Fonctionnement de l’examen et de la réponse automatisés dans Microsoft Defender Office 365How automated investigation and response works in Microsoft Defender for Office 365

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique àApplies to

Lorsque des alertes de sécurité sont déclenchées, c’est à votre équipe des opérations de sécurité d’examiner ces alertes et de prendre les mesures nécessaires pour protéger votre organisation.As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. Parfois, les équipes en matière d’opérations de sécurité peuvent se sentir submergées par le volume d’alertes déclenchées.Sometimes, security operations teams can feel overwhelmed by the volume of alerts that are triggered. Les fonctionnalités d’investigation et de réponse automatisées (AIR) dans Microsoft Defender Office 365 peuvent vous aider.Automated investigation and response (AIR) capabilities in Microsoft Defender for Office 365 can help.

AIR permet à votre équipe des opérations de sécurité de fonctionner plus efficacement.AIR enables your security operations team to operate more efficiently and effectively. Les fonctionnalités AIR incluent des processus d’examen automatisés en réponse aux menaces connues qui existent aujourd’hui.AIR capabilities include automated investigation processes in response to well-known threats that exist today. Les actions de correction appropriées attendent l’approbation, ce qui permet à votre équipe des opérations de sécurité de répondre aux menaces détectées.Appropriate remediation actions await approval, enabling your security operations team to respond to detected threats.

Cet article décrit le fonctionnement d’AIR à travers plusieurs exemples.This article describes how AIR works through several examples. Lorsque vous êtes prêt à commencer à utiliser AIR, consultez Automatiquement examiner et répondre aux menaces.When you're ready to get started using AIR, see Automatically investigate and respond to threats.

Exemple : un message d’hameçonnage signalé par l’utilisateur lance un manuel d’enquêteExample: A user-reported phish message launches an investigation playbook

Supposons qu’un utilisateur de votre organisation reçoit un e-mail qu’il pense être une tentative de hameçonnage.Suppose that a user in your organization receives an email that they think is a phishing attempt. L’utilisateur, formé pour signaler ces messages, utilise le add-in Report Message ou le add-in Report Phishing pour l’envoyer à Microsoft pour analyse.The user, trained to report such messages, uses the Report Message add-in or the Report Phishing add-in to send it to Microsoft for analysis. La soumission est également envoyée à votre système et est visible dans l’Explorateur dans l’affichage Soumissions (anciennement appelé affichage signalé par l’utilisateur).The submission is also sent to your system and is visible in Explorer in the Submissions view (formerly referred to as the User-reported view). En outre, le message signalé par l’utilisateur déclenche désormais une alerte informationnelle basée sur le système, qui lance automatiquement le manuel d’enquête.In addition, the user-reported message now triggers a system-based informational alert, which automatically launches the investigation playbook.

Au cours de la phase d’examen racine, différents aspects du courrier électronique sont évalués.During the root investigation phase, various aspects of the email are assessed. Ces aspects sont les suivants :These aspects include:

  • Une détermination du type de menace qu’il peut être ;A determination about what type of threat it might be;
  • Qui l’a envoyé ;Who sent it;
  • L’endroit d’où le courrier électronique a été envoyé (infrastructure d’envoi) ;Where the email was sent from (sending infrastructure);
  • Si d’autres instances du courrier électronique ont été remis ou bloqués ;Whether other instances of the email were delivered or blocked;
  • Une évaluation de nos analystes ;An assessment from our analysts;
  • Si l’e-mail est associé à des campagnes connues ;Whether the email is associated with any known campaigns;
  • et bien plus encore.and more.

Une fois l’examen racine terminé, le manuel fournit la liste des actions recommandées à effectuer sur le courrier électronique d’origine et les entités qui lui sont associées.After the root investigation is complete, the playbook provides a list of recommended actions to take on the original email and entities associated with it.

Ensuite, plusieurs étapes d’examen et de recherche des menaces sont exécutées :Next, several threat investigation and hunting steps are executed:

  • Des messages électroniques similaires sont identifiés via des recherches de cluster de messagerie.Similar email messages are identified via email cluster searches.
  • Le signal est partagé avec d’autres plateformes, telles que Microsoft Defender pour le point de terminaison.The signal is shared with other platforms, such as Microsoft Defender for Endpoint.
  • Il est déterminé si des utilisateurs ont cliqué sur des liens malveillants dans des messages électroniques suspects.A determination is made on whether any users have clicked through any malicious links in suspicious email messages.
  • Une vérification est effectuée sur Exchange Online Protection (EOP) et (Microsoft Defender pour Office 365) pour voir s’il existe d’autres messages similaires signalés par les utilisateurs.A check is done across Exchange Online Protection (EOP) and (Microsoft Defender for Office 365) to see if there are any other similar messages reported by users.
  • Une vérification est effectuée pour voir si un utilisateur a été compromis.A check is done to see if a user has been compromised. Cette vérification exploite les signaux entre Office 365, Microsoft Cloud App Securityet Azure Active Directory, en corrélant les anomalies d’activité des utilisateurs connexes.This check leverages signals across Office 365, Microsoft Cloud App Security, and Azure Active Directory, correlating any related user activity anomalies.

Pendant la phase de chasse, les risques et les menaces sont affectés à différentes étapes de recherche.During the hunting phase, risks and threats are assigned to various hunting steps.

La correction est la phase finale du manuel.Remediation is the final phase of the playbook. Au cours de cette phase, des mesures correctives sont prises, en fonction des phases d’examen et de recherche.During this phase, remediation steps are taken, based on the investigation and hunting phases.

Exemple : un administrateur de sécurité déclenche une enquête à partir de l’Explorateur de menacesExample: A security administrator triggers an investigation from Threat Explorer

Outre les enquêtes automatisées déclenchées par une alerte, l’équipe des opérations de sécurité de votre organisation peut déclencher une enquête automatisée à partir d’une vue dans l’Explorateur de menaces.In addition to automated investigations that are triggered by an alert, your organization's security operations team can trigger an automated investigation from a view in Threat Explorer. Cette enquête crée également une alerte, afin que les incidents Microsoft Defender et les outils SIEM externes peuvent voir que cette enquête a été déclenchée.This investigation also creates an alert, so that Microsoft Defender Incidents and external SIEM tools can see that this investigation was triggered.

Par exemple, supposons que vous utilisez la vue Programmes malveillants dans l’Explorateur.For example, suppose that you are using the Malware view in Explorer. En utilisant les onglets sous le graphique, sélectionnez l’onglet Courrier électronique. Si vous sélectionnez un ou plusieurs éléments dans la liste, le bouton + Actions s’active.Using the tabs below the chart, you select the Email tab. If you select one or more items in the list, the + Actions button activates.

Explorateur avec des messages sélectionnés

À l’aide du menu Actions, vous pouvez sélectionner Examen déclencheur.Using the Actions menu, you can select Trigger investigation.

Menu Actions pour les messages sélectionnés

Comme pour les playbooks déclenchés par une alerte, les enquêtes automatiques déclenchées à partir d’un affichage dans l’Explorateur incluent un examen racine, des étapes pour identifier et corréler les menaces, ainsi que des actions recommandées pour atténuer ces menaces.Similar to playbooks triggered by an alert, automatic investigations that are triggered from a view in Explorer include a root investigation, steps to identify and correlate threats, and recommended actions to mitigate those threats.

Exemple : une équipe en charge des opérations de sécurité intègre AIR à son SIEM à l’aide de l’API Office 365 Management ActivityExample: A security operations team integrates AIR with their SIEM using the Office 365 Management Activity API

Les fonctionnalités AIR de Microsoft Defender pour Office 365 incluent des rapports & détails que les équipes des opérations de sécurité peuvent utiliser pour surveiller et traiter les menaces.AIR capabilities in Microsoft Defender for Office 365 include reports & details that security operations teams can use to monitor and address threats. Toutefois, vous pouvez également intégrer des fonctionnalités AIR à d’autres solutions.But you can also integrate AIR capabilities with other solutions. Il peut s’agir par exemple d’un système de gestion des événements et des informations de sécurité (SIEM), d’un système de gestion des cas ou d’une solution de création de rapports personnalisée.Examples include a security information and event management (SIEM) system, a case management system, or a custom reporting solution. Ces types d’intégrations peuvent être effectués à l’aide de l’API Office 365 Activité de gestion.These kinds of integrations can be done by using the Office 365 Management Activity API.

Par exemple, récemment, une organisation a mis en place un moyen pour son équipe des opérations de sécurité d’afficher les alertes de hameçonnage signalées par l’utilisateur qui ont déjà été traitées par AIR.For example, recently, an organization set up a way for their security operations team to view user-reported phish alerts that were already processed by AIR. Sa solution intègre des alertes pertinentes au serveur SIEM de l’organisation et à son système de gestion des cas.Their solution integrates relevant alerts with the organization's SIEM server and their case-management system. La solution réduit considérablement le nombre de faux positifs afin que l’équipe des opérations de sécurité puisse concentrer son temps et ses efforts sur les menaces réelles.The solution greatly reduces the number of false positives so that their security operations team can focus their time and effort on real threats. Pour en savoir plus sur cette solution personnalisée, consultez le blog Tech Community : Améliorer l’efficacité de votre SOC avec Microsoft Defender pour Office 365 et l’API de gestion O365.To learn more about this custom solution, see Tech Community blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API.

Étapes suivantesNext steps