Partager via


Consulter les détails et les résultats d'un examen automatisé

S’applique à :

Avec Microsoft Defender pour point de terminaison, lorsqu’une investigation automatisée s’exécute, les détails de cette investigation sont disponibles pendant et après le processus d’investigation automatisé. Si vous disposez des autorisations nécessaires, vous pouvez afficher ces détails dans une vue Détails de l'examen. La vue Détails de l’examen vous fournit l’État à jour et la possibilité d’approuver les actions en attente.

(NOUVEAU !) Page d’investigation unifiée

La page d’examen a récemment été mise à jour pour inclure des informations sur vos appareils, vos e-mails et le contenu de collaboration. La nouvelle page d’investigation unifiée définit un langage commun et fournit une expérience unifiée pour les investigations automatiques entre Microsoft Defender pour point de terminaison et Microsoft Defender pour Office 365.

Conseil

Pour en savoir plus sur ce qui change, consultez (NOUVEAU !) Page d’investigation unifiée.

Ouvrir la vue Détails de l’examen

Vous pouvez ouvrir une vue Détails de l’examen avant impression comme suit :

Sélectionnez un élément dans le centre de notifications

Le centre de notifications amélioré regroupe les actions de correction sur vos appareils, le contenu de la messagerie & la collaboration et les identités. Les actions répertoriées comprennent les actions de correction qui ont été réalisées automatiquement ou manuellement. Dans le centre de actions, vous pouvez afficher les actions en attente d’approbation et les actions qui ont déjà été approuvées ou terminées. Vous pouvez également naviguer vers plus de détails, comme une page d’enquête.

  1. Accédez à Microsoft Defender XDR et connectez-vous.
  2. Dans le volet de navigation, choisissez Centre de notifications.
  3. Sous l’onglet En attente ou Historique, sélectionnez un élément. Son volet volant s’ouvre.
  4. Passez en revue les informations du volet volant, puis effectuez l’une des étapes suivantes :
    • Sélectionnez Ouvrir la page d’enquête pour afficher plus de détails sur l’enquête.
    • Sélectionnez Approuver pour lancer une action en attente.
    • Sélectionnez Refuser pour empêcher la réalisation d’une action en attente.
    • Sélectionnez Go hunt (Aller à la chasse ) pour accéder à La chasse avancée.

Ouvrez un examen dans une page de détails d’incident

La page Détails de l’incident permet d’afficher des informations détaillées sur un incident, notamment des alertes qui ont déclenché des informations sur les appareils, les comptes utilisateurs ou les boîtes aux lettres concernés.

  1. Accédez à Microsoft Defender XDR et connectez-vous.
  2. Dans le volet de navigation, choisissez Incidents & alertes>Incidents.
  3. Sélectionnez un élément dans la liste, puis choisissez Ouvrir la page d’incident.
  4. Sous l’onglet Enquêtes, sélectionnez une enquête dans la liste. Son volet volant s’ouvre.
  5. Sélectionnez Ouvrir la page d’investigation.

Détails de l’examen

Utilisez la vue Détails de l’examen pour afficher les activités passées, actuelles et en attente relatives à un examen. La vue Détails de l’examen est semblable à l’image suivante :

Dans la vue Détails de l’examen, vous pouvez consulter des informations sur les onglets Graphique de l'examen, Alertes, Appareils, Identités, Principales conclusions, Entités, Journalet Actions en attente, comme décrit dans le tableau suivant.

Remarque

  • Les onglets spécifiques que vous voyez dans la page de détails d’une enquête dépendent de ce que votre abonnement comprend. Par exemple, si votre abonnement n’inclut pas Microsoft Defender pour Office 365 Plan 2, vous ne verrez pas d’onglet Boîtes aux lettres.

  • La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

Tab Description
Graphique de l'examen Fournit une représentation visuelle de l’examen. Décrit les entités et répertorie de menaces détectées, ainsi que les alertes et l’attente d’une approbation.

Vous pouvez sélectionner un élément du graphique pour afficher plus de détails. Par exemple, en sélectionnant l’icône Preuve , vous accédez à l’onglet Preuve , où vous pouvez voir les entités détectées et leurs verdicts.

Alertes Répertorie les alertes associées à l’examen. Les alertes peuvent provenir des fonctionnalités de protection contre les menaces sur l’appareil d’un utilisateur, dans les applications Office, defender pour les applications cloud et d’autres fonctionnalités Microsoft Defender XDR.
Appareils Listes appareils inclus dans l’examen, ainsi que leur niveau de correction. (Les niveaux de correction correspondent au niveau d’automatisation pour les groupes d’appareils.)
Boîtes aux lettres Listes boîtes aux lettres affectées par les menaces détectées.
Utilisateurs Listes comptes d’utilisateur affectés par les menaces détectées.
Évidence Listes éléments de preuve soulevés par les alertes/enquêtes. Inclut des verdicts (malveillants, suspects ou aucune menace détectée) et des status de correction.
Entities Fournit des détails sur chaque entité analysée, y compris un verdict pour chaque type d’entité (Malveillant, Suspectou Aucune menace trouvée).
Log Fournit une vue chronologique et détaillée de toutes les actions d’investigation effectuées après le déclenchement d’une alerte.
Actions en attente Répertorie les éléments qui nécessitent une approbation pour continuer. Accédez au Centre de notifications (https://security.microsoft.com/action-center) pour approuver les actions en attente.

États d’investigation

Le tableau suivant répertorie les états d’investigation et ce qu’ils indiquent.

État de l’enquête Définition
Bénigne Les artefacts ont été examinés et une décision a été établie qu’aucune menace n’a été détectée.
PendingResource Une investigation automatisée est suspendue, car soit une action de correction est en attente d’approbation, soit l’appareil sur lequel un artefact a été trouvé est temporairement indisponible.
UnsupportedAlertType Une investigation automatisée n’est pas disponible pour ce type d’alerte. Une investigation plus approfondie peut être effectuée manuellement à l’aide de la chasse avancée.
Échec Au moins un analyseur d’investigation a rencontré un problème où il n’a pas pu terminer l’examen. Si une investigation échoue après l’approbation des actions de correction, les actions de correction peuvent toujours avoir réussi.
Correction réussie Une investigation automatisée s’est terminée et toutes les actions de correction ont été effectuées ou approuvées.

Pour fournir plus de contexte sur la façon dont les états d’investigation s’affichent, le tableau suivant répertorie les alertes et leur état d’investigation automatisé correspondant. Ce tableau est inclus comme exemple de ce qu’une équipe des opérations de sécurité peut voir dans le portail Microsoft Defender.

Nom de l’alerte Severity État de l’enquête État Catégorie
Un programme malveillant a été détecté dans un fichier image de disque wim Informatif Bénigne Résolu Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Wpakill hacktool a été empêché Faible Échec Nouveau Programme malveillant
GendowsBatch hacktool a été empêché Faible Échec Nouveau Programme malveillant
Keygen hacktool a été empêché Faible Échec Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive zip Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier d’archive rar Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier image de disque iso Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier image de disque iso Informatif PendingResource Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier de données Outlook pst Informatif UnsupportedAlertType Nouveau Programme malveillant
Un programme malveillant a été détecté dans un fichier de données Outlook pst Informatif UnsupportedAlertType Nouveau Programme malveillant
MediaGet détecté Moyen Partiellement investiigated Nouveau Programme malveillant
TrojanEmailFile Moyen SuccessfullyRemediated Résolu Programme malveillant
Le programme malveillant CustomEnterpriseBlock a été empêché Informatif SuccessfullyRemediated Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible SuccessfullyRemediated Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible SuccessfullyRemediated Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible SuccessfullyRemediated Résolu Programme malveillant
TrojanEmailFile Moyen Bénigne Résolu Programme malveillant
Le programme malveillant CustomEnterpriseBlock a été empêché Informatif UnsupportedAlertType Nouveau Programme malveillant
Le programme malveillant CustomEnterpriseBlock a été empêché Informatif SuccessfullyRemediated Résolu Programme malveillant
TrojanEmailFile Moyen SuccessfullyRemediated Résolu Programme malveillant
TrojanEmailFile Moyen Bénigne Résolu Programme malveillant
Un programme malveillant CustomEnterpriseBlock actif a été bloqué Faible PendingResource Nouveau Programme malveillant

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.