Partager via

Gérer et répondre aux alertes de sécurité

Defender pour Cloud collecte, analyse et intègre des données de journal à partir de vos ressources Azure, hybrides et multiclouds, du réseau et des solutions partenaires connectées, telles que les pare-feu et les agents de point de terminaison. Defender pour Cloud utilise les données de journal pour détecter les menaces réelles et réduire les faux positifs. Une liste d’alertes de sécurité hiérarchisées s’affiche dans Defender pour cloud, ainsi que les informations dont vous avez besoin pour examiner rapidement le problème et les étapes à suivre pour corriger une attaque.

Cet article vous montre comment afficher et traiter les alertes de Defender pour cloud et protéger vos ressources.

Lors du triage des alertes de sécurité, vous devez hiérarchiser les alertes en fonction de leur gravité d’alerte, en traitant d’abord les alertes de gravité plus élevées. En savoir plus sur la façon dont les alertes sont classées.

Conseil / Astuce

Vous pouvez connecter Microsoft Defender pour cloud aux solutions SIEM, notamment Microsoft Sentinel et utiliser les alertes à partir de votre outil de choix. Découvrez comment diffuser en continu des alertes vers une solution SIEM, SOAR ou IT Service Management.

Prerequisites

Pour connaître les conditions préalables et les conditions requises, consultez les matrices de support pour Defender pour cloud.

Gérer vos alertes de sécurité

Suivez ces étapes :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour Cloud>les alertes de Sécurité.

    Capture d’écran montrant la page alertes de sécurité de la page de présentation de Microsoft Defender pour Cloud.

  3. (Facultatif) Filtrez la liste des alertes avec l’un des filtres appropriés. Vous pouvez ajouter des filtres supplémentaires avec l’option Ajouter un filtre .

    Capture d’écran montrant comment ajouter des filtres à la vue alertes.

    La liste est mise à jour en fonction des filtres sélectionnés. Par exemple, vous souhaiterez peut-être résoudre les alertes de sécurité qui se sont produites au cours des 24 dernières heures, car vous examinez une violation potentielle dans le système.

Examiner une alerte de sécurité

Chaque alerte contient des informations concernant l’alerte qui vous aide dans votre investigation.

Pour examiner une alerte de sécurité :

  1. Sélectionnez une alerte. Un volet latéral s’ouvre et affiche une description de l’alerte et de toutes les ressources affectées.

    Capture d’écran de l’affichage des détails généraux d’une alerte de sécurité.

  2. Passez en revue les informations générales relatives à l’alerte de sécurité.

    • Gravité, état et heure d’activité des alertes
    • Description qui explique l’activité précise détectée
    • Ressources affectées
    • Intention de la chaîne d’arrêt de l’activité sur la matrice MITRE ATT&CK (le cas échéant)

  3. Sélectionnez Afficher les détails complets.

    Le volet droit inclut l’onglet Détails de l’alerte contenant des détails supplémentaires de l’alerte pour vous aider à examiner le problème : adresses IP, fichiers, processus, etc.

    Capture d’écran montrant la page de détails complète d’une alerte.

    En outre, dans le volet droit, il s’agit de l’onglet Effectuer une action . Utilisez cet onglet pour effectuer d’autres actions concernant l’alerte de sécurité. Actions telles que :

    • Inspecter le contexte de la ressource : vous dirige vers les journaux d’activité de la ressource qui soutiennent l’alerte de sécurité
    • Atténuer la menace : fournit des étapes de correction manuelles pour cette alerte de sécurité
    • Empêcher les attaques futures : fournit des recommandations de sécurité pour réduire la surface d’attaque, augmenter la posture de sécurité et ainsi empêcher les attaques futures
    • Déclencher une réponse automatisée : fournit la possibilité de déclencher une application logique en réponse à cette alerte de sécurité
    • Supprimer des alertes similaires : offre la possibilité de supprimer les alertes futures avec des caractéristiques similaires si l’alerte n’est pas pertinente pour votre organisation

    Capture d’écran montrant les options disponibles sous l’onglet Effectuer une action.

    Pour plus d’informations, contactez le propriétaire de la ressource pour vérifier si l’activité détectée est un faux positif. Vous pouvez également examiner les journaux bruts générés par la ressource attaquée.

Modifier l’état de plusieurs alertes de sécurité à la fois

La liste des alertes inclut des cases à cocher pour pouvoir gérer plusieurs alertes à la fois. Par exemple, à des fins de triage, vous pouvez décider d’ignorer toutes les alertes d’information pour une ressource spécifique.

  1. Filtrez en fonction des alertes que vous souhaitez gérer en bloc.

    Dans cet exemple, les alertes de gravité Informational pour la ressource ASC-AKS-CLOUD-TALK sont sélectionnées.

    Capture d’écran montrant comment filtrer les alertes pour afficher les alertes associées.

  2. Utilisez les cases à cocher pour sélectionner les alertes à traiter.

    Dans cet exemple, toutes les alertes sont sélectionnées. Le bouton Modifier l’état est désormais disponible.

    Capture d’écran de la sélection de toutes les alertes à gérer en bloc.

  3. Utilisez les options Modifier l’état pour définir l’état souhaité.

    Capture d’écran de l’onglet État des alertes de sécurité.

    Les alertes affichées sur la page actuelle voient leur état changé à la valeur sélectionnée.

Répondre à une alerte de sécurité

Après avoir examiné une alerte de sécurité, vous pouvez répondre à l’alerte à partir de Microsoft Defender pour Cloud.

Pour répondre à une alerte de sécurité :

  1. Ouvrez l’onglet Effectuer une action pour afficher les réponses recommandées.

    Capture d’écran de l’onglet Prendre des mesures des alertes de sécurité.

  2. Passez en revue la section Atténuer la menace pour connaître les étapes d’investigation manuelles nécessaires pour atténuer le problème.

  3. Pour renforcer vos ressources et empêcher les attaques futures de ce type, corrigez les recommandations de sécurité dans la section Empêcher les attaques futures .

  4. Pour déclencher une application logique avec des étapes de réponse automatisées, utilisez la section Déclencher une réponse automatisée et sélectionnez Déclencher une application logique.

  5. Si l’activité détectée n’est pas malveillante, vous pouvez supprimer les futures alertes de ce type à l’aide de la section Supprimer les alertes similaires et sélectionner Créer une règle de suppression.

  6. Sélectionnez Configurer les paramètres de notification par e-mail pour afficher qui reçoit des e-mails concernant les alertes de sécurité sur cet abonnement. Contactez le propriétaire de l’abonnement pour configurer les paramètres des e-mails.

  7. Lorsque vous avez terminé l’examen de l’alerte et répondu de la manière appropriée, modifiez l’état par Ignorer.

    Capture d’écran du menu déroulant État de l’alerte.

    L’alerte est supprimée de la liste des alertes principales. Vous pouvez utiliser le filtre à partir de la page de liste des alertes pour afficher toutes les alertes avec l’état ignoré .

  8. Nous vous encourageons à fournir des commentaires sur l’alerte à Microsoft :

    1. Marquage de l’alerte comme utile ou non utile.
    2. Sélectionnez une raison et ajoutez un commentaire.

    Capture d’écran de la fenêtre Fournir des commentaires à Microsoft qui vous permet de sélectionner l’utilité d’une alerte.

Conseil / Astuce

Nous examinons vos commentaires pour améliorer nos algorithmes et fournir de meilleures alertes de sécurité.

Pour en savoir plus sur les différents types d’alertes, consultez le guide de référence des alertes de sécurité.

Pour obtenir une vue d’ensemble de la façon dont Defender pour Cloud génère des alertes, consultez comment Microsoft Defender pour Cloud détecte et répond aux menaces.

Passer en revue les résultats de l’analyse sans agent

Les résultats de l’analyseur sans agent s’affichent dans la page Alertes de sécurité.

Capture d’écran de la page alertes de sécurité montrant les résultats des résultats de l’analyse sans agent et basés sur l’agent.

Note

La correction de l’une de ces alertes ne corrige pas l’autre alerte tant que l’analyse suivante n’est pas terminée.

Contenu connexe

  • Last updated on