Vue d’ensemble de la détection et de la réponse des points de terminaison

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Les fonctionnalités de détection et de réponse des points de terminaison dans Defender pour point de terminaison fournissent des détections d’attaque avancées qui sont quasiment en temps réel et exploitables. Les analystes de la sécurité peuvent hiérarchiser efficacement les alertes, avoir une meilleure visibilité de l’ampleur d’une faille et prendre des mesures correctives pour remédier aux menaces.

Lorsqu’une menace est détectée, les alertes sont créées dans le système à des fins d’analyse par un analyste. Les alertes présentant les mêmes techniques d’attaque ou attribuées au même agresseur sont regroupées dans une entité appelée incident. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.

Remarque

La détection defender pour point de terminaison n’est pas destinée à être une solution d’audit ou de journalisation qui enregistre toutes les opérations ou activités qui se produisent sur un point de terminaison donné. Notre capteur dispose d’un mécanisme de limitation interne, de sorte que le taux élevé d’événements identiques répétés n’inonde pas les journaux.

Importante

Defender pour point de terminaison Plan 1 et Microsoft Defender pour entreprises inclure uniquement les actions de réponse manuelle suivantes :

  • Exécuter une analyse antivirus
  • Isoler l’appareil
  • Arrêter et mettre en quarantaine un fichier
  • Ajouter un indicateur pour bloquer ou autoriser un fichier

Inspiré par la mentalité de « violation supposée », Defender pour point de terminaison collecte en permanence les données de cybermétrie comportementales. Cela englobe les informations des processus, les activités réseau, l’inspection approfondie du noyau et du gestionnaire de mémoire, les activités de connexion utilisateur, les modifications du Registre et du système de fichiers, etc. Les informations sont conservées pendant six mois, ce qui permet à un analyste de remonter au début d’une attaque. Il peut alors analyser différents axes et adopter une approche d’investigation via plusieurs vecteurs.

Les fonctionnalités de réponse vous offrent la possibilité de remédier rapidement aux menaces en agissant sur les entités affectées.