Gérer les incidents dans Microsoft Defender

  • Article

Remarque

Vous voulez découvrir Microsoft Defender XDR ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft Defender XDR.

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender plateforme soc (Unified Security Operations Center)

La gestion des incidents est essentielle pour s’assurer que les incidents sont nommés, attribués et étiquetés afin d’optimiser le temps dans votre flux de travail des incidents et de contenir et de traiter plus rapidement les menaces.

Conseil

Pendant une durée limitée en janvier 2024, lorsque vous visitez la page Incidents , Defender Boxed s’affiche. Defender Boxed met en évidence les réussites, les améliorations et les actions de réponse de votre organization en 2023. Pour rouvrir Defender Boxed, dans le portail Microsoft Defender, accédez à Incidents, puis sélectionnez Votre Defender Boxed.

Vous pouvez gérer les incidents à partir d’Incidents & alertes > Incidents dans le lancement rapide du portail Microsoft Defender (security.microsoft.com). Voici un exemple.

Mise en surbrillance de l’option Gérer les incidents dans la file d’attente des incidents et le volet lancement rapide dans le portail Microsoft Defender

Voici les façons dont vous pouvez gérer vos incidents :

Vous pouvez gérer les incidents à partir du volet Gérer les incidents pour un incident. Voici un exemple.

Volet Gérer les incidents dans le portail Microsoft Defender

Vous pouvez afficher ce volet à partir du lien Gérer l’incident sur :

  • Page de récit d’alerte .
  • Volet Propriétés d’un incident dans la file d’attente des incidents.
  • Page de résumé d’un incident.
  • Option Gérer l’incident située dans le coin supérieur droit de la page Incident.

Dans les cas où vous souhaitez déplacer des alertes d’un incident à un autre, vous pouvez également le faire à partir de l’onglet Alertes , créant ainsi un incident plus grand ou plus petit qui inclut toutes les alertes pertinentes.

Modifier le nom de l’incident

Microsoft Defender attribue automatiquement un nom en fonction des attributs d’alerte tels que le nombre de points de terminaison affectés, les utilisateurs affectés, les sources de détection ou les catégories. Le nom de l’incident vous permet de comprendre rapidement l’étendue de l’incident. Par exemple : incident multiphase sur plusieurs points de terminaison signalés par plusieurs sources.

Vous pouvez modifier le nom de l’incident à partir du champ Nom de l’incident dans le volet Gérer l’incident .

Remarque

Les incidents qui existaient avant le déploiement de la fonctionnalité de nommage automatique des incidents conservent leur nom.

Affecter ou modifier la gravité de l’incident

Vous pouvez attribuer ou modifier la gravité d’un incident à partir du champ Gravité du volet Gérer l’incident . La gravité d’un incident est déterminée par la gravité la plus élevée des alertes qui lui sont associées. La gravité d’un incident peut être définie sur élevée, moyenne, faible ou informationnelle.

Ajouter des balises d’incident

Vous pouvez ajouter des balises personnalisées à un incident, par exemple pour marquer un groupe d’incidents avec une caractéristique commune. Vous pouvez filtrer ultérieurement la file d’attente des incidents pour tous les incidents qui contiennent une balise spécifique.

L’option de sélection dans une liste de balises précédemment utilisées et sélectionnées s’affiche une fois que vous avez commencé à taper.

Affecter un incident

Vous pouvez sélectionner la zone Affecter à et spécifier le compte d’utilisateur auquel attribuer un incident. Pour réaffecter un incident, supprimez le compte d’affectation actuel en sélectionnant le « x » en regard du nom du compte, puis sélectionnez la zone Attribuer à . L’attribution de la propriété d’un incident affecte la même propriété à toutes les alertes qui lui sont associées.

Vous pouvez obtenir la liste des incidents qui vous sont attribués en filtrant la file d’attente des incidents.

  1. Dans la file d’attente des incidents, sélectionnez Filtres.
  2. Dans la section Affectation d’incident , désactivez Sélectionner tout. Sélectionnez Affecté à moi, Affecté à un autre utilisateur ou Affecté à un groupe d’utilisateurs.
  3. Sélectionnez Appliquer, puis fermez le volet Filtres .

Vous pouvez ensuite enregistrer l’URL résultante dans votre navigateur en tant que signet pour afficher rapidement la liste des incidents qui vous sont attribués.

Résoudre un incident

Sélectionnez Résoudre l’incident pour déplacer le bouton bascule vers la droite lorsqu’un incident est corrigé. La résolution d’un incident résout également toutes les alertes liées et actives liées à l’incident.

Un incident qui n’est pas résolu s’affiche comme Actif.

Spécifier la classification

Dans le champ Classification , vous spécifiez si l’incident est :

  • Non défini (valeur par défaut).
  • Vrai positif avec un type de menace. Utilisez cette classification pour les incidents qui indiquent avec précision une menace réelle. Spécifier le type de menace permet à votre équipe de sécurité de voir les modèles de menace et d’agir pour défendre votre organisation contre celles-ci.
  • Activité d’information attendue avec un type d’activité. Utilisez les options de cette catégorie pour classifier les incidents pour les tests de sécurité, l’activité d’équipe rouge et le comportement inhabituel attendu des applications et des utilisateurs approuvés.
  • Les faux positifs pour les types d’incidents que vous déterminez peuvent être ignorés, car ils sont techniquement inexacts ou trompeurs.

La classification des incidents et la spécification de leur status et de leur type permettent d’ajuster Microsoft Defender XDR pour fournir une meilleure détermination de la détection au fil du temps.

Ajouter des commentaires

Vous pouvez ajouter plusieurs commentaires à un incident avec le champ Commentaire . Le champ de commentaire prend en charge le texte et la mise en forme, les liens et les images. Chaque commentaire est limité à 30 000 caractères.

Tous les commentaires sont ajoutés aux événements historiques de l’incident. Vous pouvez voir les commentaires et l’historique d’un incident à partir du lien Commentaires et historique sur la page Résumé .

Journal d’activité

Le journal d’activité affiche une liste de tous les commentaires et actions effectués sur l’incident, appelées Audits et commentaires. Toutes les modifications apportées à l’incident, que ce soit par un utilisateur ou par le système, sont enregistrées dans le journal d’activité. Le journal d’activité est disponible à partir de l’option Journal d’activité sur la page de l’incident ou dans le volet latéral de l’incident.

Mise en surbrillance de l’option journal d’activité à partir de la page de l’incident dans le portail Microsoft Defender

Vous pouvez filtrer les activités dans le journal par commentaires et actions. Cliquez sur Contenu : Audits, Commentaires, puis sélectionnez le type de contenu pour filtrer les activités. Voici un exemple.

Mise en surbrillance des options de filtre dans le volet du journal d’activité à partir de la page d’incident du portail Microsoft Defender

Vous pouvez également ajouter vos propres commentaires à l’aide de la zone de commentaires disponible dans le journal d’activité. La zone de commentaire accepte le texte et la mise en forme, les liens et les images.

Mise en surbrillance de la zone de commentaire à partir de la page d’incident dans le portail Microsoft Defender

Exporter les données d’incident au format PDF

Importante

Certaines informations contenues dans cet article concernent des produits en version préliminaire qui peuvent être considérablement modifiés avant leur commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

La fonctionnalité d’exportation des données d’incident est actuellement disponible pour Microsoft Defender XDR et Microsoft Defender clients de plateforme soc (Unified Security Operations Center) avec la licence Microsoft Copilot pour la sécurité.

Vous pouvez exporter les données d’un incident au format PDF via la fonction Exporter l’incident au format PDF et les enregistrer au format PDF. Cette fonction permet aux équipes de sécurité d’examiner les détails d’un incident hors connexion à tout moment.

Les données d’incident exportées incluent les informations suivantes :

Voici un exemple de fichier PDF exporté :

Capture d’écran de la première page du PDF exporté.

Si vous disposez de la licence Copilot pour la sécurité, le fichier PDF exporté contient les données d’incident supplémentaires suivantes :

La fonction d’exportation au format PDF est également disponible dans le panneau latéral Copilot d’un rapport d’incident généré.

Capture d’écran d’actions supplémentaires dans les résultats du rapport d’incident carte.

Pour générer le fichier PDF, procédez comme suit :

  1. Ouvrez une page d’incident. Sélectionnez les points de suspension Autres actions (...) dans le coin supérieur droit et choisissez Exporter l’incident au format PDF. La fonction devient grisée pendant la génération du fichier PDF.

    Capture d’écran mettant en évidence l’option d’exportation de l’incident au format PDF.

  2. Une boîte de dialogue s’affiche, indiquant que le fichier PDF est en cours de génération. Sélectionnez Obtenu pour fermer la boîte de dialogue. En outre, un message status indiquant l’état actuel du téléchargement s’affiche sous le titre de l’incident. Le processus d’exportation peut prendre quelques minutes en fonction de la complexité de l’incident et de la quantité de données à exporter.

    Capture d’écran mettant en évidence le message d’exportation et status avant le téléchargement.

  3. Une fois que le fichier PDF est prêt, le message status indique que le fichier PDF est prêt et qu’une autre boîte de dialogue s’affiche. Sélectionnez Télécharger dans la boîte de dialogue pour enregistrer le fichier PDF sur votre appareil.

    Capture d’écran mettant en évidence le message d’exportation et status lorsque le téléchargement est disponible.

Le rapport est mis en cache pendant quelques minutes. Le système fournit le fichier PDF généré précédemment si vous essayez d’exporter à nouveau le même incident dans un laps de temps court. Pour générer une version plus récente du FICHIER PDF, attendez quelques minutes que le cache expire.

Étapes suivantes

Pour les nouveaux incidents, commencez votre enquête.

Pour les incidents in-process, poursuivez votre enquête.

Pour les incidents résolus, effectuez une révision post-incident.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.