Partager via


Configurer les fonctionnalités d’interruption d’attaque automatique dans Microsoft Defender XDR

Microsoft Defender XDR inclut de puissantes fonctionnalités d’interruption des attaques automatisées qui peuvent protéger votre environnement contre les attaques sophistiquées à fort impact.

Cet article explique comment configurer les fonctionnalités d’interruption automatique des attaques dans Microsoft Defender XDR en procédant comme suit :

  1. Passez en revue les prérequis.
  2. Passez en revue ou modifiez les exclusions de réponse automatisée pour les utilisateurs.

Ensuite, une fois que vous êtes configuré, vous pouvez afficher et gérer les actions d’endiguement dans Incidents et le centre de notifications. Et, si nécessaire, vous pouvez apporter des modifications aux paramètres.

Prérequis pour l’interruption automatique des attaques dans Microsoft Defender XDR

Conditions requises Détails
Conditions d’abonnement Un de ces abonnements :
  • Microsoft 365 E5 ou A5
  • Microsoft 365 E3 avec le module complémentaire Sécurité Microsoft 365 E5
  • Microsoft 365 E3 avec le module complémentaire Enterprise Mobility + Security E5
  • Microsoft 365 A3 avec le module complémentaire Sécurité Microsoft 365 A5
  • Windows 10 Entreprise E5 ou A5
  • Windows 11 Entreprise E5 ou A5
  • Enterprise Mobility + Security (EMS) E5 ou A5
  • Office 365 E5 ou A5
  • Microsoft Defender pour point de terminaison (Plan 2)
  • Microsoft Defender pour l’identité
  • Microsoft Defender for Cloud Apps
  • Defender pour Office 365 (Plan 2)
  • Microsoft Defender pour les PME

Consultez Les conditions requises pour les licences XDR de Microsoft Defender.

Configuration requise pour le déploiement
  • Déploiement sur les produits Defender (par exemple, Defender pour point de terminaison, Defender pour Office 365, Defender pour Identity et Defender pour cloud Apps)
    • Plus le déploiement est large, plus la protection est étendue. Par exemple, si un signal Microsoft Defender for Cloud Apps est utilisé dans une certaine détection, ce produit est requis pour détecter le scénario d’attaque spécifique approprié.
    • De même, le produit approprié doit être déployé pour exécuter une action de réponse automatisée. Par exemple, Microsoft Defender pour point de terminaison doit contenir automatiquement un appareil.
  • La découverte d’appareils de Microsoft Defender pour point de terminaison est définie sur « découverte standard »
Autorisations Pour configurer les fonctionnalités d’interruption automatique des attaques, vous devez disposer de l’un des rôles suivants attribués dans l’ID Microsoft Entra (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 () :https://admin.microsoft.com
  • Administrateur général
  • Administrateur de sécurité
Pour utiliser les fonctionnalités d’investigation et de réponse automatisées, telles que l’examen, l’approbation ou le rejet des actions en attente, consultez Autorisations requises pour les tâches du centre de notifications.

Prérequis pour Microsoft Defender pour point de terminaison

Version minimale du client Sense (client MDE)

La version minimale de l’agent Sense requise pour que l’action Contenir l’utilisateur fonctionne est v10.8470. Vous pouvez identifier la version de l’agent Sense sur un appareil en exécutant la commande PowerShell suivante :

Get-ItemProperty -Chemin 'Registry ::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name « InstallLocation »

Paramètre d’automatisation pour les appareils de votre organisation

Passez en revue le niveau d’automatisation configuré pour vos stratégies de groupe d’appareils, wWhether automated investigations run, et si les actions de correction sont effectuées automatiquement ou uniquement après approbation pour vos appareils dépendent de certains paramètres. Vous devez être administrateur général ou administrateur de la sécurité pour effectuer la procédure suivante :

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.

  2. Accédez à Paramètres Points>de terminaison>Groupes d’appareils sous Autorisations.

  3. Passez en revue vos stratégies de groupe d’appareils. Examinez la colonne Au niveau de l’automatisation . Nous vous recommandons d’utiliser l’option Complète pour corriger automatiquement les menaces. Vous devrez peut-être créer ou modifier vos groupes d’appareils pour obtenir le niveau d’automatisation souhaité. Pour exclure un groupe d’appareils de l’endiguement automatisé, définissez son niveau d’automatisation sur aucune réponse automatisée. Notez que cette opération n’est pas fortement recommandée et ne doit être effectuée que pour un nombre limité d’appareils.

Configuration de la découverte d’appareils

Les paramètres de découverte d’appareil doivent être activés au minimum sur « Découverte standard ». Découvrez comment configurer la découverte d’appareils dans Configurer la découverte d’appareils.

Notes

L’interruption des attaques peut agir sur les appareils indépendamment de l’état de fonctionnement de l’antivirus Microsoft Defender d’un appareil. L’état de fonctionnement peut être en mode Actif, Passif ou Bloc EDR.

Prérequis de Microsoft Defender pour Identity

Configurer l’audit dans les contrôleurs de domaine

Découvrez comment configurer l’audit dans les contrôleurs de domaine dans Configurer des stratégies d’audit pour les journaux des événements Windows afin de vous assurer que les événements d’audit requis sont configurés sur les contrôleurs de domaine où le capteur Defender pour Identity est déployé.

Valider les comptes d’action

Defender pour Identity vous permet d’effectuer des actions de correction ciblant les comptes Active Directory locaux dans le cas où une identité est compromise. Pour effectuer ces actions, Defender pour Identity doit disposer des autorisations nécessaires. Par défaut, le capteur Defender pour Identity emprunte l’identité du compte LocalSystem du contrôleur de domaine et effectue les actions. Étant donné que la valeur par défaut peut être modifiée, vérifiez que Defender pour Identity dispose des autorisations requises ou utilise le compte LocalSystem par défaut.

Vous trouverez plus d’informations sur les comptes d’action dans Configurer les comptes d’action Microsoft Defender pour Identity.

Le capteur Defender pour Identity doit être déployé sur le contrôleur de domaine où le compte Active Directory doit être désactivé.

Notes

Si vous avez mis en place des automatisations pour activer ou bloquer un utilisateur, vérifiez si les automatisations peuvent interférer avec l’interruption. Par exemple, si une automatisation est en place pour vérifier et appliquer régulièrement que tous les employés actifs ont des comptes activés, cela peut activer involontairement les comptes qui ont été désactivés par une interruption d’attaque lors de la détection d’une attaque.

Prérequis de Microsoft Defender for Cloud Apps

Connecteur Microsoft Office 365

Microsoft Defender for Cloud Apps doit être connecté à Microsoft Office 365 via le connecteur. Pour connecter Defender for Cloud Apps, consultez Connecter Microsoft 365 à Microsoft Defender for Cloud Apps.

Gouvernance des applications

La gouvernance des applications doit être activée. Reportez-vous à la documentation sur la gouvernance des applications pour l’activer.

Prérequis pour Microsoft Defender pour Office 365

Emplacement des boîtes aux lettres

Les boîtes aux lettres doivent être hébergées dans Exchange Online.

Enregistrement d’audit dans les boîtes aux lettres

Les événements de boîte aux lettres suivants doivent être audités au minimum :

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Consultez Gérer l’audit des boîtes aux lettres pour en savoir plus sur la gestion de l’audit des boîtes aux lettres.

Examiner ou modifier les exclusions de réponse automatisée pour les utilisateurs

L’interruption automatique des attaques permet d’exclure des comptes d’utilisateur spécifiques des actions de confinement automatisées. Les utilisateurs exclus ne seront pas affectés par les actions automatisées déclenchées par une interruption d’attaque. Vous devez être administrateur général ou administrateur de la sécurité pour effectuer la procédure suivante :

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.

  2. Accédez à Paramètres Réponse> automatiséeMicrosoft Defender XDR>Identity. Vérifiez la liste des utilisateurs pour exclure des comptes. Sélection de comptes d’utilisateur pour l’exclusion de réponse automatisée

  3. Pour exclure un nouveau compte d’utilisateur, sélectionnez Ajouter une exclusion d’utilisateur.

L’exclusion de comptes d’utilisateur n’est pas recommandée, et les comptes ajoutés à cette liste ne seront pas suspendus dans tous les types d’attaques pris en charge, tels que la compromission de la messagerie électronique professionnelle (BEC) et les rançongiciels gérés par l’homme.

Étapes suivantes

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.