Vue d’ensemble des enquêtes automatisées

  • Article

S’applique à :

Plateformes

  • Windows

Souhaitez-vous découvrir comment cela fonctionne ? Regardez la vidéo suivante :

La technologie d’investigation automatisée utilise différents algorithmes d’inspection et est basée sur des processus utilisés par les analystes de sécurité. Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à valeur élevée. Toutes les actions de correction, qu’elles soient en attente ou terminées, sont suivies dans le centre de notifications . Dans le Centre de notifications, les actions en attente sont approuvées (ou rejetées) et les actions terminées peuvent être annulées si nécessaire.

Cet article fournit une vue d’ensemble d’AIR et inclut des liens vers les étapes suivantes et des ressources supplémentaires.

Conseil

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Démarrage de l’investigation automatisée

Une investigation automatisée peut démarrer lorsqu’une alerte est déclenchée ou lorsqu’un opérateur de sécurité lance l’investigation.

Situation Action exécutée
Une alerte est déclenchée En général, une investigation automatisée démarre lorsqu’une alerte est déclenchée et qu’un incident est créé. Par exemple, supposons qu’un fichier malveillant réside sur un appareil. Lorsque ce fichier est détecté, une alerte est déclenchée et un incident est créé. Un processus d’investigation automatisé commence sur l’appareil. Comme d’autres alertes sont générées en raison du même fichier sur d’autres appareils, elles sont ajoutées à l’incident associé et à l’investigation automatisée.
Une investigation est démarrée manuellement Une investigation automatisée peut être démarrée manuellement par votre équipe des opérations de sécurité. Par exemple, supposons qu’un opérateur de sécurité examine une liste d’appareils et remarque qu’un appareil présente un niveau de risque élevé. L’opérateur de sécurité peut sélectionner l’appareil dans la liste pour ouvrir son menu volant, puis sélectionner Lancer l’investigation automatisée.

Comment une investigation automatisée étend sa portée

Pendant qu’une investigation est en cours d’exécution, toutes les autres alertes générées à partir de l’appareil sont ajoutées à une investigation automatisée en cours jusqu’à ce que cette investigation soit terminée. En outre, si la même menace est visible sur d’autres appareils, ces appareils sont ajoutés à l’investigation.

Si une entité incriminée est visible sur un autre appareil, le processus d’investigation automatisé étend son étendue pour inclure cet appareil, et un playbook de sécurité général démarre sur cet appareil. Si au moins 10 appareils sont trouvés au cours de ce processus d’extension à partir de la même entité, cette action d’extension nécessite une approbation et est visible sous l’onglet Actions en attente .

Comment les menaces sont corrigées

À mesure que des alertes sont déclenchées et qu’une enquête automatisée s’exécute, un verdict est généré pour chaque élément de preuve examiné. Les verdicts peuvent être :

  • Malveillant ;
  • Suspect ; Ou
  • Aucune menace détectée.

À mesure que les verdicts sont atteints, les investigations automatisées peuvent entraîner une ou plusieurs actions de correction. Parmi les exemples d’actions de correction, citons l’envoi d’un fichier en quarantaine, l’arrêt d’un service, la suppression d’une tâche planifiée, etc. Pour plus d’informations, consultez Actions de correction.

Selon le niveau d’automatisation défini pour votre organization, ainsi que d’autres paramètres de sécurité, les actions de correction peuvent se produire automatiquement ou uniquement après approbation par votre équipe des opérations de sécurité. Les paramètres de sécurité supplémentaires qui peuvent affecter la correction automatique incluent la protection contre les applications potentiellement indésirables (PUA).

Toutes les actions de correction, qu’elles soient en attente ou terminées, sont suivies dans le centre de notifications . Si nécessaire, votre équipe des opérations de sécurité peut annuler une action de correction. Pour plus d’informations, consultez Examiner et approuver les actions de correction à la suite d’une investigation automatisée.

Conseil

Consultez la nouvelle page d’investigation unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la page d’investigation unifiée.

Configuration requise pour AIR

Votre abonnement doit inclure Defender pour point de terminaison ou Defender entreprise.

Remarque

L’investigation et la réponse automatisées nécessitent Microsoft Defender Antivirus pour s’exécuter en mode passif ou actif. Si Microsoft Defender Antivirus est désactivé ou désinstallé, l’investigation et la réponse automatisées ne fonctionnent pas correctement.

Actuellement, AIR prend uniquement en charge les versions de système d’exploitation suivantes :

  • Windows Server 2012 R2 (préversion)
  • Windows Server 2016 (préversion)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, version 1709 (build du système d’exploitation 16299.1085 avec KB4493441) ou ultérieure
  • Windows 10, version 1803 (build du système d’exploitation 17134.704 avec KB4493464) ou ultérieure
  • Windows 10, version 1803 ou ultérieure
  • Windows 11

Remarque

L’investigation et la réponse automatisées sur Windows Server 2012 R2 et Windows Server 2016 nécessitent l’installation de l’agent unifié.

Prochaines étapes

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.