Examen et réponse contre les menacesThreat investigation and response

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

Applicable auxApplies To

Les fonctionnalités d’examen et de réponse aux menaces dans Microsoft Defender pour Office 365 aident les analystes et les administrateurs de sécurité à protéger le Microsoft 365 de leur organisation pour les utilisateurs professionnels en :Threat investigation and response capabilities in Microsoft Defender for Office 365 help security analysts and administrators protect their organization's Microsoft 365 for business users by:

  • Faciliter l’identification, la surveillance et la compréhension des cyberattaquesMaking it easy to identify, monitor, and understand cyberattacks
  • Aide à résoudre rapidement les menaces dans Exchange Online, SharePoint Online, OneDrive Entreprise et Microsoft TeamsHelping to quickly address threats in Exchange Online, SharePoint Online, OneDrive for Business and Microsoft Teams
  • Fournir des informations et des connaissances pour aider les opérations de sécurité à empêcher les cyberattaques contre leur organisationProviding insights and knowledge to help security operations prevent cyberattacks against their organization
  • L’emploi d’examens et de réponses automatisés Office 365 pour les menaces critiques basées sur la messagerieEmploying automated investigation and response in Office 365 for critical email-based threats

Les fonctionnalités d’examen et de réponse aux menaces fournissent des informations sur les menaces et les actions de réponse associées disponibles dans le Centre de sécurité & conformité.Threat investigation and response capabilities provide insights into threats and related response actions that are available in the Security & Compliance Center. Ces informations peuvent aider l’équipe de sécurité de votre organisation à protéger les utilisateurs contre les attaques basées sur des e-mails ou des fichiers.These insights can help your organization's security team protect users from email- or file-based attacks. Les fonctionnalités permettent de surveiller les signaux et de collecter des données provenant de plusieurs sources, telles que l’activité des utilisateurs, l’authentification, la messagerie, les PC compromis et les incidents de sécurité.The capabilities help monitor signals and gather data from multiple sources, such as user activity, authentication, email, compromised PCs, and security incidents. Les décideurs d’entreprise et votre équipe en matière d’opérations de sécurité peuvent utiliser ces informations pour comprendre et répondre aux menaces contre votre organisation et protéger votre propriété intellectuelle.Business decision makers and your security operations team can use this information to understand and respond to threats against your organization and protect your intellectual property.

Se familiariser avec les outils d’examen et de réponse aux menacesGet acquainted with threat investigation and response tools

Les fonctionnalités d’examen et de réponse aux menaces sont disponibles dans le Centre de sécurité & conformité, sous la mesure d’un ensemble d’outils et de flux de travail de réponse, notamment :Threat investigation and response capabilities surface in the Security & Compliance Center, as a set of tools and response workflows, including the following:

Tableau de bord des menacesThreat dashboard

Utilisez le tableau de bord contre les menaces (également appelé tableau de bord de sécurité)pour voir rapidement quelles menaces ont été traitées, et comme moyen visuel de signaler aux décideurs d’entreprise comment les services Microsoft 365 sécurisent votre entreprise.Use the Threat dashboard (this is also referred to as the Security dashboard) to quickly see what threats have been addressed, and as a visual way to report to business decision makers how Microsoft 365 services are securing your business.

Tableau de bord des menaces

Pour afficher et utiliser ce tableau de bord, dans le Centre de sécurité & conformité, consultez le Tableau de bord de gestion des > menaces.To view and use this dashboard, in the Security & Compliance Center, go to Threat management > Dashboard.

Threat ExplorerThreat Explorer

Utilisez l’Explorateur de menaces (et les détections en temps réel) pour analyser les menaces, voir le volume d’attaques au fil du temps et analyser les données par familles de menaces, infrastructure des attaquants, etc.Use Threat Explorer (and real-time detections) to analyze threats, see the volume of attacks over time, and analyze data by threat families, attacker infrastructure, and more. L’Explorateur de menaces (également appelé Explorateur) est le point de départ du flux de travail d’investigation d’un analyste de sécurité.Threat Explorer (also referred to as Explorer) is the starting place for any security analyst's investigation workflow.

Explorateur de menaces

Pour afficher et utiliser ce rapport, dans le Centre de sécurité & conformité, allez dans l’Explorateur de gestion des > menaces.To view and use this report, in the Security & Compliance Center, go to Threat management > Explorer.

IncidentsIncidents

Utilisez la liste Incidents (également appelée Investigations) pour voir la liste des incidents de sécurité de la flight.Use the Incidents list (this is also called Investigations) to see a list of in flight security incidents. Les incidents sont utilisés pour suivre les menaces telles que les messages électroniques suspects, et pour mener des enquêtes et des corrections supplémentaires.Incidents are used to track threats such as suspicious email messages, and to conduct further investigation and remediation.

Liste des incidents de menace actuels dans Office 365

Pour afficher la liste des incidents actuels pour votre organisation, dans le Centre de sécurité & conformité, allez à Incidents de révision de la gestion > > des menaces.To view the list of current incidents for your organization, in the Security & Compliance Center, go to Threat management > Review > Incidents.

Dans le Centre de sécurité & conformité, choisissez Révision de la gestion des > menaces

Simulateur d’attaquesAttack Simulator

Utilisez le Simulateur d’attaques pour configurer et exécuter des cyberattaques réalistes dans votre organisation et identifier les personnes vulnérables avant qu’une cyberattaque réelle affecte votre entreprise.Use Attack Simulator to set up and run realistic cyberattacks in your organization, and identify vulnerable people before a real cyberattack affects your business. Pour plus d’informations, voir Simulateur d’attaques dans Office 365.To learn more, see Attack Simulator in Office 365.

Enquêtes et réponses automatiséesAutomated investigation and response

Utilisez des fonctionnalités d’investigation et de réponse automatisées (AIR) pour gagner du temps et des efforts en corrélant le contenu, les appareils et les personnes à risque des menaces au niveau de votre organisation.Use automated investigation and response (AIR) capabilities to save time and effort correlating content, devices, and people at risk from threats in your organization. Les processus AIR peuvent commencer chaque fois que certaines alertes sont déclenchées ou lorsqu’elles sont démarrées par votre équipe des opérations de sécurité.AIR processes can begin whenever certain alerts are triggered, or when started by your security operations team. Pour en savoir plus, consultez l’examen et la réponse automatisés dans Office 365.To learn more, see automated investigation and response in Office 365.

Widgets d’intelligence des menacesThreat intelligence widgets

Dans le cadre de l’offre Microsoft Defender pour Office 365 Plan 2, les analystes de sécurité peuvent examiner les détails d’une menace connue.As part of the Microsoft Defender for Office 365 Plan 2 offering, security analysts can review details about a known threat. Cela est utile pour déterminer s’il existe des mesures ou des mesures préventives supplémentaires qui peuvent être prises pour assurer la sécurité des utilisateurs.This is useful to determine whether there are additional preventative measures/steps that can be taken to keep users safe.

Tendances de sécurité affichant des informations sur les menaces récentes

Comment obtenir ces fonctionnalités ?How do we get these capabilities?

Microsoft 365 fonctionnalités d’examen et de réponse aux menaces sont incluses dans Microsoft Defender pour Office 365 Plan 2, qui est inclus dans Enterprise E5 ou en tant que modules pour certains abonnements.Microsoft 365 threat investigation and response capabilities are included in Microsoft Defender for Office 365 Plan 2, which is included in Enterprise E5 or as an add-on to certain subscriptions. Pour en savoir plus, consultez Defender pour Office 365 Plan 1 et Plan 2.To learn more, see Defender for Office 365 Plan 1 and Plan 2.

Rôles et des autorisations requisRequired roles and permissions

Microsoft Defender pour Office 365 utilise le contrôle d’accès basé sur les rôles.Microsoft Defender for Office 365 uses role-based access control. Les autorisations sont attribuées par le biais de certains rôles dans Azure Active Directory, le centre d’administration Microsoft 365 ou le Centre de sécurité & conformité.Permissions are assigned through certain roles in Azure Active Directory, the Microsoft 365 admin center, or the Security & Compliance Center.

Conseil

Bien que certains rôles, tels que l’administrateur de la sécurité, peuvent être affectés dans le Centre de sécurité & conformité, envisagez d’utiliser le Centre d’administration Microsoft 365 ou Azure Active Directory à la place.Although some roles, such as Security Administrator, can be assigned in the Security & Compliance Center, consider using either the Microsoft 365 admin center or Azure Active Directory instead. Pour plus d’informations sur les rôles, les groupes de rôles et les autorisations, consultez les ressources suivantes :For information about roles, role groups, and permissions, see the following resources:


ActivitéActivity Rôles et autorisationsRoles and permissions
Utiliser le tableau de bord des menaces (ou le nouveau tableau de bord de sécurité)Use the Threat dashboard (or the new Security dashboard)

Afficher des informations sur les menaces récentes ou actuellesView information about recent or current threats

Un des éléments suivants :One of the following:
  • Administrateur généralGlobal Administrator
  • Administrateur de sécuritéSecurity Administrator
  • Lecteur de sécuritéSecurity Reader

Ces rôles peuvent être attribués dans Azure Active Directory ( ) ou dans https://portal.azure.com Microsoft 365'administration centrale ( https://admin.microsoft.com ).These roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Utiliser l’Explorateur de menaces (et les détections en temps réel) pour analyser les menacesUse Threat Explorer (and real-time detections) to analyze threats Un des éléments suivants :One of the following:
  • Administrateur généralGlobal Administrator
  • Administrateur de sécuritéSecurity Administrator
  • Lecteur de sécuritéSecurity Reader

Ces rôles peuvent être attribués dans Azure Active Directory ( ) ou dans https://portal.azure.com Microsoft 365'administration centrale ( https://admin.microsoft.com ).These roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Afficher les incidents (également appelés enquêtes)View Incidents (also referred to as Investigations)

Ajouter des messages électroniques à un incidentAdd email messages to an incident

Un des éléments suivants :One of the following:
  • Administrateur généralGlobal Administrator
  • Administrateur de sécuritéSecurity Administrator
  • Lecteur de sécuritéSecurity Reader

Ces rôles peuvent être attribués dans Azure Active Directory ( ) ou dans https://portal.azure.com Microsoft 365'administration centrale ( https://admin.microsoft.com ).These roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Déclencher des actions de messagerie dans un incidentTrigger email actions in an incident

Rechercher et supprimer des messages électroniques suspectsFind and delete suspicious email messages

Un des éléments suivants :One of the following:
  • Administrateur généralGlobal Administrator
  • Administrateur de sécurité plus le rôle Recherche et purgeSecurity Administrator plus the Search and Purge role

Les rôles Administrateur général et Administrateur de sécurité peuvent être attribués dans Azure Active Directory ( ) ou dans le centre https://portal.azure.com d’administration Microsoft 365 ( https://admin.microsoft.com ).The Global Administrator and Security Administrator roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

Le rôle Recherche et purge doit être attribué dans le Centre de sécurité & conformité ( https://protection.office.com ).The Search and Purge role must be assigned in the Security & Compliance Center (https://protection.office.com).

Intégrer Microsoft Defender pour Office 365 Plan 2 à Microsoft Defender pour endpointIntegrate Microsoft Defender for Office 365 Plan 2 with Microsoft Defender for Endpoint

Intégrer Microsoft Defender pour Office 365 Plan 2 à un serveur SIEMIntegrate Microsoft Defender for Office 365 Plan 2 with a SIEM server

Soit le rôle Administrateur général, soit Administrateur de la sécurité attribué dans Azure Active Directory ( ) ou dans le centre https://portal.azure.com d Microsoft 365'administration ( https://admin.microsoft.com ).Either the Global Administrator or the Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

--- plus --- --- plus ---

Rôle approprié attribué dans des applications supplémentaires (par exemple, Centre de sécurité Microsoft Defender ou votre serveur SIEM).An appropriate role assigned in additional applications (such as Microsoft Defender Security Center or your SIEM server).

Prochaines étapesNext steps