Configurer les fonctionnalités d’investigation et de réponse automatisées dans Microsoft Defender XDR
Microsoft Defender XDR inclut de puissantes fonctionnalités automatisées d’investigation et de réponse qui peuvent faire gagner beaucoup de temps et d’efforts à votre équipe des opérations de sécurité. Avec la réparation automatique, ces fonctionnalités imitent les étapes qu’un analyste de sécurité prendrait pour examiner et répondre aux menaces, seulement plus rapidement et avec plus de capacité de mise à l’échelle.
Cet article explique comment configurer l’investigation et la réponse automatisées dans Microsoft Defender XDR en procédant comme suit :
- Passez en revue les prérequis.
- Passez en revue ou modifiez le niveau d’automatisation des groupes d’appareils.
- Passez en revue vos stratégies de sécurité et d’alerte dans Office 365.
Ensuite, une fois que vous êtes configuré, vous pouvez afficher et gérer les actions de correction dans le Centre de notifications. Et, si nécessaire, vous pouvez apporter des modifications aux paramètres d’examen automatisé.
Prérequis pour l’examen et la réponse automatisés dans Microsoft Defender XDR
Conditions requises | Détails |
---|---|
Conditions d’abonnement | Un de ces abonnements :
Consultez Les conditions requises pour les licences XDR de Microsoft Defender. |
Configuration requise pour le réseau | |
Configuration requise pour les appareils Windows |
|
Protection du contenu des e-mails et des fichiers Office |
|
Autorisations | Pour configurer les fonctionnalités d’investigation et de réponse automatisées, vous devez disposer de l’un des rôles suivants attribués dans l’ID Microsoft Entra (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 () :https://admin.microsoft.com
|
Notes
Microsoft recommande d’utiliser des rôles avec moins d’autorisations pour une meilleure sécurité. Le rôle Administrateur général, qui dispose de nombreuses autorisations, doit être utilisé uniquement en cas d’urgence lorsqu’aucun autre rôle n’est approprié.
Passer en revue ou modifier le niveau d’automatisation des groupes d’appareils
Le fait que les investigations automatisées s’exécutent et que les actions de correction soient effectuées automatiquement ou uniquement après approbation de vos appareils dépendent de certains paramètres, tels que les stratégies de groupe d’appareils de votre organisation. Passez en revue le niveau d’automatisation configuré pour vos stratégies de groupe d’appareils. Vous devez être administrateur général ou administrateur de la sécurité pour effectuer la procédure suivante :
Accédez au portail Microsoft Defender à l’adresse https://security.microsoft.com et connectez-vous.
Accédez à Paramètres Points>de terminaison>Groupes d’appareils sous Autorisations.
Passez en revue vos stratégies de groupe d’appareils. En particulier, examinez la colonne Niveau de correction . Nous vous recommandons d’utiliser l’option Complète pour corriger automatiquement les menaces. Vous devrez peut-être créer ou modifier vos groupes d’appareils pour obtenir le niveau d’automatisation souhaité. Pour obtenir de l’aide sur cette tâche, consultez les articles suivants :
Passer en revue vos stratégies de sécurité et d’alerte dans Office 365
Microsoft fournit des stratégies d’alerte intégrées qui permettent d’identifier certains risques. Ces risques incluent les abus d’autorisations d’administrateur Exchange, l’activité des programmes malveillants, les menaces externes et internes potentielles et les risques de gestion du cycle de vie des données. Certaines alertes peuvent déclencher une investigation et une réponse automatisées dans Office 365. Vérifiez que vos fonctionnalités Defender pour Office 365 sont correctement configurées.
Bien que certaines alertes et stratégies de sécurité puissent déclencher des investigations automatisées, aucune action de correction n’est effectuée automatiquement pour les e-mails et le contenu. Au lieu de cela, toutes les actions de correction pour le contenu des e-mails et des e-mails attendent l’approbation de votre équipe des opérations de sécurité dans le Centre de notifications.
Les paramètres de sécurité dans Exchange Online Protection (EOP) et Defender pour Office 365 permettent de protéger les e-mails et le contenu. Nous vous recommandons d’utiliser les stratégies de sécurité prédéfinies Standard et Strict pour attribuer une protection aux utilisateurs.
Si vous utilisez des stratégies personnalisées, utilisez l’analyseur de configuration pour comparer vos paramètres de stratégie aux paramètres de stratégie de sécurité prédéfinis Standard et Strict. Pour obtenir une liste détaillée de tous les paramètres de stratégie, consultez les tableaux dans Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.
Vous pouvez passer en revue vos stratégies d’alerte dans le portail Defender à https://security.microsoft.com>l’adresse Stratégies & règles>Stratégie d’alerte ou directement à l’adresse https://security.microsoft.com/alertpoliciesv2. Plusieurs stratégies d’alerte par défaut se trouvent dans la catégorie Gestion des menaces. Certaines des stratégies d’alerte de la catégorie Gestion des menaces peuvent déclencher une investigation et une réponse automatisées. Pour en savoir plus, consultez Stratégies d’alerte de gestion des menaces.
Vous avez besoin d’apporter des modifications aux paramètres d’examen automatisé ?
Vous pouvez choisir parmi plusieurs options pour modifier les paramètres de vos fonctionnalités d’investigation et de réponse automatisées. Certaines options sont répertoriées dans le tableau suivant :
Pour effectuer cette action | Suivez ces étapes |
---|---|
Spécifier des niveaux d’automatisation pour des groupes d’appareils |
|
Étapes suivantes
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.