Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La file d’attente des alertes affiche une liste d’alertes signalées à partir d’identités dans votre réseau. Par défaut, la file d’attente affiche les alertes observées au cours des sept derniers jours dans une vue groupée. Les alertes les plus récentes sont affichées en haut de la liste, ce qui vous permet de voir les alertes les plus récentes en premier.
Afficher la file d’attente des alertes
Dans le portail Microsoft Defender, accédez à Incidents & alertes, puis à Alertes.
Les alertes des sept derniers jours s’affichent avec les informations suivantes :
- Nom de l’alerte
- Tags
- Severity
- État de l’enquête
- Statut
- Catégorie
- Source de détection
- Ressources affectées
- Première activité
- Dernière activité
Personnaliser l’affichage de la file d’attente des alertes
Vous pouvez personnaliser l’affichage de la file d’attente des alertes de plusieurs façons. À l’aide des outils en haut de la page, vous pouvez :
- Personnalisez l’affichage pour ajouter ou supprimer des colonnes.
- Appliquer des filtres.
- Personnalisez la durée. Affichez les alertes pour une durée particulière, par exemple 1 jour, 3 jours, 1 semaine, 30 jours et 6 mois.
- Exporter un rapport Excel détaillé à des fins d’analyse.
Filtrer l’affichage des alertes
Vous pouvez appliquer les filtres suivants pour obtenir une vue plus ciblée des alertes.
| Alerte | Description |
|---|---|
| Gravité | La gravité de l’alerte est basée sur plusieurs facteurs, notamment la quantité d’accès que l’attaquant peut avoir, l’impact potentiel si l’attaque réussit et la probabilité que l’alerte soit un vrai positif. Pour obtenir la liste complète des types d’alerte et des niveaux de gravité qui leur sont attribués, consultez Mappage des noms d’alerte de sécurité et ID externes uniques |
| État | Vous pouvez choisir de filtrer la liste des alertes en fonction de leur état. Par exemple, vous pouvez filtrer pour afficher uniquement les alertes nouvelles, en cours ou résolues. |
| Sources de détection | Vous pouvez filtrer les alertes en fonction des sources de détection suivantes : Microsoft Defender pour Identity ou Microsoft Defender XDR |
| Tags | Vous pouvez filtrer les alertes en fonction des balises attribuées aux alertes. |
Afficher une alerte
Vous pouvez accéder aux alertes individuelles à partir de plusieurs emplacements, en sélectionnant le nom de l’alerte dans l’un des éléments suivants :
- Page Alertes
- Page Incidents
- Page Identités
- Pages d’appareils individuels
- Page Repérage avancé
Page des alertes
La page alertes fournit un contexte dans l’alerte, en combinant les signaux d’attaque et les alertes liées à l’alerte sélectionnée pour construire un récit d’alerte détaillé. La page alertes vous permet de trier, d’examiner et de prendre rapidement des mesures efficaces sur les alertes.
Remarque
Microsoft Defender pour Identity alertes apparaissent actuellement dans deux dispositions différentes dans le portail Microsoft Defender XDR. Bien que les affichages d’alerte affichent des informations différentes, toutes les alertes sont basées sur les détections des capteurs Defender pour Identity. Les différences de disposition et d’informations affichées font partie d’une transition continue vers une expérience d’alerte unifiée entre Microsoft Defender produits.
Pour afficher les alertes de Defender pour Identity et de Defender XDR, sélectionnez Filtrer, puis sous Sources de service, choisissez Microsoft Defender pour Identity et Defender XDR, puis sélectionnez Appliquer :
alertes Microsoft Defender pour Identity
En haut de la page, il existe des sections pour les comptes, l’hôte de destination et l’hôte source de l’alerte. En fonction de l’alerte, vous pouvez voir des détails sur des hôtes, comptes, adresses IP, domaines et groupes de sécurité supplémentaires. Sélectionnez l’une d’entre elles pour obtenir plus de détails sur les entités impliquées.
- La section Article d’alerte fournit des informations pour fournir un article complet avec les détails de l’alerte. L’article de l’alerte est divisé en deux sections :
- Ce qui s’est passé inclut la chronologie de l’alerte et les entités impliquées dans l’alerte.
- Le graphique d’alerte fournit une représentation visuelle de l’alerte, y compris les entités impliquées dans l’alerte et leurs relations. Le graphique vous aide à comprendre comment les entités sont connectées et comment elles sont liées à l’alerte.
- Les informations importantes fournissent un contexte technique qui prend en charge l’investigation des alertes. Vous pouvez utiliser ces informations pour vérifier si l’activité était attendue ou suspecte et décider des actions à prendre pour contenir ou remonter l’incident.
- Les détails de l’activité fournissent des informations détaillées, notamment l’horodatage, l’objet de base, l’étendue de recherche et d’autres détails sur l’alerte.
- Le volet d’informations situé à droite de la page fournit des informations supplémentaires sur l’alerte, notamment les détails de l’alerte, les commentaires & l’historique. Le volet d’informations fournit également des options supplémentaires, telles que :
- Gérer l’alerte
- Exporter l’alerte
- Déplacer l’alerte vers un autre incident
- Classifier une alerte
alertes Microsoft Defender XDR
En haut de la page, il existe des sections pour les comptes, l’hôte de destination et l’hôte source de l’alerte. En fonction de l’alerte, vous pouvez voir des boutons pour plus d’informations sur les hôtes, comptes, adresses IP, domaines et groupes de sécurité supplémentaires. Sélectionnez l’une d’entre elles pour obtenir plus de détails sur les entités impliquées.
- La section Article d’alerte fournit des informations pour fournir un article complet avec les détails de l’alerte. L’article de l’alerte est divisé en deux sections :
- Ce qui s’est passé inclut la chronologie de l’alerte et les entités impliquées dans l’alerte.
- Le volet d’informations situé à droite de la page fournit des informations supplémentaires sur l’alerte, notamment les détails de l’alerte, les commentaires & l’historique. Le volet d’informations fournit également des options supplémentaires, telles que :
- Gérer l’alerte
- Déplacer l’alerte vers un autre incident
- Classifier une alerte
Gérer les alertes de sécurité
La sélection d’une alerte ouvre le volet Gestion des alertes, où vous pouvez effectuer les actions suivantes :
Modifier le status d’une alerte
Vous pouvez classer les alertes comme Nouvelles, En cours ou Résolues en modifiant leur status au fur et à mesure que votre investigation progresse. Cela vous permet d’organiser et de gérer la façon dont votre équipe peut répondre aux alertes. Par exemple, un responsable d’équipe peut passer en revue toutes les nouvelles alertes et décider de les affecter à la file d’attente En cours pour une analyse plus approfondie. Le responsable d’équipe peut affecter l’alerte à la file d’attente Résolue s’il sait que l’alerte est sans gravité ou qu’elle provient d’un appareil qui n’est pas pertinent (par exemple, un appareil appartenant à un administrateur de sécurité) ou qui est traité par le biais d’une alerte antérieure.
Déplacer une alerte vers un autre incident
Vous pouvez créer un incident à partir de l’alerte ou créer un lien vers un incident existant.
Attribuer des alertes
Si une alerte n’est pas encore attribuée, vous pouvez sélectionner M’attribuer l’alerte pour vous attribuer l’alerte.
Ajouter des commentaires à une alerte
Vous pouvez ajouter des commentaires à une alerte pour fournir un contexte ou des informations supplémentaires. Cela est utile pour partager des insights avec votre équipe ou documenter votre processus d’investigation. Chaque fois qu’une modification ou un commentaire est apporté à une alerte, il est enregistré dans la section Commentaires et historique.
Classifier les alertes de sécurité
Pour chaque alerte, posez les questions suivantes pour déterminer la classification des alertes et vous aider à décider ce qu’il faut faire ensuite :
- L’alerte de sécurité est-elle un TP, B-TP ou FP ?
- Quelle est la fréquence de cette alerte de sécurité spécifique dans votre environnement ?
- L’alerte a-t-elle été déclenchée par les mêmes types d’ordinateurs ou d’utilisateurs ? Par exemple, des serveurs avec le même rôle ou des utilisateurs du même groupe/service ? Si les ordinateurs ou les utilisateurs étaient similaires, vous pouvez décider de l’exclure pour éviter les alertes FP supplémentaires ultérieures.
Après examen approprié, toutes les alertes de sécurité Defender pour Identity peuvent être classées comme l’un des types d’activité suivants :
True positive (TP) : action malveillante détectée par Defender pour Identity.
Vrai positif bénin (B-TP) : action détectée par Defender pour Identity qui est réelle, mais non malveillante, telle qu’un test d’intrusion ou une activité connue générée par une application approuvée.
Faux positif (FP) : fausse alarme, ce qui signifie que l’activité ne s’est pas produite.
Remarque
Une augmentation des alertes du même type réduit généralement le niveau suspect/d’importance de l’alerte. Pour les alertes répétées, vérifiez les configurations et utilisez les détails et les définitions des alertes de sécurité pour comprendre exactement ce qui se passe qui déclenche les répétitions.
Paramétrage des alertes
Paramétrez vos alertes pour les ajuster et les optimiser, ce qui réduit les faux positifs. Le réglage des alertes permet à vos équipes SOC de se concentrer sur les alertes de haute priorité et d’améliorer la couverture de la détection des menaces dans votre système. Dans Microsoft Defender XDR, créez des conditions de règle basées sur des types de preuves, puis appliquez votre règle à tout type de règle qui correspond à vos conditions.
Pour plus d’informations, consultez Régler une alerte.