Selon la documentation Microsoft (Microsoft Defender for Office 365, mise à jour le 2025-12-16), les administrateurs peuvent désormais activer la remédiation automatique pour certains types de clusters d’emails identifiés par Automated investigation and response (AIR), qui exigeait auparavant une approbation SecOps par défaut.

Cette évolution permet d’augmenter la protection en accélérant la remédiation de messages malveillants et de réduire la charge SecOps. AIR crée des clusters autour d’un fichier ou d’une URL malveillante détectée, puis propose une action de remédiation si les messages sont en boîtes aux lettres. Les clusters non configurés en automatique restent en Pending action, et les clusters de plus de 10 000 messages ne sont pas remédiés automatiquement.

Configuration dans le portail Defender (Settings > Email & collaboration > MDO automation settings) :

  • Types de clusters à remédier automatiquement :
    • Similar files (messages contenant le même fichier malveillant)
    • Similar URLs (messages contenant la même URL malveillante)
    • Multiple similar attributes (attributs tels que sujet, IP de l’expéditeur, domaine) avec des clusters du type: BodyFingerprintBin1/SenderIp, BodyFingerprintBin1/P2SenderDomain, Subject/P2SenderDomain, Subject/SenderIp
  • Action de remédiation : Soft delete (seule option disponible). La récupération dépend des politiques de rétention de chaque boîte aux lettres et des obligations légales.

Visibilité des résultats :

  • Action center: onglet History, filtre Decided by = Automation pour voir les clusters remédiés automatiquement
  • AIR (Investigations): onglet Pending action history, champ Handled by = Automation
  • Threat Explorer: champ Additional action = “Automated remediation:automated”
  • Advanced Hunting: table EmailPostDeliveryEvents avec ActionType = “Automated Remediation” et ActionTrigger = “Automation”

Réversion des actions : possible via Take action (Threat Explorer ou Advanced Hunting) ou via Move to Inbox / Move to Junk dans les détails du cluster (Action center), sous réserve de la rétention des données. Il s’agit d’une mise à jour de produit/documentation visant à expliquer la configuration, l’audit et la réversibilité de la remédiation automatique dans AIR.

🔗 Source originale : https://learn.microsoft.com/en-us/defender-office-365/air-auto-remediation