Lire en anglais

Partager via


Analyse des menaces dans Microsoft Defender XDR

S’applique à :

  • Microsoft Defender XDR

Important

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

L’analytique des menaces est notre solution de renseignement sur les menaces intégrée au produit de la part d’experts en sécurité Microsoft. Il est conçu pour aider les équipes de sécurité à être aussi efficaces que possible face aux menaces émergentes, telles que :

  • Les acteurs actifs contre les menaces et leurs campagnes
  • Techniques d’attaque populaires et nouvelles
  • Vulnérabilités critiques
  • Surface d'attaque courantes
  • Programmes malveillants répandus

Vous pouvez accéder à l’analyse des menaces en haut à gauche de la barre de navigation de Microsoft Defender portail ou à partir d’un tableau de bord dédié carte qui présente les principales menaces pour votre organisation, à la fois en termes d’impact connu et d’exposition.

Capture d’écran de la page d’accueil d’analyse des menaces

Obtenir une visibilité sur les campagnes actives ou en cours et savoir ce qu’il faut faire par le biais de l’analyse des menaces peut aider votre équipe chargée des opérations de sécurité à prendre des décisions éclairées.

Avec des adversaires plus sophistiqués et de nouvelles menaces qui apparaissent fréquemment et de manière répandue, il est essentiel de pouvoir rapidement :

  • Identifier les menaces émergentes et y réagir
  • Découvrez si vous êtes actuellement attaqué
  • Évaluer l’impact de la menace sur vos ressources
  • Passer en revue votre résilience face aux menaces ou votre exposition aux menaces
  • Identifier les mesures d’atténuation, de récupération ou de prévention que vous pouvez prendre pour arrêter ou contenir les menaces

Chaque rapport fournit une analyse d’une menace suivie et des conseils complets sur la façon de se défendre contre cette menace. Il incorpore également les données de votre réseau, indiquant si la menace est active et si vous avez mis en place des protections applicables.

Rôles et des autorisations requis

Les rôles et autorisations suivants sont requis pour accéder à l’analyse des menaces dans le portail Defender :

  • Notions de base des données de sécurité (lecture) : pour afficher le rapport d’analyse des menaces, les incidents et les alertes associés, ainsi que les ressources impactées
  • Gestion des vulnérabilités (lecture) et degré de sécurisation (lecture) : pour voir les données d’exposition associées et les actions recommandées

Par défaut, l’accès aux services disponibles dans le portail Defender est géré collectivement à l’aide de Microsoft Entra rôles globaux. Si vous avez besoin d’une plus grande flexibilité et d’un meilleur contrôle de l’accès à des données de produit spécifiques et que vous n’utilisez pas encore le contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender XDR unifié pour la gestion centralisée des autorisations, nous vous recommandons de créer des rôles personnalisés pour chaque service. En savoir plus sur la création de rôles personnalisés

Important

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Vous aurez une visibilité sur tous les rapports d’analyse des menaces, même si vous n’avez qu’un seul des produits pris en charge. Toutefois, vous devez disposer de chaque produit et rôle pour voir les incidents, les ressources, l’exposition et les actions recommandées spécifiques de ce produit associés à la menace.

Afficher le tableau de bord Analyse des menaces

Le tableau de bord Analyse des menaces (security.microsoft.com/threatanalytics3) met en évidence les rapports les plus pertinents pour votre organization. Il récapitule les menaces dans les sections suivantes :

  • Dernières menaces : répertorie les rapports de menaces les plus récemment publiés ou mis à jour, ainsi que le nombre d’alertes actives et résolues.
  • Menaces à fort impact : répertorie les menaces qui ont l’impact le plus élevé sur votre organization. Cette section répertorie d’abord les menaces avec le plus grand nombre d’alertes actives et résolues.
  • Menaces les plus exposées : répertorie les menaces auxquelles votre organization est exposé le plus. Votre niveau d’exposition à une menace est calculé à l’aide de deux informations : la gravité des vulnérabilités associées à la menace et le nombre d’appareils de votre organization qui pourraient être exploités par ces vulnérabilités.

Capture d’écran du tableau de bord d’analyse des menaces,

Sélectionnez une menace dans le tableau de bord pour afficher le rapport de cette menace. Vous pouvez également sélectionner le champ De recherche à utiliser dans un mot clé lié au rapport d’analyse des menaces que vous souhaitez lire.

Afficher les rapports par catégorie

Vous pouvez filtrer la liste des rapports sur les menaces et afficher les rapports les plus pertinents en fonction d’un type de menace spécifique ou par type de rapport.

  • Étiquettes de menace : vous aident à afficher les rapports les plus pertinents en fonction d’une catégorie de menace spécifique. Par exemple, la balise Ransomware inclut tous les rapports liés aux rançongiciels.
  • Types de rapports : vous aide à afficher les rapports les plus pertinents en fonction d’un type de rapport spécifique. Par exemple, la balise Outils & techniques inclut tous les rapports qui couvrent les outils et techniques.

Les différentes étiquettes ont des filtres équivalents qui vous aident à examiner efficacement la liste des rapports sur les menaces et à filtrer l’affichage en fonction d’une balise de menace ou d’un type de rapport spécifique. Par exemple, pour afficher tous les rapports de menace liés à la catégorie de ransomware ou les rapports sur les menaces qui impliquent des vulnérabilités.

L’équipe Microsoft Threat Intelligence ajoute des étiquettes de menace à chaque rapport de menace. Les balises de menace suivantes sont actuellement disponibles :

  • Rançongiciel
  • Extorsion
  • Hameçonnage
  • Mains sur le clavier
  • Groupe d’activités
  • Vulnérabilité
  • Campagne d’attaque
  • Outil ou technique

Les balises de menace sont présentées en haut de la page Analyse des menaces. Il existe des compteurs pour le nombre de rapports disponibles sous chaque balise.

Capture d’écran des balises du rapport d’analyse des menaces.

Pour définir les types de rapports que vous souhaitez dans la liste, sélectionnez Filtres, choisissez dans la liste, puis sélectionnez Appliquer.

Capture d’écran de la liste Filtres.

Si vous définissez plusieurs filtres, la liste des rapports d’analyse des menaces peut également être triée par balise de menace en sélectionnant la colonne Étiquettes de menace :

Capture d’écran de la colonne d’étiquettes de menace.

Afficher un rapport d’analyse des menaces

Chaque rapport d’analyse des menaces fournit des informations dans plusieurs sections :

Vue d’ensemble : Comprendre rapidement la menace, évaluer son impact et passer en revue les défenses

La section Vue d’ensemble fournit un aperçu du rapport d’analyste détaillé. Il fournit également des graphiques qui mettent en évidence l’impact de la menace sur votre organization et votre exposition via des appareils mal configurés et non corrigés.

Capture d’écran de la section Vue d’ensemble d’un rapport d’analyse des menaces.

Évaluer l’impact sur votre organization

Chaque rapport inclut des graphiques conçus pour fournir des informations sur l’impact organisationnel d’une menace :

  • Incidents associés : fournit une vue d’ensemble de l’impact de la menace suivie sur votre organization avec les données suivantes :
    • Nombre d’alertes actives et nombre d’incidents actifs auxquels elles sont associées
    • Gravité des incidents actifs
  • Alertes au fil du temps : indique le nombre d’alertes actives et résolues associées au fil du temps. Le nombre d’alertes résolues indique la rapidité avec laquelle votre organization répond aux alertes associées à une menace. Dans l’idéal, le graphique doit afficher les alertes résolues dans un délai de quelques jours.
  • Ressources affectées : indique le nombre de ressources distinctes qui ont actuellement au moins une alerte active associée à la menace suivie. Des alertes sont déclenchées pour les boîtes aux lettres qui ont reçu des e-mails de menace. Passez en revue les stratégies au niveau de l’organisation et de l’utilisateur pour les remplacements qui provoquent la remise d’e-mails de menace.

Passer en revue la résilience et la posture de sécurité

Chaque rapport comprend des graphiques qui fournissent une vue d’ensemble de la résilience de votre organization face à une menace donnée :

  • Actions recommandées : indique le pourcentage d’status d’action ou le nombre de points que vous avez obtenus pour améliorer votre posture de sécurité. Effectuez les actions recommandées pour aider à résoudre la menace. Vous pouvez afficher la répartition des points par catégorie ou état.
  • Exposition des points de terminaison : indique le nombre d’appareils vulnérables. Appliquez des mises à jour de sécurité ou des correctifs pour résoudre les vulnérabilités exploitées par la menace.

Rapport d’analyste : Obtenir des informations d’experts auprès des chercheurs en sécurité Microsoft

Dans la section Rapport d’analyste , lisez la rédaction détaillée de l’expert. La plupart des rapports fournissent des descriptions détaillées des chaînes d’attaque, y compris les tactiques et techniques mappées à l’infrastructure MITRE ATT&CK, des listes exhaustives de recommandations et des conseils puissants pour la chasse aux menaces .

En savoir plus sur le rapport d’analyste

L’onglet incidents liés fournit la liste de tous les incidents liés à la menace suivie. Vous pouvez attribuer des incidents ou gérer les alertes liées à chaque incident.

Capture d’écran de la section incidents connexes d’un rapport d’analyse des menaces.

Notes

Les incidents et les alertes associés à la menace proviennent de Defender pour point de terminaison, Defender pour Identity, Defender for Office 365, Defender for Cloud Apps et Defender pour le cloud.

Ressources impactées : obtenir la liste des appareils, utilisateurs, boîtes aux lettres, applications et ressources cloud impactés

L’onglet Ressources impactées affiche les ressources affectées par la menace au fil du temps. Il affiche :

  • Ressources affectées par les alertes actives
  • Ressources affectées par les alertes résolues
  • Toutes les ressources, ou le nombre total de ressources affectées par les alertes actives et résolues

Les ressources sont divisées en catégories suivantes :

  • Appareils
  • Utilisateurs
  • Boîtes aux lettres
  • Applications
  • Ressources cloud

Capture d’écran de la section ressources impactées d’un rapport d’analyse des menaces.

Exposition aux points de terminaison : connaître le status de déploiement des mises à jour de sécurité

La section Exposition aux points de terminaison fournit le niveau d’exposition de votre organization à la menace, qui est calculé en fonction de la gravité des vulnérabilités et des mauvaises configurations exploitées par ladite menace, ainsi que du nombre d’appareils présentant ces faiblesses.

Cette section fournit également les status de déploiement des mises à jour de sécurité logicielles prises en charge pour les vulnérabilités détectées sur les appareils intégrés. Il incorpore les données de Gestion des vulnérabilités Microsoft Defender, qui fournissent également des informations détaillées à partir de divers liens dans le rapport.

Section Exposition des points de terminaison d’un rapport d’analyse des menaces

Sous l’onglet Actions recommandées , passez en revue la liste des recommandations actionnables spécifiques qui peuvent vous aider à augmenter la résilience de votre organisation face à la menace. La liste des atténuations suivies inclut les configurations de sécurité prises en charge, telles que :

  • Protection fournie par le cloud
  • Protection d’application potentiellement indésirable (PUA)
  • Protection en temps réel

La section Actions recommandées d’un rapport d’analyse des menaces présentant les détails des vulnérabilités

Configurer Notifications par e-mail pour les mises à jour de rapport

Vous pouvez configurer des Notifications par e-mail qui vous enverront des mises à jour sur les rapports d’analyse des menaces. Pour créer Notifications par e-mail, suivez les étapes décrites dans Obtenir Notifications par e-mail pour les mises à jour d’Analyse des menaces dans Microsoft Defender XDR.

Autres détails et limitations du rapport

Lorsque vous examinez les données d’analyse des menaces, n’oubliez pas les facteurs suivants :

  • La liste de contrôle de l’onglet Actions recommandées affiche uniquement les recommandations suivies dans le degré de sécurisation Microsoft. Consultez l’onglet Rapport d’analyste pour obtenir d’autres actions recommandées qui ne font pas l’objet d’un suivi dans le degré de sécurisation.
  • Les actions recommandées ne garantissent pas une résilience complète et reflètent uniquement les meilleures actions possibles nécessaires pour l’améliorer.
  • Les statistiques relatives à l’antivirus sont basées sur Microsoft Defender paramètres antivirus.
  • La colonne Appareils mal configurés dans la page Analyse des menaces main indique le nombre d’appareils affectés par une menace lorsque les actions recommandées associées à la menace ne sont pas activées. Toutefois, si les chercheurs Microsoft ne lient aucune action recommandée, la colonne Appareils mal configurés affiche la status Non disponible.
  • La colonne Appareils vulnérables dans la page Analyse des menaces main affiche le nombre d’appareils exécutant des logiciels vulnérables à l’une des vulnérabilités liées à la menace. Toutefois, si les chercheurs Microsoft ne lient aucune vulnérabilité, la colonne Appareils vulnérables affiche la status Non disponible.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.