Investigation et réponse automatisées (AIR) dans Microsoft Defender pour Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Microsoft Defender pour Office 365 comprend de puissantes fonctionnalités d’investigation et de réponse automatisées (AIR) qui peuvent faire gagner du temps et des efforts à votre équipe des opérations de sécurité. À mesure que les alertes sont déclenchées, il appartient à votre équipe des opérations de sécurité d’examiner, de hiérarchiser et d’y répondre. Suivre le volume des alertes entrantes peut être écrasant. L’automatisation de certaines de ces tâches peut vous aider.
AIR permet à votre équipe des opérations de sécurité de fonctionner plus efficacement. Les fonctionnalités AIR incluent des processus d’investigation automatisés en réponse aux menaces connues qui existent aujourd’hui. Les actions de correction appropriées attendent l’approbation, ce qui permet à votre équipe des opérations de sécurité de répondre efficacement aux menaces détectées. Avec AIR, votre équipe des opérations de sécurité peut se concentrer sur des tâches de priorité plus élevée sans perdre de vue les alertes importantes déclenchées.
Cet article décrit les aspects suivants :
- Le flux global d’AIR ;
- Comment obtenir l’AIR ; et
- Autorisations requises pour configurer ou utiliser les fonctionnalités AIR.
Cet article inclut également les étapes suivantes et des ressources pour en savoir plus.
Une alerte est déclenchée et un playbook de sécurité démarre une investigation automatisée, qui aboutit à des résultats et des actions recommandées. Voici le flux global d’AIR, étape par étape :
Une investigation automatisée est lancée de l’une des manières suivantes :
- Soit une alerte est déclenchée par quelque chose de suspect dans un e-mail (par exemple, un message, une pièce jointe, une URL ou un compte d’utilisateur compromis). Un incident est créé et une enquête automatisée commence . ou
- Un analyste de sécurité démarre une investigation automatisée lors de l’utilisation de Explorer.
Pendant qu’une investigation automatisée s’exécute, elle collecte des données sur l’e-mail en question et les entités associées à cet e-mail (par exemple, les fichiers, les URL et les destinataires). L’étendue de l’investigation peut augmenter à mesure que des alertes nouvelles et associées sont déclenchées.
Pendant et après une investigation automatisée, les détails et les résultats sont disponibles. Les résultats peuvent inclure des actions recommandées qui peuvent être prises pour répondre aux menaces existantes détectées et y remédier.
Votre équipe des opérations de sécurité examine les résultats de l’examen et les recommandations, et approuve ou rejette les actions de correction.
À mesure que les actions de correction en attente sont approuvées (ou rejetées), l’examen automatisé se termine.
Notes
Si l’enquête n’entraîne pas d’actions recommandées, l’enquête automatisée se ferme et les détails de ce qui a été examiné dans le cadre de l’enquête automatisée sont toujours disponibles sur la page d’enquête.
Dans Microsoft Defender pour Office 365, aucune action de correction n’est effectuée automatiquement. Les actions correctives sont mises en œuvre uniquement après approbation par l’équipe de sécurité de votre organisation. Les fonctionnalités AIR permettent à votre équipe des opérations de sécurité de gagner du temps en identifiant les actions de correction et en fournissant les détails nécessaires pour prendre une décision éclairée.
Pendant et après chaque investigation automatisée, votre équipe des opérations de sécurité peut :
- Afficher les détails d’une alerte liée à une investigation
- Afficher les détails des résultats d’une investigation
- Examiner et approuver les actions à la suite d’une enquête
Conseil
Pour obtenir une vue d’ensemble plus détaillée, consultez Fonctionnement d’AIR.
Les fonctionnalités AIR sont incluses dans Microsoft Defender pour Office 365 Plan 2, tant que la journalisation d’audit est activée (elle est activée par défaut).
En outre, veillez à passer en revue les stratégies d’alerte de votre organization, en particulier les stratégies par défaut dans la catégorie Gestion des menaces.
Microsoft 365 fournit de nombreuses stratégies d’alerte intégrées qui permettent d’identifier les abus d’autorisations d’administrateur Exchange, l’activité des programmes malveillants, les menaces externes et internes potentielles et les risques de gouvernance des informations. Plusieurs stratégies d’alerte par défaut peuvent déclencher des investigations automatisées. Si ces alertes sont désactivées ou remplacées par des alertes personnalisées, AIR n’est pas déclenchée.
Le tableau suivant décrit les alertes qui déclenchent des investigations automatisées, leur gravité dans le portail Microsoft Defender et la façon dont elles sont générées :
Alerte | Severity | Comment l’alerte est générée |
---|---|---|
Un clic d’URL potentiellement malveillant a été détecté | High | Cette alerte est générée lorsque l’un des cas suivants se produit :
Pour plus d’informations sur les événements qui déclenchent cette alerte, consultez Configurer des stratégies de liens fiables. |
Un e-mail est signalé par un utilisateur comme un programme malveillant ou un hameçonnage | Faible | Cette alerte est générée lorsque les utilisateurs de votre organization signalent des messages en tant qu’e-mail d’hameçonnage à l’aide des compléments Message de rapport Microsoft ou Rapport d’hameçonnage. |
Messages de courrier contenant un fichier malveillant supprimé après la remise | Informatif | Cette alerte est générée lorsque des messages contenant un fichier malveillant sont remis aux boîtes aux lettres de votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure (ZAP). |
Email messages contenant des programmes malveillants sont supprimés après la remise | Informatif | Cette alerte est générée lorsque des messages électroniques contenant des programmes malveillants sont remis aux boîtes aux lettres de votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure (ZAP). |
Messages de courrier contenant une URL malveillante supprimée après la remise | Informatif | Cette alerte est générée lorsque des messages contenant une URL malveillante sont remis aux boîtes aux lettres dans votre organization. Si cet événement se produit, Microsoft supprime les messages infectés de Exchange Online boîtes aux lettres à l’aide du vidage automatique zéro heure (ZAP). |
Email messages contenant des URL de hameçonnage sont supprimés après la remise | Informatif | Cette alerte est générée lorsque des messages contenant des hameçonnages sont remis aux boîtes aux lettres dans votre organization. Si cet événement se produit, Microsoft supprime les messages infectés des boîtes aux lettres Exchange Online à l’aide de ZAP. |
Des modèles d’envoi d’e-mails suspects sont détectés | Medium | Cette alerte est générée lorsqu’une personne de votre organization a envoyé des e-mails suspects et qu’elle risque d’être empêchée d’envoyer des e-mails. L’alerte est un avertissement précoce pour un comportement qui peut indiquer que le compte est compromis, mais pas assez sévère pour restreindre l’utilisateur. Bien qu’elle soit rare, une alerte générée par cette stratégie peut être une anomalie. Toutefois, il est judicieux de case activée si le compte d’utilisateur est compromis. |
Un utilisateur n’est pas autorisé à envoyer des e-mails | High | Cette alerte est générée lorsqu’une personne de votre organization n’est pas autorisé à envoyer des messages sortants. Cette alerte se produit généralement lorsqu’un compte de messagerie est compromis. Pour plus d’informations sur les utilisateurs restreints, consultez Supprimer les utilisateurs bloqués de la page Entités restreintes. |
Administration’examen manuel des e-mails a été déclenché | Informatif | Cette alerte est générée lorsqu’un administrateur déclenche l’examen manuel d’un e-mail à partir de Threat Explorer. Cette alerte avertit votre organization que l’enquête a été lancée. |
Administration’enquête sur la compromission de l’utilisateur déclenchée | Medium | Cette alerte est générée lorsqu’un administrateur déclenche l’examen manuel de compromission utilisateur d’un expéditeur ou d’un destinataire d’e-mail à partir de Threat Explorer. Cette alerte avertit votre organization que l’enquête de compromission de l’utilisateur a été démarrée. |
Conseil
Pour en savoir plus sur les stratégies d’alerte ou modifier les paramètres par défaut, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Vous devez disposer d’autorisations pour utiliser AIR. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) :
- Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées : Opérateur de sécurité/Email actions de correction avancées (gérer) .
Email & les autorisations de collaboration dans le portail Microsoft Defender :
- Configurer les fonctionnalités AIR : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
-
Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées :
- Appartenance aux groupes de rôles Gestion de l’organisation, Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité ou Lecteur global . et
- Appartenance à un groupe de rôles avec le rôle Rechercher et vider attribué. Par défaut, ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation . Vous pouvez également créer un groupe de rôles personnalisé pour attribuer le rôle Rechercher et vider .
Microsoft Entra autorisations :
- Configurer les fonctionnalités AIR Appartenance aux rôles Administrateur général ou Administrateur de la sécurité .
-
Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées :
- Appartenance aux rôles Administrateur général, Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité ou Lecteur général . et
- L’appartenance à un groupe de rôles de collaboration Email & avec le rôle Rechercher et vider attribué. Par défaut, ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation . Vous pouvez également créer un groupe de rôles de collaboration Email & personnalisé pour attribuer le rôle Rechercher et vider.
Microsoft Entra les autorisations donnent aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Microsoft Defender pour Office 365 licences Plan 2 doivent être affectées à :
- Administrateurs de sécurité (y compris les administrateurs généraux)
- L’équipe des opérations de sécurité de votre organization (y compris les lecteurs de sécurité et ceux disposant du rôle Rechercher et vider)
- Utilisateurs finaux