Microsoft Defender pour point de terminaison opportunités et scénarios de partenaires

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Les partenaires peuvent facilement étendre leurs offres de sécurité existantes en plus de l’infrastructure ouverte et d’un ensemble complet d’API pour créer des extensions et des intégrations avec Defender pour point de terminaison.

Les API couvrent des domaines fonctionnels, notamment la détection, la gestion, la réponse, les vulnérabilités et un large éventail de cas d’usage de l’intelligence. En fonction du cas d’usage et des besoins, les partenaires peuvent diffuser ou interroger des données à partir de Defender pour point de terminaison.

Scénario 1 : Corrélation d’alerte externe et Investigation et correction automatisées

Defender pour point de terminaison offre des fonctionnalités d’investigation et de correction automatisées uniques pour améliorer la réponse aux incidents à grande échelle.

L’intégration de la fonctionnalité d’investigation et de réponse automatisées à d’autres solutions, telles que les produits de sécurité réseau ou d’autres produits de sécurité de point de terminaison, permet de traiter les alertes. L’intégration réduit également les complexités entourant la corrélation des signaux réseau et des appareils, ce qui simplifie efficacement les actions d’investigation et de correction des menaces sur les appareils.

Defender pour point de terminaison ajoute la prise en charge de ce scénario sous les formes suivantes :

• Les alertes externes peuvent être envoyées (push) dans Defender pour point de terminaison et présentées côte à côte avec des alertes supplémentaires basées sur les appareils de Defender pour point de terminaison. Cette vue fournit le contexte complet de l’alerte, avec le processus réel et l’histoire complète de l’attaque.

• Une fois qu’une alerte est générée, le signal est partagé entre tous les points de terminaison protégés par Defender pour point de terminaison dans l’entreprise. Defender pour point de terminaison prend immédiatement une réponse automatisée ou assistée par un opérateur pour traiter l’alerte.

Scénario 2 : Intégration de l’orchestration et de l’automatisation de la sécurité (SOAR)

Les solutions d’orchestration peuvent aider à créer des playbooks et à intégrer le modèle de données enrichi et les actions exposées par les API Defender pour point de terminaison afin d’orchestrer les réponses, telles que la requête de données d’appareil, le déclenchement de l’isolation des appareils, le blocage/autorisation, la résolution des alertes, etc.

Scénario 3 : Correspondance des indicateurs

L’indicateur de correspondance de compromission (IoC) est une fonctionnalité essentielle dans chaque solution endpoint protection. Cette fonctionnalité est disponible dans Defender pour point de terminaison et permet de définir une liste d’indicateurs pour la prévention, la détection et l’exclusion des entités. Vous pouvez définir l’action à entreprendre ainsi que la durée d’application de l’action.

Les scénarios ci-dessus servent d’exemples d’extensibilité de la plateforme. Vous n’êtes pas limité aux exemples et nous vous encourageons certainement à utiliser le framework ouvert pour découvrir et explorer d’autres scénarios.

Suivez les étapes décrites dans Devenir un partenaire Microsoft Defender pour point de terminaison pour intégrer votre solution dans Defender pour point de terminaison.

Article connexe

• Vue d’ensemble de la gestion et des API

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.