Partager via

Fusionner manuellement les incidents dans le portail Microsoft Defender (préversion)

  • S’applique à: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Les incidents sont automatiquement créés dans le portail Microsoft Defender lorsque des activités suspectes sont détectées. Lorsque deux incidents décrivent des parties d’une même histoire d’attaque, Defender fusionne généralement ces incidents en un seul incident automatiquement pour vous aider à examiner les incidents de manière plus efficace et plus efficace et à les résoudre plus rapidement et plus précisément.

Parfois, toutefois, la fusion automatique ne se produit pas, en raison de certaines conditions qui l’empêchent. Pour en savoir plus sur le moment où les incidents sont ou ne sont pas fusionnés, consultez Corrélation et fusion d’incidents. Dans ces circonstances, ou si vous décidez indépendamment que deux incidents (non fusionnés) sont liés et doivent être examinés comme une seule unité, vous pouvez les fusionner manuellement. Cet article explique comment procéder.

Configuration requise

  • Les utilisateurs doivent disposer des autorisations nécessaires pour afficher la file d’attente des incidents.
  • Les utilisateurs doivent disposer d’autorisations de lecture et d’écriture sur tous les incidents qu’ils souhaitent fusionner. Les incidents provenant de différentes sources ont des rôles RBAC différents définis.
  • Les incidents candidats à la fusion doivent avoir les mêmes valeurs les unes que les autres, ou des valeurs null, pour les champs Affecté à, Classification et Détermination .

Fusionner les incidents à partir de la page file d’attente d’incidents

  1. Ouvrez la file d’attente des incidents. Sélectionnez Investigation & response > Incidents & alertes > Incidents dans le menu de lancement rapide du portail Microsoft Defender.

  2. Sélectionnez les deux incidents que vous souhaitez fusionner en cochant les cases au début de leurs lignes dans la file d’attente. Lorsque deux incidents sont marqués, le bouton Fusionner les incidents s’affiche dans la barre d’outils.

    Capture d’écran de la sélection d’incidents dans la file d’attente pour les fusionner.

  3. Sélectionnez Fusionner les incidents dans la barre d’outils. Le menu volant Fusionner les incidents s’ouvre.

  4. Dans la zone de texte Raison de la fusion , tapez une description de la raison pour laquelle vous souhaitez fusionner les incidents.

  5. Fournissez des commentaires expliquant pourquoi vous fusionnez les incidents en sélectionnant l’une des options prédéfinies. Cette étape permet à Microsoft d’améliorer la corrélation des alertes à l’avenir.

  6. Sélectionnez Fusionner les incidents en bas du menu volant pour exécuter la fusion.

    Capture d’écran de la fusion d’incidents à partir de la file d’attente.

  7. Dans la boîte de dialogue de confirmation qui s’affiche, sélectionnez Fusionner. Une fois la fusion terminée, une notification « Réussite » s’affiche, avec un lien à suivre pour accéder à l’incident (cible) fusionné.

    Si la fusion échoue, une boîte de dialogue s’affiche avec un message indiquant que la fusion des incidents a échoué. Vérifiez que les deux incidents ont les mêmes valeurs, ou qu’au moins l’un des incidents a une valeur Null, pour Affecté à, Classification et Détermination.

Fusionner les incidents à partir de la page d’incident

  1. Sélectionnez le nom de l’un des deux incidents que vous souhaitez fusionner à partir de la file d’attente des incidents. Il peut s’agir de la source ou de l’incident cible, car Microsoft Defender détermine lequel est lequel. Pour plus d’informations, consultez Détails du processus de fusion.

  2. La page d’incident s’affiche. Là, dans le menu Actions (les trois points dans le coin supérieur droit), sélectionnez Fusionner les incidents.

    Capture d’écran de la fusion des incidents à partir de la page d’incident.

  3. Le menu volant Incidents de fusion s’affiche. Dans le champ Autre nom ou ID d’incident , commencez à taper le nom ou l’ID de l’incident que vous souhaitez fusionner avec l’incident ouvert. La liste des incidents disponibles est affichée et filtrée dynamiquement au fur et à mesure que vous tapez. Lorsque vous voyez celui que vous souhaitez dans la liste, sélectionnez-le.

    Capture d’écran du panneau de fusion des incidents à partir de la page d’incident.

  4. Dans la zone de texte Commentaire , tapez une description de la raison pour laquelle vous souhaitez fusionner les incidents.

  5. Sélectionnez Fusionner les incidents en bas du menu volant pour exécuter la fusion.

  6. Dans la boîte de dialogue de confirmation qui s’affiche, sélectionnez Fusionner. Une fois la fusion terminée, une notification « Réussite » s’affiche, l’incident ouvert est fermé et vous êtes redirigé vers l’incident fusionné (cible).

    Si la fusion échoue, une boîte de dialogue s’affiche avec un message indiquant que la fusion des incidents a échoué. Pour que la fusion réussisse, les deux incidents doivent avoir les mêmes valeurs (ou au moins un incident doit avoir une valeur null) pour Affecté à, Classification et Détermination.

Notes

  • Lorsque les incidents sont en cours de fusion, vous ne pouvez pas afficher ou apporter de modifications à l’un ou l’autre des incidents.

  • Les fusions d’incidents sont enregistrées dans le journal d’activité de l’incident cible. Les messages de journal affichent les noms et les ID des incidents sources qui ont été fusionnés dans l’incident ouvert (cible).

  • Les entrées du journal d’activité de l’incident source sont copiées dans le journal d’activité de l’incident cible. Les entrées apparaissent avec une indication qu’elles ont été fusionnées à partir de l’incident source. Vous pouvez filtrer le journal d’activité pour afficher les entrées des incidents source ou cible, ou des deux.

Voir aussi

  • Last updated on