Vue d’ensemble de la détection et de la réponse des points de terminaison

  • Article

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Les fonctionnalités de détection et de réponse de point de terminaison dans Defender pour point de terminaison fournissent des détections d’attaque avancées qui sont quasiment en temps réel et exploitables. Les analystes de la sécurité peuvent hiérarchiser efficacement les alertes, avoir une meilleure visibilité de l’ampleur d’une faille et prendre des mesures correctives pour remédier aux menaces.

Lorsqu’une menace est détectée, les alertes sont créées dans le système à des fins d’analyse par un analyste. Les alertes présentant les mêmes techniques d’attaque ou attribuées au même agresseur sont regroupées dans une entité appelée incident. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.

Remarque

La détection de Defender pour point de terminaison n’est pas destinée à être une solution d’audit ou de journalisation qui enregistre chaque opération ou activité qui se produit sur un point de terminaison donné. Notre capteur dispose d’un mécanisme de limitation interne, de sorte que le taux élevé d’événements identiques répétés n’inonde pas les journaux.

Importante

Defender pour point de terminaison Plan 1 et Microsoft Defender pour entreprises incluent uniquement les actions de réponse manuelle suivantes :

  • Exécuter une analyse antivirus
  • Isoler l’appareil
  • Arrêter et mettre en quarantaine un fichier
  • Ajouter un indicateur pour bloquer ou autoriser un fichier

Inspiré par l’état d’esprit « supposer une violation », Defender pour point de terminaison collecte en permanence des données de télémétrie comportementales. Cela englobe les informations des processus, les activités réseau, l’inspection approfondie du noyau et du gestionnaire de mémoire, les activités de connexion utilisateur, les modifications du Registre et du système de fichiers, etc. Les informations sont conservées pendant six mois, ce qui permet à un analyste de remonter au début d’une attaque. Il peut alors analyser différents axes et adopter une approche d’investigation via plusieurs vecteurs.

Les fonctionnalités de réponse vous offrent la possibilité de remédier rapidement aux menaces en agissant sur les entités affectées.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.