Configurer les fonctionnalités d’investigation et de réponse automatisées dans Microsoft Defender XDR
Microsoft Defender XDR comprend de puissantes fonctionnalités d’investigation et de réponse automatisées qui peuvent faire gagner beaucoup de temps et d’efforts à votre équipe des opérations de sécurité. Avec la réparation automatique, ces fonctionnalités imitent les étapes qu’un analyste de sécurité prendrait pour examiner et répondre aux menaces, seulement plus rapidement et avec plus de capacité de mise à l’échelle.
Cet article explique comment configurer l’investigation et la réponse automatisées dans Microsoft Defender XDR en procédant comme suit :
- Passez en revue les prérequis.
- Passez en revue ou modifiez le niveau d’automatisation des groupes d’appareils.
- Passez en revue vos stratégies de sécurité et d’alerte dans Office 365.
Ensuite, une fois que vous êtes configuré, vous pouvez afficher et gérer les actions de correction dans le Centre de notifications. Et, si nécessaire, vous pouvez apporter des modifications aux paramètres d’examen automatisé.
Prérequis pour l’examen et la réponse automatisés dans Microsoft Defender XDR
| Conditions requises | Détails |
|---|---|
| Conditions d’abonnement | Un de ces abonnements :
Consultez Microsoft Defender XDR conditions de licence. |
| Configuration requise pour le réseau | |
| Configuration requise pour les appareils Windows |
|
| Protection du contenu des e-mails et des fichiers Office |
|
| Autorisations | Pour configurer les fonctionnalités d’investigation et de réponse automatisées, vous devez disposer de l’un des rôles suivants attribués dans Microsoft Entra ID (https://portal.azure.com) ou dans le Centre d'administration Microsoft 365 () :https://admin.microsoft.com
|
Passer en revue ou modifier le niveau d’automatisation des groupes d’appareils
L’exécution des investigations automatisées et le fait que les actions de correction soient effectuées automatiquement ou uniquement après approbation de vos appareils dépendent de certains paramètres, tels que les stratégies de groupe d’appareils de votre organization. Passez en revue le niveau d’automatisation configuré pour vos stratégies de groupe d’appareils. Vous devez être administrateur général ou administrateur de la sécurité pour effectuer la procédure suivante :
Accédez au portail Microsoft Defender à l’adresse https://security.microsoft.com et connectez-vous.
Accédez à Paramètres Points>de terminaison>Groupes d’appareils sous Autorisations.
Passez en revue vos stratégies de groupe d’appareils. En particulier, examinez la colonne Au niveau de l’automatisation . Nous vous recommandons d’utiliser l’option Complète pour corriger automatiquement les menaces. Vous devrez peut-être créer ou modifier vos groupes d’appareils pour obtenir le niveau d’automatisation souhaité. Pour obtenir de l’aide sur cette tâche, consultez les articles suivants :
Passez en revue vos stratégies de sécurité et d’alerte dans Office 365
Microsoft fournit des stratégies d’alerte intégrées qui permettent d’identifier certains risques. Ces risques incluent les abus d’autorisations d’administrateur Exchange, l’activité des programmes malveillants, les menaces externes et internes potentielles et les risques de gestion du cycle de vie des données. Certaines alertes peuvent déclencher une investigation et une réponse automatisées dans Office 365. Assurez-vous que vos fonctionnalités [Defender for Office 365]/defender-office-365/mdo-about sont correctement configurées.
Bien que certaines alertes et stratégies de sécurité puissent déclencher des investigations automatisées, aucune action de correction n’est effectuée automatiquement pour les e-mails et le contenu. Au lieu de cela, toutes les actions de correction pour le contenu des e-mails et des e-mails attendent l’approbation de votre équipe des opérations de sécurité dans le Centre de notifications.
Les paramètres de sécurité dans Exchange Online Protection (EOP) et Defender for Office 365 aident à protéger les e-mails et le contenu. Nous vous recommandons d’utiliser les stratégies de sécurité prédéfinies Standard et Strict pour attribuer une protection aux utilisateurs.
Si vous utilisez des stratégies personnalisées, utilisez l’analyseur de configuration pour comparer vos paramètres de stratégie aux paramètres de stratégie de sécurité prédéfinis Standard et Strict. Pour obtenir une liste détaillée de tous les paramètres de stratégie, consultez les tableaux dans Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.
Vous pouvez passer en revue vos stratégies d’alerte dans le portail Defender à https://security.microsoft.com>l’adresse Stratégies & règles>Stratégie d’alerte ou directement à l’adresse https://security.microsoft.com/alertpoliciesv2. Plusieurs stratégies d’alerte par défaut se trouvent dans la catégorie Gestion des menaces. Certaines des stratégies d’alerte de la catégorie Gestion des menaces peuvent déclencher une investigation et une réponse automatisées. Pour en savoir plus, consultez Stratégies d’alerte de gestion des menaces.
Vous avez besoin d’apporter des modifications aux paramètres d’examen automatisé ?
Vous pouvez choisir parmi plusieurs options pour modifier les paramètres de vos fonctionnalités d’investigation et de réponse automatisées. Certaines options sont répertoriées dans le tableau suivant :
| Pour effectuer cette action | Suivez ces étapes |
|---|---|
| Spécifier des niveaux d’automatisation pour des groupes d’appareils |
|
Prochaines étapes
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour