Microsoft Defender pour point de terminaison labo d’évaluation

Importante

Le laboratoire d’évaluation Microsoft Defender pour point de terminaison a été déconseillé en janvier 2024.

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Importante

Alors que Microsoft continue d’évaluer la valeur des fonctionnalités et des services à fournir, Microsoft a pris la décision de mettre hors service le laboratoire d’évaluation Defender. Cette modification sera déployée à la mi-janvier 2024 et devrait se terminer à la fin de janvier 2024.

La réalisation d’une évaluation complète du produit de sécurité peut être un processus complexe nécessitant une configuration fastidieuse de l’environnement et de l’appareil avant qu’une simulation d’attaque de bout en bout puisse réellement être effectuée. Le défi du suivi de l’endroit où les activités de simulation, les alertes et les résultats sont reflétés au cours de l’évaluation s’ajoute à la complexité.

Le laboratoire d’évaluation Microsoft Defender pour point de terminaison est conçu pour éliminer les complexités de la configuration de l’appareil et de l’environnement afin que vous puissiez vous concentrer sur l’évaluation des fonctionnalités de la plateforme, l’exécution de simulations et la vue des fonctionnalités de prévention, de détection et de correction en action.

Grâce à l’expérience de configuration simplifiée, vous pouvez vous concentrer sur l’exécution de vos propres scénarios de test et des simulations prédéfinies pour voir les performances de Defender pour point de terminaison.

Vous aurez un accès complet aux puissantes fonctionnalités de la plateforme, telles que les investigations automatisées, la chasse avancée et l’analyse des menaces, ce qui vous permettra de tester la pile de protection complète offerte par Defender pour point de terminaison.

Vous pouvez ajouter des appareils Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 et Linux (Ubuntu) qui sont préconfigurés pour avoir les dernières versions du système d’exploitation et les composants de sécurité appropriés en place, ainsi qu’Office 2019 Standard installés.

Vous pouvez également installer des simulateurs de menaces. Defender pour point de terminaison s’est associé à des plateformes de simulation de menaces leader du secteur pour vous aider à tester les fonctionnalités de Defender pour point de terminaison sans avoir à quitter le portail.

Installez votre simulateur préféré, exécutez des scénarios dans le laboratoire d’évaluation et découvrez instantanément les performances de la plateforme, le tout sans frais supplémentaires. Vous aurez également un accès pratique à un large éventail de simulations auxquelles vous pouvez accéder et exécuter à partir du catalogue de simulations.

Avant de commencer

Vous devez remplir les conditions de licence ou disposer d’un accès d’essai à Microsoft Defender pour point de terminaison pour accéder au laboratoire d’évaluation.

Vous devez disposer des autorisations Gérer les paramètres de sécurité pour :

• Create le labo
• appareils Create
• Réinitialiser le mot de passe
• simulations Create

Si vous avez activé le contrôle d’accès en fonction du rôle (RBAC) et créé au moins un groupe de machines, les utilisateurs doivent avoir accès à Tous les groupes d’ordinateurs.

Pour plus d’informations, consultez Create et gérer les rôles.

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Prise en main du labo

Vous pouvez accéder au labo à partir du menu. Dans le menu de navigation, sélectionnez Évaluation et tutoriels > Labo d’évaluation.

Remarque

• Selon le type de structure d’environnement que vous sélectionnez, les appareils seront disponibles pour le nombre d’heures spécifié à partir du jour de l’activation.
• Chaque environnement est approvisionné avec un ensemble limité d’appareils de test. Une fois que vous avez utilisé les appareils provisionnés et que vous les avez supprimés, vous pouvez demander d’autres appareils.
• Vous pouvez demander des ressources de laboratoire une fois par mois.

Vous avez déjà un labo ? Veillez à activer les nouveaux simulateurs de menaces et à disposer d’appareils actifs.

Configurer le laboratoire d’évaluation

1. Dans le volet de navigation, sélectionnez Évaluation & tutoriels>Labo d’évaluation, puis sélectionnez Configurer le labo.

   

2. En fonction de vos besoins d’évaluation, vous pouvez choisir de configurer un environnement avec moins d’appareils pour une période plus longue ou plus d’appareils pendant une période plus courte. Sélectionnez votre configuration de laboratoire préférée, puis sélectionnez Suivant.

   

3. (Facultatif) Vous pouvez choisir d’installer des simulateurs de menaces dans le labo.

   

   Importante

   Vous devez d’abord accepter et donner votre consentement aux conditions et aux déclarations de partage d’informations.

4. Sélectionnez l’agent de simulation de menace que vous souhaitez utiliser et entrez vos détails. Vous pouvez également choisir d’installer des simulateurs de menaces ultérieurement. Si vous choisissez d’installer des agents de simulation de menace pendant la configuration du labo, vous bénéficierez de leur installation pratique sur les appareils que vous ajoutez.

   

5. Passez en revue le résumé et sélectionnez Configurer le laboratoire.

Une fois le processus de configuration du labo terminé, vous pouvez ajouter des appareils et exécuter des simulations.

Ajouter des appareils

Lorsque vous ajoutez un appareil à votre environnement, Defender pour point de terminaison configure un appareil bien configuré avec les détails de connexion. Vous pouvez ajouter Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 et Linux (Ubuntu).

L’appareil sera configuré avec la version la plus récente du système d’exploitation et d’Office 2019 Standard, ainsi que d’autres applications telles que Java, Python et SysIntenals.

Si vous avez choisi d’ajouter un simulateur de menaces pendant la configuration du labo, l’agent du simulateur de menaces est installé sur tous les appareils que vous ajoutez.

L’appareil est automatiquement intégré à votre locataire avec les composants de sécurité Windows recommandés activés et en mode audit, sans aucun effort de votre côté.

Les composants de sécurité suivants sont préconfigurés dans les appareils de test :

• Réduction de la surface d’attaque
• Bloquer à la première consultation
• Accès contrôlé aux dossiers
• Exploit Protection
• Protection du réseau
• Détection d’applications potentiellement indésirables
• Protection fournie par le cloud
• Microsoft Defender SmartScreen

Remarque

Microsoft Defender antivirus sera activé (et non en mode audit). Si Microsoft Defender Antivirus vous empêche d’exécuter votre simulation, vous pouvez désactiver la protection en temps réel sur l’appareil via Sécurité Windows. Pour plus d’informations, consultez Configurer la protection always-on.

Les paramètres d’examen automatisé dépendent des paramètres du locataire. Il sera configuré pour être semi-automatisé par défaut. Pour plus d’informations, consultez Vue d’ensemble des enquêtes automatisées.

Remarque

La connexion aux appareils de test s’effectue à l’aide du protocole RDP. Assurez-vous que les paramètres de votre pare-feu autorisent les connexions RDP.

1. Dans le tableau de bord, sélectionnez Ajouter un appareil.

2. Choisissez le type d’appareil à ajouter. Vous pouvez choisir d’ajouter Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 et Linux (Ubuntu).

   

   Remarque

   En cas de problème avec le processus de création de l’appareil, vous serez averti et vous devrez envoyer une nouvelle demande. Si la création de l’appareil échoue, elle n’est pas comptabilisée dans le quota global autorisé.

3. Les détails de connexion s’affichent. Sélectionnez Copier pour enregistrer le mot de passe de l’appareil.

   Remarque

   Le mot de passe ne s’affiche qu’une seule fois. Veillez à l’enregistrer pour une utilisation ultérieure.

   

4. La configuration de l’appareil commence. Cela peut prendre jusqu’à environ 30 minutes.

5. Consultez les status des appareils de test, les niveaux de risque et d’exposition, ainsi que les status des installations de simulateur en sélectionnant l’onglet Appareils.

   

   Conseil

   Dans la colonne Simulateur status, vous pouvez pointer sur l’icône d’informations pour connaître la status d’installation d’un agent.

Ajouter un contrôleur de domaine

Ajoutez un contrôleur de domaine pour exécuter des scénarios complexes tels que le mouvement latéral et les attaques multiphases sur plusieurs appareils.

Remarque

La prise en charge du domaine n’est disponible que dans le portail Microsoft Defender (security.microsoft.com).

1. Dans le tableau de bord, sélectionnez Ajouter un appareil.

2. Sélectionnez Windows Server 2019, puis Définir comme contrôleur de domaine.

3. Une fois votre contrôleur de domaine approvisionné, vous pouvez créer des appareils joints à un domaine en cliquant sur Ajouter un appareil. Sélectionnez ensuite Windows 10/Windows 11, puis Sélectionnez Joindre au domaine.

Remarque

Un seul contrôleur de domaine peut être actif à la fois. L’appareil de contrôleur de domaine reste actif tant qu’un appareil actif y est connecté.

Demander d’autres appareils

Lorsque tous les appareils existants sont utilisés et supprimés, vous pouvez demander d’autres appareils. Vous pouvez demander des ressources de laboratoire une fois par mois.

1. Dans le tableau de bord du laboratoire d’évaluation, sélectionnez Demander d’autres appareils.

   

2. Choisissez votre configuration.

3. Envoyez la demande.

Une fois la demande envoyée avec succès, vous verrez une bannière de confirmation verte et la date de la dernière soumission.

Vous trouverez les status de votre demande dans l’onglet Actions utilisateur, qui sera approuvé dans quelques heures.

Une fois approuvés, les appareils demandés sont ajoutés à votre configuration de laboratoire et vous pourrez en créer d’autres.

Conseil

Pour tirer le meilleur parti de votre laboratoire, n’oubliez pas d’case activée notre bibliothèque de simulations.

Simuler des scénarios d’attaque

Utilisez les appareils de test pour exécuter vos propres simulations d’attaque en vous connectant à eux.

Vous pouvez simuler des scénarios d’attaque à l’aide de :

• Scénarios d’attaque « Faire soi-même »
• Simulateurs de menaces

Vous pouvez également utiliser la chasse avancée pour interroger les données et l’analyse des menaces pour afficher les rapports sur les menaces émergentes.

Scénarios d’attaque à faire soi-même

Si vous recherchez une simulation prédéfinie, vous pouvez utiliser nos scénarios d’attaque « Faire vous-même ». Ces scripts sont sûrs, documentés et faciles à utiliser. Ces scénarios reflètent les fonctionnalités de Defender pour point de terminaison et vous guident tout au long de l’expérience d’investigation.

Remarque

La connexion aux appareils de test s’effectue à l’aide du protocole RDP. Assurez-vous que les paramètres de votre pare-feu autorisent les connexions RDP.

1. Connectez-vous à votre appareil et exécutez une simulation d’attaque en sélectionnant Se connecter.

   

   

   Pour les appareils Linux : vous devez utiliser un client SSH local et la commande fournie.

   Remarque

   Si vous n’avez pas de copie du mot de passe enregistrée lors de la configuration initiale, vous pouvez réinitialiser le mot de passe en sélectionnant Réinitialiser le mot de passe dans le menu :

   

   L’appareil passe à l’état « Exécution de la réinitialisation du mot de passe », puis votre nouveau mot de passe s’affiche dans quelques minutes.

2. Entrez le mot de passe affiché lors de l’étape de création de l’appareil.

   

3. Exécutez des simulations d’attaque par vous-même sur l’appareil.

Scénarios de simulateur de menaces

Si vous avez choisi d’installer l’un des simulateurs de menaces pris en charge pendant la configuration du labo, vous pouvez exécuter les simulations intégrées sur les appareils du laboratoire d’évaluation.

L’exécution de simulations de menaces à l’aide de plateformes tierces est un bon moyen d’évaluer Microsoft Defender pour point de terminaison fonctionnalités dans les limites d’un environnement de laboratoire.

Remarque

Avant de pouvoir exécuter des simulations, vérifiez que les conditions suivantes sont remplies :

• Les appareils doivent être ajoutés au laboratoire d’évaluation
• Les simulateurs de menaces doivent être installés dans le laboratoire d’évaluation

1. Dans le portail, sélectionnez Create simulation.

2. Sélectionnez un simulateur de menaces.

   

3. Choisissez une simulation ou parcourez la galerie de simulations pour parcourir les simulations disponibles.

   Vous pouvez accéder à la galerie de simulations à partir de :

   • Le tableau de bord d’évaluation main dans la vignette Vue d’ensemble des simulations ou
   • En naviguant à partir du volet de navigation Évaluation et tutoriels>Simulation & tutoriels, sélectionnez Catalogue de simulations.

4. Sélectionnez les appareils sur lesquels vous souhaitez exécuter la simulation.

5. Sélectionnez Create simulation.

6. Affichez la progression d’une simulation en sélectionnant l’onglet Simulations . Affichez l’état de la simulation, les alertes actives et d’autres détails.

   

Après avoir exécuté vos simulations, nous vous encourageons à parcourir la barre de progression du labo et à explorer Microsoft Defender pour point de terminaison déclenché une investigation et une correction automatisées. Consultez les preuves collectées et analysées par la fonctionnalité.

Recherchez les preuves d’attaque par le biais de la chasse avancée en utilisant le langage de requête riche et la télémétrie brute et case activée certaines menaces à l’échelle mondiale documentées dans l’analyse des menaces.

Galerie de simulations

Microsoft Defender pour point de terminaison s’est associé à diverses plateformes de simulation de menaces pour vous donner un accès pratique pour tester les fonctionnalités de la plateforme directement à partir du portail.

Affichez toutes les simulations disponibles en accédant au catalogue Simulations et tutoriels>Simulations dans le menu.

Une liste des agents de simulation de menace tiers pris en charge est répertoriée, et des types spécifiques de simulations ainsi que des descriptions détaillées sont fournis dans le catalogue.

Vous pouvez facilement exécuter n’importe quelle simulation disponible directement à partir du catalogue.

Chaque simulation est fournie avec une description détaillée du scénario d’attaque et des références telles que les techniques d’attaque MITRE utilisées et les exemples de requêtes de chasse avancées que vous exécutez.

Exemples :

Rapport d’évaluation

Les rapports de laboratoire résument les résultats des simulations effectuées sur les appareils.

En un coup d’œil, vous serez rapidement en mesure de voir :

• Incidents déclenchés
• Alertes générées
• Évaluations du niveau d’exposition
• Catégories de menaces observées
• Sources de détection
• Enquêtes automatisées

Envoyer des commentaires

Vos commentaires nous aident à mieux protéger votre environnement contre les attaques avancées. Partagez votre expérience et vos impressions à partir des fonctionnalités du produit et des résultats d’évaluation.

Faites-nous savoir ce que vous en pensez en sélectionnant Fournir des commentaires.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.