Centre de notifications

S’applique à :

  • Microsoft Defender XDR

Le centre de notifications offre une expérience de « volet unique » pour les tâches d’incident et d’alerte telles que :

  • Approbation des actions de correction en attente.
  • Affichage d’un journal d’audit des actions de correction déjà approuvées.
  • Évaluation des actions de correction terminées.

Étant donné que le centre de notifications fournit une vue complète des Microsoft Defender XDR au travail, votre équipe des opérations de sécurité peut fonctionner plus efficacement et plus efficacement.

Centre de notifications unifié

Le centre de notifications unifié (https://security.microsoft.com/action-center) répertorie les actions de correction en attente et terminées pour vos appareils, le contenu des e-mails & collaboration et les identités dans un même emplacement.

Centre de notifications unifié dans le portail Microsoft Defender.

Par exemple :

Le centre de notifications unifié regroupe les actions de correction dans Defender pour point de terminaison et Defender for Office 365. Il définit un langage commun pour toutes les actions de correction et fournit une expérience d’investigation unifiée. Votre équipe des opérations de sécurité dispose d’une expérience de « volet unique » pour afficher et gérer les actions de correction.

Vous pouvez utiliser le centre de notifications unifié si vous disposez des autorisations appropriées et d’un ou plusieurs des abonnements suivants :

Conseil

Pour plus d’informations, consultez Configuration requise.

Vous pouvez accéder à la liste des actions en attente d’approbation de deux manières différentes :

Utilisation du centre de notifications

  1. Accédez à Microsoft Defender portail et connectez-vous.

  2. Dans le volet de navigation, sous Actions et soumissions, choisissez Centre de notifications. Ou, dans la carte de réponse & investigation automatisée, sélectionnez Approuver dans le Centre de notifications.

  3. Utilisez les onglets Actions en attente et Historique . Le tableau suivant récapitule ce que vous verrez sur chaque onglet :

    Tab Description
    Pending Affiche une liste d’actions qui nécessitent une attention particulière. Vous pouvez approuver ou rejeter des actions une par une, ou sélectionner plusieurs actions si elles ont le même type d’action (par exemple, fichier de mise en quarantaine).

    Veillez à examiner et à approuver (ou rejeter) les actions en attente dès que possible afin que vos enquêtes automatisées puissent se terminer en temps voulu.
    Historique Sert de journal d’audit pour les actions qui ont été effectuées, telles que :
    - Actions de correction qui ont été effectuées à la suite d’enquêtes automatisées
    - Actions de correction effectuées sur des messages électroniques, des fichiers ou des URL suspects ou malveillants
    - Actions de correction approuvées par votre équipe des opérations de sécurité
    - Commandes exécutées et actions de correction appliquées pendant les sessions de réponse dynamique
    - Actions de correction effectuées par votre protection antivirus

    Fournit un moyen d’annuler certaines actions (voir Annuler les actions terminées).
  4. Vous pouvez personnaliser, trier, filtrer et exporter des données dans le centre de notifications.

    Capture d’écran montrant les fonctionnalités de tri, de filtrage et de personnalisation du centre de notifications.

    • Sélectionnez un en-tête de colonne pour trier les éléments dans l’ordre croissant ou décroissant.
    • Utilisez le filtre de période pour afficher les données du dernier jour, de la semaine, des 30 jours ou des 6 mois précédents.
    • Choisissez les colonnes que vous souhaitez afficher.
    • Spécifiez le nombre d’éléments à inclure dans chaque page de données.
    • Utilisez des filtres pour afficher uniquement les éléments que vous souhaitez voir.
    • Sélectionnez Exporter pour exporter les résultats vers un fichier .csv.

Actions suivies dans le Centre de notifications

Toutes les actions de correction, qu’elles soient en attente d’approbation ou qu’elles aient déjà été approuvées, sont regroupées dans le Centre de notifications. Les actions disponibles sont les suivantes :

  • Collecter un package d’examen
  • Isoler l’appareil (cette action peut être annulée)
  • Annuler l’intégration de l’ordinateur
  • Exécution du code de publication
  • Diffusion des messages en quarantaine
  • Demander un exemple
  • Restreindre l’exécution du code (cette action peut être annulée)
  • Exécuter une analyse antivirus
  • Arrêter et mettre en quarantaine
  • Contenir des appareils à partir du réseau

En plus des actions de correction qui sont effectuées automatiquement à la suite d’enquêtes automatisées, le centre de notifications suit également les actions que votre équipe de sécurité a prises pour traiter les menaces détectées et les actions qui ont été prises à la suite des fonctionnalités de protection contre les menaces dans Microsoft Defender XDR. Pour plus d’informations sur les actions de correction automatique et manuelle, consultez Actions de correction.

Affichage des détails de la source de l’action

(NOUVEAU !) Le Centre de notifications amélioré inclut désormais une colonne Source d’action qui vous indique d’où provient chaque action. Le tableau suivant décrit les valeurs sources d’action possibles :

Valeur source de l’action Description
Action manuelle de l’appareil Action manuelle effectuée sur un appareil. Par exemple, l’isolation de l’appareil ou la mise en quarantaine de fichiers.
Action manuelle par e-mail Action manuelle effectuée sur l’e-mail. Un exemple inclut la suppression réversible de messages électroniques ou la correction d’un message électronique.
Action automatisée sur l’appareil Action automatisée effectuée sur une entité, telle qu’un fichier ou un processus. Parmi les exemples d’actions automatisées, citons l’envoi d’un fichier en quarantaine, l’arrêt d’un processus et la suppression d’une clé de Registre. (Voir Actions de correction dans Microsoft Defender pour point de terminaison.)
Action d’e-mail automatisée Action automatisée effectuée sur le contenu d’un e-mail, tel qu’un message électronique, une pièce jointe ou une URL. Parmi les exemples d’actions automatisées, citons la suppression réversible des messages électroniques, le blocage des URL et la désactivation du transfert de courrier externe. (Voir Actions de correction dans Microsoft Defender pour Office 365.)
Action de chasse avancée Actions effectuées sur les appareils ou les e-mails avec repérage avancé.
action Explorer Actions effectuées sur le contenu des e-mails avec Explorer.
Action de réponse dynamique manuelle Actions effectuées sur un appareil avec réponse en direct. Par exemple, la suppression d’un fichier, l’arrêt d’un processus et la suppression d’une tâche planifiée.
Action de réponse en direct Actions effectuées sur un appareil avec Microsoft Defender pour point de terminaison API. Parmi les exemples d’actions, citons l’isolation d’un appareil, l’exécution d’une analyse antivirus et l’obtention d’informations sur un fichier.

Autorisations requises pour les tâches du centre de notifications

Pour effectuer des tâches, telles que l’approbation ou le rejet d’actions en attente dans le Centre de notifications, vous devez disposer d’autorisations attribuées comme indiqué dans le tableau suivant :

Action de correction Rôles et des autorisations requis
correction Microsoft Defender pour point de terminaison (appareils) Rôle Administrateur de la sécurité attribué dans Microsoft Entra ID (https://portal.azure.com) ou le Centre d'administration Microsoft 365 (https://admin.microsoft.com)
--- ou ---
Rôle d’actions de correction actives attribué dans Microsoft Defender pour point de terminaison

Pour en savoir plus, consultez les ressources suivantes :
- Microsoft Entra rôles intégrés
- Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle (Microsoft Defender pour point de terminaison)
correction Microsoft Defender pour Office 365 (contenu et e-mail Office) Rôle Administrateur de la sécurité attribué dans Microsoft Entra ID (https://portal.azure.com) ou le Centre d'administration Microsoft 365 (https://admin.microsoft.com)
--- et ---
Rôle de recherche et de purge attribué dans les rôles de collaboration Microsoft Defender XDR Email &>

IMPORTANT : Si le rôle Administrateur de la sécurité est attribué uniquement dans les rôles Microsoft Defender XDR >Email & collaboration, vous ne pourrez pas accéder au Centre de notifications ou aux fonctionnalités Microsoft Defender XDR. Le rôle Administrateur de la sécurité doit être attribué dans Microsoft Entra ID ou le Centre d'administration Microsoft 365.

Pour en savoir plus, consultez les ressources suivantes :
- Microsoft Entra rôles intégrés
- Autorisations dans le Centre de conformité & de sécurité

Conseil

Les utilisateurs auxquels le rôle Administrateur général est attribué dans Microsoft Entra ID peuvent approuver ou rejeter toute action en attente dans le Centre de notifications. Toutefois, votre organization doit limiter le nombre de personnes auxquelles le rôle d’administrateur général est attribué. Nous vous recommandons d’utiliser les rôles Administrateur de la sécurité, Actions de correction actives et Recherche et Purge répertoriés dans le tableau précédent pour les autorisations du Centre de notifications.

Étape suivante

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.