Gérer les enquêtes automatisées
Gérer les enquêtes automatisées
Votre équipe chargée des opérations de sécurité reçoit une alerte chaque fois que Microsoft Defender détecte un artefact malveillant ou suspect dans un point de terminaison. Les équipes chargées des opérations de sécurité rencontrent des difficultés pour traiter la multitude d’alertes qui proviennent du flot de menaces apparemment sans fin. Microsoft Defender pour point de terminaison comprend des fonctionnalités d’enquête et de correction automatisées (AIR) qui peuvent aider votre équipe des opérations de sécurité à traiter les menaces de manière plus efficace.
La technologie de l’enquête automatisée utilise différents algorithmes d’inspection et est basée sur des processus utilisés par des analystes de la sécurité. Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives de grande valeur. Le Centre de notifications effectue le suivi de toutes les enquêtes qui ont été lancées automatiquement, ainsi que des informations, telles que l’état de l’enquête, la source de détection et toutes les actions en attente ou terminées.
Démarrage de l’enquête automatisée
Lorsqu’une alerte est déclenchée, un guide opérationnel sur la sécurité entre en vigueur. Selon ce qu’indique le guide opérationnel sur la sécurité, une enquête automatisée peut démarrer. Par exemple, supposons qu’un fichier malveillant réside sur un appareil. Lorsque ce fichier est détecté, une alerte est déclenchée et le processus d’enquête automatisée commence. Microsoft Defender pour point de terminaison vérifie si le fichier malveillant est présent sur d’autres appareils de l’organisation. Les détails de l’enquête, y compris les verdicts (Malveillant, Suspect et Aucune menace détectée) sont disponibles pendant et après l’enquête automatisée. Pour en savoir plus sur ce qui se produit après le verdict, consultez Résultats de l’enquête automatisée et actions de correction.
Détails d’une enquête automatisée
Pendant et après une enquête automatisée, vous pouvez afficher des détails sur l’enquête. Sélectionnez une alerte de déclenchement pour afficher les détails de l’enquête. À partir de là, vous pouvez accéder au Graphique d’enquête, aux Alertes, aux Appareils, aux Preuves, aux Entités et aux Onglets de journal.
Alertes : Le ou les alertes qui ont lancé l’enquête.
Appareils : Le ou les appareils où la menace a été détectée.
Preuve : Les entités qui ont été détectées comme malveillantes pendant une enquête.
Entités : Détails sur chaque entité analysée, y compris une détermination pour chaque type d’entité (Malveillant, Suspect ou Aucune menace détectée).
Journal : L’affichage chronologique détaillé de toutes les actions d’enquête effectuées sur l’alerte.
Actions en attente : Si des actions sont en attente d’approbation à la suite de l’enquête, l’onglet Actions en attente s’affiche. Dans l’onglet Actions en attente, vous pouvez approuver ou rejeter chaque action.
Développement de l’étendue de l’enquête automatisée
Pendant l’exécution d’une enquête, toutes les autres alertes générées à partir de l’appareil sont ajoutées à une enquête automatisée en cours jusqu’à ce que l’enquête soit terminée. En outre, si la même menace est détectée sur d’autres appareils, ces derniers sont ajoutés à l’enquête.
Si une entité incriminée est visible sur un autre appareil, le processus d’enquête automatisée développe son étendue pour inclure cet appareil et un guide opérationnel sur la sécurité générale se lance sur cet appareil. Si dix périphériques ou plus sont détectés pendant ce processus de développement à partir de la même entité, cette action de développement nécessite une approbation et est visible sous l’onglet Actions en attente.
Correction des menaces
À mesure que des alertes sont déclenchées et qu’une enquête automatisée s’exécute, un verdict est généré pour chaque élément de preuve examiné. Les verdicts peuvent être « Malveillant », « Suspect » ou « Aucune menace détectée ».
À mesure que les verdicts sont atteints, les enquêtes automatisées peuvent entraîner une ou plusieurs actions de correction. L’envoi d’un fichier à la mise en quarantaine, l’arrêt d’un service, la suppression d’une tâche planifiée, etc. sont des exemples d’actions de correction. (Voir Actions de correction.)
En fonction du niveau d’automatisation défini pour votre organisation, ainsi que d’autres paramètres de sécurité, des actions de correction peuvent s’exécuter automatiquement ou uniquement sur approbation de l’équipe chargée des opérations de sécurité. Les autres paramètres de sécurité qui peuvent affecter les corrections automatiques incluent la protection contre les applications potentiellement indésirables (PUA).
Toutes les actions de correction, qu’elles soient en attente ou terminées, peuvent être affichées dans le Centre de notifications https://security.microsoft.com. Si nécessaire, votre équipe des opérations de sécurité peut annuler une action de correction.
Niveaux d’automatisation des fonctionnalités d’enquête et de correction automatisées
Les fonctionnalités d’enquête et de correction automatisées (AIR) dans Microsoft Defender pour point de terminaison peuvent être configurées sur l’un des différents niveaux d’automatisation. Votre niveau d’automatisation détermine si les actions de correction qui suivent les enquêtes AIR sont effectuées automatiquement ou uniquement lors de l’approbation.
L’automatisation complète (recommandée) signifie que les actions de correction sont effectuées automatiquement sur les artefacts identifiés comme malveillants.
Une semi-automatisation signifie que certaines actions de correction sont effectuées automatiquement, mais que d’autres actions de correction attendent une approbation avant d’être effectuées. (Voir le tableau dans Niveaux d’automatisation.)
Toutes les actions de correction, qu’elles soient en attente ou terminées, peuvent être suivies dans le Centre de notifications
Niveau d’automatisation
Complet : Corrige automatiquement les menaces (également appelé « automatisation complète »)
Avec l’automatisation complète, les actions correctives sont effectuées automatiquement. Toutes les actions correctives qui sont prises peuvent être visualisées dans le Centre d'action, sous l'onglet Historique. Si nécessaire, une action corrective peut être annulée.
Une approbation semi-requise pour toute correction (également appelées semi-automatisation)
Avec ce niveau de semi-automatisation, l’approbation est requise pour toute action corrective. Ces actions en attente peuvent être affichées et approuvées dans le Centre d’action, sous l’onglet En attente.
Approbation semi-requise pour la correction des dossiers principaux (également un type de semi-automatisation)
Avec ce niveau de semi-automatisation, l’approbation est requise pour toutes les actions correctives nécessaires sur les fichiers ou les exécutables qui se trouvent dans les dossiers principaux. Les dossiers principaux incluent les répertoires de système d’exploitation, par exemple Windows (\windows*).
Des actions de correction peuvent être effectuées automatiquement sur des fichiers ou des exécutables qui se trouvent dans d’autres dossiers (non-principaux).
Les actions en attente pour des fichiers ou des exécutables dans des dossiers principaux sont affichées et approuvées dans le Centre de notifications, sous l’onglet En attente.
Les actions qui ont été effectuées sur des fichiers ou des exécutables dans d’autres dossiers sont affichées dans le Centre de notifications, sous l’onglet Historique.
Semi : Requiert l’approbation pour la correction des dossiers non temporaires (également un type de semi-automatisation)
Avec ce niveau de semi-automatisation, l’approbation est requise pour toutes les actions de correction nécessaires sur les fichiers ou les exécutables qui ne se trouvent pas dans les dossiers temporaires.
Les dossiers temporaires peuvent inclure les exemples suivants :
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\program files\
\program files (x86)*
\documents and settings*\users*
Des actions de correction peuvent être effectuées automatiquement sur des fichiers ou des exécutables qui se trouvent dans des dossiers temporaires.
Les actions en attente pour les fichiers ou les exécutables qui ne sont pas dans des dossiers temporaires sont affichées et approuvées dans le Centre de notifications, sous l’onglet En attente.
Les actions qui ont été effectuées sur des fichiers ou des exécutables dans des dossiers temporaires sont affichées dans le Centre de notifications, sous l’onglet Historique.
Aucune réponse automatique (également appelé « aucune automatisation »)
Sans automatisation, l’enquête automatisée ne s’exécute pas sur les appareils de votre organisation. Par conséquent, aucune action corrective n’est prise ou en attente à la suite d’une investigation automatisée. Toutefois, d’autres fonctionnalités de protection contre les menaces, telles que la protection contre les applications potentiellement indésirables, peuvent être appliquées, en fonction de la configuration de vos fonctionnalités de protection antivirus et nouvelle génération.
L’utilisation de l’option « aucune automatisation » n’est pas recommandée, car elle réduit la position de sécurité des appareils de votre organisation. Envisagez de configurer votre niveau d’automatisation sur une automatisation complète (ou au moins une semi-automatisation).
Points importants sur les niveaux d’automatisation
L’automatisation complète s’est avérée fiable, efficace et sécurisée, et est conseillée à tous les clients. L’automatisation complète libère vos ressources de sécurité critiques afin qu’elles puissent se concentrer davantage sur vos initiatives stratégiques. Si votre équipe de sécurité a défini des groupes d’appareils avec un niveau d’automatisation, ces paramètres ne sont pas modifiés par les nouveaux paramètres par défaut qui sont déployés.