Cliquez sur un incident pour afficher le volet Incident. Sélectionnez Ouvrir la page d’incident pour afficher les détails de l’incident et les informations associées (alertes, appareils, enquêtes, preuves, graphe).
Alertes
Vous pouvez examiner les alertes et voir comment elles ont été liées dans un incident. Les alertes sont regroupées en incidents en fonction des raisons suivantes :
Investigation automatisée : l’investigation automatisée a déclenché l’alerte liée lors de l’examen de l’alerte d’origine
Caractéristiques des fichiers : les fichiers associés à l’alerte ont des caractéristiques similaires
Association manuelle : un utilisateur a lié manuellement les alertes
Heure de proximité : les alertes ont été déclenchées sur le même appareil dans un délai donné
Même fichier : les fichiers associés à l’alerte sont exactement les mêmes
Même URL : l’URL qui a déclenché l’alerte est exactement la même.
Vous pouvez également gérer une alerte et voir les métadonnées d’alerte ainsi que d’autres informations. Pour plus d’informations, consultez Examiner les alertes.
Appareils
Vous pouvez également examiner les appareils qui font partie d’un incident donné ou qui y sont liés. Pour plus d’informations, consultez Examiner les appareils.
Enquêtes
Sélectionnez Investigations pour afficher toutes les investigations automatiques lancées par le système en réponse aux alertes d’incident.
Passer en revue les preuves
Microsoft Defender pour point de terminaison examine automatiquement tous les événements pris en charge par les incidents et les entités suspectes dans les alertes, en vous fournissant une réponse automatique et des informations sur les fichiers importants, les processus, les services, etc.
Chacune des entités analysées sera marquée comme infectée, corrigée ou suspecte.
Visualisation des menaces de cybersécurité associées
Microsoft Defender pour point de terminaison regroupe les informations sur les menaces dans un incident afin que vous puissiez voir les modèles et les corrélations provenant de différents points de données. Vous pouvez afficher cette corrélation via le graphique des incidents.
Graphe des incidents
Le graphe raconte l’histoire de l’attaque de cybersécurité. Par exemple, il vous montre quel était le point d’entrée, quel indicateur de compromission ou d’activité a été observé sur quel appareil. etc.
Vous pouvez cliquer sur les cercles du graphique d’incident pour afficher les détails des fichiers malveillants, les détections de fichiers associées, le nombre d’instances dans le monde entier, s’il a été observé dans votre organization, le cas échéant, le nombre d’instances.