Examiner les alertes dans Microsoft Defender XDR

  • Article

S’applique à :

  • Microsoft Defender XDR

Remarque

Cet article décrit les alertes de sécurité dans Microsoft Defender XDR. Toutefois, vous pouvez utiliser des alertes d’activité pour envoyer des Notifications par e-mail à vous-même ou à d’autres administrateurs lorsque les utilisateurs effectuent des activités spécifiques dans Microsoft 365. Pour plus d’informations, consultez alertes d’activité Create - Microsoft Purview | Microsoft Docs.

Les alertes constituent la base de tous les incidents et indiquent l’occurrence d’événements malveillants ou suspects dans votre environnement. Les alertes font généralement partie d’une attaque plus large et fournissent des indices sur un incident.

Dans Microsoft Defender XDR, les alertes associées sont agrégées pour former des incidents. Les incidents fournissent toujours le contexte plus large d’une attaque, mais l’analyse des alertes peut être utile quand une analyse plus approfondie est nécessaire.

La file d’attente Alertes affiche l’ensemble actuel d’alertes. Vous accédez à la file d’attente des alertes à partir d’Incidents & alertes > Alertes lors du lancement rapide du portail Microsoft Defender.

La section Alertes dans le portail Microsoft Defender

Les alertes de différentes solutions de sécurité Microsoft telles que Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365 et Microsoft Defender XDR s’affichent ici.

Par défaut, la file d’attente des alertes dans le portail Microsoft Defender affiche les alertes nouvelles et en cours des 30 derniers jours. L’alerte la plus récente se trouve en haut de la liste pour vous permettre de la voir en premier.

Dans la file d’attente des alertes par défaut, vous pouvez sélectionner Filtrer pour afficher un volet Filtre , à partir duquel vous pouvez spécifier un sous-ensemble des alertes. Voici un exemple.

Section Filtres dans le portail Microsoft Defender.

Vous pouvez filtrer les alertes en fonction des critères suivants :

  • Severity
  • Statut
  • Sources de service
  • Entités (ressources impactées)
  • État d’analyse automatisée

Rôles requis pour les alertes Defender for Office 365

Vous devez disposer de l’un des rôles suivants pour accéder aux alertes Microsoft Defender pour Office 365 :

  • Pour Microsoft Entra rôles globaux :

    • Administrateur général
    • Administrateur de sécurité
    • Opérateur de sécurité
    • Lecteur général
    • Lecteur de sécurité

  • Office 365 groupes de rôles sécurité & conformité

    • Administrateur de conformité
    • Gestion de l’organisation

  • Un rôle personnalisé

Analyser une alerte

Pour afficher la page d’alerte principale, sélectionnez le nom de l’alerte. Voici un exemple.

Capture d’écran montrant les détails d’une alerte dans le portail Microsoft Defender

Vous pouvez également sélectionner l’action Ouvrir la page d’alerte main dans le volet Gérer l’alerte.

Une page d’alerte est composée des sections suivantes :

  • Récit d’alerte, qui est la chaîne d’événements et d’alertes liées à cette alerte dans l’ordre chronologique
  • Détails du résumé

Dans une page d’alerte, vous pouvez sélectionner les points de suspension (...) en regard de n’importe quelle entité pour voir les actions disponibles, telles que la liaison de l’alerte à un autre incident. La liste des actions disponibles dépend du type d’alerte.

Sources d’alerte

Microsoft Defender XDR alertes peuvent provenir de solutions telles que Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365, Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps, le module complémentaire de gouvernance des applications pour Microsoft Defender for Cloud Apps, Protection Microsoft Entra ID, et Protection contre la perte de données Microsoft. Vous pouvez remarquer des alertes avec des caractères ajoutés dans l’alerte. Le tableau suivant fournit des conseils pour vous aider à comprendre le mappage des sources d’alerte en fonction du caractère ajouté à l’alerte.

Remarque

  • Les GUID ajoutés sont spécifiques uniquement aux expériences unifiées telles que la file d’attente des alertes unifiées, la page des alertes unifiées, l’investigation unifiée et l’incident unifié.
  • Le caractère ajouté ne modifie pas le GUID de l’alerte. La seule modification apportée au GUID est le composant ajouté.
Source d’alerte Caractère ajouté
Microsoft Defender XDR ra
ta pour ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender pour Office 365 fa{GUID}
Exemple : fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender pour point de terminaison da ou ed pour les alertes de détection personnalisées
Microsoft Defender pour l’identité aa{GUID}
Exemple : aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Exemple : ca123a456b-c789-1d2e-12f1g33h445h6i
Protection Microsoft Entra ID ad
Gouvernance des applications ma
Protection contre la perte de données Microsoft dl

Configurer Microsoft Entra service d’alerte IP

  1. Accédez au portail Microsoft Defender (security.microsoft.com), sélectionnez Paramètres>Microsoft Defender XDR.

  2. Dans la liste, sélectionnez Paramètres du service d’alerte, puis configurez votre Protection Microsoft Entra ID service d’alerte.

    Capture d’écran du paramètre d’alertes Protection Microsoft Entra ID dans le portail Microsoft Defender.

Par défaut, seules les alertes les plus pertinentes pour le centre d’opérations de sécurité sont activées. Si vous souhaitez obtenir toutes les détections de risques Microsoft Entra IP, vous pouvez les modifier dans la section Paramètres du service d’alerte.

Vous pouvez également accéder aux paramètres du service d’alerte directement à partir de la page Incidents du portail Microsoft Defender.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Analyser les ressources affectées

La section Actions effectuées contient une liste des ressources concernées, telles que les boîtes aux lettres, les appareils et les utilisateurs affectés par cette alerte.

Vous pouvez également sélectionner Afficher dans le centre de notifications pour afficher l’onglet Historique du centre de notifications dans le portail Microsoft Defender.

Tracer le rôle d’une alerte dans l’histoire de l’alerte

Le scénario d’alerte affiche toutes les ressources ou entités associées à l’alerte dans une arborescence de processus. L’alerte dans le titre est celle qui se concentre lorsque vous accédez pour la première fois à la page de l’alerte sélectionnée. Les ressources de l’article d’alerte sont extensibles et cliquables. Ils fournissent des informations supplémentaires et accélèrent votre réponse en vous permettant de prendre des mesures directement dans le contexte de la page d’alerte.

Remarque

La section du récit d’alerte peut contenir plusieurs alertes, avec des alertes supplémentaires liées à la même arborescence d’exécution qui apparaissent avant ou après l’alerte que vous avez sélectionnée.

Afficher plus d’informations sur les alertes sur la page de détails

La page de détails affiche les détails de l’alerte sélectionnée, avec les détails et les actions associées. Si vous sélectionnez l’une des ressources ou entités affectées dans l’article d’alerte, la page de détails change pour fournir des informations contextuelles et des actions pour l’objet sélectionné.

Une fois que vous avez sélectionné une entité d’intérêt, la page de détails change pour afficher des informations sur le type d’entité sélectionné, des informations historiques lorsqu’elles sont disponibles et des options permettant d’agir sur cette entité directement à partir de la page d’alerte.

Gérer des alertes

Pour gérer une alerte, sélectionnez Gérer les d’alerte dans la section Résumé des détails de la page d’alerte. Pour une seule alerte, voici un exemple du volet Gérer l’alerte .

Capture d’écran de la section Gérer l’alerte dans le portail Microsoft Defender

Le volet Gérer l’alerte vous permet d’afficher ou de spécifier :

  • État de l’alerte (Nouveau, Résolu, En cours).
  • Compte d’utilisateur auquel l’alerte a été attribuée.
  • Classification de l’alerte :
    • Non défini (par défaut).
    • Vrai positif avec un type de menace. Utilisez cette classification pour les alertes qui indiquent avec précision une menace réelle. Si vous spécifiez ce type de menace, votre équipe de sécurité voit les modèles de menace et agit pour défendre vos organization contre eux.
    • Activité d’information attendue avec un type d’activité. Utilisez cette option pour les alertes qui sont techniquement précises, mais qui représentent un comportement normal ou une activité de menace simulée. Vous souhaitez généralement ignorer ces alertes, mais vous vous attendez à ce qu’elles soient similaires à l’avenir, lorsque les activités sont déclenchées par des attaquants ou des programmes malveillants réels. Utilisez les options de cette catégorie pour classifier les alertes pour les tests de sécurité, l’activité de l’équipe rouge et le comportement inhabituel attendu des applications et des utilisateurs approuvés.
    • Faux positif pour les types d’alertes qui ont été créés même en l’absence d’activité malveillante ou pour une fausse alarme. Utilisez les options de cette catégorie pour classifier les alertes qui sont identifiées par erreur comme des événements ou activités normaux comme malveillantes ou suspectes. Contrairement aux alertes pour « Information, activité attendue », qui peut également être utile pour intercepter des menaces réelles, vous ne souhaitez généralement pas voir ces alertes à nouveau. La classification des alertes comme faux positifs aide Microsoft Defender XDR à améliorer la qualité de leur détection.
  • Commentaire sur l’alerte.

Remarque

Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (« Apt » et « SecurityPersonnel ») seront déconseillées et ne seront plus disponibles via l’API.

Remarque

Une façon de gérer les alertes via l’utilisation d’étiquettes. La fonctionnalité d’étiquetage pour Microsoft Defender pour Office 365 est déployée de manière incrémentielle et est actuellement en préversion.

Actuellement, les noms de balise modifiés sont appliqués uniquement aux alertes créées après la mise à jour. Les alertes générées avant la modification ne reflètent pas le nom de la balise mise à jour.

Pour gérer un ensemble d’alertes similaires à une alerte spécifique, sélectionnez Afficher les alertes similaires dans la zone INSIGHT de la section résumé des détails de la page d’alerte.

Capture d’écran de la sélection d’une alerte dans le portail Microsoft Defender

Dans le volet Gérer les alertes , vous pouvez classer toutes les alertes associées en même temps. Voici un exemple.

Capture d’écran de la gestion des alertes associées dans le portail Microsoft Defender

Si des alertes similaires ont déjà été classées dans le passé, vous pouvez gagner du temps en utilisant Microsoft Defender XDR recommandations pour découvrir comment les autres alertes ont été résolues. Dans la section Détails du résumé, sélectionnez Recommandations.

Capture d’écran d’un exemple de sélection de recommandations pour une alerte

L’onglet recommandations fournit des actions et des conseils pour l’examen, la correction et la prévention. Voici un exemple.

Capture d’écran d’un exemple de recommandations d’alerte

Paramétrer une alerte

En tant qu’analyste soc (Security Operations Center), l’un des principaux problèmes consiste à trier le nombre d’alertes déclenchées quotidiennement. Le temps d’un analyste est précieux, car il souhaite se concentrer uniquement sur les alertes de gravité élevée et de priorité élevée. Pendant ce temps, les analystes sont également tenus de trier et de résoudre les alertes de priorité inférieure, ce qui a tendance à être un processus manuel.

Le réglage des alertes permet de paramétrer et de gérer les alertes à l’avance. Cela simplifie la file d’attente des alertes et permet d’économiser le temps de triage en masquant ou en résolvant automatiquement les alertes, chaque fois qu’un certain comportement organisationnel attendu se produit et que les conditions de règle sont remplies.

Vous pouvez créer des conditions de règle basées sur des « types de preuves », tels que des fichiers, des processus, des tâches planifiées et de nombreux autres types de preuves qui déclenchent l’alerte. Après avoir créé la règle, vous pouvez appliquer la règle à l’alerte sélectionnée ou à tout type d’alerte qui remplit les conditions de la règle pour paramétrer l’alerte.

En outre, la fonctionnalité couvre également les alertes provenant de diverses sources de service Microsoft Defender XDR. La fonctionnalité de réglage des alertes en préversion publique reçoit des alertes à partir de charges de travail telles que Defender pour point de terminaison, Defender for Office 365, Defender pour Identity, Defender for Cloud Apps, Protection Microsoft Entra ID (Microsoft Entra IP) et d’autres, si ces sources sont disponibles sur votre plateforme et votre plan. Auparavant, la fonctionnalité de réglage des alertes capturait uniquement les alertes de la charge de travail Defender pour point de terminaison.

Remarque

Nous vous recommandons d’utiliser le réglage des alertes, précédemment appelé suppression des alertes, avec prudence. Dans certaines situations, une application métier ou des tests de sécurité internes connus déclenchent une activité attendue et vous ne souhaitez pas voir ces alertes. Vous pouvez donc créer une règle pour paramétrer ces types d’alerte.

Create conditions de règle pour paramétrer les alertes

Il existe deux façons de régler une alerte dans Microsoft Defender XDR. Pour paramétrer une alerte à partir de la page Paramètres :

  1. Accédez à Paramètres. Dans le volet gauche, accédez à Règles et sélectionnez Paramétrage des alertes.

    Capture d’écran de l’option Paramétrage des alertes dans la page Paramètres de Microsoft Defender XDR.

    Sélectionnez Ajouter une nouvelle règle pour paramétrer une nouvelle alerte. Vous pouvez également modifier une règle existante dans cet affichage en sélectionnant une règle dans la liste.

    Capture d’écran de l’ajout de nouvelles règles dans la page Paramétrage des alertes.

  2. Dans le volet Paramétrer l’alerte , vous pouvez sélectionner les sources de service où la règle s’applique dans le menu déroulant sous Sources de service.

    Capture d’écran du menu déroulant source du service dans la page Régler une alerte.

    Remarque

    Seuls les services auxquels l’utilisateur est autorisé sont affichés.

  3. Ajoutez des indicateurs de compromission (ICS) qui déclenchent l’alerte sous la section ICS . Vous pouvez ajouter une condition pour arrêter l’alerte lorsqu’elle est déclenchée par un CIO spécifique ou par n’importe quel CIO ajouté à l’alerte.

    Les E/S sont des indicateurs tels que des fichiers, des processus, des tâches planifiées et d’autres types de preuves qui déclenchent l’alerte.

    Capture d’écran du menu IOC dans la page Régler une alerte.

    Pour définir plusieurs conditions de règle, utilisez les options AND, OR et de regroupement pour créer une relation entre ces « types de preuves » multiples qui provoquent l’alerte.

    1. Par exemple, sélectionnez le rôle d’entité de preuve de déclenchement : Déclencheur, égal à et n’importe lequel pour arrêter l’alerte lorsqu’elle est déclenchée par un CIO ajouté à l’alerte. Toutes les propriétés de cette « preuve » sont renseignées automatiquement en tant que nouveau sous-groupe dans les champs respectifs ci-dessous.

    Remarque

    Les valeurs de condition ne respectent pas la casse.

    1. Vous pouvez modifier et/ou supprimer les propriétés de cette « preuve » en fonction de vos besoins (à l’aide de caractères génériques, si pris en charge).

    2. Outre les fichiers et les processus, le script AMSI (AntiMalware Scan Interface), l’événement WMI (Windows Management Instrumentation) et les tâches planifiées sont quelques-uns des types de preuves nouvellement ajoutés que vous pouvez sélectionner dans la liste déroulante types de preuves.

    3. Pour ajouter un autre IOC, cliquez sur Ajouter un filtre.

    Remarque

    L’ajout d’au moins un IOC à la condition de règle est nécessaire pour paramétrer n’importe quel type d’alerte.

  4. Dans la section Action , effectuez l’action appropriée masquer l’alerte ou résoudre l’alerte.

    Entrez Nom, Description, puis cliquez sur Enregistrer.

    Remarque

    Le titre de l’alerte (Nom) est basé sur le type d’alerte (IoaDefinitionId) qui détermine le titre de l’alerte. Deux alertes qui ont le même type d’alerte peuvent passer à un titre d’alerte différent.

    Capture d’écran du menu Action dans la page Régler une alerte.

Pour paramétrer une alerte à partir de la page Alertes :

  1. Sélectionnez une alerte dans la page Alertes sous Incidents et alertes. Vous pouvez également sélectionner une alerte lors de l’examen des détails de l’incident dans la page Incident.

    Vous pouvez paramétrer une alerte via le volet Régler l’alerte qui s’ouvre automatiquement sur le côté droit de la page des détails de l’alerte.

    Capture d’écran du volet Régler une alerte dans une page Alerte.

  2. Sélectionnez les conditions dans lesquelles l’alerte s’applique dans la section Types d’alerte . Sélectionnez Uniquement ce type d’alerte pour appliquer la règle à l’alerte sélectionnée.

    Toutefois, pour appliquer la règle à n’importe quel type d’alerte qui répond aux conditions de règle, sélectionnez N’importe quel type d’alerte en fonction des conditions IOC.

    Capture d’écran du volet Régler une alerte mettant en évidence la section Types d’alerte.

  3. Le remplissage de la section Étendue est obligatoire si le réglage de l’alerte est spécifique à Defender pour point de terminaison. Indiquez si la règle s’applique à tous les appareils du organization ou à un appareil spécifique.

    Remarque

    L’application de la règle à tous les organization nécessite une autorisation de rôle d’administrateur.

    Capture d’écran du volet Régler une alerte mettant en évidence la section Étendue.

  4. Ajoutez des conditions dans la section Conditions pour arrêter l’alerte lorsqu’elle est déclenchée par un CIO spécifique ou par un CIO ajouté à l’alerte. Vous pouvez sélectionner un appareil spécifique, plusieurs appareils, des groupes d’appareils, l’ensemble du organization ou par utilisateur dans cette section.

    Remarque

    Vous devez disposer de Administration autorisation lorsque l’étendue est définie uniquement pour Utilisateur. Administration autorisation n’est pas requise lorsque l’étendue est définie pour Utilisateur avec Appareil, Groupes d’appareils.

    Capture d’écran du volet Régler une alerte mettant en évidence la section Conditions.

  5. Ajoutez des ICS où la règle s’applique dans la section ICS . Vous pouvez sélectionner N’importe quel CIO pour arrêter l’alerte, quelle que soit la « preuve » à l’origine de l’alerte.

    Capture d’écran du volet Régler une alerte mettant en évidence la section ICS.

  6. Vous pouvez également sélectionner Remplir automatiquement toutes les ICS associées à l’alerte 7 dans la section ICS pour ajouter tous les types de preuves liés aux alertes et leurs propriétés à la fois dans la section Conditions .

    Capture d’écran du remplissage automatique de toutes les E/S liées à l’alerte.

  7. Dans la section Action , effectuez l’action appropriée masquer l’alerte ou résoudre l’alerte.

    Entrez Nom, Commentaire, puis cliquez sur Enregistrer.

    Capture d’écran de la section Action dans le volet Régler l’alerte.

  8. Empêcher les E/S d’être bloquées à l’avenir :

    Une fois que vous avez enregistré la règle de réglage des alertes, dans la page Création de règle réussie qui s’affiche, vous pouvez ajouter les E/S sélectionnés en tant qu’indicateurs à la « liste verte » et empêcher leur blocage à l’avenir.

    Tous les E/S liés aux alertes s’affichent dans la liste.

    Les E/S qui ont été sélectionnées dans les conditions de suppression sont sélectionnées par défaut.

    1. Par exemple, vous pouvez ajouter des fichiers à autoriser à sélectionner une preuve (IOC) à autoriser. Par défaut, le fichier qui a déclenché l’alerte est sélectionné.
    2. Entrez l’étendue de la zone Sélectionner l’étendue à appliquer. Par défaut, l’étendue de l’alerte associée est sélectionnée.
    3. Cliquez sur Save (Enregistrer). À présent, le fichier n’est pas bloqué, car il est dans la liste verte.

  9. La nouvelle fonctionnalité de réglage des alertes est disponible par défaut.

    Toutefois, vous pouvez revenir à l’expérience précédente dans Microsoft Defender portail en accédant à Paramètres > Microsoft Defender XDR > Règles > Paramétrage des alertes, puis désactiver le bouton bascule Nouvelle création de règles de paramétrage activée.

    Remarque

    Bientôt, seule la nouvelle expérience de réglage des alertes sera disponible. Vous ne pourrez pas revenir à l’expérience précédente.

  10. Modifier les règles existantes :

    Vous pouvez toujours ajouter ou modifier des conditions de règle et l’étendue des règles nouvelles ou existantes dans le portail Microsoft Defender, en sélectionnant la règle appropriée et en cliquant sur Modifier la règle.

    Pour modifier des règles existantes, assurez-vous que le bouton bascule Création de nouvelles règles de réglage des alertes activé est activé.

Résoudre une alerte

Une fois que vous avez terminé l’analyse d’une alerte et qu’elle peut être résolue, accédez au volet Gérer l’alerte pour l’alerte ou les alertes similaires et marquez l’status comme résolue, puis classez-la comme un vrai positif avec un type de menace, une activité d’information, attendue avec un type d’activité ou un faux positif.

La classification des alertes permet Microsoft Defender XDR d’améliorer la qualité de leur détection.

Utiliser Power Automate pour trier les alertes

Les équipes d’opérations de sécurité modernes (SecOps) ont besoin d’une automatisation pour travailler efficacement. Pour se concentrer sur la chasse et l’investigation des menaces réelles, les équipes SecOps utilisent Power Automate pour trier la liste des alertes et éliminer celles qui ne sont pas des menaces.

Critères de résolution des alertes

  • L’utilisateur a activé le message d’absence du bureau
  • L’utilisateur n’est pas marqué comme à haut risque

Si les deux sont vrais, SecOps marque l’alerte comme voyage légitime et la résout. Une notification est publiée dans Microsoft Teams une fois l’alerte résolue.

Connecter Power Automate à Microsoft Defender for Cloud Apps

Pour créer l’automatisation, vous aurez besoin d’un jeton d’API avant de pouvoir connecter Power Automate à Microsoft Defender for Cloud Apps.

  1. Ouvrez Microsoft Defender et sélectionnez Paramètres>Jeton d’APICloud Apps>, puis sélectionnez Ajouter un jeton sous l’onglet Jetons d’API.

  2. Fournissez un nom pour votre jeton, puis sélectionnez Générer. Enregistrez le jeton, car vous en aurez besoin ultérieurement.

Create un flux automatisé

Regardez cette courte vidéo pour découvrir comment l’automatisation fonctionne efficacement pour créer un flux de travail fluide et comment connecter Power Automate à Defender for Cloud Apps.

Prochaines étapes

Si nécessaire pour les incidents in-process, poursuivez votre enquête.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.