Partage via


Réponse aux incidents dans le portail Microsoft Defender

Un incident dans le portail Microsoft Defender est une collection d’alertes associées et de données associées qui constituent l’histoire d’une attaque. Il s’agit également d’un fichier de cas que votre SOC peut utiliser pour examiner cette attaque et gérer, implémenter et documenter la réponse à celle-ci.

Les services Microsoft Sentinel et Microsoft Defender créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des preuves précieuses d’une attaque terminée ou en cours. Toutefois, les attaques de plus en plus répandues et sophistiquées utilisent généralement une variété de techniques et de vecteurs contre différents types d’entités de ressources, tels que les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes, provenant de plusieurs sources, pour plusieurs entités de ressources dans votre patrimoine numérique.

Étant donné que les alertes individuelles ne racontent qu’une partie de l’histoire et que le regroupement manuel d’alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieux, la plateforme d’opérations de sécurité unifiée identifie automatiquement les alertes associées (à partir de Microsoft Sentinel et de Microsoft Defender XDR) et les agrège et les informations associées dans un incident.

Comment Microsoft Defender XDR met en corrélation les événements des entités dans un incident.

Le regroupement d’alertes associées dans un incident vous donne une vue complète d’une attaque. Par exemple, vous pouvez voir :

  • Où l’attaque a démarré.
  • Quelles tactiques ont été utilisées.
  • Jusqu’où l’attaque a atteint votre patrimoine numérique.
  • L’étendue de l’attaque, par exemple le nombre d’appareils, d’utilisateurs et de boîtes aux lettres qui ont été affectés.
  • Toutes les données associées à l’attaque.

La plateforme unifiée d’opérations de sécurité dans le portail Microsoft Defender inclut des méthodes permettant d’automatiser et d’aider au triage, à l’investigation et à la résolution des incidents.

  • Microsoft Copilot dans Defender exploite l’IA pour prendre en charge les analystes avec des flux de travail quotidiens complexes et chronophages, y compris l’investigation et la réponse aux incidents de bout en bout avec des récits d’attaque clairement décrits, des conseils de correction actionnables pas à pas et des rapports résumés sur l’activité des incidents, la chasse au langage naturel KQL et l’analyse du code expert, ce qui optimise l’efficacité du SOC sur les données XDR de Microsoft Sentinel et Defender.

    Cette fonctionnalité s’ajoute aux autres fonctionnalités basées sur l’IA que Microsoft Sentinel apporte à la plateforme unifiée, dans les domaines de l’analyse du comportement des utilisateurs et des entités, de la détection des anomalies, de la détection des menaces multiphases, etc.

  • L’interruption automatisée des attaques utilise des signaux à haute confiance collectés à partir de Microsoft Defender XDR et de Microsoft Sentinel pour interrompre automatiquement les attaques actives à la vitesse de la machine, contenir la menace et limiter l’impact.

  • Si cette option est activée, Microsoft Defender XDR peut examiner et résoudre automatiquement les alertes provenant de sources d’ID Microsoft 365 et Entra via l’automatisation et l’intelligence artificielle. Vous pouvez également effectuer des étapes de correction supplémentaires pour résoudre l’attaque.

  • Les règles d’automatisation Microsoft Sentinel peuvent automatiser le triage, l’affectation et la gestion des incidents, quelle que soit leur source. Ils peuvent appliquer des balises aux incidents en fonction de leur contenu, supprimer les incidents bruyants (faux positifs) et fermer les incidents résolus qui répondent aux critères appropriés, en spécifiant une raison et en ajoutant des commentaires.

Importante

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Incidents et alertes dans le portail Microsoft Defender

Vous gérez les incidents à partir de Investigation & response > Incidents & alertes > Incidents lors du lancement rapide du portail Microsoft Defender. Voici un exemple :

Page Incidents dans le portail Microsoft Defender.

La sélection d’un nom d’incident affiche la page de l’incident, en commençant par le récit complet de l’attaque de l’incident, notamment :

  • Page d’alerte dans l’incident : étendue des alertes liées à l’incident et leurs informations sous le même onglet.

  • Graphe : représentation visuelle de l’attaque qui connecte les différentes entités suspectes qui font partie de l’attaque aux entités de ressources qui composent les cibles de l’attaque, telles que les utilisateurs, les appareils, les applications et les boîtes aux lettres.

Vous pouvez afficher les détails de la ressource et d’autres entités directement à partir du graphique et agir sur ces éléments avec des options de réponse telles que la désactivation d’un compte, la suppression d’un fichier ou l’isolation d’un appareil.

Capture d’écran montrant la page de récit d’attaque pour un incident dans le portail Microsoft Defender.

La page d’incident se compose des onglets suivants :

  • Histoire de l’attaque

    Mentionné ci-dessus, cet onglet inclut la chronologie de l’attaque, y compris toutes les alertes, les entités de ressources et les actions de correction effectuées.

  • Alertes

    Toutes les alertes liées à l’incident, à leurs sources et à leurs informations.

  • Éléments

    Toutes les ressources (entités protégées telles que les appareils, les utilisateurs, les boîtes aux lettres, les applications et les ressources cloud) qui ont été identifiées comme faisant partie de l’incident ou liées à celui-ci.

  • Enquêtes

    Toutes les enquêtes automatisées déclenchées par les alertes dans l’incident, y compris l’état des investigations et leurs résultats.

  • Preuve et réponse

    Toutes les entités suspectes dans les alertes de l’incident, qui constituent des preuves à l’appui de l’histoire de l’attaque. Ces entités peuvent inclure des adresses IP, des fichiers, des processus, des URL, des clés de Registre et des valeurs, etc.

  • Résumé

    Vue d’ensemble rapide des ressources affectées associées aux alertes.

Remarque

Si vous voyez un état d’alerte de type d’alerte non pris en charge , cela signifie que les fonctionnalités d’investigation automatisée ne peuvent pas récupérer cette alerte pour exécuter une investigation automatisée. Toutefois, vous pouvez examiner ces alertes manuellement.

Exemple de workflow de réponse aux incidents dans le portail Microsoft Defender

Voici un exemple de flux de travail pour répondre aux incidents dans Microsoft 365 avec le portail Microsoft Defender.

Exemple de workflow de réponse aux incidents pour le portail Microsoft Defender.

En continu, identifiez les incidents les plus prioritaires pour l’analyse et la résolution dans la file d’attente des incidents et préparez-les pour la réponse. Il s’agit d’une combinaison de :

  • Triage pour déterminer les incidents de priorité la plus élevée par le filtrage et le tri de la file d’attente des incidents.
  • Gestion des incidents en modifiant leur titre, en les affectant à un analyste et en ajoutant des balises et des commentaires.

Vous pouvez utiliser des règles d’automatisation Microsoft Sentinel pour trier et gérer automatiquement (et même répondre à) certains incidents au fur et à mesure qu’ils sont créés, ce qui supprime les incidents les plus faciles à gérer de l’espace dans votre file d’attente.

Envisagez les étapes suivantes pour votre propre workflow de réponse aux incidents :

Phase Étapes
Pour chaque incident, commencez une attaque et alertez l’investigation et l’analyse.
  1. Consultez l’histoire de l’attaque de l’incident pour comprendre son étendue, sa gravité, sa source de détection et les entités de ressources affectées.
  2. Commencez à analyser les alertes pour comprendre leur origine, leur étendue et leur gravité avec l’histoire de l’alerte dans l’incident.
  3. Si nécessaire, collectez des informations sur les appareils, les utilisateurs et les boîtes aux lettres concernés à l’aide du graphique. Sélectionnez une entité pour ouvrir un menu volant avec tous les détails. Suivez la page d’entité pour obtenir plus d’informations.
  4. Découvrez comment Microsoft Defender XDR a résolu automatiquement certaines alertes avec l’onglet Investigations .
  5. Si nécessaire, utilisez les informations du jeu de données pour l’incident pour plus d’informations avec l’onglet Preuve et réponse .
Après ou pendant votre analyse, effectuez l’endiguement pour réduire tout impact supplémentaire de l’attaque et l’élimination de la menace de sécurité. Par exemple,
  • Désactiver les utilisateurs compromis
  • Isoler les appareils impactés
  • Bloquer les adresses IP hostiles.
  • Autant que possible, récupérez l’attaque en restaurant vos ressources de locataire à l’état dans lequel elles se trouvaient avant l’incident.
    Résolvez l’incident et documentez vos résultats. Prenez le temps de l’apprentissage post-incident pour :
  • Comprendre le type de l’attaque et son impact.
  • Recherchez une tendance d’attaque dans Threat Analytics et la communauté de sécurité.
  • Rappelez-vous le flux de travail que vous avez utilisé pour résoudre l’incident et mettre à jour vos workflows, processus, stratégies et playbooks standard en fonction des besoins.
  • Déterminez si des modifications de votre configuration de sécurité sont nécessaires et implémentez-les.
  • Si vous débutez dans l’analyse de la sécurité, consultez l’introduction à la réponse à votre premier incident pour obtenir des informations supplémentaires et parcourir un exemple d’incident.

    Pour plus d’informations sur la réponse aux incidents dans les produits Microsoft, consultez cet article.

    Intégration des opérations de sécurité dans le portail Microsoft Defender

    Voici un exemple d’intégration des processus d’opérations de sécurité (SecOps) dans le portail Microsoft Defender.

    Exemple d’opérations de sécurité pour Microsoft Defender XDR

    Les tâches quotidiennes peuvent inclure :

    Les tâches mensuelles peuvent inclure :

    Les tâches trimestrielles peuvent inclure un rapport et une séance d’information sur les résultats de la sécurité à l’intention du responsable de la sécurité de l’information (CISO).

    Les tâches annuelles peuvent inclure la conduite d’un incident majeur ou d’un exercice de violation pour tester votre personnel, vos systèmes et vos processus.

    Les tâches quotidiennes, mensuelles, trimestrielles et annuelles peuvent être utilisées pour mettre à jour ou affiner les processus, les stratégies et les configurations de sécurité.

    Pour plus d’informations, consultez Intégration de Microsoft Defender XDR dans vos opérations de sécurité .

    Ressources SecOps dans les produits Microsoft

    Pour plus d’informations sur SecOps sur les produits Microsoft, consultez les ressources suivantes :

    Notifications d’incident par e-mail

    Vous pouvez configurer le portail Microsoft Defender pour informer votre personnel par e-mail de nouveaux incidents ou de mises à jour d’incidents existants. Vous pouvez choisir d’obtenir des notifications en fonction des points suivants :

    • Gravité de l’alerte
    • Sources d’alerte
    • Groupe d’appareils

    Pour configurer des notifications par e-mail pour les incidents, consultez Obtenir des notifications par e-mail sur les incidents.

    Formation pour les analystes de sécurité

    Utilisez ce module d’apprentissage de Microsoft Learn pour comprendre comment utiliser Microsoft Defender XDR pour gérer les incidents et les alertes.

    Formation : Examiner les incidents avec Microsoft Defender XDR
    Examiner les incidents avec l’icône de formation Microsoft Defender XDR. Microsoft Defender XDR unifie les données sur les menaces de plusieurs services et utilise l’IA pour les combiner en incidents et alertes. Découvrez comment réduire le temps entre un incident et sa gestion pour sa prochaine réponse et résolution.

    27 min - 6 unités

    Étapes suivantes

    Utilisez les étapes répertoriées en fonction de votre niveau d’expérience ou de votre rôle au sein de votre équipe de sécurité.

    Niveau d’expérience

    Suivez ce tableau pour connaître votre niveau d’expérience avec l’analyse de la sécurité et la réponse aux incidents.

    Niveau Étapes
    New
    1. Consultez la procédure pas à pas Répondre à votre premier incident pour obtenir une visite guidée d’un processus classique d’analyse, de correction et de révision post-incident dans le portail Microsoft Defender avec un exemple d’attaque.
    2. Déterminez quels incidents doivent être classés par ordre de priorité en fonction de la gravité et d’autres facteurs.
    3. Gérez les incidents, ce qui inclut le changement de nom, l’affectation, la classification et l’ajout d’étiquettes et de commentaires en fonction de votre workflow de gestion des incidents.
    Expérimenté
    1. Commencez à utiliser la file d’attente des incidents à partir de la page Incidents du portail Microsoft Defender. Vous pouvez alors effectuer les opérations suivantes :
      • Déterminez quels incidents doivent être classés par ordre de priorité en fonction de la gravité et d’autres facteurs.
      • Gérez les incidents, ce qui inclut le changement de nom, l’affectation, la classification et l’ajout d’étiquettes et de commentaires en fonction de votre workflow de gestion des incidents.
      • Effectuer des enquêtes sur les incidents.
    2. Suivez et répondez aux menaces émergentes avec l’analytique des menaces.
    3. Chassez de manière proactive les menaces avec la chasse avancée aux menaces.
    4. Consultez ces playbooks de réponse aux incidents pour obtenir des conseils détaillés sur le hameçonnage, la pulvérisation de mot de passe et les attaques d’octroi de consentement d’application.

    Rôle d’équipe de sécurité

    Suivez ce tableau en fonction de votre rôle d’équipe de sécurité.

    Role Étapes
    Répondeur aux incidents (niveau 1) Commencez à utiliser la file d’attente des incidents à partir de la page Incidents du portail Microsoft Defender. Vous pouvez alors effectuer les opérations suivantes :
    • Déterminez quels incidents doivent être classés par ordre de priorité en fonction de la gravité et d’autres facteurs.
    • Gérez les incidents, ce qui inclut le changement de nom, l’affectation, la classification et l’ajout d’étiquettes et de commentaires en fonction de votre workflow de gestion des incidents.
    Enquêteur ou analyste de sécurité (niveau 2)
    1. Effectuez des enquêtes sur les incidents à partir de la page Incidents du portail Microsoft Defender.
    2. Consultez ces playbooks de réponse aux incidents pour obtenir des conseils détaillés sur le hameçonnage, la pulvérisation de mot de passe et les attaques d’octroi de consentement d’application.
    Analyste de sécurité avancé ou chasseur de menaces (niveau 3)
    1. Effectuez des enquêtes sur les incidents à partir de la page Incidents du portail Microsoft Defender.
    2. Suivez et répondez aux menaces émergentes avec l’analytique des menaces.
    3. Chassez de manière proactive les menaces avec la chasse avancée aux menaces.
    4. Consultez ces playbooks de réponse aux incidents pour obtenir des conseils détaillés sur le hameçonnage, la pulvérisation de mot de passe et les attaques d’octroi de consentement d’application.
    Responsable SOC Découvrez comment intégrer Microsoft Defender XDR à votre Centre d’opérations de sécurité (SOC).

    Conseil

    Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.