Prendre des mesures de réponse sur un appareilTake response actions on a device

S’applique à :Applies to:

Vous souhaitez faire l'expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Répondez rapidement aux attaques détectées en isolant les appareils ou en collectant un package d'enquête.Quickly respond to detected attacks by isolating devices or collecting an investigation package. Après avoir pris des mesures sur les appareils, vous pouvez vérifier les détails de l'activité dans le centre de l'action.After taking action on devices, you can check activity details on the Action center.

Les actions de réponse s'exécutent le long de la partie supérieure d'une page d'appareil spécifique et incluent :Response actions run along the top of a specific device page and include:

  • Gérer des balisesManage tags
  • Lancer un examen automatiséInitiate Automated Investigation
  • Lancer une session de réponse en directInitiate Live Response Session
  • Collecter un package d’examenCollect investigation package
  • Exécuter une analyse antivirusRun antivirus scan
  • Restreindre l’exécution des applicationsRestrict app execution
  • Isoler l'appareilIsolate device
  • Consulter un spécialiste des menacesConsult a threat expert
  • Centre de notificationsAction center

Image des actions de réponse Image of response actions

Vous pouvez trouver des pages d'appareil à partir de l'une des vues suivantes :You can find device pages from any of the following views:

  • Tableau de bord Opérations de sécurité : sélectionnez un nom d'appareil dans la carte Appareils à risque.Security operations dashboard - Select a device name from the Devices at risk card.
  • File d'attente des alertes : sélectionnez le nom de l'appareil à côté de l'icône de l'appareil dans la file d'attente des alertes.Alerts queue - Select the device name beside the device icon from the alerts queue.
  • Liste des appareils : sélectionnez l'en-tête du nom de l'appareil dans la liste des appareils.Devices list - Select the heading of the device name from the devices list.
  • Zone de recherche : sélectionnez l'appareil dans le menu déroulant et entrez le nom de l'appareil.Search box - Select Device from the drop-down menu and enter the device name.

Important

  • Ces actions de réponse sont disponibles uniquement pour les appareils sur Windows 10, version 1703 ou ultérieure.These response actions are only available for devices on Windows 10, version 1703 or later.
  • Pour les plateformes autres que Windows, les fonctionnalités de réponse (telles que l'isolation de l'appareil) dépendent des fonctionnalités tierces.For non-Windows platforms, response capabilities (such as Device isolation) are dependent on the third-party capabilities.

Gérer des balisesManage tags

Ajoutez ou gérez des balises pour créer une affiliation à un groupe logique.Add or manage tags to create a logical group affiliation. Les balises de périphériques permettent un mappage correct du réseau, ce qui vous permet d'attacher différentes balises pour capturer le contexte et d'activer la création de listes dynamiques dans le cadre d'un incident.Device tags support proper mapping of the network, enabling you to attach different tags to capture context and to enable dynamic list creation as part of an incident.

Pour plus d'informations sur le marquage des appareils, voir Créer et gérer des balises d'appareil.For more information on device tagging, see Create and manage device tags.

Lancer un examen automatiséInitiate Automated Investigation

Vous pouvez démarrer une nouvelle enquête automatisée à usage général sur l'appareil si nécessaire.You can start a new general purpose automated investigation on the device if needed. Pendant l'exécution d'un examen, toute autre alerte générée à partir de l'appareil est ajoutée à un examen automatisé en cours jusqu'à ce que l'enquête soit terminée.While an investigation is running, any other alert generated from the device will be added to an ongoing Automated investigation until that investigation is completed. En outre, si la même menace est vue sur d'autres appareils, ces appareils sont ajoutés à l'examen.In addition, if the same threat is seen on other devices, those devices are added to the investigation.

Pour plus d'informations sur les enquêtes automatisées, voir Vue d'ensemble des enquêtes automatisées.For more information on automated investigations, see Overview of Automated investigations.

Lancer une session de réponse en directInitiate Live Response Session

La réponse en direct est une fonctionnalité qui vous permet d'accéder instantanément à un appareil à l'aide d'une connexion Shell distante.Live response is a capability that gives you instantaneous access to a device by using a remote shell connection. Vous avez ainsi la puissance d'un travail d'examen approfondi et d'actions de réponse immédiates pour contenir rapidement des menaces identifiées , en temps réel.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats — real time.

La réponse dynamique est conçue pour améliorer les enquêtes en vous permettant de collecter des données d'investigation, d'exécuter des scripts, d'envoyer des entités suspectes pour analyse, de corriger les menaces et de chercher de manière proactive les menaces émergentes.Live response is designed to enhance investigations by enabling you to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

Pour plus d'informations sur la réponse en direct, voir Examiner les entités sur les appareils à l'aide de la réponse en direct.For more information on live response, see Investigate entities on devices using live response.

Collecter un package d'examen à partir d'appareilsCollect investigation package from devices

Dans le cadre du processus d'examen ou de réponse, vous pouvez collecter un package d'enquête à partir d'un appareil.As part of the investigation or response process, you can collect an investigation package from a device. En collectant le package d'examen, vous pouvez identifier l'état actuel de l'appareil et mieux comprendre les outils et techniques utilisés par l'attaquant.By collecting the investigation package, you can identify the current state of the device and further understand the tools and techniques used by the attacker.

Pour télécharger le package (fichier Zip) et examiner les événements qui se sont produits sur un appareilTo download the package (Zip file) and investigate the events that occurred on a device

  1. Sélectionnez Collecter le package d'examen à partir de la ligne des actions de réponse en haut de la page de l'appareil.Select Collect investigation package from the row of response actions at the top of the device page.
  2. Spécifiez dans la zone de texte la raison pour laquelle vous souhaitez effectuer cette action.Specify in the text box why you want to perform this action. Sélectionner Confirmer.Select Confirm.
  3. Le fichier zip est téléchargéThe zip file will download

Autre solution :Alternate way:

  1. Sélectionnez le centre de réponse dans la section Actions de réponse de la page de l'appareil.Select Action center from the response actions section of the device page.

    Image du bouton Centre de l'action

  2. Dans le volant du centre de l'action, sélectionnez package de collection de packages disponible pour télécharger le fichier zip.In the Action center fly-out, select Package collection package available to download the zip file.

    Image du bouton télécharger le package

Le package contient les dossiers suivants :The package contains the following folders:

FolderFolder DescriptionDescription
AutorunsAutoruns Contient un ensemble de fichiers qui représentent chacun le contenu du Registre d'un point d'entrée de démarrage automatique connu (ASEP) pour vous aider à identifier la persistance de l'attaquant sur l'appareil.Contains a set of files that each represent the content of the registry of a known auto start entry point (ASEP) to help identify attacker’s persistency on the device.
REMARQUE : Si la clé de Registre est in trouvée, le fichier contient le message suivant : « ERREUR : Le système n'a pas pu trouver la clé de Registre ou la valeur spécifiée. »NOTE: If the registry key is not found, the file will contain the following message: “ERROR: The system was unable to find the specified registry key or value.”
Programmes installésInstalled programs Ceci . Le fichier CSV contient la liste des programmes installés qui peuvent vous aider à identifier ce qui est actuellement installé sur l'appareil.This .CSV file contains the list of installed programs that can help identify what is currently installed on the device. Pour plus d'informations, voir Win32_Product classe.For more information, see Win32_Product class.
Connexions réseauNetwork connections Ce dossier contient un ensemble de points de données liés aux informations de connectivité qui peuvent aider à identifier la connectivité à des URL suspectes, l'infrastructure de commande et de contrôle (C&C), tout mouvement latéral ou les connexions distantes.This folder contains a set of data points related to the connectivity information which can help in identifying connectivity to suspicious URLs, attacker’s command and control (C&C) infrastructure, any lateral movement, or remote connections.
- ActiveNetConnections.txt : affiche les statistiques de protocole et les connexions réseau TCP/IP actuelles.- ActiveNetConnections.txt – Displays protocol statistics and current TCP/IP network connections. Permet de rechercher une connectivité suspecte d'un processus.Provides the ability to look for suspicious connectivity made by a process.

- Arp.txt : affiche les tables de cache ARP (Address Resolution Protocol) actuelles pour toutes les interfaces.- Arp.txt – Displays the current address resolution protocol (ARP) cache tables for all interfaces.

Le cache ARP peut révéler des hôtes supplémentaires sur un réseau qui ont été compromis ou des systèmes suspects sur le réseau qui ont pu être utilisés pour exécuter une attaque interne.ARP cache can reveal additional hosts on a network that have been compromised or suspicious systems on the network that might have been used to run an internal attack.

- DnsCache.txt - Affiche le contenu du cache du programme de résolution du client DNS, qui inclut les entrées préchargées à partir du fichier Hosts local et les enregistrements de ressources récemment obtenus pour les requêtes de noms résolues par l'ordinateur.- DnsCache.txt - Displays the contents of the DNS client resolver cache, which includes both entries preloaded from the local Hosts file and any recently obtained resource records for name queries resolved by the computer. Cela peut vous aider à identifier les connexions suspectes.This can help in identifying suspicious connections.

- IpConfig.txt : affiche la configuration TCP/IP complète pour toutes les cartes.- IpConfig.txt – Displays the full TCP/IP configuration for all adapters. Les adaptateurs peuvent représenter des interfaces physiques, telles que des cartes réseau installées, ou des interfaces logiques, telles que des connexions d'accès à des appels.Adapters can represent physical interfaces, such as installed network adapters, or logical interfaces, such as dial-up connections.

- FirewallExecutionLog.txt et pfirewall.log- FirewallExecutionLog.txt and pfirewall.log
Fichiers de préréférionPrefetch files Les fichiers Windows Prefetch sont conçus pour accélérer le processus de démarrage de l'application.Windows Prefetch files are designed to speed up the application startup process. Il peut être utilisé pour suivre tous les fichiers récemment utilisés dans le système et rechercher des traces pour les applications qui ont pu être supprimées, mais qui se trouvent toujours dans la liste des fichiers de préréférion.It can be used to track all the files recently used in the system and find traces for applications that might have been deleted but can still be found in the prefetch file list.
- Dossier de préréférion : contient une copie des fichiers de préréférion à partir de %SystemRoot%\Prefetch .- Prefetch folder – Contains a copy of the prefetch files from %SystemRoot%\Prefetch. REMARQUE : il est suggéré de télécharger une visionneuse de fichiers de préréférion pour afficher les fichiers de préréférion.NOTE: It is suggested to download a prefetch file viewer to view the prefetch files.

- PrefetchFilesList.txt : contient la liste de tous les fichiers copiés qui peuvent être utilisés pour suivre s'il y a eu des échecs de copie dans le dossier de préréférion.- PrefetchFilesList.txt – Contains the list of all the copied files which can be used to track if there were any copy failures to the prefetch folder.
ProcessusProcesses Contient un . Fichier CSV répertoriant les processus en cours d'exécution, ce qui permet d'identifier les processus en cours d'exécution sur l'appareil.Contains a .CSV file listing the running processes, which provides the ability to identify current processes running on the device. Cela peut être utile lors de l'identification d'un processus suspect et de son état.This can be useful when identifying a suspicious process and its state.
Tâches programméesScheduled tasks Contient un . Fichier CSV répertoriant les tâches programmées, qui peuvent être utilisées pour identifier les routines exécutées automatiquement sur un appareil choisi afin de rechercher du code suspect qui a été mis en place pour s'exécuter automatiquement.Contains a .CSV file listing the scheduled tasks, which can be used to identify routines performed automatically on a chosen device to look for suspicious code which was set to run automatically.
Journal des événements de sécuritéSecurity event log Contient le journal des événements de sécurité, qui contient les enregistrements de l'activité de connexion ou de connexion, ou d'autres événements liés à la sécurité spécifiés par la stratégie d'audit du système.Contains the security event log, which contains records of login or logout activity, or other security-related events specified by the system's audit policy.
REMARQUE : Ouvrez le fichier journal des événements à l'aide de l'Observateur d'événements.NOTE: Open the event log file using Event viewer.
ServicesServices Contient un . Fichier CSV qui répertorie les services et leurs états.Contains a .CSV file that lists services and their states.
Sessions SMB (Windows Server Message Block)Windows Server Message Block (SMB) sessions Répertorie l'accès partagé aux fichiers, imprimantes et ports série, ainsi que les communications diverses entre les nodes sur un réseau.Lists shared access to files, printers, and serial ports and miscellaneous communications between nodes on a network. Cela peut aider à identifier l'exfiltration des données ou les mouvements latérals.This can help identify data exfiltration or lateral movement.
Contient des fichiers pour SMBInboundSessions et SMBOutboundSession.Contains files for SMBInboundSessions and SMBOutboundSession.

REMARQUE : S'il n'existe aucune session (entrante ou sortante), vous obtenez un fichier texte qui vous indique qu'aucune session SMB n'a été trouvée.NOTE: If there are no sessions (inbound or outbound), you'll get a text file which tell you that there are no SMB sessions found.
Informations systèmeSystem Information Contient un fichier SystemInformation.txt qui répertorie les informations système telles que la version du système d'exploitation et les cartes réseau.Contains a SystemInformation.txt file which lists system information such as OS version and network cards.
Répertoires temporairesTemp Directories Contient un ensemble de fichiers texte qui répertorie les fichiers situés dans %Temp% pour chaque utilisateur du système.Contains a set of text files that lists the files located in %Temp% for every user in the system.
Cela peut aider à suivre les fichiers suspects qu'un attaquant a peut-être déposés sur le système.This can help to track suspicious files that an attacker may have dropped on the system.

REMARQUE : Si le fichier contient le message suivant : « Le système ne peut pas trouver le chemin d'accès spécifié », cela signifie qu'il n'existe pas de répertoire temporaire pour cet utilisateur, et peut-être parce que l'utilisateur ne s'est pas connecté au système.NOTE: If the file contains the following message: “The system cannot find the path specified”, it means that there is no temp directory for this user, and might be because the user didn’t log in to the system.
Utilisateurs et groupesUsers and Groups Fournit une liste de fichiers qui représentent chacun un groupe et ses membres.Provides a list of files that each represent a group and its members.
WdSupportLogsWdSupportLogs Fournit les MpCmdRunLog.txt et MPSupportFiles.cabProvides the MpCmdRunLog.txt and MPSupportFiles.cab
REMARQUE : Ce dossier sera créé uniquement sur Windows 10, version 1709 ou ultérieure avec le déploiement de mise à jour de février 2020 ou une installation plus récente :NOTE: This folder will only be created on Windows 10, version 1709 or later with February 2020 update rollup or more recent installed:
Win10 1709 (RS3) Build 16299.1717 : KB4537816Win10 1709 (RS3) Build 16299.1717 : KB4537816
Win10 1803 (RS4) Build 17134.1345 : KB4537795Win10 1803 (RS4) Build 17134.1345 : KB4537795
Win10 1809 (RS5) Build 17763.1075 : KB4537818Win10 1809 (RS5) Build 17763.1075 : KB4537818
Win10 1903/1909 (19h1/19h2) Builds 18362.693 et 18363.693 : KB4535996Win10 1903/1909 (19h1/19h2) Builds 18362.693 and 18363.693 : KB4535996
CollectionSummaryReport.xlsCollectionSummaryReport.xls Ce fichier est un résumé de la collection de packages d'enquête, il contient la liste des points de données, la commande utilisée pour extraire les données, l'état d'exécution et le code d'erreur en cas d'échec.This file is a summary of the investigation package collection, it contains the list of data points, the command used to extract the data, the execution status, and the error code in case of failure. Vous pouvez utiliser ce rapport pour savoir si le package inclut toutes les données attendues et identifier s'il y a eu des erreurs.You can use this report to track if the package includes all the expected data and identify if there were any errors.

Exécuter l'analyse de l'Antivirus Microsoft Defender sur les appareilsRun Microsoft Defender Antivirus scan on devices

Dans le cadre du processus d'examen ou de réponse, vous pouvez lancer à distance une analyse antivirus pour identifier et corriger les programmes malveillants qui peuvent être présents sur un appareil compromis.As part of the investigation or response process, you can remotely initiate an antivirus scan to help identify and remediate malware that might be present on a compromised device.

Important

  • Cette action est disponible pour les appareils sur Windows 10, version 1709 ou ultérieure.This action is available for devices on Windows 10, version 1709 or later.
  • Une analyse de l'Antivirus Microsoft Defender (Microsoft Defender AV) peut s'exécuter avec d'autres solutions antivirus, que Microsoft Defender AV soit ou non la solution antivirus active.A Microsoft Defender Antivirus (Microsoft Defender AV) scan can run alongside other antivirus solutions, whether Microsoft Defender AV is the active antivirus solution or not. L'Antivirus Microsoft Defender peut être en mode passif.Microsoft Defender AV can be in Passive mode. Pour plus d'informations, voir Compatibilité de l'Antivirus Microsoft Defender.For more information, see Microsoft Defender Antivirus compatibility.

Un que vous avez sélectionné Exécuter l'analyse antivirus, sélectionnez le type d'analyse que vous souhaitez exécuter (rapide ou complet) et ajoutez un commentaire avant de confirmer l'analyse.One you have selected Run antivirus scan, select the scan type that you'd like to run (quick or full) and add a comment before confirming the scan.

Image de notification pour sélectionner une analyse rapide ou complète et ajouter un commentaire

Le centre de données affiche les informations d'analyse et la chronologie de l'appareil inclut un nouvel événement, reflétant qu'une action d'analyse a été envoyée sur l'appareil.The Action center will show the scan information and the device timeline will include a new event, reflecting that a scan action was submitted on the device. Les alertes De l'Antivirus Microsoft Defender reflètent les détections qui ont été détectées pendant l'analyse.Microsoft Defender AV alerts will reflect any detections that surfaced during the scan.

Notes

Lors du déclenchement d'une analyse à l'aide de l'action de réponse Defender pour le point de terminaison, la valeur « ScanAvgCPULoadFactor » de l'antivirus Microsoft Defender s'applique et limite l'impact de l'analyse sur le processeur.When triggering a scan using Defender for Endpoint response action, Microsoft Defender antivirus 'ScanAvgCPULoadFactor' value still applies and limits the CPU impact of the scan.
Si ScanAvgCPULoadFactor n'est pas configuré, la valeur par défaut est une limite de charge processeur maximale de 50 % pendant une analyse.If ScanAvgCPULoadFactor is not configured, the default value is a limit of 50% maximum CPU load during a scan.
Pour plus d'informations, voir configure-advanced-scan-types-microsoft-defender-antivirus.For more information, see configure-advanced-scan-types-microsoft-defender-antivirus.

Restreindre l’exécution des applicationsRestrict app execution

En plus de contenir une attaque en arrêtant les processus malveillants, vous pouvez également verrouiller un appareil et empêcher l'exécution de tentatives ultérieures de programmes potentiellement malveillants.In addition to containing an attack by stopping malicious processes, you can also lock down a device and prevent subsequent attempts of potentially malicious programs from running.

Important

  • Cette action est disponible pour les appareils sur Windows 10, version 1709 ou ultérieure.This action is available for devices on Windows 10, version 1709 or later.
  • Cette fonctionnalité est disponible si votre organisation utilise l'Antivirus Microsoft Defender.This feature is available if your organization uses Microsoft Defender Antivirus.
  • Cette action doit respecter les formats de stratégie d Windows Defender'intégrité du code application Control et les exigences de signature.This action needs to meet the Windows Defender Application Control code integrity policy formats and signing requirements. Pour plus d'informations, voir Formats de stratégie d'intégrité du code et signature.For more information, see Code integrity policy formats and signing.

Pour empêcher l'exécution d'une application, une stratégie d'intégrité du code est appliquée qui autorise uniquement l'exécution des fichiers s'ils sont signés par un certificat émis par Microsoft.To restrict an application from running, a code integrity policy is applied that only allows files to run if they are signed by a Microsoft issued certificate. Cette méthode de restriction permet d'empêcher une personne malveillante de contrôler des appareils compromis et d'effectuer d'autres activités malveillantes.This method of restriction can help prevent an attacker from controlling compromised devices and performing further malicious activities.

Notes

Vous serez en mesure d'annuler la restriction d'exécution des applications à tout moment.You’ll be able to reverse the restriction of applications from running at any time. Le bouton sur la page de l'appareil change pour dire Supprimer les restrictions d'application, puis vous appliquez les mêmes étapes que la restriction de l'exécution de l'application.The button on the device page will change to say Remove app restrictions, and then you take the same steps as restricting app execution.

Une fois que vous avez sélectionné Restreindre l'exécution d'application sur la page de l'appareil, tapez un commentaire et sélectionnez Confirmer.Once you have selected Restrict app execution on the device page, type a comment and select Confirm. Le centre de données affiche les informations d'analyse et la chronologie de l'appareil inclut un nouvel événement.The Action center will show the scan information and the device timeline will include a new event.

Image de la notification de restriction d'application

Notification sur l'utilisateur de l'appareil:Notification on device user:
Lorsqu'une application est restreinte, la notification suivante s'affiche pour informer l'utilisateur qu'une application n'est pas en cours d'exécution :When an app is restricted, the following notification is displayed to inform the user that an app is being restricted from running:

Image de restriction d'application

Isoler les appareils du réseauIsolate devices from the network

Selon la gravité de l'attaque et la sensibilité de l'appareil, vous souhaitez peut-être isoler l'appareil du réseau.Depending on the severity of the attack and the sensitivity of the device, you might want to isolate the device from the network. Cette action peut aider à empêcher l'attaquant de contrôler l'appareil compromis et d'effectuer d'autres activités telles que l'exfiltration des données et les mouvements latérals.This action can help prevent the attacker from controlling the compromised device and performing further activities such as data exfiltration and lateral movement.

Important

  • L'isolation complète est disponible pour les appareils sur Windows 10, version 1703.Full isolation is available for devices on Windows 10, version 1703.
  • L'isolation sélective est disponible pour les appareils sur Windows 10, version 1709 ou ultérieure.Selective isolation is available for devices on Windows 10, version 1709 or later.

Cette fonctionnalité d'isolation de périphérique déconnecte l'appareil compromis du réseau tout en conservant la connectivité au service Defender for Endpoint, qui continue de surveiller l'appareil.This device isolation feature disconnects the compromised device from the network while retaining connectivity to the Defender for Endpoint service, which continues to monitor the device.

Sur Windows 10, version 1709 ou ultérieure, vous aurez un contrôle supplémentaire sur le niveau d'isolation réseau.On Windows 10, version 1709 or later, you'll have additional control over the network isolation level. Vous pouvez également choisir d'activer la connectivité Outlook, Microsoft Teams et Skype Entreprise (c'est-à-dire une « isolation sélective »).You can also choose to enable Outlook, Microsoft Teams, and Skype for Business connectivity (a.k.a 'Selective Isolation').

Notes

Vous pourrez à tout moment reconnecter l'appareil au réseau.You’ll be able to reconnect the device back to the network at any time. Le bouton sur la page de l'appareil change pour dire Libérer de l'isolation, puis vous prenez les mêmes mesures que l'isolation de l'appareil.The button on the device page will change to say Release from isolation, and then you take the same steps as isolating the device.

Une fois que vous avez sélectionné Isoler l'appareil sur la page de l'appareil, tapez un commentaire, puis sélectionnez Confirmer.Once you have selected Isolate device on the device page, type a comment and select Confirm. Le centre de données affiche les informations d'analyse et la chronologie de l'appareil inclut un nouvel événement.The Action center will show the scan information and the device timeline will include a new event.

Image de l'appareil isolé

Notes

L'appareil reste connecté au service Defender for Endpoint même s'il est isolé du réseau.The device will remain connected to the Defender for Endpoint service even if it is isolated from the network. Si vous avez choisi d'activer la communication Outlook et Skype Entreprise, vous serez en mesure de communiquer avec l'utilisateur pendant que l'appareil est isolé.If you've chosen to enable Outlook and Skype for Business communication, then you'll be able to communicate to the user while the device is isolated.

Notification sur l'utilisateur de l'appareil:Notification on device user:
Lorsqu'un appareil est isolé, la notification suivante s'affiche pour informer l'utilisateur que l'appareil est isolé du réseau :When a device is being isolated, the following notification is displayed to inform the user that the device is being isolated from the network:

Image d'aucune connexion réseau

Consulter un spécialiste des menacesConsult a threat expert

Vous pouvez consulter un expert microsoft en matière de menaces pour obtenir plus d'informations sur un appareil potentiellement compromis ou déjà compromis.You can consult a Microsoft threat expert for more insights regarding a potentially compromised device or already compromised ones. Les experts microsoft en matière de menaces peuvent être impliqués directement à partir du Centre de sécurité Microsoft Defender pour obtenir une réponse précise et opportune.Microsoft Threat Experts can be engaged directly from within the Microsoft Defender Security Center for timely and accurate response. Les experts fournissent des informations non seulement sur un appareil potentiellement compromis, mais également pour mieux comprendre les menaces complexes, les notifications d'attaque ciblées que vous recevez, ou si vous avez besoin d'informations supplémentaires sur les alertes ou d'un contexte d'intelligence des menaces que vous voyez sur votre tableau de bord du portail.Experts provide insights not just regarding a potentially compromised device, but also to better understand complex threats, targeted attack notifications that you get, or if you need more information about the alerts, or a threat intelligence context that you see on your portal dashboard.

Pour plus d'informations, consultez un expert microsoft en matière de menaces.See Consult a Microsoft Threat Expert for details.

Vérifier les détails de l’activité dans le Centre de notificationsCheck activity details in Action center

Le centre de sécurité fournit des informations sur les actions qui ont été prises sur un appareil ou un fichier.The Action center provides information on actions that were taken on a device or file. Vous pourrez afficher les détails suivants :You’ll be able to view the following details:

  • Collection de packages d'examenInvestigation package collection
  • Analyse antivirusAntivirus scan
  • Restriction d'applicationApp restriction
  • Isolation de l'appareilDevice isolation

Tous les autres détails connexes sont également affichés, par exemple, date/heure de soumission, utilisateur d'envoi et si l'action a réussi ou échoué.All other related details are also shown, for example, submission date/time, submitting user, and if the action succeeded or failed.

Image du centre de travail avec des informations