Passer en revue les actions de correction à la suite d’une investigation automatisée

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME

Actions de correction

Lorsqu’une enquête automatisée s’exécute, un verdict est généré pour chaque élément de preuve examiné. Les verdicts peuvent être malveillants, suspects ou Aucune menace trouvée.

Selon

• le type de menace,
• le verdict qui en résulte, et
• comment les groupes d’appareils de votre organization sont configurés,

Les actions de correction peuvent se produire automatiquement ou uniquement après approbation par l’équipe des opérations de sécurité de votre organization.

Remarque

La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

Voici quelques exemples :

• Exemple 1 : Les groupes d’appareils de Fabrikam sont définis sur Complet : corriger automatiquement les menaces (paramètre recommandé). Dans ce cas, des actions de correction sont effectuées automatiquement pour les artefacts considérés comme malveillants à la suite d’une investigation automatisée (voir Examiner les actions terminées).

• Exemple 2 : Les appareils de Contoso sont inclus dans un groupe d’appareils défini pour Semi - nécessitant une approbation pour toute correction. Dans ce cas, l’équipe des opérations de sécurité de Contoso doit examiner et approuver toutes les actions de correction à la suite d’une investigation automatisée (voir Examiner les actions en attente).

• Exemple 3 : Les groupes d’appareils de Tailspin Toys sont définis sur Aucune réponse automatisée (non recommandé). Dans ce cas, les investigations automatisées ne se produisent pas. Aucune action de correction n’est effectuée ou en attente, et aucune action n’est enregistrée dans le centre de notifications pour leurs appareils (voir Gérer les groupes d’appareils).

Qu’elles soient effectuées automatiquement ou après approbation, une investigation et une correction automatisées peuvent entraîner une ou plusieurs des actions de correction :

• Mettre en quarantaine un fichier
• Supprimer une clé de Registre
• Tuer un processus
• Arrêter un service
• Désactiver un pilote
• Supprimer une tâche planifiée

Examiner les actions en attente

1. Accédez au portail Microsoft Defender et connectez-vous.

2. Dans le volet de navigation, choisissez Centre de notifications.

3. Passez en revue les éléments sous l’onglet En attente .

4. Sélectionnez une action pour ouvrir son volet volant.

5. Dans le volet volant, passez en revue les informations, puis effectuez l’une des étapes suivantes :

   • Sélectionnez Ouvrir la page d’enquête pour afficher plus de détails sur l’enquête.
   • Sélectionnez Approuver pour lancer une action en attente.
   • Sélectionnez Refuser pour empêcher la réalisation d’une action en attente.
   • Sélectionnez Go hunt (Aller à la chasse ) pour accéder à La chasse avancée.

Approuver ou rejeter les actions de correction

Pour les incidents avec une correction status d’approbation en attente, vous pouvez également approuver ou rejeter une action de correction à partir de l’incident.

1. Dans le volet de navigation, accédez à Incidents & alertes>Incidents.
2. Filtrer sur l’action En attente pour l’état d’investigation automatisé (facultatif).
3. Sélectionnez un nom d’incident pour ouvrir sa page de résumé.
4. Sélectionnez l’onglet Preuve et réponse .
5. Sélectionnez un élément dans la liste pour ouvrir son volet volant.
6. Passez en revue les informations, puis effectuez l’une des étapes suivantes :
   • Sélectionnez l’option Approuver l’action en attente pour lancer une action en attente.
   • Sélectionnez l’option Rejeter l’action en attente pour empêcher qu’une action en attente soit effectuée.

Passer en revue les actions terminées

1. Accédez au portail Microsoft Defender et connectez-vous.

2. Dans le volet de navigation, choisissez Centre de notifications.

3. Passez en revue les éléments sous l’onglet Historique .

4. Sélectionnez un élément pour afficher plus de détails sur cette action de correction.

Annuler les actions terminées

Si vous avez déterminé qu’un appareil ou un fichier n’est pas une menace, vous pouvez annuler les actions de correction qui ont été effectuées, que ces actions aient été effectuées automatiquement ou manuellement. Dans le Centre de notifications, sous l’onglet Historique , vous pouvez annuler l’une des actions suivantes :

Source de l’action	Actions prises en charge
Investigation automatisée Actions de réponse manuelles (voir la remarque ci-dessous) Antivirus Microsoft Defender	Désactiver un pilote Isoler l’appareil Mettre en quarantaine un fichier Supprimer une clé de Registre Supprimer une tâche planifiée Restreindre l'exécution de code Arrêter un service

Remarque

Defender pour point de terminaison Plan 1 et Microsoft Defender pour entreprises incluent uniquement les actions de réponse manuelle suivantes :

• Exécuter une analyse antivirus
• Isoler l’appareil
• Arrêter et mettre en quarantaine un fichier
• Ajouter un indicateur pour bloquer ou autoriser un fichier

Pour annuler plusieurs actions à la fois

1. Accédez au Centre de notifications (https://security.microsoft.com/action-center) et connectez-vous.

2. Sous l’onglet Historique , sélectionnez les actions que vous souhaitez annuler. Veillez à sélectionner les éléments qui ont le même type d’action. Un volet de menu volant s’ouvre.

3. Dans le volet volant, sélectionnez Annuler.

Pour supprimer un fichier de la quarantaine sur plusieurs appareils

1. Accédez au Centre de notifications (https://security.microsoft.com/action-center) et connectez-vous.

2. Sous l’onglet Historique , sélectionnez un élément dont le type d’action est Fichier de quarantaine.

3. Dans le volet volant, sélectionnez Appliquer à X instances supplémentaires de ce fichier, puis Annuler.

Niveaux d’automatisation, résultats des investigations automatisées et actions résultantes

Les niveaux d’automatisation déterminent si certaines actions de correction sont effectuées automatiquement ou uniquement après approbation. Parfois, votre équipe des opérations de sécurité a d’autres étapes à prendre, en fonction des résultats d’une investigation automatisée. Le tableau suivant récapitule les niveaux d’automatisation, les résultats des investigations automatisées et les actions à effectuer dans chaque cas.

Paramètre de groupe d’appareils	Résultats de l’examen automatisé	Procédure
Complet : corriger automatiquement les menaces (recommandé)	Un verdict de malveillance est obtenu pour un élément de preuve. Les actions de correction appropriées sont effectuées automatiquement.	Passer en revue les actions terminées
Semi - nécessite une approbation pour toute correction	Un verdict de malveillant ou suspect est obtenu pour un élément de preuve. Les actions de correction sont en attente d’approbation pour continuer.	Approuver (ou rejeter) les actions en attente
Semi - Nécessite une approbation pour la correction des dossiers principaux	Un verdict de malveillance est obtenu pour un élément de preuve. Si l’artefact est un fichier ou un exécutable et se trouve dans un répertoire de système d’exploitation, tel que le dossier Windows ou le dossier Program files, les actions de correction sont en attente d’approbation. Si l’artefact ne se trouve pas dans un répertoire de système d’exploitation, des actions de correction sont effectuées automatiquement.	Approuver (ou rejeter) les actions en attente Passer en revue les actions terminées
Semi - Nécessite une approbation pour la correction des dossiers principaux	Un verdict de suspect est obtenu pour un élément de preuve. Les actions de correction sont en attente d’approbation.	Approuver (ou rejeter) les actions en attente.
Semi - Nécessite une approbation pour la correction des dossiers non temporaires	Un verdict de malveillance est obtenu pour un élément de preuve. Si l’artefact est un fichier ou un exécutable qui ne se trouve pas dans un dossier temporaire, tel que le dossier téléchargements de l’utilisateur ou le dossier temporaire, les actions de correction sont en attente d’approbation. Si l’artefact est un fichier ou un exécutable qui se trouve dans un dossier temporaire, des actions de correction sont effectuées automatiquement.	Approuver (ou rejeter) les actions en attente Passer en revue les actions terminées
Semi - Nécessite une approbation pour la correction des dossiers non temporaires	Un verdict de suspect est obtenu pour un élément de preuve. Les actions de correction sont en attente d’approbation.	Approuver (ou rejeter) les actions en attente
N’importe lequel des niveaux d’automatisation complète ou semi-automatique	Un verdict d’absence de menace trouvée est atteint pour un élément de preuve. Aucune action de correction n’est effectuée et aucune action n’est en attente d’approbation.	Consulter les détails et les résultats des examens automatisés
Aucune réponse automatisée (non recommandé)	Aucune enquête automatisée n’est exécutée, donc aucun verdict n’est atteint et aucune action de correction n’est effectuée ou en attente d’approbation.	Envisagez de configurer ou de modifier vos groupes d’appareils pour utiliser l’automatisation complète ou semi-automatique

Tous les verdicts sont suivis dans le Centre de notifications.

Remarque

Dans Defender pour les entreprises, les fonctionnalités d’investigation et de correction automatisées sont prédéfinies pour utiliser la fonctionnalité Complète et corriger automatiquement les menaces. Ces fonctionnalités sont appliquées à tous les appareils par défaut.

Prochaines étapes

• En savoir plus sur les fonctionnalités de réponse en direct
• Rechercher de manière proactive les menaces avec la chasse avancée
• Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison

Voir aussi

• Vue d’ensemble des enquêtes automatisées

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.