Partager via

Examiner et répondre avec Microsoft Defender XDR

  • Article

Voici les principales tâches d’investigation et de réponse pour Microsoft Defender XDR :

Réponse aux incidents

Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client. Étant donné que le regroupement des alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieux, Microsoft Defender XDR agrège automatiquement les alertes et les informations associées dans un incident.

En continu, vous devez identifier les incidents les plus prioritaires à des fins d’analyse et de résolution dans la file d’attente d’incidents et les préparer à la réponse. Il s’agit d’une combinaison de :

  • Hiérarchisation pour déterminer les incidents de priorité la plus élevée par le filtrage et le tri de la file d’attente des incidents. C’est également ce que l’on appelle le triage.
  • Gestion des incidents en modifiant leur titre, en les affectant à un analyste, en ajoutant des balises et des commentaires, et en les classant lorsqu’ils sont résolus.

Pour chaque incident, utilisez votre workflow de réponse aux incidents pour analyser l’incident et ses alertes et données afin de contenir l’attaque, d’éradiquer la menace, de récupérer après l’attaque et d’en tirer des leçons. Consultez cet exemple pour Microsoft Defender XDR.

Investigation et résolution automatiques

Si votre organization utilise Microsoft Defender XDR, votre équipe des opérations de sécurité reçoit une alerte dans le portail Microsoft Defender chaque fois qu’une activité ou un artefact malveillant ou suspect est détecté. Compte tenu du flux incessant de menaces qui peuvent arriver, les équipes de sécurité sont souvent confrontées au défi de traiter le volume élevé d’alertes. Heureusement, Microsoft Defender XDR inclut des fonctionnalités d’investigation et de réponse automatisées (AIR) qui peuvent aider votre équipe des opérations de sécurité à traiter les menaces de manière plus efficace et plus efficace.

Au terme d’une enquête automatisée, un verdict est rendu pour chaque élément de preuve d’un incident. Selon le verdict, des actions de correction sont identifiées. Dans certains cas, les actions de correction sont effectuées automatiquement ; dans d’autres cas, les actions de correction attendent l’approbation via le centre de notifications Microsoft Defender XDR.

Pour plus d’informations, consultez Investigation et réponse automatisées dans Microsoft Defender XDR.

Recherche proactive des menaces avec repérage avancé

Il ne suffit pas de répondre aux attaques au fur et à mesure qu’elles se produisent. Pour les attaques à plusieurs phases étendues telles que les ransomwares, vous devez rechercher de manière proactive les preuves d’une attaque en cours et prendre des mesures pour l’arrêter avant qu’elle ne se termine.

La chasse avancée est un outil de chasse aux menaces basé sur des requêtes dans Microsoft Defender XDR qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. Cet accès flexible aux données Microsoft Defender XDR permet une chasse sans contrainte aux menaces connues et potentielles.

Vous pouvez utiliser les mêmes requêtes de chasse aux menaces pour créer des règles de détection personnalisées. Ces règles s’exécutent automatiquement pour case activée et répondre à une activité de violation suspectée, à des machines mal configurées et à d’autres résultats.

Pour plus d’informations, consultez La chasse proactive aux menaces avec la chasse avancée dans Microsoft Defender XDR.

Anticiper les menaces émergentes avec l’analyse des menaces

L’analytique des menaces est une fonctionnalité de renseignement sur les menaces dans Microsoft Defender XDR conçue pour aider votre équipe de sécurité à être aussi efficace que possible face aux menaces émergentes. Il comprend une analyse détaillée et des informations sur :

  • Acteurs actifs des menaces et leurs campagnes
  • Techniques d’attaque populaires et nouvelles
  • Vulnérabilités critiques
  • Surface d'attaque courantes
  • Programmes malveillants répandus

L’analyse des menaces inclut également des informations sur les incidents associés et les ressources impactées au sein de votre locataire Microsoft 365 pour chaque menace identifiée.

Chaque menace identifiée comprend un rapport d’analyste, une analyse complète de la menace écrite par les chercheurs en sécurité Microsoft qui sont à la pointe de la détection et de l’analyse de la cybersécurité. Ces rapports peuvent également fournir des informations sur la façon dont les attaques apparaissent dans Microsoft Defender XDR.

Pour plus d’informations, consultez Analyse des menaces dans Microsoft Defender XDR.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.