Examen et réponse contre les menaces

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Applicable aux

Les fonctionnalités d’investigation et de réponse aux menaces dans Microsoft Defender pour Office 365 aident les analystes de sécurité et les administrateurs à protéger les utilisateurs Microsoft 365 pour les entreprises de leur organisation en :

  • Faciliter l’identification, la surveillance et la compréhension des cyberattaques.
  • Aider à traiter rapidement les menaces dans Exchange Online, SharePoint Online, OneDrive Entreprise et Microsoft Teams.
  • Fournir des insights et des connaissances pour aider les opérations de sécurité à empêcher les cyberattaques contre leur organisation.
  • Utilisation d’une investigation et d’une réponse automatisées dans Office 365 pour les menaces critiques basées sur les e-mails.

Les fonctionnalités d’investigation et de réponse aux menaces fournissent des insights sur les menaces et les actions de réponse associées disponibles dans le portail Microsoft 365 Defender. Ces insights peuvent aider l’équipe de sécurité de votre organisation à protéger les utilisateurs contre les attaques par e-mail ou par fichier. Les fonctionnalités permettent de surveiller les signaux et de collecter des données à partir de plusieurs sources, telles que l’activité des utilisateurs, l’authentification, les e-mails, les PC compromis et les incidents de sécurité. Les décideurs métier et votre équipe des opérations de sécurité peuvent utiliser ces informations pour comprendre et répondre aux menaces contre votre organisation et protéger votre propriété intellectuelle.

Se familiariser avec les outils d’investigation et de réponse aux menaces

Les fonctionnalités d’investigation et de réponse aux menaces dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com sont un ensemble d’outils et de flux de travail de réponse qui incluent :

Explorer

Utilisez l’Explorateur (et les détections en temps réel) pour analyser les menaces, voir le volume d’attaques au fil du temps et analyser les données par familles de menaces, infrastructure des attaquants, etc. L’Explorateur (également appelé Explorateur de menaces) est le point de départ du flux de travail d’investigation d’un analyste de sécurité.

Page Explorateur de menaces

Pour afficher et utiliser ce rapport dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Email’Explorateur & collaboration>. Ou, pour accéder directement à la page Explorateur , utilisez https://security.microsoft.com/threatexplorer.

connexion Office 365 Threat Intelligence

Cette fonctionnalité n’est disponible que si vous disposez d’un abonnement Office 365 E5 actif ou du module complémentaire Threat Intelligence. Pour plus d’informations, consultez la page produit Office 365 Entreprise E5.

Lorsque vous activez cette fonctionnalité, vous serez en mesure d’incorporer des données de Microsoft Defender pour Office 365 dans Microsoft 365 Defender pour effectuer une enquête de sécurité complète sur Office 365 boîtes aux lettres et les appareils Windows.

Remarque

Vous devez disposer de la licence appropriée pour activer cette fonctionnalité.

Pour recevoir l’intégration contextuelle des appareils dans Office 365 Threat Intelligence, vous devez activer les paramètres Defender pour point de terminaison dans le tableau de bord Conformité de la sécurité&.

Incidents

Utilisez la liste Incidents (également appelée Investigations) pour afficher la liste des incidents de sécurité en vol. Les incidents sont utilisés pour suivre les menaces telles que les messages électroniques suspects, et pour mener une investigation et une correction plus approfondies.

Liste des incidents de menace actuels dans Office 365

Pour afficher la liste des incidents actuels pour votre organisation dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Alertes d’incident &>Incidents Incidents. Ou, pour accéder directement à la page Incidents , utilisez https://security.microsoft.com/incidents.

Formation à la simulation d'attaque

Utilisez Exercice de simulation d'attaque pour configurer et exécuter des cyberattaques réalistes dans votre organisation, et identifier les personnes vulnérables avant qu’une cyberattaque réelle n’affecte votre entreprise. Pour plus d’informations, consultez Simuler une attaque par hameçonnage.

Pour afficher et utiliser cette fonctionnalité dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Exercice de simulation d'attaque. Ou, pour accéder directement à la page Exercice de simulation d'attaque, utilisez https://security.microsoft.com/attacksimulator?viewid=overview.

Enquêtes et réponses automatisées

Utilisez les fonctionnalités d’investigation et de réponse automatisées (AIR) pour gagner du temps et des efforts pour mettre en corrélation le contenu, les appareils et les personnes exposées à des menaces au sein de votre organisation. Les processus AIR peuvent commencer chaque fois que certaines alertes sont déclenchées ou lorsqu’elles sont démarrées par votre équipe des opérations de sécurité. Pour plus d’informations, consultez Investigation et réponse automatisées dans Office 365.

Widgets de renseignement sur les menaces

Dans le cadre de l’offre Microsoft Defender pour Office 365 Plan 2, les analystes de sécurité peuvent examiner les détails d’une menace connue. Cela est utile pour déterminer s’il existe des mesures ou des étapes préventives supplémentaires qui peuvent être prises pour assurer la sécurité des utilisateurs.

Volet Tendances de la sécurité affichant des informations sur les menaces récentes

Comment obtenons-nous ces fonctionnalités ?

Les fonctionnalités d’investigation et de réponse aux menaces microsoft 365 sont incluses dans Microsoft Defender pour Office 365 Plan 2, qui est inclus dans Enterprise E5 ou en tant que module complémentaire à certains abonnements. Pour plus d’informations, consultez Defender pour Office 365 Plan 1 et Plan 2.

Rôles et des autorisations requis

Microsoft Defender pour Office 365 utilise le contrôle d’accès en fonction du rôle. Les autorisations sont attribuées via certains rôles dans Azure Active Directory, le Centre d'administration Microsoft 365 ou le portail Microsoft 365 Defender.

Conseil

Bien que certains rôles, tels que Administrateur de la sécurité, puissent être attribués dans le portail Microsoft 365 Defender, envisagez d’utiliser le Centre d'administration Microsoft 365 ou Azure Active Directory à la place. Pour plus d’informations sur les rôles, les groupes de rôles et les autorisations, consultez les ressources suivantes :

Activité Rôles et autorisations
Utiliser le tableau de bord Gestion des vulnérabilités Microsoft Defender

Afficher des informations sur les menaces récentes ou actuelles

Un des éléments suivants :
  • Administrateur général
  • Administrateur de sécurité
  • Lecteur de sécurité

Ces rôles peuvent être attribués dans Azure Active Directory (https://portal.azure.com) ou dans le Centre d'administration Microsoft 365 (https://admin.microsoft.com).

Utiliser l’Explorateur (et les détections en temps réel) pour analyser les menaces Un des éléments suivants :
  • Administrateur général
  • Administrateur de sécurité
  • Lecteur de sécurité

Ces rôles peuvent être attribués dans Azure Active Directory (https://portal.azure.com) ou dans le Centre d'administration Microsoft 365 (https://admin.microsoft.com).

Afficher les incidents (également appelés enquêtes)

Ajouter des messages électroniques à un incident

Un des éléments suivants :
  • Administrateur général
  • Administrateur de sécurité
  • Lecteur de sécurité

Ces rôles peuvent être attribués dans Azure Active Directory (https://portal.azure.com) ou dans le Centre d'administration Microsoft 365 (https://admin.microsoft.com).

Déclencher des actions par e-mail dans un incident

Rechercher et supprimer des messages électroniques suspects

Un des éléments suivants :
  • Administrateur général
  • Administrateur de la sécurité et rôle Rechercher et vider

Les rôles Administrateur général et Administrateur de la sécurité peuvent être attribués dans Azure Active Directory (https://portal.azure.com) ou dans le Centre d'administration Microsoft 365 (https://admin.microsoft.com).

Le rôle Rechercher et vider doit être attribué dans le Email & rôles de collaboration dans le portail Microsoft 36 Defender (https://security.microsoft.com).

Intégrer Microsoft Defender pour Office 365 Plan 2 à Microsoft Defender pour point de terminaison

Intégrer Microsoft Defender pour Office 365 Plan 2 à un serveur SIEM

Le rôle Administrateur général ou Administrateur de la sécurité attribué dans Azure Active Directory (https://portal.azure.com) ou le Centre d'administration Microsoft 365 (https://admin.microsoft.com).

--- plus ---

Rôle approprié attribué dans d’autres applications (telles que Centre de sécurité Microsoft Defender ou votre serveur SIEM).

Prochaines étapes