Investigation et réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2

• S’applique à:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Comme les alertes de sécurité apparaissent dans un organization Microsoft 365 sur https://security.microsoft.com/alerts, il appartient à l’équipe des opérations de sécurité (SecOps) d’examiner, de hiérarchiser et de répondre à ces alertes. Suivre le volume des alertes entrantes peut être écrasant. L’automatisation de certaines de ces tâches peut vous aider.

Microsoft Defender pour Office 365 Plan 2 (inclus dans les licences Microsoft 365 comme E5 ou en tant qu’abonnement autonome) comprend de puissantes fonctionnalités d’investigation et de réponse automatisées (AIR) qui permettent d’économiser du temps et des efforts pour les équipes SecOps.

AIR trie les alertes à fort impact et à volume élevé en effectuant des enquêtes de niveau organization. Les enquêtes air s’étendent sur les détections ou fournissent une analyse supplémentaire pour déterminer les status de menace pour les organization. Quand AIR identifie les menaces, il met en file d’attente les actions de correction des menaces que le personnel SecOps doit approuver. Air offre les avantages suivants :

• Processus d’investigation automatisés en réponse à des menaces connues.
• Actions de correction appropriées en attente d’approbation, permettant à votre équipe SecOps de répondre efficacement aux menaces détectées.
• Votre équipe SecOps est en mesure de se concentrer sur les tâches de priorité supérieure sans perdre de vue les alertes importantes déclenchées.

AIR dans Defender for Office 365 Plan 2 nécessite que la journalisation d’audit soit activée (elle est activée par défaut).

Le flux global d’AIR

Une alerte est déclenchée et un playbook de sécurité démarre une investigation automatisée, qui aboutit à des résultats et des actions recommandées. Voici le flux global d’AIR, étape par étape :

1. Une investigation automatisée est lancée de l’une des manières suivantes :

   • Alertes spécifiques conçues pour lancer AIR. Ces alertes sont les suivantes :

     • Quelque chose de suspect est identifié dans un e-mail (par exemple, le message lui-même, une pièce jointe, une URL ou un compte d’utilisateur compromis).

     • Vidage automatique de zéro heure (ZAP)

     • Soumissions d’utilisateurs.

     • Alertes de clic utilisateur.

     • Comportement suspect de boîte aux lettres.

       Conseil

       Veillez à consulter régulièrement les alertes que votre organization. Pour plus d’informations sur les stratégies d’alerte qui déclenchent des investigations automatisées, consultez les stratégies d’alerte par défaut dans la catégorie Gestion des menaces. Les entrées qui contiennent la valeur Oui pour Investigation automatisée peuvent déclencher des investigations automatisées. Si ces alertes sont désactivées ou remplacées par des alertes personnalisées, AIR n’est pas déclenchée.

   • Un analyste de sécurité déclenche manuellement l’investigation en sélectionnant Agir dans Explorer des menaces, Repérage avancé, Détection personnalisée, page d’entité Email ou panneau de synthèse Email. Pour plus d’informations, consultez Repérage des menaces : correction Email. Pour obtenir des exemples, consultez Exemples d’investigation et de réponse automatisés (AIR) dans Microsoft Defender pour Office 365 Plan 2.

2. L’enquête automatisée évalue et analyse la nature de l’alerte, le message impliqué et les preuves supplémentaires entourant le message. L’étendue de l’enquête peut augmenter en fonction des preuves découvertes et recueillies pendant l’enquête.

3. Pendant et après une investigation automatisée, les détails et les résultats sont disponibles. Les résultats peuvent inclure des actions recommandées pour le personnel SecOps afin de corriger les menaces détectées.

4. L’équipe SecOps examine les résultats et les recommandations de l’examen (dans l’enquête elle-même, l’incident ou dans le centre de notifications) et approuve ou rejette les actions de correction.

   Conseil

   Aucune action de correction ne se produit automatiquement. Les actions de correction nécessitent une approbation manuelle par le personnel SecOps. Les fonctionnalités AIR permettent de gagner du temps en accédant aux actions de correction recommandées avec tous les détails pour prendre une décision éclairée.

   AIR permet également de gagner du temps en évaluant et en résolvant automatiquement les alertes et les incidents où aucune menace n’a été détectée. Ce résultat est très courant dans les scénarios de soumission d’utilisateurs. AIR ferme l’enquête si aucune menace n’a été détectée ou si des menaces ont été détectées dans les messages qui ont déjà été corrigés. Typiquement

5. À mesure que les actions de correction en attente sont approuvées ou rejetées, l’examen automatisé se termine.

   L’examen automatisé se ferme automatiquement si aucune action recommandée n’est identifiée. Les détails de l’enquête sont toujours disponibles sur la page Enquêtes à l’adresse https://security.microsoft.com/airinvestigation.

Pendant et après chaque investigation automatisée, l’équipe SecOps peut effectuer les tâches suivantes :

• Afficher les détails d’une alerte liée à une investigation
• Afficher les détails des résultats d’une investigation
• Examiner et approuver les actions à la suite d’une enquête

Autorisations et licences requises pour AIR

Vous devez disposer d’autorisations pour utiliser AIR. Vous avez le choix parmi les options suivantes :

• Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) :
  • Démarrez une investigation automatisée ou Approuver ou rejeter les actions recommandées : opérations de sécurité/Email actions de correction avancées (gérer).
• Email & les autorisations de collaboration dans le portail Microsoft Defender :
  • Configurer les fonctionnalités AIR : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
  • Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées :
    • Appartenance aux groupes de rôles Gestion de l’organisation, Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité ou Lecteur global . et
    • Le rôle Rechercher et vider , qui est attribué uniquement aux groupes de rôles Enquêteur de données ou Gestion de l’organisation par défaut. Vous pouvez également créer un groupe de rôles avec le rôle Rechercher et vider attribué et ajouter les utilisateurs au groupe de rôles personnalisé.
• Microsoft Entra autorisations : accordez aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :
  • Configurer les fonctionnalités AIR Appartenance aux rôles Administrateur général ou Administrateur de la sécurité .
  • Démarrer une investigation automatisée ou Approuver ou rejeter les actions recommandées :
    • Appartenance aux rôles Administrateur général, Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité ou Lecteur général . et
    • L’appartenance à un groupe de rôles de collaboration Email & avec le rôle Rechercher et vider attribué comme décrit précédemment.

Pour utiliser AIR, vous devez disposer d’une licence pour Defender for Office 365 Plan 2 (incluse dans votre abonnement ou une licence de module complémentaire).

Étapes suivantes

• Exemples AIR
• Voir les détails et les résultats d’une investigation automatisée
• Examiner et approuver les actions en attente
• Afficher les actions de correction en attente ou terminées