Examiner les alertes dans Microsoft Defender pour point de terminaison

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Examinez les alertes qui affectent votre réseau, comprenez ce qu’elles signifient et comment les résoudre.

Sélectionnez une alerte dans la file d’attente des alertes pour accéder à la page d’alerte. Cette vue contient le titre de l’alerte, les ressources affectées, le volet latéral des détails et le récit de l’alerte.

À partir de la page d’alerte, commencez votre investigation en sélectionnant les ressources affectées ou l’une des entités sous l’arborescence des récits d’alerte. Le volet d’informations renseigne automatiquement avec des informations supplémentaires sur ce que vous avez sélectionné. Pour voir le type d’informations que vous pouvez afficher ici, consultez Passer en revue les alertes dans Microsoft Defender pour point de terminaison.

Examiner l’utilisation de l’article d’alerte

L’article de l’alerte détaille la raison pour laquelle l’alerte a été déclenchée, les événements associés qui se sont produits avant et après, ainsi que d’autres entités associées.

Les entités sont cliquables et chaque entité qui n’est pas une alerte peut être étendue à l’aide de l’icône développer située à droite de la carte de cette entité. L’entité en focus est indiquée par une bande bleue sur le côté gauche de la carte de cette entité, l’alerte dans le titre étant d’abord en focus.

Développez les entités pour afficher les détails en un coup d’œil. La sélection d’une entité basculera le contexte du volet d’informations vers cette entité et vous permettra de consulter d’autres informations et de gérer cette entité. La sélection de ... à droite de l’entité carte affiche toutes les actions disponibles pour cette entité. Ces mêmes actions s’affichent dans le volet d’informations lorsque cette entité est active.

Remarque

La section du récit d’alerte peut contenir plusieurs alertes, avec des alertes supplémentaires liées à la même arborescence d’exécution qui apparaissent avant ou après l’alerte que vous avez sélectionnée.

un récit d’alerte avec une alerte en focus et des cartes développées

Examiner à l’aide de l’chronologie d’alerte

La chronologie d’alerte complète la vue « arborescence de processus » existante en offrant aux utilisateurs une perspective complète sur chaque alerte. Alors que l’arborescence de processus fournit une répartition détaillée des processus et activités associés à l’alerte, l’alerte chronologie présente une vue chronologique condensée qui facilite le triage et la prise de décision rapides.

Effectuer une action à partir du volet d’informations

Une fois que vous avez sélectionné une entité d’intérêt, le volet d’informations change pour afficher des informations sur le type d’entité sélectionné, des informations historiques lorsqu’elles sont disponibles et proposer des contrôles permettant d’agir sur cette entité directement à partir de la page d’alerte.

Une fois que vous avez terminé l’examen, revenez à l’alerte que vous avez démarrée, marquez la status de l’alerte comme résolue et classez-la comme alerte False ou True alert. La classification des alertes permet d’optimiser cette fonctionnalité pour fournir plus d’alertes vraies et moins de fausses alertes.

Si vous la classifiez comme une véritable alerte, vous pouvez également sélectionner une détermination, comme illustré dans l’image ci-dessous.

Volet d’informations avec une alerte résolue et liste déroulante de détermination développée

Si vous rencontrez une fausse alerte avec une application métier, créez une règle de suppression pour éviter ce type d’alerte à l’avenir.

Actions et classification dans le volet d’informations avec la règle de suppression mise en surbrillance

Conseil

Si vous rencontrez des problèmes non décrits ci-dessus, utilisez le 🙂 bouton pour fournir des commentaires ou ouvrir un ticket de support.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.