Microsoft Defender

Microsoft Defender XDR

Microsoft Defender XDR est une suite de défense d’entreprise unifiée avant et après violation. Defender XDR coordonne en mode natif la détection, la prévention, l’investigation et la réponse entre les points de terminaison, les identités, les e-mails et les applications pour fournir une protection intégrée contre les attaques sophistiquées.

FastTrack fournit des conseils à distance pour :

• Fournir une vue d’ensemble de la Centre de sécurité Microsoft 365.
  • Fournir une vue d’ensemble des incidents inter-produits, notamment se concentrer sur les éléments critiques en garantissant l’étendue complète des attaques, les ressources impactées et les actions de correction automatisées regroupées.
  • Montrer comment Microsoft Defender XDR pouvez orchestrer l’investigation des ressources, des utilisateurs, des appareils et des boîtes aux lettres qui sont compromis par le biais de la réparation automatique automatisée.
  • Expliquer et fournir des exemples de la façon dont les clients peuvent rechercher de manière proactive les tentatives d’intrusion et les activités de violation affectant vos e-mails, données, appareils et comptes sur plusieurs jeux de données.
  • Montrer aux clients comment ils peuvent examiner et améliorer leur posture de sécurité de manière holistique à l’aide du niveau de sécurité Microsoft.

Non compris

• Conseils de déploiement ou formation sur :
  • Comment corriger ou interpréter les différents types d’alerte et activités supervisées.
  • Comment examiner un utilisateur, un ordinateur, un chemin de mouvement latéral ou une entité.
  • Chasse aux menaces personnalisée.
• Gestion des informations et des événements de sécurité (SIEM) ou intégration d’API.

Guides de déploiement avancé microsoft

Microsoft fournit aux clients une technologie et des conseils pour les aider à déployer vos services microsoft 365, Microsoft Viva et de sécurité. Nous encourageons nos clients à commencer leur parcours de déploiement avec ces offres.

Pour les administrateurs non informatiques, consultez Installation de Microsoft 365.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps est une solution de sécurité SaaS (Software-as-a-Service) multi-usage. Il combine la gestion de la posture de sécurité SaaS, la protection contre la perte de données, la protection d’application à application et la protection intégrée contre les menaces pour garantir une couverture holistique pour vos applications. En adoptant une approche de sécurité SaaS, vous pouvez facilement identifier les configurations incorrectes. Cela améliore la posture globale de votre application, implémente des stratégies pour protéger les données sensibles et protège les scénarios d’application à application pour garantir que seules les applications disposent des autorisations acceptables pour accéder à d’autres données d’application. Lorsque vous intégrez en mode natif à Microsoft Defender XDR, les organisations comme la vôtre bénéficient de l’utilisation du signal saaS pour rechercher activement dans leurs environnements et combattre les incidents sur leurs applications, appareils, identités et e-mails.

FastTrack fournit des conseils à distance pour :

• Configuration du portail, notamment :
  • Importation de groupes d’utilisateurs.
  • Gestion de l’accès administrateur et des paramètres.
  • Définir l’étendue de votre déploiement pour sélectionner certains groupes d’utilisateurs à surveiller ou exclure de la surveillance.
  • Comment configurer des plages d’adresses IP et des balises.
  • Personnaliser l’expérience de l’utilisateur final avec votre logo et votre messagerie personnalisée.
• Intégration de services internes, notamment :
  • Microsoft Defender pour point de terminaison.
  • Microsoft Defender pour l’identité.
  • Protection Microsoft Entra ID.
  • Protection des données Microsoft Purview.
• Configuration de la découverte du cloud à l’aide de :
  • Microsoft Defender pour les points de terminaison.
  • Zscaler.
  • iboss.
• Création d’étiquettes et de catégories d’application.
• Personnalisation des scores de risque des applications en fonction des priorités de votre organization.
• Sanctions et annulation de l’approbation des applications.
• Examen des tableaux de bord Defender for Cloud Apps et Cloud Discovery.
• Activation de la gouvernance des applications.
  • Guidez le client à travers la page de présentation et créez jusqu’à cinq (5) stratégies de gouvernance des applications.
• Connexion d’applications proposées à l’aide de connecteurs d’application.
• Protection des applications avec le contrôle d’application par accès conditionnel dans l’accès conditionnel dans les portails Microsoft Entra ID et Defender for Cloud Apps.
• Déploiement du contrôle d’application par accès conditionnel pour les applications proposées.
• Examen des fonctionnalités de gestion de la posture de sécurité SaaS (SSPM) dans les recommandations de degré de sécurité pour les applications disponibles.
• Utilisation des journaux d’activité et des fichiers.
• Gestion des applications OAuth.
• Examen et configuration des modèles de stratégie.
• Aide à la configuration des principaux cas d’usage SaaS (y compris la création ou la mise à jour de six (6) stratégies au maximum).
• Comprendre la corrélation des incidents dans le portail Microsoft Defender.

Non compris

• Discussions comparant Defender for Cloud Apps à d’autres offres de sécurité Cloud Access Security Broker (CASB) ou SaaS.
• Configuration de Defender for Cloud Apps pour répondre à des exigences réglementaires ou de conformité spécifiques.
• Déploiement du service dans un environnement de test hors production.
• Déploiement de Cloud App Discovery en tant que preuve de concept.
• Configuration de l’infrastructure, installation ou déploiement des chargements automatiques de journaux pour les rapports continus à l’aide de Docker ou d’un collecteur de journaux.
• Création d’un rapport de instantané Cloud Discovery.
• Blocage de l’utilisation des applications à l’aide de scripts de bloc.
• Ajout d’applications personnalisées à Cloud Discovery.
• Connexion d’applications personnalisées avec le contrôle d’application par accès conditionnel.
• Intégration et déploiement du contrôle d’application par accès conditionnel pour n’importe quelle application.
• Intégration avec des fournisseurs d’identité tiers (IdP) et des fournisseurs de protection contre la perte de données (DLP).
• Formation ou conseils pour le repérage avancé.
• Investigation et correction automatisées, y compris les playbooks Microsoft Power Automate.
• INTÉGRATION SIEM ou API (y compris Microsoft Sentinel).

Guides de déploiement avancé microsoft

Microsoft fournit aux clients une technologie et des conseils pour les aider à déployer vos services microsoft 365, Microsoft Viva et de sécurité. Nous encourageons nos clients à commencer leur parcours de déploiement avec ces offres.

Pour les administrateurs non informatiques, consultez Installation de Microsoft 365.

Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison est une plateforme conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées.

FastTrack fournit des conseils à distance pour :

• Évaluation de la version du système d’exploitation et de l’approche de gestion des appareils (y compris les Microsoft Intune, les Configuration Manager microsoft Endpoint, les stratégie de groupe et les configurations tierces), ainsi que la status de votre Windows Defender Services AV ou autres logiciels de sécurité de point de terminaison.
• Intégration Microsoft Defender pour point de terminaison P1 et P2 à l’aide de :
  • Script local.
  • stratégie de groupe.
  • Intune.
  • Configuration Manager.
  • Gestion des paramètres de sécurité de Defender pour point de terminaison.
• Fournir des conseils de configuration recommandés pour que le trafic Microsoft transite par les proxys et les pare-feu, limitant le trafic réseau pour les appareils qui ne sont pas en mesure de se connecter directement à Internet.
• Activation du service Defender pour point de terminaison en expliquant comment déployer un profil d’agent de détection et de réponse de point de terminaison (EDR) à l’aide de l’une des méthodes de gestion prises en charge.
• Conseils de déploiement, assistance à la configuration et formation sur :
  • Fonctionnalités de base de la gestion des vulnérabilités.
  • Réduction de la surface d’attaque. ¹
  • La nouvelle génération de protection.
  • La détection de point de terminaison et réponse.
  • Les enquêtes et résolutions automatiques.
  • Degré de sécurisation pour les appareils.
  • Microsoft Defender la configuration de SmartScreen à l’aide de Intune.
  • Découverte d’appareils. ²
• Examen des simulations et des tutoriels (comme les scénarios pratiques, les programmes malveillants factices et les investigations automatisées).
• Vue d’ensemble des fonctionnalités de compte-rendu et d’analyse des menaces.
• Intégration de Microsoft Defender pour Office 365, Microsoft Defender pour Identity et Defender for Cloud Apps à Defender pour point de terminaison.
• Effectuez des procédures pas à pas du portail Microsoft Defender.
• Intégration et configuration des systèmes d’exploitation suivants :
  • Windows 10/11, y compris Windows 365 PC cloud.
  • Windows Server 2012 R2. ³
  • Windows Server 2016. ³
  • Windows Server 2019. ³
  • Windows Server 2022. ³
  • Windows Server 2019 Core Edition. ³
  • Versions de macOS prises en charge.
  • Android. ⁴
  • Ios. ⁴

¹ Seules les règles de réduction de la surface d’attaque, l’accès contrôlé aux dossiers et la protection réseau sont prises en charge. Toutes les autres fonctionnalités de réduction de la surface d’attaque ne sont pas dans l’étendue. Pour plus d’informations, consultez la section Hors portée suivante.

² Seuls certains aspects sont pris en charge par la découverte d’appareils. Pour plus d’informations, consultez la section Hors portée suivante.

³ la prise en charge Windows Server 2012 R2 et 2016 est limitée à l’intégration et à la configuration de l’agent unifié. Les serveurs doivent être gérés par une version prise en charge de Configuration Manager.

⁴ Pour plus d’informations, consultez la section Hors portée suivante pour plus d’informations sur la défense contre les menaces mobiles.

Non compris

• Conseils d’intégration et d’activation pour les fonctionnalités en préversion.
• Résolution des problèmes rencontrés pendant l’engagement (y compris les appareils qui ne parviennent pas à être intégrés).
• Prise en charge des Microsoft Defender pour entreprises.
• Intégration ou configuration pour les agents Defender pour point de terminaison suivants :
  • Windows Server 2008
  • Linux.
  • Infrastructure VDI (Virtual Desktop Infrastructure) (persistante ou non persistante), y compris Azure Virtual Desktop et les solutions VDI tierces.
• Intégration et configuration du serveur :
  • Configuration d’un serveur proxy pour les communications hors connexion.
  • Configuration de packages de déploiement Configuration Manager sur des instances et des versions de Configuration Manager de bas niveau.
  • Serveurs non gérés par Configuration Manager.
  • Intégration de Defender pour point de terminaison à Microsoft Defender pour serveurs (Microsoft Defender pour le cloud).
• Intégration et configuration de macOS :
  • Déploiement basé sur JAMF.
  • Autres déploiements basés sur les produits de gestion des appareils mobiles (GPM).
  • Déploiement manuel.
• Intégration et configuration de la défense contre les menaces mobiles (Android et iOS) :
  • Apportez vos propres appareils (BYOD) non gérés ou gérés par d’autres systèmes de gestion de la mobilité d’entreprise.
  • Configurez des stratégies de protection des applications (telles que la gestion des applications mobiles (GAM)).
  • Appareils Android inscrits par l’administrateur.
  • Assistance pour la coexistence de plusieurs profils VPN.
  • Intégration d’appareils à Intune. Pour plus d’informations sur l’assistance à l’intégration, consultez Microsoft Intune.
• Configuration des fonctionnalités suivantes de réduction de la surface d’attaque :
  • Isolation des applications matérielles et du navigateur (y compris Protection d'application).
  • Contrôle d’application, y compris AppLocker et Windows Defender Contrôle d’application.
  • Contrôle de l’appareil.
  • Exploit Protection.
  • Pare-feu réseau et de point de terminaison.
• Configuration ou gestion des fonctionnalités de protection de compte telles que :
  • Credential Guard.
  • Appartenance au groupe d’utilisateurs local.
• Configuration ou gestion de BitLocker.

Remarque

Pour plus d’informations sur l’assistance BitLocker avec Windows 11, consultez Windows 11.

• Configuration ou gestion de la découverte d’appareils réseau.
• Configuration ou gestion des fonctionnalités de découverte d’appareils suivantes :
  • Intégration d’appareils non gérés qui ne sont pas dans l’étendue de FastTrack (comme Linux).
  • Configuration ou correction des appareils Internet des objets (IoT), notamment les évaluations des vulnérabilités des appareils IoT via Defender pour IoT.
  • Intégration à des outils tiers.
  • Exclusions pour la découverte d’appareils.
  • Assistance de mise en réseau préliminaire.
  • Résolution des problèmes réseau.
• Simulations d’attaque (y compris les tests d’intrusion).
• Inscription ou configuration des Spécialistes des menaces Microsoft.
• Conseils de configuration ou de formation pour les connexions d’API ou SIEM.
• Formation ou conseils pour le repérage avancé.
• Formation ou recommandations couvrant l’utilisation ou la création de requêtes Kusto.
• Formation ou conseils sur la configuration de Defender SmartScreen à l’aide d’objets stratégie de groupe (GPO), d’Sécurité Windows ou de Microsoft Edge.
• Module complémentaire de gestion des vulnérabilités Defender.
• Gestion autonome des vulnérabilités Defender.

Contactez un partenaire Microsoft pour obtenir de l’aide sur ces services.

Guides de déploiement avancé microsoft

Microsoft fournit aux clients une technologie et des conseils pour les aider à déployer vos services microsoft 365, Microsoft Viva et de sécurité. Nous encourageons nos clients à commencer leur parcours de déploiement avec ces offres.

Pour les administrateurs non informatiques, consultez Installation de Microsoft 365.

Microsoft Defender pour l’identité

Microsoft Defender pour Identity est une solution de sécurité basée sur le cloud. Il utilise vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre organisation.

FastTrack fournit des conseils à distance pour :

• Exécution de l’outil de dimensionnement pour la planification de la capacité des ressources.
• Création de votre instance de Defender pour Identity.
• Configuration de la collecte d’événements Windows entre services de domaine Active Directory (AD DS), Services ADFS (AD FS) et Active Directory Certificate Services (AD CS).
• Gestion de l’accès administrateur avec des groupes de rôles.
• Téléchargement, déploiement et configuration du capteur sur vos contrôleurs de domaine Active Directory pour les environnements à forêt unique et multiple.
• Téléchargement, déploiement et configuration du capteur sur vos serveurs AD FS.
• Configuration du portail, notamment :
  • Marquage de comptes, d’appareils ou de groupes sensibles.
  • Email notifications pour les problèmes d’intégrité et les alertes de sécurité.
  • Exclusions d’alerte.
  • Rapports planifiés.
• Fournir des conseils de déploiement, une aide à la configuration et une formation sur :
  • Rapports d’évaluation de la posture de sécurité des identités dans microsoft Secure Score.
  • Rapports de classement du score de priorité de l’enquête utilisateur et de l’enquête utilisateur.
  • Rapports d’utilisateurs inactifs.
  • Options de correction sur un compte compromis.
• Faciliter la migration d’Advanced Threat Analytics (ATA) vers Defender pour Identity (le cas échéant).

Non compris

• Déploiement de Defender pour Identity en tant que preuve de concept.
• Déploiement ou exécution des activités de capteur Defender pour Identity suivantes :
  • Planification manuelle de la capacité.
  • Déploiement du capteur autonome.
  • Déploiement du capteur à l’aide d’un adaptateur d’association de carte d’interface réseau (NIC).
  • Déploiement du capteur via un outil tiers.
  • Connexion au service cloud Defender pour Identity via une connexion de proxy web.
• Création et configuration de comptes de service d’annuaire ou de gestion de comptes d’action dans Active Directory, y compris les comptes de service gérés de groupe (gMSA).
• Création et configuration d’autorisations pour la base de données AD FS.
• Création et gestion de comptes ou d’appareils honeytokens.
• Activation de la résolution de noms réseau (NNR).
• Activation et configuration du conteneur Objets supprimés.
• Conseils de déploiement ou formation sur :
  • Correction ou interprétation de différents types d’alerte et activités supervisées.
  • Examen d’un utilisateur, d’un ordinateur, d’un chemin de mouvement latéral ou d’une entité.
  • Menace ou repérage avancé.
  • Réponse aux incidents.
• Fournir un didacticiel de laboratoire d’alertes de sécurité pour Defender pour Identity.
• Notification quand Defender pour Identity détecte des activités suspectes en envoyant des alertes de sécurité à votre serveur syslog via un capteur désigné.
• Configuration de Defender pour Identity pour effectuer des requêtes à l’aide du protocole SAMR (Security Account Manager Remote) pour identifier les administrateurs locaux sur des ordinateurs spécifiques.
• Configuration de solutions VPN pour ajouter des informations de la connexion VPN à la page de profil d’un utilisateur.
• INTÉGRATION SIEM ou API (y compris Microsoft Sentinel).

Attentes concernant l’environnement source

• Aligné sur les prérequis de Defender pour Identity.
• Active Directory, AD FS et AD CS déployés.
• Les contrôleurs de domaine Active Directory sur lesquels vous souhaitez installer des capteurs Defender pour Identity disposent d’une connectivité Internet au service cloud Defender pour Identity.
  • Votre pare-feu et votre proxy doivent être ouverts pour communiquer avec le service cloud Defender pour Identity (*.atp.azure.com port 443 doit être ouvert).
• Contrôleurs de domaine s’exécutant sur l’un des serveurs suivants :
  • Windows Server 2016.
  • Windows Server 2019 avec KB4487044 (build du système d’exploitation 17763.316 ou ultérieure).
  • Windows Server 2022.
• Microsoft .NET Framework 4.7 ou version ultérieure.
• Un minimum de six (6) Go d’espace disque est requis et 10 Go sont recommandés.
• Deux (2) cœurs et six (6) Go de RAM installés sur le contrôleur de domaine.

Guides de déploiement avancé microsoft

Microsoft fournit aux clients une technologie et des conseils pour les aider à déployer vos services microsoft 365, Microsoft Viva et de sécurité. Nous encourageons nos clients à commencer leur parcours de déploiement avec ces offres.

Pour les administrateurs non informatiques, consultez Installation de Microsoft 365.

Microsoft Defender pour Office 365

Microsoft Defender pour Office 365 protège votre organization contre les menaces malveillantes posées par les e-mails, les liens (URL), les pièces jointes et les outils de collaboration tels que Microsoft Teams, SharePoint et Outlook. Avec des vues en temps réel des menaces et des outils tels que threat Explorer, vous pouvez rechercher et anticiper les menaces potentielles. Utilisez la formation à la simulation d’attaque pour exécuter des scénarios d’attaque réalistes dans votre organization. Ces attaques simulées peuvent vous aider à identifier et à trouver les utilisateurs vulnérables avant qu’une attaque réelle n’affecte votre résultat net.

FastTrack fournit des conseils à distance pour :

• Examen de l’analyseur de configuration et/ou Defender for Office 365'analyseur de configuration recommandé (ORCA).
• Configuration du mode d’évaluation.
• Activation des stratégies prédéfinies, des liens fiables (y compris les documents fiables), des pièces jointes fiables, des stratégies anti-programme malveillant, anti-hameçonnage, anti-courrier indésirable, anti-usurpation d’identité et stratégies de mise en quarantaine.
• Activation de la protection Teams.
• Configuration des paramètres de message signalés par l’utilisateur.
• Utilisation du simulateur d’attaque et configuration d’une stratégie de remise avancée
• Vue d’ensemble des soumissions de listes de blocage/d’autorisation de locataire (TABL), de la page d’entité de messagerie, des rapports, des campagnes, de l’Explorateur de menaces et de l’analytique des menaces.
• Vue d’ensemble de l’automatisation du vidage automatique zéro heure (ZAP) et de l’examen et de la réponse (AIR).
• Comprendre la corrélation des incidents dans le portail Microsoft Defender.
• Transition à partir d’un fournisseur tiers suivant les recommandations de Microsoft, à l’exception de la création d’un inventaire de vos paramètres actuels, du déplacement des fonctionnalités qui modifient les messages dans Microsoft 365 et de la configuration du filtrage amélioré pour les connecteurs.

Non compris

• Discussions comparant Defender for Office 365 à d’autres offres de sécurité.
• Déploiement de Defender for Office 365 en tant que preuve de concept.
• Analyse du flux de messagerie.
• Filtrage amélioré.
• Formation ou conseils pour le repérage avancé.
• Intégration avec les playbooks Microsoft Power Automate.
• INTÉGRATION SIEM ou API (y compris Microsoft Sentinel).

Attentes concernant l’environnement source

En plus de l’intégration de base FastTrack, Exchange Online doivent également être configurés.

Guides de déploiement avancé microsoft

Microsoft fournit aux clients une technologie et des conseils pour les aider à déployer vos services microsoft 365, Microsoft Viva et de sécurité. Nous encourageons nos clients à commencer leur parcours de déploiement avec ces offres.

Pour les administrateurs non informatiques, consultez Installation de Microsoft 365.