Afficher et gérer les actions dans le Centre de notifications
S’applique à :
- Microsoft Defender XDR
Les fonctionnalités de protection contre les menaces dans Microsoft Defender XDR peuvent entraîner certaines actions de correction. Voici quelques exemples :
- Les investigations automatisées peuvent entraîner des actions de correction qui sont effectuées automatiquement ou qui attendent votre approbation.
- L’antivirus, le logiciel anti-programme malveillant et d’autres fonctionnalités de protection contre les menaces peuvent entraîner des actions de correction, telles que le blocage d’un fichier, d’une URL ou d’un processus, ou l’envoi d’un artefact en quarantaine.
- Votre équipe des opérations de sécurité peut effectuer des actions de correction manuellement, par exemple lors d’une chasse avancée ou lors de l’examen d’alertes ou d’incidents.
Remarque
Vous devez disposer des autorisations appropriées pour approuver ou rejeter les actions de correction. Pour plus d’informations, consultez les conditions préalables.
Pour accéder au Centre de notifications, effectuez l’une des étapes suivantes :
- Accédez à https://security.microsoft.com/action-center; ou
- Dans le portail Microsoft Defender (https://security.microsoft.com), dans la carte de réponse & d’investigation automatisée, sélectionnez Approuver dans le Centre de notifications.
Examiner les actions en attente dans le centre d'action
Il est important d’approuver (ou de refuser) les actions en attente dès que possible de sorte que vos enquêtes automatisées puissent se poursuivre et se terminer dans un délai raisonnable.
Accédez à Microsoft Defender portail et connectez-vous.
Dans le volet de navigation, sous Actions et soumissions, choisissez Centre de notifications.
Dans le Centre de notifications, sous l’onglet En attente , sélectionnez un élément dans la liste. Son volet volant s’ouvre. Voici un exemple.
Passez en revue les informations du volet volant, puis effectuez l’une des étapes suivantes :
- Sélectionnez Ouvrir la page d’enquête pour afficher plus de détails sur l’enquête.
- Sélectionnez Approuver pour lancer une action en attente.
- Sélectionnez Refuser pour empêcher la réalisation d’une action en attente.
- Sélectionnez Go hunt (Aller à la chasse ) pour accéder à La chasse avancée.
Conseil
Vous disposez maintenant d’autres options pour examiner et approuver/rejeter une action de correction. En plus d’utiliser le Centre de notifications, vous pouvez également approuver ou rejeter une action de correction lors de l’examen d’un incident. Pour plus d’informations, consultez Approuver ou rejeter des actions de correction.
Annuler les actions terminées
Si vous avez déterminé qu’un appareil ou un fichier n’est pas une menace, vous pouvez annuler les actions de correction qui ont été effectuées, que ces actions aient été effectuées automatiquement ou manuellement. Dans le Centre de notifications, sous l’onglet Historique , vous pouvez annuler l’une des actions suivantes :
| Source de l’action | Actions prises en charge |
|---|---|
| - Investigation automatisée - antivirus Microsoft Defender - Actions de réponse manuelles |
- Isoler l’appareil - Restreindre l’exécution du code - Mettre en quarantaine un fichier - Supprimer une clé de Registre - Arrêter un service - Désactiver un pilote - Supprimer une tâche planifiée |
Annuler une action de correction
Accédez au Centre de notifications (https://security.microsoft.com/action-center) et connectez-vous.
Sous l’onglet Historique , sélectionnez une action que vous souhaitez annuler.
Dans le volet à droite de l’écran, sélectionnez Annuler.
Annuler plusieurs actions de correction
Accédez au Centre de notifications (https://security.microsoft.com/action-center) et connectez-vous.
Sous l’onglet Historique , sélectionnez les actions que vous souhaitez annuler. Veillez à sélectionner les éléments qui ont le même type d’action. Un volet de menu volant s’ouvre.
Dans le volet volant, sélectionnez Annuler.
Pour supprimer un fichier de la quarantaine sur plusieurs appareils
Accédez au Centre de notifications (https://security.microsoft.com/action-center) et connectez-vous.
Sous l’onglet Historique , sélectionnez un fichier dont le type d’action est Fichier de mise en quarantaine .
Dans le volet de droite de l’écran, sélectionnez Appliquer à X instances supplémentaires de ce fichier, puis Annuler.
Prochaines étapes
- Consulter les détails et les résultats d'un examen automatisé
- Traiter les faux positifs ou les faux négatifs
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.