Incidents et alertes dans le portail Microsoft Defender
Le portail Microsoft Defender regroupe un ensemble unifié de services de sécurité pour réduire votre exposition aux menaces de sécurité, améliorer la posture de sécurité de votre organisation, détecter les menaces de sécurité et examiner les violations et y répondre. Ces services collectent et produisent des signaux affichés dans le portail. Les deux types main de signaux sont les suivants :
Alertes : signaux qui résultent de diverses activités de détection des menaces. Ces signaux indiquent l’occurrence d’événements malveillants ou suspects dans votre environnement.
Incidents : conteneurs qui incluent des collections d’alertes associées et racontent l’histoire complète d’une attaque. Les alertes d’un seul incident peuvent provenir de toutes les solutions de sécurité et de conformité Microsoft, ainsi que d’un grand nombre de solutions externes collectées via Microsoft Sentinel et Microsoft Defender pour le cloud.
Incidents pour la corrélation et l’investigation
Bien que vous puissiez examiner et atténuer les menaces que les alertes individuelles portent à votre attention, elles-mêmes sont des occurrences isolées qui ne vous disent rien sur une histoire d’attaque plus large et complexe. Vous pouvez rechercher, rechercher, examiner et mettre en corrélation des groupes d’alertes qui appartiennent ensemble dans une seule histoire d’attaque, mais cela vous coûtera beaucoup de temps, d’efforts et d’énergie.
Au lieu de cela, les moteurs de corrélation et les algorithmes dans le portail Microsoft Defender agrègent et corrélèlent automatiquement les alertes associées pour former des incidents qui représentent ces récits d’attaque plus volumineux. Defender identifie plusieurs signaux comme appartenant à la même histoire d’attaque, en utilisant l’IA pour surveiller continuellement ses sources de télémétrie et ajouter des preuves aux incidents déjà ouverts. Les incidents contiennent toutes les alertes considérées comme liées les unes aux autres et à l’histoire globale de l’attaque, et présentent l’histoire sous différentes formes :
- Chronologie des alertes et événements bruts sur lesquels elles sont basées
- Liste des tactiques utilisées
- Listes de tous les utilisateurs, appareils et autres ressources impliqués et impactés
- Représentation visuelle de la façon dont tous les joueurs de l’histoire interagissent
- Journaux des processus automatiques d’investigation et de réponse qui Defender XDR lancés et terminés
- Collections de preuves à l’appui de l’histoire des attaques : comptes d’utilisateurs et informations et adresse des appareils des acteurs malveillants, fichiers et processus malveillants, renseignements sur les menaces pertinents, et ainsi de suite
- Résumé textuel de l’histoire de l’attaque
Les incidents vous fournissent également une infrastructure pour gérer et documenter vos enquêtes et votre réponse aux menaces. Pour plus d’informations sur les fonctionnalités des incidents à cet égard, consultez Gérer les incidents dans Microsoft Defender.
Sources d’alerte et détection des menaces
Les alertes du portail Microsoft Defender proviennent de nombreuses sources. Ces sources incluent les nombreux services qui font partie de Microsoft Defender XDR, ainsi que d’autres services avec différents degrés d’intégration au portail Microsoft Defender.
Par exemple, lorsque Microsoft Sentinel est intégré au portail Microsoft Defender, le moteur de corrélation dans le portail Defender a accès à toutes les données brutes ingérées par Microsoft Sentinel, que vous pouvez trouver dans les tables de chasse avancées de Defender.
Microsoft Defender XDR crée également des alertes. Les fonctionnalités de corrélation uniques de Defender XDR fournissent une autre couche d’analyse des données et de détection des menaces pour toutes les solutions non-Microsoft de votre patrimoine numérique. Ces détections produisent des alertes Defender XDR, en plus des alertes déjà fournies par les règles d’analyse de Microsoft Sentinel.
Dans chacune de ces sources, il existe un ou plusieurs mécanismes de détection des menaces qui produisent des alertes basées sur les règles définies dans chaque mécanisme.
Par exemple, Microsoft Sentinel a au moins quatre moteurs différents qui produisent différents types d’alertes, chacun avec ses propres règles.
Outils et méthodes d’investigation et de réponse
Le portail Microsoft Defender comprend des outils et des méthodes permettant d’automatiser ou d’aider au triage, à l’investigation et à la résolution des incidents. Ces outils sont présentés dans le tableau suivant :
| Outil/Méthode | Description |
|---|---|
| Gérer et examiner les incidents | Veillez à hiérarchiser vos incidents en fonction de leur gravité, puis examinez-les. Utilisez la chasse avancée pour rechercher des menaces et devancer les menaces émergentes avec l’analytique des menaces. |
| Examiner et résoudre automatiquement les alertes | Si cette option est activée, Microsoft Defender XDR pouvez examiner et résoudre automatiquement les alertes des sources d’ID Microsoft 365 et Entra via l’automatisation et l’intelligence artificielle. |
| Configurer les actions d’interruption d’attaque automatique | Utilisez des signaux à haute confiance collectés à partir de Microsoft Defender XDR et Microsoft Sentinel pour interrompre automatiquement les attaques actives à la vitesse de la machine, contenir la menace et limiter l’impact. |
| Configurer des règles d’automatisation Microsoft Sentinel | Utilisez des règles d’automatisation pour automatiser le triage, l’affectation et la gestion des incidents, quelle que soit leur source. Améliorez l’efficacité de votre équipe en configurant vos règles pour appliquer des balises aux incidents en fonction de leur contenu, supprimer les incidents bruyants (faux positifs) et fermer les incidents résolus qui répondent aux critères appropriés, en spécifiant une raison et en ajoutant des commentaires. |
| Chasse proactive avec la chasse avancée | Utilisez Langage de requête Kusto (KQL) pour inspecter de manière proactive les événements de votre réseau en interrogeant les journaux collectés dans le portail Defender. La chasse avancée prend en charge un mode guidé pour les utilisateurs qui recherchent la commodité d’un générateur de requêtes. |
| Exploiter l’IA avec Microsoft Copilot pour la sécurité | Ajoutez l’IA pour prendre en charge les analystes avec des workflows quotidiens complexes et chronophages. Par exemple, Microsoft Copilot pour la sécurité peut vous aider dans l’investigation et la réponse aux incidents de bout en bout en fournissant des récits d’attaque clairement décrits, des conseils de correction actionnables pas à pas et des rapports résumés sur l’activité des incidents, la chasse KQL en langage naturel et l’analyse du code d’expert, ce qui optimise l’efficacité du SOC sur les données de toutes les sources. Cette fonctionnalité s’ajoute aux autres fonctionnalités basées sur l’IA que Microsoft Sentinel apporte à la plateforme unifiée, dans les domaines de l’analyse du comportement des utilisateurs et des entités, de la détection des anomalies, de la détection des menaces multiphases, etc. |
Éléments connexes
Pour en savoir plus sur la corrélation des alertes et la fusion des incidents dans le portail Defender, consultez Alertes, incidents et corrélation dans Microsoft Defender XDR