Didacticiel : Répondre à des incidents de sécuritéTutorial: Respond to security incidents

Security center analyse continuellement vos charges de travail de cloud hybride à l’aide d’analyses avancées et d’informations sur les menaces pour vous avertir des activités malveillantes.Security Center continuously analyzes your hybrid cloud workloads using advanced analytics and threat intelligence to alert you to malicious activity. En outre, vous pouvez intégrer des alertes à partir d’autres produits et services de sécurité dans Security Center et créer des alertes personnalisées en fonction de vos propres indicateurs ou sources d’informations.In addition, you can integrate alerts from other security products and services into Security Center, and create custom alerts based on your own indicators or intelligence sources. Une fois une alerte générée, une action rapide est nécessaire pour examiner et résoudre la situation.Once an alert is generated, swift action is needed to investigate and remediate. Ce didacticiel vous apprendra à effectuer les opérations suivantes :In this tutorial, you will learn how to:

  • Trier les alertes de sécuritéTriage security alerts
  • Examiner de plus près pour déterminer la cause racine et l’étendue d’un incident de sécuritéInvestigate further to determine the root cause and scope of a security incident
  • Rechercher des données de sécurité pour faciliter les recherchesSearch security data to aid in investigation

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.If you don’t have an Azure subscription, create a free account before you begin.

PrérequisPrerequisites

Pour parcourir les fonctionnalités traitées dans ce didacticiel, vous devez avoir accès au niveau tarifaire Standard de Security Center.To step through the features covered in this tutorial, you must be on Security Center’s Standard pricing tier. Vous pouvez essayer Security Center Standard gratuitement.You can try Security Center Standard at no cost. Pour en savoir plus, consultez la page de tarification.To learn more, see the pricing page. Le démarrage rapide Intégrer votre abonnement Azure à Security Center Standard vous guide dans la mise à niveau vers le plan Standard.The quickstart Onboard your Azure subscription to Security Center Standard walks you through how to upgrade to Standard.

Trier les alertes de sécuritéTriage security alerts

Security Center fournit une vue unifiée de toutes les alertes de sécurité.Security Center provides a unified view of all security alerts. Les alertes de sécurité sont classées en fonction de leur gravité et les alertes liées sont combinées dans un seul incident de sécurité lorsque c’est possible.Security alerts are ranked based on the severity and when possible related alerts are combined into a security incident. Lorsque vous triez les alertes et les incidents, vous devez :When triaging alerts and incidents, you should:

  • Fermer les alertes pour lesquelles aucune action supplémentaire n’est nécessaire, par exemple, si c’est un faux positifDismiss alerts for which no additional action is required, for example if the alert is a false positive
  • Agir pour corriger les attaques connues, par exemple empêcher le trafic réseau venant d’une adresse IP malveillanteAct to remediate known attacks, for example blocking network traffic from a malicious IP address
  • Déterminer quelles alertes nécessitent un examen supplémentaireDetermine alerts that require further investigation
  1. Dans le menu principal de Security Center sous DETECTION, sélectionnez Alertes de sécurité :On the Security Center main menu under DETECTION, select Security alerts:

    Alertes de sécurité

  2. Dans la liste des alertes, cliquez sur un incident de sécurité, qui est un ensemble d’alertes, pour en savoir plus sur cet incident.In the list of alerts, click on a security incident, which is a collection of alerts, to learn more about this incident. Incident de sécurité détecté s’ouvre.Security incident detected opens.

    Incident de sécurité

  3. Dans cet écran, la description de l’incident de sécurité est affichée au-dessus, ainsi que la liste des alertes faisant parties de l’incident.On this screen you have the security incident description on top, and the list of alerts that are part of this incident. Cliquez sur l’alerte sur laquelle vous souhaitez approfondir vos recherches et obtenir plus d’informations.Click on the alert that you want to investigate further to obtain more information.

    Incident de sécurité

    Le type d’alerte peut varier, lisez Présentation des alertes de sécurité dans Azure Security Center pour plus d’informations sur le type d’alerte, ainsi que les étapes de correction possibles.The type of alert can vary, read Understanding security alerts in Azure Security Center for more details about the type of alert, and potential remediation steps. Pour les alertes qui peuvent être ignorées en toute sécurité, vous pouvez cliquer avec le bouton droit sur l’alerte et sélectionnez l’option Ignorer :For alerts that can be safely dismissed, you can right click on the alert and select the option Dismiss:

    Alerte

  4. Si la cause première et la portée de l’activité malveillante sont inconnues, passez à l’étape suivante pour approfondir vos recherches.If the root cause and scope of the malicious activity is unknown, proceed to the next step to investigate further.

Examiner une alerte ou un incidentInvestigate an alert or incident

  1. Sur la page Alerte de sécurité, cliquez sur le bouton Démarrer l’investigation (si vous avez déjà démarré, le nom devient Poursuivre l’investigation).On the Security alert page, click Start investigation button (if you already started, the name changes to Continue investigation).

    Investigation

    Le mappage d’investigation est une représentation graphique des entités connectées à cette alerte ou cet incident de sécurité.The investigation map is a graphical representation of the entities that are connected to this security alert or incident. En cliquant sur une entité du mappage, les informations sur cette entité font apparaitre de nouvelles entités et le mappage se développe.By clicking on an entity in the map, the information about that entity will show new entities, and the map expands. Les propriétés de l’entité sélectionnée dans le mappage sont mises en surbrillance dans le volet situé à droite de la page.The entity that is selected in the map has its properties highlighted in the pane on the right side of the page. Les informations disponibles sur chaque onglet varient en fonction de l’entité sélectionnée.The information available on each tab will vary according to the selected entity. Pendant le processus d’investigation, passez en revue toutes les informations pertinentes pour mieux comprendre le mouvement de l’attaquant.During the investigation process, review all relevant information to better understand the attacker’s movement.

  2. Si vous avez besoin de plus de preuves, ou si vous devez examiner plus en détail des entités trouvées lors de l’analyse, passez à l’étape suivante.If you need more evidence, or must further investigate entities that were found during the investigation, proceed to the next step.

Rechercher des données pour l’investigationSearch data for investigation

Vous pouvez utiliser les fonctionnalités de recherche dans Security Center pour rechercher plus de preuves des systèmes compromis et obtenir plus de détails sur les entités faisant parties de l’investigation.You can use search capabilities in Security Center to find more evidence of compromised systems, and more details about the entities that are part of the investigation.

Pour effectuer une recherche, ouvrez le tableau de bord Security Center, cliquez sur Recherche dans le volet de navigation de gauche, sélectionnez l’espace de travail contenant les entités sur lesquelles vous souhaitez effectuer des recherches, saisissez la requête de recherche, et cliquez sur le bouton de recherche.To perform a search open the Security Center dashboard, click Search in the left navigation pane, select the workspace that contains the entities that you want to search, type the search query, and click the search button.

Supprimer des ressourcesClean up resources

D’autres guides de démarrage rapide et didacticiels de cette collection reposent sur ce guide.Other quickstarts and tutorials in this collection build upon this quickstart. Si vous envisagez de suivre les didacticiels et guides de démarrage rapide suivants, conservez le niveau Standard et gardez l’approvisionnement automatique activé.If you plan to continue on to work with subsequent quickstarts and tutorials, continue running the Standard tier and keep automatic provisioning enabled. Dans le cas contraire, ou si vous voulez revenir au niveau Gratuit :If you do not plan to continue or wish to return to the Free tier:

  1. Revenez au menu principal de Security Center et sélectionnez Stratégie de sécurité.Return to the Security Center main menu and select Security Policy.
  2. Sélectionnez la stratégie ou l’abonnement pour lequel vous voulez revenir au niveau Gratuit.Select the subscription or policy that you want to return to Free. La fenêtre Stratégie de sécurité s’ouvre.Security policy opens.
  3. Dans COMPOSANTS DE LA STRATÉGIE, sélectionnez Niveau tarifaire.Under POLICY COMPONENTS, select Pricing tier.
  4. Sélectionnez Gratuit pour modifier l’abonnement et passer du niveau Standard au niveau Gratuit.Select Free to change subscription from Standard tier to Free tier.
  5. Sélectionnez Enregistrer.Select Save.

Si vous voulez désactiver l’approvisionnement automatique :If you wish to disable automatic provisioning:

  1. Revenez au menu principal de Security Center et sélectionnez Stratégie de sécurité.Return to the Security Center main menu and select Security policy.
  2. Sélectionnez l’abonnement pour lequel vous souhaitez désactiver l’approvisionnement automatique.Select the subscription that you wish to disable automatic provisioning.
  3. Dans Stratégie de sécurité : collecte de données, sélectionnez Désactivé sous Intégration pour désactiver l’approvisionnement automatique.Under Security policy – Data Collection, select Off under Onboarding to disable automatic provisioning.
  4. Sélectionnez Enregistrer.Select Save.

Notes

La désactivation de l’approvisionnement automatique ne supprime pas Microsoft Monitoring Agent des machines virtuelles Azure sur lesquelles l’agent a été approvisionné.Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned. La désactivation de l’approvisionnement automatique limite la surveillance de la sécurité pour vos ressources.Disabling automatic provisioning limits security monitoring for your resources.

Étapes suivantesNext steps

Dans ce didacticiel, vous avez appris les fonctionnalités de Security Center à utiliser pour répondre à un incident de sécurité, telles que :In this tutorial, you learned about Security Center features to be used when responding to a security incident, such as:

  • Un incident de sécurité qui est une agrégation d’alertes associées pour une ressourceSecurity incident which is an aggregation of related alerts for a resource
  • Un mappage d’investigation est une représentation graphique des entités connectées à cette alerte ou cet incident de sécuritéInvestigation map which is a graphical representation of the entities connected to a security alert or incident
  • Les fonctionnalités de recherche afin de rechercher plus de preuves des systèmes compromisSearch capabilities to find more evidence of compromised systems

Pour en savoir plus sur les fonctionnalités d’investigation de Security Center, consultez :To learn more about Security Center's investigation feature see: