Corriger votre premier incident dans Microsoft Defender XDR

  • Article

S’applique à :

  • Microsoft Defender XDR

Microsoft Defender XDR fournit des fonctionnalités de détection et d’analyse pour garantir l’endiguement et l’éradication des menaces. L’endiguement comprend des étapes pour réduire l’impact de l’attaque, tandis que l’éradication garantit que toutes les traces de l’activité des attaquants sont supprimées du réseau.

La correction dans Microsoft Defender XDR peut être automatisée ou par le biais d’actions manuelles effectuées par les répondants aux incidents. Des actions de correction peuvent être effectuées sur les appareils, les fichiers et les identités.

Correction automatique

Microsoft Defender XDR tire parti de son renseignement sur les menaces et des signaux au sein de votre réseau pour lutter contre les attaques les plus perturbatrices. Les rançongiciels, la compromission des e-mails professionnels (BEC) et l’hameçonnage de l’adversaire dans le milieu (AiTM) sont quelques-unes des attaques les plus complexes qui peuvent être contenues immédiatement par le biais de la fonctionnalité d’interruption automatique des attaques . Une fois qu’une attaque a été interrompue, les répondants aux incidents peuvent prendre le relais et examiner entièrement une attaque et appliquer la correction requise.

Découvrez comment l’interruption automatique des attaques aide à répondre aux incidents :

Pendant ce temps, les fonctionnalités d’investigation et de réponse automatisées de Microsoft Defender XDR peuvent automatiquement examiner et appliquer des actions de correction aux éléments malveillants et suspects. Ces fonctionnalités mettez à l’échelle l’investigation et la résolution des menaces, ce qui libère les répondants aux incidents de concentrer leurs efforts sur les attaques à fort impact.

Vous pouvez configurer et gérer les fonctionnalités d’investigation et de réponse automatisées. Vous pouvez également afficher toutes les actions passées et en attente via le Centre de notifications.

Remarque

Vous pouvez annuler les actions automatiques après révision.

Pour accélérer certaines de vos tâches d’investigation, vous pouvez trier les alertes avec Power Automate. En outre, une correction automatisée peut être créée à l’aide de l’automatisation et des playbooks. Microsoft propose des modèles de playbook sur GitHub pour les scénarios suivants :

  • Supprimer le partage de fichiers sensibles après avoir demandé la validation de l’utilisateur
  • Tri automatique des alertes de pays peu fréquents
  • Demande d’action du responsable avant de désactiver un compte
  • Désactiver les règles de boîte de réception malveillantes

Les playbooks utilisent Power Automate pour créer des flux d’automatisation de processus robotisés personnalisés afin d’automatiser certaines activités une fois que des critères spécifiques ont été déclenchés. Les organisations peuvent créer des playbooks à partir de modèles existants ou à partir de zéro. Des playbooks peuvent également être créés pendant la révision post-incident pour créer des actions de correction à partir d’incidents résolus.

Découvrez comment Power Automate peut vous aider à automatiser votre réponse aux incidents dans cette vidéo :

Correction manuelle

Tout en répondant à une attaque, les équipes de sécurité peuvent tirer parti des actions de correction manuelles du portail pour empêcher les attaques d’entraîner des dommages supplémentaires. Certaines actions peuvent immédiatement arrêter une menace, tandis que d’autres aident à approfondir l’analyse forensique. Vous pouvez appliquer ces actions à n’importe quelle entité en fonction des charges de travail Defender déployées dans votre organization.

Actions sur des appareils

  • Isoler l’appareil : isole un appareil affecté en le déconnectant du réseau. L’appareil reste connecté au service Defender pour point de terminaison pour une surveillance continue.

  • Restreindre l’exécution de l’application : restreint une application en appliquant une stratégie d’intégrité du code qui autorise l’exécution des fichiers uniquement s’ils sont signés par un certificat émis par Microsoft.

  • Exécuter l’analyse antivirus : lance une analyse antivirus Defender à distance pour un appareil. L’analyse peut s’exécuter avec d’autres solutions antivirus, que l’antivirus Defender soit la solution antivirus active ou non.

  • Collecter le package d’investigation : vous pouvez collecter un package d’investigation à partir d’un appareil dans le cadre du processus d’investigation ou de réponse. En collectant le package d’investigation, vous pouvez identifier l’état actuel de l’appareil et mieux comprendre les outils et techniques utilisés par l’attaquant.

  • Lancer une investigation automatisée : démarre une nouvelle investigation automatisée à usage général sur l’appareil. Pendant qu’une investigation est en cours d’exécution, toute autre alerte générée à partir de l’appareil est ajoutée à une investigation automatisée en cours jusqu’à ce que cette investigation soit terminée. En outre, si la même menace est visible sur d’autres appareils, ces appareils sont ajoutés à l’investigation.

  • Lancer une réponse en direct : vous donne un accès instantané à un appareil à l’aide d’une connexion shell à distance afin que vous puissiez effectuer un travail d’investigation approfondi et prendre des mesures de réponse immédiates pour contenir rapidement les menaces identifiées en temps réel. La réponse en direct est conçue pour améliorer les investigations en vous permettant de collecter des données d’investigation, d’exécuter des scripts, d’envoyer des entités suspectes à des fins d’analyse, de corriger les menaces et de rechercher de manière proactive les menaces émergentes.

  • Demandez aux experts Defender : vous pouvez consulter un expert Microsoft Defender pour obtenir plus d’informations sur les appareils potentiellement compromis ou déjà compromis. Microsoft Defender experts peuvent être engagés directement à partir du portail pour obtenir une réponse précise et en temps voulu. Cette action est disponible pour les appareils et les fichiers.

D’autres actions sur les appareils sont disponibles dans le tutoriel suivant :

Remarque

Vous pouvez effectuer des actions sur les appareils directement à partir du graphique dans l’article d’attaque.

Actions sur les fichiers

  • Fichier d’arrêt et de mise en quarantaine : inclut l’arrêt des processus en cours d’exécution, la mise en quarantaine des fichiers et la suppression des données persistantes telles que les clés de Registre.
  • Ajouter des indicateurs pour bloquer ou autoriser un fichier : empêche une attaque de se propager davantage en interdisant les fichiers potentiellement malveillants ou les programmes malveillants suspects. Cette opération empêche la lecture, l’écriture ou l’exécution du fichier sur les appareils de votre organization.
  • Télécharger ou collecter un fichier : permet aux analystes de télécharger un fichier dans un fichier d’archivage .zip protégé par mot de passe pour une analyse plus approfondie par le organization.
  • Analyse approfondie : exécute un fichier dans un environnement cloud sécurisé et entièrement instrumenté. Les résultats de l’analyse approfondie montrent les activités du fichier, les comportements observés et les artefacts associés, tels que les fichiers supprimés, les modifications du Registre et la communication avec les adresses IP.

Correction d’autres attaques

Remarque

Ces didacticiels s’appliquent lorsque d’autres charges de travail Defender sont activées dans votre environnement.

Les tutoriels suivants énumèrent les étapes et les actions que vous pouvez appliquer lors de l’examen d’entités ou de la réponse à des menaces spécifiques :

Prochaines étapes

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.