Partage via

Déplacer des alertes d’un incident à un autre dans le portail Microsoft Defender

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Bien que Microsoft Defender utilise déjà des mécanismes de corrélation avancés, vous pouvez décider différemment si une alerte donnée appartient à un incident particulier ou non. Dans ce cas, vous pouvez détacher une alerte d’un incident et l’attacher à un autre. Chaque alerte doit appartenir à un incident. Vous devez donc attacher l’alerte à un autre incident existant ou à un nouvel incident que vous créez sur place.

Cet article explique comment déplacer des alertes d’un incident à un autre.

Configuration requise

  • Les utilisateurs doivent disposer des autorisations nécessaires pour afficher la file d’attente des incidents.
  • Les utilisateurs doivent disposer d’autorisations de lecture et d’écriture sur toutes les alertes qu’ils souhaitent passer d’un incident à l’autre.

Accéder au panneau pour déplacer des alertes

Il existe de nombreuses façons d’accéder à ce panneau. Vous pouvez y accéder à partir de n’importe quel endroit où vous pouvez sélectionner ou prendre des mesures sur les alertes. Par exemple :

Dans l’un des emplacements suivants, sélectionnez une ou plusieurs alertes en cochant les cases au début de leurs lignes. Lorsqu’une ou plusieurs alertes sont marquées, le bouton Déplacer les alertes vers un autre incident s’affiche dans la barre d’outils.

  • File d’attente Incidents . Développez un incident donné pour afficher les alertes qu’il contient.
  • Onglet Alertes sur la page des détails de l’incident.
  • File d’attente Des alertes .

En outre, dans le volet d’informations d’une page de détails d’alerte, le bouton Déplacer l’alerte vers un autre incident apparaît toujours.

Sélectionner l’alerte ou les alertes à déplacer

  1. Ouvrez l’un des emplacements mentionnés dans la section précédente.

  2. Sélectionnez la ou les alertes que vous souhaitez déplacer en cochant les cases au début de leurs lignes dans la file d’attente. Lorsqu’une ou plusieurs alertes sont marquées, le bouton Déplacer les alertes vers un autre incident s’affiche dans la barre d’outils.

    Capture d’écran de la sélection d’alertes dans la file d’attente pour passer à un autre incident.

  3. Sélectionnez Déplacer les alertes vers un autre incident dans la barre d’outils. Un panneau volant s’ouvre. Si vous avez sélectionné une seule alerte, le panneau est intitulé Déplacer l’alerte vers un autre incident. Si vous avez sélectionné deux alertes ou plus, elle est intitulée Déplacer plusieurs alertes vers un autre incident. À tous les autres égards, c’est le même panneau.

  4. Si l’alerte ou les alertes appartiennent à un autre incident existant, sélectionnez Lier à un incident existant. Sinon, sélectionnez Créer un incident. Les alertes doivent appartenir à un incident.

Déplacer une alerte ou des alertes vers un incident existant

  1. Si vous avez sélectionné Lien vers un incident existant, un nouveau champ de texte, Nom ou ID de l’incident, apparaît immédiatement après la sélection. Commencez à taper le nom ou le numéro d’ID de l’incident auquel vous souhaitez joindre l’alerte ou les alertes. Au fur et à mesure que vous tapez, la liste des incidents disponibles est affichée et filtrée dynamiquement par ce que vous tapez. Lorsque vous voyez celui que vous souhaitez dans la liste, sélectionnez-le.

    Capture d’écran de la sélection d’un incident existant vers le déplacement d’une alerte.

  2. Dans le champ Commentaire , tapez un commentaire expliquant pourquoi vous souhaitez déplacer les alertes.

    Capture d’écran de l’ajout d’un commentaire expliquant pourquoi déplacer une alerte.

  3. Sélectionnez Enregistrer en bas du panneau pour exécuter le déplacement.

Déplacer une alerte ou des alertes vers un nouvel incident

  1. Si vous avez sélectionné Créer un incident, il vous suffit alors d’entrer un commentaire expliquant pourquoi vous souhaitez déplacer les alertes.

  2. Sélectionnez Enregistrer en bas du panneau pour exécuter le déplacement.

    Capture d’écran de la sélection d’un nouvel incident vers le déplacement d’une alerte.

    Une fois le processus terminé, un nouvel incident est créé avec l’alerte ou les alertes que vous y avez déplacées. Un nom est attribué automatiquement à l’incident en fonction du nom de l’alerte ou des alertes.

Journal d’activité

Lorsqu’une alerte est corrélée à un incident, un message est écrit dans le journal d’activité de l’incident, attestant que l’alerte a été corrélée avec elle. Ce message est écrit dans l’une des circonstances suivantes :

  • Une alerte est créée et automatiquement corrélée à un incident nouveau ou existant.
  • Une alerte est déplacée d’un incident à un autre. Le message s’affiche dans le journal de l’incident de destination.

Voir aussi