Examiner et gérer les actions de correction dans l’enquête et la réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2

• S’applique à:

  ✅ Microsoft Defender for Office 365 Plan 2

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec Microsoft Defender pour Office 365 Plan 2 (inclus dans les licences Microsoft 365 comme E5 ou en tant qu’abonnement autonome), l’examen et la réponse automatisés (AIR) entraînent souvent des actions de correction en attente. Par exemple :

• Suppression réversible des messages électroniques ou des clusters.
• Désactivation du transfert de courrier externe.

Ces actions de correction ne sont pas effectuées automatiquement. Les actions de correction doivent être approuvées par un membre de l’équipe des opérations de sécurité (SecOps). Le reste de cet article explique comment approuver ou rejeter les actions de correction en attente.

Conseil

Nous vous recommandons d’examiner et d’approuver ou de rejeter les actions de correction en attente dès que possible afin que vos investigations automatisées se terminent en temps voulu.

Le système vérifie les investigations en double ou en chevauchement où les mêmes clusters ont été approuvés plusieurs fois. Si le même cluster d’investigation a déjà été approuvé au cours de l’heure précédente, les nouvelles corrections en double ne sont pas traitées à nouveau. Ce comportement ne supprime pas les investigations en double ou les preuves d’investigation, il déduplique simplement les actions approuvées pour améliorer la vitesse de traitement des corrections. Pour les investigations de cluster approuvées en double, vous ne voyez pas les détails de l’action dans le menu volant sous l’onglet Historique de la page Centre de notifications du portail Microsoft Defender à l’adresse https://security.microsoft.com/action-center/history.

Ce qu'il faut savoir avant de commencer

• Pour connaître les autorisations et les conditions de licence pour AIR, consultez Autorisations et licences requises pour AIR.
• Les actions en attente expirent après l’attente d’approbation pendant une semaine.

Approuver ou rejeter les actions en attente à partir de la page Investigations dans Defender for Office 365

Pour plus d’informations sur la page Incidents dans Defender for Office 365, consultez Détails et résultats de l’enquête et de la réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Investigations dans Defender for Office 365 Email & collaboration>Investigations. Ou, pour accéder directement à la page Investigations dans Defender for Office 365, utilisez https://security.microsoft.com/airinvestigation.
2. Dans la page Investigations de Defender for Office 365, recherchez un élément et dans la liste où la valeur État est En attente d’approbation. Utilisez Filtrer pour filtrer les résultats en fonction de l’action Étaten attente.
3. Dans la page Investigations, sélectionnez l’élément Action En attente en cliquant sur Ouvrir dans une nouvelle fenêtre dans la colonne ID (ne sélectionnez pas la zone case activée).
4. Dans la page détails de l’examen qui s’ouvre, sélectionnez l’onglet Actions en attente, puis sélectionnez une entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne.
5. Dans le menu volant de détails qui s’ouvre, passez en revue les informations, puis sélectionnez l’une des actions suivantes en haut du menu volant :
   • Approuver : lancez l’action en attente.
   • Rejeter : empêcher l’action en attente d’être effectuée.

Approuver ou rejeter les actions en attente à partir de la page Incidents dans Defender XDR

Pour plus d’informations sur la page Incidents dans Defender XDR, consultez Examiner les incidents dans Microsoft Defender XDR.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Incidents dans Defender XDR à l’adresse Incidents & alertes>Incidents. Ou, pour accéder directement à la page Incidents dans Defender XDR, utilisez https://security.microsoft.com/incidents.

2. Dans la page Investigations de Defender XDR, recherchez un élément et dans la liste où la valeur État est En attente d’approbation. Procédez comme suit pour filtrer les résultats :

   1. Effacez les filtres indésirables existants dans la page Incidents en sélectionnant Effacer.
   2. Sélectionnez Ajouter un filtre.
   3. Dans la boîte de dialogue Ajouter un filtre qui s’ouvre, sélectionnez État d’investigation automatisé, puis Ajouter.
   4. Sélectionnez l’état d’investigation automatisé : n’importe quel filtre dans la page Incidents .
   5. Dans la liste déroulante qui s’ouvre, sélectionnez Action en attente, puis Appliquer.

   Conseil

   Filtrage par état d’investigation automatisé : l’action en attente peut révéler les incidents parents avec la valeur d’approbation En attente pour État d’investigation. Dans ce cas, vous êtes intéressé par l’incident parent En attente d’approbation .

3. Dans la page Incidents, sélectionnez Incident d’approbation en attente en cliquant sur la valeur Nom de l’incident (ne sélectionnez pas la zone case activée).

4. Dans la page détails de l’incident qui s’ouvre, sélectionnez l’onglet Preuve et réponse, puis recherchez les entrées avec la valeur correction statusEn attente d’approbation. Par exemple :

   • Cliquez sur l’en-tête de colonne Correction status, puis sélectionnez Trier par ordre croissant.
   • Sélectionnez Filtrer>en attente d’approbation dans la section >Correction statusAppliquer.

5. Sous l’onglet Preuve et réponse, sélectionnez l’entrée Approbation en attente en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne.

6. Dans le menu volant de détails qui s’ouvre, passez en revue les informations, puis sélectionnez l’une des actions suivantes en haut du menu volant :

   • Approuver : lancez l’action en attente.
   • Rejeter : empêcher l’action en attente d’être effectuée.

Approuver ou rejeter les actions en attente à partir du centre de notifications unifié

Pour plus d’informations sur le centre de notifications unifié dans Defender XDR, consultez Centre de notifications.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à l’onglet En attente de la page Centre de notifications sous Actions & soumissions>Onglet>En attente. Ou, pour accéder directement à l’onglet En attente de la page centre de notifications, utilisez https://security.microsoft.com/action-center/pending.
2. Sous l’onglet En attentede la page Centre de notifications, sélectionnez une entrée dans la liste en cliquant sur la valeur ID d’investigation (ne sélectionnez pas la zone case activée).
3. Dans la page détails de l’examen qui s’ouvre, sélectionnez l’onglet Actions en attente, puis sélectionnez une entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne.
4. Dans le menu volant de détails qui s’ouvre, passez en revue les informations, puis sélectionnez l’une des actions suivantes en haut du menu volant :
   • Approuver : lancez l’action en attente.
   • Rejeter : empêcher l’action en attente d’être effectuée.

Modifier ou annuler des actions de correction

Pour obtenir des instructions, consultez Annuler les actions de correction.

Voir aussi

• Afficher les détails et les résultats d’une investigation automatisée dans Office 365
• Corriger les courriers malveillants remis dans Office 365
• Signaler des faux positifs ou des faux négatifs dans l’enquête et la réponse automatisées (AIR)