Résoudre les comptes d’utilisateur compromis grâce à un examen et à une réponse automatisésAddress compromised user accounts with automated investigation and response

S’applique àApplies to

Microsoft Defender pour Office 365 Plan 2 inclut des fonctionnalités d’investigation et de réponse automatisées (AIR) puissantes.Microsoft Defender for Office 365 Plan 2 includes powerful automated investigation and response (AIR) capabilities. Ces fonctionnalités peuvent faire gagner beaucoup de temps et d’efforts à votre équipe en matière d’opérations de sécurité pour gérer les menaces.Such capabilities can save your security operations team a lot of time and effort dealing with threats. Microsoft continue d’améliorer les fonctionnalités de sécurité.Microsoft continues to improve security capabilities. Récemment, les fonctionnalités AIR ont été améliorées pour inclure un manuel de sécurité utilisateur compromis (actuellement en prévisualisation).Recently, AIR capabilities were enhanced to include a compromised user security playbook (currently in preview). Lisez cet article pour en savoir plus sur le manuel de sécurité des utilisateurs compromis.Read this article to learn more about the compromised user security playbook. Pour plus d’informations, voir le billet de blog Accélérer le temps de détection et de réponse à la compromission de l’utilisateur et limiter l’étendue des violations avec Microsoft Defender pour Office 365 plus d’informations.And see the blog post Speed up time to detect and respond to user compromise and limit breach scope with Microsoft Defender for Office 365 for additional details.

Examen automatisé pour un utilisateur compromis

Le manuel de sécurité des utilisateurs compromis permet à l’équipe de sécurité de votre organisation de :The compromised user security playbook enables your organization's security team to:

  • Accélérer la détection des comptes d’utilisateur compromis ;Speed up detection of compromised user accounts;

  • Limiter l’étendue d’une violation lorsqu’un compte est compromis ; etLimit the scope of a breach when an account is compromised; and

  • Répondre plus efficacement aux utilisateurs compromis.Respond to compromised users more effectively and efficiently.

Alertes utilisateur compromisesCompromised user alerts

Lorsqu’un compte d’utilisateur est compromis, des comportements inhabituels ou anormaux se produisent.When a user account is compromised, atypical or anomalous behaviors occur. Par exemple, les messages de hameçonnage et de courrier indésirable peuvent être envoyés en interne à partir d’un compte d’utilisateur approuvé.For example, phishing and spam messages might be sent internally from a trusted user account. Defender for Office 365 détecter de telles anomalies dans les modèles de messagerie et l’activité de collaboration au sein Office 365.Defender for Office 365 can detect such anomalies in email patterns and collaboration activity within Office 365. Lorsque cela se produit, les alertes sont déclenchées et le processus de prévention des menaces commence.When this happens, alerts are triggered, and the threat mitigation process begins.

Par exemple, voici une alerte déclenchée en raison de l’envoi de messages électroniques suspects :For example, here's an alert that was triggered because of suspicious email sending:

Alerte déclenchée en raison d’un envoi de courrier suspect

Voici un exemple d’alerte déclenchée lorsqu’une limite d’envoi a été atteinte pour un utilisateur :And here's an example of an alert that was triggered when a sending limit was reached for a user:

Alerte déclenchée par la limite d’envoi atteinte

Examiner un utilisateur compromis et y répondreInvestigate and respond to a compromised user

Lorsqu’un compte d’utilisateur est compromis, des alertes sont déclenchées.When a user account is compromised, alerts are triggered. Et dans certains cas, ce compte d’utilisateur est bloqué et empêché d’envoyer d’autres messages électroniques jusqu’à ce que le problème soit résolu par l’équipe des opérations de sécurité de votre organisation.And in some cases, that user account is blocked and prevented from sending any further email messages until the issue is resolved by your organization's security operations team. Dans d’autres cas, une enquête automatisée commence, ce qui peut entraîner des actions recommandées que votre équipe de sécurité doit prendre.In other cases, an automated investigation begins which can result in recommended actions that your security team should take.

Important

Vous devez avoir les autorisations appropriées pour effectuer les tâches suivantes.You must have appropriate permissions to perform the following tasks. Voir Autorisations requises pour utiliser les fonctionnalités AIR.See Required permissions to use AIR capabilities.

Afficher et examiner les utilisateurs restreintsView and investigate restricted users

Vous avez plusieurs options pour naviguer vers une liste d’utilisateurs restreints.You have a few options for navigating to a list of restricted users. Par exemple, dans le Centre de sécurité & conformité, vous pouvez aller à La révision de la gestion des menaces > > Utilisateurs restreints.For example, in the Security & Compliance Center, you can go to Threat management > Review > Restricted Users. La procédure suivante décrit la navigation à l’aide du tableau de bord Alertes, qui est un bon moyen de voir différents types d’alertes qui ont pu être déclenchées.The following procedure describes navigation using the Alerts dashboard, which is a good way to see various kinds of alerts that might have been triggered.

  1. Accédez à https://protection.office.com et connectez-vous.Go to https://protection.office.com and sign in.

  2. Dans le volet de navigation, sélectionnez Tableau de bord Alertes. > In the navigation pane, choose Alerts > Dashboard.

  3. Dans le widget Autres alertes, choisissez Utilisateurs restreints.In the Other alerts widget, choose Restricted Users.

    Widget Autres alertes

    Cela ouvre la liste des utilisateurs restreints.This opens the list of restricted users.

    Utilisateurs restreints dans Office 365

  4. Sélectionnez un compte d’utilisateur dans la liste pour afficher les détails et prendre des mesures, telles que la libération de l’utilisateur restreint.Select a user account in the list to view details and take action, such as releasing the restricted user.

Afficher les détails sur les enquêtes automatiséesView details about automated investigations

Lorsqu’une enquête automatisée a commencé, vous pouvez voir ses détails et ses résultats dans le Centre de sécurité & conformité.When an automated investigation has begun, you can see its details and results in the Security & Compliance Center. Go to Threat management > Investigations, and then select an investigation to view its details.Go to Threat management > Investigations, and then select an investigation to view its details.

Pour en savoir plus, consultez les détails d’une enquête.To learn more, see View details of an investigation.

Gardez les points suivants à l’espritKeep the following points in mind

  • Restez au fait de vos alertes.Stay on top of your alerts. Comme vous le savez, plus une compromission est longue et plus le risque d’impact et de coût pour votre organisation, vos clients et vos partenaires est élevé.As you know, the longer a compromise goes undetected, the larger the potential for widespread impact and cost to your organization, customers, and partners. Une détection précoce et une réponse rapide sont essentielles pour atténuer les menaces, en particulier lorsque le compte d’un utilisateur est compromis.Early detection and timely response are critical to mitigate threats, and especially when a user's account is compromised.

  • Automation aide, mais ne remplace pas, votre équipe des opérations de sécurité.Automation assists, but does not replace, your security operations team. Les fonctionnalités d’examen et de réponse automatisées peuvent détecter un utilisateur compromis dès le début, mais votre équipe en matière d’opérations de sécurité devra probablement s’impliquer et faire des recherches et des corrections.Automated investigation and response capabilities can detect a compromised user early on, but your security operations team will likely need to engage and do some investigation and remediation. Vous avez besoin d’aide ?Need some help with this? Consultez et approuvez les actions.See Review and approve actions.

  • Ne comptez pas sur une alerte de connexion suspecte comme seul indicateur.Don't rely on a suspicious login alert as your only indicator. Lorsqu’un compte d’utilisateur est compromis, il peut ou non déclencher une alerte de connexion suspecte.When a user account is compromised, it might or might not trigger a suspicious login alert. Parfois, c’est la série d’activités qui se produisent après qu’un compte est compromis qui déclenche une alerte.Sometimes it's the series of activities that occur after an account is compromised that triggers an alert. Vous souhaitez en savoir plus sur les alertes ?Want to know more about alerts? Voir stratégies d’alerte.See Alert policies.

Étapes suivantesNext steps