Répondre à un incident à l’aide de Microsoft Sentinel dans le portail Azure avec Microsoft Defender XDR
Cet article explique comment résoudre les incidents de sécurité à l’aide de Microsoft Sentinel dans le portail Azure et Microsoft Defender XDR. Découvrez des instructions pas à pas sur le triage, l’investigation et la résolution pour garantir une réponse rapide aux incidents.
- Les mises à jour sur le cycle de vie (état, propriétaire, classification) sont partagées entre les produits.
- Les preuves recueillies lors d’une enquête sont présentées dans l’incident Microsoft Sentinel.
Pour plus d’informations sur l’intégration de Microsoft Defender à Microsoft Sentinel, consultez intégration de Microsoft Defender XDR à Microsoft Sentinel. Ce guide interactif vous guide tout au long de la détection et de la réponse aux attaques modernes avec les fonctionnalités de gestion des événements et des informations de sécurité unifiées (SIEM) et de détection et de réponse étendues (XDR) de Microsoft.
Triage des incidents
Démarrez le triage dans le portail Azure avec Microsoft Sentinel pour passer en revue les détails des incidents et prendre des mesures immédiates. Dans la page Incidents, recherchez les détails suspects de l’incident et mettez à jour les détails tels que le nom du propriétaire, l’état et la gravité ou ajoutez des commentaires. Explorez les informations supplémentaires pour poursuivre votre enquête.
Pour plus d’informations, consultez Naviguer, trier et gérer les incidents Microsoft Sentinel dans le portail Azure
Enquête sur les incidents
Utilisez le portail Azure comme outil de réponse aux incidents principal, puis basculez vers le portail Defender pour une investigation plus détaillée.
Par exemple:
| Portail | Tâches |
|---|---|
| dans le portail Azure | Utilisez Microsoft Sentinel dans le portail Azure pour mettre en corrélation l’incident avec vos processus, stratégies et procédures de sécurité (3P). Dans une page de détails d’incident, sélectionnez Examiner dans Microsoft Defender XDR pour ouvrir le même incident dans le portail Defender. |
| dans le portail Defender | Examinez les détails tels que l'étendue de l'incident, les chronologies des ressources et les actions en attente d'auto-réparation. Vous devrez peut-être également corriger manuellement les entités, effectuer une réponse dynamique et ajouter des mesures de prévention. Sur la page des détails de l'incident, dans le récit d'attaque , onglet : - Consultez le récit de l'attaque liée à l'incident pour comprendre l'étendue, la gravité, la source de détection et les entités affectées. - Analysez les alertes de l’incident pour comprendre leur origine, leur étendue et leur gravité avec l’histoire de l’alerte au sein de l’incident. - Si nécessaire, rassemblez des informations sur les appareils, les utilisateurs et les boîtes aux lettres impactés avec le graphique. Sélectionnez une entité pour ouvrir une fenêtre contextuelle avec tous les détails. - Découvrez comment Microsoft Defender XDR a résolu automatiquement certaines alertes à l’aide de l’onglet Investigations. - Si nécessaire, utilisez des informations dans le jeu de données pour l’incident à partir de l’onglet Preuve et Réponse. |
| dans le portail Azure | Revenez au portail Azure pour effectuer des actions d’incident supplémentaires, telles que : - Exécution d’actions d’investigation et de correction automatisées 3P - Création de playbooks personnalisés pour l'orchestration, l'automatisation et la réponse de sécurité (SOAR) - Enregistrement de preuves pour la gestion des incidents, tels que des commentaires pour enregistrer vos actions et les résultats de votre analyse. - Ajout de mesures personnalisées. |
Pour plus d’informations, consultez :
- Examiner en profondeur les incidents Microsoft Sentinel dans le portail Azure
- Gérer les incidents dans Microsoft Defender
Automatisation avec Microsoft Sentinel
Utilisez le playbook et les règles d’automatisation de Microsoft Sentinel :
Un playbook est une collection d’actions d’investigation et de correction que vous exécutez à partir du portail Microsoft Sentinel de manière régulière. Les playbooks permettent d’automatiser et d’orchestrer votre réponse aux menaces. Ils s’exécutent manuellement sur des incidents, des entités ou des alertes, ou automatiquement lorsqu’ils sont déclenchés par une règle d’automatisation. Pour plus d’informations, consultez Automatiser la réponse aux menaces avec les playbooks.
règles Automation vous permettent de gérer de manière centralisée l’automatisation dans Microsoft Sentinel en définissant et en coordonnant un petit ensemble de règles qui s’appliquent dans différents scénarios. Pour plus d’informations, consultez Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation.
Résolution des incidents
Lorsque votre enquête se termine et que vous avez résolu l’incident dans les portails, résolvez-le. Pour plus d’informations, consultez Fermeture d’un incident dans le portail Azure.
Signalez l’incident à votre responsable de réponse aux incidents pour obtenir des actions de suivi potentielles. Par exemple:
- Informez vos analystes de sécurité de niveau 1 pour mieux détecter l’attaque tôt.
- Analysez l’attaque dans Microsoft Defender XDR Threat Analytics et la communauté de la cybersécurité pour des tendances des attaques de cybersécurité.
- Enregistrez le flux de travail utilisé pour résoudre l’incident et mettre à jour vos flux de travail, processus, stratégies et playbooks standard.
- Déterminez si les modifications apportées à votre configuration de sécurité sont nécessaires et implémentez-les.
- Créez un guide d’orchestration pour automatiser votre réponse aux menaces similaires. Pour plus d’informations, consultez Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel.
Contenu connexe
Pour plus d’informations, consultez :