Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
- Microsoft Defender Experts pour XDR
- experts Microsoft Defender pour les serveurs
Pour obtenir des instructions sur les rapports Defender Experts pour XDR, case activée cette courte vidéo.
Microsoft Defender Experts pour XDR comprend un rapport interactif à la demande qui fournit un résumé clair du travail effectué par nos analystes experts en votre nom, des informations agrégées sur votre paysage d’incidents et des détails précis sur des incidents spécifiques. Votre gestionnaire de livraison de services (SDM) utilise également le rapport pour vous fournir plus de contexte concernant le service lors d’une révision mensuelle de l’entreprise.
Le rapport est conçu pour fournir plus d’informations sur les incidents que nos experts ont examinés et résolus dans votre environnement en temps réel ou pendant une période spécifique. Pour afficher le rapport dans votre portail Microsoft Defender, accédez à Rapports, sélectionnez Rapport XDR Defender Experts>. Il est divisé en deux sections :
Vue d’ensemble du rapport : comprendre rapidement les incidents examinés
L’onglet Vue d’ensemble du rapport vous donne une vue des types d’incidents que nous avons résolus dans votre environnement au cours des 30 derniers jours, ce qui vous offre une transparence dans nos opérations. Vous pouvez également sélectionner une plage de dates personnalisée dans Affichage des résultats pour pour obtenir des informations détaillées sur les incidents au cours d’une période spécifique.
Incidents résolus
La section supérieure de la vue d’ensemble du rapport montre le pourcentage d’incidents résolus. Le rapport présente également les chiffres suivants :
- Incidents examinés : nombre de menaces actives et d’autres incidents de votre file d’attente d’incidents que nous avons triés, examinés ou que nous étudions actuellement dans notre portée.
- Incidents résolus : nombre total d’incidents ayant fait l’objet d’une enquête qui ont été fermés.
- Résolu directement : nombre d’incidents examinés que nous avons fermés directement en votre nom.
- Résolu avec votre aide : nombre d’incidents examinés qui ont été résolus en raison de votre action sur une ou plusieurs tâches de réponse managées.
- Tiers enrichi : nombre d’incidents qui ont été enrichis avec des signaux réseau tiers. Ces données sont disponibles lorsque vous êtes inscrit à l’enrichissement de réseau tiers.
Temps moyen de résolution des incidents
La section Temps moyen de résolution des incidents affiche un graphique à barres du temps moyen, en minutes, que nos experts ont passé à examiner et à fermer les incidents dans votre environnement, ainsi que le temps moyen que vous avez passé à effectuer les actions de réponse managées requises.
Incidents par gravité, catégorie et source de service
Les sections Incidents par gravité, Incidents par catégorie et Incidents par source de service décomposent les incidents résolus par gravité, technique d’attaque et source du service de sécurité Microsoft, respectivement. Ces sections vous permettent d’identifier les points d’entrée d’attaque potentiels et les types de menaces détectées dans votre environnement, d’évaluer leur impact et de développer des stratégies pour les atténuer et les prévenir. Sélectionnez Afficher les incidents sélectionnés pour obtenir une vue filtrée de la file d’attente des incidents en fonction des sélections effectuées dans chacune des sections.
Ressources les plus impactées
La section Ressources les plus impactées affiche les utilisateurs et les appareils de votre environnement qui ont été impliqués dans le plus grand nombre d’incidents au cours de la plage de dates sélectionnée. Vous pouvez voir le nombre d’incidents dans lesquels chaque ressource a été impliquée. Sélectionnez une ressource pour obtenir une vue filtrée de la file d’attente des incidents en fonction des incidents qui incluaient ladite ressource.
Incidents résolus par les tactiques MITRE
La section Incidents résolus par les tactiques MITRE affiche le nombre total d’incidents examinés et de vrais incidents positifs résolus, classés par leurs tactiques de menace associées. Ces tactiques de menace sont basées sur l’infrastructure d’attaque MITRE ATT&CK, et elles peuvent vous aider à visualiser ce que les incidents essayaient d’atteindre dans chaque phase d’attaque afin de planifier les actions d’atténuation correspondantes.
Par défaut, cette section affiche toutes les catégories de tactiques, que des incidents leur soient associés. Pour afficher uniquement les tactiques avec des incidents associés, désactivez le bouton Afficher toutes les tactiques .
Incidents résolus par gravité et catégorie
La section Incidents résolus par gravité et catégorie affiche un graphique à barres qui affiche le nombre total d’incidents résolus, répartis par gravité et catégories de menaces correspondantes.
Par défaut, cette section affiche les données de tous les types d’incidents résolus (vrai positif, faux positif et informationnel). Vous pouvez filtrer les résultats en fonction de ces différents types d’incidents en sélectionnant leurs options correspondantes dans la zone de liste déroulante Sélectionner un type d’incident .
Incidents nécessitant votre action
La section Incidents nécessitant votre action indique le nombre d’incidents que nos experts ont examinés, mais qui ont eu besoin d’actions supplémentaires de la part de votre équipe via une ou plusieurs tâches de réponse managées. Il résume le nombre d’actions que vous avez effectuées, marquées comme étant en attente, ignorées ou exécutées, mais qui ont échoué. Il affiche également un graphique à barres de ces incidents en fonction de leur gravité.
Cette section affiche également un tableau avec une liste de titres d’incident et leur gravité correspondante, le nombre d’actions requises et les status de ces actions. Vous pouvez trier et filtrer les incidents en fonction de la gravité et de l’action status pour mieux les gérer. La sélection d’un titre d’incident ouvre sa page d’incident correspondante, dans laquelle vous pouvez ensuite effectuer les actions de réponse managée requises.
Tendances : Consultez les modèles d’incident et l’efficacité des réponses pour prendre des décisions éclairées
L’onglet Tendances du rapport vous fournit le volume mensuel d’incidents examinés et résolus au cours des six derniers mois, visualisées en fonction de la gravité des incidents, de la tactique MITRE et du type de menace. La section Tendances vous donne des informations sur la façon dont les experts Defender améliorent concrètement vos opérations de sécurité en affichant des métriques opérationnelles importantes d’un mois à l’autre.
Les visualisations sont affichées respectivement dans les sections Incidents par gravité, Incidents par tactique MITRE et Incidents par classification . Pour chaque section, vous pouvez filtrer les données en fonction des différents types d’incidents (vrai positif, faux positif et informationnel) en sélectionnant leurs options correspondantes dans la zone de liste déroulante Sélectionner un type d’incident . Les sections Tactique Incidents par gravité et Incidents par MITRE comportent également le bouton Afficher les incidents sélectionnés , que vous pouvez sélectionner pour obtenir une vue filtrée de la file d’attente des incidents en fonction des sélections effectuées dans chacune de ces sections.
L’onglet Tendances contient également le widget Achèvement et efficacité des tâches de réponse managées , qui affiche le volume mensuel de tâches de réponse managées effectuées par votre équipe chaque mois, ainsi que le temps médian nécessaire à l’exécution de ces tâches par votre équipe. Ce widget permet d’identifier les pics dans l’efficacité et l’efficacité de la réponse de votre équipe, ce qui est de plus en plus important à mesure que les attaquants continuent de réduire le temps entre l’accès initial et le mouvement latéral.
Voir aussi
- Bien démarrer avec Microsoft Defender Experts pour XDR
- Détection et réponse managées
- Communication avec des experts du service Microsoft Defender Experts pour XDR
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.