Afficher et organiser la file d’attente d’incidents Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Conseil
Pendant une durée limitée en janvier 2024, lorsque vous visitez la page Incidents , Defender Boxed s’affiche. Defender Boxed met en évidence les réussites, les améliorations et les actions de réponse de votre organization en 2023. Pour rouvrir Defender Boxed, dans le portail Microsoft Defender, accédez à Incidents, puis sélectionnez Votre Defender Boxed.
La file d’attente Incidents affiche une collection d’incidents signalés à partir d’appareils de votre réseau. Elle vous aide à trier les incidents afin de hiérarchiser et de créer une décision de réponse cyber-sécurité.
Par défaut, la file d’attente affiche les incidents observés au cours des 6 derniers mois, l’incident le plus récent s’affichant en haut de la liste, ce qui vous permet de voir les incidents les plus récents en premier.
Vous pouvez choisir parmi plusieurs options pour personnaliser l’affichage de la file d’attente des incidents.
Dans le volet de navigation supérieur, vous pouvez :
- Personnaliser des colonnes pour ajouter ou supprimer des colonnes
- Modifier le nombre d’éléments à afficher par page
- Sélectionner les éléments à afficher par page
- Sélection par lots des incidents à attribuer
- Naviguer entre les pages
- Appliquer des filtres
- Personnaliser et appliquer des plages de dates
Trier et filtrer la file d’attente des incidents
Vous pouvez appliquer les filtres suivants pour limiter la liste des incidents et obtenir une vue plus ciblée.
Severity
Gravité de l’incident | Description |
---|---|
Haute (rouge) |
Menaces souvent associées aux menaces persistantes avancées (APT). Ces incidents indiquent un risque élevé en raison de la gravité des dommages qu’ils peuvent infliger aux appareils. |
Moyen (orange) |
Les menaces rarement observées dans le organization, telles que la modification anormale du Registre, l’exécution de fichiers suspects et les comportements observés typiques des phases d’attaque. |
Faible (jaune) |
Menaces associées aux logiciels malveillants et outils de piratage répandus qui n’indiquent pas nécessairement une menace avancée ciblant le organization. |
Information ( gris) |
Les incidents d’information peuvent ne pas être considérés comme dangereux pour le réseau, mais il peut être bon d’en assurer le suivi. |
Affectée à
Vous pouvez choisir de filtrer la liste en sélectionnant ceux qui vous sont affectés ou ceux qui vous sont affectés.
Catégorie
Les incidents sont classés en fonction de la description de l’étape par laquelle se trouve la chaîne de destruction de la cybersécurité. Cette vue aide l’analyste des menaces à déterminer la priorité, l’urgence et la stratégie de réponse correspondante à déployer en fonction du contexte.
Statut
Vous pouvez choisir de limiter la liste des incidents affichés en fonction de leur état pour identifier ceux qui sont actifs ou résolus.
Confidentialité des données
Utilisez ce filtre pour afficher les incidents qui contiennent des étiquettes de confidentialité.
Nommage des incidents
Pour comprendre l’étendue de l’incident en un coup d’œil, les noms des incidents sont générés automatiquement en fonction des attributs d’alerte tels que le nombre de points de terminaison affectés, les utilisateurs affectés, les sources de détection ou les catégories.
Par exemple : incident multiphase sur plusieurs points de terminaison signalés par plusieurs sources.
Remarque
Les incidents qui existaient avant le déploiement du nommage automatique des incidents conservent leur nom.
Voir aussi
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.