Étape 4. Répondre à un incident à l’aide de Microsoft Sentinel et Microsoft Defender XDR

Cet article fournit un ensemble général d’étapes et de procédures pour résoudre un incident à l’aide de Microsoft Sentinel et Microsoft Defender XDR, qui incluent le tri, l’enquête et la résolution. Microsoft Sentinel et Microsoft Defender XDR partagent :

• Mises à jour sur le cycle de vie (état, propriétaire, classification) sont partagés entre les produits.
• Les preuves recueillies lors d’une enquête sont présentées dans l’incident Microsoft Sentinel.

Le diagramme suivant montre comment la solution de détection et réponse étendues (XDR) de Microsoft s’intègre parfaitement à Microsoft Sentinel.

Dans ce diagramme :

• Les informations provenant des signaux de l’ensemble de votre organisation alimentent Microsoft Defender XDR et Microsoft Defender pour le cloud.
• Microsoft Defender XDR et Microsoft Defender pour le cloud envoient les données des journaux SIEM via une série de connecteurs Microsoft Sentinel.
• Les équipes SecOps peuvent ensuite analyser et répondre aux menaces.
• Microsoft Sentinel prend en charge les environnements multiclouds et s’intègre à des applications et partenaires tiers.

Pour plus d’informations sur l’intégration de Microsoft Defender avec Microsoft Sentinel, consultez Intégration de Microsoft Defender XDR avec Microsoft Sentinel. Ce guide interactif vous guide tout au long de la détection et de la réponse aux attaques modernes avec les fonctionnalités de Gestion des informations et des événements de sécurité unifiées de Microsoft (SIEM) et de détection et réponse étendues (XDR).

Procédure de réponse aux incidents

Le processus de réponse aux incidents pour résoudre un incident à l’aide de Microsoft Sentinel et Microsoft Defender XDR est le suivant :

1. Utilisez le portail Microsoft Sentinel pour trier l’incident potentiel, ce qui inclut la compréhension des détails de l’incident et l’exécution d’actions immédiates.

2. Accédez au portail Microsoft Defender pour commencer votre enquête. notamment :

   • Comprendre l’incident et son étendue et examiner les chronologie de ressources.
   • Examen des actions en attente de réparation automatique, correction manuelle des entités, exécution d’une réponse dynamique.
   • Ajout de mesures de prévention.

3. Si nécessaire, poursuivez l’examen dans le portail Microsoft Sentinel. notamment :

   • Comprendre l’étendue de l’incident (corréler avec vos processus de sécurité, stratégies et procédures [3P]).
   • Exécution d’actions d’investigation et de correction automatisées 3P et création de guides opérationnels d’orchestration de sécurité, d’automatisation et de réponse (SOAR) personnalisés.
   • Enregistrement des preuves pour la gestion des incidents.
   • Ajout de mesures personnalisées.

4. Résolvez l’incident dans le portail Microsoft Sentinel et effectuez un suivi approprié au sein de votre équipe de sécurité.

Dans Microsoft Sentinel, vous pouvez tirer parti des guides opérationnels et des règles d’automatisation.

• Un guide opérationnel est un ensemble d’examens et d’actions de correction qui peuvent être exécutées à partir du portail de Microsoft Sentinel en tant que routine. Un guide opérationnel peut vous aider à automatiser et orchestrer votre réponse aux menaces. Ils peuvent être exécutés manuellement à la demande sur des incidents, des entités et des alertes, ou être configurés pour s'exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, lorsqu'ils sont déclenchés par une règle d'automatisation. Pour plus d’informations, consultez Automatiser la réponse aux menaces à l’aide de guides opérationnels.
• Les règles d’automatisation sont un moyen de gérer de manière centralisée l’automatisation dans Microsoft Sentinel, en vous permettant de définir et de coordonner un petit ensemble de règles pouvant s’appliquer dans différents scénarios. Pour plus d’informations, consultez Automatisation de la réponse dans Microsoft Sentinel via l’automatisation des règles.

Les sections suivantes décrivent le processus général de réponse aux incidents à l'aide des portails Microsoft Sentinel et Microsoft Defender.

Étape 1 : Trier l’incident dans le portail Microsoft Sentinel

Procédez comme méthode générale pour trier l’incident avec Microsoft Sentinel :

1. Ouvrir le portail Microsoft Sentinel :
2. Sélectionnez Incidents, puis recherchez l’incident suspect. Vous pouvez rechercher des incidents par leur ID, leur titre, leurs étiquettes, leur propriétaire d’incident, leur entité ou leur produit.
3. Une fois que vous avez localisé l’incident, sélectionnez-le, puis sélectionnez Afficher les détails complets dans le volet résumé de l’incident (préversion).
4. Sous l’onglet Vue d’ensemble, affichez le résumé des incidents, chronologie, les entités, les renseignements principaux, les incidents similaires et d’autres informations. Pour exécuter un guide opérationnel créé précédemment sur l’incident, sélectionnez Actions incident, puis run guide opérationnel (prévisualisation).
5. Sous l’onglet Entités , recherchez l’entité d’intérêt dans la liste. Vous pouvez utiliser la zone de recherche pour rechercher le nom ou le filtre de l’entité sur le type d’entité.
6. Pour exécuter un guide opérationnel créé précédemment sur une entité, sélectionnez l’entité, puis exécutez le guide opérationnel. Dans le volet Exécuter le guide opérationnel , sélectionnez Exécuter pour les guides opérationnels que vous avez créés et avez besoin de cet incident pour générer des informations supplémentaires sur l’entité.
7. Dans la section Renseignements du volet d’entité, sélectionnez les catégories appropriées de renseignements dont vous avez besoin pour collecter des informations sur l’entité. Notez que les renseignements présentés ici sont basés sur les 24 dernières heures avant la création de la première alerte. Lorsque vous cliquez sur Détails complets , des informations supplémentaires s’affichent avec un intervalle de temps configurable.
8. Sélectionnez Incident, puis sélectionnez l’onglet Commentaires .
9. Si des guides opérationnels ont été exécutés automatiquement ou manuellement, passez en revue les commentaires créés par eux sur l’incident.

Pour plus d’informations, consultez Naviguer et enquêter sur les incidents dans Microsoft Sentinel.

Étape 2 : Enquêter sur l'incident dans le portail Microsoft Defender

Utilisez ces étapes comme méthode générale pour enquêter sur l’incident avec Microsoft Defender XDR :

1. Sur la page Incident du portail Microsoft Sentinel (préversion), sélectionnez Enquêter dans Microsoft Defender XDR dans le volet récapitulatif.
2. Dans l’onglet Histoire Attack du portail Microsoft Defender, commencez votre enquête avec Microsoft Defender XDR. Envisagez d’utiliser les étapes suivantes pour votre propre flux de travail de réponse aux incidents.
3. Affichez l’historique d’attaque de l’incident pour comprendre son étendue, sa gravité, sa source de détection et les entités affectées.
4. Commencez à analyser les alertes pour comprendre leur origine, leur étendue et leur gravité avec l’historique de l’alerte dans l’incident.
5. Si nécessaire, rassemblez des informations sur les appareils, les utilisateurs et les boîtes aux lettres impactés avec le graphique. Cliquez sur n’importe quelle entité pour ouvrir un menu volant avec tous les détails.
6. Découvrez comment Microsoft Defender XDR a automatiquement résolu certaines alertes avec l'onglet Enquêtes.
7. Si nécessaire, utilisez des informations dans le jeu de données pour l’incident à partir de l’onglet Preuve et réponse .

Pour plus d’informations, consultez Réponse aux incidents avec Microsoft Defender XDR.

Étape 3 : Poursuivre l’investigation dans le portail Microsoft Sentinel (si nécessaire)

Utilisez ces étapes comme méthode générale pour poursuivre l’investigation des incidents avec Microsoft Sentinel à l’aide de la page des incidents améliorés (préversion).

1. Dans le portail Microsoft Sentinel, localisez l’incident dans la file d’attente des incidents, sélectionnez-le, puis sélectionnez Afficher les détails complets dans le volet résumé des incidents.

2. Dans le volet Vue d’ensemble :

   a. Afficher la chronologie des incidents

   b. Faites défiler la liste des entités.

   c. Voir la iste des incidents associés

   d. Affichez les renseignements principaux pour l’incident.

   e. Effectuez une action d’incident supplémentaire, telle que l’exécution d’un guide opérationnel ou la création d’une règle d’automatisation.

   f. Sélectionnez Examiner pour afficher un graphique de l’incident.

3. Dans le volet Entités :

   a. Afficher les détails et les renseignements sur une entité sélectionnée.

   b. Si nécessaire et si disponible, exécutez un guide opérationnel (prévisualisation).

4. Ajoutez des commentaires à l’incident pour enregistrer vos actions et les résultats de votre analyse.

Pour plus d’informations, consultez Naviguer et enquêter sur les incidents dans Microsoft Sentinel.

Étape 4 : Résoudre l’incident

Lorsque votre enquête a atteint sa conclusion et que vous avez corrigé l’incident dans les portails, vous pouvez résoudre l’incident dans le portail Microsoft Sentinel en définissant l’état de l’incident sur clôturé.

1. Dans le portail Microsoft Sentinel à l’aide de la page d’incident améliorée (prévisualisation), recherchez l’incident dans la file d’attente des incidents et sélectionnez-le. Dans la liste déroulante État de l’incident, sélectionnez Clôturé, puis sélectionnez une classification :

   • Vrai positif – activité suspecte
   • Positif bénin – suspect, mais attendu
   • Faux positif – logique d’alerte incorrecte
   • Faux positif – données incorrectes
   • Indéterminé

   En sélectionnant une classification, les données de l’incident sont entrées dans un modèle de Machine Learning qui aide Microsoft à fournir des recommandations et des informations de corrélation.

2. Vous serez également invité à fournir un commentaire sur l’incident. Vous pouvez ajouter des détails tels que :

   • Le type d'attaque avec une description standard ou avec des codes ou des abréviations utilisés par votre équipe de sécurité.
   • Les noms des personnes qui ont travaillé sur l’incident.
   • Les entités clés affectées par l’attaque.
   • Remarques sur les tâches et stratégies de correction.

   Voici un exemple :

   

3. Sélectionnez Appliquer pour résoudre l’incident. Une fois l’incident clôturé dans Microsoft Sentinel, l’état de l’incident sera synchronisé avec Microsoft Defender XDR et Microsoft Defender pour le cloud.

4. Si nécessaire, signalez l’incident à votre responsable de réponse aux incidents pour obtenir un suivi possible pour déterminer des actions supplémentaires, telles que :

   • Informer vos analystes de sécurité de niveau 1 afin de mieux détecter l'attaque à un stade précoce.
   • Créer un guide opérationnel d’orchestration pour automatiser et orchestrer votre réponse aux menaces pour une réponse similaire. Pour plus d’informations, consultez Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel.
   • Recherchez l’attaque dans Microsoft Defender XDR Threat Analytics et dans la communauté de sécurité pour connaître une tendance en matière d’attaque de sécurité.
   • Si nécessaire, enregistrer le flux de travail que vous avez utilisé pour résoudre l’incident et mettre à jour vos flux de travail, processus, stratégies et guides opérationnels standard.
   • Déterminez si les modifications apportées à votre configuration de sécurité sont nécessaires et implémentez-les.

Entraînement recommandé

Voici les modules d’entraînement recommandés pour cette étape.

Gestion des incidents de sécurité dans Microsoft Sentinel

Formation	Gestion des incidents de sécurité dans Microsoft Sentinel
	Dans ce module, vous allez examiner la gestion des incidents dans Microsoft Sentinel, vous familiariser avec les événements et entités de Microsoft Sentinel et découvrir les moyens de résoudre les incidents.

Début >

Améliorer votre fiabilité avec des pratiques opérationnelles modernes : Réponse aux incidents

Formation	Améliorer votre fiabilité avec des pratiques opérationnelles modernes : Réponse aux incidents
	Découvrez les principes de base d’une réponse efficace aux incidents ainsi que les outils Azure qui la facilite.

Début >

Comprendre la gestion des incidents de sécurité Microsoft 365

Formation	Comprendre la gestion des incidents de sécurité Microsoft 365
	Découvrez comment Microsoft 365 examine, gère et répond aux problèmes de sécurité pour protéger les clients et l’environnement cloud Microsoft 365.

Début >

Étapes suivantes

• Consultez Naviguer et enquêter sur les incidents dans Microsoft Sentinel et Réponse aux incidents avec Microsoft Defender XDR pour plus de détails sur les processus de réponse aux incidents dans les portails Microsoft Sentinel et Microsoft Defender.
• Consultez la vue d’ensemble de la réponse aux incidents pour connaître les meilleures pratiques de sécurité Microsoft.
• Consultez les guides opérationnels de réponse aux incidents pour les flux de travail et les listes de case activée pour répondre aux cyberattaques courantes.

Références

Utilisez ces ressources pour en savoir plus sur les différents services et technologies mentionnés dans cet article :

• Intégration de Microsoft Defender XDR à Microsoft Sentinel
• Guide interactif des fonctionnalités SIEM et XDR unifiées
• Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel
• Automatiser la réponse aux menaces à l’aide de guides opérationnels
• Automatiser la gestion des menaces dans Microsoft Sentinel avec des règles d’automatisation
• Analyse des menaces Microsoft Defender XDR

Utilisez ces ressources pour en savoir plus sur la réponse aux incidents :

• Naviguer et examiner les incidents dans Microsoft Sentinel
• Réponse aux incidents avec Microsoft Defender XDR
• Vue d’ensemble des réponse aux incidents
• Guides opérationnels sur les réponses aux incidents