Commencer à utiliser Microsoft Defender Experts pour la chasse

S’applique à :

• Microsoft Defender XDR

Cet article explique comment intégrer le service Microsoft Defender Experts for Hunting, configurer des contacts de notification et configurer les notifications Defender Experts.

Intégration à Defender Experts for Hunting

Si vous débutez avec Microsoft Defender XDR et Defender Experts for Hunting :

1. Lorsque vous recevez votre e-mail de bienvenue, sélectionnez Se connecter à Microsoft Defender XDR.

2. Connectez-vous si vous avez déjà un compte Microsoft. Si vous n’avez pas de compte Microsoft, créez-en un.

3. La visite guidée rapide Microsoft Defender XDR vous présente la suite de sécurité, où se trouvent les fonctionnalités et leur importance. Sélectionnez Effectuer une visite guidée rapide.

4. Lisez les brèves descriptions sur le service Microsoft Defender Experts et les fonctionnalités qu’il fournit. Sélectionnez Suivant. La page d’accueil s’affiche :

   

Dites-nous qui contacter pour des questions importantes

Defender Experts for Hunting vous permet de configurer des contacts de notification. Ces contacts sont les individus ou les groupes au sein de votre organization que Microsoft doit notifier en cas d’incidents critiques ou de mises à jour de service :

• Contacts de notification d’incident : ces contacts sont des personnes ou des équipes que Microsoft peut notifier pour tout incident critique ou clarification de repérage nécessitant une réponse immédiate.

  Vous pouvez désigner la priorité d’appel de vos contacts de notification d’incident. En cas d’incident critique, Microsoft contacte d’abord le contact principal en utilisant le numéro de téléphone que vous avez fourni, puis le contact de sauvegarde si nécessaire.

• Contacts de notification de révision de service : ces contacts sont des personnes ou des équipes avec lesquelles Microsoft peut s’engager pour les mises à jour de service, les rapports et les opportunités de commentaires.

Configurez vos contacts de notification dans l’Assistant Configuration lors de l’intégration au service pour la première fois, ou à partir du menu de navigation du portail Microsoft Defender en accédant à Paramètres système>Contacts> denotificationDefender Experts>.

Recevoir des notifications Defender Experts

Le service De notifications Defender Experts inclut :

• Surveillance et analyse des menaces, réduction du temps d’attente et des risques pour votre entreprise
• L’intelligence artificielle entraînée par Hunter pour découvrir et cibler à la fois les attaques connues et les menaces émergentes
• Identification des risques les plus pertinents, aidant les SOC à optimiser leur efficacité
• Aide à la définition des compromis et autant de contexte que possible rapidement pour permettre une réponse SOC rapide

Reportez-vous à la capture d’écran suivante pour voir un exemple de notification d’experts Defender :

Où trouver les notifications des experts Defender

Vous pouvez recevoir des notifications d’experts Defender par le biais des supports suivants :

• Page Incidents du portail Defender
• Page Alertes du portail Defender
• API d’alerte OData et API REST
• Table DeviceAlertEvents dans repérage avancé
• Votre adresse e-mail si vous configurez une règle de Notifications par e-mail

Filtre pour afficher uniquement les notifications des experts Defender

Vous pouvez filtrer vos incidents et alertes si vous souhaitez voir uniquement les notifications des experts Defender parmi les nombreuses alertes. Pour effectuer ce filtre :

1. Dans le menu de navigation, accédez à Incidents & alertes>Incidents> sélectionnez .
2. Faites défiler jusqu’à Sources de service/détection, puis cochez les cases Microsoft Defender Experts sous Microsoft Defender pour point de terminaison et Microsoft Defender XDR.
3. Sélectionnez Appliquer.

Configurer defender Experts Notifications par e-mail

Vous pouvez configurer Microsoft Defender XDR pour vous informer, vous ou votre personnel, à l’aide d’un e-mail, de nouveaux incidents ou de mises à jour d’incidents existants, y compris ceux observés par Microsoft Defender Experts. En savoir plus sur l’obtention de notifications d’incident par e-mail.

1. Dans le volet de navigation Microsoft Defender XDR, sélectionnez Paramètres>Microsoft Defender XDR>Email notifications>Incidents.
2. Mettez à jour vos règles de notification par e-mail existantes ou créez-en une nouvelle. Pour plus d’informations, consultez Audit.
3. Dans la page Paramètres de notification de la règle, veillez à configurer les valeurs suivantes :
   • Source : choisissez Microsoft Defender Experts sous Microsoft Defender XDR et Microsoft Defender pour point de terminaison.
   • Gravité de l’alerte : choisissez les gravités d’alerte qui déclenchent une notification d’incident. Par exemple, si vous souhaitez uniquement être informé des incidents de gravité élevée, sélectionnez Élevé.

Générer des exemples de notifications Defender Experts

Vous pouvez générer un exemple de notification d’experts Defender pour commencer à découvrir le service Defender Experts for Hunting sans attendre une activité critique réelle dans votre environnement. En générant un exemple de notification, vous pouvez également tester les Notifications par e-mail que vous avez précédemment configurées dans le portail Microsoft Defender pour ce service. Vous pouvez également tester la configuration des playbooks (s’ils sont configurés pour ces notifications) et des règles dans votre environnement SIEM (Security Information and Event Management).

Un exemple de notification Defender Experts s’affiche dans votre page Incidents avec le titre Defender Experts : Test Notification from Microsoft Defender Experts. Le contenu de la notification est un texte d’espace réservé, tandis que les autres éléments tels que les alertes sont générés de manière aléatoire à partir d’événements présents dans votre locataire et ne sont pas réellement affectés.

Pour générer un exemple de notification :

1. Dans le volet de navigation de votre Microsoft Defender XDR, accédez à Paramètres>Experts Defender, puis sélectionnez Exemples de notifications.

2. Sélectionnez Générer un exemple de notification. Un message vert status s’affiche, confirmant que votre exemple de notification est prêt à être examiné.

3. Sous Notification d’experts Defender récemment générée, sélectionnez un lien dans la liste pour afficher l’exemple de notification généré correspondant. L’exemple le plus récent apparaît en haut de la liste. La sélection d’un lien vous redirige vers la page Incidents .

   

Étape suivante

• Accéder aux notifications des experts Defender à l’aide de l’API de sécurité Microsoft Graph

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.