Détails et résultats d’une action d’interruption d’attaque automatique

  • Article

S’applique à :

  • Microsoft Defender XDR

Avec Microsoft Defender XDR, lorsqu’une interruption d’attaque automatique se déclenche, des détails sur le risque et la status d’endiguement des ressources compromises sont disponibles pendant et après le processus. Vous pouvez les afficher sur la page Incident, qui fournit les détails complets de l’attaque et la status à jour des ressources associées.

Passer en revue le graphique des incidents

Microsoft Defender XDR interruption d’attaque automatique est intégrée dans la vue Incident. L’examen du graphique des incidents vous permet d’obtenir l’intégralité de l’histoire de l’attaque et d’évaluer l’impact des interruptions d’attaque et status.

Voici quelques exemples de ce à quoi il ressemble :

  • Les incidents perturbés incluent une étiquette pour « Interruption des attaques » et le type de menace spécifique identifié (par exemple, ransomware). Si vous vous abonnez à des Notifications par e-mail d’incident, ces balises apparaissent également dans les e-mails.
  • Notification mise en surbrillance sous le titre de l’incident indiquant que l’incident a été interrompu.
  • Les utilisateurs suspendus et les appareils autonomes apparaissent avec une étiquette indiquant leur status.

Pour libérer un compte d’utilisateur ou un appareil de l’isolement, cliquez sur la ressource autonome, puis cliquez sur Libérer l’autonomie d’un appareil ou activez l’utilisateur pour un compte d’utilisateur.

Suivre les actions dans le centre de notifications

Le Centre de notifications (https://security.microsoft.com/action-center) regroupe les actions de correction et de réponse sur vos appareils, les e-mails & le contenu de collaboration et les identités. Les actions répertoriées incluent des actions de correction qui ont été effectuées automatiquement ou manuellement. Vous pouvez afficher les actions d’interruption d’attaque automatique dans le Centre de notifications.

Une fois que vous avez atténué le risque et terminé l’examen d’un incident, vous pouvez libérer les ressources contenues à partir du volet détails de l’action (par exemple, activer un compte d’utilisateur désactivé ou libérer un appareil de l’isolement). Pour plus d’informations sur le centre de notifications, consultez Centre de notifications.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.

Étape suivante