Configurer les fonctionnalités avancées
La page fonctionnalités avancées de la zone paramètres/général fournit les paramètres suivants relatifs à l’automatisation :
La zone fonctionnalités avancées de la zone Paramètres généraux fournit de nombreux commutateurs activé/désactivé pour les fonctionnalités au sein du produit. Voici les paramètres qui sont concentrés sur l’automatisation.
| Fonctionnalité | Description |
|---|---|
| Investigation automatisée | Active les fonctionnalités d’automatisation pour l’investigation et la réponse. |
| Activer EDR en mode bloc | Lorsqu’il est activé, Microsoft Defender for Endpoint utilise des fonctionnalités de blocage et de relation contenant-contenu en bloquant les artefacts ou les comportements malveillants observés à l’aide des fonctionnalités de réponse et de réponse du point de terminaison après violations. Cette fonctionnalité ne change pas la manière dont Microsoft Defender for Endpoint effectue la détection, la génération d’alertes et la corrélation des incidents. |
| Résoudre automatiquement les alertes | Résout une alerte si l’investigation automatisée ne détecte aucune menace ou a résolu avec succès tous les artefacts malveillants. |
| Autoriser ou bloquer un fichier | Assurez-vous que l’antivirus Windows Defender est activé et que la fonctionnalité de protection basée sur le Cloud est activée dans votre organisation pour utiliser la fonctionnalité autoriser ou bloquer des fichiers. |
Investigation automatisée
Activez cette fonctionnalité pour tirer parti des fonctionnalités d’investigation et de correction automatisées du service.
Résoudre automatiquement les alertes corrigées
Pour les locataires créés à partir de Windows 10, version 1809, la fonctionnalité d’investigation et de correction automatisée est configurée par défaut pour résoudre les alertes dont l’état du résultat de l’analyse automatisée est « aucune menace détectée » ou « corrigé ». Si vous ne souhaitez pas que les alertes soient résolues automatiquement, vous devez désactiver la fonctionnalité manuellement.
Le résultat de l’action de résolution automatiquement peut influencer le calcul du niveau de risque de l’appareil en fonction des alertes actives détectées sur un appareil. Si un analyste des opérations de sécurité définit manuellement l’état d’une alerte sur « en cours » ou « résolu », la fonctionnalité de correction automatisée ne le remplace pas.
Autoriser ou bloquer un fichier
Le blocage est disponible uniquement si votre organisation répond à ces exigences :
- Utilisation de l’antivirus Microsoft Defender comme solution anti-programme malveillant active
And
- Fonctionnalité de protection basée sur le Cloud activée
Cette fonctionnalité vous permet de bloquer des fichiers potentiellement malveillants dans votre réseau. Le blocage d’un fichier empêche sa lecture, son écriture ou son exécution sur les appareils de votre organisation. Après avoir activé cette fonctionnalité, vous pouvez bloquer des fichiers via l’onglet ajouter un indicateur de la page de profil d’un fichier.