Analyse des menaces dans Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
L’analytique des menaces est notre solution de renseignement sur les menaces intégrée au produit de la part d’experts en sécurité Microsoft. Il est conçu pour aider les équipes de sécurité à être aussi efficaces que possible face aux menaces émergentes, telles que :
- Les acteurs actifs contre les menaces et leurs campagnes
- Techniques d’attaque populaires et nouvelles
- Vulnérabilités critiques
- Surface d'attaque courantes
- Programmes malveillants répandus
Regardez cette courte vidéo pour en savoir plus sur la façon dont l’analyse des menaces peut vous aider à suivre les dernières menaces et à les arrêter.
Vous pouvez accéder à l’analyse des menaces à partir du côté supérieur gauche de la barre de navigation de Microsoft Defender XDR ou à partir d’un tableau de bord dédié carte qui présente les principales menaces pour votre organisation, à la fois en termes d’impact connu et d’exposition.
Obtenir une visibilité sur les campagnes actives ou en cours et savoir ce qu’il faut faire par le biais de l’analyse des menaces peut aider votre équipe chargée des opérations de sécurité à prendre des décisions éclairées.
Avec des adversaires plus sophistiqués et de nouvelles menaces qui apparaissent fréquemment et de manière répandue, il est essentiel de pouvoir rapidement :
- Identifier les menaces émergentes et y réagir
- Découvrez si vous êtes actuellement attaqué
- Évaluer l’impact de la menace sur vos ressources
- Passer en revue votre résilience face aux menaces ou votre exposition aux menaces
- Identifier les mesures d’atténuation, de récupération ou de prévention que vous pouvez prendre pour arrêter ou contenir les menaces
Chaque rapport fournit une analyse d’une menace suivie et des conseils complets sur la façon de se défendre contre cette menace. Il incorpore également les données de votre réseau, indiquant si la menace est active et si vous avez mis en place des protections applicables.
Afficher le tableau de bord Analyse des menaces
Le tableau de bord Analyse des menaces (security.microsoft.com/threatanalytics3) met en évidence les rapports les plus pertinents pour votre organization. Il récapitule les menaces dans les sections suivantes :
- Dernières menaces : répertorie les rapports de menaces les plus récemment publiés ou mis à jour, ainsi que le nombre d’alertes actives et résolues.
- Menaces à fort impact : répertorie les menaces qui ont l’impact le plus élevé sur votre organization. Cette section répertorie d’abord les menaces avec le plus grand nombre d’alertes actives et résolues.
- Exposition la plus élevée : répertorie les menaces auxquelles votre organisation est exposée le plus. Votre niveau d’exposition à une menace est calculé à l’aide de deux informations : la gravité des vulnérabilités associées à la menace et le nombre d’appareils de votre organization qui pourraient être exploités par ces vulnérabilités.
Sélectionnez une menace dans le tableau de bord pour afficher le rapport de cette menace. Vous pouvez également sélectionner le champ Recherche pour effectuer une clé dans un mot clé lié au rapport d’analyse des menaces que vous souhaitez lire.
Afficher les rapports par catégorie
Vous pouvez filtrer la liste des rapports sur les menaces et afficher les rapports les plus pertinents en fonction d’un type de menace spécifique ou par type de rapport.
- Étiquettes de menace : vous aident à afficher les rapports les plus pertinents en fonction d’une catégorie de menace spécifique. Par exemple, la balise Ransomware inclut tous les rapports liés aux rançongiciels.
- Types de rapports : vous aide à afficher les rapports les plus pertinents en fonction d’un type de rapport spécifique. Par exemple, la balise Outils & techniques inclut tous les rapports qui couvrent les outils et techniques.
Les différentes étiquettes ont des filtres équivalents qui vous aident à examiner efficacement la liste des rapports sur les menaces et à filtrer l’affichage en fonction d’une balise de menace ou d’un type de rapport spécifique. Par exemple, pour afficher tous les rapports de menace liés à la catégorie de ransomware ou les rapports sur les menaces qui impliquent des vulnérabilités.
L’équipe Microsoft Threat Intelligence a ajouté des étiquettes de menace à chaque rapport de menace. Quatre balises de menace sont actuellement disponibles :
- Rançongiciel
- Hameçonnage
- Vulnérabilité
- Groupe d’activités
Les balises de menace sont présentées en haut de la page Analyse des menaces. Il existe des compteurs pour le nombre de rapports disponibles sous chaque balise.
Pour définir les types de rapports que vous souhaitez dans la liste, sélectionnez Filtres, choisissez dans la liste, puis sélectionnez Appliquer.
Si vous avez défini plusieurs filtres, la liste des rapports d’analyse des menaces peut également être triée par balise de menace en sélectionnant la colonne Étiquettes de menace :
Afficher un rapport d’analyse des menaces
Chaque rapport d’analyse des menaces fournit des informations dans plusieurs sections :
- Vue d’ensemble
- Rapport d’analystes
- Incidents liés
- Ressources affectées
- Tentatives d’e-mails bloquées
- Atténuations des & d’exposition
Vue d’ensemble : Comprendre rapidement la menace, évaluer son impact et passer en revue les défenses
La section Vue d’ensemble fournit un aperçu du rapport d’analyste détaillé. Il fournit également des graphiques qui mettent en évidence l’impact de la menace sur votre organization et votre exposition via des appareils mal configurés et non corrigés.
Évaluer l’impact sur votre organization
Chaque rapport inclut des graphiques conçus pour fournir des informations sur l’impact organisationnel d’une menace :
- Incidents associés : fournit une vue d’ensemble de l’impact de la menace suivie sur votre organization avec les données suivantes :
- Nombre d’alertes actives et nombre d’incidents actifs auxquels elles sont associées
- Gravité des incidents actifs
- Alertes au fil du temps : indique le nombre d’alertes actives et résolues associées au fil du temps. Le nombre d’alertes résolues indique la rapidité avec laquelle votre organization répond aux alertes associées à une menace. Dans l’idéal, le graphique doit afficher les alertes résolues dans un délai de quelques jours.
- Ressources affectées : indique le nombre d’appareils et de comptes de messagerie distincts (boîtes aux lettres) qui ont actuellement au moins une alerte active associée à la menace suivie. Des alertes sont déclenchées pour les boîtes aux lettres qui ont reçu des e-mails de menace. Passez en revue les stratégies au niveau de l’organisation et de l’utilisateur pour les remplacements qui provoquent la remise d’e-mails de menace.
- Tentatives d’e-mail empêchées : indique le nombre d’e-mails des sept derniers jours qui ont été bloqués avant la remise ou remis au dossier de courrier indésirable.
Passer en revue la résilience et la posture de sécurité
Chaque rapport comprend des graphiques qui fournissent une vue d’ensemble de la résilience de votre organization face à une menace donnée :
- Status de configuration sécurisée : indique le nombre d’appareils avec des paramètres de sécurité mal configurés. Appliquez les paramètres de sécurité recommandés pour atténuer la menace. Les appareils sont considérés comme sécurisés s’ils ont appliqué tous les paramètres suivis.
- Mise à jour corrective des vulnérabilités status : indique le nombre d’appareils vulnérables. Appliquez des mises à jour de sécurité ou des correctifs pour résoudre les vulnérabilités exploitées par la menace.
Rapport d’analyste : Obtenir des informations d’experts auprès des chercheurs en sécurité Microsoft
Dans la section Rapport d’analyste , lisez la rédaction détaillée de l’expert. La plupart des rapports fournissent des descriptions détaillées des chaînes d’attaque, y compris les tactiques et techniques mappées à l’infrastructure MITRE ATT&CK, des listes exhaustives de recommandations et des conseils puissants pour la chasse aux menaces .
En savoir plus sur le rapport d’analyste
Incidents associés : afficher et gérer les incidents associés
L’onglet incidents liés fournit la liste de tous les incidents liés à la menace suivie. Vous pouvez attribuer des incidents ou gérer les alertes liées à chaque incident.
Ressources affectées : obtenir la liste des appareils et des boîtes aux lettres concernés
Une ressource est considérée comme impactée si elle est affectée par une alerte active non résolue. L’onglet ressources impactées répertorie les types de ressources impactés suivants :
- Appareils affectés : points de terminaison qui ont des alertes Microsoft Defender pour point de terminaison non résolues. Ces alertes se déclenchent généralement sur les observations d’indicateurs et d’activités de menace connus.
- Boîtes aux lettres affectées : boîtes aux lettres qui ont reçu des messages électroniques qui ont déclenché des alertes Microsoft Defender pour Office 365. Bien que la plupart des messages qui déclenchent des alertes soient généralement bloqués, les stratégies au niveau de l’utilisateur ou de l’organisation peuvent remplacer les filtres.
Tentatives d’e-mail empêchées : afficher les e-mails de menace bloqués ou indésirables
Microsoft Defender pour Office 365 bloque généralement les e-mails avec des indicateurs de menace connus, y compris des liens malveillants ou des pièces jointes. Dans certains cas, les mécanismes de filtrage proactif qui recherchent du contenu suspect envoient à la place des e-mails de menace au dossier courrier indésirable. Dans les deux cas, les chances que la menace lance du code malveillant sur l’appareil sont réduites.
L’onglet Tentatives d’e-mail empêchées répertorie tous les e-mails qui ont été bloqués avant la remise ou envoyés au dossier courrier indésirable par Microsoft Defender pour Office 365.
Exposition et atténuations : passez en revue la liste des atténuations et les status de vos appareils
Dans la section Atténuations de l’exposition & , passez en revue la liste des recommandations actionnables spécifiques qui peuvent vous aider à augmenter la résilience de votre organisation face à la menace. La liste des atténuations suivies inclut :
- Mises à jour de sécurité : déploiement de mises à jour de sécurité logicielles prises en charge pour les vulnérabilités détectées sur les appareils intégrés
- Configurations de sécurité prises en charge
- Protection fournie par le cloud
- Protection d’application potentiellement indésirable (PUA)
- Protection en temps réel
Les informations d’atténuation de cette section incorporent les données de Gestion des vulnérabilités Microsoft Defender, qui fournissent également des informations détaillées à partir de divers liens dans le rapport.
Section Atténuations de l’exposition & d’un rapport d’analyse des menaces
Configurer Notifications par e-mail pour les mises à jour de rapport
Vous pouvez configurer des Notifications par e-mail qui vous enverront des mises à jour sur les rapports d’analyse des menaces. Pour créer Notifications par e-mail, suivez les étapes décrites dans Obtenir Notifications par e-mail pour les mises à jour d’Analyse des menaces dans Microsoft Defender XDR.
Détails et limitations supplémentaires du rapport
Remarque
Dans le cadre de l’expérience de sécurité unifiée, l’analyse des menaces est désormais disponible non seulement pour les Microsoft Defender pour point de terminaison, mais également pour les titulaires de licence Microsoft Defender pour Office 365.
Si vous n’utilisez pas le portail de sécurité Microsoft 365 (Microsoft Defender XDR), vous pouvez également voir les détails du rapport (sans les données Microsoft Defender pour Office) dans le portail Centre de sécurité Microsoft Defender ( Microsoft Defender pour point de terminaison).
Pour accéder aux rapports d’analyse des menaces, vous avez besoin de certains rôles et autorisations. Pour plus d’informations, consultez Rôles personnalisés dans le contrôle d’accès en fonction du rôle pour Microsoft Defender XDR.
- Pour afficher les alertes, les incidents ou les données de ressources affectées, vous devez disposer des autorisations nécessaires pour Microsoft Defender pour Office ou Microsoft Defender pour point de terminaison données d’alertes, ou les deux.
- Pour afficher les tentatives d’e-mail empêchées, vous devez disposer des autorisations nécessaires pour Microsoft Defender pour les données de repérage Office.
- Pour afficher les atténuations, vous devez disposer d’autorisations sur les données Defender Vulnerability Management dans Microsoft Defender pour point de terminaison.
Lorsque vous examinez les données d’analyse des menaces, n’oubliez pas les facteurs suivants :
- Les graphiques reflètent uniquement les atténuations suivies. Consultez la vue d’ensemble du rapport pour connaître les atténuations supplémentaires qui ne sont pas affichées dans les graphiques.
- Les atténuations ne garantissent pas une résilience complète. Les atténuations fournies reflètent les meilleures actions possibles nécessaires pour améliorer la résilience.
- Les appareils sont considérés comme « indisponibles » s’ils n’ont pas transmis de données au service.
- Les statistiques relatives à l’antivirus sont basées sur Microsoft Defender paramètres antivirus. Les appareils avec des solutions antivirus tierces peuvent apparaître comme « exposés ».
Articles connexes
- Rechercher de manière proactive les menaces avec la chasse avancée
- Comprendre la section rapport d’analyste
- Évaluer et résoudre les faiblesses et les expositions en matière de sécurité
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour