Examen et réponse automatisés dans Microsoft 365 DefenderAutomated investigation and response in Microsoft 365 Defender

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Si votre organisation utilise Microsoft 365 Defender,votre équipe des opérations de sécurité reçoit une alerte dans le centre de sécurité Microsoft 365 chaque fois qu’une activité ou un artefact malveillant ou suspect est détecté.If your organization is using Microsoft 365 Defender, your security operations team receives an alert within the Microsoft 365 security center whenever a malicious or suspicious activity or artifact is detected. Étant donné le flux de menaces qui peut s’écouler sans fin, les équipes de sécurité doivent souvent relever le défi de traiter le volume élevé d’alertes.Given the seemingly never-ending flow of threats that can come in, security teams often face the challenge of addressing the high volume of alerts. Heureusement, Microsoft 365 Defender inclut des fonctionnalités d’investigation et de réponse automatisées (AIR) qui peuvent aider votre équipe des opérations de sécurité à traiter les menaces plus efficacement.Fortunately, Microsoft 365 Defender includes automated investigation and response (AIR) capabilities that can help your security operations team address threats more efficiently and effectively.

Cet article fournit une vue d’ensemble d’AIR et inclut des liens vers les étapes suivantes et des ressources supplémentaires.This article provides an overview of AIR and includes links to next steps and additional resources.

Conseil

Vous voulez essayer Microsoft 365 Defender ?Want to experience Microsoft 365 Defender? Vous pouvez l’évaluer dans un environnement de laboratoire ou exécuter votre projet pilote en production.You can evaluate it in a lab environment or run your pilot project in production.

Fonctionnement de l’examen automatisé et de la auto-ressourceHow automated investigation and self-healing works

Lorsque des alertes de sécurité sont déclenchées, c’est à votre équipe des opérations de sécurité d’examiner ces alertes et de prendre les mesures nécessaires pour protéger votre organisation.As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. La hiérarchisation et l’examen des alertes peuvent prendre beaucoup de temps, en particulier lorsque de nouvelles alertes continuent d’arriver pendant qu’un examen est en cours.Prioritizing and investigating alerts can be very time consuming, especially when new alerts keep coming in while an investigation is going on. Les équipes en charge des opérations de sécurité peuvent être submergées par le volume des menaces qu’elles doivent gérer.Security operations teams can feel overwhelmed by the sheer volume of threats they must monitor and protect against. Les fonctionnalités automatisées d’examen et de réponse, avec auto-Microsoft 365 Defender peuvent vous aider.Automated investigation and response capabilities, with self-healing, in Microsoft 365 Defender can help.

Regardez la vidéo suivante pour voir comment fonctionne la auto-ressource :Watch the following video to see how self-healing works:

Dans Microsoft 365 Defender, l’examen et la réponse automatisés avec des fonctionnalités de auto-cicatrisation fonctionnent sur vos appareils, vos & de messagerie et vos identités.In Microsoft 365 Defender, automated investigation and response with self-healing capabilities works across your devices, email & content, and identities.

Conseil

Cet article décrit le fonctionnement de l’examen et de la réponse automatisés.This article describes how automated investigation and response works. Pour configurer ces fonctionnalités, voir Configurer les fonctionnalités d’investigation et de réponse automatisées dans Microsoft 365 Defender.To configure these capabilities, see Configure automated investigation and response capabilities in Microsoft 365 Defender.

Votre propre analyste virtuelYour own virtual analyst

Imagine un analyste virtuel dans votre équipe des opérations de sécurité de niveau 1 ou 2.Imagine having a virtual analyst in your Tier 1 or Tier 2 security operations team. L’analyste virtuel est fidèle aux étapes recommandées par les opérations de sécurité pour examiner et corriger les menaces.The virtual analyst mimics the ideal steps that security operations would take to investigate and remediate threats. L’analyste virtuel peut travailler 24 heures sur 24, 7 jours sur 7, avec une capacité illimitée et prendre en charge une charge importante d’examens et de correction des menaces.The virtual analyst could work 24x7, with unlimited capacity, and take on a significant load of investigations and threat remediation. Un tel analyste virtuel pourrait réduire considérablement le temps de réponse, libérant ainsi votre équipe des opérations de sécurité pour d’autres menaces importantes ou des projets stratégiques.Such a virtual analyst could significantly reduce the time to respond, freeing up your security operations team for other important threats or strategic projects. Si ce scénario ressemble à une science fictive, ce n’est pas le cas !If this scenario sounds like science fiction, it's not! Cet analyste virtuel fait partie de votre suite Microsoft 365 Defender, et son nom est examen et réponse automatisés.Such a virtual analyst is part of your Microsoft 365 Defender suite, and its name is automated investigation and response.

Les fonctionnalités d’examen et de réponse automatisées permettent à votre équipe en charge des opérations de sécurité d’augmenter considérablement la capacité de votre organisation à gérer les alertes et les incidents de sécurité.Automated investigation and response capabilities enable your security operations team to dramatically increase your organization's capacity to deal with security alerts and incidents. Grâce à l’examen et à la réponse automatisés, vous pouvez réduire le coût de traitement des activités d’examen et de réponse et utiliser au mieux votre suite de protection contre les menaces.With automated investigation and response, you can reduce the cost of dealing with investigation and response activities and get the most out of your threat protection suite. Les fonctionnalités d’examen et de réponse automatisées aident votre équipe en matière d’opérations de sécurité en :Automated investigation and response capabilities help your security operations team by:

  1. Déterminer si une menace nécessite une action.Determining whether a threat requires action.
  2. Prendre (ou recommander) toutes les actions de correction nécessaires.Taking (or recommending) any necessary remediation actions.
  3. Déterminer si et quelles autres enquêtes doivent se produire.Determining whether and what other investigations should occur.
  4. répéter le processus autant de fois que nécessaire pour d’autres alertes.Repeating the process as necessary for other alerts.

Processus d’examen automatiséThe automated investigation process

Une alerte crée un incident, qui peut démarrer une enquête automatisée.An alert creates an incident, which can start an automated investigation. L’enquête automatisée entraîne un verdict pour chaque élément de preuve.The automated investigation results in a verdict for each piece of evidence. Les verdicts peuvent être :Verdicts can be:

  • MalveillantMalicious
  • SuspectSuspicious
  • Aucune menace détectéeNo threats found

Les actions de correction pour les entités malveillantes ou suspectes sont identifiées.Remediation actions for malicious or suspicious entities are identified. Voici quelques exemples d’actions de correction :Examples of remediation actions include:

  • Envoi d’un fichier en quarantaineSending a file to quarantine
  • Arrêt d’un processusStopping a process
  • Isolation d’un appareilIsolating a device
  • Blocage d’une URLBlocking a URL
  • Autres actionsOther actions

Pour plus d’informations, voir actions de correction dans Microsoft 365 Defender.For more information, see See Remediation actions in Microsoft 365 Defender.

Selon la façon dont les fonctionnalités d’examen et de réponse automatisées sont configurées pour votre organisation, des mesures correctives sont prises automatiquement ou uniquement après approbation par votre équipe des opérations de sécurité.Depending on how automated investigation and response capabilities are configured for your organization, remediation actions are taken automatically or only upon approval by your security operations team. Toutes les actions, en attente ou terminées, sont répertoriées dans le centre de actions.All actions, whether pending or completed, are listed in the Action center.

Pendant l’exécution d’un examen, les autres alertes associées qui apparaissent sont ajoutées à l’examen jusqu’à la fin de l’opération.While an investigation is running, any other related alerts that arise are added to the investigation until it completes. Si une entité affectée est vue ailleurs, l’enquête automatisée étend son étendue pour inclure cette entité, et le processus d’examen se répète.If an affected entity is seen elsewhere, the automated investigation expands its scope to include that entity, and the investigation process repeats.

Dans Microsoft 365 Defender, chaque enquête automatisée met en corrélation les signaux entre Microsoft Defender pour l’identité, Microsoft Defender pour point de terminaison et Microsoft Defender pour Office 365, comme résumé dans le tableau suivant :In Microsoft 365 Defender, each automated investigation correlates signals across Microsoft Defender for Identity, Microsoft Defender for Endpoint, and Microsoft Defender for Office 365, as summarized in the following table:

EntitésEntities Services de protection contre les menacesThreat protection services
Appareils (également appelés points de terminaison ou ordinateurs)Devices (also referred to as endpoints or machines) Defender pour le point de terminaisonDefender for Endpoint
Utilisateurs Active Directory locaux, comportement des entités et activitésOn-premises Active Directory users, entity behavior, and activities Defender pour l’identitéDefender for Identity
Contenu du courrier électronique (messages électroniques qui peuvent contenir des fichiers et des URL)Email content (email messages that can contain files and URLs) Defender pour Office 365Defender for Office 365

Notes

Toutes les alertes ne déclenchent pas une enquête automatisée, et toutes les enquêtes n’entraînent pas des actions de correction automatisées.Not every alert triggers an automated investigation, and not every investigation results in automated remediation actions. Cela dépend de la façon dont l’examen et la réponse automatisés sont configurés pour votre organisation.It depends on how automated investigation and response is configured for your organization. Voir Configurer les fonctionnalités d’examen et de réponse automatisées.See Configure automated investigation and response capabilities.

Affichage d’une liste d’enquêtesViewing a list of investigations

Pour afficher les enquêtes, consultez la page Incidents.To view investigations, go to the Incidents page. Sélectionnez un incident, puis l’onglet Investigations. Pour en savoir plus, consultez les détails et les résultats d’une enquête automatisée.Select an incident, and then select the Investigations tab. To learn more, see Details and results of an automated investigation.

Prochaines étapesNext steps