Partager via


Détails et résultats d’une investigation automatisée dans Microsoft 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Lorsqu’une investigation automatisée se produit dans Microsoft Defender pour Office 365, les détails de cette investigation sont disponibles pendant et après le processus d’investigation automatisé. Si vous disposez des autorisations nécessaires, vous pouvez afficher ces détails dans le portail Microsoft Defender. Les détails de l’enquête vous fournissent des status à jour et la possibilité d’approuver toutes les actions en attente.

Conseil

Consultez la nouvelle page d’investigation unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez (NOUVEAU !) Page d’investigation unifiée.

Status d’enquête

L’examen status indique la progression de l’analyse et des actions. À mesure que l’enquête s’exécute, status des modifications pour indiquer si des menaces ont été détectées et si des actions ont été approuvées.

État Description
Démarrage L’enquête a été déclenchée et attend de commencer à s’exécuter.
En cours d’exécution Le processus d’enquête a commencé et est en cours. Cet état se produit également lorsque les actions en attente sont approuvées.
Aucune menace détectée L’enquête est terminée et aucune menace (compte d’utilisateur, e-mail, URL ou fichier) n’a été identifiée.

CONSEIL : Si vous pensez qu’un élément a été manqué (par exemple, un faux négatif), vous pouvez prendre des mesures à l’aide de Threat Explorer.

Partiellement examiné L’examen automatisé a détecté des problèmes, mais il n’existe aucune action de correction spécifique pour résoudre ces problèmes.

Le status partiellement examiné peut se produire quand un type d’activité utilisateur a été identifié, mais qu’aucune action de nettoyage n’est disponible. Par exemple, l’une des activités utilisateur suivantes :


Remarque : Cette status partiellement examinée était étiquetée menaces détectées.

L’enquête n’a trouvé aucune URL, fichier ou e-mail malveillant à corriger, et aucune activité de boîte aux lettres à corriger, telle que la désactivation des règles de transfert ou de la délégation.

CONSEIL : Si vous pensez que quelque chose a été manqué (par exemple, un faux négatif), vous pouvez examiner et prendre des mesures à l’aide de Threat Explorer

Terminé par le système L’enquête s’est arrêtée. Une enquête peut s’arrêter pour plusieurs raisons :
  • Les actions en attente de l’enquête ont expiré. Les actions en attente expirent après l’attente d’approbation pendant une semaine
  • Il y a trop d’actions. Par exemple, s’il y a trop d’utilisateurs qui cliquent sur des URL malveillantes, cela peut dépasser la capacité de l’investigation à exécuter tous les analyseurs, de sorte que l’investigation s’arrête

CONSEIL : Si une enquête s’arrête avant que des actions ne soient prises, essayez d’utiliser threat Explorer pour rechercher et traiter les menaces.
Action en attente L’enquête a détecté une menace, telle qu’un e-mail malveillant, une URL malveillante ou un paramètre de boîte aux lettres à risque, et une action pour corriger cette menace est en attente d’approbation.

L’état Action en attente est déclenché lorsqu’une menace avec une action correspondante est détectée. Toutefois, la liste des actions en attente peut s’allonger à mesure qu’une investigation s’exécute. Affichez les détails de l’examen pour voir si d’autres éléments sont toujours en attente d’achèvement.

Corrigé L’enquête s’est terminée et toutes les mesures correctives ont été approuvées (notées comme étant entièrement corrigées).

REMARQUE : les actions de correction approuvées peuvent comporter des erreurs qui empêchent les actions d’être effectuées. Que les actions de correction soient correctement effectuées, l’status d’investigation ne change pas. Afficher les détails de l’examen.

Partiellement corrigé L’enquête a donné lieu à des mesures correctives, dont certaines ont été approuvées et terminées. D’autres actions sont toujours en attente.
Échec Au moins un analyseur d’investigation a rencontré un problème où il ne pouvait pas se terminer correctement.

NOTE Si une investigation échoue après l’approbation des actions de correction, les actions de correction peuvent toujours avoir réussi. Affichez les détails de l’examen.

Mis en file d’attente par limitation Une enquête est en cours dans une file d’attente. Lorsque d’autres investigations sont terminées, les investigations en file d’attente commencent. La limitation permet d’éviter des performances de service médiocres.

CONSEIL : Les actions en attente peuvent limiter le nombre de nouvelles investigations pouvant s’exécuter. Veillez à approuver (ou rejeter) les actions en attente.

Terminé par une limitation Si une enquête est trop longue dans la file d’attente, elle s’arrête.

CONSEIL : Vous pouvez démarrer une enquête à partir de Threat Explorer.

Afficher les détails d’une investigation

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.
  2. Dans le volet de navigation, sélectionnez Actions & soumissionsCentre de notifications>.
  3. Sous les onglets En attente ou Historique , sélectionnez une action. Son volet volant s’ouvre.
  4. Dans le volet volant, sélectionnez Ouvrir la page d’examen.
  5. Utilisez les différents onglets pour en savoir plus sur l’examen.

Certains types d’alertes déclenchent une investigation automatisée dans Microsoft 365. Pour plus d’informations, consultez Stratégies d’alerte qui déclenchent des investigations automatisées.

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.
  2. Dans le volet de navigation, sélectionnez Centre de notifications.
  3. Sous les onglets En attente ou Historique , sélectionnez une action. Son volet volant s’ouvre.
  4. Dans le volet volant, sélectionnez Ouvrir la page d’examen.
  5. Sélectionnez l’onglet Alertes pour afficher la liste de toutes les alertes associées à cette investigation.
  6. Sélectionnez un élément dans la liste pour ouvrir son volet volant. Vous pouvez y afficher plus d’informations sur l’alerte.

Gardez les points suivants à l’esprit

  • Email nombres sont calculés au moment de l’examen, et certains sont recalculés lorsque vous ouvrez des menus volants d’investigation (en fonction d’une requête sous-jacente).

  • Les nombres d’e-mails indiqués pour les clusters de messagerie sous l’onglet Email et la valeur de quantité d’e-mails affichée sur le menu volant du cluster sont calculés au moment de l’examen et ne changent pas.

  • Le nombre d’e-mails affiché en bas de l’onglet Email du menu volant du cluster de messagerie et le nombre de messages électroniques affichés dans Explorer reflètent les messages électroniques reçus après l’analyse initiale de l’enquête.

    Par conséquent, un cluster de courriers électroniques qui affiche une quantité initiale de 10 e-mails affiche une liste de courriers électroniques de 15 lorsque cinq autres messages arrivent entre la phase d’analyse de l’investigation et le moment où l’administrateur examine l’examen. De même, les anciennes enquêtes peuvent commencer à afficher des nombres plus élevés que Explorer requêtes, car les données dans Microsoft Defender pour Office 365 Plan 2 expirent après sept jours pour les essais et après 30 jours pour les licences payantes.

    L’affichage des nombres historiques et actuels dans différents affichages est effectué pour indiquer l’impact des e-mails au moment de l’examen et l’impact actuel jusqu’à l’exécution de la correction.

  • Dans le contexte de l’e-mail, vous pouvez voir une menace d’anomalie de volume dans le cadre de l’enquête. Une anomalie de volume indique un pic dans les messages électroniques similaires autour de l’heure de l’événement d’investigation par rapport aux périodes antérieures. Un pic du trafic de courrier avec certaines caractéristiques (par exemple, domaine de l’objet et de l’expéditeur, similarité du corps et adresse IP de l’expéditeur) est typique du début des campagnes ou des attaques par e-mail. Toutefois, les campagnes de courrier indésirable et légitimes partagent généralement ces caractéristiques.

  • Les anomalies de volume représentent une menace potentielle et peuvent donc être moins graves que les menaces malveillantes ou malveillantes identifiées à l’aide de moteurs antivirus, de détonation ou de réputation malveillante.

  • Vous n’avez pas besoin d’approuver chaque action. Si vous n’êtes pas d’accord avec l’action recommandée ou si votre organization ne choisit pas certains types d’actions, vous pouvez choisir de rejeter les actions ou simplement de les ignorer et de n’entreprendre aucune action.

  • L’approbation et/ou le rejet de toutes les actions permettent de fermer complètement l’enquête (status est corrigée), tout en laissant certaines actions incomplètes, l’examen status passer à un état partiellement corrigé.

Étapes suivantes