Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez afficher la liste des règles de détection personnalisées existantes, vérifier leurs exécutions précédentes et passer en revue les alertes qui ont été déclenchées. Vous pouvez également exécuter une règle à la demande et la modifier.
Conseil
Les alertes déclenchées par des détections personnalisées sont disponibles sur les api d’alerte et d’incident. Pour plus d’informations, consultez API XDR Microsoft Defender prises en charge.
Pour les utilisateurs qui ont intégré un espace de travail Microsoft Sentinel au portail Microsoft Defender unifié, la liste des règles de détection personnalisées inclut des règles d’analyse. Les sections suivantes s’appliquent également aux règles d’analyse, sauf indication contraire.
Afficher les règles existantes
Pour afficher vos règles de détection personnalisées et vos règles d’analyse existantes, accédez à Chasse>Règles de détection personnalisées.
Vous pouvez filtrer pour n’importe quelle colonne en accédant à Ajouter un filtre, en sélectionnant les colonnes pour lesquelles vous souhaitez filtrer, puis en sélectionnant Ajouter. Pour chacune des colonnes choisies, sélectionnez la pilule correspondante en regard de Filtres :, sélectionnez les colonnes, puis Appliquer.
Pour rechercher des règles spécifiques, accédez à la zone de recherche en haut à droite de la page et entrez le nom ou l’ID de règle de la règle que vous recherchez.
Pour les organisations multi-espaces de travail qui ont intégré plusieurs espaces de travail à Microsoft Defender, vous pouvez filtrer les espaces de travail à l’aide des colonnes ID d’espace de travail ou Nom de l’espace de travail.
La page répertorie toutes les règles avec les informations d’exécution suivantes:
- Dernière exécution : quand une règle a été exécutée pour la dernière fois pour vérifier les correspondances de requête et générer des alertes
- État de la dernière exécution : indique si une règle s’est exécutée correctement (pour les règles de détection personnalisées uniquement)
- Prochaine exécution : la prochaine exécution planifiée
- État : indique si une règle a été activée ou désactivée
Afficher les détails de la règle, modifier la règle et exécuter la règle
Pour afficher des informations complètes sur une règle de détection personnalisée ou une règle d’analyse, accédez à Chasse>Règles de détection personnalisées , puis sélectionnez le nom de la règle. Vous pouvez ensuite afficher des informations générales sur la règle, notamment des informations, son état d’exécution et son étendue. La page fournit également la liste des alertes et actions déclenchées.
Vous pouvez également effectuer les actions suivantes sur la règle à partir de cette page:
- Ouvrir la page des règles de détection : ouvre la page des règles de détection pour afficher les alertes déclenchées et examiner les actions (pour les règles de détection personnalisées uniquement)
- Exécuter : exécute la règle immédiatement ; cela réinitialise également l’intervalle pour l’exécution suivante (pour les règles de détection personnalisées uniquement)
- Modifier : vous permet de modifier la règle sans modifier la requête
- Modifier la requête : vous permet de modifier la requête dans la chasse avancée
- Allumer / Désactiver : vous permet d’activer la règle ou de l’arrêter de s’exécuter
- Supprimer : vous permet de désactiver la règle et de la supprimer
Afficher et gérer les alertes déclenchées
Dans l’écran détails de la règle (Détections personnalisées de repérage>[nom de la règle]), accédez à Alertes déclenchées, qui répertorie les alertes générées par les correspondances > à la règle. Sélectionner une alerte pour afficher des informations détaillées à son sujet et effectuer les actions suivantes:
- Gérer l’alerte en définissant son état et sa classification (alerte vraie ou fausse)
- Lier l’alerte à un incident
- Exécuter la requête qui a déclenché l’alerte en cas de repérage avancé
Passer en revue les actions
Dans l’écran détails de la règle (Détections personnalisées de chasse>[nom de la règle]), accédez à Actions déclenchées, qui répertorie les actions effectuées en fonction des correspondances > à la règle.
Conseil
Pour afficher rapidement des informations et prendre des mesures sur un élément d’une table, utilisez la colonne de sélection [✓] à gauche de la table.
Voir aussi
- Vue d’ensemble des détections personnalisées
- Vue d’ensemble du repérage avancé
- Découvrir le langage de requête de repérage avancé
- Migrer des requêtes de repérage avancées à partir de Microsoft Defender pour point de terminaison
- API de sécurité Microsoft Graph pour les détections personnalisées
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.