisées
Microsoft Defender pour l’identité	aa{GUID} Exemple : aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps	ca{GUID} Exemple : ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad{GUID}
Gouvernance des applications	ma{GUID}
Protection contre la perte de données Microsoft	dl{GUID}
Microsoft Defender pour le cloud	dc{GUID}
Microsoft Sentinel	sn{GUID}

Configurer le service d’alerte IP Microsoft Entra

1. Accédez au portail Microsoft Defender (security.microsoft.com), sélectionnez Paramètres>Microsoft Defender XDR.

2. Dans la liste, sélectionnez Paramètres du service d’alerte, puis configurez votre service d’alerte Microsoft Entra ID Protection .

   

Par défaut, seules les alertes les plus pertinentes pour le centre d’opérations de sécurité sont activées. Si vous souhaitez obtenir toutes les détections de risque d’adresse IP Microsoft Entra, vous pouvez les modifier dans la section Paramètres du service d’alerte .

Vous pouvez également accéder aux paramètres du service d’alerte directement à partir de la page Incidents du portail Microsoft Defender.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Analyser les ressources affectées

La section Actions effectuées contient une liste des ressources concernées, telles que les boîtes aux lettres, les appareils et les utilisateurs affectés par cette alerte.

Vous pouvez également sélectionner Afficher dans le centre de notifications pour afficher l’onglet Historique du centre de notifications dans le portail Microsoft Defender.

Tracer le rôle d’une alerte dans l’histoire de l’alerte

Le scénario d’alerte affiche toutes les ressources ou entités associées à l’alerte dans une arborescence de processus. L’alerte dans le titre est celle qui se concentre lorsque vous accédez pour la première fois à la page de l’alerte sélectionnée. Les ressources de l’article d’alerte sont extensibles et cliquables. Ils fournissent des informations supplémentaires et accélèrent votre réponse en vous permettant de prendre des mesures directement dans le contexte de la page d’alerte.

Remarque

La section du récit d’alerte peut contenir plusieurs alertes, avec des alertes supplémentaires liées à la même arborescence d’exécution qui apparaissent avant ou après l’alerte que vous avez sélectionnée.

Afficher plus d’informations sur les alertes sur la page de détails

La page de détails affiche les détails de l’alerte sélectionnée, avec les détails et les actions associées. Si vous sélectionnez l’une des ressources ou entités affectées dans l’article d’alerte, la page de détails change pour fournir des informations contextuelles et des actions pour l’objet sélectionné.

Une fois que vous avez sélectionné une entité d’intérêt, la page de détails change pour afficher des informations sur le type d’entité sélectionné, des informations historiques lorsqu’elles sont disponibles et des options permettant d’agir sur cette entité directement à partir de la page d’alerte.

Gérer des alertes

Pour gérer une alerte, sélectionnez Gérer les d’alerte dans la section Résumé des détails de la page d’alerte. Pour une seule alerte, voici un exemple du volet Gérer l’alerte .

Le volet Gérer l’alerte vous permet d’afficher ou de spécifier :

• État de l’alerte (Nouveau, Résolu, En cours).
• Compte d’utilisateur auquel l’alerte a été attribuée.
• Classification de l’alerte :
  • Non défini (par défaut).
  • Vrai positif avec un type de menace. Utilisez cette classification pour les alertes qui indiquent avec précision une menace réelle. Si vous spécifiez ce type de menace, votre équipe de sécurité voit les modèles de menace et agit pour les défendre.
  • Activité d’information attendue avec un type d’activité. Utilisez cette option pour les alertes qui sont techniquement précises, mais qui représentent un comportement normal ou une activité de menace simulée. Vous souhaitez généralement ignorer ces alertes, mais vous vous attendez à ce qu’elles soient similaires à l’avenir, lorsque les activités sont déclenchées par des attaquants ou des programmes malveillants réels. Utilisez les options de cette catégorie pour classifier les alertes pour les tests de sécurité, l’activité de l’équipe rouge et le comportement inhabituel attendu des applications et des utilisateurs approuvés.
  • Faux positif pour les types d’alertes qui ont été créés même en l’absence d’activité malveillante ou pour une fausse alarme. Utilisez les options de cette catégorie pour classifier les alertes qui sont identifiées par erreur comme des événements ou activités normaux comme malveillantes ou suspectes. Contrairement aux alertes pour « Information, activité attendue », qui peut également être utile pour intercepter des menaces réelles, vous ne souhaitez généralement pas voir ces alertes à nouveau. La classification des alertes comme faux positifs permet à Microsoft Defender XDR d’améliorer sa qualité de détection.
• Commentaire sur l’alerte.

Remarque

Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (« Apt » et « SecurityPersonnel ») seront déconseillées et ne seront plus disponibles via l’API.

Remarque

Une façon de gérer les alertes via l’utilisation d’étiquettes. La fonctionnalité d’étiquetage de Microsoft Defender pour Office 365 est en cours de déploiement incrémentiel et est actuellement en préversion.

Actuellement, les noms de balise modifiés sont appliqués uniquement aux alertes créées après la mise à jour. Les alertes générées avant la modification ne reflètent pas le nom de la balise mise à jour.

Pour gérer un ensemble d’alertes similaires à une alerte spécifique, sélectionnez Afficher les alertes similaires dans la zone INSIGHT de la section résumé des détails de la page d’alerte.

Dans le volet Gérer les alertes , vous pouvez classer toutes les alertes associées en même temps. Voici un exemple.

Si des alertes similaires ont déjà été classées dans le passé, vous pouvez gagner du temps en utilisant les recommandations de Microsoft Defender XDR pour découvrir comment les autres alertes ont été résolues. Dans la section Détails du résumé, sélectionnez Recommandations.

L’onglet recommandations fournit des actions et des conseils pour l’examen, la correction et la prévention. Voici un exemple.

Paramétrer une alerte

En tant qu’analyste soc (Security Operations Center), l’un des principaux problèmes consiste à trier le nombre d’alertes déclenchées quotidiennement. Le temps d’un analyste est précieux, car il souhaite se concentrer uniquement sur les alertes de gravité élevée et de priorité élevée. Pendant ce temps, les analystes sont également tenus de trier et de résoudre les alertes de priorité inférieure, ce qui a tendance à être un processus manuel.

Le réglage des alertes, précédemment appelé suppression des alertes, permet de régler et de gérer les alertes à l’avance. Cela simplifie la file d’attente des alertes et permet d’économiser le temps de triage en masquant ou en résolvant automatiquement les alertes, chaque fois qu’un certain comportement organisationnel attendu se produit et que les conditions de règle sont remplies.

Les règles de réglage des alertes prennent en charge des conditions basées sur des types de preuves tels que des fichiers, des processus, des tâches planifiées et d’autres types de preuves qui déclenchent des alertes. Après avoir créé une règle de paramétrage d’alerte, appliquez-la à l’alerte sélectionnée ou à tout type d’alerte qui remplit les conditions définies pour paramétrer l’alerte.

Le réglage des alertes en disponibilité générale capture les alertes uniquement à partir de Defender pour point de terminaison. Toutefois, en préversion, le réglage des alertes est également étendu à d’autres services Microsoft Defender XDR, notamment Defender pour Office 365, Defender pour Identity, Defender for Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP) et d’autres s’ils sont disponibles sur votre plateforme et votre plan.

Attention

Nous vous recommandons d’utiliser le réglage des alertes avec précaution, pour les scénarios où des applications métier internes connues ou des tests de sécurité déclenchent une activité attendue et que vous ne souhaitez pas voir les alertes.

Créer des conditions de règle pour paramétrer les alertes

Créez des règles de réglage des alertes à partir de la zone Paramètres XDR de Microsoft Defender ou à partir d’une page de détails d’alerte. Sélectionnez l’un des onglets suivants pour continuer.

Page des paramètres

1. Dans le portail Microsoft Defender, sélectionnez Paramètres Paramétrage > des alertes Microsoft Defender XDR>.

   

2. Sélectionnez Ajouter une nouvelle règle pour paramétrer une nouvelle alerte, ou sélectionnez une ligne de règle existante pour apporter des modifications. La sélection du titre de la règle ouvre une page de détails de règle, dans laquelle vous pouvez afficher une liste d’alertes associées, modifier des conditions ou activer et désactiver la règle.

3. Dans le volet Paramétrer l’alerte , sous Sélectionner des sources de service, sélectionnez les sources de service auxquelles vous souhaitez appliquer la règle. Seuls les services pour lesquels vous disposez d’autorisations sont affichés dans la liste. Par exemple :

   

4. Dans la zone Conditions , ajoutez une condition pour les déclencheurs de l’alerte. Par exemple, si vous souhaitez empêcher le déclenchement d’une alerte lors de la création d’un fichier spécifique, définissez une condition pour le déclencheur File :Custom et définissez les détails du fichier :

   

   • Les déclencheurs répertoriés diffèrent selon les sources de service que vous avez sélectionnées. Les déclencheurs sont tous des indicateurs de compromission (IIC), tels que des fichiers, des processus, des tâches planifiées et d’autres types de preuves susceptibles de déclencher une alerte, y compris les scripts AMSI (AntiMalware Scan Interface), les événements WMI (Windows Management Instrumentation) ou les tâches planifiées.

   • Pour définir plusieurs conditions de règle, sélectionnez Ajouter un filtre et utilisez les options AND, OR et de regroupement pour définir les relations entre les types de preuves multiples qui déclenchent l’alerte. D’autres propriétés de preuve sont automatiquement remplies en tant que nouveau sous-groupe, où vous pouvez définir vos valeurs de condition. Les valeurs de condition ne respectent pas la casse et certaines propriétés prennent en charge les caractères génériques.

5. Dans la zone Action du volet Paramétrer l’alerte , sélectionnez l’action appropriée que vous souhaitez que la règle effectue, Masquer l’alerte ou Résoudre l’alerte.

6. Entrez un nom explicite pour votre alerte et un commentaire pour décrire l’alerte, puis sélectionnez Enregistrer.

Page Alertes

1. Dans le portail Microsoft Defender, accédez à la page Alertes ou à une page de détails d’alerte. Si vous êtes sur la page Alertes , sélectionnez d’abord l’alerte que vous souhaitez paramétrer, puis sélectionnez Régler l’alerte. En fonction de la résolution de votre écran, vous devrez peut-être sélectionner les points de suspension (...) pour voir l’option Régler l’alerte . Par exemple :

   

   Le volet Régler l’alerte s’ouvre sur le côté, où vous pouvez définir des conditions pour l’alerte. Par exemple :

   

2. Configurez les détails suivants, puis sélectionnez Enregistrer :

3. Dans la zone Types d’alerte, sélectionnez pour appliquer la règle de réglage des alertes uniquement aux alertes du type sélectionné ou à tout type d’alerte basé sur les mêmes conditions. Si vous sélectionnez N’importe quel type d’alerte en fonction de certaines conditions, sélectionnez également les sources de service où vous souhaitez que la règle s’applique. Seuls les services pour lesquels vous disposez d’autorisations sont affichés dans la liste. Par exemple :

   

4. Dans la zone Conditions , ajoutez une condition pour les déclencheurs de l’alerte. Par exemple, si vous souhaitez empêcher le déclenchement d’une alerte lors de la création d’un fichier spécifique, définissez une condition pour le déclencheur File :Custom et définissez les détails du fichier :

   

   • Les déclencheurs répertoriés diffèrent selon les sources de service que vous avez sélectionnées. Les déclencheurs sont tous des indicateurs de compromission (IIC), tels que des fichiers, des processus, des tâches planifiées et d’autres types de preuves susceptibles de déclencher une alerte, y compris les scripts AMSI (AntiMalware Scan Interface), les événements WMI (Windows Management Instrumentation) ou les tâches planifiées.

   • Pour définir plusieurs conditions de règle, sélectionnez Ajouter un filtre et utilisez les options AND, OR et de regroupement pour définir les relations entre les types de preuves multiples qui déclenchent l’alerte. D’autres propriétés de preuve sont automatiquement remplies en tant que nouveau sous-groupe, où vous pouvez définir vos valeurs de condition. Les valeurs de condition ne respectent pas la casse et certaines propriétés prennent en charge les caractères génériques.

5. Dans la zone Action du volet Paramétrer l’alerte , sélectionnez l’action appropriée que vous souhaitez que la règle effectue, Masquer l’alerte ou Résoudre l’alerte.

6. Entrez un nom explicite pour votre alerte et un commentaire pour décrire l’alerte.

Remarque

Le titre de l’alerte (Nom) est basé sur le type d’alerte (IoaDefinitionId) qui détermine le titre de l’alerte. Deux alertes qui ont le même type d’alerte peuvent passer à un titre d’alerte différent.

Résoudre une alerte

Une fois que vous avez terminé d’analyser une alerte et qu’elle peut être résolue, accédez au volet Gérer l’alerte pour l’alerte ou les alertes similaires et marquez l’état comme Résolu , puis classifiez-la comme un vrai positif avec un type de menace , une activité d’information, attendue avec un type d’activité ou un faux positif.

La classification des alertes permet à Microsoft Defender XDR d’améliorer sa qualité de détection.

Utiliser Power Automate pour trier les alertes

Les équipes d’opérations de sécurité modernes (SecOps) ont besoin d’une automatisation pour travailler efficacement. Pour se concentrer sur la chasse et l’investigation des menaces réelles, les équipes SecOps utilisent Power Automate pour trier la liste des alertes et éliminer celles qui ne sont pas des menaces.

Critères de résolution des alertes

• L’utilisateur a activé le message d’absence du bureau
• L’utilisateur n’est pas marqué comme à haut risque

Si les deux sont vrais, SecOps marque l’alerte comme voyage légitime et la résout. Une notification est publiée dans Microsoft Teams une fois l’alerte résolue.

Connecter Power Automate à Microsoft Defender for Cloud Apps

Pour créer l’automatisation, vous aurez besoin d’un jeton d’API avant de pouvoir connecter Power Automate à Microsoft Defender for Cloud Apps.

1. Ouvrez Microsoft Defender et sélectionnez Paramètres>Jeton d’APICloud Apps>, puis sélectionnez Ajouter un jeton dans l’onglet Jetons d’API.

2. Fournissez un nom pour votre jeton, puis sélectionnez Générer. Enregistrez le jeton, car vous en aurez besoin ultérieurement.

Créer un flux automatisé

Regardez cette courte vidéo pour découvrir comment l’automatisation fonctionne efficacement pour créer un flux de travail fluide et comment connecter Power Automate à Defender for Cloud Apps.

Étapes suivantes

Si nécessaire pour les incidents in-process, poursuivez votre enquête.

Voir aussi

• Vue d’ensemble des incidents
• Gérer des incidents
• Examiner des incidents
• Examiner les alertes de protection contre la perte de données dans Defender
• Microsoft Entra ID Protection

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.