Comprendre et utiliser les fonctionnalités de réduction de la surface d’attaque

S’applique à :

• Microsoft Defender XDR
• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Antivirus Microsoft Defender

Plateformes

• Windows

Conseil

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Les surfaces d’attaque sont tous les endroits où votre organization est vulnérable aux cybermenaces et aux attaques. Defender pour point de terminaison inclut plusieurs fonctionnalités permettant de réduire vos surfaces d’attaque. Regardez la vidéo suivante pour en savoir plus sur la réduction de la surface d’attaque.

Configurer les fonctionnalités de la réduction de la surface d’attaque

Pour configurer la réduction de la surface d’attaque dans votre environnement, procédez comme suit :

1. Activez l’isolation matérielle pour Microsoft Edge.

2. Activer les règles de réduction de la surface d’attaque.

3. Activez le contrôle d’application.

   1. Passez en revue les stratégies de base dans Windows. Consultez les exemples de stratégies de base.

   2. Consultez le guide de conception du contrôle d’application Windows Defender.

   3. Reportez-vous à Déploiement de stratégies WDAC (Windows Defender Application Control).

4. Activer l’accès contrôlé aux dossiers.

5. Activer la protection du stockage amovible.

6. Activez la protection réseau.

7. Activer la protection web.

8. Activez exploit protection.

9. Configurez votre pare-feu réseau.

   1. Obtenez une vue d’ensemble du Pare-feu Windows avec sécurité avancée.

   2. Utilisez le guide de conception du Pare-feu Windows pour décider de la façon dont vous souhaitez concevoir vos stratégies de pare-feu.

   3. Utilisez le guide de déploiement du Pare-feu Windows pour configurer le pare-feu de votre organization avec une sécurité avancée.

Conseil

Dans la plupart des cas, lorsque vous configurez les fonctionnalités de réduction de la surface d’attaque, vous pouvez choisir parmi plusieurs méthodes :

• Microsoft Intune
• Microsoft Configuration Manager
• Stratégie de groupe
• Cmdlets PowerShell

Réduction de la surface d’attaque de test dans Microsoft Defender pour point de terminaison

Dans le cadre de l’équipe de sécurité de votre organization, vous pouvez configurer les fonctionnalités de réduction de la surface d’attaque pour qu’elles s’exécutent en mode audit pour voir comment elles fonctionnent. Vous pouvez activer les fonctionnalités de sécurité de réduction de la surface d’attaque suivantes en mode audit :

• Règles de réduction des surfaces d'attaque
• Exploit Protection
• Protection réseau
• Accès contrôlé aux dossiers
• Contrôle des appareils

Le mode Audit vous permet de voir un enregistrement de ce qui se serait passé si la fonctionnalité avait été activée.

Vous pouvez activer le mode audit lors du test du fonctionnement des fonctionnalités. L’activation du mode audit uniquement pour les tests permet d’empêcher le mode audit d’affecter vos applications métier. Vous pouvez également avoir une idée du nombre de tentatives de modification de fichier suspectes sur une certaine période.

Les fonctionnalités ne bloquent pas ou n’empêchent pas les applications, les scripts ou les fichiers d’être modifiés. Toutefois, le journal des événements Windows enregistre les événements comme si les fonctionnalités étaient entièrement activées. Avec le mode audit, vous pouvez consulter le journal des événements pour voir l’effet que la fonctionnalité aurait eu si elle avait été activée.

Pour rechercher les entrées auditées, accédez à Applications et services>Microsoft>Windows>Windows Defender>Operational.

Utilisez Defender pour point de terminaison pour obtenir plus de détails sur chaque événement. Ces détails sont particulièrement utiles pour examiner les règles de réduction de la surface d’attaque. L’utilisation de la console Defender pour point de terminaison vous permet d’examiner les problèmes dans le cadre des scénarios de chronologie et d’investigation des alertes.

Vous pouvez activer le mode audit à l’aide de stratégie de groupe, De PowerShell et de fournisseurs de services de configuration (CSP).

Options d’audit	Comment activer le mode d’audit	Comment afficher les événements
L’audit s’applique à tous les événements	Activer l’accès contrôlé aux dossiers	Événements d’accès contrôlé aux dossiers
L’audit s’applique à des règles individuelles	Étape 1 : Tester les règles de réduction de la surface d’attaque à l’aide du mode Audit	Étape 2 : Comprendre la page de création de rapports sur les règles de réduction de la surface d’attaque
L’audit s’applique à tous les événements	Activer la protection réseau	Événements de protection réseau
L’audit s’applique aux atténuations individuelles	Activer la protection la protection contre les codes malveillants exploitant une faille de sécurité	Événements Exploit Protection

Par exemple, vous pouvez tester les règles de réduction de la surface d’attaque en mode audit avant de les activer en mode bloc. Les règles de réduction de la surface d’attaque sont prédéfinies pour renforcer les surfaces d’attaque courantes et connues. Il existe plusieurs méthodes que vous pouvez utiliser pour implémenter des règles de réduction de la surface d’attaque. La méthode préférée est documentée dans les articles suivants sur le déploiement des règles de réduction de la surface d’attaque :

• Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
• Planifier le déploiement des règles de réduction de la surface d’attaque
• Règles de réduction de la surface d’attaque de test
• Activer les règles de réduction de la surface d’attaque
• Opérationnaliser les règles de réduction de la surface d’attaque

Afficher les événements de la réduction de la surface d’attaque

Passez en revue les événements de réduction de la surface d’attaque dans observateur d'événements pour surveiller les règles ou paramètres qui fonctionnent. Vous pouvez également déterminer si des paramètres sont trop « bruyants » ou impactent votre flux de travail quotidien.

L’examen des événements est pratique lorsque vous évaluez les fonctionnalités. Vous pouvez activer le mode d’audit pour les fonctionnalités ou les paramètres, puis passer en revue ce qui se serait passé s’ils avaient été entièrement activés.

Cette section répertorie tous les événements, leur fonctionnalité ou paramètre associé, et explique comment créer des vues personnalisées pour filtrer sur des événements spécifiques.

Obtenez des rapports détaillés sur les événements, les blocs et les avertissements dans le cadre de Sécurité Windows si vous avez un abonnement E5 et utilisez Microsoft Defender pour point de terminaison.

Utiliser des vues personnalisées pour passer en revue les fonctionnalités de réduction de la surface d’attaque

Create des vues personnalisées dans le observateur d'événements Windows pour voir uniquement les événements pour des fonctionnalités et des paramètres spécifiques. Le moyen le plus simple consiste à importer une vue personnalisée en tant que fichier XML. Vous pouvez copier le code XML directement à partir de cette page.

Vous pouvez également accéder manuellement à la zone d’événements qui correspond à la fonctionnalité.

Importer une vue personnalisée XML existante

1. Create un fichier .txt vide et copiez le code XML de la vue personnalisée que vous souhaitez utiliser dans le fichier .txt. Effectuez cette opération pour chacune des vues personnalisées que vous souhaitez utiliser. Renommez les fichiers comme suit (veillez à modifier le type de .txt en .xml) :

   • Vue personnalisée des événements d’accès contrôlé aux dossiers : cfa-events.xml
   • Vue personnalisée des événements Exploit Protection : ep-events.xml
   • Vue personnalisée des événements de réduction de la surface d’attaque : asr-events.xml
   • Affichage personnalisé des événements de protection/réseau : np-events.xml

2. Tapez observateur d’événements dans le menu Démarrer et ouvrez observateur d'événements.

3. Sélectionnez Action>Importer la vue personnalisée...

   

4. Accédez à l’emplacement où vous avez extrait le fichier XML pour la vue personnalisée souhaitée, puis sélectionnez-le.

5. Sélectionnez Ouvrir.

6. Il crée une vue personnalisée qui filtre pour afficher uniquement les événements liés à cette fonctionnalité.

Copier le code XML directement

1. Tapez observateur d’événements dans le menu Démarrer et ouvrez le observateur d'événements Windows.

2. Dans le volet gauche, sous Actions, sélectionnez Create Affichage personnalisé...

   

3. Accédez à l’onglet XML et sélectionnez Modifier la requête manuellement. Vous voyez un avertissement indiquant que vous ne pouvez pas modifier la requête à l’aide de l’onglet Filtre si vous utilisez l’option XML. Sélectionnez Oui.

4. Collez le code XML de la fonctionnalité à partir de laquelle vous souhaitez filtrer les événements dans la section XML.

5. Sélectionnez OK. Spécifiez un nom pour votre filtre. Cette action crée une vue personnalisée qui filtre pour afficher uniquement les événements liés à cette fonctionnalité.

XML pour les événements de règle de réduction de la surface d’attaque

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pour les événements d’accès contrôlé aux dossiers

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pour les événements exploit protection

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML pour les événements de protection réseau

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste des événements de réduction de la surface d’attaque

Tous les événements de réduction de la surface d’attaque se trouvent sous Journaux > des applications et des services Microsoft > Windows , puis le dossier ou le fournisseur répertorié dans le tableau suivant.

Vous pouvez accéder à ces événements dans l’Observateur d’événements Windows :

1. Ouvrez le menu Démarrer et tapez Observateur d’événements, puis sélectionnez le résultat observateur d'événements.

2. Développez Journaux > des applications et des services Microsoft > Windows , puis accédez au dossier répertorié sous Fournisseur/source dans le tableau ci-dessous.

3. Double-cliquez sur le sous-élément pour afficher les événements. Faites défiler les événements pour trouver celui que vous recherchez.

   

Fonctionnalité	Fournisseur/source	ID d’événement	Description
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	1	Audit ACG
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	2	Forcer ACG
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	3	Ne pas autoriser l’audit des processus enfants
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	4	Ne pas autoriser le blocage des processus enfants
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	5	Bloquer l’audit des images à faible intégrité
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	6	Bloquer le blocage des images à faible intégrité
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	7	Bloquer l’audit des images distantes
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	8	Bloquer le blocage des images distantes
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	9	Désactiver l’audit des appels système win32k
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	10	Désactiver le blocage des appels système win32k
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	11	Audit de la protection d’intégrité du code
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	12	Blocage de la protection d’intégrité du code
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	13	Audit EAF
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	14	Forcer EAF
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	15	Audit EAF+
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	16	Forcer EAF+
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	17	Audit IAF
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	18	Forcer IAF
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	19	Audit de StackPivot ROP
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	20	Forcer StackPivot ROP
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	21	Audit de CallerCheck ROP
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	22	Forcer CallerCheck ROP
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	23	Audit de SimExec ROP
Exploit Protection	Atténuations de sécurité (mode noyau/mode utilisateur)	24	Forcer SimExec ROP
Exploit Protection	WER-Diagnostics	5	Bloquer CFG
Exploit Protection	Win32K (opérationnel)	260	Police non approuvée
Protection réseau	Windows Defender (opérationnel)	5007	Événement lorsque les paramètres sont modifiés
Protection réseau	Windows Defender (opérationnel)	1125	Événement lorsque la protection du réseau se déclenche en mode Audit
Protection réseau	Windows Defender (opérationnel)	1126	Événement lorsque la protection du réseau se déclenche en mode Bloc
Accès contrôlé aux dossiers	Windows Defender (opérationnel)	5007	Événement lorsque les paramètres sont modifiés
Accès contrôlé aux dossiers	Windows Defender (opérationnel)	1124	Événement audité d’accès contrôlé aux dossiers
Accès contrôlé aux dossiers	Windows Defender (opérationnel)	1123	Événement d’accès contrôlé aux dossiers bloqué
Accès contrôlé aux dossiers	Windows Defender (opérationnel)	1127	Événement de blocage de bloc d’écriture du secteur d’accès contrôlé aux dossiers
Accès contrôlé aux dossiers	Windows Defender (opérationnel)	1128	Audited Controlled folder access sector write block event
Réduction de la surface d'attaque	Windows Defender (opérationnel)	5007	Événement lorsque les paramètres sont modifiés
Réduction de la surface d'attaque	Windows Defender (opérationnel)	1122	Événement lorsque la règle se déclenche en mode Audit
Réduction de la surface d'attaque	Windows Defender (opérationnel)	1121	Événement lorsque la règle se déclenche en mode Bloc

Remarque

Du point de vue de l’utilisateur, les notifications de réduction de la surface d’attaque en mode Avertissement sont effectuées sous la forme d’une notification Toast Windows pour les règles de réduction de la surface d’attaque.

Dans la réduction de la surface d’attaque, la protection réseau fournit uniquement les modes Audit et Bloc.

Ressources pour en savoir plus sur la réduction de la surface d’attaque

Comme mentionné dans la vidéo, Defender pour point de terminaison inclut plusieurs fonctionnalités de réduction de la surface d’attaque. Utilisez les ressources suivantes pour en savoir plus :

Article	Description
Contrôle d’application	Utilisez le contrôle d’application afin que vos applications doivent gagner la confiance pour s’exécuter.
Informations de référence sur les règles de réduction de la surface d’attaque	Fournit des détails sur chaque règle de réduction de la surface d’attaque.
Guide de déploiement des règles de réduction de la surface d’attaque	Présente des informations générales et des prérequis pour le déploiement de règles de réduction de la surface d’attaque, suivis d’instructions pas à pas pour le test (mode audit), l’activation (mode bloc) et la surveillance.
Accès contrôlé aux dossiers	Empêchez les applications malveillantes ou suspectes (y compris les logiciels malveillants ransomware de chiffrement de fichiers) d’apporter des modifications aux fichiers de vos dossiers système clés (Nécessite Microsoft Defender Antivirus).
Contrôle des appareils	Protège contre la perte de données en surveillant et en contrôlant les médias utilisés sur les appareils, tels que le stockage amovible et les lecteurs USB, dans votre organization.
Exploit Protection	Protégez les systèmes d’exploitation et les applications que votre organization utilise contre l’exploitation. Exploit Protection fonctionne également avec des solutions antivirus tierces.
Isolation basée sur le matériel	Protégez et maintenez l’intégrité d’un système au démarrage et pendant son exécution. Validez l’intégrité du système par le biais d’une attestation locale et distante. Utilisez l’isolation de conteneur pour Microsoft Edge afin de vous protéger contre les sites web malveillants.
Protection du réseau	Étendez la protection au trafic réseau et à la connectivité sur les appareils de votre organisation. (Nécessite l’antivirus Microsoft Defender).
Règles de réduction de la surface d’attaque de test	Fournit des étapes pour utiliser le mode d’audit pour tester les règles de réduction de la surface d’attaque.
Protection web	La protection web vous permet de sécuriser vos appareils contre les menaces web et de réglementer le contenu indésirable.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.