Playbooks sur les réponses aux incidents

Vous devez répondre rapidement aux attaques de sécurité détectées pour limiter les dégâts et corriger les dommages. À mesure que de nouvelles cyberattaques se produisent, telles que Nobellium et la vulnérabilité d’Exchange Server, Microsoft fournit des instructions détaillées de réponse aux incidents.

Vous avez également besoin d’aides détaillées pour les méthodes d’attaque courantes que les utilisateurs malveillants emploient quotidiennement. Pour répondre à ce besoin, utilisez des playbooks de réponse aux incidents pour ces types d’attaques :

• Hameçonnage

• Pulvérisation de mots de passe

• Octroi de consentement d’application

• Applications compromises et malveillantes

Chaque playbook comprend les éléments suivants :

• Conditions préalables requises : les exigences spécifiques que vous devez respecter avant de commencer l’examen. Par exemple, la journalisation qui doit être activée, et vous devez disposer des rôles et des autorisations nécessaires.
• Workflow : le flux logique que vous devez suivre pour effectuer cet examen.
• Liste de vérification : une liste de tâches pour les étapes dans l’organigramme. Cette liste de case activée peut être utile dans les environnements hautement réglementés pour vérifier ce que vous avez fait.
• Étapes de l’examen : instructions pas à pas détaillées pour un examen spécifique.

Consultez également l’approche de ransomware Microsoft DART et les meilleures pratiques pour plus d’informations sur la façon dont l’équipe de détection et de réponse Microsoft (DART) traite des attaques par ransomware.

Ressources pour répondre aux incidents

• Vue d’ensemble des produits et ressources de sécurité Microsoft pour les analystes nouveaux et expérimentés
• Planification de votre centre des opérations de sécurité (SOC)
• Réponse aux incidents Microsoft 365 Defender
• Microsoft Defender pour le cloud (Azure)
• Réponse aux incidents Microsoft Sentinel