Partager via

Commencer à utiliser le service Defender Experts pour XDR

  • Article

S’applique à :

Une fois que vous avez terminé les étapes d’intégration et les vérifications de préparation pour Microsoft Defender Experts pour XDR, nos experts commencent à surveiller votre environnement pour rationaliser le service afin que nous puissions effectuer un service complet en votre nom. Au cours de cette étape, nos experts identifient les menaces latentes, les sources de risque et l’activité normale.

Une fois que nos experts commencent à effectuer un travail de réponse complet en votre nom, vous commencez à recevoir des notifications sur les incidents qui nécessitent des étapes de correction et des recommandations ciblées sur les incidents critiques. Vous pouvez également discuter avec nos experts ou vos responsables de la prestation de services (SDM) concernant les requêtes importantes et les révisions régulières de la posture de sécurité et de l’entreprise, et consulter des rapports en temps réel sur le nombre d’incidents que nous avons examinés et résolus en votre nom.

Détection et réponse managées

Grâce à une combinaison d’automatisation et d’expertise humaine, Defender Experts pour XDR trie les incidents Microsoft Defender XDR, les hiérarchise en votre nom, filtre le bruit, effectue des investigations détaillées et fournit une réponse managée exploitable à vos équipes du centre des opérations de sécurité (SOC).

Mises à jour des incidents

Une fois que nos experts commencent à enquêter sur un incident, les champs Affecté à et État de l’incident sont mis à jour respectivement en Experts Defender et En cours.

Lorsque nos experts concluent leur enquête sur un incident, le champ Classification de l’incident est mis à jour à l’un des éléments suivants, en fonction des conclusions des experts :

  • Vrai positif
  • Faux positif
  • Information, activité attendue

Le champ Détermination correspondant à chaque classification est également mis à jour pour fournir plus d’informations sur les résultats qui ont conduit nos experts à déterminer ladite classification.

Capture d’écran de la page Incidents montrant les champs Balises, État, Affecté à, Classification et Détermination.

Si un incident est classé comme Faux positif ou Informational, Activité attendue, le champ État de l’incident est mis à jour en Résolu. Nos experts terminent ensuite leur travail sur cet incident et le champ Affecté à est mis à jour sur Non affecté. Nos experts peuvent partager les mises à jour de leur enquête et leur conclusion lors de la résolution d’un incident. Ces mises à jour sont publiées dans le volet de menu volant Commentaires et historique de l’incident .

Remarque

Les commentaires d’incident sont des billets unidirectionnel. Les experts Defender ne peuvent pas répondre aux commentaires ou aux questions que vous ajoutez dans le volet Commentaires et historique . Pour plus d’informations sur la façon de correspondre avec nos experts, consultez Communication avec des experts dans le service Microsoft Defender Experts pour XDR.

Sinon, si un incident est classé comme étant vrai positif, nos experts identifient alors les actions de réponse requises qui doivent être effectuées. La méthode dans laquelle les actions sont effectuées dépend des autorisations et des niveaux d’accès que vous avez accordés au service Defender Experts for XDR. En savoir plus sur l’octroi d’autorisations à nos experts.

  • Si vous avez accordé à Defender Experts pour XDR les autorisations d’accès d’opérateur de sécurité recommandées, nos experts peuvent effectuer les actions de réponse requises sur l’incident en votre nom. Ces actions, ainsi qu’un résumé de l’enquête, s’affichent dans le volet volant réponse managée de l’incident dans votre portail Microsoft Defender pour vous ou votre équipe SOC. Toutes les actions effectuées par Defender Experts pour XDR apparaissent sous la section Actions terminées . Toutes les actions en attente qui nécessitent que vous ou votre équipe SOC effectuez sont répertoriées sous la section Actions en attente . Pour plus d’informations, consultez la section Actions . Une fois que nos experts ont pris toutes les mesures nécessaires sur l’incident, son champ État est mis à jour sur Résolu et le champ Affecté à est mis à jour sur Non affecté.

  • Si vous avez accordé à Defender Experts pour XDR l’accès lecteur de sécurité par défaut, les actions de réponse requises, ainsi qu’un résumé de l’enquête, s’affichent dans le volet volant Réponse managée de l’incident sous la section Actions en attente de votre portail Microsoft Defender pour vous ou votre équipe SOC. Pour plus d’informations, consultez la section Actions . Pour identifier ce transfert, le champ État de l’incident est mis à jour en Action client en attente et le champ Affecté à est mis à jour en Client.

Vous pouvez case activée le nombre d’incidents qui nécessitent votre action dans la bannière Defender Experts en haut de la page d’accueil Microsoft Defender.

Capture d’écran du carte Defender Experts dans Microsoft Defender portail montrant le nombre d’incidents en attente d’action du client.

Pour afficher les incidents que nos experts ont examinés ou sont en train d’examiner, filtrez la file d’attente des incidents dans votre portail Microsoft Defender à l’aide de la balise Defender Experts.

Capture d’écran de la file d’attente Incidents dans Microsoft Defender portail filtrée pour afficher uniquement ceux avec la balise Defender Experts.

Comment utiliser la réponse managée dans Microsoft Defender XDR

Dans le portail Microsoft Defender, un incident nécessitant votre attention à l’aide de la réponse managée a le champ Affecté à défini sur Client et une tâche carte en haut du volet Incidents. Vos contacts d’incident désignés reçoivent également une notification par e-mail correspondante avec un lien vers le portail Defender pour afficher l’incident. En savoir plus sur les contacts de notification.

Sélectionnez Afficher la réponse managée sur la tâche carte ou en haut de la page du portail (onglet Réponse gérée) pour ouvrir un panneau volant dans lequel vous pouvez lire le résumé de l’enquête de nos experts, effectuer les actions en attente identifiées par nos experts ou interagir avec eux via une conversation.

Résumé de l’enquête

La section Résumé de l’enquête vous fournit plus de contexte sur l’incident analysé par nos experts afin de vous fournir une visibilité sur sa gravité et son impact potentiel s’il n’est pas traité immédiatement. Il peut inclure les chronologie de l’appareil, les indicateurs d’attaque et les indicateurs de compromission (ICS) observés, ainsi que d’autres détails.

Capture d’écran du résumé de l’enquête de réponse managée.

Actions

L’onglet Actions affiche les cartes de tâches qui contiennent les actions de réponse recommandées par nos experts.

Defender Experts pour XDR prend actuellement en charge les actions de réponse managées en un clic suivantes :

Action Description
Isoler l’appareil Isole un appareil, ce qui permet d’empêcher un attaquant de le contrôler et d’effectuer d’autres activités telles que l’exfiltration de données et le mouvement latéral. L’appareil isolé est toujours connecté à Microsoft Defender pour point de terminaison.
Fichier de quarantaine Arrête l’exécution des processus, met en quarantaine les fichiers et supprime les données persistantes telles que les clés de Registre.
Restreindre l’exécution des applications Restreint l’exécution de programmes potentiellement malveillants et verrouille l’appareil pour empêcher d’autres tentatives.
Libération de l’isolation Annule l’isolation d’un appareil.
Supprimer la restriction des applications Annule la libération de l’isolation.

En dehors de ces actions en un clic, vous pouvez également recevoir des réponses gérées de nos experts que vous devez effectuer manuellement.

Remarque

Avant d’effectuer l’une des actions de réponse managées recommandées, assurez-vous qu’elles ne sont pas déjà traitées par vos configurations automatisées d’examen et de réponse. En savoir plus sur les fonctionnalités d’investigation et de réponse automatisées dans Microsoft Defender XDR.

Pour afficher et exécuter les actions de réponse managées :

  1. Sélectionnez les boutons de direction dans une action carte pour la développer et lire plus d’informations sur l’action requise.

    Capture d’écran de l’action de réponse managée pour isoler le serveur device prod.

  2. Pour les cartes avec des actions de réponse en un clic, sélectionnez l’action requise. L’action status dans le carte passe à En cours, puis à Échec ou Terminé, en fonction du résultat de l’action.

    Capture d’écran de l’action de réponse managée montrant en cours d’isolation du serveur device prod.

    Conseil

    Vous pouvez également surveiller la status des actions de réponse dans le portail dans le Centre de notifications. Si une action de réponse échoue, réessayez à partir de la page Afficher les détails de l’appareil ou lancez une conversation avec les experts Defender.

  3. Pour les cartes avec les actions requises que vous devez effectuer manuellement, sélectionnez J’ai terminé cette action une fois que vous les avez effectuées, puis sélectionnez Oui, je l’ai fait dans la boîte de dialogue de confirmation qui s’affiche.

    Capture d’écran de l’action de réponse managée pour confirmer l’achèvement de l’action.

  4. Si vous ne souhaitez pas effectuer immédiatement une action requise, sélectionnez Ignorer, puis Oui, ignorez cette action dans la boîte de dialogue de confirmation qui s’affiche.

Importante

Si vous remarquez que l’un des boutons des cartes d’action est grisé, cela peut indiquer que vous ne disposez pas des autorisations nécessaires pour effectuer l’action. Vérifiez que vous êtes connecté au portail Microsoft Defender XDR avec les autorisations appropriées. La plupart des actions de réponse managées nécessitent au moins l’accès de l’opérateur de sécurité.

Si vous rencontrez toujours ce problème, même avec les autorisations appropriées, accédez à Afficher les détails de l’appareil et effectuez les étapes à partir de là.

Bénéficiez d’une visibilité sur les enquêtes Defender Experts dans votre application SIEM ou ITSM

À mesure que Les experts Defender pour XDR examinent les incidents et créent des actions de correction, vous pouvez avoir une visibilité de leur travail sur les incidents dans vos applications SIEM (Security Information and Event Management) et ITSM (Gestion des services informatiques), y compris les applications prêtes à l’emploi.

Microsoft Sentinel

Vous pouvez obtenir une visibilité des incidents dans Microsoft Sentinel en activant son connecteur de données Microsoft Defender XDR prête à l’emploi. En savoir plus.

Une fois que vous avez activé le connecteur, les mises à jour effectuées par les experts Defender vers les champs État, Affecté à, Classification et Détermination dans Microsoft Defender XDR s’affichent dans les champs État, Propriétaire et Raison de la fermeture correspondants dans Sentinel.

Remarque

Le status des incidents examinés par les experts Defender dans Microsoft Defender XDR passe généralement d’Actif à En cours à En attente d’action client à Résolu, tandis que dans Sentinel, il suit le chemin Nouveau à Actif à Résolu. L’Microsoft Defender XDR État en attente de l’action du client n’a pas de champ équivalent dans Sentinel ; au lieu de cela, il est affiché sous la forme d’une balise dans un incident dans Sentinel.

La section suivante décrit comment un incident géré par nos experts est mis à jour dans Sentinel à mesure qu’il progresse dans le parcours d’investigation :

  1. Un incident en cours d’examen par nos experts a l’État répertorié comme Actif et le Propriétaire comme Experts Defender.
  2. Un incident que nos experts ont confirmé comme vrai positif a une réponse gérée publiée dans Microsoft Defender XDR, et une étiquetteen attente d’action du client et le propriétaire est répertorié comme client. Vous devez agir sur l’incident en fonction de l’utilisation de la réponse managée fournie.
  3. Une fois que nos experts ont terminé leur enquête et fermé un incident en tant que faux positif ou informationnel, activité attendue, l’état de l’incident est mis à jour sur Résolu, le propriétaire est mis à jour sur Non affecté et une raison de fermeture est fournie.

Capture d’écran des incidents Microsoft Sentinel.

Autres applications

Vous pouvez obtenir une visibilité des incidents dans votre application SIEM ou ITSM à l’aide de l’API Microsoft Defender XDR ou des connecteurs dans Sentinel.

Après avoir configuré un connecteur, les mises à jour effectuées par les experts Defender pour les champs État, Affectation, Classification et Détermination d’un incident dans Microsoft Defender XDR peuvent être synchronisées avec les applications SIEM ou ITSM tierces, en fonction de la façon dont le mappage de champs a été implémenté. À titre d’exemple, vous pouvez examiner le connecteur disponible entre Sentinel et ServiceNow.

Obtenir une visibilité en temps réel avec les experts Defender pour les rapports XDR

Defender Experts pour XDR comprend un rapport interactif à la demande qui fournit un résumé clair du travail effectué par nos analystes experts en votre nom, des informations agrégées sur votre paysage d’incidents et des détails précis sur des incidents spécifiques. Votre gestionnaire de livraison de services (SDM) utilise également le rapport pour vous fournir plus de contexte concernant le service lors d’une révision mensuelle de l’entreprise.

Capture d’écran du rapport Defender Experts pour XDR.

Chaque section du rapport est conçue pour fournir plus d’informations sur les incidents que nos experts ont examinés et résolus dans votre environnement en temps réel. Vous pouvez également sélectionner la plage de dates pour obtenir des informations détaillées sur les incidents en fonction de la gravité, de la catégorie et comprendre le temps nécessaire pour examiner et résoudre un incident pendant une période spécifique.

Comprendre le rapport Des experts Defender pour XDR

La section la plus haut du rapport Defender Experts for XDR fournit le pourcentage d’incidents que nous avons résolus dans votre environnement, ce qui vous offre une transparence dans nos opérations. Ce pourcentage est dérivé des chiffres suivants, qui sont également présentés dans le rapport :

  • Investigué : nombre de menaces actives et d’autres incidents de votre file d’attente d’incidents que nous avons triés, examinés ou actuellement examinés dans notre portée.
  • Résolu : nombre total d’incidents ayant fait l’objet d’une enquête qui ont été fermés.
  • Résolu directement : nombre d’incidents examinés que nous avons pu fermer directement en votre nom.
  • Résolu avec votre aide : nombre d’incidents examinés qui ont été résolus en raison de votre action sur une ou plusieurs tâches de réponse managées.

La section Temps moyen de résolution des incidents affiche un graphique à barres du temps moyen, en minutes, que nos experts ont passé à examiner et à fermer les incidents dans votre environnement, ainsi que le temps moyen que vous avez passé à effectuer les actions de réponse managées requises.

Les sections Incidents par gravité, Incidents par catégorie et Incidents par source de service décomposent les incidents résolus par gravité, technique d’attaque et source du service de sécurité Microsoft, respectivement. Ces sections vous permettent d’identifier les points d’entrée d’attaque potentiels et les types de menaces détectées dans votre environnement, d’évaluer leur impact et de développer des stratégies pour les atténuer et les prévenir. Sélectionnez Afficher les incidents pour obtenir une vue filtrée de la file d’attente des incidents en fonction des sélections effectuées dans chacune des deux sections.

La section Ressources les plus impactées affiche les utilisateurs et les appareils de votre environnement qui ont été impliqués dans le plus grand nombre d’incidents au cours de la plage de dates sélectionnée. Vous pouvez voir le volume d’incidents dans lesquels chaque ressource a été impliquée. Sélectionnez une ressource pour obtenir une vue filtrée de la file d’attente des incidents en fonction des incidents qui incluaient ladite ressource.

Chasse managée proactive

Defender Experts pour XDR inclut également la chasse proactive aux menaces offerte par Experts Microsoft Defender pour la détection. Experts Defender pour la détection a été créé pour les clients qui disposent d’un centre d’opérations de sécurité robuste, mais qui souhaitent que Microsoft les aide à chasser de manière proactive les menaces à l’aide de données Microsoft Defender. Ce service de repérage proactif des menaces va au-delà du point de terminaison pour chasser les points de terminaison, les Office 365, les applications cloud et l’identité. Nos experts examinent tout ce qu’ils trouvent, puis donnent les informations contextuelles d’alerte ainsi que les instructions de correction, afin que vous puissiez y répondre rapidement.

Demander une expertise avancée en matière de menaces à la demande

Sélectionnez Demander aux experts Defender directement dans le portail Microsoft Defender XDR pour obtenir des réponses rapides et précises à toutes vos questions sur les menaces. Les experts peuvent fournir des insights pour mieux comprendre les menaces complexes auxquelles votre organization peut faire face. Consultez un expert pour :

  • Rassemblez des informations supplémentaires sur les alertes et les incidents, y compris les causes racines et l’étendue.
  • Obtenez de la clarté sur les appareils, alertes ou incidents suspects et passez aux étapes suivantes si vous êtes confronté à un attaquant avancé.
  • Déterminez les risques et les protections disponibles liés aux groupes d’activités, aux campagnes ou aux techniques d’attaquant émergentes.

Remarque

Demander aux experts Defender n’est pas un service de réponse aux incidents de sécurité. Il vise à mieux comprendre les menaces complexes qui affectent votre organization. Engage avec votre propre équipe de réponse aux incidents de sécurité pour résoudre les problèmes urgents de réponse aux incidents de sécurité. Si vous n’avez pas votre propre équipe de réponse aux incidents de sécurité et que vous souhaitez l’aide de Microsoft, créez une demande de support dans le Premier Services Hub.

L’option Demander aux experts Defender est disponible dans les pages d’incidents et d’alertes pour vous permettre de poser des questions contextuelles sur un incident ou une alerte spécifique :

  • Menu volant de la page Alertes :

Capture d’écran de l’option de menu Demander aux experts Defender dans le menu volant de la page Alertes du portail Microsoft Defender.

  • Menu actions de la page Incidents :

Capture d’écran de l’option de menu Demander aux experts Defender dans le menu Actions de la page Incidents du portail Microsoft Defender.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.