Piloter et déployer des Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender XDR
Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender pour point de terminaison dans votre organization. Vous pouvez utiliser ces recommandations pour intégrer Microsoft Defender pour point de terminaison en tant qu’outil de cybersécurité individuel ou dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.
Cet article suppose que vous disposez d’un client Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender pour point de terminaison dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.
Defender pour point de terminaison contribue à une architecture Confiance nulle en aidant à prévenir ou à réduire les dommages causés à l’entreprise par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages causés par une violation de l’entreprise dans l’infrastructure d’adoption de Microsoft Confiance nulle.
Déploiement de bout en bout pour Microsoft Defender XDR
Il s’agit de l’article 4 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.
Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :
Phase | Liens |
---|---|
A. Démarrer le pilote | Démarrer le pilote |
B. Piloter et déployer des composants Microsoft Defender XDR |
-
Piloter et déployer Defender pour Identity - Piloter et déployer des Defender for Office 365 - Piloter et déployer Defender pour point de terminaison (cet article) - Piloter et déployer des Microsoft Defender for Cloud Apps |
C. Examiner les menaces et y répondre | Pratiquez l’investigation et la réponse aux incidents |
Piloter et déployer un workflow pour Defender pour Identity
Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.
Vous commencez par évaluer le produit ou le service et comment il fonctionnera dans votre organization. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organization soit couvert.
Voici le workflow pour le pilotage et le déploiement de Defender pour Identity dans votre environnement de production.
Procédez comme suit :
- Vérifier l’état de la licence
- Intégrer des points de terminaison à l’aide de l’un des outils de gestion pris en charge
- Vérifier le groupe pilote
- Tester les fonctionnalités
Voici les étapes recommandées pour chaque étape de déploiement.
Phase de déploiement | Description |
---|---|
Évaluation | Effectuer l’évaluation du produit pour Defender pour point de terminaison. |
Pilote | Effectuez les étapes 1 à 4 pour un groupe pilote. |
Déploiement complet | Configurez le groupe pilote à l’étape 3 ou ajoutez des groupes pour étendre au-delà du pilote et éventuellement inclure tous vos appareils. |
Protection de votre organization contre les pirates informatiques
Defender pour Identity offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender pour point de terminaison fournit des données dans les signaux partagés qui, ensemble, aident à arrêter les attaques.
Voici un exemple de cyberattaque et la façon dont les composants de Microsoft Defender XDR aident à la détecter et à l’atténuer.
Defender pour point de terminaison détecte les vulnérabilités des appareils et du réseau qui pourraient autrement être exploitées pour les appareils gérés par votre organization.
Microsoft Defender XDR met en corrélation les signaux de tous les composants Microsoft Defender pour fournir l’histoire complète des attaques.
Architecture de Defender pour point de terminaison
Le diagramme suivant illustre Microsoft Defender pour point de terminaison architecture et intégrations.
Ce tableau décrit l’illustration.
Appel | Description |
---|---|
1 | Les appareils sont intégrés via l’un des outils de gestion pris en charge. |
2 | Les appareils intégrés fournissent des données de signal Microsoft Defender pour point de terminaison et y répondent. |
3 | Les appareils gérés sont joints et/ou inscrits dans Microsoft Entra ID. |
4 | Les appareils Windows joints à un domaine sont synchronisés avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. |
5 | Microsoft Defender pour point de terminaison les alertes, les enquêtes et les réponses sont gérées dans Microsoft Defender XDR. |
Conseil
Microsoft Defender pour point de terminaison est également fourni avec un laboratoire d’évaluation dans le produit où vous pouvez ajouter des appareils préconfigurés et exécuter des simulations pour évaluer les fonctionnalités de la plateforme. Le labo est fourni avec une expérience de configuration simplifiée qui peut vous aider à démontrer rapidement la valeur de Microsoft Defender pour point de terminaison y compris des conseils pour de nombreuses fonctionnalités telles que la chasse avancée et l’analyse des menaces. Pour plus d’informations, consultez Évaluer les fonctionnalités. La main différence entre les conseils fournis dans cet article et le laboratoire d’évaluation est que l’environnement d’évaluation utilise des appareils de production, tandis que le laboratoire d’évaluation utilise des appareils hors production.
Étape 1 : Vérifier l’état de la licence
Vous devez d’abord case activée l’état de la licence pour vérifier qu’il a été correctement approvisionné. Vous pouvez le faire via le centre d’administration ou via microsoft Portail Azure.
Pour afficher vos licences, accédez au Portail Azure Microsoft et accédez à la section Licence Microsoft Portail Azure.
Vous pouvez également accéder à Abonnements de facturation> dans le Centre d’administration.
Sur l’écran, vous verrez toutes les licences approvisionnées et leur état actuel.
Étape 2 : Intégrer des points de terminaison à l’aide de l’un des outils de gestion pris en charge
Après avoir vérifié que l’état de la licence a été correctement approvisionné, vous pouvez démarrer l’intégration des appareils au service.
Dans le but d’évaluer Microsoft Defender pour point de terminaison, nous vous recommandons de choisir deux appareils Windows pour effectuer l’évaluation.
Vous pouvez choisir d’utiliser l’un des outils de gestion pris en charge, mais Intune offre une intégration optimale. Pour plus d’informations, consultez Configurer Microsoft Defender pour point de terminaison dans Microsoft Intune.
La rubrique Planifier le déploiement décrit les étapes générales à suivre pour déployer Defender pour point de terminaison.
Regardez cette vidéo pour obtenir une vue d’ensemble rapide du processus d’intégration et en savoir plus sur les outils et méthodes disponibles.
Options de l’outil d’intégration
Le tableau suivant répertorie les outils disponibles en fonction du point de terminaison que vous devez intégrer.
Point de terminaison | Options de l’outil |
---|---|
Fenêtres |
-
Script local (jusqu’à 10 appareils) - stratégie de groupe - Microsoft Intune / Gestionnaire de périphériques mobile - Microsoft Endpoint Configuration Manager - Scripts VDI |
MacOS |
-
Scripts locaux - Microsoft Intune - JAMF Pro - Gestion des appareils mobile |
iOS | Basé sur l’application |
Android | Microsoft Intune |
Lorsque vous pilotez Microsoft Defender pour point de terminaison, vous pouvez choisir d’intégrer quelques appareils au service avant d’intégrer l’ensemble de votre organization.
Vous pouvez ensuite tester les fonctionnalités disponibles, telles que l’exécution de simulations d’attaque et la façon dont Defender pour point de terminaison expose les activités malveillantes et vous permet d’effectuer une réponse efficace.
Étape 3 : Vérifier le groupe pilote
Après avoir effectué les étapes d’intégration décrites dans la section Activer l’évaluation, vous devriez voir les appareils dans la liste Inventaire des appareils environ après une heure.
Lorsque vous voyez vos appareils intégrés, vous pouvez ensuite procéder à l’essai des fonctionnalités.
Étape 4 : Tester les fonctionnalités
Maintenant que vous avez terminé l’intégration de certains appareils et vérifié qu’ils rendent compte au service, familiarisez-vous avec le produit en essayant les puissantes fonctionnalités disponibles dès le départ.
Pendant le pilote, vous pouvez facilement commencer à essayer certaines des fonctionnalités pour voir le produit en action sans passer par des étapes de configuration complexes.
Commençons par consulter les tableaux de bord.
Afficher l’inventaire des appareils
L’inventaire des appareils est l’endroit où vous verrez la liste des points de terminaison, des appareils réseau et des appareils IoT dans votre réseau. Non seulement il vous fournit une vue des appareils de votre réseau, mais il vous fournit également des informations détaillées sur ceux-ci, telles que le domaine, le niveau de risque, la plateforme du système d’exploitation et d’autres détails pour faciliter l’identification des appareils les plus exposés.
Afficher le tableau de bord Gestion des vulnérabilités Microsoft Defender
Defender Vulnerability Management vous aide à vous concentrer sur les faiblesses qui posent le plus urgent et le risque le plus élevé pour le organization. À partir du tableau de bord, obtenez une vue d’ensemble du score d’exposition organization, du niveau de sécurité Microsoft pour les appareils, de la distribution de l’exposition des appareils, des recommandations de sécurité principales, des logiciels les plus vulnérables, des principales activités de correction et des données d’appareil les plus exposées.
Exécuter une simulation
Microsoft Defender pour point de terminaison est fourni avec des scénarios d’attaque « Faire vous-même » que vous pouvez exécuter sur vos appareils pilotes. Chaque document inclut les exigences relatives au système d’exploitation et aux applications, ainsi que des instructions détaillées spécifiques à un scénario d’attaque. Ces scripts sont sûrs, documentés et faciles à utiliser. Ces scénarios reflètent les fonctionnalités de Defender pour point de terminaison et vous guident tout au long de l’expérience d’investigation.
Pour exécuter l’une des simulations fournies, vous avez besoin d’au moins un appareil intégré.
Dans simulations d’aide>& tutoriels, sélectionnez parmi les scénarios d’attaque disponibles que vous souhaitez simuler :
Scénario 1 : Le document supprime une porte dérobée : simule la livraison d’un document de leurre conçu socialement. Le document lance une porte dérobée spécialement conçue pour donner le contrôle aux attaquants.
Scénario 2 : Script PowerShell dans une attaque sans fichier : simule une attaque sans fichier qui s’appuie sur PowerShell, montrant la réduction de la surface d’attaque et la détection de l’apprentissage de l’appareil des activités de mémoire malveillantes.
Scénario 3 : Réponse automatisée aux incidents : déclenche une investigation automatisée, qui recherche et corrige automatiquement les artefacts de violation pour mettre à l’échelle votre capacité de réponse aux incidents.
Téléchargez et lisez le document de procédure pas à pas correspondant fourni avec le scénario sélectionné.
Téléchargez le fichier de simulation ou copiez le script de simulation en accédant à Help>Simulations & tutoriels. Vous pouvez choisir de télécharger le fichier ou le script sur l’appareil de test, mais ce n’est pas obligatoire.
Exécutez le fichier de simulation ou le script sur l’appareil de test comme indiqué dans le document de procédure pas à pas.
Remarque
Les fichiers de simulation ou les scripts imitent l’activité d’attaque, mais ils sont en fait bénins et n’endommagent pas ou ne compromettent pas l’appareil de test.
Intégration SIEM
Vous pouvez intégrer Defender pour point de terminaison à Microsoft Sentinel ou à un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité dans votre organization et créer des playbooks pour une réponse efficace et immédiate.
Microsoft Sentinel comprend un connecteur Defender pour point de terminaison. Pour plus d’informations, consultez connecteur Microsoft Defender pour point de terminaison pour Microsoft Sentinel.
Pour plus d’informations sur l’intégration aux systèmes SIEM génériques, consultez Activer l’intégration SIEM dans Microsoft Defender pour point de terminaison.
Étape suivante
Incorporez les informations du Guide des opérations de sécurité de Defender pour point de terminaison dans vos processus SecOps.
Étape suivante pour le déploiement de bout en bout de Microsoft Defender XDR
Poursuivez votre déploiement de bout en bout de Microsoft Defender XDR avec Pilote et déployez Microsoft Defender for Cloud Apps.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.