Microsoft Defender pour point de terminaison rapports
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Cet article fournit une vue d’ensemble des rapports disponibles pour les utilisateurs Microsoft Defender pour point de terminaison. Il fournit des informations sur différents rapports qui peuvent être utilisés pour collecter des données, résumer les résultats et obtenir les actions recommandées, le cas échéant.
Résumé de la sécurité mensuelle
Le rapport de synthèse de sécurité mensuel aide les organisations à obtenir un résumé visuel des principales conclusions et des mesures préventives globales prises pour améliorer la posture de sécurité globale de l’organization au cours des 30 ou 90 derniers jours. Il vous aide à identifier les points forts et à améliorer, à suivre votre progression au fil du temps et à hiérarchiser vos actions en fonction des risques et de l’impact.
Pour accéder à ce rapport, accédez à Rapports Points > de terminaison > Résumé de sécurité mensuel. Le rapport de synthèse de la sécurité mensuelle contient les sections suivantes :
| Section | Description |
|---|---|
| Niveau de sécurité Microsoft | Microsoft Secure Score est une mesure de la posture de sécurité d’un organization et de la façon dont vous avez implémenté les meilleures pratiques et recommandations de sécurité sur les appareils de votre organization. Le score de sécurité carte montre comment la puissance globale de cybersécurité d’un organization s’est améliorée au cours du mois dernier et comment elle se compare à d’autres entreprises avec un nombre similaire d’appareils gérés. |
| Niveau de sécurité par rapport à d’autres organisations | Ce score est une évaluation du score de sécurité d’un organization par rapport à des organisations de taille similaire. Il s’agit d’un moyen d’évaluer les performances d’un organization dans l’implémentation de mesures de sécurité par rapport à d’autres organisations d’une taille équivalente. |
| Appareils intégrés | Les appareils carte fournissent des informations sur le nombre d’appareils qui ont été intégrés au cours du mois dernier, ainsi que sur les appareils qui n’ont toujours pas été intégrés. Les appareils d’intégration sont essentiels pour activer les fonctionnalités de protection et de détection. |
| Protection contre des menaces spécifiques | Cette carte montre à quel point vos défenses sont efficaces contre les vecteurs d’attaque courants tels que le hameçonnage et les rançongiciels. Un nombre plus élevé indique une meilleure défense en place contre le hameçonnage et les rançongiciels. Le rapport indique le nombre de menaces bloquées ou atténuées au cours du dernier mois et l’augmentation de votre niveau de protection. |
| Surveillance et filtrage du contenu web | Affiche le nombre d’URL malveillantes qui ont été bloquées par Microsoft Defender pour point de terminaison au cours du dernier mois. Le rapport affiche également les catégories d’URL qui ont été bloquées et le nombre de clics pour chaque catégorie. |
| Activités suspectes ou malveillantes | Suivez le nombre d’incidents et d’alertes résolus au cours du mois dernier à l’aide des incidents carte. Le carte affiche également tous les incidents et alertes actifs qui nécessitent une attention particulière. Vous serez également en mesure de voir la liste des 10 principaux incidents graves, leur status, le nombre d’alertes et les appareils et utilisateurs concernés. |
Vous pouvez générer un rapport PDF du résumé en sélectionnant Générer un rapport PDF. Le rapport généré est un résumé des 30 derniers jours.
Rapport de protection contre les menaces
Pour collecter des données sur les informations de protection contre les menaces de Defender pour point de terminaison, vous pouvez utiliser la file d’attente d’alertes du portail Microsoft Defender ou créer des requêtes de repérage avancées. Les sections suivantes fournissent des conseils sur l’utilisation de ces outils pour trouver les informations dont vous avez besoin.
Utiliser le filtre de file d’attente des alertes dans le portail Microsoft Defender
Vous pouvez utiliser l’affichage des alertes du portail Microsoft Defender, à l’aide de Defender pour point de terminaison comme source de détection, pour voir la status actuelle des alertes pour les appareils protégés. Utilisez le filtre État pour afficher les alertes Nouveau, En cours et Résolu . En savoir plus sur la file d’attente des alertes.
Utiliser des requêtes de repérage avancées
Vous pouvez également utiliser des requêtes de repérage avancées pour rechercher des informations sur la protection contre les menaces defender pour point de terminaison. En savoir plus sur la chasse avancée dans Defender XDR. Les exemples de requêtes de chasse avancées suivants affichent des informations relatives aux alertes.
Informations d’alerte par gravité, source de détection et catégorie
// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart
// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart
// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart
Tendances des alertes par gravité, source de détection et catégorie
// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart
// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart
// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart
Rapports sur les fonctionnalités de Defender pour point de terminaison
Les rapports suivants fournissent des informations détaillées sur les événements et les actions liés aux fonctionnalités de Defender pour point de terminaison :
- Rapports d’intégrité de l’appareil
- Rapports de pare-feu d’hôte
- Rapport de surveillance de la protection web
- Rapport sur les règles de réduction de la surface d’attaque
- Rapport de contrôle d’appareil
Créer des rapports personnalisés à l’aide de Power BI
Vous pouvez également créer des rapports personnalisés à l’aide de Power BI. Pour créer votre propre rapport, consultez Créer des rapports personnalisés à l’aide de Power BI.
Rapports agrégés
Vous pouvez passer en revue tous les signaux collectés par Defender pour point de terminaison en activant les rapports agrégés.
Pour activer les rapports agrégés, accédez à Paramètres Points > de terminaison Fonctionnalités avancées>. Activez la fonctionnalité de création de rapports agrégés . En savoir plus sur les rapports agrégés dans Defender pour point de terminaison.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.