Examiner les incidents dans Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Examinez les incidents qui affectent votre réseau, comprenez ce qu’ils signifient et rassemblez les preuves pour les résoudre.
Lorsque vous examinez un incident, vous voyez :
- Détails de l’incident
- Commentaires et actions sur les incidents
- Onglets (alertes, appareils, enquêtes, preuves, graphe)
Analyser les détails de l’incident
Cliquez sur un incident pour afficher le volet Incident. Sélectionnez Ouvrir la page d’incident pour afficher les détails de l’incident et les informations associées (alertes, appareils, enquêtes, preuves, graphe).
Alertes
Vous pouvez examiner les alertes et voir comment elles ont été liées dans un incident. Les alertes sont regroupées en incidents en fonction des raisons suivantes :
- Investigation automatisée : l’investigation automatisée a déclenché l’alerte liée lors de l’examen de l’alerte d’origine
- Caractéristiques des fichiers : les fichiers associés à l’alerte ont des caractéristiques similaires
- Association manuelle : un utilisateur a lié manuellement les alertes
- Heure de proximité : les alertes ont été déclenchées sur le même appareil dans un délai donné
- Même fichier : les fichiers associés à l’alerte sont exactement les mêmes
- Même URL : l’URL qui a déclenché l’alerte est exactement la même.
Vous pouvez également gérer une alerte et voir les métadonnées d’alerte ainsi que d’autres informations. Pour plus d’informations, consultez Examiner les alertes.
Appareils
Vous pouvez également examiner les appareils qui font partie d’un incident donné ou qui y sont liés. Pour plus d’informations, consultez Examiner les appareils.
Enquêtes
Sélectionnez Investigations pour afficher toutes les investigations automatiques lancées par le système en réponse aux alertes d’incident.
Passer en revue les preuves
Microsoft Defender pour point de terminaison examine automatiquement tous les événements pris en charge par les incidents et les entités suspectes dans les alertes, en vous fournissant une réponse automatique et des informations sur les fichiers importants, les processus, les services, etc.
Chacune des entités analysées sera marquée comme infectée, corrigée ou suspecte.
Visualisation des menaces de cybersécurité associées
Microsoft Defender pour point de terminaison regroupe les informations sur les menaces dans un incident afin que vous puissiez voir les modèles et les corrélations provenant de différents points de données. Vous pouvez afficher cette corrélation via le graphique des incidents.
Graphe des incidents
Le graphe raconte l’histoire de l’attaque de cybersécurité. Par exemple, il vous montre quel était le point d’entrée, quel indicateur de compromission ou d’activité a été observé sur quel appareil. etc.
Vous pouvez cliquer sur les cercles du graphique d’incident pour afficher les détails des fichiers malveillants, les détections de fichiers associées, le nombre d’instances dans le monde entier, s’il a été observé dans votre organization, le cas échéant, le nombre d’instances.
Voir aussi
- File d’attente des incidents
- Examiner les incidents dans Microsoft Defender pour point de terminaison
- Gérer les incidents Microsoft Defender pour point de terminaison
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.