Investigation et réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 dans le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Essayer Microsoft Defender pour Office 365.

Comme les alertes de sécurité apparaissent dans un organization Microsoft 365 sur https://security.microsoft.com/alerts, il appartient à l’équipe des opérations de sécurité (SecOps) d’examiner, de hiérarchiser et de répondre à ces alertes. Suivre le volume des alertes entrantes peut être écrasant. L’automatisation de certaines de ces tâches peut vous aider.

Microsoft Defender pour Office 365 Plan 2 (inclus dans les licences Microsoft 365 comme E5 ou en tant qu’abonnement autonome) comprend de puissantes fonctionnalités d’investigation et de réponse automatisées (AIR) qui permettent aux équipes SecOps de gagner du temps et des efforts.

AIR trie les alertes à fort impact et à volume élevé en effectuant des enquêtes de niveau organization. Les enquêtes AIR s’étendent sur les détections ou fournissent une analyse supplémentaire pour déterminer la menace status pour le organization. Quand AIR identifie les menaces, il met en file d’attente les actions de correction des menaces que le personnel SecOps doit approuver. Air offre les avantages suivants :

• Processus d’investigation automatisés en réponse à des menaces connues.
• Actions de correction appropriées en attente d’approbation, permettant à votre équipe SecOps de répondre efficacement aux menaces détectées.
• Votre équipe SecOps est en mesure de se concentrer sur les tâches de priorité supérieure sans perdre de vue les alertes importantes déclenchées.

AIR dans Defender pour Office 365 Plan 2 nécessite que la journalisation d’audit soit activée (elle est activée par défaut).

Le flux global d’AIR

Une alerte est déclenchée et un playbook de sécurité démarre une investigation automatisée, qui aboutit à des résultats et des actions recommandées. Voici le flux global d’AIR, étape par étape :

1. Une investigation automatisée est lancée de l’une des manières suivantes :

   • Alertes spécifiques conçues pour lancer AIR. Ces alertes sont les suivantes :

     • Quelque chose de suspect est identifié dans un e-mail (par exemple, le message lui-même, une pièce jointe, une URL ou un compte d’utilisateur compromis).

     • Vidage automatique de zéro heure (ZAP)

     • Soumissions d’utilisateurs.

     • Alertes de clic utilisateur.

     • Comportement suspect de boîte aux lettres.

       Conseil

       Veillez à consulter régulièrement les alertes que votre organization. Pour plus d’informations sur les stratégies d’alerte qui déclenchent des investigations automatisées, consultez les stratégies d’alerte par défaut dans la catégorie Gestion des menaces. Les entrées qui contiennent la valeur Oui pour Investigation automatisée peuvent déclencher des investigations automatisées. AIR n’est pas déclenché dans les cas suivants :

       • Ces alertes sont désactivées.
       • Ces alertes sont remplacées par des alertes personnalisées.

   • Un analyste de sécurité déclenche manuellement l’investigation en sélectionnant Agir dans Explorer des menaces, Repérage avancé, Détection personnalisée, page d’entité Email ou panneau de synthèse Email. Pour plus d’informations, consultez Repérage des menaces : correction Email. Pour obtenir des exemples, consultez Exemples d’investigation et de réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2.

2. L’investigation automatisée évalue et analyse la nature de l’alerte, le message impliqué et d’autres preuves entourant le message. L’étendue de l’enquête peut augmenter en fonction des éléments de preuve découverts et recueillis pendant l’enquête.

3. Pendant et après une investigation automatisée, les détails et les résultats sont disponibles. Les résultats peuvent inclure des actions recommandées pour le personnel SecOps afin de corriger les menaces détectées.

4. L’équipe SecOps examine les résultats et les recommandations de l’examen proprement dit, de l’incident ou du centre de notifications, et approuve ou rejette les actions de correction.

   Conseil

   Aucune action de correction ne se produit automatiquement. Les actions de correction nécessitent une approbation manuelle par le personnel SecOps. Les fonctionnalités AIR permettent de gagner du temps en accédant aux actions de correction recommandées avec tous les détails pour prendre une décision éclairée.

   AIR permet également de gagner du temps en évaluant et en résolvant automatiquement les alertes et les incidents où aucune menace n’a été détectée. Ce résultat est courant dans les scénarios de soumission d’utilisateurs. AIR ferme l’enquête si aucune menace n’a été détectée ou si des menaces ont été détectées dans les messages qui ont déjà été corrigés. Généralement

5. À mesure que les actions de correction en attente sont approuvées ou rejetées, l’examen automatisé se termine.

   L’examen automatisé se ferme automatiquement si aucune action recommandée n’est identifiée. Les détails de l’enquête sont toujours disponibles sur la page Enquêtes à l’adresse https://security.microsoft.com/airinvestigation.

Pendant et après chaque investigation automatisée, l’équipe SecOps peut effectuer les tâches suivantes :

• Afficher les détails d’une alerte liée à une investigation
• Afficher les détails des résultats d’une investigation
• Examiner et approuver les actions à la suite d’une enquête

Règles de réglage des alertes intégrées

Remarque

Cette fonctionnalité est actuellement en préversion, n’est pas disponible dans toutes les organisations et est susceptible d’être modifiée.

Microsoft Defender XDR inclut des règles de réglage des alertes intégrées qui permettent de réduire le bruit de signalement d’activités bénignes courantes. Ces règles intégrées suppriment les alertes sans affecter d’autres fonctionnalités telles que les enquêtes AIR et les Notifications par e-mail. Si l’enquête AIR détecte une activité malveillante ou suspecte, la nouvelle alerte est réactivée.

Pour afficher les règles de réglage des alertes intégrées dans le portail Microsoft Defender, accédez àParamètres>système>Microsoft Defender XDR> Section Réglage des alertes> ou directement dans la page Paramétrage des alertes à l’adresse https://security.microsoft.com/securitysettings/defender/alert_suppression.

Veillez à passer en revue ces règles pour comprendre comment elles peuvent affecter les alertes qui apparaissent dans le portail Microsoft Defender.

Autorisations et licences requises pour AIR

Vous devez disposer d’autorisations pour utiliser AIR. Vous avez le choix parmi les options suivantes :

• Microsoft Defender XDR le contrôle d’accès en fonction du rôle (RBAC) unifié (si Email & collaboration> les autorisationsDefender pour Office 365 est Actif. Affecte uniquement le portail Defender, et non PowerShell) :
  • Démarrez une investigation automatisée ou Approuver ou rejeter les actions recommandées : opérations de sécurité/Email actions de correction avancées (gérer).
• Email & les autorisations de collaboration dans le portail Microsoft Defender :
  • Configurer les fonctionnalités AIR : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
  • Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées :
    • Appartenance aux groupes de rôles Gestion de l’organisation, Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité ou Lecteur global . et
    • Le rôle Rechercher et vider , qui est attribué uniquement aux groupes de rôles Enquêteur de données ou Gestion de l’organisation par défaut. Vous pouvez également créer un groupe de rôles avec le rôle Rechercher et vider attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
• Microsoft Entra autorisations : accordez aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :
  • Configurer les fonctionnalités AIR Appartenance aux rôles Administrateur général ou Administrateur de la sécurité .
  • Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées :
    • Appartenance aux rôles Administrateur général, Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité ou Lecteur général . et
    • L’appartenance à un groupe de rôles de collaboration Email & avec le rôle Rechercher et vider attribué comme décrit précédemment.

Pour utiliser AIR, vous devez disposer d’une licence pour Defender pour Office 365 Plan 2 (incluse dans votre abonnement ou une licence de module complémentaire).

Étapes suivantes

• Exemples AIR
• Voir les détails et les résultats d’une investigation automatisée
• Examiner et approuver les actions en attente
• Afficher les actions de correction en attente ou terminées