Examiner les Enquêtes MDR

S'applique À : WatchGuard Core MDR, WatchGuard Core MDR for Microsoft

La page Enquêtes du portail des Services Gérés affiche la liste des alertes MDR de votre compte. Les enquêtes représentent une combinaison d'alertes automatisées et manuelles que WatchGuard envoie à votre équipe concernant les actions importantes que l'équipe du SOC WatchGuard ont exécutées afin de protéger votre environnement ou portant sur des éléments qu'il vous convient d'examiner de manière approfondie.

La page Enquêtes vous permet de filtrer les enquêtes et d'en examiner les détails.

Pour ouvrir la page Enquêtes :

Dans WatchGuard Cloud, sélectionnez Surveiller > Services Gérés.
Le portail des Services Gérés s'ouvre dans un nouvel onglet du navigateur.
Si vous êtes un Service Provider, sélectionnez votre Compte Subscriber dans la liste déroulante.
Sélectionnez Activité > Enquêtes.
La page Enquêtes s'ouvre.

Screen shot of MDR portal Investigations page

État des Enquêtes

Lorsque WatchGuard MDR détecte un incident constituant une menace potentielle, la détection devient une enquête. L'état indiqué à l'origine, En attente d'ActZero, change au fur et à mesure que l'équipe du SOC WatchGuard enquête sur l'incident et travaille à vos côtés pour résoudre le problème ou la menace potentielle.

Une enquête peut présenter l'un des états suivants :

En attente d'ActZero

Les analystes du SOC WatchGuard enquêtent sur ce problème.

En attente du Client

L'équipe du SOC WatchGuard attend que le client confirme que le problème est résolu, réponde à l'enquête par un commentaire ou exécute les actions nécessaires pour résoudre le problème.

Résolu

Le problème est résolu. Il n'existe aucune action en instance pour l'équipe du SOC WatchGuard ni pour le client.

Fermé

Au bout de 48 heures, une enquête présentant l'état Résolu passe à l'état Clôturé. L'enquête peut également être clôturée si le client confirme que le problème est résolu.

Réouvert

Si le client ajoute un commentaire à une enquête clôturée, son état passe à Réouvert.

Examiner les Détails d'une Enquête

La liste de la page Enquêtes présente les enquêtes qui correspondent à vos filtres.

Pour examiner les détails d'une enquête, sélectionnez-la dans la liste.
Les détails s'ouvrent à droite de la liste.

Screen shot of MDR portal Investigations details

Les détails de l'enquête comprennent la date et l'heure de l'alerte, le niveau de gravité, l'état du ticket, la date et l'heure de la dernière mise à jour, l'identifiant de détection ainsi que le texte intégral de l'e-mail d'alerte envoyé au client. Le message fournit les détails de la menace potentielle ainsi que des recommandations de résolution de l'incident.

Pour afficher la détection à l'origine de l'enquête sur la page Détections, cliquez sur l'Identifiant de Détection. En fonction de l'état du ticket, vous pouvez également répondre à l'enquête.

Répondre à une Enquête

Lorsque l'état d'une enquête est En attente Du Client, vous pouvez exécuter une action ou répondre à l'équipe du SOC par un commentaire.

Exécuter une Action à partir du Portail

Le cas échéant, vous pouvez cliquer sur l'un des boutons d'action suivants dans les détails de l'enquête :

Réinitialiser le Mot de passe de l'Utilisateur — Désactive le compte d'utilisateur concerné, déconnecte l'utilisateur de toutes les sessions actives, réinitialise son mot de passe et réinitialise sa MFA.
Classer Sans Suite la Détection — Clôture l'enquête.

Exécuter une Action dans Votre Réseau ou Votre Environnement

Si le message des détails de l'alerte suggère des mesures de résolution de l'incident, vous pouvez exécuter une action directement dans votre réseau ou votre environnement puis ajouter un commentaire de réponse dans les détails de l'incident précisant les actions que vous avez exécutées.

Répondre Par un Commentaire

Pour envoyer à l'équipe du SOC WatchGuard les informations de l'enquête, faites défiler les détails de l'alerte jusqu'en bas. Dans la zone de texte Commentaire, saisissez votre message puis cliquez sur Mettre à Jour.

Trier et Filtrer la Liste des Enquêtes

Par défaut, la liste des enquêtes indique toutes les enquêtes de la période sélectionnée, triées par heure décroissante, de sorte que les enquêtes les plus récentes figurent en tête de la liste. Pour modifier l'ordre des enquêtes, cliquez sur l'en-tête d'une colonne.

Pour personnaliser les enquêtes affichées, vous pouvez filtrer la liste par date, gravité, source, état et heure.

Gravité

Pour filtrer la liste des enquêtes par gravité, sélectionnez une ou plusieurs options dans la liste des gravités

Source

Pour filtrer la liste des enquêtes par source, sélectionnez une ou plusieurs options parmi les suivantes :

Endpoint — Endpoints connectés qui exécutent WatchGuard Endpoint Security ou Microsoft Defender.
Cloud — Services cloud connectés tels que Office 365.

État

Pour filtrer la liste des enquêtes par état, sélectionnez une ou plusieurs options.

Heure

Par défaut, la liste des enquêtes affiche les enquêtes survenues au cours des 30 derniers jours. Pour filtrer la liste des enquêtes par plage de dates, dans la section Heure, sélectionnez une période ou une plage de dates personnalisée.

Pour réinitialiser les filtres, cliquez sur Réinitialiser le Filtre. Pour exporter la liste des enquêtes vers un fichier .CSV, cliquez sur Exporter.

Rubriques Connexes

Examiner les Détections MDR

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.