Page profil de l’appareil
Le portail Microsoft Defender vous fournit des pages de profil d’appareil, ce qui vous permet d’évaluer rapidement l’intégrité et l’état des appareils sur votre réseau.
Importante
La page de profil de l’appareil peut apparaître légèrement différente selon que l’appareil est inscrit dans Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity ou les deux.
Si l’appareil est inscrit dans Microsoft Defender pour point de terminaison, vous pouvez également utiliser la page de profil de l’appareil pour effectuer certaines tâches de sécurité courantes.
Navigation dans la page du profil d’appareil
La page de profil est divisée en plusieurs grandes sections.
La barre latérale (1) répertorie les détails de base sur l’appareil.
La zone de contenu principale (2) contient des onglets que vous pouvez basculer pour afficher différents types d’informations sur l’appareil.
Si l’appareil est inscrit dans Microsoft Defender pour point de terminaison, vous voyez également une liste d’actions de réponse (3). Les actions de réponse vous permettent d’effectuer des tâches courantes liées à la sécurité.
Barre latérale
À côté de la zone de contenu principale de la page de profil de l’appareil se trouve la barre latérale.
La barre latérale répertorie le nom complet et le niveau d’exposition de l’appareil. Il fournit également des informations de base importantes dans de petites sous-sections, qui peuvent être désactivées ou fermées, telles que :
- Balises : toutes les balises Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity ou personnalisées associées à l’appareil. Les balises de Microsoft Defender pour Identity ne sont pas modifiables.
- Informations de sécurité : incidents ouverts et alertes actives. Les appareils inscrits dans Microsoft Defender pour point de terminaison affichent le niveau d’exposition et le niveau de risque.
Conseil
Le niveau d’exposition correspond à la mesure dans laquelle l’appareil respecte les recommandations de sécurité, tandis que le niveau de risque est calculé en fonction d’un certain nombre de facteurs, notamment les types et la gravité des alertes actives.
- Détails de l’appareil : domaine, système d’exploitation, horodatage de la première consultation de l’appareil, adresses IP, ressources. Les appareils inscrits dans Microsoft Defender pour point de terminaison affichent également l’état d’intégrité. Les appareils inscrits dans Microsoft Defender pour Identity affichent le nom SAM et un horodatage pour la première fois que l’appareil a été créé.
- Activité réseau : horodatages pour la première fois et la dernière fois que l’appareil a été vu sur le réseau.
- Données d’annuaire (uniquement pour les appareils inscrits dans Microsoft Defender pour Identity) : indicateurs UAC , SPN et appartenances aux groupes.
Actions de réponse
Les actions de réponse offrent un moyen rapide de se défendre contre les menaces et d’analyser celles-ci.
Importante
- Les actions de réponse sont disponibles uniquement si l’appareil est inscrit dans Microsoft Defender pour point de terminaison.
- Les appareils inscrits dans Microsoft Defender pour point de terminaison peuvent afficher différents nombres d’actions de réponse, en fonction du système d’exploitation et du numéro de version de l’appareil.
Les actions disponibles sur la page profil de l’appareil sont les suivantes :
- Gérer les étiquettes : met à jour les étiquettes personnalisées que vous avez appliquées à cet appareil.
- Isoler l’appareil : isole l’appareil du réseau de votre organisation tout en le maintenant connecté à Microsoft Defender pour point de terminaison. Vous pouvez choisir d’autoriser Outlook, Teams et Skype Entreprise à s’exécuter pendant que l’appareil est isolé, à des fins de communication.
- Centre de notifications : affiche l’état des actions envoyées. Disponible uniquement si une autre action a déjà été sélectionnée.
- Restreindre l’exécution de l’application : empêche l’exécution des applications qui ne sont pas signées par Microsoft.
- Exécuter l’analyse antivirus : met à jour les définitions de l’antivirus Microsoft Defender et exécute immédiatement une analyse antivirus. Choisissez entre Analyse rapide ou Analyse complète.
- Collecter le package d’investigation : collecte des informations sur l’appareil. Une fois l’examen terminé, vous pouvez le télécharger.
- Lancer une session de réponse dynamique : charge un interpréteur de commandes distant sur l’appareil pour des investigations de sécurité approfondies.
- Lancer une investigation automatisée : examine et corrige automatiquement les menaces. Bien que vous puissiez déclencher manuellement des investigations automatisées à exécuter à partir de cette page, certaines stratégies d’alerte déclenchent elles-mêmes des investigations automatiques.
- Centre de notifications : affiche des informations sur les actions de réponse en cours d’exécution.
Section Onglets
Les onglets profil d’appareil vous permettent d’afficher une vue d’ensemble des détails de sécurité sur l’appareil et des tables contenant une liste d’alertes.
Les appareils inscrits dans Microsoft Defender pour point de terminaison affichent des onglets qui comportent une chronologie, une liste de recommandations de sécurité, un inventaire logiciel, une liste de vulnérabilités découvertes et des bases de connaissances manquantes (mises à jour de sécurité).
Onglet Overview
L’onglet par défaut est Vue d’ensemble. Il fournit un aperçu rapide des faits de sécurité les plus importants concernant l’appareil.
Ici, vous pouvez obtenir un aperçu rapide des alertes actives de l’appareil et de tous les utilisateurs actuellement connectés.
Si l’appareil est inscrit dans Microsoft Defender pour point de terminaison, vous voyez également le niveau de risque de l’appareil et toutes les données disponibles sur les évaluations de sécurité. Les évaluations de sécurité décrivent le niveau d’exposition de l’appareil, fournissent des recommandations de sécurité et répertorient les logiciels affectés et les vulnérabilités découvertes.
Onglet Alertes
L’onglet Alertes contient une liste des alertes qui ont été déclenchées sur l’appareil, à partir de Microsoft Defender pour Identity et de Microsoft Defender pour point de terminaison.
Vous pouvez personnaliser le nombre d’éléments affichés et les colonnes affichées pour chaque élément. Le comportement par défaut consiste à répertorier 30 éléments par page.
Les colonnes de cet onglet incluent des informations sur la gravité de la menace qui a déclenché l’alerte et l’état, l’état d’investigation et la personne à qui l’alerte est affectée.
La colonne entités impactées fait référence à l’appareil (entité) dont vous affichez actuellement le profil, ainsi qu’à tous les autres appareils de votre réseau qui sont affectés.
La sélection d’un élément dans cette liste ouvre un menu volant contenant encore plus d’informations sur l’alerte sélectionnée.
Cette liste peut être filtrée par gravité, état ou à qui l’alerte est affectée.
Onglet Chronologie
L’onglet Chronologie inclut un graphique chronologique interactif de tous les événements déclenchés sur l’appareil. En déplaçant la zone en surbrillance du graphique vers la gauche ou la droite, vous pouvez afficher les événements sur différentes périodes de temps. Vous pouvez également choisir une plage de dates personnalisée dans le menu déroulant entre le graphique interactif et la liste des événements.
Sous le graphique se trouve une liste d’événements pour la plage de dates sélectionnée.
Le nombre d’éléments affichés et les colonnes de la liste peuvent être personnalisés. Les colonnes par défaut répertorient l’heure de l’événement, l’utilisateur actif, le type d’action, les entités (processus) et des informations supplémentaires sur l’événement.
La sélection d’un élément dans cette liste ouvre un menu volant affichant un graphique d’entités d’événement, montrant les processus parent et enfant impliqués dans l’événement.
La liste peut être filtrée par l’événement spécifique ; par exemple, les événements de Registre ou les événements d’écran intelligent.
La liste peut également être exportée vers un fichier CSV, pour téléchargement. Bien que le fichier ne soit pas limité par le nombre d’événements, l’intervalle de temps maximal que vous pouvez choisir d’exporter est de sept jours.
Onglet Recommandations de sécurité
L’onglet Recommandations de sécurité répertorie les actions que vous pouvez effectuer pour protéger l’appareil. La sélection d’un élément dans cette liste ouvre un menu volant dans lequel vous pouvez obtenir des instructions sur la façon d’appliquer la recommandation.
Comme avec les onglets précédents, le nombre d’éléments affichés par page et les colonnes visibles peuvent être personnalisés.
La vue par défaut comprend des colonnes qui détaillent les faiblesses de sécurité traitées, la menace associée, le composant ou les logiciels associés affectés par la menace, etc. Les éléments peuvent être filtrés par l’état de la recommandation.
Inventaire de logiciels
L’onglet Inventaire logiciel répertorie les logiciels installés sur l’appareil.
La vue par défaut affiche le fournisseur du logiciel, le numéro de version installé, le nombre de faiblesses logicielles connues, les insights sur les menaces, le code produit et les étiquettes. Le nombre d’éléments affichés et les colonnes affichées peuvent être personnalisés.
La sélection d’un élément dans cette liste ouvre un menu volant contenant plus de détails sur le logiciel sélectionné, ainsi que le chemin et l’horodatage de la dernière fois que le logiciel a été trouvé.
Cette liste peut être filtrée par code de produit.
Onglet Vulnérabilités découvertes
L’onglet Vulnérabilités découvertes répertorie toutes les vulnérabilités et exploits courants (CVE) susceptibles d’affecter l’appareil.
L’affichage par défaut répertorie la gravité du CVE, le score de vulnérabilité commun (CVS), le logiciel associé au CVE, lorsque le CVE a été publié, la date de la dernière mise à jour du CVE et les menaces associées au CVE.
Comme avec les onglets précédents, le nombre d’éléments affichés et les colonnes visibles peuvent être personnalisés.
La sélection d’un élément dans cette liste ouvre un menu volant qui décrit le CVE.
Ko manquants
L’onglet Bases de connaissances manquantes répertorie toutes les mises à jour Microsoft qui doivent encore être appliquées à l’appareil. Les « bases de connaissances » en question sont des articles de la Base de connaissances, qui décrivent ces mises à jour ; par exemple, KB4551762.
L’affichage par défaut répertorie le bulletin contenant les mises à jour, la version du système d’exploitation, les produits affectés, les cve adressés, le numéro de base de connaissances et les étiquettes.
Le nombre d’éléments affichés par page et les colonnes affichées peuvent être personnalisés.
La sélection d’un élément ouvre un menu volant qui établit un lien vers la mise à jour.
Articles connexes
- Vue d’ensemble de Microsoft Defender XDR
- Activer Microsoft Defender XDR
- Examiner les entités sur les appareils, à l’aide de la réponse en direct
- Investigation et réponse automatisées (AIR) dans Office 365
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.