Configurer des fonctionnalités avancées dans Defender pour point de terminaison
S’applique à :
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Selon les produits de sécurité Microsoft que vous utilisez, certaines fonctionnalités avancées peuvent être disponibles pour intégrer Defender pour point de terminaison.
Activer les fonctionnalités avancées
Accédez au portail Microsoft Defender et connectez-vous.
Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités avancées>.
Sélectionnez la fonctionnalité avancée que vous souhaitez configurer et basculez le paramètre entre Activé et Désactivé.
Sélectionnez Enregistrer les préférences.
Utilisez les fonctionnalités avancées suivantes pour mieux vous protéger contre les fichiers potentiellement malveillants et obtenir de meilleurs insights pendant les enquêtes de sécurité.
Restreindre la corrélation à dans les groupes d’appareils délimités
Cette configuration peut être utilisée pour les scénarios où les opérations SOC locales souhaitent limiter les corrélations d’alerte uniquement aux groupes d’appareils auxquels elles peuvent accéder. En activant ce paramètre, un incident composé d’alertes indiquant que les groupes inter-appareils ne seront plus considérés comme un seul incident. Le SOC local peut ensuite prendre des mesures sur l’incident, car il a accès à l’un des groupes d’appareils impliqués. Toutefois, le SOC global verra plusieurs incidents différents par groupe d’appareils au lieu d’un incident. Nous vous déconseillons d’activer ce paramètre, sauf si cela l’emporte sur les avantages de la corrélation des incidents dans l’ensemble de l’organisation.
Remarque
La modification de ce paramètre affecte uniquement les corrélations d’alerte futures.
La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.
Activer EDR en mode bloc
La détection et la réponse des points de terminaison (EDR) en mode bloc offrent une protection contre les artefacts malveillants, même lorsque l’Antivirus Microsoft Defender s’exécute en mode passif. Lorsqu’il est activé, EDR en mode bloc bloque les artefacts ou comportements malveillants détectés sur un appareil. EDR en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés après la violation.
Résoudre automatiquement les alertes
Activez ce paramètre pour résoudre automatiquement les alertes où aucune menace n’a été détectée ou où les menaces détectées ont été corrigées. Si vous ne souhaitez pas que les alertes soient automatiquement résolues, vous devez désactiver manuellement la fonctionnalité.
Remarque
- Le résultat de l’action de résolution automatique peut influencer le calcul du niveau de risque de l’appareil basé sur les alertes actives trouvées sur un appareil.
- Si un analyste des opérations de sécurité définit manuellement l’état d’une alerte sur « En cours » ou « Résolu », la fonctionnalité de résolution automatique ne la remplace pas.
Autoriser ou bloquer le fichier
Le blocage n’est disponible que si votre organisation remplit les conditions suivantes :
- Utilise l’Antivirus Microsoft Defender comme solution anti-programme malveillant active et,
- La fonctionnalité de protection basée sur le cloud est activée
Cette fonctionnalité vous permet de bloquer les fichiers potentiellement malveillants dans votre réseau. Le blocage d’un fichier empêche sa lecture, son écriture ou son exécution sur les appareils de votre organisation.
Pour activer l’option Autoriser ou bloquer les fichiers :
Dans le portail Microsoft Defender, dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités>avancées> générales >Autoriser ou bloquer le fichier.
Basculez le paramètre entre Activé et Désactivé.
Sélectionnez Enregistrer les préférences en bas de la page.
Après avoir activé cette fonctionnalité, vous pouvez bloquer les fichiers via l’onglet Ajouter un indicateur sur la page de profil d’un fichier.
Masquer les enregistrements d’appareils en double potentiels
En activant cette fonctionnalité, vous pouvez vous assurer que vous voyez les informations les plus précises sur vos appareils en masquant les enregistrements potentiels des appareils en double. Il existe différentes raisons pour lesquelles des enregistrements d’appareil en double peuvent se produire, par exemple, la fonctionnalité de découverte d’appareil dans Microsoft Defender pour point de terminaison peut analyser votre réseau et découvrir un appareil qui est déjà intégré ou qui a récemment été désactivé.
Cette fonctionnalité identifie les appareils en double potentiels en fonction de leur nom d’hôte et de l’heure de la dernière consultation. Les appareils en double seront masqués dans plusieurs expériences dans le portail, telles que l’inventaire des appareils, les pages Gestion des vulnérabilités Microsoft Defender et les API publiques pour les données de l’ordinateur, laissant ainsi visible l’enregistrement d’appareil le plus précis. Toutefois, les doublons seront toujours visibles dans les pages de recherche globale, de repérage avancé, d’alertes et d’incidents.
Ce paramètre est activé par défaut et est appliqué à l’ensemble du locataire. Si vous ne souhaitez pas masquer les enregistrements d’appareil en double potentiels, vous devez désactiver manuellement la fonctionnalité.
Indicateurs réseau personnalisés
L’activation de cette fonctionnalité vous permet de créer des indicateurs pour les adresses IP, les domaines ou les URL, qui déterminent s’ils seront autorisés ou bloqués en fonction de votre liste d’indicateurs personnalisés.
Pour utiliser cette fonctionnalité, les appareils doivent exécuter Windows 10 version 1709 ou ultérieure, ou Windows 11. Ils doivent également avoir une protection réseau en mode bloc et la version 4.18.1906.3 ou ultérieure de la plateforme anti-programme malveillant voir kb 4052623.
Pour plus d’informations, consultez Gérer les indicateurs.
Remarque
La protection réseau tire parti des services de réputation qui traitent les demandes dans des emplacements qui peuvent se trouver en dehors de l’emplacement que vous avez sélectionné pour vos données Defender pour point de terminaison.
Protection contre les falsifications
Pendant certains types de cyberattaques, des acteurs malveillants tentent de désactiver les fonctionnalités de sécurité, telles que la protection antivirus, sur vos machines. Les acteurs malveillants aiment désactiver vos fonctionnalités de sécurité pour faciliter l’accès à vos données, installer des programmes malveillants ou exploiter vos données, identité et appareils. La protection contre les falsifications verrouille essentiellement l’Antivirus Microsoft Defender et empêche vos paramètres de sécurité d’être modifiés par le biais d’applications et de méthodes.
Pour plus d’informations, notamment sur la configuration de la protection contre les falsifications, consultez Protéger les paramètres de sécurité avec la protection contre les falsifications.
Afficher les détails de l’utilisateur
Activez cette fonctionnalité pour voir les détails de l’utilisateur stockés dans l’ID Microsoft Entra. Les détails incluent l’image, le nom, le titre et les informations de service d’un utilisateur lors de l’examen des entités de compte d’utilisateur. Vous trouverez les informations de compte d’utilisateur dans les affichages suivants :
- File d’attente d’alerte
- Page détails de l’appareil
Pour plus d’informations, consultez Examiner un compte d’utilisateur.
Intégration de Skype Entreprise
L’activation de l’intégration de Skype Entreprise vous permet de communiquer avec les utilisateurs à l’aide de Skype Entreprise, d’un e-mail ou d’un téléphone. Cette activation peut être utile lorsque vous devez communiquer avec l’utilisateur et atténuer les risques.
Remarque
Lorsqu’un appareil est isolé du réseau, il existe une fenêtre contextuelle dans laquelle vous pouvez choisir d’activer les communications Outlook et Skype qui autorise les communications avec l’utilisateur lorsqu’il est déconnecté du réseau. Ce paramètre s’applique aux communications Skype et Outlook lorsque les appareils sont en mode d’isolation.
Microsoft Defender for Cloud Apps
L’activation de ce paramètre transfère les signaux Defender pour point de terminaison à Microsoft Defender for Cloud Apps pour fournir une visibilité plus approfondie de l’utilisation des applications cloud. Les données transférées sont stockées et traitées au même emplacement que vos données Defender for Cloud Apps.
Remarque
Cette fonctionnalité sera disponible avec une licence E5 pour Enterprise Mobility + Security sur les appareils exécutant Windows 10, version 1709 (build du système d’exploitation 16299.1085 avec KB4493441), Windows 10, version 1803 (build du système d’exploitation 17134.704 avec KB4493464), Windows 10, version 1809 (build du système d’exploitation 17763.379 avec KB4489899), versions ultérieures de Windows 10 ou Windows 11.
Filtrage du contenu web
Bloquer l’accès aux sites web contenant du contenu indésirable et suivre l’activité web dans tous les domaines. Pour spécifier les catégories de contenu web que vous souhaitez bloquer, créez une stratégie de filtrage de contenu web. Vérifiez que vous avez une protection réseau en mode bloc lors du déploiement de la base de référence de sécurité Microsoft Defender pour point de terminaison.
Journal d’audit unifié
La recherche dans Microsoft Purview permet à votre équipe de sécurité et de conformité d’afficher les données critiques des événements du journal d’audit pour obtenir des insights et examiner les activités des utilisateurs. Chaque fois qu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit Microsoft 365 pour votre organisation. Pour plus d’informations, consultez Rechercher dans le journal d’audit.
Découverte d’appareils
Vous aide à trouver des appareils non gérés connectés à votre réseau d’entreprise sans avoir besoin d’appliances supplémentaires ou de modifications de processus fastidieuses. À l’aide d’appareils intégrés, vous pouvez trouver des appareils non gérés dans votre réseau et évaluer les vulnérabilités et les risques. Pour plus d’informations, consultez Découverte d’appareils.
Remarque
Vous pouvez toujours appliquer des filtres pour exclure les appareils non gérés de la liste d’inventaire des appareils. Vous pouvez également utiliser la colonne d’état de l’intégration sur les requêtes d’API pour filtrer les appareils non gérés.
Télécharger les fichiers mis en quarantaine
Sauvegardez les fichiers mis en quarantaine dans un emplacement sécurisé et conforme afin qu’ils puissent être téléchargés directement à partir de la mise en quarantaine. Le bouton Télécharger le fichier sera toujours disponible dans la page du fichier. Ce paramètre est activé par défaut. En savoir plus sur la configuration requise
Connectivité simplifiée par défaut lors de l’intégration d’appareils dans le portail Defender
Ce paramètre définit le package d’intégration par défaut sur une connectivité rationalisée pour les systèmes d’exploitation applicables. Vous avez toujours la possibilité d’utiliser le package d’intégration standard dans la page d’intégration, mais vous devez le sélectionner spécifiquement dans la liste déroulante.
Réponse en direct
Activez cette fonctionnalité afin que les utilisateurs disposant des autorisations appropriées puissent démarrer une session de réponse en direct sur les appareils.
Pour plus d’informations sur les attributions de rôles, consultez Créer et gérer des rôles.
Réponse en direct pour les serveurs
Activez cette fonctionnalité afin que les utilisateurs disposant des autorisations appropriées puissent démarrer une session de réponse en direct sur les serveurs.
Pour plus d’informations sur les attributions de rôles, consultez Créer et gérer des rôles.
Exécution de script non signé de réponse en direct
L’activation de cette fonctionnalité vous permet d’exécuter des scripts non signés dans une session de réponse en direct.
Tromperie
Deception permet à votre équipe de sécurité de gérer et de déployer des leurres et des leurres pour intercepter les attaquants dans votre environnement. Une fois que vous avez activé cette option, accédez à Règles > de tromperie pour exécuter des campagnes de tromperie. Consultez Gérer la fonctionnalité de tromperie dans Microsoft Defender XDR.
Partager des alertes de point de terminaison avec le Centre de conformité Microsoft
Transfère les alertes de sécurité de point de terminaison et leur état de triage au portail de conformité Microsoft Purview, ce qui vous permet d’améliorer les stratégies de gestion des risques internes avec des alertes et de corriger les risques internes avant qu’ils ne provoquent des dommages. Les données transférées sont traitées et stockées au même emplacement que vos données Office 365.
Après avoir configuré les indicateurs de violation de stratégie de sécurité dans les paramètres de gestion des risques internes, les alertes Defender pour point de terminaison sont partagées avec la gestion des risques internes pour les utilisateurs concernés.
Connexion Microsoft Intune
Defender pour point de terminaison peut être intégré à Microsoft Intune pour activer l’accès conditionnel basé sur les risques de l’appareil. Lorsque vous activez cette fonctionnalité, vous pouvez partager des informations sur les appareils Defender pour point de terminaison avec Intune, ce qui améliore l’application de la stratégie.
Importante
Vous devez activer l’intégration sur Intune et Defender pour point de terminaison pour utiliser cette fonctionnalité. Pour plus d’informations sur les étapes spécifiques, consultez Configurer l’accès conditionnel dans Defender pour point de terminaison.
Cette fonctionnalité n’est disponible que si vous disposez des conditions préalables suivantes :
- Un locataire sous licence pour Enterprise Mobility + Security E3 et Windows E5 (ou Microsoft 365 Entreprise E5)
- Un environnement Microsoft Intune actif, avec des appareils Windows gérés par Intune joints à Microsoft Entra.
Télémétrie authentifiée
Vous pouvez activer la télémétrie authentifiée pour empêcher l’usurpation de la télémétrie dans votre tableau de bord.
Fonctionnalités de préversion
Découvrez les nouvelles fonctionnalités de la préversion de Defender pour point de terminaison.
Essayez les fonctionnalités à venir en activant l’expérience en préversion. Vous aurez accès aux fonctionnalités à venir, sur lesquelles vous pouvez fournir des commentaires pour vous aider à améliorer l’expérience globale avant que les fonctionnalités ne soient généralement disponibles.
Si vous avez déjà activé les fonctionnalités d’aperçu, gérez vos paramètres à partir des paramètres principaux de Defender XDR.
Pour plus d’informations, consultez Fonctionnalités en préversion de Microsoft Defender XDR
Notifications d’attaque de point de terminaison
Les notifications d’attaque de point de terminaison permettent à Microsoft de rechercher activement les menaces critiques à hiérarchiser en fonction de l’urgence et de l’impact sur vos données de point de terminaison.
Pour une chasse proactive dans toute l’étendue de Microsoft Defender XDR, y compris les menaces qui couvrent la messagerie électronique, la collaboration, l’identité, les applications cloud et les points de terminaison, en savoir plus sur les experts Microsoft Defender.
Voir aussi
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour