Playbooks de classification des alertes
S’applique à :
- Microsoft Defender XDR
Les playbooks de classification des alertes vous permettent d’examiner et de classer rapidement les alertes pour les attaques connues et de prendre les mesures recommandées pour corriger l’attaque et protéger votre réseau. La classification des alertes permet également de classer correctement l’incident global.
En tant que chercheur en sécurité ou analyste du centre d’opérations de sécurité (SOC), vous devez avoir accès au portail Microsoft Defender pour pouvoir :
- Évaluez et passez en revue les alertes générées et les incidents associés. Consultez Examiner les alertes.
- Recherche les données de signal de sécurité et les case activée de votre locataire pour les menaces potentielles et les activités suspectes. Voir repérage avancé.
Remarque
Vous pouvez fournir des commentaires à Microsoft sur les alertes de vrais positifs et de faux positifs, non seulement à la fin de l’enquête, mais également pendant le processus d’investigation. Cela peut aider Microsoft dans l’analyse et la classification futures des événements de sécurité.
Microsoft Defender pour Office 365
Microsoft Defender pour Office 365 protège votre organization contre les menaces malveillantes posées par les e-mails, les liens (URL) et les outils de collaboration. Defender pour Office 365 inclut :
Stratégies de protection contre les menaces
Définissez des stratégies de protection contre les menaces pour définir le niveau de protection approprié pour votre organization.
Rapports
Affichez des rapports en temps réel pour surveiller Defender for Office 365 performances dans votre organization.
Fonctionnalités d’investigation et de réponse aux menaces
Utilisez des outils de pointe pour examiner, comprendre, simuler et prévenir les menaces.
Fonctionnalités d’investigation et de réponse automatisées
Gagnez du temps et des efforts pour examiner et atténuer les menaces.
les alertes Defender for Office 365 peuvent être classées comme suit :
- Vrai positif (TP) pour les activités malveillantes confirmées.
- Faux positif (FP) pour une activité non malveillante confirmée.
Remarque
Microsoft Defender portail https://security.microsoft.com regroupe les fonctionnalités des portails de sécurité Microsoft existants. Le portail Microsoft Defender met l’accent sur l’accès rapide aux informations, la simplification des dispositions et le regroupement des informations associées pour faciliter l’utilisation.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps est un cloud Access Security Broker (CASB) qui prend en charge différents modes de déploiement, notamment la collecte de journaux, les connecteurs d’API et le proxy inverse. Il vous offre une visibilité riche, un contrôle sur le déplacement des données et des analyses sophistiquées pour identifier et combattre les cybermenaces sur l’ensemble de vos services cloud tiers et Microsoft.
Defender for Cloud Apps s’intègre en mode natif aux principales solutions Microsoft et est conçu avec les professionnels de la sécurité à l’esprit. Il offre un déploiement simple, une gestion centralisée et des fonctionnalités d’automatisation innovantes.
L’infrastructure Defender for Cloud Apps offre la possibilité de protéger votre réseau contre les cybermenaces et les anomalies, de détecter les comportements inhabituels dans les applications cloud pour identifier les rançongiciels, les utilisateurs compromis ou les applications malveillantes. Il permet l’analyse de l’utilisation à haut risque et peut corriger automatiquement pour limiter le risque à vos organization.
Les alertes Defender for Cloud Apps peuvent être classées comme suit :
- TP pour les activités malveillantes confirmées.
- Vrai positif bénin (B-TP) pour les activités suspectes, mais pas malveillantes, telles qu’un test d’intrusion ou toute autre action suspecte autorisée.
- FP pour les activités non malveillantes confirmées.
Playbooks de classification des alertes
Consultez ces playbooks pour connaître les étapes permettant de classer plus rapidement les alertes pour les menaces suivantes :
- Activité suspecte de transfert d’e-mail
- Règles de manipulation de la boîte de réception suspectes
- Règle de transfert de boîte de réception suspect
- Adresses IP suspectes liées à l’activité de pulvérisation de mot de passe
- Attaques par pulvérisation de mot de passe
Pour plus d’informations sur la façon d’examiner les alertes avec le portail Microsoft Defender, consultez Examiner les alertes.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.