Afficher et organiser la file d’attente alertes de protection avancée contre les menaces Microsoft DefenderView and organize the Microsoft Defender Advanced Threat Protection Alerts queue

Important

Bienvenue dans Microsoft Defender pour points de terminaison, le nouveau nom de protection avancée contre les menaces Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Pour en savoir plus, consultez cette page.Read more about this and other updates here. Nous allons mettre à jour les noms des produits et des documents dans un futur proche.We'll be updating names in products and in the docs in the near future.

S’applique à:Applies to:

Vous voulez essayer Microsoft Defender ATP?Want to experience Microsoft Defender ATP? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

La file d’attente des alertes affiche une liste des alertes signalées à partir d’appareils de votre réseau.The Alerts queue shows a list of alerts that were flagged from devices in your network. Par défaut, la file d’attente affiche les alertes observées au cours des 30 derniers jours dans un affichage groupé.By default, the queue displays alerts seen in the last 30 days in a grouped view. Les alertes les plus récentes apparaissent en haut de la liste pour vous aider à afficher d’abord les alertes les plus récentes.The most recent alerts are showed at the top of the list helping you see the most recent alerts first.

Notes

La file d’attente des alertes est réduite considérablement grâce à une enquête et une correction automatisées qui permettent aux experts des opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à forte valeur.The alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives. Lorsqu’une alerte contient une entité prise en charge pour une étude automatisée (par exemple, un fichier) sur un appareil doté d’un système d’exploitation pris en charge, une analyse automatisée et une correction peuvent commencer.When an alert contains a supported entity for automated investigation (for example, a file) in a device that has a supported operating system for it, an automated investigation and remediation can start. Pour plus d’informations sur les analyses automatisées, voir vue d’ensemble des investigations automatisées.For more information on automated investigations, see Overview of Automated investigations.

Vous avez le choix entre plusieurs options pour personnaliser le mode d’affichage de la file d’attente des alertes.There are several options you can choose from to customize the alerts queue view.

Dans la barre de navigation supérieure, vous pouvez:On the top navigation you can:

  • Sélectionner un affichage groupé ou un affichage listeSelect grouped view or list view
  • Personnaliser des colonnes pour ajouter ou supprimer des colonnesCustomize columns to add or remove columns
  • Sélectionner les éléments à afficher par pageSelect the items to show per page
  • Parcourir les pagesNavigate between pages
  • Appliquer des filtresApply filters

Image de la file d’attente des alertes

Trier, filtrer et grouper la file d’attente des alertesSort, filter, and group the alerts queue

Vous pouvez appliquer les filtres suivants pour limiter la liste des alertes et afficher des alertes plus ciblées.You can apply the following filters to limit the list of alerts and get a more focused view the alerts.

GravitéSeverity

Gravité de l'alerteAlert severity DescriptionDescription
ÉlevéeHigh
(Rouge)(Red)
Alertes fréquemment considérées comme associées aux menaces persistées avancées (APT).Alerts commonly seen associated with advanced persistent threats (APT). Ces alertes indiquent un risque élevé en raison de la gravité du dommage qu’ils peuvent infliger à des appareils.These alerts indicate a high risk because of the severity of damage they can inflict on devices. Voici quelques exemples: activités d’outils de vol d’informations d’identification, activités d’ransomware non associées à un groupe, falsification de capteurs de sécurité ou toute activité malveillante indicative d’un adversaire humain.Some examples are: credential theft tools activities, ransomware activities not associated with any group, tampering with security sensors, or any malicious activities indicative of a human adversary.
MoyenneMedium
(Orange)(Orange)
Alertes de détection de point de terminaison et de comportements de réponse après effraction qui peuvent faire partie d’une menace permanente avancée (APT).Alerts from endpoint detection and response post-breach behaviors that might be a part of an advanced persistent threat (APT). Cela inclut les comportements observés typiques des étapes d’attaque, le changement anormal du Registre, l’exécution des fichiers suspects, etc.This includes observed behaviors typical of attack stages, anomalous registry change, execution of suspicious files, and so forth. Même si certains peuvent faire partie d’un test de sécurité interne, il est nécessaire de procéder à des examens, car cela peut également faire partie d’une attaque avancée.Although some might be part of internal security testing, it requires investigation as it might also be a part of an advanced attack.
FaibleLow
(Jaune)(Yellow)
Alertes relatives aux menaces associées à des programmes malveillants prédominantes.Alerts on threats associated with prevalent malware. Tel est le cas, par exemple, des outils de piratage sans programme malveillant, tels que l’exécution de commandes d’exploration, l’effacement de journaux, etc., qui n’indiquent souvent pas une menace avancée ciblant l’organisation.For example, hack-tools, non-malware hack tools, such as running exploration commands, clearing logs, etc., that often do not indicate an advanced threat targeting the organization. Ce contrôle peut également provenir d’un test d’outils de sécurité isolés par un utilisateur au sein de votre organisation.It could also come from an isolated security tool testing by a user in your organization.
InformatifInformational
(Gris)(Grey)
Alertes qui ne sont peut-être pas considérées comme dangereuses pour le réseau, mais peuvent entraîner une sensibilisation de la sécurité de l’organisation aux problèmes de sécurité potentiels.Alerts that might not be considered harmful to the network but can drive organizational security awareness on potential security issues.

Comprendre les niveaux de gravité d'alerteUnderstanding alert severity

Le niveau de gravité de l’alerte Microsoft Defender antivirus (Microsoft Defender AV) et de Microsoft Defender ATP est différent, car ils représentent des étendues différentes.Microsoft Defender Antivirus (Microsoft Defender AV) and Microsoft Defender ATP alert severities are different because they represent different scopes.

Le niveau de gravité de la menace de l’AV Microsoft Defender représente la gravité absolue de la menace détectée (Malware) et est affectée en fonction du risque potentiel sur le périphérique individuel, s’il est infecté.The Microsoft Defender AV threat severity represents the absolute severity of the detected threat (malware), and is assigned based on the potential risk to the individual device, if infected.

Le niveau de gravité de l’alerte Microsoft Defender ATP est le niveau de gravité du comportement détecté, le risque réel pour l’appareil, mais surtout le risque potentiel pour l’organisation.The Microsoft Defender ATP alert severity represents the severity of the detected behavior, the actual risk to the device but more importantly the potential risk to the organization.

Par exemple:So, for example:

  • Le niveau de gravité d’une alerte Microsoft Defender ATP sur une AV Microsoft Defender a détecté une menace qui avait été entièrement empêchée et qui n’a pas pu infecter l’appareil est classé comme «information», car il n’y a aucun dommage réel.The severity of a Microsoft Defender ATP alert about a Microsoft Defender AV detected threat that was completely prevented and did not infect the device is categorized as "Informational" because there was no actual damage.
  • Une alerte concernant un logiciel malveillant commercial a été détectée lors de l’exécution, mais bloqué et résolu par Microsoft Defender AV, est classée comme «faible», car il est possible que cela soit dû à des dégâts pour l’appareil individuel, mais qu’il n’y ait pas de menace de l’organisation.An alert about a commercial malware was detected while executing, but blocked and remediated by Microsoft Defender AV, is categorized as "Low" because it may have caused some damage to the individual device but poses no organizational threat.
  • Une alerte concernant un logiciel malveillant détecté lors de l’exécution d’une menace qui peut mettre en place une menace pour l’appareil individuel, et ce, quel que soit le moment le blocage, peut être classé comme «moyen» ou «élevé».An alert about malware detected while executing which can pose a threat not only to the individual device but to the organization, regardless if it was eventually blocked, may be ranked as "Medium" or "High".
  • Les alertes comportementales suspectes, qui n’ont pas été bloquées ou corrigées, seront classées «faible», «moyen» ou «Elevé» selon les mêmes considérations en matière de menace de l’organisation.Suspicious behavioral alerts, which weren't blocked or remediated will be ranked "Low", "Medium" or "High" following the same organizational threat considerations.

Présentation des catégories d’alertesUnderstanding alert categories

Nous avons redéfini les catégories d’alertes de telle sorte qu’elles soient alignées sur les tactiques d’attaque d’entreprise dans la matrice Mitre att&CK.We've redefined the alert categories to align to the enterprise attack tactics in the MITRE ATT&CK matrix. Les nouveaux noms de catégorie s’appliquent à toutes les nouvelles alertes.New category names apply to all new alerts. Les alertes existantes conservent les noms de catégorie précédents.Existing alerts will keep the previous category names.

Le tableau ci-dessous répertorie les catégories actuelles et la façon dont elles sont généralement associées aux catégories précédentes.The table below lists the current categories and how they generally map to previous categories.

Nouvelle catégorieNew category Catégories précédentesPrevious categories Activité de menace détectée ou composantDetected threat activity or component
CollectionCollection - Recherche et collecte des données pour l’infiltrationLocating and collecting data for exfiltration
Commande et contrôleCommand and control CommandAndControlCommandAndControl Connexion à l’infrastructure réseau contrôlée par un attaquant pour le relais de données ou la réception des commandesConnecting to attacker-controlled network infrastructure to relay data or receive commands
Accès aux informations d’identificationCredential access CredentialTheftCredentialTheft Obtention d’informations d’identification valides pour étendre le contrôle sur les appareils et d’autres ressources du réseauObtaining valid credentials to extend control over devices and other resources in the network
Fraude de défenseDefense evasion - Eviter des contrôles de sécurité en utilisant, par exemple, la désactivation d’applications de sécurité, la suppression d’implans et l’exécution de rootkitsAvoiding security controls by, for example, turning off security apps, deleting implants, and running rootkits
DiscoveryDiscovery Reconnaissance, empreinte digitaleReconnaissance, WebFingerprinting Collecter des informations sur les périphériques et ressources importants, tels que les ordinateurs d’administration, les contrôleurs de domaine et les serveurs de fichiers.Gathering information about important devices and resources, such as administrator computers, domain controllers, and file servers
D’exécutionExecution Remise, MalwareDownloadDelivery, MalwareDownload Lancer des outils d’agresseur et du code malveillant, y compris des RATs et des backdoorsLaunching attacker tools and malicious code, including RATs and backdoors
InfiltrationExfiltration InfiltrationExfiltration Extraire des données du réseau vers un emplacement contrôlé par un attaquant externeExtracting data from the network to an external, attacker-controlled location
AttaqueExploit AttaqueExploit Code d’exploitation et activité d’exploitation éventuelleExploit code and possible exploitation activity
Accès initialInitial access SocialEngineering, webexploit, DocumentExploitSocialEngineering, WebExploit, DocumentExploit Accès initial au réseau cible, impliquant des tentatives de recherche de mot de passe, des exploits ou des e-mails de hameçonnageGaining initial entry to the target network, usually involving password-guessing, exploits, or phishing emails
Mouvement lateralLateral movement LateralMovement, NetworkPropagationLateralMovement, NetworkPropagation Basculement entre les appareils du réseau cible pour accéder à des ressources critiques ou obtenir une persistance du réseauMoving between devices in the target network to reach critical resources or gain network persistence
Programme malveillantMalware Programme malveillant, Backdoor, cheval de Troie, TrojanDownloader, CredentialStealing, armement RemoteAccessToolMalware, Backdoor, Trojan, TrojanDownloader, CredentialStealing, Weaponization, RemoteAccessTool Backdoors, chevaux de Troie et autres types de code malveillantBackdoors, trojans, and other types of malicious code
PersistancePersistence Installation, persistanceInstallation, Persistence Création de points d’extensibilité de démarrage automatique (ASEPs) pour rester actif et survivre au redémarrage du systèmeCreating autostart extensibility points (ASEPs) to remain active and survive system restarts
Escalade des privilègesPrivilege escalation PrivilegeEscalationPrivilegeEscalation Pour obtenir des niveaux d’autorisation plus élevés pour le code, il s’exécute dans le contexte d’un processus ou d’un compte privilégiés.Obtaining higher permission levels for code by running it in the context of a privileged process or account
RansomwareRansomware RansomwareRansomware Programme malveillant permettant de crypter les fichiers et d’intermontant le paiement pour restaurer l’accèsMalware that encrypts files and extorts payment to restore access
Activité suspecteSuspicious activity Général, aucun, NotApplicable, EnterprisePolicy, SuspiciousNetworkTrafficGeneral, None, NotApplicable, EnterprisePolicy, SuspiciousNetworkTraffic Activité atypique pouvant être une activité de programme malveillant ou une partie d’une attaqueAtypical activity that could be malware activity or part of an attack
Logiciels indésirablesUnwanted software UnwantedSoftwareUnwantedSoftware Applications et applications de faible réputation ayant un impact sur la productivité et l’interface utilisateur; détecté en tant qu’application potentiellement indésirable (PUAs)Low-reputation apps and apps that impact productivity and the user experience; detected as potentially unwanted applications (PUAs)

StatutStatus

Vous pouvez choisir de limiter la liste des alertes en fonction de leur statut.You can choose to limit the list of alerts based on their status.

État d’étudeInvestigation state

Correspond à l’état d’examen automatisé.Corresponds to the automated investigation state.

CatégorieCategory

Vous pouvez choisir de filtrer la file d’attente pour afficher des types spécifiques d’activités malveillantes.You can choose to filter the queue to display specific types of malicious activity.

Affecté àAssigned to

Vous pouvez choisir entre afficher les alertes qui vous sont affectées ou Automation.You can choose between showing alerts that are assigned to you or automation.

Source de détectionDetection source

Sélectionnez la source déclenchant la détection de l’alerte.Select the source that triggered the alert detection. Microsoft Threat experts Preview les participants peuvent désormais filtrer et voir les détections du nouveau service de chasse d’experts géré par les experts.Microsoft Threat Experts preview participants can now filter and see detections from the new threat experts-managed hunting service.

Notes

Le filtre antivirus s’affiche uniquement si les appareils utilisent l’antivirus Microsoft Defender comme logiciel malveillant de protection en temps réel par défaut.The Antivirus filter will only appear if devices are using Microsoft Defender Antivirus as the default real-time protection antimalware product.

Plateforme du système d’exploitationOS platform

Limitez le mode d’affichage de la file d’attente des alertes en sélectionnant la plateforme de système d’exploitation que vous souhaitez examiner.Limit the alerts queue view by selecting the OS platform that you're interested in investigating.

Groupe de périphériquesDevice group

Si vous avez des groupes d’appareils spécifiques que vous voulez vérifier, vous pouvez sélectionner les groupes pour limiter le mode d’affichage de la file d’attente des alertes.If you have specific device groups that you're interested in checking, you can select the groups to limit the alerts queue view.

Menace associéeAssociated threat

Servez-vous de ce filtre pour vous concentrer sur les alertes liées aux menaces de profil élevé.Use this filter to focus on alerts that are related to high profile threats. Vous pouvez consulter la liste complète des menaces à profil élevé lors de l' analyse des menaces.You can see the full list of high-profile threats in Threat analytics.

Rubriques associéesRelated topics