Créer des rapports et résoudre les problèmes liés aux règles de réduction de la surface d’attaque de Defender pour point de terminaison

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Le portail Microsoft Defender est la nouvelle interface permettant de surveiller et de gérer la sécurité sur vos identités, données, appareils, applications et infrastructure Microsoft. Vous pouvez ici consulter facilement l’état de la sécurité de votre organisation, agir pour configurer les appareils, les utilisateurs et les applications ainsi que recevoir des alertes relatives aux activités suspectes. Le portail Microsoft Defender est destiné aux administrateurs de sécurité et aux équipes des opérations de sécurité afin de mieux gérer et protéger leurs organization. Visitez le portail Microsoft Defender à l’adressehttps://security.microsoft.com .

Dans le portail Microsoft Defender, nous vous proposons un aperçu complet de la configuration et des événements actuels des règles de réduction de la surface d’attaque dans votre patrimoine. Vos appareils doivent être intégrés au service Microsoft Defender pour point de terminaison pour que ces rapports soient remplis. Voici une capture d’écran du portail Microsoft Defender (sous Rapports> Réduction de lasurface d’attaque desappareils>). Au niveau de l’appareil, sélectionnez Configuration dans le volet Règles de réduction de la surface d’attaque . L’écran suivant s’affiche, où vous pouvez sélectionner un appareil spécifique et case activée sa configuration de règle de réduction de la surface d’attaque individuelle.

Microsoft Defender pour point de terminaison - Repérage avancé

L’une des caractéristiques les plus puissantes de Microsoft Defender pour point de terminaison est la chasse avancée. Si vous n’êtes pas familiarisé avec la chasse avancée, consultez chasser de manière proactive les menaces avec la chasse avancée.

La chasse avancée est un outil de chasse aux menaces basé sur une requête (Langage de requête Kusto) qui vous permet d’explorer jusqu’à 30 jours des données capturées (brutes) que Defender pour point de terminaison collecte à partir de vos appareils. Grâce à la chasse avancée, vous pouvez inspecter de manière proactive les événements pour localiser des indicateurs et des entités intéressants. L’accès flexible aux données permet de chasser sans contrainte les menaces connues et potentielles.

Grâce à la chasse avancée, il est possible d’extraire des informations sur les règles de réduction de la surface d’attaque, de créer des rapports et d’obtenir des informations détaillées sur le contexte d’un audit ou d’un événement de blocage de règle de réduction de la surface d’attaque donné.

Les événements de règles de réduction de la surface d’attaque peuvent être interrogés à partir de la table DeviceEvents de la section repérage avancé du Microsoft Defender XDR. Par exemple, une requête simple telle que celle ci-dessous peut signaler tous les événements qui ont des règles de réduction de la surface d’attaque en tant que source de données, pour les 30 derniers jours, et les synthétise par le nombre d’ActionType, c’est-à-dire qu’il s’agit dans ce cas du nom de code réel de la règle de réduction de la surface d’attaque.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Avec la chasse avancée, vous pouvez mettre en forme les requêtes à votre convenance, de sorte que vous puissiez voir ce qui se passe, que vous souhaitiez identifier un élément sur un ordinateur individuel ou que vous souhaitiez extraire des insights de l’ensemble de votre environnement.

Microsoft Defender pour point de terminaison machine chronologie

Une alternative à la chasse avancée, mais avec une portée plus étroite, est la machine Microsoft Defender pour point de terminaison chronologie. Vous pouvez afficher tous les événements collectés d’un appareil, au cours des six derniers mois, dans le Microsoft Defender XDR, en accédant à la liste Machines, en sélectionnant un ordinateur donné, puis en sélectionnant l’onglet Chronologie.

La capture d’écran suivante montre la vue Chronologie de ces événements sur un point de terminaison donné. À partir de cette vue, vous pouvez filtrer la liste des événements en fonction de l’un des groupes d’événements dans le volet droit. Vous pouvez également activer ou désactiver les événements avec indicateur et détaillé lors de l’affichage des alertes et du défilement des chronologie historiques.

Comment résoudre les problèmes liés aux règles de réduction de la surface d’attaque ?

Consultez Résoudre les problèmes liés aux règles de réduction de la surface d’attaque

Articles connexes

• Règles de réduction de la surface d’attaque

• Activer les règles de réduction de la surface d’attaque

• Évaluer les règles de réduction de la surface d’attaque

• Résoudre les problèmes liés aux règles de réduction de la surface d’attaque

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.