Incidents dans Microsoft 365 DefenderIncidents in Microsoft 365 Defender

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Vous voulez essayer Microsoft 365 Defender ?Want to experience Microsoft 365 Defender? Vous pouvez l’évaluer dans un environnement de laboratoire ou exécuter votre projet pilote en production.You can evaluate it in a lab environment or run your pilot project in production.

Un incident dans Microsoft 365 Defender est une collection d’alertes corrélées et de données associées qui constitue l’histoire d’une attaque.An incident in Microsoft 365 Defender is a collection of correlated alerts and associated data that make up the story of an attack.

Microsoft 365 et applications créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant.Microsoft 365 services and apps create alerts when they detect a suspicious or malicious event or activity. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours.Individual alerts provide valuable clues about a completed or ongoing attack. Toutefois, les attaques utilisent généralement différentes techniques pour différents types d’entités, telles que les appareils, les utilisateurs et les boîtes aux lettres.However, attacks typically employ various techniques against different types of entities, such as devices, users, and mailboxes. Le résultat est plusieurs alertes pour plusieurs entités dans votre client.The result is multiple alerts for multiple entities in your tenant.

Étant donné que l’agrégation des alertes individuelles pour obtenir des informations sur une attaque peut être complexe et chronophage, Microsoft 365 Defender regroupe automatiquement les alertes et leurs informations associées dans un incident.Because piecing the individual alerts together to gain insight into an attack can be challenging and time-consuming, Microsoft 365 Defender automatically aggregates the alerts and their associated information into an incident.

Comment Microsoft 365 Defender des événements d’entités dans un incident

Regardez cette courte vue d’ensemble des incidents Microsoft 365 Defender (4 minutes).Watch this short overview of incidents in Microsoft 365 Defender (4 minutes).


Le regroupement d’alertes associées dans un incident vous offre une vue complète d’une attaque.Grouping related alerts into an incident gives you a comprehensive view of an attack. Par exemple, vous pouvez voir :For example, you can see:

  • Point de départ de l’attaque.Where the attack started.
  • Quelles tactiques ont été utilisées .What tactics were used.
  • Jusqu’où l’attaque est passée dans votre client.How far the attack has gone into your tenant.
  • Étendue de l’attaque, telle que le nombre d’appareils, d’utilisateurs et de boîtes aux lettres qui ont été touchés.The scope of the attack, such as how many devices, users, and mailboxes were impacted.
  • Toutes les données associées à l’attaque.All of the data associated with the attack.

Si elle est activée,Microsoft 365 Defender peuvent automatiquement examiner et résoudre les alertes par le biais de l’automatisation et de l’intelligence artificielle.If enabled, Microsoft 365 Defender can automatically investigate and resolve alerts through automation and artificial intelligence. Vous pouvez également effectuer des étapes de correction supplémentaires pour résoudre l’attaque.You can also perform additional remediation steps to resolve the attack.

Incidents et alertes dans le portail Microsoft 365 Defender webIncidents and alerts in the Microsoft 365 Defender portal

Vous gérez les incidents à partir d’incidents & alertes > incidents sur le lancement rapide du portail Microsoft 365 Defender (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 Defender portal (security.microsoft.com). Voici un exemple.Here's an example.

Page Incidents dans le portail Microsoft 365 Defender web

La sélection d’un nom d’incident affiche un résumé de l’incident et donne accès aux onglets avec des informations supplémentaires.Selecting an incident name displays a summary of the incident and provides access to tabs with additional information.

Exemple de page Résumé d’un incident dans le portail Microsoft 365 Defender web

Les onglets supplémentaires pour un incident sont les suivants :The additional tabs for an incident are:

  • AlertesAlerts

    Toutes les alertes liées à l’incident et leurs informations.All the alerts related to the incident and their information.

  • AppareilsDevices

    Tous les appareils identifiés comme faisant partie ou liés à l’incident.All the devices that have been identified to be part of or related to the incident.

  • UtilisateursUsers

    Tous les utilisateurs identifiés comme faisant partie ou associés à l’incident.All the users that have been identified to be part of or related to the incident.

  • Boîtes aux lettresMailboxes

    Toutes les boîtes aux lettres identifiées comme faisant partie ou liées à l’incident.All the mailboxes that have been identified to be part of or related to the incident.

  • ExamensInvestigations

    Toutes les enquêtes automatisées déclenchées par des alertes dans l’incident.All the automated investigations triggered by alerts in the incident.

  • Preuve et réponseEvidence and Response

    Tous les événements pris en charge et entités suspectes dans les alertes dans l’incident.All the supported events and suspicious entities in the alerts in the incident.

  • Graph (en prévisualisation)Graph (in preview)

    Figure montrant la connexion des alertes aux biens touchés dans votre organisation.A figure showing the connection of alerts to the impacted assets in your organization.

Voici la relation entre un incident et ses données et les onglets d’un incident dans le Microsoft 365 Defender web.Here's the relationship between an incident and its data and the tabs of an incident in the Microsoft 365 Defender portal.

Relation d’un incident et de ses données avec les onglets d’un incident dans le portail Microsoft 365 Defender web

Exemple de flux de travail de réponse aux incidents pour Microsoft 365 DefenderExample incident response workflow for Microsoft 365 Defender

Voici un exemple de flux de travail pour répondre aux incidents dans Microsoft 365 avec le portail Microsoft 365 Defender web.Here's an example workflow for responding to incidents in Microsoft 365 with the Microsoft 365 Defender portal.

Exemple de flux de travail de réponse aux incidents pour Microsoft 365

Identifiez régulièrement les incidents les plus prioritaires pour l’analyse et la résolution dans la file d’attente des incidents et préparez-les à répondre.On an ongoing basis, identify the highest priority incidents for analysis and resolution in the incident queue and get them ready for response. Il s’agit d’une combinaison de :This is a combination of:

  • Tri pour déterminer les incidents les plus prioritaires via le filtrage et le tri de la file d’attente d’incidents.Triaging to determining the highest priority incidents through filtering and sorting of the incident queue.
  • Gestion des incidents en modifiant leur titre, en les attribuant à un analyste et en ajoutant des balises et des commentaires.Managing incidents by modifying their title, assigning them to an analyst, and adding tags and comments.
  1. Pour chaque incident, lancez une analyse et une analyse d’attaque et d’alerte:For each incident, begin an attack and alert investigation and analysis:

    1. Affichez le résumé de l’incident pour comprendre sa portée et sa gravité, ainsi que les entités concernées (onglet Résumé).View the summary of the incident to understand it's scope and severity and what entities are affected (the Summary tab).

    2. Commencez à analyser les alertes pour comprendre leur origine, leur étendue et leur gravité (onglet Alertes).Begin analyzing the alerts to understand their origin, scope, and severity (the Alerts tab).

    3. Si nécessaire, rassemblez des informations sur les appareils, les utilisateurs et les boîtes aux lettres touchés (onglets Appareils, Utilisateurs et Boîtes aux lettres).As needed, gather information on impacted devices, users, and mailboxes (the Devices, Users, and Mailboxes tabs).

    4. Découvrez comment Microsoft 365 Defender a automatiquement résolu certaines alertes (onglet Enquêtes).See how Microsoft 365 Defender has automatically resolved some alerts (the Investigations tab).

    5. Si nécessaire, utilisez les informations du jeu de données pour l’incident pour plus d’informations (onglet Preuve et réponse).As needed, use information in the data set for the incident for more information (the Evidence and Response tab).

  2. Après ou pendant votre analyse, effectuez un contenu pour réduire tout impact supplémentaire de l’attaque et de l’éradication de la menace de sécurité.After or during your analysis, perform containment to reduce any additional impact of the attack and eradication of the security threat.

  3. Dans la mesure du possible, récupérez à partir de l’attaque en restaurant les ressources de votre client à l’état où elles se sont trouver avant l’incident.As much as possible, recover from the attack by restoring your tenant resources to the state they were in before the incident.

  4. Résolvez l’incident et prenez le temps d’apprendre après l’incident pour :Resolve the incident and take time for post-incident learning to:

    • Comprendre le type de l’attaque et son impact.Understand the type of the attack and its impact.
    • Recherchez une tendance des attaques de sécurité dans l’analyse des menaces et la communauté de sécurité.Research the attack in Threat Analytics and the security community for a security attack trend.
    • Rappelez-vous du flux de travail que vous avez utilisé pour résoudre l’incident et mettre à jour vos flux de travail, processus, stratégies et playbooks standard si nécessaire.Recall the workflow you used to resolve the incident and update your standard workflows, processes, policies, and playbooks as needed.
    • Déterminez si des modifications sont nécessaires dans votre configuration de sécurité et implémentez-les.Determine whether changes in your security configuration are needed and implement them.

Si vous débutez dans l’analyse de la sécurité, consultez l’introduction à la réponse à votre premier incident pour plus d’informations et pour passer au travers d’un exemple d’incident.If you are new to security analysis, see the introduction to responding to your first incident for additional information and to step through an example incident.

Pour plus d’informations sur la réponse aux incidents dans les produits Microsoft, consultez cet article.For more information about incident response across Microsoft products, see this article.

Exemples d’opérations de sécurité pour Microsoft 365 DefenderExample security operations for Microsoft 365 Defender

Voici un exemple d’opérations de sécurité (SecOps) pour Microsoft 365 Defender.Here's an example of security operations (SecOps) for Microsoft 365 Defender.

Exemple d’opérations de sécurité pour Microsoft 365 Defender

Les tâches quotidiennes peuvent inclure les tâches suivantes :Daily tasks can include:

Les tâches mensuelles peuvent inclure les tâches suivantes :Monthly tasks can include:

Les tâches trimestrielles peuvent inclure un rapport et un briefing des résultats de sécurité au directeur de la sécurité des informations (CISO).Quarterly tasks can include a report and briefing of security results to the Chief Information Security Officer (CISO).

Les tâches annuelles peuvent inclure la conduite d’un incident majeur ou d’un exercice de violation pour tester votre personnel, vos systèmes et vos processus.Annual tasks can include conducting a major incident or breach exercise to test your staff, systems, and processes.

Les tâches quotidiennes, mensuelles, trimestrielles et annuelles peuvent être utilisées pour mettre à jour ou affiner des processus, des stratégies et des configurations de sécurité.Daily, monthly, quarterly, and annual tasks can be used to update or refine processes, policies, and security configurations.

Ressources SecOps sur les produits MicrosoftSecOps resources across Microsoft products

Pour plus d’informations sur SecOps dans les produits Microsoft, consultez les ressources ci-après :For more information about SecOps across Microsoft's products, see these resources:

Étapes suivantesNext steps

Si vous êtes nouveau dans l’analyse de la sécurité et la réponse aux incidents :If you are new to security analysis and incident response:

  • Consultez la procédure pas à pas Répondre à votre premier incident pour obtenir une visite guidée d’un processus classique d’analyse, de correction et de révision post-incident dans le portail Microsoft 365 Defender avec un exemple d’attaque.See the Respond to your first incident walkthrough to get a guided tour of a typical process of analysis, remediation, and post-incident review in the Microsoft 365 Defender portal with an example attack.

Si vous avez de l’expérience en matière d’analyse de sécurité et de réponse aux incidents :If you have experience with security analysis and incident response:

  • Commencer avec la file d’attente des incidents à partir de la page Incidents du portail Microsoft 365 Defender web.Get started with the incident queue from the Incidents page of the Microsoft 365 Defender portal. Ici, vous pouvez :From here, you can:

    • Voir quels incidents doivent être hiérarchisés en fonction de la gravité et d’autres facteurs.See which incidents should be prioritized based on severity and other factors.

    • Gérer les incidents,ce qui inclut le changement de nom, l’affectation, la classification et l’ajout de balises et de commentaires en fonction de votre flux de travail de gestion des incidents.Manage incidents, which includes renaming, assigning, classifying, and adding tags and comments based on your incident management workflow.

    • Effectuer des examens des incidents.Perform investigations of incidents.

  • Consultez ces manuels de réponse aux incidents pour obtenir des instructions détaillées sur le hameçonnage, la pulvérisation de mots de passe et les attaques d’octroi de consentement d’application.See these incident response playbooks for detailed guidance for phishing, password spray, and app consent grant attacks.