Évaluation des bases de référence de sécurité

  • Article

S’applique à :

Remarque

Pour utiliser cette fonctionnalité, vous devez Gestion des vulnérabilités Microsoft Defender autonome ou, si vous êtes déjà un client Microsoft Defender pour point de terminaison Plan 2, le module complémentaire Gestion des vulnérabilités Defender.

Au lieu d’exécuter des analyses de conformité sans fin, l’évaluation des bases de référence de sécurité vous permet de surveiller en continu et facilement la conformité des bases de référence de sécurité de votre organization et d’identifier les modifications en temps réel.

Un profil de base de référence de sécurité est un profil personnalisé que vous pouvez créer pour évaluer et surveiller les points de terminaison dans votre organization par rapport aux points de référence de sécurité du secteur. Lorsque vous créez un profil de base de référence de sécurité, vous créez un modèle composé de plusieurs paramètres de configuration d’appareil et d’un point de référence de base à comparer.

Les bases de référence de sécurité prennent en charge les benchmarks CIS (Center for Internet Security) pour Windows 10, Windows 11 et Windows Server 2008 R2 et versions ultérieures, ainsi que les repères STIG (Security Technical Implementation Guides) pour Windows 10 et Windows Server 2019.

Remarque

Actuellement, les benchmarks prennent uniquement en charge les configurations d’objet stratégie de groupe (GPO) et non Microsoft Configuration Manager (Intune).

Conseil

Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.

Bien démarrer avec l’évaluation des bases de référence de sécurité

  1. Accédez à Gestion des> vulnérabilitésÉvaluation des bases de référence dans le portail Microsoft Defender.

  2. Sélectionnez l’onglet Profils en haut, puis sélectionnez le bouton Create profil.

  3. Entrez un nom et une description pour votre profil de bases de référence de sécurité, puis sélectionnez Suivant.

  4. Dans la page Étendue du profil de base , définissez les paramètres de profil tels que le logiciel, le point de référence de base (CIS ou STIG) et le niveau de conformité, puis sélectionnez Suivant.

  5. Sélectionnez les configurations que vous souhaitez inclure dans le profil.

    Capture d’écran de la page Ajouter des paramètres de configuration

    Sélectionnez Personnaliser si vous souhaitez modifier la valeur de configuration de seuil pour votre organization.

    Capture d’écran de la page personnaliser les paramètres de configuration

  6. Sélectionnez Suivant pour choisir les groupes d’appareils et les étiquettes d’appareils que vous souhaitez inclure dans le profil de base de référence. Le profil sera automatiquement appliqué aux appareils ajoutés à ces groupes à l’avenir.

  7. Sélectionnez Suivant pour passer en revue le profil.

  8. Sélectionnez Envoyer pour créer votre profil.

  9. Dans la dernière page, sélectionnez Afficher la page de profil pour afficher les résultats de l’évaluation.

Remarque

Vous pouvez créer plusieurs profils pour le même système d’exploitation avec différentes personnalisations.

Lorsque vous personnalisez une configuration, une icône apparaît à côté de celle-ci pour indiquer qu’elle a été personnalisée et qu’elle n’utilise plus la valeur recommandée. Sélectionnez le bouton réinitialiser pour revenir à la valeur recommandée.

Icônes utiles à connaître :

Configuration précédemment personnalisée : cette configuration a été personnalisée auparavant. Lorsque vous créez un profil, si vous sélectionnez Personnaliser, vous verrez les variantes disponibles parmi lesquelles vous pouvez choisir.

Ne pas utiliser la valeur par défaut : cette configuration a été personnalisée et n’utilise pas la valeur par défaut.

Vue d’ensemble de l’évaluation des bases de référence de sécurité

Dans la page vue d’ensemble de l’évaluation des bases de référence de sécurité, vous pouvez afficher la conformité des appareils, la conformité des profils, les principaux appareils défaillants et les appareils les plus mal configurés.

Passer en revue les résultats de l’évaluation du profil de base de référence de sécurité

  1. Dans la page Profils , sélectionnez l’un de vos profils pour ouvrir un menu volant contenant des informations supplémentaires.

    Capture d’écran de la page de profil de base

  2. Sélectionnez Ouvrir la page de profil. La page de profil contient deux onglets Configurations et Appareils.

Afficher par configuration

Sous l’onglet Configurations , vous pouvez consulter la liste des configurations et évaluer leur état de conformité signalé.

Onglet Configuration dans la page de profil

En sélectionnant une configuration dans la liste, vous verrez un menu volant avec les détails du paramètre de stratégie, notamment la valeur recommandée (plage de valeurs attendue pour un appareil à considérer comme conforme) et la source utilisée pour déterminer les paramètres actuels de l’appareil.

Détails du menu volant de configuration dans la page de profil

L’onglet Appareils affiche une liste de tous les appareils applicables et leur état de conformité par rapport à cette configuration spécifique. Pour chaque appareil, vous pouvez utiliser la valeur actuelle détectée pour voir pourquoi il est conforme ou non conforme.

Capture d’écran de la page de conformité de la base de référence

Afficher par appareil

Sous l’onglet Main Appareils, vous pouvez consulter la liste des appareils et évaluer leur état de conformité signalé.

En sélectionnant un appareil dans la liste, vous verrez un menu volant avec des détails supplémentaires.

Onglet Appareils dans la page de profil

Sélectionnez l’onglet Configuration pour afficher la conformité de cet appareil spécifique par rapport à toutes les configurations de profil.

En haut du panneau latéral de l’appareil, sélectionnez Ouvrir la page de l’appareil pour accéder à la page de l’appareil dans l’inventaire des appareils. La page de l’appareil affiche l’onglet Conformité de référence qui fournit une visibilité précise de la conformité de l’appareil.

En sélectionnant une configuration dans la liste, vous voyez un menu volant avec les détails de conformité pour le paramètre de stratégie sur cet appareil.

Create et gérer les exceptions

Vous pouvez avoir des cas où vous ne souhaitez pas évaluer des configurations spécifiques sur certains appareils. Par exemple, un appareil peut être sous le contrôle d’un tiers ou disposer d’une autre atténuation déjà en place. Dans ces situations, vous pouvez ajouter des exceptions pour exclure l’évaluation de configurations spécifiques sur un appareil.

Les appareils inclus dans les exceptions ne seront pas évalués pour les configurations spécifiées dans les profils de base. Cela signifie qu’il n’affecte pas les métriques et le score d’un organization, et qu’il peut aider les organisations à avoir une vision plus claire de leur conformité.

Pour afficher les exceptions :

  1. Accédez à Gestion des> vulnérabilitésÉvaluation des bases de référence dans le portail Microsoft Defender.
  2. Sélectionnez l’onglet Exceptions en haut

Onglet Exceptions dans la page de profil

Pour ajouter une nouvelle exception :

  1. Sous l’onglet Exceptions, sélectionnez le bouton Create.

  2. Renseignez les détails demandés, y compris le motif de justification et la durée.

  3. Sélectionnez Suivant.

  4. Dans la page Étendue de la configuration , choisissez le logiciel, le benchmark de base et le niveau de conformité, puis sélectionnez Suivant.

  5. Sélectionnez les configurations que vous souhaitez ajouter à l’exception.

    Capture d’écran de la page des exceptions de configuration

  6. Sélectionnez Suivant pour choisir les appareils que vous souhaitez inclure dans l’exception. L’exception sera automatiquement appliquée aux appareils.

  7. Sélectionnez Suivant pour passer en revue l’exception.

  8. Sélectionnez Envoyer pour créer votre exception.

  9. Dans la dernière page, sélectionnez Afficher toutes les exceptions pour revenir à la page des exceptions.

Dans la page Exceptions, sélectionnez l’une de vos exceptions pour ouvrir un volet volant dans lequel vous pouvez voir les status, modifier ou supprimer votre exception :

Capture d’écran de la page de détails côté exceptions

Utiliser la chasse avancée

Vous pouvez exécuter des requêtes de repérage avancées sur les tables suivantes pour obtenir une visibilité sur les bases de référence de sécurité dans votre organization :

  • DeviceBaselineComplianceProfiles : fournit des détails sur les profils créés.
  • DeviceBaselineComplianceAssessment : informations relatives à la conformité des appareils.
  • DeviceBaselineComplianceAssessmentKB : paramètres généraux pour les benchmarks CIS et STIG (non liés à un appareil).