Gérer et répondre aux alertes de sécurité

Defender pour le cloud collecte, analyse et intègre les données de journaux de vos ressources Azure hybrides et multiclouds, du réseau et des solutions partenaires connectées, comme les pare-feu et les agents de point de terminaison. Defender pour le cloud utilise les données de journaux pour détecter les menaces réelles et réduire les faux positifs. Une liste hiérarchisée des alertes de sécurité est affichée dans Defender pour le cloud, ainsi que les informations dont vous avez besoin pour investiguer rapidement le problème et les mesures à prendre pour remédier à une attaque.

Cet article montre comment afficher et traiter les alertes de Defender pour le cloud et protéger vos ressources.

Quand vous triez les alertes de sécurité, vous devez les hiérarchiser en fonction de leur gravité en traitant d’abord celles qui présentent un niveau de gravité supérieur. Apprenez-en davantage sur la façon dont les alertes sont classées.

Conseil

Vous pouvez connecter Microsoft Defender pour le cloud aux solutions SIEM, y compris Microsoft Sentinel, et utiliser les alertes de l’outil de votre choix. Apprenez-en davantage sur la façon de Diffuser des alertes vers un système SIEM, SOAR ou une solution de management des services informatiques.

Prérequis

Pour connaître les éléments prérequis et requis, consultez Matrices de prise en charge pour Defender pour le cloud.

Gérer vos alertes de sécurité

Effectuez les étapes suivantes :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Alertes de sécurité.

    Capture d’écran montrant la page des alertes de sécurité de la page de vue d’ensemble de Microsoft Defender pour le cloud.

  3. (Facultatif) Filtrez la liste des alertes à l’aide de l’un des filtres appropriés. Vous pouvez ajouter des filtres supplémentaires avec l’option Ajouter un filtre.

    Capture d’écran montrant comment ajouter des filtres à la vue des alertes.

    La liste est mise à jour en fonction des filtres sélectionnés. Supposons que vous souhaitiez vérifier les alertes de sécurité qui se sont produites au cours des dernières 24 heures, car vous recherchez une violation de sécurité potentielle du système.

Examiner une alerte de sécurité

Chaque alerte contient des informations concernant l’alerte qui vous aide dans votre examen.

Pour examiner une alerte de sécurité :

  1. Sélectionnez une alerte. Un volet latéral s’ouvre, affichant une description de l’alerte et de toutes les ressources affectées.

    Capture d’écran de la vue des détails d’ordre général d’une alerte de sécurité.

  2. Passez en revue les informations générales relatives à l’alerte de sécurité.

    • Gravité de l’alerte, état et durée d’activité
    • Description qui explique l’activité précise détectée
    • Ressources affectées
    • Intention de la chaîne d’arrêt de l’activité sur la matrice MITRE ATT&CK (le cas échéant)
  3. Sélectionnez Afficher les détails complets.

    Le volet droit comprend l’onglet Détails de l’alerte contenant des détails supplémentaires sur l’alerte pour vous aider à examiner le problème : adresses IP, fichiers, processus et bien plus encore.

    Capture d’écran montrant la page de tous les détails d’une alerte.

    Dans le volet droit figure aussi l’onglet Entreprendre une action. Utilisez cet onglet pour prendre d’autres mesures concernant l’alerte de sécurité. Actions telles que :

    • Inspecter le contexte de la ressource : vous envoie les journaux d’activité de la ressource qui prennent en charge l’alerte de sécurité
    • Atténuer la menace : fournit des étapes de correction manuelle pour cette alerte de sécurité
    • Empêcher les attaques futures : fournit des recommandations de sécurité pour aider à réduire la surface d’attaque, améliorer la posture de sécurité et ainsi empêcher les attaques futures
    • Déclencher une réponse automatisée : permet de déclencher une application logique en guide de réponse à cette alerte de sécurité.
    • Supprimer les alertes similaires : permet de supprimer les alertes futures ayant des caractéristiques similaires si l’alerte n’est pas pertinente pour votre organisation.

    Capture d’écran montrant les options disponibles sous l’onglet Agir.

    Pour plus d’informations, contactez le propriétaire de la ressource pour vérifier si l’activité détectée est un faux positif. Vous pouvez également examiner les journaux bruts générés par la ressource attaquée.

Modifier l’état de plusieurs alertes de sécurité à la fois

La liste des alertes inclut des cases à cocher qui vous permettent de gérer plusieurs alertes en même temps. Par exemple, à des fins de triage, vous pouvez décider d’ignorer toutes les alertes d’information pour une ressource spécifique.

  1. Filtrez en fonction des alertes que vous souhaitez gérer en bloc.

    Dans cet exemple, les alertes avec gravité de Informational pour la ressource ASC-AKS-CLOUD-TALK sont sélectionnées.

    Capture d’écran montrant comment filtrer les alertes pour afficher les alertes associées.

  2. Utilisez les cases à cocher pour sélectionner les alertes à traiter.

    Dans cet exemple, toutes les alertes sont sélectionnées. Le bouton Modifier l’état est maintenant disponible.

    Capture d’écran montrant la sélection de toutes les alertes à traiter en bloc.

  3. Utilisez les options Modifier l’état pour définir l’état souhaité.

    Capture d’écran de l’onglet État des alertes de sécurité.

    L’état des alertes affichées dans la page active est remplacé par la valeur sélectionnée.

Répondre à une alerte de sécurité

Après avoir examiné une alerte de sécurité, vous pouvez répondre à l’alerte à partir de Microsoft Defender pour le cloud.

Répondre à une alerte de sécurité :

  1. Ouvrez l’onglet Entreprendre une action pour voir les réponses recommandées.

    Capture d’écran de l’onglet Agir des alertes de sécurité.

  2. Consultez la section Atténuer la menace, qui indique les étapes d’investigation manuelle nécessaires à l’atténuation du problème.

  3. Pour renforcer vos ressources et empêcher les futures attaques de ce genre, appliquez les recommandations de sécurité indiquées dans la section Empêcher les attaques futures.

  4. Pour déclencher une application logique avec des étapes de réponse automatisée, utilisez la section Déclencher une réponse automatisée et sélectionnez Déclencher une application logique.

  5. Si l’activité détectée n’est pas malveillante, vous pouvez supprimer les alertes futures de ce genre à l’aide de la section Supprimer les alertes similaires et en sélectionnant Créer une règle de suppression.

  6. Sélectionnez Configurer les paramètres de notification par e-mail pour afficher qui reçoit des e-mails concernant les alertes de sécurité sur cet abonnement. Contactez le propriétaire de l’abonnement pour configurer les paramètres des e-mails.

  7. Lorsque vous avez terminé d’examiner l’alerte et y avez répondu de manière appropriée, changez l’état en Ignoré.

    Capture d’écran du menu déroulant État de l’alerte.

    L’alerte est supprimée de la liste principale des alertes. Vous pouvez utiliser le filtre de la page de la liste des alertes pour voir toutes les alertes ayant l’état Ignoré.

  8. Nous vous encourageons à fournir à Microsoft des commentaires sur l’alerte,

    1. en la signalant comme étant Utile ou Inutile.
    2. Sélectionnez une raison et ajoutez un commentaire.

    Capture d’écran de la fenêtre Fournir des commentaires à Microsoft qui vous permet de sélectionner l’utilité d’une alerte.

    Conseil

    Nous examinons vos commentaires afin d’améliorer nos algorithmes et de fournir de meilleures alertes de sécurité.

    Pour en savoir plus sur les différents types d’alertes, consultez Alertes de sécurité – guide de référence.

    Pour une vue d’ensemble de la façon dont Defender pour le cloud génère des alertes, consultez Comment Microsoft Defender pour le cloud détecte et répond aux menaces.

    Passer en revue les résultats de l’analyse sans agent

    Les résultats d’une analyse à la fois basée sur un agent et sans agent s’affichent dans la page Alertes de sécurité.

    Capture d’écran de la page des alertes de sécurité montrant les résultats de l’analyse sans agent et basé sur agent.

    Remarque

    La correction de l’une de ces alertes ne corrige pas l’autre tant que l’analyse suivante n’est pas terminée.