Partager via

Répondre à un incident à l’aide du portail Defender

  • Article
  • S’applique à:
    Microsoft Sentinel in the Microsoft Defender portal

Cet article explique comment répondre à un incident à l’aide de Microsoft Sentinel dans le portail Defender, couvrant le triage, l’investigation et la résolution.

Conditions préalables

Examiner les incidents dans le portail Defender :

Processus de réponse aux incidents

Lorsque vous travaillez dans le portail Defender, effectuez vos étapes initiales de tri, de résolution et de suivi comme vous le feriez dans le cas contraire. Lors de l'enquête, veillez à :

  • Comprendre l’incident et son étendue en examinant les chronologies des ressources.
  • Passez en revue les actions en attente d'auto-réparation, corrigez manuellement les entités et effectuez une réponse en direct.
  • Ajouter des mesures de prévention.

L’ajout de la zone Microsoft Sentinel du portail Defender vous aide à approfondir votre enquête, notamment en :

  • Comprendre l’étendue de l’incident en la associant à vos processus de sécurité, stratégies et procédures (3P).
  • Exécution d’actions d’investigation et de correction automatisées 3P et création d’orchestrations de sécurité personnalisées, d’automatisation et de réponse (SOAR).
  • Enregistrement des preuves pour la gestion des incidents.
  • Ajout de mesures personnalisées.

Pour plus d’informations, consultez :

Automatisation avec Microsoft Sentinel

Assurez-vous de tirer parti des fonctionnalités de livre de plans et de règle d’automatisation de Microsoft Sentinel :

  • Un playbook est une collection d’actions d’investigation et de correction qui peuvent être exécutées à partir du portail Microsoft Sentinel en tant que routine. Les playbooks peuvent vous aider à automatiser et orchestrer votre réponse aux menaces. Elles peuvent être exécutées manuellement à la demande sur des incidents, des entités et des alertes, ou définies pour s’exécuter automatiquement en réponse à des alertes ou incidents spécifiques, lorsqu’elles sont déclenchées par une règle d’automatisation. Pour plus d’informations, consultez Automatiser la réponse aux menaces avec des playbooks.

  • règles Automation constituent un moyen de gérer de manière centralisée l’automatisation dans Microsoft Sentinel, en vous permettant de définir et de coordonner un petit ensemble de règles qui peuvent s’appliquer dans différents scénarios. Pour plus d’informations, consultez Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation.

Après avoir intégré votre espace de travail Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée, notez qu’il existe des différences dans la façon dont les fonctions d’automatisation de votre espace de travail sont différentes. Pour plus d’informations, consultez Automation avec la plateforme d’opérations de sécurité unifiée.

Réponse après incident

Une fois que vous avez résolu l’incident, signalez l’incident à votre responsable de réponse aux incidents pour obtenir un suivi possible afin de déterminer plus d’actions. Par exemple:

  • Informez vos analystes de sécurité de niveau 1 pour mieux détecter l’attaque tôt.
  • Recherchez l’attaque dans Microsoft Defender XDR Threat Analytics et la communauté de la cybersécurité afin d’identifier une tendance dans les attaques de sécurité. Pour plus d’informations, consultez Analyse des menaces dans Microsoft Defender XDR.
  • Si nécessaire, enregistrez le flux de travail que vous avez utilisé pour résoudre l’incident et mettre à jour vos flux de travail, processus, stratégies et playbooks standard.
  • Déterminez si les modifications apportées à votre configuration de sécurité sont nécessaires et implémentez-les.
  • Créez un playbook d’orchestration pour automatiser et orchestrer votre réponse aux menaces pour un risque similaire à l’avenir. Pour plus d’informations, consultez Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel.

Contenu connexe

Pour plus d’informations, consultez :