Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.
Parmi les nouveautés de ce mois, on retrouve :
- Microsoft introduit une nouvelle expérience de classification pour faciliter cette tâche et notamment adapter ceci aux alertes similaires. Ceci simplifie et accélérer le processus de tri des alertes. On retrouve donc 3 catégories :
- True positive- Alertes qui, selon vous, indiquent avec précision une menace réelle et pour lesquelles vous souhaitez être alerté à l'avenir.
- Informational, expected activity- Alertes qui sont techniquement exactes, mais qui représentent un comportement normal ou une activité de menace simulée. Vous souhaitez généralement ignorer ces alertes, mais les attendre pour des activités similaires à l'avenir, au cas où ces activités futures seraient déclenchées par des attaquants réels ou des logiciels malveillants. Utilisez les options de cette catégorie pour classer les alertes relatives aux tests de sécurité, aux activités de l'équipe rouge, ainsi qu'aux comportements inhabituels attendus de la part d'applications et d'utilisateurs de confiance.
- False positive- Alertes qui, selon vous, sont de fausses alertes et l'activité signalée n'est pas malveillante. Utilisez les options de cette catégorie pour classer les alertes qui ont identifié par erreur des événements ou des activités normales comme étant malveillantes ou suspectes. Contrairement aux alertes concernant des activités informatives et attendues, qui peuvent également être utiles pour détecter des menaces réelles, vous ne souhaitez généralement pas revoir ces alertes.
Les autres catégories (APT, Security Personel, etc.) seront dépréciées à partir du 30 Avril 2022.
Plus d’informations sur : What's new in Microsoft 365 Defender | Microsoft Docs