Configurer des fonctionnalités d’investigation et de correction automatisées
Pour configurer une investigation et une correction automatisées, activez les fonctionnalités, puis configurez les groupes d’appareils.
Configurez l’investigation et la correction automatisées
En tant qu’administrateur général ou administrateur de la sécurité :
Dans le volet de navigation, sélectionnez Paramètres > Points de terminaison.
Dans la section Général, sélectionnez Fonctionnalités avancées.
Activez à la fois l’Investigation automatisée et Résoudre automatiquement les alertes.
Configurer des groupes de périphériques
Dans le volet de navigation pour les points de terminaison, sous Autorisations, sélectionnez Groupes d’appareils.
Sélectionnez + Ajouter un groupe d’appareils.
Créez au moins un groupe d’appareils, comme suit :
Spécifiez le nom et la description du groupe d'appareils.
Dans la liste Niveau d’automatisation, sélectionnez un niveau, par exemple Complète – corriger automatiquement les menaces. Le niveau d’automatisation détermine si les actions correctives sont effectuées automatiquement ou uniquement lors de l’approbation. Pour plus d’informations, consultez Comment les menaces sont corrigées.
Dans la section Appareils, utilisez une ou plusieurs conditions pour identifier et inclure des appareils.
Sous l’onglet Accès utilisateur, sélectionnez les groupes d’Azure Active Directory qui doivent avoir accès au groupe d’appareils que vous créez.
Sélectionnez Terminé lorsque vous avez fini de configurer votre groupe d’appareils.
Niveaux d’automatisation
Complète - Corriger automatiquement les menaces (également appelée automatisation complète)
Avec l’automatisation complète, les actions correctives sont effectuées automatiquement. Toutes les actions correctives qui sont prises peuvent être visualisées dans le Centre d'action, sous l'onglet Historique. Si nécessaire, une action corrective peut être annulée.
Une approbation semi-requise pour toute correction (également appelées semi-automatisation)
Avec ce niveau de semi-automatisation, l’approbation est requise pour toute action corrective. Ces actions en attente peuvent être affichées et approuvées dans le Centre d’action, sous l’onglet En attente.
Approbation semi-requise pour la correction des dossiers principaux (également un type de semi-automatisation)
Avec ce niveau de semi-automatisation, l’approbation est requise pour toutes les actions correctives nécessaires sur les fichiers ou les exécutables qui se trouvent dans les dossiers principaux. Les dossiers principaux incluent les répertoires de système d’exploitation, par exemple Windows (\windows*). Des actions correctives peuvent être effectuées automatiquement sur des fichiers ou des exécutables qui se trouvent dans d’autres dossiers (non-principaux). Les actions en attente pour les fichiers ou les exécutables dans les dossiers principaux peuvent être affichées et approuvées dans le Centre d’action, sous l’onglet En attente. Les actions qui ont été effectuées sur des fichiers ou des exécutables dans d’autres dossiers peuvent être affichées dans le centre d’actions, sous l’onglet Historique.
Semi : Requiert l’approbation pour la correction des dossiers non temporaires (également un type de semi-automatisation)
Avec ce niveau de semi-automatisation, l’approbation est requise pour toutes les actions de correction nécessaires sur les fichiers ou les exécutables qui ne se trouvent pas dans les dossiers temporaires.
Les dossiers temporaires peuvent inclure les exemples suivants :
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\program files\
\program files (x86)*
\documents and settings*\users*
Des actions de correction peuvent être effectuées automatiquement sur des fichiers ou des exécutables qui se trouvent dans des dossiers temporaires. Les actions en attente pour les fichiers ou les exécutables qui ne sont pas dans des dossiers temporaires peuvent être affichées et approuvées dans le Centre d’action, sous l’onglet En attente. Les actions qui ont été effectuées sur des fichiers ou des exécutables dans des dossiers temporaires peuvent être affichées et approuvées dans le centre d’actions, sous l’onglet Historique.
Aucune réponse automatique (également appelée « aucune automatisation »)
Sans automatisation, l’enquête automatisée ne s’exécute pas sur les appareils de votre organisation. Par conséquent, aucune action corrective n’est prise ou en attente à la suite d’une investigation automatisée. Toutefois, d’autres fonctionnalités de protection contre les menaces, telles que la protection contre les applications potentiellement indésirables, peuvent être appliquées, en fonction de la configuration de vos fonctionnalités de protection antivirus et nouvelle génération.
L’utilisation de l’option « aucune automatisation » n’est pas recommandée, car elle réduit la position de sécurité des appareils de votre organisation. Envisagez de configurer votre niveau d’automatisation sur une automatisation complète (ou au moins une semi-automatisation).
Configurer rapidement des niveaux de correction sur des groupes d’appareils
Une autre façon de définir ou de mettre à jour des niveaux de correction sur des groupes d’appareils se trouve dans la page Paramètres, général, correction automatique. La page fournit une liste de groupes d’appareils et le niveau de correction actuel pour chacun d’entre eux. Sélectionner la ligne vous permettra d’ajuster le paramètre de correction.