Partager via


Détails et résultats d’une enquête automatisée

S’applique à :

  • Microsoft Defender XDR

Avec Microsoft Defender XDR, lorsqu’une investigation automatisée s’exécute, les détails de cette investigation sont disponibles pendant et après le processus d’investigation automatisé. Si vous disposez des autorisations nécessaires, vous pouvez afficher ces détails dans une vue des détails d’examen qui vous fournit des status à jour et la possibilité d’approuver toutes les actions en attente.

(NOUVEAU) Page d’investigation unifiée

La page d’examen a récemment été mise à jour pour inclure des informations sur vos appareils, vos e-mails et le contenu de collaboration. La nouvelle page d’investigation unifiée définit un langage commun et fournit une expérience unifiée pour les investigations automatiques entre Microsoft Defender pour point de terminaison et Microsoft Defender pour Office 365. Pour accéder à la page d’investigation unifiée, sélectionnez le lien dans la bannière jaune sur laquelle vous verrez :

Ouvrir la vue Détails de l’examen

Vous pouvez ouvrir une vue Détails de l’examen avant impression comme suit :

Sélectionnez un élément dans le centre de notifications

Le Centre de notifications amélioré (https://security.microsoft.com/action-center) regroupe les actions de correction sur vos appareils, les e-mails & le contenu de collaboration et les identités. Les actions répertoriées comprennent les actions de correction qui ont été réalisées automatiquement ou manuellement. Dans le centre de actions, vous pouvez afficher les actions en attente d’approbation et les actions qui ont déjà été approuvées ou terminées. Vous pouvez également naviguer vers plus de détails, comme une page d’enquête.

Conseil

Vous devez disposer de certaines autorisations pour approuver, rejeter ou annuler des actions.

  1. Accédez à Microsoft Defender portail et connectez-vous.

  2. Dans le volet de navigation, choisissez Centre de notifications.

  3. Sous l’onglet En attente ou Historique, sélectionnez un élément. Son volet volant s’ouvre.

  4. Passez en revue les informations du volet volant, puis effectuez l’une des étapes suivantes :

    • Sélectionnez Ouvrir la page d’enquête pour afficher plus de détails sur l’enquête.
    • Sélectionnez Approuver pour lancer une action en attente.
    • Sélectionnez Refuser pour empêcher la réalisation d’une action en attente.
    • Sélectionnez Go hunt (Aller à la chasse ) pour accéder à La chasse avancée.

Ouvrez un examen dans une page de détails d’incident

La page Détails de l’incident permet d’afficher des informations détaillées sur un incident, notamment des alertes qui ont déclenché des informations sur les appareils, les comptes utilisateurs ou les boîtes aux lettres concernés.

  1. Accédez à Microsoft Defender portail et connectez-vous.

  2. Dans le volet de navigation, choisissez Incidents & alertes>Incidents.

  3. Sélectionnez un élément dans la liste, puis choisissez Ouvrir la page d’incident.

  4. Sous l’onglet Enquêtes, sélectionnez une enquête dans la liste. Son volet volant s’ouvre.

  5. Sélectionnez Ouvrir la page d’investigation.

Voici un exemple.

Page d’examen dans le portail Microsoft Defender

Détails de l’examen

Utilisez la vue Détails de l’examen pour afficher les activités passées, actuelles et en attente relatives à un examen. Voici un exemple.

Page des détails de l’enquête dans le portail Microsoft Defender

Dans la vue Détails de l’examen, vous pouvez consulter des informations sur les onglets Graphique de l'examen, Alertes, Appareils, Identités, Principales conclusions, Entités, Journalet Actions en attente, comme décrit dans le tableau suivant.

Remarque

Les onglets spécifiques que vous voyez dans la page de détails d’une enquête dépendent de ce que votre abonnement comprend. Par exemple, si votre abonnement n’inclut pas Microsoft Defender pour Office 365 Plan 2, vous ne verrez pas d’onglet Boîtes aux lettres.

Tab Description
Graphique de l'examen Fournit une représentation visuelle de l’examen. Décrit les entités et répertorie de menaces détectées, ainsi que les alertes et l’attente d’une approbation.
Vous pouvez sélectionner un élément du graphique pour afficher plus de détails. Par exemple, en sélectionnant l’icône Preuve , vous accédez à l’onglet Preuve , où vous pouvez voir les entités détectées et leurs verdicts.
Alertes Répertorie les alertes associées à l’examen. Les alertes peuvent provenir des fonctionnalités de protection contre les menaces sur l’appareil d’un utilisateur, dans les applications Office, les Microsoft Defender for Cloud Apps et d’autres fonctionnalités Microsoft Defender XDR.

Si vous voyez un type d’alerte non pris en charge, cela signifie que les fonctionnalités d’investigation automatisée ne peuvent pas récupérer cette alerte pour exécuter une investigation automatisée. Toutefois, vous pouvez examiner ces alertes manuellement.
Appareils Listes appareils inclus dans l’examen, ainsi que leur niveau de correction. (Les niveaux de correction correspondent au niveau d’automatisation pour les groupes d’appareils.)
Boîtes aux lettres Listes boîtes aux lettres affectées par les menaces détectées.
Utilisateurs Listes comptes d’utilisateur affectés par les menaces détectées.
Évidence Listes éléments de preuve soulevés par des alertes ou des enquêtes. Inclut les verdicts (Malveillant, Suspect, Inconnuou Aucune menace trouvée) et l’état de correction.
Entities Fournit des détails sur chaque entité analysée, y compris un verdict pour chaque type d’entité (Malveillant, Suspectou Aucune menace trouvée).
Log Fournit une vue chronologique et détaillée de toutes les actions d’investigation effectuées après le déclenchement d’une alerte.
Historique des actions en attente Répertorie les éléments qui nécessitent une approbation pour continuer. Accédez au Centre de notifications (https://security.microsoft.com/action-center) pour approuver les actions en attente.

États d’investigation

Le tableau suivant répertorie les états d’investigation et ce qu’ils indiquent.

État de l’enquête Définition
Bénigne Les artefacts ont été examinés et une décision a été établie qu’aucune menace n’a été détectée.
PendingResource Une investigation automatisée est suspendue, car soit une action de correction est en attente d’approbation, soit l’appareil sur lequel un artefact a été trouvé est temporairement indisponible.
UnsupportedAlertType Une investigation automatisée n’est pas disponible pour ce type d’alerte. Une investigation plus approfondie peut être effectuée manuellement à l’aide de la chasse avancée.
Échec Au moins un analyseur d’investigation a rencontré un problème où il n’a pas pu terminer l’examen. Si une investigation échoue après l’approbation des actions de correction, les actions de correction peuvent toujours avoir réussi.
Correction réussie Une investigation automatisée s’est terminée et toutes les actions de correction ont été effectuées ou approuvées.

Pour fournir plus de contexte sur la façon dont les états d’investigation s’affichent, le tableau suivant répertorie les alertes et leur état d’investigation automatisé correspondant. Ce tableau est inclus comme exemple de ce qu’une équipe des opérations de sécurité peut voir dans le portail Microsoft Defender.

Nom de l’alerte Severity État de l’enquête État Catégorie
Un programme malveillant a été détecté dans un fichier image de disque wim Informatif Bénigne Résolu Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Wpakill hacktool a été empêché Faible Échec Nouveau Programme malveillant
GendowsBatch hacktool a été empêché Faible Échec Nouveau Programme malveillant
Keygen hacktool a été empêché Faible Échec Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier image de disque iso Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier image de disque iso Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier de données Outlook pst Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier de données Outlook pst Informatif UnsupportedAlertType Nouveau Programme malveillant
MediaGet détecté Moyen Partiellement investiigated Nouveau Programme malveillant
TrojanEmailFile Moyen SuccessfullyRemediated Résolu Programme malveillant
Le programme malveillant CustomEnterpriseBlock a été empêché Informatif SuccessfullyRemediated Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible SuccessfullyRemediated Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible SuccessfullyRemediated Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible SuccessfullyRemediated Résolu Programme malveillant
TrojanEmailFile Moyen Bénigne Résolu Programme malveillant
Le programme malveillant CustomEnterpriseBlock a été empêché Informatif UnsupportedAlertType Nouveau Programme malveillant
Le programme malveillant CustomEnterpriseBlock a été empêché Informatif SuccessfullyRemediated Résolu Programme malveillant
TrojanEmailFile Moyen SuccessfullyRemediated Résolu Programme malveillant
TrojanEmailFile Moyen Bénigne Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible PendingResource Nouveau Programme malveillant

Prochaines étapes

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.