Afficher et gérer les incidents dans Microsoft Defender pour entreprises
Lorsque des menaces sont détectées et que des alertes sont déclenchées, des incidents sont créés. L’équipe de sécurité de votre entreprise peut afficher et gérer les incidents dans le portail Microsoft Defender. Vous devez disposer des autorisations appropriées pour effectuer les tâches décrites dans cet article. Consultez Rôles et autorisations de sécurité dans Microsoft Defender pour entreprises.
Cet article comprend les éléments suivants :
Surveiller vos incidents & alertes
Dans le portail Microsoft Defender (https://security.microsoft.com), dans le volet de navigation, accédez à Incidents & alertes, puis sélectionnez Incidents. Tous les incidents créés sont répertoriés sur la page.
Importante
Si vous voyez un incident marqué avec
Attack disruption
, cela signifie qu’une attaque avancée a été détectée. Consultez Interruption automatique des attaques.Sélectionnez une alerte pour ouvrir son volet volant, où vous pouvez en savoir plus sur l’alerte.
Dans le volet volant, vous pouvez voir le titre de l’alerte, afficher la liste des ressources (telles que les appareils ou les comptes d’utilisateur) qui ont été affectés, effectuer les actions disponibles et utiliser des liens pour afficher plus d’informations et même ouvrir la page de détails de l’alerte sélectionnée.
Conseil
Defender for Business est conçu pour vous aider à traiter les menaces détectées en recommandant les actions que vous pouvez prendre. Lorsque vous affichez une alerte, recherchez ces suggestions. Notez également la gravité de l’alerte, qui est déterminée non seulement en fonction de la gravité des menaces détectées, mais également du niveau de risque pour votre entreprise.
Gravité de l’alerte
Lorsqu’une menace est détectée, un niveau de gravité est affecté à chaque alerte générée.
- Microsoft Defender Antivirus attribue une gravité d’alerte en fonction de la gravité absolue d’une menace détectée (par exemple, un programme malveillant) et du risque potentiel pour un appareil individuel (s’il est infecté).
- Defender entreprise attribue une gravité d’alerte en fonction de la gravité du comportement détecté, du risque réel pour un appareil et, plus important encore, du risque potentiel pour votre entreprise.
Le tableau suivant répertorie quelques exemples d’alertes et leurs niveaux de gravité :
Scénario | Gravité et raison de l’alerte |
---|---|
L’interruption automatisée des attaques détecte une attaque avancée et contient des appareils ou des comptes d’utilisateur pour empêcher l’attaque de se poursuivre. | Élevé. Les fonctionnalités d’interruption d’attaque permettent de contenir une attaque afin que votre équipe informatique/sécurité puisse la traiter. |
Microsoft Defender Antivirus détecte et arrête une menace avant d’effectuer des dommages. | Information. La menace a été arrêtée avant tout dommage. |
Microsoft Defender Antivirus détecte les programmes malveillants qui s’exécutaient au sein de votre entreprise. Le programme malveillant est arrêté et corrigé. | Faible. Bien que certains dommages aient pu avoir été causés à un appareil individuel, le programme malveillant ne constitue désormais aucune menace pour votre entreprise. |
Les programmes malveillants en cours d’exécution sont détectés par Defender pour les entreprises. Le programme malveillant est bloqué presque immédiatement. | Moyen ou élevé. Les programmes malveillants constituent une menace pour les appareils individuels et pour votre entreprise. |
Un comportement suspect est détecté, mais aucune action de correction n’est encore effectuée. | Faible, Moyen ou Élevé. La gravité dépend de la mesure dans laquelle le comportement constitue une menace pour votre entreprise. |