Actions de correction dans Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Pendant et après une investigation automatisée dans Microsoft Defender XDR, les actions de correction sont identifiées pour les éléments malveillants ou suspects. Certains types d’actions de correction sont effectués sur les appareils, également appelés points de terminaison. D’autres actions de correction sont effectuées sur les identités, les comptes et le contenu des e-mails. Les investigations automatisées se terminent une fois les actions de correction effectuées, approuvées ou rejetées.
Importante
Le fait que les actions de correction soient effectuées automatiquement ou uniquement après approbation dépend de certains paramètres, tels que les niveaux d’automatisation. Pour en savoir plus, reportez-vous aux articles suivants :
- Configurer vos fonctionnalités d’investigation et de réponse automatisées dans Microsoft Defender XDR
- Configurer des comptes d’action dans Microsoft Defender pour Identity
- Comment les menaces sont corrigées sur les appareils
- Menaces et actions de correction sur les e-mails & le contenu de collaboration
Le tableau suivant récapitule les actions de correction actuellement prises en charge dans Microsoft Defender XDR.
| Actions de correction de l’appareil (point de terminaison) | Actions de correction des e-mails | Utilisateurs (comptes) |
|---|---|---|
| - Collecter le package d’investigation - Isoler l’appareil (cette action peut être annulée) - Machine hors-bord - Libérer l’exécution du code - Mise en quarantaine - Exemple de demande - Restreindre l’exécution du code (cette action peut être annulée) - Exécuter une analyse antivirus - Arrêter et mettre en quarantaine - Contenir des appareils du réseau |
- Url de blocage (temps de clic) - Suppression réversible de messages électroniques ou de clusters - E-mail de mise en quarantaine - Mettre en quarantaine une pièce jointe d’un e-mail - Désactiver le transfert de courrier externe |
- Désactiver l’utilisateur - Réinitialiser le mot de passe de l’utilisateur - Confirmer que l’utilisateur est compromis |
Les actions de correction, qu’elles soient en attente d’approbation ou déjà terminées, peuvent être consultées dans le Centre de notifications.
Actions de correction qui suivent des investigations automatisées
Lorsqu’une enquête automatisée est terminée, un verdict est rendu pour chaque élément de preuve impliqué. Selon le verdict, des actions de correction sont identifiées. Dans certains cas, des actions de correction sont effectuées automatiquement. dans d’autres cas, les actions de correction attendent une approbation. Tout dépend de la façon dont l’investigation et la réponse automatisées sont configurées.
Le tableau suivant répertorie les verdicts et résultats possibles :
| Verdict | Entités affectées | Résultats |
|---|---|---|
| Malveillant | Appareils (points de terminaison) | Les actions de correction sont effectuées automatiquement (en supposant que les groupes d’appareils de votre organization sont définis sur Complet - corriger automatiquement les menaces) |
| Compromis | Utilisateurs | Les actions d'assainissement prennent automatiquement effet |
| Malveillant | Contenu de l’e-mail (URL ou pièces jointes) | Les actions de correction recommandées sont en attente d’approbation |
| Suspect | Appareils ou contenu de l’e-mail | Les actions de correction recommandées sont en attente d’approbation |
| Aucune menace détectée | Appareils ou contenu de l’e-mail | Aucune action de correction n’est nécessaire |
Actions de correction effectuées manuellement
En plus des actions de correction qui suivent des investigations automatisées, votre équipe des opérations de sécurité peut effectuer certaines actions de correction manuellement. Elles incluent notamment les éléments suivants :
- Action manuelle de l’appareil, telle que l’isolation de l’appareil ou la mise en quarantaine de fichiers
- Action d’e-mail manuelle, telle que la suppression réversible de messages électroniques
- Action manuelle de l’utilisateur, telle que désactiver l’utilisateur ou réinitialiser le mot de passe de l’utilisateur
- Action de repérage avancée sur les appareils, les utilisateurs ou les e-mails
- Explorer action sur le contenu des e-mails, comme le déplacement d’e-mails vers du courrier indésirable, la suppression réversible d’e-mails ou la suppression définitive d’e-mails
- Action de réponse dynamique manuelle, telle que la suppression d’un fichier, l’arrêt d’un processus et la suppression d’une tâche planifiée
- Action de réponse en direct avec Microsoft Defender pour point de terminaison API, comme l’isolation d’un appareil, l’exécution d’une analyse antivirus et l’obtention d’informations sur un fichier
Prochaines étapes
- Visiter le Centre de notifications
- Afficher et gérer les actions de correction
- Traiter les faux positifs ou les faux négatifs
- Contenir des appareils à partir du réseau
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour