Gérer les incidents dans Microsoft Defender
La gestion des incidents est essentielle pour s’assurer que les incidents sont nommés, attribués et étiquetés afin d’optimiser le temps dans votre flux de travail des incidents et de contenir et de traiter plus rapidement les menaces.
Gérez vos incidents à partir de Investigation & response > Incidents & alertes > Incidents Lors du lancement rapide du portail Microsoft Defender (security.microsoft.com). Voici un exemple.
Cet article vous montre comment effectuer diverses tâches de gestion des incidents associées à différentes étapes du cycle de vie d’un incident.
- Affectez l’incident à un propriétaire.
- Affectez ou modifiez la gravité.
- Ajouter des étiquettes d’incident.
- Modifiez la status de l’incident.
Investigation et résolution des incidents :
- Résoudre un incident.
- Spécifiez la classification d’un incident.
- Ajouter des commentaires à un incident.
Journalisation et création de rapports sur les incidents :
- Modifiez le nom de l’incident.
- Évaluez l’audit d’activité et ajoutez des commentaires dans le journal d’activité.
- Exporter les données d’incident au format PDF.
La plupart de ces tâches sont accessibles à partir du volet Gérer les incidents pour un incident. Vous pouvez accéder à ce volet à partir de plusieurs emplacements.
Sélectionnez Investigation & response > Incidents & alertes > Incidents dans le lancement rapide du portail Microsoft Defender.
À partir de la file d’attente des incidents, accédez au volet Gérer les incidents de l’une des deux manières suivantes :
Sélectionnez la zone case activée d’un incident, puis sélectionnez Gérer les incidents dans la barre d’outils au-dessus des filtres. Gérez plusieurs incidents à la fois en sélectionnant plusieurs zones case activée.
Sélectionnez la ligne d’un incident (sans sélectionner le nom de l’incident) pour que le volet détails de l’incident s’affiche, puis sélectionnez Gérer l’incident dans le volet détails de l’incident.
Sélectionnez Investigation & response > Incidents & alertes > Incidents dans le lancement rapide du portail Microsoft Defender.
Sélectionnez le nom d’un incident dans la file d’attente. Vous pouvez également sélectionner la ligne d’un incident dans la file d’attente, puis ouvrir la page de l’incident dans le volet détails de l’incident.
Dans la page de l’incident, sélectionnez Gérer l’incident dans le panneau supérieur.
Si Gérer l’incident n’est pas visible, sélectionnez les trois points dans le coin supérieur droit (visibles dans la capture d’écran suivante en regard de « Gérer l’incident »), puis sélectionnez-le dans le menu qui s’affiche.
Les tâches de gestion suivantes sont étroitement associées au triage des incidents, bien qu’elles puissent être effectuées à tout moment.
- Affectez l’incident à un propriétaire.
- Affectez ou modifiez la gravité.
- Ajouter des étiquettes d’incident.
- Modifiez la status de l’incident.
Par défaut, les nouveaux incidents sont créés sans propriétaire. Dans l’idéal, votre équipe SecOps doit avoir des mécanismes et des procédures en place pour attribuer automatiquement des incidents aux propriétaires. Vous devrez peut-être réaffecter un incident en cas d’escalade ou d’affectation d’origine erronée.
Pour affecter manuellement un nouveau propriétaire à un incident, procédez comme suit :
Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.
Sélectionnez la zone Affecter à . Une liste déroulante de personnes suggérées s’affiche.
Si vous voyez le compte d’utilisateur ou de groupe auquel vous souhaitez attribuer l’incident, sélectionnez-le.
Sinon, commencez à taper le nom ou l’ID de compte de l’utilisateur ou du groupe souhaité dans la zone de texte en haut de la liste. La liste est mise à jour dynamiquement, filtrée par ce que vous tapez. Lorsque vous voyez l’utilisateur ou le groupe souhaité, sélectionnez-le.
Pour supprimer une affectation existante, y compris celle que vous venez d’ajouter, sélectionnez le X en regard du nom du compte. Ensuite, sélectionnez la zone Affecter à si vous souhaitez ajouter une autre affectation.
Un seul compte d’utilisateur ou de groupe peut être affecté à un incident.
Sélectionnez Enregistrer.
L’attribution de la propriété d’un incident affecte la même propriété à toutes les alertes qui lui sont associées.
Pour afficher la liste des incidents affectés à un utilisateur ou à un groupe particulier, filtrez la file d’attente des incidents :
Dans la file d’attente des incidents, sélectionnez le filtre Affectation d’incident . Une liste déroulante de personnes suggérées s’affiche.
Si vous ne voyez pas Affectation d’incident parmi les filtres, sélectionnez Ajouter un filtre, Attribution d’incident dans la liste déroulante, puis Sélectionnez Ajouter.
Si vous voyez le compte d’utilisateur dont vous souhaitez afficher les incidents attribués, sélectionnez-le.
Sinon, commencez à taper le nom ou l’ID de compte de l’utilisateur ou du groupe souhaité dans la zone de texte en haut de la liste. La liste est mise à jour dynamiquement, filtrée par ce que vous tapez. Lorsque vous voyez l’utilisateur ou le groupe souhaité, sélectionnez-le.
Contrairement à l’attribution d’incidents, vous pouvez sélectionner ici plusieurs personnes attribuées pour filtrer la liste par. Pour ajouter un autre compte d’utilisateur ou de groupe au filtre, sélectionnez la zone de texte (en regard du compte existant dans le filtre) et la liste des ayants droit suggérés s’affiche à nouveau.
Sélectionnez Appliquer.
Pour enregistrer un lien vers la file d’attente des incidents avec les filtres actuels appliqués, sélectionnez Copier le lien de liste dans la barre d’outils de la page file d’attente des incidents. Créez un raccourci dans vos favoris ou sur votre bureau et collez-y le lien.
La gravité d’un incident est déterminée par la gravité la plus élevée des alertes qui lui sont associées. La gravité d’un incident peut être définie sur élevée, moyenne, faible ou informationnelle.
Pour affecter ou modifier manuellement la gravité d’un incident, procédez comme suit :
Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.
Sélectionnez la valeur de gravité que vous souhaitez appliquer dans la liste déroulante Gravité du volet Gérer l’incident .
Sélectionnez Enregistrer.
Les balises personnalisées ajoutent des informations pour donner du contexte à un incident. Par exemple, une balise peut étiqueter un groupe d’incidents avec une caractéristique commune. Les balises étant un critère de filtrage, vous pouvez filtrer ultérieurement la file d’attente des incidents pour tous les incidents qui contiennent une balise spécifique. Pour appliquer une balise à un incident :
Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.
Dans le champ Étiquettes d’incident , commencez à taper le nom de la balise que vous souhaitez appliquer. Au fur et à mesure que vous tapez, une liste des balises précédemment utilisées et sélectionnées s’affiche. Si vous voyez la balise que vous souhaitez appliquer dans la liste, sélectionnez-la.
Si vous avez tapé un nom de balise qui n’a pas été utilisé auparavant, sélectionnez la dernière entrée dans la liste, à savoir le texte que vous avez tapé suivi de « (Créer nouveau). »
La balise apparaît ensuite sous la forme d’une étiquette dans le champ Étiquettes d’incident. Répétez cette étape pour ajouter d’autres balises comme vous le souhaitez.
Sélectionnez Enregistrer.
Un incident peut avoir des étiquettes système et/ou des balises personnalisées avec des arrière-plans de couleur. Les étiquettes personnalisées utilisent l’arrière-plan blanc, tandis que les balises système utilisent généralement des couleurs d’arrière-plan rouge ou noir. Les étiquettes système identifient les éléments suivants dans un incident :
- Un type d’attaque, comme l’hameçonnage des informations d’identification ou la fraude BEC
- Actions automatiques, telles que l’investigation et la réponse automatiques et l’interruption automatique des attaques
- Les experts Defender gèrent un incident
- Ressources critiques impliquées dans l’incident
Conseil
Les Sécurité - Gestion de l’exposition de Microsoft, basées sur des classifications prédéfinies, étiquettent automatiquement les appareils, les identités et les ressources cloud en tant que ressources critiques. Cette fonctionnalité prête à l’emploi garantit la protection des ressources les plus précieuses et les plus importantes d’un organization. Il aide également les équipes des opérations de sécurité à hiérarchiser l’investigation et la correction. En savoir plus sur la gestion des ressources critiques.
Les incidents commencent leur vie par un status d’Actif. Lorsque vous travaillez sur un incident, définissez l’État sur En cours.
Les tâches de gestion suivantes sont étroitement associées à l’investigation et à la résolution des incidents, bien qu’elles puissent être effectuées à tout moment.
- Résoudre un incident.
- Spécifiez la classification d’un incident.
- Ajouter des commentaires à un incident.
Lorsqu’un incident est corrigé et résolu, effectuez les actions suivantes pour enregistrer la résolution :
Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.
Modifiez le status. Sélectionnez Résolu dans la liste déroulante État . Lorsque vous remplacez le status d’un incident par Résolu, un nouveau champ s’affiche immédiatement après le champ État.
Entrez une note dans ce champ qui explique pourquoi vous considérez que l’incident est résolu. Cette note est visible dans le journal d’activité de l’incident, près de l’entrée qui enregistre la résolution de l’incident.
La note de résolution est également visible dans le panneau Détails de l’incident sur la page de file d’attente des incidents et la page d’incident d’un incident résolu.
Sélectionnez Enregistrer.
La résolution d’un incident résout également toutes les alertes liées et actives liées à l’incident. Un incident qui n’est pas résolu s’affiche comme Actif.
Lorsque vous résolvez un incident, ou à un moment quelconque de l’enquête d’un incident, dès que vous avez connaissance de la façon dont l’incident doit être classifié, définissez le champ Classification en conséquence.
Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.
Choisissez la valeur appropriée dans la liste déroulante Classification :
- Non défini (valeur par défaut).
- Vrai positif avec un type de menace. Utilisez cette classification pour les incidents qui indiquent avec précision une menace réelle. Spécifier le type de menace permet à votre équipe de sécurité de voir les modèles de menace et d’agir pour défendre votre organisation contre celles-ci.
- Activité d’information attendue avec un type d’activité. Utilisez les options de cette catégorie pour classifier les incidents pour les tests de sécurité, l’activité d’équipe rouge et le comportement inhabituel attendu des applications et des utilisateurs approuvés.
- Les faux positifs pour les types d’incidents que vous déterminez peuvent être ignorés, car ils sont techniquement inexacts ou trompeurs.
Consultez les types d’activités et de menaces disponibles pour chacune de ces classifications dans la capture d’écran suivante.
Sélectionnez Enregistrer.
La classification des incidents et la spécification de leur status et de leur type permettent d’ajuster Microsoft Defender pour fournir une meilleure détermination de la détection au fil du temps.
Au cours de l’enquête et de l’incident, ajoutez des commentaires pour enregistrer vos activités, insights et conclusions.
Ouvrez le journal d’activité de l’incident. Dans la page de l’incident ou dans le volet détails de l’incident de la page de file d’attente des incidents, sélectionnez les trois points dans le coin supérieur droit, puis, dans le menu qui en résulte, sélectionnez Journal d’activité.
Tapez votre commentaire dans le champ de texte. Le champ de commentaire prend en charge le texte et la mise en forme, les liens et les images. Chaque commentaire est limité à 30 000 caractères.
Sélectionnez Enregistrer.
Tous les commentaires sont ajoutés aux événements historiques de l’incident. Vous pouvez voir les commentaires et l’historique d’un incident à partir du lien Commentaires et historique sur la page Résumé .
Les tâches de gestion suivantes peuvent être associées à l’audit et à la création de rapports sur les enquêtes sur les incidents, bien qu’elles puissent être effectuées à tout moment.
- Modifiez le nom de l’incident.
- Évaluez l’audit d’activité et ajoutez des commentaires dans le journal d’activité.
- Exporter les données d’incident au format PDF.
Microsoft Defender attribue automatiquement un nom en fonction des attributs d’alerte tels que le nombre de points de terminaison affectés, les utilisateurs affectés, les sources de détection ou les catégories. Le nom de l’incident vous permet de comprendre rapidement l’étendue de l’incident. Par exemple : incident multiphase sur plusieurs points de terminaison signalés par plusieurs sources.
Pour modifier le nom de l’incident, procédez comme suit :
Suivez les instructions de la section d’ouverture pour Accéder au volet Gérer les incidents.
Tapez un nouveau nom dans le champ Nom de l’incident du volet Gérer l’incident .
Sélectionnez Enregistrer.
Notes
Les incidents qui existaient avant le déploiement de la fonctionnalité de nommage automatique des incidents conservent leur nom.
Si un autre incident est fusionné dans un incident renommé, Defender donne un nouveau nom à l’incident, en remplaçant tout nom personnalisé que vous lui avez donné au préalable.
Lorsque vous effectuez un post-mortem d’un incident, consultez le journal d’activité de l’incident pour voir l’historique des actions effectuées sur l’incident (appelés « Audits ») et tous les commentaires enregistrés. Toutes les modifications apportées à l’incident, que ce soit par un utilisateur ou par le système, sont enregistrées dans le journal d’activité.
Ouvrez le journal d’activité de l’incident. Dans la page de l’incident ou dans le volet détails de l’incident de la page de file d’attente des incidents, sélectionnez les trois points dans le coin supérieur droit, puis, dans le menu qui en résulte, sélectionnez Journal d’activité.
Filtrez les activités dans le journal par commentaires et actions. Sélectionnez Contenu : Audits, Commentaires, puis sélectionnez le type de contenu pour filtrer les activités. Voici un exemple.
Sélectionnez Appliquer.
Vous pouvez également ajouter vos propres commentaires à l’aide de la zone de commentaires disponible dans le journal d’activité. La zone de commentaire accepte le texte et la mise en forme, les liens et les images.
Important
Certaines informations contenues dans cet article concernent des produits en version préliminaire qui peuvent être considérablement modifiés avant leur commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Vous pouvez exporter les données d’un incident au format PDF via la fonction Exporter l’incident au format PDF et les enregistrer au format PDF. Cette fonction permet aux équipes de sécurité d’examiner les détails d’un incident hors connexion à tout moment.
Les données d’incident exportées incluent les informations suivantes :
- Vue d’ensemble contenant les détails de l’incident
- Le graphique de scénario d’attaque et les catégories de menaces
- Les ressources impactées, couvrant jusqu’à 10 ressources pour chaque type de ressource
- La liste des preuves couvrant jusqu’à 100 éléments
- Données de prise en charge, y compris toutes les alertes et activités associées enregistrées dans le journal d’activité
Voici un exemple de fichier PDF exporté :
Si vous disposez de la licence Copilot for Security , le fichier PDF exporté contient les données d’incident supplémentaires suivantes :
La fonction d’exportation au format PDF est également disponible dans le panneau latéral De Copilot. Quand vous sélectionnez les points de suspension Autres actions (...) dans le coin supérieur droit des résultats du rapport d’incident carte, vous pouvez choisir Exporter l’incident au format PDF.
Pour générer le fichier PDF, procédez comme suit :
Ouvrez une page d'incident. Sélectionnez les points de suspension Autres actions (...) dans le coin supérieur droit et choisissez Exporter l’incident au format PDF.
Dans la boîte de dialogue qui s’affiche ensuite, confirmez les informations d’incident que vous souhaitez inclure ou exclure dans le fichier PDF. Toutes les informations sur les incidents sont sélectionnées par défaut. Sélectionnez Exporter le fichier PDF pour continuer.
Un message status indiquant l’état actuel du téléchargement s’affiche sous le titre de l’incident. Le processus d’exportation peut prendre quelques minutes en fonction de la complexité de l’incident et de la quantité de données à exporter.
Une autre boîte de dialogue s’affiche pour indiquer que le fichier PDF est prêt. Sélectionnez Télécharger dans la boîte de dialogue pour enregistrer le fichier PDF sur votre appareil. Le message status sous le titre de l’incident est également mis à jour pour indiquer que le téléchargement est disponible.
Le rapport est mis en cache pendant quelques minutes. Le système fournit le fichier PDF généré précédemment si vous essayez d’exporter à nouveau le même incident dans un laps de temps court. Pour générer une version plus récente du FICHIER PDF, attendez quelques minutes que le cache expire.
Pour les incidents nouveaux et in-process, poursuivez votre enquête sur les incidents.
Pour les incidents résolus, effectuez une révision post-incident.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.