Décrire la veille des menaces Microsoft Defender

  • 5 minutes

Les analystes de la veille des menaces les menaces peinent à trouver l’équilibre entre une ingestion de la veille des menaces étendue et l’analyse la menace la plus dangereuse pour leur organisation et/ou leur secteur d’activité. De même, les analystes de l’intelligence des vulnérabilités ont du mal à lier leur inventaire des ressources avec les informations CVE (vulnérabilités et risques courants) pour hiérarchiser l’examen et la correction des vulnérabilités les plus critiques associées à leur organisation.

Microsoft Defender Threat Intelligence (TI) résout ces problèmes en agrégeant et en enrichissant les sources de données critiques et en les affichant dans une interface innovante et facile à utiliser. Les analystes peuvent ensuite associer les indicateurs de compromission (IOC) avec des articles connexes, des profils d’acteur et des vulnérabilités. Defender TI permet également aux analystes de collaborer avec des utilisateurs sous licence Defender TI au sein de leur locataire dans des enquêtes.

La fonctionnalité Microsoft Defender Threat Intelligence inclut les éléments suivants :

  • Threat Analytics
  • Profils Intel
  • Explorateur Intel
  • Projets

Threat Analytics

L’analyse des menaces vous aide, en tant qu’analyste, à comprendre comment les menaces émergentes ont un impact sur l’environnement de votre organisation.

Les rapports d’analyses de menaces fournissent l’analyse d’une menace suivie et des conseils détaillés sur la façon de se défendre contre cette menace. Il comprend également des données de votre réseau, indiquant si la menace est active et si vous avez mis en place des protections. Vous pouvez filtrer et rechercher dans des rapports, mais Defender TI fournit également un tableau de bord.

Le tableau de bord Analyse des menaces met en évidence les rapports les plus pertinents pour votre organisation. Celui-ci réunit les menaces en trois catégories :

  • Menaces les plus récentes : répertorie les rapports de menaces les plus récemment publiés ou mis à jour, ainsi que le nombre d’alertes actives et résolues.
  • Menaces à fort impact : répertorie les menaces avec l’impact le plus élevé sur votre organisation. Cette section répertorie d’abord les menaces avec le plus grand nombre d’alertes actives et résolues.
  • Exposition la plus élevée : répertorie les menaces auxquelles votre organisation est la plus exposée. Votre niveau d’exposition à une menace est calculé à partir de deux informations : la gravité des vulnérabilités associées à la menace et le nombre d’appareils de votre organisation qui pourraient être impactés par ces vulnérabilités.

Chaque rapport fournit une vue d’ensemble, un rapport d’analyste, des incidents connexes, des ressources affectées, l’exposition des points de terminaison et des actions recommandées.

Profils Intel

Les profils Intel constituent une source incontestable de connaissances à partager de Microsoft sur les acteurs des menaces, les outils malveillants et les vulnérabilités suivis. Ce contenu est organisé et mis à jour en permanence par les experts de veille des menaces Microsoft pour fournir un contexte de menaces pertinent et exploitable.

Explorateur Intel

L’explorateur Intel permet aux analystes d’analyser rapidement de nouveaux articles proposés et d’effectuer une recherche de mots clés, d’indicateur ou d’ID CVE pour commencer la collecte, le triage, la réponse aux incidents et les efforts de repérage.

Les articles Microsoft Defender Threat Intelligence sont des explications qui fournissent des informations sur les acteurs des menaces, les outils, les attaques et les vulnérabilités. Les articles récapitulent différentes menaces et sont également liés au contenu actionnable et aux E/S IOC clés pour aider les utilisateurs à prendre des mesures.

Defender TI propose des recherches d’ID CVE pour aider les utilisateurs à identifier les informations critiques sur le CVE. Les recherches d’ID CVE aboutissent aux articles sur les vulnérabilités.

Projets Intel

Microsoft Defender Threat Intelligence (Defender TI) vous permet de créer des projets pour organiser des indicateurs d’intérêt et des indicateurs de compromission (IOC) à partir d’une enquête. Les projets contiennent une liste de tous les artefacts associés et un historique détaillé qui conserve les noms, descriptions, collaborateurs et profils de supervision.

Microsoft Defender Threat Intelligence dans le portail Microsoft Defender

Microsoft Defender TI s’utilise dans le portail Microsoft Defender.

Le nœud Threat Intelligence dans le volet de navigation du portail Microsoft Defender est l’emplacement où vous trouverez la fonctionnalité Microsoft Defender Threat Intelligence.

Capture d’écran des options sélectionnables pour le renseignement sur les menaces dans le volet de navigation gauche du portail Microsoft Defender.

Pour afficher une capture d’écran à partir de chacune des catégories, sélectionnez l’onglet dans l’image qui suit. Dans chaque cas, un panneau latéral affiche la fonctionnalité Microsoft Security Copilot incorporée.

Intégration de Microsoft Security Copilot à la Veille des menaces Microsoft

Sécurité Copilot s’intègre à Microsoft Defender TI. L’activation du plug-in Defender TI permet à Copilot de fournir des informations sur des groupes d’activités de menace, des indicateurs de compromission (IOC), des outils ainsi qu’une veille des menaces contextuelle. Vous pouvez utiliser les invites et les séquences de prompts pour investiguer des incidents, enrichir vos flux de détection avec des informations sur la veille des menaces ou acquérir plus de connaissances sur le paysage des menaces au sein de votre organisation ou au niveau mondial.

Les fonctionnalités de Microsoft Defender Threat Intelligence dans Copilot sont des invites intégrées que vous pouvez utiliser, mais vous pouvez également entrer vos propres invites selon les fonctionnalités prises en charge. L’image suivante montre uniquement un sous-ensemble des fonctionnalités prises en charge.

Capture d’écran des fonctionnalités de système Defender TI que vous pouvez exécuter dans l’expérience autonome.

Copilot contient également une séquence de prompts intégrée qui fournit des informations provenant de Defender TI, avec entre autres :

  • Évaluation de l’impact des vulnérabilités : génère un rapport récapitulant les informations pour une vulnérabilité connue, y compris les étapes à suivre pour y remédier.
  • Profil d’acteur de menace : génère un rapport sur le profil d’un groupe d’activités connu, y compris des suggestions pour se défendre contre leurs outils et tactiques courants.

L’intégration de Copilot à Defender TI peut également se faire via l’expérience incorporée. Vous pouvez découvrir la capacité de Security Copilot à consulter la veille des menaces dans les pages suivantes du portail Microsoft Defender :

  • Threat Analytics
  • Profils Intel
  • Explorateur Intel
  • Projets Intel

Pour chacune de ces pages, vous pouvez utiliser l’une des invites disponibles ou entrer votre propre invite.

Capture d’écran des invites Copilot incorporées dans Defender TI dans le portail Microsoft Defender.