Examiner les actions de correction à la suite d’un examen automatiséReview remediation actions following an automated investigation

Actions de correctionRemediation actions

Lorsqu’une enquête automatisée s’exécute, un verdict est généré pour chaque élément de preuve examiné.When an automated investigation runs, a verdict is generated for each piece of evidence investigated. Les verdicts peuvent être malveillants, suspects ou aucune menace trouvée.Verdicts can be Malicious, Suspicious, or No threats found.

En fonction deDepending on

  • le type de menace,the type of threat,
  • le verdict qui en résulte etthe resulting verdict, and
  • la configuration des groupes d’appareils de votre organisation ;how your organization's device groups are configured,

Les actions de correction peuvent se produire automatiquement ou uniquement après approbation par l’équipe des opérations de sécurité de votre organisation.remediation actions can occur automatically or only upon approval by your organization’s security operations team.

Voici quelques exemples :Here are a few examples:

  • Exemple 1: les groupes d’appareils de Fabrikam sont définies sur Complet : corriger les menaces automatiquement (paramètre recommandé).Example 1: Fabrikam's device groups are set to Full - remediate threats automatically (the recommended setting). Dans ce cas, des actions de correction sont effectuées automatiquement pour les artefacts considérés comme malveillants à la suite d’un examen automatisé (voir Examiner les actions terminées).In this case, remediation actions are taken automatically for artifacts that are considered to be malicious following an automated investigation (see Review completed actions).

  • Exemple 2: les appareils de Contoso sont inclus dans un groupe d’appareils qui est définie pour Semi - exiger l’approbation de toute correction.Example 2: Contoso's devices are included in a device group that is set for Semi - require approval for any remediation. Dans ce cas, l’équipe des opérations de sécurité de Contoso doit examiner et approuver toutes les actions de correction à la suite d’un examen automatisé (voir Examiner les actions en attente).In this case, Contoso's security operations team must review and approve all remediation actions following an automated investigation (see Review pending actions).

  • Exemple 3 : Les groupes d’appareils Tailspin Toys ont la réponse automatisée Non (non recommandé).Example 3: Tailspin Toys has their device groups set to No automated response (not recommended). Dans ce cas, les examens automatisés ne se produisent pas.In this case, automated investigations do not occur. Aucune action de correction n’est prise ou en attente, et aucune action n’est enregistrée dans le centre de gestion des périphériques pour leurs appareils (voir Gérer les groupes d’appareils).No remediation actions are taken or pending, and no actions are logged in the Action center for their devices (see Manage device groups).

Qu’elle soit prise automatiquement ou après approbation, une enquête automatisée peut entraîner une ou plusieurs des actions de correction :Whether taken automatically or upon approval, an automated investigation can result in one or more of the remediation actions:

  • Mettre en quarantaine un fichierQuarantine a file
  • Supprimer une clé de RegistreRemove a registry key
  • Kill a processKill a process
  • Arrêter un serviceStop a service
  • Désactiver un piloteDisable a driver
  • Supprimer une tâche programméeRemove a scheduled task

Passer en revue les actions en attenteReview pending actions

  1. Go to the Microsoft 365 security center ( https://security.microsoft.com ) and sign in.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. Dans le volet de navigation, choisissez Centre de notifications.In the navigation pane, choose Action center.
  3. Examinez les éléments sous l’onglet En attente.Review the items on the Pending tab.
  4. Sélectionnez une action pour ouvrir son volet volant.Select an action to open its flyout pane.
  5. Dans le volet volant, examinez les informations, puis prenez l’une des étapes suivantes :In the flyout pane, review the information, and then take one of the following steps:
    • Sélectionnez Ouvrir la page Examen pour afficher plus de détails sur l’enquête.Select Open investigation page to view more details about the investigation.
    • Sélectionnez Approuver pour lancer une action en attente.Select Approve to initiate a pending action.
    • Sélectionnez Rejeter pour empêcher une action en attente d’être prise.Select Reject to prevent a pending action from being taken.
    • Sélectionnez Go hunt (Aller à la recherche) pour passer à la recherche avancée.Select Go hunt to go into Advanced hunting.

Passer en revue les actions terminéesReview completed actions

  1. Go to the Microsoft 365 security center ( https://security.microsoft.com ) and sign in.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. Dans le volet de navigation, choisissez Centre de notifications.In the navigation pane, choose Action center.
  3. Examinez les éléments sous l’onglet Historique.Review the items on the History tab.
  4. Sélectionnez un élément pour afficher plus de détails sur cette action de correction.Select an item to view more details about that remediation action.

Annuler les actions terminéesUndo completed actions

Si vous avez déterminé qu’un appareil ou un fichier n’est pas une menace, vous pouvez annuler les actions de correction qui ont été prises, que ces actions soient prises automatiquement ou manuellement.If you’ve determined that a device or a file is not a threat, you can undo remediation actions that were taken, whether those actions were taken automatically or manually. Dans le centre de actions, sous l’onglet Historique, vous pouvez annuler l’une des actions suivantes :In the Action center, on the History tab, you can undo any of the following actions:

Source d’actionAction source Actions prises en chargeSupported Actions
- Examen automatisé- Automated investigation
- Antivirus Microsoft Defender- Microsoft Defender Antivirus
- Actions de réponse manuelles- Manual response actions
- Isoler l’appareil- Isolate device
- Restreindre l’exécution du code- Restrict code execution
- Mettre en quarantaine un fichier- Quarantine a file
- Supprimer une clé de Registre- Remove a registry key
- Arrêter un service- Stop a service
- Désactiver un pilote- Disable a driver
- Supprimer une tâche programmée- Remove a scheduled task

Pour annuler plusieurs actions à la foisTo undo multiple actions at one time

  1. Go to the Action center ( https://security.microsoft.com/action-center ) and sign in.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Sous l’onglet Historique, sélectionnez les actions à annuler.On the History tab, select the actions that you want to undo. Veillez à sélectionner les éléments qui ont le même type d’action.Make sure to select items that have the same Action type. Un volet volant s’ouvre.A flyout pane opens.
  3. Dans le volet volant, sélectionnez Annuler.In the flyout pane, select Undo.

Pour supprimer un fichier de la quarantaine sur plusieurs appareilsTo remove a file from quarantine across multiple devices

  1. Go to the Action center ( https://security.microsoft.com/action-center ) and sign in.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Sous l’onglet Historique, sélectionnez un élément qui possède le fichier de mise en quarantaine du type d’action.On the History tab, select an item that has the Action type Quarantine file.
  3. Dans le volet volant, sélectionnez Appliquer à X plus d’instances de ce fichier, puis sélectionnez Annuler.In the flyout pane, select Apply to X more instances of this file, and then select Undo.

Niveaux d’automatisation, résultats d’enquête automatisés et actions résultantesAutomation levels, automated investigation results, and resulting actions

Les niveaux d’automatisation affectent si certaines actions de correction sont prises automatiquement ou uniquement lors de l’approbation.Automation levels affect whether certain remediation actions are taken automatically or only upon approval. Parfois, votre équipe en matière d’opérations de sécurité a davantage d’étapes à suivre, en fonction des résultats d’une enquête automatisée.Sometimes your security operations team has more steps to take, depending on the results of an automated investigation. Le tableau suivant récapitule les niveaux d’automatisation, les résultats des enquêtes automatisées et la procédure à suivre dans chaque cas.The following table summarizes automation levels, results of automated investigations, and what to do in each case.

Paramètre de groupe d’appareilsDevice group setting Résultats d’enquête automatisésAutomated investigation results ProcédureWhat to do
Complète : corriger automatiquement les menaces (paramètre recommandé)Full - remediate threats automatically (the recommended setting) Un verdict de malveillant est atteint pour une preuve.A verdict of Malicious is reached for a piece of evidence.

Des mesures correctives appropriées sont prises automatiquement.Appropriate remediation actions are taken automatically.
Passer en revue les actions terminéesReview completed actions
Complète : corriger automatiquement les menacesFull - remediate threats automatically Un verdict suspect est atteint pour un élément de preuve.A verdict of Suspicious is reached for a piece of evidence.

Les actions de correction sont en attente d’approbation pour continuer.Remediation actions are pending approval to proceed.
Approuver (ou rejeter) les actions en attenteApprove (or reject) pending actions
Semi - exiger l’approbation de toutes les correctionsSemi - require approval for any remediation Un verdict de malveillant ou suspect est atteint pour un élément de preuve.A verdict of either Malicious or Suspicious is reached for a piece of evidence.

Les actions de correction sont en attente d’approbation pour continuer.Remediation actions are pending approval to proceed.
Approuver (ou rejeter) les actions en attenteApprove (or reject) pending actions
Semi - exiger l’approbation pour la correction des dossiers principauxSemi - require approval for core folders remediation Un verdict de malveillant est atteint pour une preuve.A verdict of Malicious is reached for a piece of evidence.

Si l’artefact est un fichier ou un exécutable et se trouve dans un répertoire du système d’exploitation, tel que le dossier Windows ou le dossier Des fichiers de programme, les actions de correction sont en attente d’approbation.If the artifact is a file or executable and is in an operating system directory, such as the Windows folder or the Program files folder, then remediation actions are pending approval.

Si l’artefact ne se trouve pas dans un répertoire du système d’exploitation, des actions de correction sont prises automatiquement.If the artifact is not in an operating system directory, remediation actions are taken automatically.
1. Approuver (ou rejeter) les actions en attente1. Approve (or reject) pending actions

2. Examiner les actions terminées2. Review completed actions
Semi - exiger l’approbation pour la correction des dossiers principauxSemi - require approval for core folders remediation Un verdict suspect est atteint pour un élément de preuve.A verdict of Suspicious is reached for a piece of evidence.

Les actions de correction sont en attente d’approbation.Remediation actions are pending approval.
Approuver (ou rejeter) les actions en attente.Approve (or reject) pending actions.
Semi - exiger l’approbation pour la correction des dossiers non temporairesSemi - require approval for non-temp folders remediation Un verdict de malveillant est atteint pour une preuve.A verdict of Malicious is reached for a piece of evidence.

Si l’artefact est un fichier ou un exécutable qui ne se trouve pas dans un dossier temporaire, tel que le dossier de téléchargement ou le dossier temporaire de l’utilisateur, les actions de correction sont en attente d’approbation.If the artifact is a file or executable that is not in a temporary folder, such as the user's downloads folder or temp folder, remediation actions are pending approval.

Si l’artefact est un fichier ou un exécutable qui se trouve dans un dossier temporaire, des actions de correction sont prises automatiquement.If the artifact is a file or executable that is in a temporary folder, remediation actions are taken automatically.
1. Approuver (ou rejeter) les actions en attente1. Approve (or reject) pending actions

2. Examiner les actions terminées2. Review completed actions
Semi - exiger l’approbation pour la correction des dossiers non temporairesSemi - require approval for non-temp folders remediation Un verdict suspect est atteint pour un élément de preuve.A verdict of Suspicious is reached for a piece of evidence.

Les actions de correction sont en attente d’approbation.Remediation actions are pending approval.
Approuver (ou rejeter) les actions en attenteApprove (or reject) pending actions
N’importe quel niveau d’automatisation complet ou semi-automatiqueAny of the Full or Semi automation levels Un verdict d’absence de menaces trouvées est atteint pour une preuve.A verdict of No threats found is reached for a piece of evidence.

Aucune action de correction n’est prise et aucune action n’est en attente d’approbation.No remediation actions are taken, and no actions are pending approval.
Consulter les détails et les résultats des enquêtes automatiséesView details and results of automated investigations
Aucune réponse automatisée (non recommandée)No automated response (not recommended) Aucune enquête automatisée ne s’exécute, donc aucun verdict n’est atteint et aucune action de correction n’est prise ou en attente d’approbation.No automated investigations run, so no verdicts are reached, and no remediation actions are taken or awaiting approval. Envisagez de définir ou de modifier vos groupes d’appareils pour utiliser l’automatisation complète ou semi-automatiqueConsider setting up or changing your device groups to use Full or Semi automation

Dans Microsoft Defender pour le point de terminaison, tous les verdicts sont suivis dans le centre de l’action.In Microsoft Defender for Endpoint, all verdicts are tracked in the Action center.

Étapes suivantesNext steps

Voir aussiSee also