Partager via


Configurer des fonctionnalités avancées dans Defender pour point de terminaison

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Selon les produits de sécurité Microsoft que vous utilisez, certaines fonctionnalités avancées peuvent être disponibles pour intégrer Defender pour point de terminaison.

Activer les fonctionnalités avancées

  1. Accédez au portail Microsoft Defender et connectez-vous.

  2. Dans le volet de navigation, sélectionnez Paramètres Points>de terminaisonFonctionnalités avancées>.

  3. Sélectionnez la fonctionnalité avancée que vous souhaitez configurer et basculez le paramètre entre Activé et Désactivé.

  4. Sélectionnez Enregistrer les préférences.

Utilisez les fonctionnalités avancées suivantes pour mieux vous protéger contre les fichiers potentiellement malveillants et obtenir de meilleurs insights pendant les enquêtes de sécurité.

Restreindre la corrélation à dans les groupes d’appareils délimités

Cette configuration peut être utilisée pour les scénarios où les opérations SOC locales souhaitent limiter les corrélations d’alerte uniquement aux groupes d’appareils auxquels elles peuvent accéder. En activant ce paramètre, un incident composé d’alertes indiquant que les groupes inter-appareils ne seront plus considérés comme un seul incident. Le SOC local peut ensuite prendre des mesures sur l’incident, car il a accès à l’un des groupes d’appareils impliqués. Toutefois, le SOC global verra plusieurs incidents différents par groupe d’appareils au lieu d’un incident. Nous vous déconseillons d’activer ce paramètre, sauf si cela l’emporte sur les avantages de la corrélation des incidents sur l’ensemble du organization.

Remarque

  • La modification de ce paramètre affecte uniquement les corrélations d’alerte futures.

  • La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

Activer EDR en mode bloc

La détection et la réponse des points de terminaison (EDR) en mode bloc offrent une protection contre les artefacts malveillants, même lorsque Microsoft Defender’antivirus s’exécute en mode passif. Lorsqu’il est activé, EDR en mode bloc bloque les artefacts ou comportements malveillants détectés sur un appareil. EDR en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés après la violation.

Résoudre automatiquement les alertes

Activez ce paramètre pour résoudre automatiquement les alertes où aucune menace n’a été détectée ou où les menaces détectées ont été corrigées. Si vous ne souhaitez pas que les alertes soient automatiquement résolues, vous devez désactiver manuellement la fonctionnalité.

Remarque

  • Le résultat de l’action de résolution automatique peut influencer le calcul du niveau de risque de l’appareil basé sur les alertes actives trouvées sur un appareil.
  • Si un analyste des opérations de sécurité définit manuellement la status d’une alerte sur « En cours » ou « Résolu », la fonctionnalité de résolution automatique ne la remplacera pas.

Autoriser ou bloquer le fichier

Le blocage n’est disponible que si votre organization répond aux exigences suivantes :

  • Utilise Microsoft Defender Antivirus comme solution anti-programme malveillant active et,
  • La fonctionnalité de protection basée sur le cloud est activée

Cette fonctionnalité vous permet de bloquer les fichiers potentiellement malveillants dans votre réseau. Le blocage d’un fichier empêche sa lecture, son écriture ou son exécution sur les appareils de votre organization.

Pour activer l’option Autoriser ou bloquer les fichiers :

  1. Dans le portail Microsoft Defender, dans le volet de navigation, sélectionnez Paramètres>Points de terminaisonFonctionnalités>avancées> générales >Autoriser ou bloquer le fichier.

  2. Basculez le paramètre entre Activé et Désactivé.

    Écran Points de terminaison

  3. Sélectionnez Enregistrer les préférences en bas de la page.

Après avoir activé cette fonctionnalité, vous pouvez bloquer les fichiers via l’onglet Ajouter un indicateur sur la page de profil d’un fichier.

Masquer les enregistrements d’appareils en double potentiels

En activant cette fonctionnalité, vous pouvez vous assurer que vous voyez les informations les plus précises sur vos appareils en masquant les enregistrements potentiels des appareils en double. Il existe différentes raisons pour lesquelles des enregistrements d’appareil en double peuvent se produire, par exemple, la fonctionnalité de détection d’appareil dans Microsoft Defender pour point de terminaison peut analyser votre réseau et découvrir un appareil qui est déjà intégré ou qui a récemment été désactivé.

Cette fonctionnalité identifie les appareils en double potentiels en fonction de leur nom d’hôte et de l’heure de la dernière consultation. Les appareils en double sont masqués de plusieurs expériences dans le portail, telles que l’inventaire des appareils, les pages Gestion des vulnérabilités Microsoft Defender et les API publiques pour les données de l’ordinateur, ce qui laisse visible l’enregistrement d’appareil le plus précis. Toutefois, les doublons sont toujours visibles dans les pages recherche globale, repérage avancé, alertes et incidents.

Ce paramètre est activé par défaut et est appliqué à l’ensemble du locataire. Si vous ne souhaitez pas masquer les enregistrements d’appareil en double potentiels, vous devez désactiver manuellement la fonctionnalité.

Indicateurs réseau personnalisés

L’activation de cette fonctionnalité vous permet de créer des indicateurs pour les adresses IP, les domaines ou les URL, qui déterminent s’ils seront autorisés ou bloqués en fonction de votre liste d’indicateurs personnalisés.

Pour utiliser cette fonctionnalité, les appareils doivent exécuter Windows 10 version 1709 ou ultérieure, ou Windows 11. Ils doivent également avoir une protection réseau en mode bloc et la version 4.18.1906.3 ou ultérieure de la plateforme anti-programme malveillant voir kb 4052623.

Pour plus d’informations, consultez Vue d’ensemble des indicateurs.

Remarque

La protection réseau tire parti des services de réputation qui traitent les demandes dans des emplacements qui peuvent se trouver en dehors de l’emplacement que vous avez sélectionné pour vos données Defender pour point de terminaison.

Protection contre les falsifications

Pendant certains types de cyberattaques, des acteurs malveillants tentent de désactiver les fonctionnalités de sécurité, telles que la protection antivirus, sur vos machines. Les acteurs malveillants aiment désactiver vos fonctionnalités de sécurité pour faciliter l’accès à vos données, installer des programmes malveillants ou exploiter vos données, identité et appareils. La protection contre les falsifications verrouille essentiellement Microsoft Defender Antivirus et empêche vos paramètres de sécurité d’être modifiés par le biais d’applications et de méthodes.

Pour plus d’informations, notamment sur la configuration de la protection contre les falsifications, consultez Protéger les paramètres de sécurité avec la protection contre les falsifications.

Afficher les détails de l’utilisateur

Activez cette fonctionnalité pour voir les détails utilisateur stockés dans Microsoft Entra ID. Les détails incluent l’image, le nom, le titre et les informations de service d’un utilisateur lors de l’examen des entités de compte d’utilisateur. Vous trouverez les informations de compte d’utilisateur dans les affichages suivants :

  • File d’attente d’alerte
  • Page détails de l’appareil

Pour plus d’informations, consultez Examiner un compte d’utilisateur.

intégration Skype Entreprise

L’activation de l’intégration Skype Entreprise vous donne la possibilité de communiquer avec les utilisateurs à l’aide de Skype Entreprise, d’un e-mail ou d’un téléphone. Cette activation peut être utile lorsque vous devez communiquer avec l’utilisateur et atténuer les risques.

Remarque

Lorsqu’un appareil est isolé du réseau, il existe une fenêtre contextuelle dans laquelle vous pouvez choisir d’activer les communications Outlook et Skype qui autorise les communications avec l’utilisateur lorsqu’il est déconnecté du réseau. Ce paramètre s’applique aux communications Skype et Outlook lorsque les appareils sont en mode d’isolation.

Microsoft Defender for Cloud Apps

L’activation de ce paramètre transfère les signaux Defender pour point de terminaison à Microsoft Defender for Cloud Apps afin de fournir une visibilité plus approfondie sur l’utilisation des applications cloud. Les données transférées sont stockées et traitées au même emplacement que vos données Defender for Cloud Apps.

Remarque

Cette fonctionnalité sera disponible avec une licence E5 pour Enterprise Mobility + Security sur les appareils exécutant Windows 10, version 1709 (build du système d’exploitation 16299.1085 avec KB4493441), Windows 10, version 1803 (build du système d’exploitation 17134.704 avec KB4493464), Windows 10, version 1809 (Build du système d’exploitation 17763.379 avec KB4489899), versions Windows 10 ultérieures ou Windows 11.

Filtrage du contenu web

Bloquer l’accès aux sites web contenant du contenu indésirable et suivre l’activité web dans tous les domaines. Pour spécifier les catégories de contenu web que vous souhaitez bloquer, créez une stratégie de filtrage de contenu web. Vérifiez que la protection réseau est en mode bloc lors du déploiement de la base de référence de sécurité Microsoft Defender pour point de terminaison.

Journal d’audit unifié

La recherche dans Microsoft Purview permet à votre équipe de sécurité et de conformité d’afficher les données critiques des événements du journal d’audit pour obtenir des insights et examiner les activités des utilisateurs. Chaque fois qu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit Microsoft 365 pour votre organization. Pour plus d’informations, consultez Rechercher dans le journal d’audit.

Découverte d’appareils

Vous aide à trouver des appareils non gérés connectés à votre réseau d’entreprise sans avoir besoin d’appliances supplémentaires ou de modifications de processus fastidieuses. À l’aide d’appareils intégrés, vous pouvez trouver des appareils non gérés dans votre réseau et évaluer les vulnérabilités et les risques. Pour plus d’informations, consultez Découverte d’appareils.

Remarque

Vous pouvez toujours appliquer des filtres pour exclure les appareils non gérés de la liste d’inventaire des appareils. Vous pouvez également utiliser la colonne d’état de l’intégration sur les requêtes d’API pour filtrer les appareils non gérés.

Télécharger les fichiers mis en quarantaine

Sauvegardez les fichiers mis en quarantaine dans un emplacement sécurisé et conforme afin qu’ils puissent être téléchargés directement à partir de la mise en quarantaine. Le bouton Télécharger le fichier sera toujours disponible dans la page du fichier. Ce paramètre est activé par défaut. En savoir plus sur la configuration requise

Connectivité simplifiée par défaut lors de l’intégration d’appareils dans le portail Defender

Ce paramètre définit le package d’intégration par défaut sur une connectivité rationalisée pour les systèmes d’exploitation applicables. Vous avez toujours la possibilité d’utiliser le package d’intégration standard dans la page d’intégration, mais vous devez le sélectionner spécifiquement dans la liste déroulante.

Réponse en direct

Activez cette fonctionnalité afin que les utilisateurs disposant des autorisations appropriées puissent démarrer une session de réponse en direct sur les appareils.

Pour plus d’informations sur les attributions de rôles, consultez Créer et gérer des rôles.

Réponse en direct pour les serveurs

Activez cette fonctionnalité afin que les utilisateurs disposant des autorisations appropriées puissent démarrer une session de réponse en direct sur les serveurs.

Pour plus d’informations sur les attributions de rôles, consultez Créer et gérer des rôles.

Exécution de script non signé de réponse en direct

L’activation de cette fonctionnalité vous permet d’exécuter des scripts non signés dans une session de réponse en direct.

Tromperie

Deception permet à votre équipe de sécurité de gérer et de déployer des leurres et des leurres pour intercepter les attaquants dans votre environnement. Une fois que vous avez activé cette option, accédez à Règles > de tromperie pour exécuter des campagnes de tromperie. Consultez Gérer la fonctionnalité de tromperie dans Microsoft Defender XDR.

Partager des alertes de point de terminaison avec le Centre de conformité Microsoft

Transfère les alertes de sécurité de point de terminaison et leur status de tri à portail de conformité Microsoft Purview, ce qui vous permet d’améliorer les stratégies de gestion des risques internes avec des alertes et de corriger les risques internes avant qu’ils ne provoquent des dommages. Les données transférées sont traitées et stockées au même emplacement que vos données Office 365.

Après avoir configuré les indicateurs de violation de stratégie de sécurité dans les paramètres de gestion des risques internes, les alertes Defender pour point de terminaison sont partagées avec la gestion des risques internes pour les utilisateurs concernés.

connexion Microsoft Intune

Defender pour point de terminaison peut être intégré à Microsoft Intune pour activer l’accès conditionnel basé sur les risques de l’appareil. Lorsque vous activez cette fonctionnalité, vous pouvez partager les informations de l’appareil Defender pour point de terminaison avec Intune, ce qui améliore l’application de la stratégie.

Importante

Vous devez activer l’intégration sur Intune et Defender pour point de terminaison pour utiliser cette fonctionnalité. Pour plus d’informations sur les étapes spécifiques, consultez Configurer l’accès conditionnel dans Defender pour point de terminaison.

Cette fonctionnalité n’est disponible que si vous disposez des conditions préalables suivantes :

  • Un locataire sous licence pour Enterprise Mobility + Security E3 et Windows E5 (ou Microsoft 365 Entreprise E5)
  • Un environnement Microsoft Intune actif, avec des appareils Windows gérés par Intune Microsoft Entra joints.

Télémétrie authentifiée

Vous pouvez activer la télémétrie authentifiée pour empêcher l’usurpation de la télémétrie dans votre tableau de bord.

Fonctionnalités de préversion

Découvrez les nouvelles fonctionnalités de la préversion de Defender pour point de terminaison.

Essayez les fonctionnalités à venir en activant l’expérience en préversion. Vous aurez accès aux fonctionnalités à venir, sur lesquelles vous pouvez fournir des commentaires pour vous aider à améliorer l’expérience globale avant que les fonctionnalités ne soient généralement disponibles.

Si vous avez déjà activé les fonctionnalités d’aperçu, gérez vos paramètres à partir des paramètres main Defender XDR.

Pour plus d’informations, consultez fonctionnalités Microsoft Defender XDR en préversion.

Notifications d’attaque de point de terminaison

Les notifications d’attaque de point de terminaison permettent à Microsoft de rechercher activement les menaces critiques à hiérarchiser en fonction de l’urgence et de l’impact sur vos données de point de terminaison.

Pour une chasse proactive dans toute l’étendue des Microsoft Defender XDR, y compris les menaces qui couvrent la messagerie, la collaboration, l’identité, les applications cloud et les points de terminaison, en savoir plus sur Microsoft Defender Experts.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.