Microsoft Defender pour point de terminaison Antivirus et intégration d’Intune

Configuration requise

Systèmes d’exploitation pris en charge

• Windows
• macOS
• Android

Dans le portail Microsoft Defender, vous pouvez afficher et gérer les détections de menaces en procédant comme suit :

1. Visitez le portail Microsoft XDR et connectez-vous.

   Sur la page d’accueil, vous voyez les appareils avec des programmes malveillants actifs carte avec les informations suivantes :

   • Texte d’affichage : s’applique aux appareils gérés par Intune. Les appareils avec plusieurs détections de programmes malveillants peuvent être comptés plusieurs fois.
   • Date et heure de la dernière mise à jour.
   • Barre avec les parties Active et Malware corrigées en fonction de votre analyse.

   Vous pouvez sélectionner Afficher les détails pour plus d’informations.

2. Une fois corrigé, le texte suivant s’affiche :

   Les programmes malveillants détectés sur vos appareils ont été corrigés avec succès.

Gérer les détections de menaces dans Microsoft Intune

Vous pouvez gérer les détections de menaces pour tous les appareils inscrits dans Microsoft Intune en procédant comme suit :

1. Accédez au Centre d’administration Microsoft Intune à l’adresse intune.microsoft.com et connexion.

2. Dans le volet de navigation, sélectionnez Sécurité du point de terminaison.

3. Sous Gérer, sélectionnez Antivirus. Les onglets Résumé, Points de terminaison non sains et Programmes malveillants actifs s’affichent.

4. Passez en revue les informations sur les onglets disponibles, puis prenez les mesures nécessaires.

   Par exemple, lorsque vous pouvez sélectionner un appareil répertorié sous l’onglet Programme malveillant actif , vous pouvez choisir une action dans la liste des actions fournies :

   • Redémarrer
   • Analyse rapide
   • Analyse complète
   • Synchronisation
   • Mettre à jour les signatures

Foires aux questions

Dans le rapport Du portail > Microsoft XDR Appareils avec des programmes malveillants > actifs Appareils avec détections de programmes malveillants, pourquoi la dernière mise à jour semble-t-elle avoir lieu aujourd’hui ?

Pour voir quand le programme malveillant a été détecté, vous pouvez effectuer les étapes suivantes :

1. Étant donné qu’il s’agit d’une intégration à Intune, visitez le portail Intune , sélectionnez Antivirus , puis sélectionnez l’onglet Programmes malveillants actifs .

2. Cliquez sur Exporter.

3. Sur votre appareil, accédez à Téléchargements et extrayez le Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip fichier.

4. Ouvrez le fichier CSV et recherchez la colonne LastStateChangeDateTime pour voir quand un programme malveillant a été détecté.

Dans le rapport appareils avec détections de programmes malveillants, pourquoi ne puis-je pas voir des informations sur les programmes malveillants qui ont été détectés sur l’appareil.

Pour voir le nom du programme malveillant, visitez le portail Intune , car il s’agit d’une intégration à Intune, sélectionnez Antivirus, puis sélectionnez l’onglet Programmes malveillants actifs et vous voyez une colonne nommée Nom du programme malveillant.

Je vois un numéro différent pour les programmes malveillants actifs dans le rapport Appareils avec des programmes malveillants actifs, par rapport aux nombres que je vois à l’aide des programmes malveillants détectés rapports > et antivirus Intune >> Programme malveillant actif.

Le rapport Appareils avec des programmes malveillants actifs est basé sur les appareils qui étaient actifs au cours des 1 derniers jours (24 heures) et qui ont été détectés par des programmes malveillants au cours des 15 derniers jours.

Utilisez la requête De chasse avancée suivante :

DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp

J’ai recherché le nom de l’ordinateur dans la barre de recherche supérieure et j’ai obtenu deux appareils portant le même nom. Je ne sais pas à quel appareil le rapport fait référence ?

Utilisez la requête De chasse avancée mentionnée ici pour obtenir des détails tels que DeviceID unique, Title, AlertID et le processus de correction. Après l’identification, collaborez avec votre administrateur informatique pour vous assurer que les appareils portent un nom unique. Si un appareil est mis hors service, utilisez des balises pour le désactiver.

Je vois la détection de programmes malveillants dans Intune et sur le rapport Appareils avec des programmes malveillants actifs, mais je ne la vois pas dans la file d’attente des alertes MDE ou dans la file d’attente Des incidents.

Il se peut que la protection cloud de l’URL ne soit actuellement pas autorisée via votre pare-feu ou votre proxy.

Vous devez vous assurer que lorsque vous exécutez %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection sur votre appareil, les rapports sont ok.

Je vois un appareil qui a été inactif pendant plus de 180 jours, mais qui s’affiche toujours dans le rapport pour « Appareils avec un programme malveillant actif ». L’appareil ne s’affiche pas dans « Inventaire de l’appareil », ne peut pas être activé et ne peut pas être désactivé à partir de Microsoft Defender pour point de terminaison.

L’appareil n’a pas été retiré d’Intune.

Articles connexes

• Alertes dans Microsoft Defender pour point de terminaison
• File d’attente d’alertes dans Microsoft Defender XDR