Partager via

Détection de point de terminaison et réponse en mode bloc

  • Article

S’applique à :

Plateformes

  • Windows

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article décrit EDR en mode bloc, qui permet de protéger les appareils qui exécutent une solution antivirus non-Microsoft (avec Antivirus Microsoft Defender en mode passif).

Qu’est-ce que l’EDR en mode bloc ?

La détection et la réponse des points de terminaison (EDR) en mode bloc offrent une protection supplémentaire contre les artefacts malveillants lorsque l’Antivirus Microsoft Defender n’est pas le produit antivirus principal et s’exécute en mode passif. EDR en mode bloc est disponible dans Defender pour point de terminaison Plan 2.

Importante

EDR en mode bloc ne peut pas fournir toute la protection disponible lorsque la protection en temps réel de l’Antivirus Microsoft Defender est en mode passif. Certaines fonctionnalités qui dépendent de l’Antivirus Microsoft Defender pour être la solution antivirus active ne fonctionnent pas, comme les exemples suivants :

  • La protection en temps réel, y compris l’analyse à l’accès, et l’analyse planifiée n’est pas disponible lorsque l’Antivirus Microsoft Defender est en mode passif. Pour en savoir plus sur les paramètres de stratégie de protection en temps réel, consultez Activer et configurer la protection always-on de l’Antivirus Microsoft Defender.
  • Les fonctionnalités telles que les règles et indicateurs de protection réseau et de réduction de la surface d’attaque (hachage de fichier, adresse IP, URL et certificats) ne sont disponibles que lorsque l’Antivirus Microsoft Defender s’exécute en mode actif. Il est prévu que votre solution antivirus non-Microsoft inclue ces fonctionnalités.

EDR en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés par les fonctionnalités EDR. Ces artefacts ont peut-être été manqués par le produit antivirus principal non-Microsoft. EDR en mode bloc permet à l’Antivirus Microsoft Defender d’effectuer des actions sur les détections EDR comportementales post-violation.

EDR en mode bloc est intégré aux fonctionnalités de gestion des menaces & des vulnérabilités . L’équipe de sécurité de votre organisation reçoit une recommandation de sécurité pour activer EDR en mode bloc s’il n’est pas déjà activé.

La recommandation d’activer EDR en mode bloc

Conseil

Pour obtenir la meilleure protection, veillez à déployer des bases de référence Microsoft Defender pour point de terminaison.

Regardez cette vidéo pour découvrir pourquoi et comment activer la détection et la réponse des points de terminaison (EDR) en mode bloc, activer le blocage comportemental et l’autonomie à chaque étape, de la pré-violation à l’après-violation.

Que se passe-t-il lorsqu’un élément est détecté ?

Quand EDR en mode bloc est activé et qu’un artefact malveillant est détecté, Defender pour point de terminaison corrige cet artefact. Votre équipe des opérations de sécurité voit l’état de détection bloqué ou empêché dans le centre de notifications, répertorié comme actions terminées. L’image suivante montre une instance de logiciels indésirables détectés et corrigés via EDR en mode bloc :

Détection par EDR en mode bloc

Activer EDR en mode bloc

Importante

  • Assurez-vous que les conditions requises sont remplies avant d’activer EDR en mode bloc.
  • Les licences Defender pour point de terminaison Plan 2 sont requises.
  • À compter de la version de plateforme 4.18.2202.X, vous pouvez définir EDR en mode bloc pour cibler des groupes d’appareils spécifiques à l’aide de csp Intune. Vous pouvez continuer à définir EDR en mode bloc à l’échelle du locataire dans le portail Microsoft Defender.
  • EDR en mode bloc est principalement recommandé pour les appareils qui exécutent Antivirus Microsoft Defender en mode passif (une solution antivirus non-Microsoft est installée et active sur l’appareil).

Portail Microsoft Defender

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com/) et connectez-vous.

  2. Choisissez Paramètres>Points de terminaisonFonctionnalités générales>avancées>.

  3. Faites défiler vers le bas, puis activez Activer EDR en mode bloc.

Intune

Pour créer une stratégie personnalisée dans Intune, consultez Déployer OMA-URIs pour cibler un fournisseur de solutions Cloud via Intune et une comparaison avec l’environnement local.

Pour plus d’informations sur le fournisseur de services de configuration Defender utilisé pour EDR en mode bloc, consultez « Configuration/PassiveRemediation » sous Defender CSP.

Configuration requise pour EDR en mode bloc

Le tableau suivant répertorie la configuration requise pour EDR en mode bloc :

Conditions requises Détails
Autorisations Le rôle Administrateur général ou Administrateur de la sécurité doit être attribué dans l’ID Microsoft Entra. Pour plus d’informations, consultez Autorisations de base.
Système d’exploitation Les appareils doivent exécuter l’une des versions suivantes de Windows :
- Windows 11
- Windows 10 (toutes les versions)
- Windows Server 2019 ou version ultérieure
- Windows Server, version 1803 ou ultérieure
- Windows Server 2016 et Windows Server 2012 R2 (avec la nouvelle solution cliente unifiée)
Microsoft Defender pour point de terminaison Plan 2 Les appareils doivent être intégrés à Defender pour point de terminaison. Consultez les articles suivants :
- Configuration minimale requise pour Microsoft Defender pour point de terminaison
- Intégrer des appareils et configurer les fonctionnalités de Microsoft Defender pour point de terminaison
- Intégrer des serveurs Windows au service Defender pour point de terminaison
- Nouvelles fonctionnalités Windows Server 2012 R2 et 2016 dans la solution unifiée moderne
(Voir EDR en mode bloc pris en charge sur Windows Server 2016 et Windows Server 2012 R2 ?)
Antivirus Microsoft Defender L’Antivirus Microsoft Defender doit être installé sur les appareils et s’exécuter en mode actif ou passif. Vérifiez que l’Antivirus Microsoft Defender est en mode actif ou passif.
Protection fournie par le cloud L’Antivirus Microsoft Defender doit être configuré de telle sorte que la protection fournie par le cloud soit activée.
Plateforme antivirus Microsoft Defender Les appareils doivent être à jour. Pour confirmer, à l’aide de PowerShell, exécutez l’applet de commande Get-MpComputerStatus en tant qu’administrateur. Dans la ligne AMProductVersion , vous devez voir 4.18.2001.10 ou une version ultérieure.

Pour plus d’informations, consultez Gérer les mises à jour Antivirus Microsoft Defender et appliquer des lignes de base.
Moteur antivirus Microsoft Defender Les appareils doivent être à jour. Pour confirmer, à l’aide de PowerShell, exécutez l’applet de commande Get-MpComputerStatus en tant qu’administrateur. Dans la ligne AMEngineVersion , vous devez voir 1.1.16700.2 ou une version ultérieure.

Pour plus d’informations, consultez Gérer les mises à jour Antivirus Microsoft Defender et appliquer des lignes de base.

Importante

Pour obtenir la meilleure valeur de protection, assurez-vous que votre solution antivirus est configurée pour recevoir des mises à jour régulières et des fonctionnalités essentielles, et que vos exclusions sont configurées. EDR en mode bloc respecte les exclusions définies pour l’Antivirus Microsoft Defender, mais pas les indicateurs définis pour Microsoft Defender pour point de terminaison.

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.