Examiner les incidents dans Microsoft Defender pour point de terminaison

S’applique à :

Examinez les incidents qui affectent votre réseau, comprenez ce qu’ils signifient et rassemblez les preuves pour les résoudre.

Lorsque vous examinez un incident, vous voyez :

  • Détails de l’incident
  • Commentaires et actions sur les incidents
  • Onglets (alertes, appareils, enquêtes, preuves, graphe)

Analyser les détails de l’incident

Conseil

Pendant une durée limitée en janvier 2024, lorsque vous visitez la page Incidents , Defender Boxed s’affiche. Defender Boxed met en évidence les réussites, les améliorations et les actions de réponse de votre organization en 2023. Pour rouvrir Defender Boxed, dans le portail Microsoft Defender, accédez à Incidents, puis sélectionnez Votre Defender Boxed.

Cliquez sur un incident pour afficher le volet Incident. Sélectionnez Ouvrir la page d’incident pour afficher les détails de l’incident et les informations associées (alertes, appareils, enquêtes, preuves, graphe).

Détails d’un incident

Alertes

Vous pouvez examiner les alertes et voir comment elles ont été liées dans un incident. Les alertes sont regroupées en incidents en fonction des raisons suivantes :

  • Investigation automatisée : l’investigation automatisée a déclenché l’alerte liée lors de l’examen de l’alerte d’origine
  • Caractéristiques des fichiers : les fichiers associés à l’alerte ont des caractéristiques similaires
  • Association manuelle : un utilisateur a lié manuellement les alertes
  • Heure de proximité : les alertes ont été déclenchées sur le même appareil dans un délai donné
  • Même fichier : les fichiers associés à l’alerte sont exactement les mêmes
  • Même URL : l’URL qui a déclenché l’alerte est exactement la même.

L’onglet Alertes avec la page détails de l’incident montrant les raisons pour lesquelles les alertes ont été liées dans cet incident

Vous pouvez également gérer une alerte et voir les métadonnées d’alerte ainsi que d’autres informations. Pour plus d’informations, consultez Examiner les alertes.

Appareils

Vous pouvez également examiner les appareils qui font partie d’un incident donné ou qui y sont liés. Pour plus d’informations, consultez Examiner les appareils.

Onglet Appareils dans la page détails de l’incident

Enquêtes

Sélectionnez Investigations pour afficher toutes les investigations automatiques lancées par le système en réponse aux alertes d’incident.

Onglet Investigations dans la page des détails de l’incident

Passer en revue les preuves

Microsoft Defender pour point de terminaison examine automatiquement tous les événements pris en charge par les incidents et les entités suspectes dans les alertes, en vous fournissant une réponse automatique et des informations sur les fichiers importants, les processus, les services, etc.

Chacune des entités analysées sera marquée comme infectée, corrigée ou suspecte.

Onglet Preuve dans la page détails de l’incident

Visualisation des menaces de cybersécurité associées

Microsoft Defender pour point de terminaison regroupe les informations sur les menaces dans un incident afin que vous puissiez voir les modèles et les corrélations provenant de différents points de données. Vous pouvez afficher cette corrélation via le graphique des incidents.

Graphe des incidents

Le graphe raconte l’histoire de l’attaque de cybersécurité. Par exemple, il vous montre quel était le point d’entrée, quel indicateur de compromission ou d’activité a été observé sur quel appareil. Etc.

Le graphique des incidents

Vous pouvez cliquer sur les cercles du graphique d’incident pour afficher les détails des fichiers malveillants, les détections de fichiers associées, le nombre d’instances dans le monde entier, s’il a été observé dans votre organization, le cas échéant, le nombre d’instances.

Page des détails de l’incident

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.