Gérer les incidents de sécurité dans Microsoft Defender pour le cloud

  • Article

Procéder au triage et à l’examen des alertes de sécurité peut prendre beaucoup de temps, même pour le plus compétent des analystes de sécurité. Pour de nombreuses personnes, il est difficile de savoir où commencer.

Defender pour le cloud utilise l’analytique pour connecter les informations entre des alertes de sécurité distinctes. À l’aide de ces connexions, Defender pour le cloud peut fournir une vue unique d’une campagne d’attaque et de ses alertes associées pour vous aider à comprendre les actions de l’attaquant et les ressources affectées.

Cette page offre une vue d’ensemble des incidents dans Defender pour le cloud.

Qu’est-ce qu’un incident de sécurité ?

Dans Defender pour le cloud, un incident de sécurité est un regroupement de toutes les alertes d’une ressource correspondant à des modèles de kill chain. Les incidents apparaissent dans la page Alertes de sécurité. Sélectionnez un incident pour afficher les alertes associées et obtenir plus d’informations.

Gestion des incidents de sécurité

  1. Dans la page des alertes de sécurité de Defender pour le cloud, utilisez le bouton Ajouter un filtre pour filtrer, par nom d’alerte, le nom de l’alerte Incident de sécurité détecté sur plusieurs ressources.

    Recherche des incidents dans la page d’alertes de sécurité dans Microsoft Defender pour le cloud.

    La liste est désormais filtrée pour afficher uniquement les incidents. Notez que l’icône des incidents de sécurité est différente de celle des alertes de sécurité.

    Liste des incidents dans la page d’alertes de sécurité dans Microsoft Defender pour le cloud.

  2. Pour consulter les détails d’un incident, sélectionnez-le dans la liste. Un volet latéral s’affiche avec plus de détails sur l’incident.

    Volet latéral présentant les détails de l’incident.

  3. Pour voir plus de détails, sélectionnez Afficher les détails complets.

    Répondre aux incidents de sécurité dans Microsoft Defender pour le cloud.

    Le volet gauche de la page de l’incident de sécurité affiche des informations générales sur l’incident de sécurité : titre, gravité, état, durée d’activité, description et ressource affectée. En regard de la ressource affectée, vous pouvez voir les balises Azure correspondantes. Utilisez-les pour déduire le contexte organisationnel de la ressource lors de l’examen de l’alerte.

    Le volet droit comprend l’onglet Alertes avec les alertes de sécurité corrélées dans le cadre de cet incident.

    Conseil

    Pour plus d’informations sur une alerte spécifique, sélectionnez-la.

    Onglet Entreprendre une action pour l’incident.

    Pour basculer vers l’onglet Entreprendre une action, sélectionnez l’onglet ou le bouton en bas du volet droit. Utilisez cet onglet pour entreprendre d’autres actions telles que :

    • Atténuer la menace : fournit des étapes de correction manuelle pour cet incident de sécurité
    • Empêcher les attaques futures : fournit des recommandations de sécurité pour aider à réduire la surface d’attaque, améliorer la posture de sécurité et empêcher les attaques futures
    • Déclencher une réponse automatisée : permet de déclencher une application logique en guide de réponse à cet incident de sécurité
    • Supprimer les alertes similaires : permet de supprimer les alertes futures ayant des caractéristiques similaires si l’alerte n’est pas pertinente pour votre organisation

    Notes

    Une même alerte peut s’afficher dans le cadre d’un incident, mais également apparaître sous la forme d’une alerte autonome.

  4. Pour atténuer les menaces dans l’incident, suivez les étapes de correction fournies avec chaque alerte.

Étapes suivantes

Cette page a expliqué les fonctionnalités d’incident de sécurité de Defender pour le cloud. Pour accéder à des informations connexes, consultez les rubriques suivantes :