Blocage comportemental du client
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Plateforme
- Windows
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Vue d’ensemble
Le blocage comportemental client est un composant des fonctionnalités de blocage comportemental et d’endiguement dans Defender pour point de terminaison. À mesure que des comportements suspects sont détectés sur les appareils (également appelés clients ou points de terminaison), les artefacts (tels que des fichiers ou des applications) sont bloqués, vérifiés et corrigés automatiquement.
La protection antivirus fonctionne mieux lorsqu’elle est associée à la protection cloud.
Fonctionnement du blocage comportemental du client
Microsoft Defender Antivirus peut détecter les comportements suspects, le code malveillant, les attaques sans fichier et en mémoire, etc. sur un appareil. Lorsque des comportements suspects sont détectés, Microsoft Defender Antivirus surveille et envoie ces comportements suspects et leurs arborescences de processus au service de protection cloud. Le Machine Learning fait la distinction entre les applications malveillantes et les bons comportements en quelques millisecondes, et classifie chaque artefact. En quasi-temps réel, dès qu’un artefact est détecté comme étant malveillant, il est bloqué sur l’appareil.
Chaque fois qu’un comportement suspect est détecté, une alerte est générée et est visible lorsque l’attaque a été détectée et arrêtée ; les alertes, telles qu’une « alerte d’accès initial », sont déclenchées et apparaissent dans le portail Microsoft Defender.
Le blocage comportemental du client est efficace, car il permet non seulement d’empêcher le démarrage d’une attaque, mais aussi d’arrêter une attaque qui a commencé à s’exécuter. De plus, avec le blocage des boucles de rétroaction (une autre fonctionnalité de blocage comportemental et d’endiguement), les attaques sont évitées sur d’autres appareils de votre organization.
Détections basées sur le comportement
Les détections basées sur le comportement sont nommées en fonction de la matrice MITRE ATT&CK matrix for Enterprise. La convention de nommage permet d’identifier la phase d’attaque où le comportement malveillant a été observé :
| Tactique | Nom de la menace de détection |
|---|---|
| Accès initial | Behavior:Win32/InitialAccess.*!ml |
| Exécution | Behavior:Win32/Execution.*!ml |
| Persistance | Behavior:Win32/Persistence.*!ml |
| Réaffectation des privilèges | Behavior:Win32/PrivilegeEscalation.*!ml |
| Fraude à la défense | Behavior:Win32/DefenseEvasion.*!ml |
| Accès informations d'identification | Behavior:Win32/CredentialAccess.*!ml |
| Discovery | Behavior:Win32/Discovery.*!ml |
| Mouvement latéral | Behavior:Win32/LateralMovement.*!ml |
| Collection | Behavior:Win32/Collection.*!ml |
| Commande et contrôle | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltration | Behavior:Win32/Exfiltration.*!ml |
| Impact | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Conseil
Pour en savoir plus sur les menaces spécifiques, consultez activité des menaces mondiales récentes.
Configuration du blocage comportemental du client
Si votre organization utilise Defender pour point de terminaison, le blocage comportemental du client est activé par défaut. Toutefois, pour tirer parti de toutes les fonctionnalités de Defender pour point de terminaison, y compris le blocage comportemental et l’autonomie, assurez-vous que les fonctionnalités et fonctionnalités suivantes de Defender pour point de terminaison sont activées et configurées :
- Bases de référence de Defender pour point de terminaison
- Appareils intégrés à Defender pour point de terminaison
- PEPT en mode blocage
- Réduction de la surface d’attaque
- Protection de nouvelle génération (antivirus, logiciel anti-programme malveillant et autres fonctionnalités de protection contre les menaces)
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
- Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
- Microsoft Defender pour point de terminaison sur Mac
- Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
- Microsoft Defender pour point de terminaison Linux
- Configurer Defender pour point de terminaison pour des fonctionnalités Android
- configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.