Détails et résultats d’une enquête automatisée
S’applique à :
- Microsoft Defender XDR
Avec Microsoft Defender XDR, lorsqu’une investigation automatisée s’exécute, les détails de cette investigation sont disponibles pendant et après le processus d’investigation automatisé. Si vous disposez des autorisations nécessaires, vous pouvez afficher ces détails dans une vue des détails d’examen qui vous fournit des status à jour et la possibilité d’approuver toutes les actions en attente.
(NOUVEAU) Page d’investigation unifiée
La page d’examen a récemment été mise à jour pour inclure des informations sur vos appareils, vos e-mails et le contenu de collaboration. La nouvelle page d’investigation unifiée définit un langage commun et fournit une expérience unifiée pour les investigations automatiques entre Microsoft Defender pour point de terminaison et Microsoft Defender pour Office 365. Pour accéder à la page d’investigation unifiée, sélectionnez le lien dans la bannière jaune sur laquelle vous verrez :
- Toute page d’investigation dans le portail de conformité Microsoft Purview
- Toute page d’investigation dans le portail Microsoft Defender (https://security.microsoft.com)
- Tout incident ou expérience du centre de notifications dans le portail Microsoft Defender
Ouvrir la vue Détails de l’examen
Vous pouvez ouvrir une vue Détails de l’examen avant impression comme suit :
- Sélectionnez un élément dans le centre de notifications
- Sélectionnez un examen dans une page de détails d’incident
Sélectionnez un élément dans le centre de notifications
Le Centre de notifications amélioré (https://security.microsoft.com/action-center) regroupe les actions de correction sur vos appareils, les e-mails & le contenu de collaboration et les identités. Les actions répertoriées comprennent les actions de correction qui ont été réalisées automatiquement ou manuellement. Dans le centre de actions, vous pouvez afficher les actions en attente d’approbation et les actions qui ont déjà été approuvées ou terminées. Vous pouvez également naviguer vers plus de détails, comme une page d’enquête.
Conseil
Vous devez disposer de certaines autorisations pour approuver, rejeter ou annuler des actions.
Accédez à Microsoft Defender portail et connectez-vous.
Dans le volet de navigation, choisissez Centre de notifications.
Sous l’onglet En attente ou Historique, sélectionnez un élément. Son volet volant s’ouvre.
Passez en revue les informations du volet volant, puis effectuez l’une des étapes suivantes :
- Sélectionnez Ouvrir la page d’enquête pour afficher plus de détails sur l’enquête.
- Sélectionnez Approuver pour lancer une action en attente.
- Sélectionnez Refuser pour empêcher la réalisation d’une action en attente.
- Sélectionnez Go hunt (Aller à la chasse ) pour accéder à La chasse avancée.
Ouvrez un examen dans une page de détails d’incident
La page Détails de l’incident permet d’afficher des informations détaillées sur un incident, notamment des alertes qui ont déclenché des informations sur les appareils, les comptes utilisateurs ou les boîtes aux lettres concernés.
Accédez à Microsoft Defender portail et connectez-vous.
Dans le volet de navigation, choisissez Incidents & alertes>Incidents.
Sélectionnez un élément dans la liste, puis choisissez Ouvrir la page d’incident.
Sous l’onglet Enquêtes, sélectionnez une enquête dans la liste. Son volet volant s’ouvre.
Sélectionnez Ouvrir la page d’investigation.
Voici un exemple.
Détails de l’examen
Utilisez la vue Détails de l’examen pour afficher les activités passées, actuelles et en attente relatives à un examen. Voici un exemple.
Dans la vue Détails de l’examen, vous pouvez consulter des informations sur les onglets Graphique de l'examen, Alertes, Appareils, Identités, Principales conclusions, Entités, Journalet Actions en attente, comme décrit dans le tableau suivant.
Remarque
Les onglets spécifiques que vous voyez dans la page de détails d’une enquête dépendent de ce que votre abonnement comprend. Par exemple, si votre abonnement n’inclut pas Microsoft Defender pour Office 365 Plan 2, vous ne verrez pas d’onglet Boîtes aux lettres.
| Tab | Description |
|---|---|
| Graphique de l'examen | Fournit une représentation visuelle de l’examen. Décrit les entités et répertorie de menaces détectées, ainsi que les alertes et l’attente d’une approbation. Vous pouvez sélectionner un élément du graphique pour afficher plus de détails. Par exemple, en sélectionnant l’icône Preuve , vous accédez à l’onglet Preuve , où vous pouvez voir les entités détectées et leurs verdicts. |
| Alertes | Répertorie les alertes associées à l’examen. Les alertes peuvent provenir des fonctionnalités de protection contre les menaces sur l’appareil d’un utilisateur, dans les applications Office, les Microsoft Defender for Cloud Apps et d’autres fonctionnalités Microsoft Defender XDR. Si vous voyez un type d’alerte non pris en charge, cela signifie que les fonctionnalités d’investigation automatisée ne peuvent pas récupérer cette alerte pour exécuter une investigation automatisée. Toutefois, vous pouvez examiner ces alertes manuellement. |
| Appareils | Listes appareils inclus dans l’examen, ainsi que leur niveau de correction. (Les niveaux de correction correspondent au niveau d’automatisation pour les groupes d’appareils.) |
| Boîtes aux lettres | Listes boîtes aux lettres affectées par les menaces détectées. |
| Utilisateurs | Listes comptes d’utilisateur affectés par les menaces détectées. |
| Évidence | Listes éléments de preuve soulevés par des alertes ou des enquêtes. Inclut les verdicts (Malveillant, Suspect, Inconnuou Aucune menace trouvée) et l’état de correction. |
| Entities | Fournit des détails sur chaque entité analysée, y compris un verdict pour chaque type d’entité (Malveillant, Suspectou Aucune menace trouvée). |
| Log | Fournit une vue chronologique et détaillée de toutes les actions d’investigation effectuées après le déclenchement d’une alerte. |
| Historique des actions en attente | Répertorie les éléments qui nécessitent une approbation pour continuer. Accédez au Centre de notifications (https://security.microsoft.com/action-center) pour approuver les actions en attente. |
États d’investigation
Le tableau suivant répertorie les états d’investigation et ce qu’ils indiquent.
| État de l’enquête | Définition |
|---|---|
| Bénigne | Les artefacts ont été examinés et une décision a été établie qu’aucune menace n’a été détectée. |
| PendingResource | Une investigation automatisée est suspendue, car soit une action de correction est en attente d’approbation, soit l’appareil sur lequel un artefact a été trouvé est temporairement indisponible. |
| UnsupportedAlertType | Une investigation automatisée n’est pas disponible pour ce type d’alerte. Une investigation plus approfondie peut être effectuée manuellement à l’aide de la chasse avancée. |
| Échec | Au moins un analyseur d’investigation a rencontré un problème où il n’a pas pu terminer l’examen. Si une investigation échoue après l’approbation des actions de correction, les actions de correction peuvent toujours avoir réussi. |
| Correction réussie | Une investigation automatisée s’est terminée et toutes les actions de correction ont été effectuées ou approuvées. |
Pour fournir plus de contexte sur la façon dont les états d’investigation s’affichent, le tableau suivant répertorie les alertes et leur état d’investigation automatisé correspondant. Ce tableau est inclus comme exemple de ce qu’une équipe des opérations de sécurité peut voir dans le portail Microsoft Defender.
| Nom de l’alerte | Severity | État de l’enquête | État | Catégorie |
|---|---|---|---|---|
| Un programme malveillant a été détecté dans un fichier image de disque wim | Informatif | Bénigne | Résolu | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | UnsupportedAlertType | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | UnsupportedAlertType | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | UnsupportedAlertType | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive zip | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive zip | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive zip | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive zip | Informatif | PendingResource | Nouveau | Programme malveillant |
| Wpakill hacktool a été empêché | Faible | Échec | Nouveau | Programme malveillant |
| GendowsBatch hacktool a été empêché | Faible | Échec | Nouveau | Programme malveillant |
| Keygen hacktool a été empêché | Faible | Échec | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive zip | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive zip | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier d’archive rar | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier image de disque iso | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier image de disque iso | Informatif | PendingResource | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier de données Outlook pst | Informatif | UnsupportedAlertType | Nouveau | Programme malveillant |
| Un programme malveillant a été détecté dans un fichier de données Outlook pst | Informatif | UnsupportedAlertType | Nouveau | Programme malveillant |
| MediaGet détecté | Moyen | Partiellement investiigated | Nouveau | Programme malveillant |
| TrojanEmailFile | Moyen | SuccessfullyRemediated | Résolu | Programme malveillant |
| Le programme malveillant CustomEnterpriseBlock a été empêché | Informatif | SuccessfullyRemediated | Résolu | Programme malveillant |
| Un programme malveillant CustomEnterpriseBlock actif a été bloqué | Faible | SuccessfullyRemediated | Résolu | Programme malveillant |
| Un programme malveillant CustomEnterpriseBlock actif a été bloqué | Faible | SuccessfullyRemediated | Résolu | Programme malveillant |
| Un programme malveillant CustomEnterpriseBlock actif a été bloqué | Faible | SuccessfullyRemediated | Résolu | Programme malveillant |
| TrojanEmailFile | Moyen | Bénigne | Résolu | Programme malveillant |
| Le programme malveillant CustomEnterpriseBlock a été empêché | Informatif | UnsupportedAlertType | Nouveau | Programme malveillant |
| Le programme malveillant CustomEnterpriseBlock a été empêché | Informatif | SuccessfullyRemediated | Résolu | Programme malveillant |
| TrojanEmailFile | Moyen | SuccessfullyRemediated | Résolu | Programme malveillant |
| TrojanEmailFile | Moyen | Bénigne | Résolu | Programme malveillant |
| Un programme malveillant CustomEnterpriseBlock actif a été bloqué | Faible | PendingResource | Nouveau | Programme malveillant |
Prochaines étapes
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.