Piloter et déployer des Microsoft Defender pour point de terminaison
Article
S’applique à :
Microsoft Defender XDR
Cet article fournit un flux de travail pour le pilotage et le déploiement de Microsoft Defender pour point de terminaison dans votre organization. Vous pouvez utiliser ces recommandations pour intégrer Microsoft Defender pour point de terminaison en tant qu’outil de cybersécurité individuel ou dans le cadre d’une solution de bout en bout avec Microsoft Defender XDR.
Cet article suppose que vous disposez d’un client Microsoft 365 de production et que vous pilotez et déployez Microsoft Defender pour point de terminaison dans cet environnement. Cette pratique conserve tous les paramètres et personnalisations que vous configurez pendant votre pilote pour votre déploiement complet.
Defender pour point de terminaison contribue à une architecture Confiance nulle en aidant à prévenir ou à réduire les dommages causés à l’entreprise par une violation. Pour plus d’informations, consultez le scénario Empêcher ou réduire les dommages causés par une violation de l’entreprise dans l’infrastructure d’adoption de Microsoft Confiance nulle.
Déploiement de bout en bout pour Microsoft Defender XDR
Il s’agit de l’article 4 sur 6 d’une série qui vous aide à déployer les composants de Microsoft Defender XDR, y compris l’examen et la réponse aux incidents.
Les articles de cette série correspondent aux phases suivantes du déploiement de bout en bout :
Piloter et déployer un workflow pour Defender pour Identity
Le diagramme suivant illustre un processus courant de déploiement d’un produit ou d’un service dans un environnement informatique.
Vous commencez par évaluer le produit ou le service et comment il fonctionnera dans votre organization. Ensuite, vous pilotez le produit ou le service avec un sous-ensemble convenablement petit de votre infrastructure de production à des fins de test, d’apprentissage et de personnalisation. Ensuite, augmentez progressivement l’étendue du déploiement jusqu’à ce que l’ensemble de votre infrastructure ou organization soit couvert.
Voici le workflow pour le pilotage et le déploiement de Defender pour Identity dans votre environnement de production.
Voici les étapes recommandées pour chaque étape de déploiement.
Phase de déploiement
Description
Évaluation
Effectuer l’évaluation du produit pour Defender pour point de terminaison.
Pilote
Effectuez les étapes 1 à 4 pour un groupe pilote.
Déploiement complet
Configurez le groupe pilote à l’étape 3 ou ajoutez des groupes pour étendre au-delà du pilote et éventuellement inclure tous vos appareils.
Protection de votre organization contre les pirates informatiques
Defender pour Identity offre une protection puissante à lui seul. Toutefois, lorsqu’il est combiné avec les autres fonctionnalités de Microsoft Defender XDR, Defender pour point de terminaison fournit des données dans les signaux partagés qui, ensemble, aident à arrêter les attaques.
Voici un exemple de cyberattaque et la façon dont les composants de Microsoft Defender XDR aident à la détecter et à l’atténuer.
Defender pour point de terminaison détecte les vulnérabilités des appareils et du réseau qui pourraient autrement être exploitées pour les appareils gérés par votre organization.
Microsoft Defender XDR met en corrélation les signaux de tous les composants Microsoft Defender pour fournir l’histoire complète des attaques.
Architecture de Defender pour point de terminaison
Le diagramme suivant illustre Microsoft Defender pour point de terminaison architecture et intégrations.
Ce tableau décrit l’illustration.
Appel
Description
1
Les appareils sont intégrés via l’un des outils de gestion pris en charge.
2
Les appareils intégrés fournissent des données de signal Microsoft Defender pour point de terminaison et y répondent.
3
Les appareils gérés sont joints et/ou inscrits dans Microsoft Entra ID.
4
Les appareils Windows joints à un domaine sont synchronisés avec Microsoft Entra ID à l’aide de Microsoft Entra Connect.
5
Microsoft Defender pour point de terminaison les alertes, les enquêtes et les réponses sont gérées dans Microsoft Defender XDR.
Conseil
Microsoft Defender pour point de terminaison est également fourni avec un laboratoire d’évaluation dans le produit où vous pouvez ajouter des appareils préconfigurés et exécuter des simulations pour évaluer les fonctionnalités de la plateforme. Le labo est fourni avec une expérience de configuration simplifiée qui peut vous aider à démontrer rapidement la valeur de Microsoft Defender pour point de terminaison y compris des conseils pour de nombreuses fonctionnalités telles que la chasse avancée et l’analyse des menaces. Pour plus d’informations, consultez Évaluer les fonctionnalités. La main différence entre les conseils fournis dans cet article et le laboratoire d’évaluation est que l’environnement d’évaluation utilise des appareils de production, tandis que le laboratoire d’évaluation utilise des appareils hors production.
Étape 1 : Vérifier l’état de la licence
Vous devez d’abord case activée l’état de la licence pour vérifier qu’il a été correctement approvisionné. Vous pouvez le faire via le centre d’administration ou via microsoft Portail Azure.
Vous pouvez également accéder à Abonnements de facturation> dans le Centre d’administration.
Sur l’écran, vous verrez toutes les licences approvisionnées et leur état actuel.
Étape 2 : Intégrer des points de terminaison à l’aide de l’un des outils de gestion pris en charge
Après avoir vérifié que l’état de la licence a été correctement approvisionné, vous pouvez démarrer l’intégration des appareils au service.
Dans le but d’évaluer Microsoft Defender pour point de terminaison, nous vous recommandons de choisir deux appareils Windows pour effectuer l’évaluation.
Lorsque vous pilotez Microsoft Defender pour point de terminaison, vous pouvez choisir d’intégrer quelques appareils au service avant d’intégrer l’ensemble de votre organization.
Vous pouvez ensuite tester les fonctionnalités disponibles, telles que l’exécution de simulations d’attaque et la façon dont Defender pour point de terminaison expose les activités malveillantes et vous permet d’effectuer une réponse efficace.
Étape 3 : Vérifier le groupe pilote
Après avoir effectué les étapes d’intégration décrites dans la section Activer l’évaluation, vous devriez voir les appareils dans la liste Inventaire des appareils environ après une heure.
Lorsque vous voyez vos appareils intégrés, vous pouvez ensuite procéder à l’essai des fonctionnalités.
Étape 4 : Tester les fonctionnalités
Maintenant que vous avez terminé l’intégration de certains appareils et vérifié qu’ils rendent compte au service, familiarisez-vous avec le produit en essayant les puissantes fonctionnalités disponibles dès le départ.
Pendant le pilote, vous pouvez facilement commencer à essayer certaines des fonctionnalités pour voir le produit en action sans passer par des étapes de configuration complexes.
Commençons par consulter les tableaux de bord.
Afficher l’inventaire des appareils
L’inventaire des appareils est l’endroit où vous verrez la liste des points de terminaison, des appareils réseau et des appareils IoT dans votre réseau. Non seulement il vous fournit une vue des appareils de votre réseau, mais il vous fournit également des informations détaillées sur ceux-ci, telles que le domaine, le niveau de risque, la plateforme du système d’exploitation et d’autres détails pour faciliter l’identification des appareils les plus exposés.
Afficher le tableau de bord Gestion des vulnérabilités Microsoft Defender
Defender Vulnerability Management vous aide à vous concentrer sur les faiblesses qui posent le plus urgent et le risque le plus élevé pour le organization. À partir du tableau de bord, obtenez une vue d’ensemble du score d’exposition organization, du niveau de sécurité Microsoft pour les appareils, de la distribution de l’exposition des appareils, des recommandations de sécurité principales, des logiciels les plus vulnérables, des principales activités de correction et des données d’appareil les plus exposées.
Exécuter une simulation
Microsoft Defender pour point de terminaison est fourni avec des scénarios d’attaque « Faire vous-même » que vous pouvez exécuter sur vos appareils pilotes. Chaque document inclut les exigences relatives au système d’exploitation et aux applications, ainsi que des instructions détaillées spécifiques à un scénario d’attaque. Ces scripts sont sûrs, documentés et faciles à utiliser. Ces scénarios reflètent les fonctionnalités de Defender pour point de terminaison et vous guident tout au long de l’expérience d’investigation.
Dans simulations d’aide>& tutoriels, sélectionnez parmi les scénarios d’attaque disponibles que vous souhaitez simuler :
Scénario 1 : Le document supprime une porte dérobée : simule la livraison d’un document de leurre conçu socialement. Le document lance une porte dérobée spécialement conçue pour donner le contrôle aux attaquants.
Scénario 2 : Script PowerShell dans une attaque sans fichier : simule une attaque sans fichier qui s’appuie sur PowerShell, montrant la réduction de la surface d’attaque et la détection de l’apprentissage de l’appareil des activités de mémoire malveillantes.
Scénario 3 : Réponse automatisée aux incidents : déclenche une investigation automatisée, qui recherche et corrige automatiquement les artefacts de violation pour mettre à l’échelle votre capacité de réponse aux incidents.
Téléchargez et lisez le document de procédure pas à pas correspondant fourni avec le scénario sélectionné.
Téléchargez le fichier de simulation ou copiez le script de simulation en accédant à Help>Simulations & tutoriels. Vous pouvez choisir de télécharger le fichier ou le script sur l’appareil de test, mais ce n’est pas obligatoire.
Exécutez le fichier de simulation ou le script sur l’appareil de test comme indiqué dans le document de procédure pas à pas.
Notes
Les fichiers de simulation ou les scripts imitent l’activité d’attaque, mais ils sont en fait bénins et n’endommagent pas ou ne compromettent pas l’appareil de test.
Intégration SIEM
Vous pouvez intégrer Defender pour point de terminaison à Microsoft Sentinel ou à un service SIEM (Security Information and Event Management) générique pour permettre une surveillance centralisée des alertes et des activités à partir d’applications connectées. Avec Microsoft Sentinel, vous pouvez analyser de manière plus complète les événements de sécurité dans votre organization et créer des playbooks pour une réponse efficace et immédiate.
Ce module examine comment Microsoft Defender pour point de terminaison aide les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées à l’aide de capteurs comportementaux de point de terminaison, d’analyses de sécurité cloud et de renseignement sur les menaces. MS-102
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.
Utilisez ce guide pour tirer le meilleur parti de votre essai gratuit de 90 jours. Découvrez comment Defender pour point de terminaison peut vous aider à prévenir, détecter, examiner et répondre aux menaces avancées.
Microsoft Defender pour point de terminaison est une plateforme de sécurité de point de terminaison d’entreprise qui permet de se défendre contre les menaces persistantes avancées.
Découvrez les fonctionnalités Microsoft Defender pour point de terminaison prises en charge pour les appareils Windows 10, les serveurs et les appareils non Windows.
Découvrez Microsoft Defender pour point de terminaison et optimisez les fonctionnalités de sécurité intégrées pour protéger les appareils, détecter une activité malveillante et corriger des menaces# Requis, la description de l’article qui est affichée dans les résultats de la recherche. > 160 caractères.