Examiner l’appareil

  • 7 minutes

Examinez les détails d’une alerte signalée sur un appareil spécifique pour identifier d’autres comportements ou événements qui peuvent être liés à l’alerte ou à l’étendue potentielle de la violation.

Vous pouvez sélectionner des appareils affectés chaque fois que vous les voyez dans le portail pour ouvrir un rapport détaillé correspondant à ces appareils. Les appareils affectés sont identifiés dans les zones suivantes :

  • Liste d’appareils

  • File d’attente des alertes

  • Tableau de bord des opérations de sécurité

  • Alerte individuelle

  • Mode Détails des fichiers individuels

  • Mode Détails des domaines ou adresses IP

Lorsque vous examinez un appareil spécifique, vous verrez :

  • Informations sur l’appareil

  • Actions de réponse

  • Onglets - vue d’ensemble, alertes, chronologie, suggestions de sécurité, inventaire logiciel, vulnérabilités découvertes, KB (ID de base de données) manquantes

  • Cartes (alertes actives, utilisateurs connectés, évaluation de la sécurité)

Informations sur l’appareil

La section Informations sur l’appareil fournit des informations telles que le domaine, le système d’exploitation et l’état d’intégrité de l’appareil. Si un package d’enquête est disponible sur l’appareil, vous verrez un lien vous permettant de télécharger le package.

Actions de réponse

Les actions de réponse s’exécutent en haut de la page d’un appareil spécifique et incluent :

  • Gérer les balises

  • Isoler l’appareil

  • Restreindre l'exécution de l'application

  • Exécuter une analyse antivirus

  • Collecter le package d’enquête

  • Lancer une session de réponse en direct

  • Lancer une enquête automatisée

  • Consulter un expert en menaces

  • Centre de notifications

Vous pouvez effectuer des actions de réponse dans le Centre de notifications, sur la page d’un appareil spécifique ou sur la page d’un fichier spécifique.

Tabulations

Vue d’ensemble

L’onglet Vue d’ensemble affiche les cartes des alertes actives, des utilisateurs connectés et d’évaluation de la sécurité.

Alertes actives

Vous pouvez afficher le nombre total d’alertes actives depuis les 30 derniers jours dans votre réseau à partir de la vignette. Les alertes sont regroupées par états Nouveau et En cours. Chaque groupe comporte des sous-catégories en fonction des niveaux de gravité d’alerte correspondants. Sélectionnez le nombre d’alertes à l’intérieur de chaque anneau d’alerte pour afficher une vue triée de la file d’attente de cette catégorie (nouvelle ou en cours).

Utilisateurs connectés

La carte Utilisateurs connectés indique le nombre d’utilisateurs qui se sont connectés au cours des 30 derniers jours, ainsi que les utilisateurs les plus fréquents et les moins fréquents. Si vous sélectionnez le lien « Afficher tous les utilisateurs », le volet d’informations s’ouvre et affiche le type d’utilisateur, le type de connexion et le moment où l’utilisateur a été affiché pour la première fois et la dernière fois.

Évaluations de la sécurité

La carte Évaluations de la sécurité indique le niveau d’exposition global, les recommandations de sécurité, les logiciels installés et les vulnérabilités découvertes. Le niveau d’exposition d’un appareil est déterminé par l’impact cumulatif de ses recommandations de sécurité en attente.

Alertes

L’onglet Alertes fournit une liste des alertes associées à l’appareil. Cette liste est une version filtrée de la file d’attente des alertes et présente une brève description de l’alerte, la gravité (élevée, moyenne, faible, information), l’état dans la file d’attente (nouveau, en cours, résolu), la classification (non défini, fausse alerte, vraie alerte), l’état de l’enquête, la catégorie de l’alerte, qui a traité l’alerte et la dernière activité. Vous pouvez également filtrer les alertes.

Durée

L’onglet Chronologie fournit une vue chronologique des événements et des alertes associées qui ont été observés sur l’appareil. Cela peut vous aider à mettre en corrélation les événements, les fichiers et les adresses IP associés à l’appareil.

La chronologie vous permet également d’explorer de manière sélective des événements qui se sont produits au cours d’une période donnée. Vous pouvez afficher la séquence temporelle des événements qui se sont produits sur un appareil sur une période de temps sélectionnée. Pour contrôler davantage votre vue, vous pouvez filtrer par groupes d’événements ou personnaliser les colonnes.

Les fonctionnalités incluent, entre autres :

  • Rechercher des événements spécifiques

    • Utilisez la barre de recherche pour rechercher des événements de chronologie spécifiques.

  • Filtrer les événements à partir d’une date spécifique

    • Sélectionnez l’icône de calendrier située dans le coin supérieur gauche du tableau pour afficher les événements du jour précédent, de la dernière semaine, des 30 derniers jours ou d’une plage personnalisée. Par défaut, la chronologie de l’appareil est définie pour afficher les événements des 30 derniers jours.

    • Utilisez la chronologie pour accéder à un moment précis dans le temps en mettant en surbrillance la section. Les flèches sur la chronologie identifient les enquêtes automatisées

  • Exporter les événements détaillés de chronologie de l’appareil

    • Exportez la chronologie de l’appareil pour la date actuelle ou une plage de dates spécifiée jusqu’à sept jours.

Des informations supplémentaires sur certains événements sont fournies et varient en fonction du type d’événement, par exemple :

  • Contenu par Application Guard : l’événement de navigateur web a été limité par un conteneur isolé

  • Menace active détectée : la détection des menaces s’est produite pendant l’exécution de la menace

  • Échec de la correction : une tentative de correction de la menace détectée a été appelée mais a échoué

  • Réussite de la correction : la menace détectée a été arrêtée et nettoyée

  • Avertissement ignoré par l’utilisateur : l’avertissement Windows Defender SmartScreen a été ignoré et remplacé par un utilisateur

  • Script suspect détecté : un script potentiellement malveillant a été détecté en cours d’exécution

  • Catégorie d’alerte : si l’événement a entraîné la génération d’une alerte, la catégorie d’alerte (« Mouvement latéral », par exemple) est fournie

Marquer un événement

Lors de la navigation dans la chronologie de l’appareil, vous pouvez rechercher et filtrer des événements spécifiques. Vous pouvez définir des indicateurs d’événement en :

  • Mettant en surbrillance les événements les plus importants

  • Marquant les événements qui nécessitent une exploration approfondie

  • Générant une chronologie de violation propre

Recherchez l’événement que vous souhaitez marquer. Sélectionnez l’icône d’indicateur dans la colonne Indicateur.

Afficher les événements marqués d'un indicateur

Dans la section Filtres de la chronologie, activez uniquement les événements marqués d'un indicateur. Sélectionnez Appliquer. Seuls les événements marqués d'un indicateur sont affichés. Vous pouvez appliquer d’autres filtres en cliquant sur la barre de temps. Cela affichera uniquement les événements antérieurs à l’événement marqué d'un indicateur.

Détails de l'événement

Sélectionnez un événement pour afficher des détails pertinents sur cet événement. Un panneau s’affiche pour présenter des informations générales sur l’événement. Le cas échéant et lorsque des données sont disponibles, un graphique présentant les entités associées et leurs relations s’affiche également.

Pour examiner plus en détail l’événement et les événements connexes, vous pouvez rapidement exécuter une requête de repérage avancé en sélectionnant Repérer les événements connexes. La requête renverra l’événement sélectionné et la liste des autres événements qui se sont produits à peu près au même moment sur le même point de terminaison.

Recommandations de sécurité

Des recommandations de sécurité sont générées à partir de la fonctionnalité Gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison. Sélectionnez une recommandation pour afficher un panneau dans lequel vous pouvez consulter des détails pertinents, tels que la description de la recommandation et les risques potentiels associés à l’impossibilité de l’appliquer.

Inventaire logiciel

L’onglet Inventaire logiciel vous permet d’afficher les logiciels sur l’appareil, ainsi que les faiblesses ou menaces éventuelles. Sélectionnez le nom du logiciel pour accéder à la page des détails du logiciel, dans laquelle vous pouvez consulter les recommandations de sécurité, les vulnérabilités découvertes, les appareils installés et la distribution des versions.

Vulnérabilités découvertes

L’onglet Vulnérabilités découvertes affiche le nom, la gravité et les aperçus de menace des vulnérabilités découvertes sur l’appareil. Sélectionnez des vulnérabilités spécifiques pour afficher une description et des détails.

Bases de connaissances manquantes

L’onglet KB manquantes répertorie les mises à jour de sécurité manquantes pour l’appareil.