Traiter les comptes d’utilisateur compromis avec une investigation et une réponse automatisées

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Microsoft Defender pour Office 365 Plan 2 comprend de puissantes fonctionnalités d’investigation et de réponse automatisées (AIR). Ces fonctionnalités peuvent faire gagner beaucoup de temps et d’efforts à votre équipe chargée des opérations de sécurité pour gérer les menaces. Cet article décrit l’une des facettes des fonctionnalités AIR, le playbook de sécurité des utilisateurs compromis.

Le playbook de sécurité utilisateur compromis permet à l’équipe de sécurité de votre organization d’effectuer les opérations suivantes :

• Accélérer la détection des comptes d’utilisateur compromis ;
• Limiter l’étendue d’une violation lorsqu’un compte est compromis ; Et
• Répondre aux utilisateurs compromis de manière plus efficace et plus efficace.

Alertes utilisateur compromises

Lorsqu’un compte d’utilisateur est compromis, des comportements atypiques ou anormaux se produisent. Par exemple, les messages d’hameçonnage et de courrier indésirable peuvent être envoyés en interne à partir d’un compte d’utilisateur approuvé. Defender for Office 365 pouvez détecter de telles anomalies dans les modèles de messagerie et l’activité de collaboration au sein de Office 365. Lorsque cela se produit, des alertes sont déclenchées et le processus d’atténuation des menaces commence.

Examiner et répondre à un utilisateur compromis

Lorsqu’un compte d’utilisateur est compromis, des alertes sont déclenchées. Dans certains cas, ce compte d’utilisateur est bloqué et empêché d’envoyer d’autres messages électroniques jusqu’à ce que le problème soit résolu par l’équipe des opérations de sécurité de votre organization. Dans d’autres cas, une enquête automatisée commence, ce qui peut entraîner des actions recommandées que votre équipe de sécurité doit prendre.

• Afficher et examiner les utilisateurs restreints

• Afficher des détails sur les enquêtes automatisées

Importante

Vous devez disposer des autorisations appropriées pour effectuer les tâches suivantes. Consultez Autorisations requises pour utiliser les fonctionnalités AIR.

Regardez cette courte vidéo pour découvrir comment détecter la compromission de l’utilisateur et y répondre dans Microsoft Defender pour Office 365 à l’aide d’enquêtes et de réponses automatisées (AIR) et d’alertes utilisateur compromises.

Afficher et examiner les utilisateurs restreints

Vous disposez de quelques options pour accéder à une liste d’utilisateurs restreints. Par exemple, dans le portail Microsoft Defender, vous pouvez accéder à Email & collaboration>Passer en revue les>utilisateurs restreints. La procédure suivante décrit la navigation à l’aide du tableau de bord Alertes , qui est un bon moyen d’afficher différents types d’alertes qui ont pu être déclenchées.

1. Ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com et accédez à Incidents & alertes>Alertes. Ou, pour accéder directement à la page Alertes , utilisez https://security.microsoft.com/alerts.

2. Dans la page Alertes , filtrez les résultats par période et la stratégie nommée User restricted from envoyer des e-mails.

   

3. Si vous sélectionnez l’entrée en cliquant sur le nom, une page Utilisateur restreint à l’envoi d’e-mail s’ouvre avec des détails supplémentaires que vous pouvez consulter. En regard du bouton Gérer l’alerte , vous pouvez cliquer sur Autres options , puis sélectionner Afficher les détails de l’utilisateur restreint pour accéder à la page Utilisateurs restreints , où vous pouvez libérer l’utilisateur restreint.

Afficher des détails sur les enquêtes automatisées

Lorsqu’une investigation automatisée a commencé, vous pouvez voir ses détails et ses résultats dans le Centre de notifications dans le portail Microsoft Defender.

Pour plus d’informations, consultez Afficher les détails d’une investigation.

Gardez les points suivants à l’esprit

• Restez au fait de vos alertes. Comme vous le savez, plus un compromis n’est pas détecté, plus le potentiel d’impact et de coût étendus pour vos organization, clients et partenaires est important. La détection précoce et la réponse en temps voulu sont essentielles pour atténuer les menaces, et en particulier lorsque le compte d’un utilisateur est compromis.

• Automation aide votre équipe des opérations de sécurité. Les fonctionnalités d’investigation et de réponse automatisées peuvent détecter un utilisateur compromis dès le début et permettre à votre équipe des opérations de sécurité de prendre des mesures pour corriger la menace. Vous avez besoin d’aide à ce sujet ? Consultez Examiner et approuver les actions.

Prochaines étapes

• Passez en revue les autorisations requises pour utiliser les fonctionnalités AIR

• Rechercher et examiner les e-mails malveillants dans Office 365

• En savoir plus sur AIR dans Microsoft Defender pour point de terminaison

• Consultez la feuille de route Microsoft 365 pour voir ce qui sera bientôt disponible et en cours de déploiement