Microsoft Defender pour Identity dans le portail Microsoft Defender

S’applique à :

Microsoft Defender pour Identity fait désormais partie du portail Microsoft Defender, la base de la surveillance et de la gestion de la sécurité sur vos identités, données, appareils, applications et infrastructure Microsoft. Le portail Microsoft Defender permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité dans un emplacement unique, ce qui simplifie les flux de travail et l’intégration des fonctionnalités d’autres services Microsoft Defender XDR.

Microsoft Defender pour Identity fournit des informations axées sur l’identité dans les incidents et les alertes présentés par le portail Microsoft Defender. Ces informations sont essentielles pour fournir un contexte et mettre en corrélation les alertes des autres produits dans Microsoft Defender XDR.

Expériences convergées dans le portail Microsoft Defender

Le portail Microsoft Defender combine des fonctionnalités de sécurité qui protègent, détectent, examinent et répondent aux menaces de courrier électronique, de collaboration, d’identité et d’appareil, et inclut désormais toutes les fonctionnalités fournies dans le portail Classique Defender pour Identity hérité.

Bien que le placement des données puisse différer du portail Defender pour Identity classique, vos données sont désormais intégrées aux pages du portail Microsoft Defender afin que vous puissiez afficher vos données sur toutes vos entités surveillées.

Les sections suivantes décrivent les fonctionnalités améliorées de Defender pour Identity disponibles dans le portail Microsoft Defender.

Remarque

Les clients qui utilisent le portail Defender pour Identity classique sont désormais automatiquement redirigés vers le portail Microsoft Defender, sans possibilité de revenir au portail classique.

Configuration et posture

Zone Description
Exclusions globales Les exclusions globales vous permettent de définir certaines entités, telles que des adresses IP, des appareils ou des domaines, à exclure de toutes les détections Defender pour Identity. Par exemple, si vous excluez uniquement un appareil, l’exclusion s’applique uniquement aux détections qui ont une identification d’appareil dans le cadre de la détection.

Pour plus d’informations, consultez Entités exclues globales.
Gérer les comptes de service d’action et d’annuaire Vous souhaiterez peut-être répondre aux utilisateurs compromis en désactivant leurs comptes ou en réinitialisant leur mot de passe. Lorsque vous effectuez l’une de ces actions, le portail Microsoft Defender est configuré par défaut pour utiliser le compte système local. Par conséquent, vous devez uniquement configurer les paramètres de compte de service d’action et d’annuaire si vous souhaitez avoir plus de contrôle et définir un autre compte d’utilisateur pour effectuer des actions de correction de l’utilisateur.

Pour plus d’informations, consultez comptes d’action Microsoft Defender pour Identity.
Rôles d’autorisation personnalisés Le portail Microsoft Defender prend en charge les rôles d’autorisation personnalisés.

Pour plus d’informations, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC)
Niveau de sécurité Microsoft Les évaluations de la posture de sécurité de Defender pour Identity sont disponibles dans microsoft Secure Score. Chaque évaluation est un rapport téléchargeable avec des instructions d’utilisation et des outils permettant de créer un plan d’action pour corriger ou résoudre le problème. Filtrez microsoft Secure Score by Identity pour afficher les évaluations de Defender pour Identity.

Pour plus d’informations, consultez Évaluations de la posture de sécurité de Microsoft Defender pour Identity.
API Utilisez l’une des API Microsoft Defender XDR suivantes avec Defender pour Identity :

- Interroger les activités via l’API
- Gérer les alertes de sécurité via l’API
- Stream des alertes et des activités de sécurité à Microsoft Sentinel

Conseil : le portail Microsoft Defender stocke uniquement les données de chasse avancées pendant 30 jours. Si vous avez besoin de périodes de rétention plus longues, diffusez les activités vers Microsoft Sentinel ou un autre système SIEM (Security Information and Event Management) partenaire.
Intégration L’intégration de Defender pour Identity est désormais automatique pour les nouveaux clients, sans qu’il soit nécessaire de configurer un espace de travail.

Si vous devez supprimer votre instance, ouvrez un cas de support Microsoft.

Enquête

Zone Description
Zone Identités Dans le portail Microsoft Defender, développez la zone Identités pour afficher un tableau de bord de graphiques et de widgets avec des données couramment utilisées, une page Problèmes d’intégrité, répertoriant tous les problèmes d’intégrité pour votre déploiement Defender pour Identity, et une page Outils, avec des liens vers des outils et de la documentation couramment utilisés.

Pour plus d’informations, consultez Afficher le tableau de bord ITDR et Problèmes d’intégrité de Defender pour Identity.
Page Identité La page des détails de l’identité du portail Microsoft Defender fournit des données inclusives sur chaque identité, par exemple :

- Toutes les alertes associées
- Contrôle de compte Active Directory
- Chemins de mouvement latéral risqués
- Un chronologie d’activités et d’alertes
- Détails sur les emplacements, appareils et groupes observés.

Pour plus d’informations, consultez Examiner les utilisateurs dans le portail Microsoft Defender.
Page Appareil La preuve d’alerte du portail Microsoft Defender répertorie tous les appareils et utilisateurs connectés à chaque activité suspecte. Examinez plus en détail en sélectionnant un appareil spécifique dans une alerte pour accéder à la page des détails d’un appareil.

Pour plus d’informations, consultez Examiner les appareils dans la liste appareils Microsoft Defender pour point de terminaison.
Repérage avancé Le portail Microsoft Defender vous permet de rechercher de manière proactive les menaces et les activités malveillantes à l’aide de requêtes de repérage avancées. Ces requêtes puissantes peuvent être utilisées pour localiser et examiner les indicateurs de menace et les entités pour les menaces connues et potentielles.

Créez des règles de détection personnalisées à partir de requêtes de repérage avancées pour vous aider à watch de manière proactive pour les événements susceptibles d’indiquer une activité de violation et des appareils mal configurés.

Pour plus d’informations, consultez La chasse proactive aux menaces avec la chasse avancée dans le portail Microsoft Defender.
Recherche globale Utilisez la barre de recherche en haut de la page du portail Microsoft Defender pour rechercher toute entité supervisée par Microsoft Defender XDR, notamment les identités, les points de terminaison, les données Office 365, les groupes Active Directory (préversion) et bien plus encore.

Sélectionnez les résultats directement dans la liste déroulante de recherche, ou sélectionnez Tous les utilisateurs ou Tous les appareils pour afficher toutes les entités associées à un terme de recherche donné.
Chemins de mouvement latéral Le portail Microsoft Defender fournit des données de chemin de mouvement latéral dans la page Repérage avancé et l’évaluation de la sécurité des chemins de mouvement latéral, en plus de l’onglet Chemins de mouvement latéral sur la page des détails de l’utilisateur.

Pour plus d’informations, consultez Comprendre et examiner les chemins de mouvement latéral (LPM) avec Microsoft Defender pour Identity.

Détection et réponse

Zone Description
Corrélation des alertes et des incidents Les alertes Defender pour Identity sont désormais incluses dans la file d’attente des alertes du portail Microsoft Defender, ce qui les rend disponibles pour la fonctionnalité de corrélation automatisée des incidents.

Affichez toutes vos alertes au même endroit et déterminez l’étendue de la violation encore plus rapidement qu’auparavant.

Pour plus d’informations, consultez Examiner les alertes Defender pour Identity dans le portail Microsoft Defender.
Exclusions d’alerte L’interface d’alerte du portail Microsoft Defender est plus conviviale et inclut une fonction de recherche et des exclusions globales, ce qui signifie que vous pouvez exclure n’importe quelle entité de toutes les alertes générées par Defender pour Identity.

Pour plus d’informations, consultez Configurer les exclusions de détection Defender pour Identity dans Microsoft Defender XDR.
Réglage des alertes Le réglage des alertes, précédemment appelé suppression des alertes, vous permet d’ajuster et d’optimiser vos alertes. Le réglage des alertes réduit les faux positifs, ce qui permet à vos équipes SOC de se concentrer sur les alertes de priorité élevée et améliore la couverture de la détection des menaces dans votre système.

Dans Microsoft Defender XDR, créez des conditions de règle basées sur des types de preuves, puis appliquez votre règle à tout type de règle qui correspond à vos conditions. Pour plus d’informations, consultez Régler une alerte.
Actions de correction Les actions de correction de Defender pour Identity, telles que la désactivation des comptes ou l’exigence de réinitialisations de mot de passe, sont disponibles à partir de la page des détails de l’utilisateur du portail Microsoft Defender.

Pour plus d’informations, consultez Actions de correction dans Microsoft Defender pour Identity.

Informations de référence rapides

Le tableau suivant répertorie les modifications apportées à la navigation entre Microsoft Defender pour Identity et le portail Microsoft Defender.

Defender pour Identité Portail Microsoft Defender
Timeline - File d’attente alertes/incidents du portail Microsoft Defender
Rapports Les types de rapports suivants sont disponibles à partir de la> pagegestion des rapportsd’identités> de rapports dans le portail Microsoft Defender, soit pour un téléchargement immédiat, soit pour une remise périodique des e-mails :

- Rapport de synthèse des alertes et des problèmes d’intégrité que vous devez prendre en charge.
- Liste de chaque modification apportée à des groupes sensibles.
- Liste des mots de passe d’ordinateur source et de compte détectés comme étant envoyés en texte clair.
- Liste des comptes sensibles exposés dans les chemins de mouvement latéral.

Pour plus d’informations, consultez Gestion des rapports.
Page Identité Microsoft Defender page des détails de l’utilisateur du portail
Page Appareil Microsoft Defender page des détails de l’appareil du portail
Page groupe volet latéral groupes du portail Microsoft Defender
Page d’alerte Microsoft Defender page des détails de l’alerte du portail

Conseil : Utilisez le réglage des alertes pour optimiser les alertes que vous voyez dans le portail Microsoft Defender.
Recherche recherche globale portail Microsoft Defender
Problèmes d’intégrité Microsoft Defender portail Identités > Problèmes d’intégrité
Activités de l’entité - Chasse avancée
- Chronologie de la page de l’appareil >
- Onglet Chronologie de la page > Identité
- OngletChronologie du volet > Groupe
Paramètres Paramètres ->Identités
Utilisateurs et comptes Ressources ->Identités
Posture de sécurité des identités Évaluations de la posture de sécurité de Microsoft Defender pour Identity
Intégration d’un nouvel espace de travail Paramètres ->Identités (automatiquement)
About Paramètres > Identités À propos de >

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.