Partager via

Afficher et gérer les incidents et les alertes dans Microsoft Defender gestion multilocataire

  • S’applique à: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La gestion multilocataire pour les Microsoft Defender XDR et les Microsoft Sentinel dans le portail Defender permet aux analystes du centre d’opérations de sécurité (SOC) d’accéder aux données de plusieurs locataires et espaces de travail et d’en les analyser au même endroit, ce qui leur permet d’identifier rapidement les menaces et de répondre à ces menaces. Triez les incidents et les alertes entre les informations de sécurité et la gestion des événements (SIEM) et les données de détection et de réponse étendues (XDR) pour les locataires qui ont intégré un espace de travail Microsoft Sentinel à la plateforme Defender.

Gérez les incidents & alertes provenant de plusieurs locataires et espaces de travail sous Incidents & alertes.

Afficher et examiner les incidents

Pour afficher ou examiner un incident :

  1. Accédez à la page Incidents dans Microsoft Defender gestion multilocataire. Les colonnes Nom du locataire et Espaces de travail indiquent de quel locataire provient l’incident :

    Capture d’écran de la page Microsoft Defender incidents multilocataires.

  2. Sélectionnez l’incident que vous souhaitez afficher. Un menu volant s’ouvre avec le volet détails de l’incident, où vous pouvez :

    • Sélectionnez Ouvrir la page d’incident pour afficher cet incident dans un nouvel onglet pour le locataire spécifique dans le portail Microsoft Defender.
    • Sélectionnez Gérer l’incident pour affecter l’incident, définir des balises d’incident, définir le status de l’incident et classifier l’incident.

Pour plus d’informations, consultez Examiner les incidents.

Gérer plusieurs incidents

Pour gérer les incidents sur plusieurs locataires et espaces de travail :

  1. Accédez à la page Incidents dans Microsoft Defender gestion multilocataire.

  2. Choisissez les incidents que vous souhaitez gérer dans la liste des incidents, puis sélectionnez Gérer les incidents.

    Capture d’écran mettant en évidence l’option Gérer les incidents dans la page des incidents dans Microsoft Defender gestion multilocataire.

Dans le volet volant incidents, vous pouvez attribuer des incidents, attribuer des étiquettes d’incidents, définir l’status d’incident et classifier plusieurs incidents pour plusieurs locataires simultanément.

Remarque

Actuellement, vous pouvez uniquement affecter plusieurs incidents du même locataire.

Pour en savoir plus sur les incidents dans le portail Microsoft Defender, consultez Gérer les incidents.

Afficher et examiner les alertes

Pour afficher ou examiner une alerte :

  1. Accédez à la page Alertes dans la gestion multilocataire et sélectionnez l’alerte que vous souhaitez afficher. Un panneau volant s’ouvre avec la page des détails de l’alerte :

    Capture d’écran de la page des détails d’une alerte dans Microsoft Defender gestion multilocataire.

  2. Dans le volet d’informations de l’alerte, vous pouvez :

    • Sélectionnez des actions telles que Ouvrir la page des alertes, Déplacer l’alerte vers un autre incident et Paramétrer l’alerte pour afficher cette alerte dans un nouvel onglet pour le locataire spécifique dans le portail Microsoft Defender.
    • Sélectionnez Gérer l’alerte pour affecter l’alerte, définissez la status de l’alerte et classifiez l’alerte.

Pour en savoir plus, consultez Examiner les alertes.

Gérer plusieurs alertes

Pour gérer les alertes sur plusieurs locataires et espaces de travail :

  1. Accédez à la page Alertes dans Microsoft Defender gestion multilocataire.

  2. Choisissez les alertes que vous souhaitez gérer dans la liste des alertes, puis sélectionnez Gérer les alertes.

    Capture d’écran mettant en évidence l’option Gérer les alertes pour les alertes sélectionnées dans Microsoft Defender gestion multilocataire.

Utilisez le volet Gérer les alertes pour définir des status d’alerte, attribuer des alertes, définir des classifications et ajouter des commentaires pour plusieurs alertes simultanément. Bien que les status d’alerte, les classifications et les commentaires puissent être ajoutés entre les locataires, l’attribution d’alertes ne peut être effectuée que pour les alertes du même locataire.

Pour plus d’informations, consultez Gérer les alertes.

Déplacer des alertes

Déplacer une alerte vers un autre incident pour vous aider à mieux organiser et mettre en corrélation les événements de sécurité associés. Par exemple, vous pouvez constater que plusieurs alertes font partie de la même violation de sécurité et que vous souhaitez les inclure toutes dans le même incident. Cela garantit que toutes les informations pertinentes sont regroupées, ce qui permet une investigation et une réponse plus efficaces.

Pour déplacer une ou plusieurs alertes :

  • Dans la page Alertes , sélectionnez une ou plusieurs alertes, puis sélectionnez Déplacer les alertes
  • Dans le volet détails d’une alerte ou la page des détails de l’alerte, sélectionnez Déplacer l’alerte vers un autre incident

Dans le volet Déplacer l’alerte vers un autre incident , définissez si vous souhaitez créer un incident ou utiliser un incident existant. Si vous choisissez d’utiliser un incident existant, recherchez l’incident par nom ou ID et ajoutez une raison pour la modification. Dans tous les cas, ajoutez un commentaire décrivant votre modification avant de sélectionner Enregistrer.

Contenu connexe