Comment bloquer une menace avec Defender for Endpoint ?

Temps de lecture : 2 minutes

Si votre entreprise utilise Microsoft 365 Defender, votre équipe chargée des opérations de sécurité reçoit une alerte dans le portail Microsoft 365 Defender dès qu’une activité ou un artefact malveillant ou suspect est détecté.

Les équipes de sécurité sont souvent confrontées au défi de traiter le volume élevé d’alertes. Heureusement, Microsoft 365 Defender comprend des fonctionnalités d’investigation et de réponse automatisées (AIR) qui peuvent aider votre équipe d’opérations de sécurité à traiter les menaces de manière plus efficace. 

 

Lorsque des alertes de sécurité sont déclenchées, c’est à votre équipe chargée des opérations de sécurité de les investiguer et de prendre des mesures pour protéger votre organisation. La hiérarchisation et l’investigation des alertes peuvent prendre beaucoup de temps, surtout lorsque de nouvelles alertes continuent à arriver pendant l’investigation. Les équipes chargées des opérations de sécurité peuvent se sentir dépassées par le volume des menaces qu’elles doivent surveiller et contre lesquelles elles doivent se protéger. Les capacités d’investigation et de réponse automatisées, de Microsoft 365 Defender peuvent aider. 

 

Imaginez avoir un analyste virtuel dans votre équipe d’opérations de sécurité. L’analyste virtuel reproduit les étapes que les opérations de sécurité suivraient pour investiguer et remédier les menaces. L’analyste virtuel pourrait travailler 24 heures sur 24, 7 jours sur 7, avec une capacité illimitée, et assumer une charge importante d’investigation et d’élimination des menaces. Cet analyste virtuel pourrait réduire considérablement le temps de réponse, libérant ainsi votre équipe chargée des opérations de sécurité pour d’autres menaces importantes ou projets stratégiques. Si ce scénario ressemble à de la science-fiction, il n’en est rien ! Un tel analyste virtuel fait partie de votre suite Microsoft 365 Defender, et son nom est investigation et réponse automatisées – automated investigation and remediation.
 
Les fonctionnalités d’investigation et de réponse automatisées permettent à votre équipe d’opérations de sécurité d’augmenter considérablement la capacité de votre organisation à traiter les alertes et les incidents de sécurité. Grâce à l’investigation et à la réponse automatisées, vous pouvez réduire le coût des activités d’investigation et de réponse. Les fonctionnalités d’investigation et de réponse automatisées aident votre équipe d’opérations de sécurité en : 
  
  •    – Déterminant si une menace nécessite une action. 

   – En prenant (ou en recommandant) toute mesure corrective nécessaire. 

  •    – Déterminer si d’autres enquêtes doivent avoir lieu et lesquelles. 
  •    – Répéter le processus si nécessaire pour d’autres alertes.
  •