Lire en anglais

Partager via


Gérer les incidents dans Microsoft Defender

La gestion des incidents est essentielle pour s’assurer que les incidents sont nommés, attribués et étiquetés afin d’optimiser le temps dans votre flux de travail des incidents et de contenir et de traiter plus rapidement les menaces.

Gérez vos incidents à partir de Investigation & response > Incidents & alertes > Incidents Lors du lancement rapide du portail Microsoft Defender (security.microsoft.com). Voici un exemple.

Capture d’écran montrant la file d’attente des incidents et le volet lancement rapide dans le portail Microsoft Defender.

Cet article vous montre comment effectuer diverses tâches de gestion des incidents associées à différentes étapes du cycle de vie d’un incident.

Triage des incidents :

Investigation et résolution des incidents :

Journalisation et création de rapports sur les incidents :

Accéder au volet Gérer l’incident

La plupart de ces tâches sont accessibles à partir du volet Gérer les incidents pour un incident. Vous pouvez accéder à ce volet à partir de plusieurs emplacements.

À partir de la file d’attente des incidents

  1. Sélectionnez Investigation & response > Incidents & alertes > Incidents dans le lancement rapide du portail Microsoft Defender.

  2. À partir de la file d’attente des incidents, accédez au volet Gérer les incidents de l’une des deux manières suivantes :

    • Sélectionnez la zone case activée d’un incident, puis sélectionnez Gérer les incidents dans la barre d’outils au-dessus des filtres. Gérez plusieurs incidents à la fois en sélectionnant plusieurs zones case activée.

    • Sélectionnez la ligne d’un incident (sans sélectionner le nom de l’incident) pour que le volet détails de l’incident s’affiche, puis sélectionnez Gérer l’incident dans le volet détails de l’incident.

      Capture d’écran montrant comment gérer les incidents à partir de la file d’attente d’incidents dans le portail Microsoft Defender.

À partir de la page de l’incident

  1. Sélectionnez Investigation & response > Incidents & alertes > Incidents dans le lancement rapide du portail Microsoft Defender.

  2. Sélectionnez le nom d’un incident dans la file d’attente. Vous pouvez également sélectionner la ligne d’un incident dans la file d’attente, puis ouvrir la page de l’incident dans le volet détails de l’incident.

  3. Dans la page de l’incident, sélectionnez Gérer l’incident dans le panneau supérieur.

    Si Gérer l’incident n’est pas visible, sélectionnez les trois points dans le coin supérieur droit (visibles dans la capture d’écran suivante en regard de « Gérer l’incident »), puis sélectionnez-le dans le menu qui s’affiche.

    Capture d’écran montrant comment gérer un incident à partir de la page d’incident dans le portail Microsoft Defender.

Triage des incidents

Les tâches de gestion suivantes sont étroitement associées au triage des incidents, bien qu’elles puissent être effectuées à tout moment.

Affecter un incident à un propriétaire

Par défaut, les nouveaux incidents sont créés sans propriétaire. Dans l’idéal, votre équipe SecOps doit avoir des mécanismes et des procédures en place pour attribuer automatiquement des incidents aux propriétaires. Vous devrez peut-être réaffecter un incident en cas d’escalade ou d’affectation d’origine erronée.

Affecter un propriétaire

Pour affecter manuellement un nouveau propriétaire à un incident, procédez comme suit :

  1. Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.

  2. Sélectionnez la zone Affecter à . Une liste déroulante de personnes suggérées s’affiche.

  3. Si vous voyez le compte d’utilisateur ou de groupe auquel vous souhaitez attribuer l’incident, sélectionnez-le.

    Sinon, commencez à taper le nom ou l’ID de compte de l’utilisateur ou du groupe souhaité dans la zone de texte en haut de la liste. La liste est mise à jour dynamiquement, filtrée par ce que vous tapez. Lorsque vous voyez l’utilisateur ou le groupe souhaité, sélectionnez-le.

  4. Pour supprimer une affectation existante, y compris celle que vous venez d’ajouter, sélectionnez le X en regard du nom du compte. Ensuite, sélectionnez la zone Affecter à si vous souhaitez ajouter une autre affectation.

    Un seul compte d’utilisateur ou de groupe peut être affecté à un incident.

  5. Sélectionnez Enregistrer.

L’attribution de la propriété d’un incident affecte la même propriété à toutes les alertes qui lui sont associées.

Capture d’écran montrant comment affecter un propriétaire dans le volet Gérer les incidents du portail Microsoft Defender.

Afficher les incidents attribués à un propriétaire particulier

Pour afficher la liste des incidents affectés à un utilisateur ou à un groupe particulier, filtrez la file d’attente des incidents :

  1. Dans la file d’attente des incidents, sélectionnez le filtre Affectation d’incident . Une liste déroulante de personnes suggérées s’affiche.

    Si vous ne voyez pas Affectation d’incident parmi les filtres, sélectionnez Ajouter un filtre, Attribution d’incident dans la liste déroulante, puis Sélectionnez Ajouter.

  2. Si vous voyez le compte d’utilisateur dont vous souhaitez afficher les incidents attribués, sélectionnez-le.

    Sinon, commencez à taper le nom ou l’ID de compte de l’utilisateur ou du groupe souhaité dans la zone de texte en haut de la liste. La liste est mise à jour dynamiquement, filtrée par ce que vous tapez. Lorsque vous voyez l’utilisateur ou le groupe souhaité, sélectionnez-le.

    Contrairement à l’attribution d’incidents, vous pouvez sélectionner ici plusieurs personnes attribuées pour filtrer la liste par. Pour ajouter un autre compte d’utilisateur ou de groupe au filtre, sélectionnez la zone de texte (en regard du compte existant dans le filtre) et la liste des ayants droit suggérés s’affiche à nouveau.

  3. Sélectionnez Appliquer.

    Capture d’écran montrant comment afficher les incidents attribués à un propriétaire dans la page de file d’attente des incidents dans le portail Microsoft Defender.

Pour enregistrer un lien vers la file d’attente des incidents avec les filtres actuels appliqués, sélectionnez Copier le lien de liste dans la barre d’outils de la page file d’attente des incidents. Créez un raccourci dans vos favoris ou sur votre bureau et collez-y le lien.

Affecter ou modifier la gravité de l’incident

La gravité d’un incident est déterminée par la gravité la plus élevée des alertes qui lui sont associées. La gravité d’un incident peut être définie sur élevée, moyenne, faible ou informationnelle.

Pour affecter ou modifier manuellement la gravité d’un incident, procédez comme suit :

  1. Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.

  2. Sélectionnez la valeur de gravité que vous souhaitez appliquer dans la liste déroulante Gravité du volet Gérer l’incident .

  3. Sélectionnez Enregistrer.

Ajouter des balises d’incident

Les balises personnalisées ajoutent des informations pour donner du contexte à un incident. Par exemple, une balise peut étiqueter un groupe d’incidents avec une caractéristique commune. Les balises étant un critère de filtrage, vous pouvez filtrer ultérieurement la file d’attente des incidents pour tous les incidents qui contiennent une balise spécifique. Pour appliquer une balise à un incident :

  1. Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.

  2. Dans le champ Étiquettes d’incident , commencez à taper le nom de la balise que vous souhaitez appliquer. Au fur et à mesure que vous tapez, une liste des balises précédemment utilisées et sélectionnées s’affiche. Si vous voyez la balise que vous souhaitez appliquer dans la liste, sélectionnez-la.

    Capture d’écran montrant comment créer une balise d’incident dans le volet Gérer les incidents.

    Si vous avez tapé un nom de balise qui n’a pas été utilisé auparavant, sélectionnez la dernière entrée dans la liste, à savoir le texte que vous avez tapé suivi de « (Créer nouveau). »

    Capture d’écran montrant comment sélectionner une balise à appliquer à un incident dans le volet Gérer les incidents.

    La balise apparaît ensuite sous la forme d’une étiquette dans le champ Étiquettes d’incident. Répétez cette étape pour ajouter d’autres balises comme vous le souhaitez.

    Capture d’écran montrant comment une balise sélectionnée apparaît dans le champ Étiquettes d’incident.

  3. Sélectionnez Enregistrer.

Un incident peut avoir des étiquettes système et/ou des balises personnalisées avec des arrière-plans de couleur. Les étiquettes personnalisées utilisent l’arrière-plan blanc, tandis que les balises système utilisent généralement des couleurs d’arrière-plan rouge ou noir. Les étiquettes système identifient les éléments suivants dans un incident :

  • Un type d’attaque, comme l’hameçonnage des informations d’identification ou la fraude BEC
  • Actions automatiques, telles que l’investigation et la réponse automatiques et l’interruption automatique des attaques
  • Les experts Defender gèrent un incident
  • Ressources critiques impliquées dans l’incident

Conseil

Les Sécurité - Gestion de l’exposition de Microsoft, basées sur des classifications prédéfinies, étiquettent automatiquement les appareils, les identités et les ressources cloud en tant que ressources critiques. Cette fonctionnalité prête à l’emploi garantit la protection des ressources les plus précieuses et les plus importantes d’un organization. Il aide également les équipes des opérations de sécurité à hiérarchiser l’investigation et la correction. En savoir plus sur la gestion des ressources critiques.

Modifier le status de l’incident

Les incidents commencent leur vie par un status d’Actif. Lorsque vous travaillez sur un incident, définissez l’État sur En cours.

Investigation et résolution des incidents

Les tâches de gestion suivantes sont étroitement associées à l’investigation et à la résolution des incidents, bien qu’elles puissent être effectuées à tout moment.

Résoudre un incident

Lorsqu’un incident est corrigé et résolu, effectuez les actions suivantes pour enregistrer la résolution :

  1. Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.

  2. Modifiez le status. Sélectionnez Résolu dans la liste déroulante État . Lorsque vous remplacez le status d’un incident par Résolu, un nouveau champ s’affiche immédiatement après le champ État.

  3. Entrez une note dans ce champ qui explique pourquoi vous considérez que l’incident est résolu. Cette note est visible dans le journal d’activité de l’incident, près de l’entrée qui enregistre la résolution de l’incident.

    Capture d’écran du panneau de gestion des incidents avec la note de résolution des incidents.

    La note de résolution est également visible dans le panneau Détails de l’incident sur la page de file d’attente des incidents et la page d’incident d’un incident résolu.

    Capture d’écran de l’apparence de la note de résolution dans le panneau détails de l’incident.

  4. Sélectionnez Enregistrer.

La résolution d’un incident résout également toutes les alertes liées et actives liées à l’incident. Un incident qui n’est pas résolu s’affiche comme Actif.

Spécifier la classification de l’incident

Lorsque vous résolvez un incident, ou à un moment quelconque de l’enquête d’un incident, dès que vous avez connaissance de la façon dont l’incident doit être classifié, définissez le champ Classification en conséquence.

  1. Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.

  2. Choisissez la valeur appropriée dans la liste déroulante Classification :

    • Non défini (valeur par défaut).
    • Vrai positif avec un type de menace. Utilisez cette classification pour les incidents qui indiquent avec précision une menace réelle. Spécifier le type de menace permet à votre équipe de sécurité de voir les modèles de menace et d’agir pour défendre votre organisation contre celles-ci.
    • Activité d’information attendue avec un type d’activité. Utilisez les options de cette catégorie pour classifier les incidents pour les tests de sécurité, l’activité d’équipe rouge et le comportement inhabituel attendu des applications et des utilisateurs approuvés.
    • Les faux positifs pour les types d’incidents que vous déterminez peuvent être ignorés, car ils sont techniquement inexacts ou trompeurs.

    Consultez les types d’activités et de menaces disponibles pour chacune de ces classifications dans la capture d’écran suivante.

  3. Sélectionnez Enregistrer.

    Capture d’écran montrant les options de classification pour les incidents.

La classification des incidents et la spécification de leur status et de leur type permettent d’ajuster Microsoft Defender pour fournir une meilleure détermination de la détection au fil du temps.

Ajouter des commentaires à un incident

Au cours de l’enquête et de l’incident, ajoutez des commentaires pour enregistrer vos activités, insights et conclusions.

  1. Ouvrez le journal d’activité de l’incident. Dans la page de l’incident ou dans le volet détails de l’incident de la page de file d’attente des incidents, sélectionnez les trois points dans le coin supérieur droit, puis, dans le menu qui en résulte, sélectionnez Journal d’activité.

    Capture d’écran montrant comment accéder au journal d’activité d’un incident.

  2. Tapez votre commentaire dans le champ de texte. Le champ de commentaire prend en charge le texte et la mise en forme, les liens et les images. Chaque commentaire est limité à 30 000 caractères.

    Capture d’écran montrant comment ajouter un commentaire à un incident.

  3. Sélectionnez Enregistrer.

Tous les commentaires sont ajoutés aux événements historiques de l’incident. Vous pouvez voir les commentaires et l’historique d’un incident à partir du lien Commentaires et historique sur la page Résumé .

Journalisation et création de rapports sur les incidents

Les tâches de gestion suivantes peuvent être associées à l’audit et à la création de rapports sur les enquêtes sur les incidents, bien qu’elles puissent être effectuées à tout moment.

Modifier le nom de l’incident

Microsoft Defender attribue automatiquement un nom en fonction des attributs d’alerte tels que le nombre de points de terminaison affectés, les utilisateurs affectés, les sources de détection ou les catégories. Le nom de l’incident vous permet de comprendre rapidement l’étendue de l’incident. Par exemple : incident multiphase sur plusieurs points de terminaison signalés par plusieurs sources.

Pour modifier le nom de l’incident, procédez comme suit :

  1. Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.

  2. Tapez un nouveau nom dans le champ Nom de l’incident du volet Gérer l’incident .

  3. Sélectionnez Enregistrer.

Notes

  • Les incidents qui existaient avant le déploiement de la fonctionnalité de nommage automatique des incidents conservent leur nom.

  • Si un autre incident est fusionné dans un incident renommé, Defender donne un nouveau nom à l’incident, en remplaçant tout nom personnalisé que vous lui avez donné au préalable.

Afficher le journal d’activité d’un incident

Lorsque vous effectuez un post-mortem d’un incident, consultez le journal d’activité de l’incident pour voir l’historique des actions effectuées sur l’incident (appelés « Audits ») et tous les commentaires enregistrés. Toutes les modifications apportées à l’incident, que ce soit par un utilisateur ou par le système, sont enregistrées dans le journal d’activité.

  1. Ouvrez le journal d’activité de l’incident. Dans la page de l’incident ou dans le volet détails de l’incident de la page de file d’attente des incidents, sélectionnez les trois points dans le coin supérieur droit, puis, dans le menu qui en résulte, sélectionnez Journal d’activité.

    Capture d’écran mettant en évidence l’option de journal d’activité à partir de la page de l’incident dans le portail Microsoft Defender.

  2. Filtrez les activités dans le journal par commentaires et actions. Sélectionnez Contenu : Audits, Commentaires, puis sélectionnez le type de contenu pour filtrer les activités. Voici un exemple.

    Capture d’écran mettant en évidence les options de filtre dans le volet journal d’activité à partir de la page d’incident du portail Microsoft Defender.

  3. Sélectionnez Appliquer.

Vous pouvez également ajouter vos propres commentaires à l’aide de la zone de commentaires disponible dans le journal d’activité. La zone de commentaire accepte le texte et la mise en forme, les liens et les images.

Important

Certaines informations contenues dans cet article concernent des produits en version préliminaire qui peuvent être considérablement modifiés avant leur commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Exporter les données d’incident au format PDF

Vous pouvez exporter les données d’un incident au format PDF via la fonction Exporter l’incident au format PDF et les enregistrer au format PDF. Cette fonction permet aux équipes de sécurité d’examiner les détails d’un incident hors connexion à tout moment.

Les données d’incident exportées incluent les informations suivantes :

Voici un exemple de fichier PDF exporté :

Capture d’écran de la première page du PDF exporté.

Si vous disposez de la licence Copilot for Security , le fichier PDF exporté contient les données d’incident supplémentaires suivantes :

La fonction d’exportation au format PDF est également disponible dans le panneau latéral De Copilot. Quand vous sélectionnez les points de suspension Autres actions (...) dans le coin supérieur droit des résultats du rapport d’incident carte, vous pouvez choisir Exporter l’incident au format PDF.

Capture d’écran d’actions supplémentaires dans la carte des résultats du rapport d’incident.

Pour générer le fichier PDF, procédez comme suit :

  1. Ouvrez une page d'incident. Sélectionnez les points de suspension Autres actions (...) dans le coin supérieur droit et choisissez Exporter l’incident au format PDF.

    Capture d’écran mettant en évidence les points de suspension Autres actions sur la page de l’incident.

  2. Dans la boîte de dialogue qui s’affiche ensuite, confirmez les informations d’incident que vous souhaitez inclure ou exclure dans le fichier PDF. Toutes les informations sur les incidents sont sélectionnées par défaut. Sélectionnez Exporter le fichier PDF pour continuer.

    Capture d’écran mettant en évidence l’option d’exportation de l’incident au format PDF.

  3. Un message status indiquant l’état actuel du téléchargement s’affiche sous le titre de l’incident. Le processus d’exportation peut prendre quelques minutes en fonction de la complexité de l’incident et de la quantité de données à exporter.

    Capture d’écran mettant en évidence le message d’exportation et status avant le téléchargement.

  4. Une autre boîte de dialogue s’affiche pour indiquer que le fichier PDF est prêt. Sélectionnez Télécharger dans la boîte de dialogue pour enregistrer le fichier PDF sur votre appareil. Le message status sous le titre de l’incident est également mis à jour pour indiquer que le téléchargement est disponible.

    Capture d’écran mettant en évidence le message d’exportation et status lorsque le téléchargement est disponible.

Le rapport est mis en cache pendant quelques minutes. Le système fournit le fichier PDF généré précédemment si vous essayez d’exporter à nouveau le même incident dans un laps de temps court. Pour générer une version plus récente du FICHIER PDF, attendez quelques minutes que le cache expire.

Étapes suivantes

Pour les incidents nouveaux et in-process, poursuivez votre enquête sur les incidents.

Pour les incidents résolus, effectuez une révision post-incident.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.