Centre de notifications
S’applique à :
- Microsoft Defender XDR
Le centre de notifications offre une expérience de « volet unique » pour les tâches d’incident et d’alerte telles que :
- Approbation des actions de correction en attente.
- Affichage d’un journal d’audit des actions de correction déjà approuvées.
- Évaluation des actions de correction terminées.
Étant donné que le centre de notifications fournit une vue complète des Microsoft Defender XDR au travail, votre équipe des opérations de sécurité peut fonctionner plus efficacement et plus efficacement.
Le centre de notifications unifié (https://security.microsoft.com/action-center) répertorie les actions de correction en attente et terminées pour vos appareils, le contenu des e-mails & collaboration et les identités dans un même emplacement.
Par exemple :
- Si vous utilisiez le centre de notifications dans le Centre de sécurité Microsoft Defender (https://securitycenter.windows.com/action-center), essayez le centre de notifications unifié dans le portail Microsoft Defender.
- Si vous utilisiez déjà le portail Microsoft Defender, vous verrez plusieurs améliorations dans le Centre de notifications (https://security.microsoft.com/action-center).
Le centre de notifications unifié regroupe les actions de correction entre Microsoft Defender pour point de terminaison et Microsoft Defender pour Office 365. Il définit un langage commun pour toutes les actions de correction et fournit une expérience d’investigation unifiée. Votre équipe des opérations de sécurité dispose d’une expérience de « volet unique » pour afficher et gérer les actions de correction.
Vous pouvez utiliser le centre de notifications unifié si vous disposez des autorisations appropriées et d’un ou plusieurs des abonnements suivants :
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Office 365
- Microsoft Defender XDR
Conseil
Pour plus d’informations, consultez Configuration requise.
Vous pouvez accéder à la liste des actions en attente d’approbation de deux manières différentes :
- Accédez à https://security.microsoft.com/action-center; ou
- Dans le portail Microsoft Defender (https://security.microsoft.com), dans la carte de réponse & d’investigation automatisée, sélectionnez Approuver dans le Centre de notifications.
Accédez à Microsoft Defender portail et connectez-vous.
Dans le volet de navigation, sous Actions et soumissions, choisissez Centre de notifications. Ou, dans la carte de réponse & investigation automatisée, sélectionnez Approuver dans le Centre de notifications.
Utilisez les onglets Actions en attente et Historique . Le tableau suivant récapitule ce que vous verrez sur chaque onglet :
Tab Description Pending Affiche une liste d’actions qui nécessitent une attention particulière. Vous pouvez approuver ou rejeter des actions une par une, ou sélectionner plusieurs actions si elles ont le même type d’action (par exemple, fichier de mise en quarantaine).
Veillez à examiner et à approuver (ou rejeter) les actions en attente dès que possible afin que vos enquêtes automatisées puissent se terminer en temps voulu.Historique Sert de journal d’audit pour les actions qui ont été effectuées, telles que : - >Actions de correction qui ont été effectuées à la suite d’enquêtes automatisées
- Actions de correction effectuées sur des messages électroniques, des fichiers ou des URL suspects ou malveillants
- Actions de correction approuvées par votre équipe des opérations de sécurité
- Commandes exécutées et actions de correction appliquées pendant les sessions de réponse dynamique
- Actions de correction effectuées par votre protection antivirus
Fournit un moyen d’annuler certaines actions (voir Annuler les actions terminées).Vous pouvez personnaliser, trier, filtrer et exporter des données dans le centre de notifications.
- Sélectionnez un en-tête de colonne pour trier les éléments dans l’ordre croissant ou décroissant.
- Utilisez le filtre de période pour afficher les données du dernier jour, de la semaine, des 30 jours ou des 6 mois précédents.
- Choisissez les colonnes que vous souhaitez afficher.
- Spécifiez le nombre d’éléments à inclure dans chaque page de données.
- Utilisez des filtres pour afficher uniquement les éléments que vous souhaitez voir.
- Sélectionnez Exporter pour exporter les résultats vers un fichier .csv.
Toutes les actions de correction, qu’elles soient en attente d’approbation ou qu’elles aient déjà été approuvées, sont regroupées dans le Centre de notifications. Les actions disponibles sont les suivantes :
- Collecter un package d’examen
- Isoler l’appareil (cette action peut être annulée)
- Annuler l’intégration de l’ordinateur
- Exécution du code de publication
- Diffusion des messages en quarantaine
- Demander un exemple
- Restreindre l’exécution du code (cette action peut être annulée)
- Exécuter une analyse antivirus
- Arrêter et mettre en quarantaine
- Contenir des appareils à partir du réseau
En plus des actions de correction qui sont effectuées automatiquement à la suite d’enquêtes automatisées, le centre de notifications suit également les actions que votre équipe de sécurité a prises pour traiter les menaces détectées et les actions qui ont été prises à la suite des fonctionnalités de protection contre les menaces dans Microsoft Defender XDR. Pour plus d’informations sur les actions de correction automatique et manuelle, consultez Actions de correction.
Le centre de notifications amélioré inclut une colonne Source d’action qui vous indique d’où provient chaque action. Le tableau suivant décrit les valeurs sources d’action possibles :
Valeur source de l’action | Description |
---|---|
Action manuelle de l’appareil | Action manuelle effectuée sur un appareil. Par exemple, l’isolation de l’appareil ou la mise en quarantaine de fichiers. |
Action manuelle par e-mail | Action manuelle effectuée sur l’e-mail. Un exemple inclut la suppression réversible de messages électroniques ou la correction d’un message électronique. |
Action automatisée sur l’appareil | Action automatisée effectuée sur une entité, telle qu’un fichier ou un processus. Parmi les exemples d’actions automatisées, citons l’envoi d’un fichier en quarantaine, l’arrêt d’un processus et la suppression d’une clé de Registre. (Voir Actions de correction dans Microsoft Defender pour point de terminaison.) |
Action d’e-mail automatisée | Action automatisée effectuée sur le contenu d’un e-mail, tel qu’un message électronique, une pièce jointe ou une URL. Parmi les exemples d’actions automatisées, citons la suppression réversible des messages électroniques, le blocage des URL et la désactivation du transfert de courrier externe. (Voir Actions de correction dans Microsoft Defender pour Office 365.) |
Action de chasse avancée | Actions effectuées sur les appareils ou les e-mails avec repérage avancé. |
action Explorer | Actions effectuées sur le contenu des e-mails avec Explorer. |
Action de réponse dynamique manuelle | Actions effectuées sur un appareil avec réponse en direct. Par exemple, la suppression d’un fichier, l’arrêt d’un processus et la suppression d’une tâche planifiée. |
Action de réponse en direct | Actions effectuées sur un appareil avec Microsoft Defender pour point de terminaison API. Parmi les exemples d’actions, citons l’isolation d’un appareil, l’exécution d’une analyse antivirus et l’obtention d’informations sur un fichier. |
Pour effectuer des tâches, telles que l’approbation ou le rejet d’actions en attente dans le Centre de notifications, vous avez besoin d’autorisations spécifiques. Vous avez le choix parmi les options suivantes :
Microsoft Entra autorisations : l’appartenance à ces rôles donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :
correction Microsoft Defender pour point de terminaison (appareils) : appartenance au rôle Administrateur de la sécurité.
correction Microsoft Defender pour Office 365 (contenu et e-mail Office) :
- Appartenance au rôle Administrateur de la sécurité .
et
- L’appartenance à un groupe de rôles dans Email & autorisations de collaboration avec le rôle Rechercher et vider attribué. Par défaut, ce rôle est attribué uniquement aux groupes de rôles Enquêteur de données et Gestion de l’organisation dans Email & autorisations de collaboration. Vous pouvez ajouter des utilisateurs à ces groupes de rôles, ou vous pouvez créer un groupe de rôles dans Email & autorisations de collaboration avec le rôle Rechercher et vider attribué, et ajouter les utilisateurs au groupe de rôles personnalisé.
Email & les autorisations de collaboration dans le portail Microsoft Defender :
correction Microsoft Defender pour Office 365 (contenu et e-mail Office) :
- Appartenance au groupe de rôles Administrateur de la sécurité
et
- L’appartenance à un groupe de rôles dans Email & autorisations de collaboration avec le rôle Rechercher et vider attribué. Par défaut, ce rôle est attribué uniquement aux groupes de rôles Enquêteur de données et Gestion de l’organisation dans Email & autorisations de collaboration. Vous pouvez ajouter des utilisateurs à ces groupes de rôles, ou vous pouvez créer un groupe de rôles dans Email & autorisations de collaboration avec le rôle Rechercher et vider attribué, et ajouter les utilisateurs au groupe de rôles personnalisé.
Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC)
- Microsoft Defender pour point de terminaison correction : Opérations de sécurité \ Données de sécurité \ Réponse (gérer).
-
Microsoft Defender pour Office 365 correction (contenu et e-mail Office, si Email & collaboration>Defender for Office 365 autorisations sont Actives. Affecte uniquement le portail Defender, et non PowerShell) :
- Accès en lecture pour les en-têtes de courrier électronique et de message Teams : Opérations de sécurité/Données brutes (e-mail & collaboration)/métadonnées de collaboration Email & (lecture) .
- Corriger les e-mails malveillants : opérations de sécurité/données de sécurité/Email & collaboration actions avancées (gérer).
Conseil
L’appartenance au groupe de rôles Administrateur de la sécurité Email & les autorisations de collaboration n’accorde pas l’accès au Centre de notifications ou aux fonctionnalités Microsoft Defender XDR. Pour ceux-ci, vous devez être membre du rôle Administrateur de la sécurité dans Microsoft Entra autorisations.
Autorisations defender pour point de terminaison :
- correction Microsoft Defender pour point de terminaison (appareils) : appartenance au rôle Actions de correction actives.
Conseil
Les membres du rôle Administrateur général dans Microsoft Entra ID peuvent approuver ou rejeter toute action en attente dans le Centre de notifications. Toutefois, il est recommandé de limiter les membres du rôle Administrateur général . Nous vous recommandons d’utiliser les autres rôles et groupes de rôles, comme décrit dans la liste précédente pour les autorisations du Centre de notifications.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.