Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Une attaque humaine est une attaque active avec les objectifs suivants :
- Infiltrez le organization.
- Élever leurs privilèges.
- Naviguez dans le réseau.
- Déployer un ransomware ou voler des informations.
Ces types d’attaques peuvent être catastrophiques pour les opérations de l’entreprise, ont tendance à être difficiles à traiter et parfois continuent de menacer les opérations commerciales après la première rencontre. Pour plus d’informations, consultez Attaques par ransomware gérées par l’homme.
L’interruption automatique des attaques est conçue pour :
- Contenir des attaques avancées en cours.
- Limitez l’effet et la progression des attaques sur vos appareils.
- Donnez plus de temps à votre équipe de sécurité pour corriger complètement une attaque.
Cet article décrit le fonctionnement de l’interruption automatique des attaques dans Microsoft Defender pour entreprises, comment afficher les détails d’une attaque et comment obtenir ces fonctionnalités.
Fonctionnement de l’interruption des attaques automatiques
L’interruption automatique des attaques utilise les insights des chercheurs en sécurité microsoft et des modèles IA avancés pour contrer les complexités des attaques avancées. Il limite la progression de l’attaquant dès le début et réduit considérablement l’effet global d’une attaque, des coûts associés à la perte de productivité. Consultez quelques exemples sur le blog microsoft sur la sécurité.
Avec l’interruption automatique des attaques, dès qu’une attaque humaine est détectée sur un appareil, des mesures sont prises immédiatement pour contenir l’appareil concerné et les comptes d’utilisateur sur l’appareil. Un incident est créé dans le portail Microsoft Defender (https://security.microsoft.com). À cet endroit, votre équipe informatique/sécurité peut afficher des détails sur le risque et l’status d’endiguement des ressources compromises pendant et après le processus. Une page Incident fournit des détails sur l’attaque et la status à jour des ressources affectées.
Les actions de réponse automatisées sont les suivantes :
- Contenant un appareil en bloquant la communication entrante/sortante
- Contenant un compte d’utilisateur en déconnectant les connexions utilisateur actuelles au niveau de l’appareil
Importante
- Pour afficher des informations sur une attaque avancée détectée, vous devez disposer d’un rôle approprié, tel que Lecteur de sécurité ou Administrateur de la sécurité affecté.
- Pour prendre des mesures correctives, libérer un appareil/utilisateur autonome ou réactiver un compte d’utilisateur, vous devez disposer du rôle Administrateur de la sécurité.
- Pour plus d’informations, consultez Rôles et autorisations de sécurité dans Defender for Business.
Afficher les détails d’une attaque dans le portail Microsoft Defender
Dans le portail Microsoft Defender, accédez à Incidents.
Sélectionnez un incident marqué avec interruption d’attaque.
Passez en revue le graphique des incidents, qui vous permet d’obtenir l’intégralité de l’histoire de l’attaque et d’évaluer l’effet d’interruption de l’attaque et status.
Lorsque vous êtes prêt à publier un compte d’utilisateur ou d’appareil autonome, ou à réactiver un compte d’utilisateur, effectuez l’une des étapes suivantes :
- Pour libérer un appareil autonome, sélectionnez-le, puis choisissez Libérer à partir de l’autonomie.
- Pour libérer un utilisateur autonome, sélectionnez le compte d’utilisateur, puis, dans le volet latéral, sélectionnez Annuler.
Les incidents perturbés incluent une étiquette pour Attack Disruption et le type de menace spécifique identifié (par exemple, ransomware). Si votre équipe informatique/sécurité reçoit des Notifications par e-mail d’incident, ces balises apparaissent également dans les e-mails.
Lorsqu’un incident est interrompu, le texte mis en surbrillance apparaît sous le titre de l’incident. Les appareils autonomes ou les comptes d’utilisateur sont répertoriés avec une étiquette qui indique leur status.
Suivre les actions d’interruption des attaques dans le Centre de notifications
Le Centre de notifications regroupe toutes les actions de correction et de réponse, que ces actions aient été effectuées automatiquement ou manuellement. Vous pouvez afficher toutes les actions d’interruption d’attaque automatique dans le Centre de notifications. De plus, une fois que votre équipe informatique/sécurité a atténué le risque et terminé l’examen d’un incident, elle peut libérer des ressources autonomes.
Dans le portail Microsoft Defender, accédez à Actions & soumissions Centrede notifications>.
Sélectionnez l’onglet Historique .
Sélectionnez une action, telle que Contenir un utilisateur ou Contenir l’appareil, puis choisissez Annuler.
Pour plus d’informations, consultez Passer en revue les actions de correction dans le Centre de notifications.
Comment obtenir une interruption d’attaque automatique
L’interruption automatique des attaques est intégrée à Defender for Business ; vous n’avez pas besoin d’activer explicitement ces fonctionnalités. Il est important d’intégrer tous les appareils de votre organization (ordinateurs, téléphones et tablettes) à Defender for Business afin qu’ils soient protégés dès que possible.
En outre, inscrivez-vous pour recevoir les fonctionnalités en préversion afin d’obtenir les fonctionnalités les plus récentes et optimales dès qu’elles sont disponibles.