Gérer les incidents Microsoft Defender pour point de terminaison

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

La gestion des incidents est une partie importante de chaque opération de cybersécurité. Vous pouvez gérer les incidents en sélectionnant un incident dans la file d’attente Incidents ou le volet de gestion des incidents.

Conseil

Pendant une durée limitée en janvier 2024, lorsque vous visitez la page Incidents , Defender Boxed s’affiche. Defender Boxed met en évidence les réussites, les améliorations et les actions de réponse de votre organization en 2023. Pour rouvrir Defender Boxed, dans le portail Microsoft Defender, accédez à Incidents, puis sélectionnez Votre Defender Boxed.

La sélection d’un incident dans la file d’attente Incidents affiche le volet Gestion des incidents dans lequel vous pouvez ouvrir la page de l’incident pour plus d’informations.

Volet de gestion des incidents

Vous pouvez vous attribuer des incidents, modifier la status et la classification, les renommer ou les commenter pour suivre leur progression.

Conseil

Pour une visibilité supplémentaire en un coup d’œil, les noms des incidents sont générés automatiquement en fonction des attributs d’alerte tels que le nombre de points de terminaison affectés, les utilisateurs affectés, les sources de détection ou les catégories. Cela vous permet de comprendre rapidement l’étendue de l’incident.

Par exemple : incident multiphase sur plusieurs points de terminaison signalés par plusieurs sources.

Les incidents qui existaient avant le déploiement du nommage automatique des incidents conservent leur nom.

Page de détails de l’incident

Attribuer des incidents

Si un incident n’a pas encore été attribué, vous pouvez sélectionner Attribuer à moi pour l’attribuer vous-même. Cette action suppose l’appropriation non seulement de l’incident, mais aussi de toutes les alertes associées.

Définir l’état et la classification

État de l’incident

Vous pouvez classer les incidents (comme actifsou résolus) en modifiant leur état au fur et à mesure de l’avancement de votre enquête. Cela vous permet d’organiser et de gérer la manière dont votre équipe peut réagir aux incidents.

Par exemple, votre analyste SOC peut examiner les incidents actifs urgents pour la journée et décider de les affecter lui-même pour enquête.

Sinon, il est possible que votre analyste SOC configure l’incident comme résolu si l’incident a été corrigé.

Classification

Vous pouvez choisir de ne pas définir de classification ou décider de spécifier si un incident est vrai ou faux. Cette opération permet à l’équipe de voir les modèles et d’en apprendre davantage.

Ajouter des commentaires

Vous pouvez ajouter des commentaires et afficher les événements historiques relatifs à un incident afin de voir les modifications précédentes apportées à ce dernier.

Chaque fois qu’une modification ou un commentaire est apporté à une alerte, cet élément est enregistré dans la section Commentaires et historique.

Les commentaires ajoutés apparaissent instantanément dans le volet.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.