Partager via

Examiner les ressources

  • Article

Microsoft Defender pour Identity fournit aux utilisateurs Microsoft Defender XDR la preuve du moment où des utilisateurs, des ordinateurs et des appareils ont effectué des activités suspectes ou montrent des signes de compromission.

Cet article fournit des recommandations sur la façon de déterminer les risques pour votre organization, de décider comment y remédier et de déterminer la meilleure façon de prévenir des attaques similaires à l’avenir.

Étapes d’investigation pour les utilisateurs suspects

Remarque

Pour plus d’informations sur l’affichage des profils utilisateur dans Microsoft Defender XDR, consultez Microsoft Defender XDR documentation.

Si une alerte ou un incident indique qu’un utilisateur peut être suspect ou compromis, case activée et examiner le profil utilisateur pour obtenir les détails et activités suivants :

  • Identité de l’utilisateur

    • L’utilisateur est-il un utilisateur sensible (par exemple, administrateur, ou sur une watchlist, etc.) ?
    • Quel est leur rôle au sein du organization ?
    • Sont-ils importants dans l’arborescence organisationnelle ?

  • Examiner les activités suspectes, telles que :

    • L’utilisateur a-t-il d’autres alertes ouvertes dans Defender pour Identity ou dans d’autres outils de sécurité tels que Microsoft Defender pour point de terminaison, Microsoft Defender pour le cloud et/ou Microsoft Defender for Cloud Apps ?
    • L’utilisateur a-t-il échoué à se connecter ?
    • Quelles ressources l’utilisateur a-t-il accédé ?
    • L’utilisateur a-t-il accédé à des ressources de grande valeur ?
    • L’utilisateur était-il censé accéder aux ressources auxquelles il a accédé ?
    • Sur quels appareils l’utilisateur s’est-il connecté ?
    • L’utilisateur était-il censé se connecter à ces appareils ?
    • Existe-t-il un chemin de mouvement latéral (LMP) entre l’utilisateur et un utilisateur sensible ?

Utilisez les réponses à ces questions pour déterminer si le compte semble compromis ou si les activités suspectes impliquent des actions malveillantes.

Recherchez des informations d’identité dans les zones Microsoft Defender XDR suivantes :

  • Pages de détails de l’identité individuelle
  • Page de détails des alertes ou des incidents individuels
  • Pages de détails de l’appareil
  • Requêtes de chasse avancées
  • Page centre de notifications

Par exemple, l’image suivante montre les détails sur une page de détails d’identité :

Capture d’écran de la page d’un utilisateur spécifique dans le portail Microsoft Defender.

Détails de l’identité

Lorsque vous examinez une identité spécifique, les détails suivants s’affichent sur une page de détails d’identité :

Zone de page Détails de l’identité Description
Onglet Vue d’ensemble Données d’identité générales, telles que le niveau de risque d’identité Microsoft Entra, le nombre d’appareils auxquels l’utilisateur est connecté, la première fois que l’utilisateur a été vu pour la première et la dernière fois, les comptes de l’utilisateur et des informations plus importantes.

Utilisez l’onglet Vue d’ensemble pour afficher également des graphiques pour les incidents et les alertes, le score de priorité d’investigation, une arborescence organisationnelle, des étiquettes d’entité et une activité notée chronologie.
Incidents et alertes Listes les incidents actifs et les alertes impliquant l’utilisateur au cours des 180 derniers jours, y compris des détails tels que la gravité de l’alerte et l’heure à laquelle l’alerte a été générée.
Observé en organization Inclut les sous-domaines suivants :
- Appareils : appareils auxquels l’identité s’est connectée, y compris le plus et le moins utilisé au cours des 180 derniers jours.
- Emplacements : emplacements observés de l’identité au cours des 30 derniers jours.
- Groupes : tous les groupes locaux observés pour l’identité.
- Chemins de mouvement latéral : tous les chemins de mouvement latéral profilés de l’environnement local.
Chronologie d’identité Le chronologie représente les activités et les alertes observées à partir de l’identité d’un utilisateur au cours des 180 derniers jours, unifiant les entrées d’identité entre Microsoft Defender pour Identity, Microsoft Defender for Cloud Apps et Microsoft Defender pour point de terminaison.

Utilisez les chronologie pour vous concentrer sur les activités qu’un utilisateur a effectuées ou ont été effectuées sur ces derniers dans des délais spécifiques. Sélectionnez les 30 jours par défaut pour remplacer l’intervalle de temps par une autre valeur intégrée ou par une plage personnalisée.
Actions de correction Répondre aux utilisateurs compromis en désactivant leurs comptes ou en réinitialisant leur mot de passe. Après avoir pris des mesures sur les utilisateurs, vous pouvez case activée sur les détails de l’activité dans le Microsoft Defender XDR **Centre de notifications.

Remarque

Le score de priorité de l’enquête a été déconseillé le 3 décembre 2025. Par conséquent, la répartition du score de priorité d’investigation et les cartes d’activité notées chronologie ont été supprimées de l’interface utilisateur.

Pour plus d’informations, consultez Examiner les utilisateurs dans la documentation Microsoft Defender XDR.

Étapes d’investigation pour les groupes suspects

Si une alerte ou une investigation d’incident est liée à un groupe Active Directory, case activée l’entité de groupe pour les détails et activités suivants :

  • Entité de groupe

    • Le groupe est-il un groupe sensible, tel que les administrateurs de domaine ?
    • Le groupe inclut-il des utilisateurs sensibles ?

  • Examiner les activités suspectes, telles que :

    • Le groupe a-t-il d’autres alertes ouvertes et associées dans Defender pour Identity, ou dans d’autres outils de sécurité tels que Microsoft Defender pour point de terminaison, Microsoft Defender pour le cloud et/ou Microsoft Defender for Cloud Apps ?
    • Quels utilisateurs ont été récemment ajoutés ou supprimés du groupe ?
    • Le groupe a-t-il été interrogé récemment, et par qui ?

Utilisez les réponses à ces questions pour vous aider dans votre investigation.

Dans le volet détails d’une entité de groupe, sélectionnez Rechercher ou Ouvrir chronologie pour examiner. Vous trouverez également des informations sur les groupes dans les zones de Microsoft Defender XDR suivantes :

  • Page de détails des alertes ou des incidents individuels
  • Pages de détails de l’appareil ou de l’utilisateur
  • Requêtes de chasse avancées

Par exemple, l’image suivante montre l’activité Opérateurs de serveur chronologie, y compris les alertes et les activités associées des 180 derniers jours :

Capture d’écran de l’onglet Chronologie du groupe.

Étapes d’investigation pour les appareils suspects

Microsoft Defender XDR alerte répertorie tous les appareils et utilisateurs connectés à chaque activité suspecte. Sélectionnez un appareil pour afficher la page des détails de l’appareil, puis recherchez les détails et activités suivants :

  • Que s’est-il passé au moment de l’activité suspecte ?

    • Quel utilisateur était connecté à l’appareil ?
    • Cet utilisateur se connecte-t-il normalement à l’appareil source ou de destination ou y accède-t-il ?
    • Quelles ressources ont été consultées ? Par quels utilisateurs ? Si des ressources ont été consultées, s’agissait-il de ressources à valeur élevée ?
    • L’utilisateur était-il censé accéder à ces ressources ?
    • L’utilisateur qui a accédé à l’appareil a-t-il effectué d’autres activités suspectes ?

  • Autres activités suspectes à examiner :

    • D’autres alertes ont-elles été ouvertes en même temps que cette alerte dans Defender pour Identity ou dans d’autres outils de sécurité tels que Microsoft Defender pour point de terminaison, Microsoft Defender pour le cloud et/ou Microsoft Defender for Cloud Apps ?
    • Y a-t-il eu des échecs de connexion ?
    • De nouveaux programmes ont-ils été déployés ou installés ?

Utilisez les réponses à ces questions pour déterminer si l’appareil semble compromis ou si les activités suspectes impliquent des actions malveillantes.

Par exemple, l’image suivante montre une page de détails de l’appareil :

Capture d’écran d’une page de détails d’appareil.

Pour plus d’informations, consultez Examiner les appareils dans la documentation Microsoft Defender XDR.

Étapes suivantes

Conseil

Essayez notre guide interactif : Examiner et répondre aux attaques avec Microsoft Defender pour Identity