Évaluation des bases de référence de sécurité

S’applique à :

• Gestion des vulnérabilités Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender pour serveurs Plan 2

Remarque

Pour utiliser cette fonctionnalité, vous aurez besoin Gestion des vulnérabilités Microsoft Defender autonome ou si vous êtes déjà un client Microsoft Defender pour point de terminaison Plan 2, le Defender Vulnerability Management module complémentaire.

Au lieu d’exécuter des analyses de conformité sans fin, l’évaluation des bases de référence de sécurité vous permet de surveiller en continu et facilement la conformité des bases de référence de sécurité de votre organization et d’identifier les modifications en temps réel.

Un profil de base de référence de sécurité est un profil personnalisé que vous pouvez créer pour évaluer et surveiller les points de terminaison dans votre organization par rapport aux points de référence de sécurité du secteur. Lorsque vous créez un profil de base de référence de sécurité, vous créez un modèle composé de plusieurs paramètres de configuration d’appareil et d’un point de référence de base à comparer.

Les bases de référence de sécurité prennent en charge les benchmarks CIS (Center for Internet Security) pour Windows 10, Windows 11 et Windows Server 2008 R2 et versions ultérieures, ainsi que les repères STIG (Security Technical Implementation Guides) pour Windows 10 et Windows Server 2019.

Remarque

Actuellement, les benchmarks prennent uniquement en charge les configurations d’objet stratégie de groupe (GPO) et non Microsoft Configuration Manager (Intune).

Conseil

Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.

Remarque

L’évaluation de la base de référence de sécurité n’est pas prise en charge lorsque DFSS (Dynamic Fair Share Scheduling) est activé sur Windows Server 2012 R2.

Bien démarrer avec l’évaluation des bases de référence de sécurité

1. Accédez à Gestion des> vulnérabilitésÉvaluation des bases de référence dans le portail Microsoft Defender.

2. Sélectionnez l’onglet Profils en haut, puis sélectionnez le bouton Créer un profil .

3. Entrez un nom et une description pour votre profil de bases de référence de sécurité, puis sélectionnez Suivant.

4. Dans la page Étendue du profil de base , définissez les paramètres de profil tels que le logiciel, le point de référence de base (CIS ou STIG) et le niveau de conformité, puis sélectionnez Suivant.

5. Sélectionnez les configurations que vous souhaitez inclure dans le profil.

   

   Sélectionnez Personnaliser si vous souhaitez modifier la valeur de configuration de seuil pour votre organization.

   

6. Sélectionnez Suivant pour choisir les groupes d’appareils et les étiquettes d’appareils que vous souhaitez inclure dans le profil de base de référence. Le profil sera automatiquement appliqué aux appareils ajoutés à ces groupes à l’avenir.

7. Sélectionnez Suivant pour passer en revue le profil.

8. Sélectionnez Envoyer pour créer votre profil.

9. Dans la dernière page, sélectionnez Afficher la page de profil pour afficher les résultats de l’évaluation.

Remarque

Vous pouvez créer plusieurs profils pour le même système d’exploitation avec différentes personnalisations.

Lorsque vous personnalisez une configuration, une icône apparaît à côté de celle-ci pour indiquer qu’elle a été personnalisée et qu’elle n’utilise plus la valeur recommandée. Sélectionnez le bouton réinitialiser pour revenir à la valeur recommandée.

Icônes utiles à connaître :

: cette configuration a été personnalisée auparavant. Lorsque vous créez un profil, si vous sélectionnez Personnaliser, vous verrez les variantes disponibles parmi lesquelles vous pouvez choisir.

: cette configuration a été personnalisée et n’utilise pas la valeur par défaut.

Vue d’ensemble de l’évaluation des bases de référence de sécurité

Dans la page vue d’ensemble de l’évaluation des bases de référence de sécurité, vous pouvez afficher la conformité des appareils, la conformité des profils, les principaux appareils défaillants et les appareils les plus mal configurés.

Passer en revue les résultats de l’évaluation du profil de base de référence de sécurité

1. Dans la page Profils , sélectionnez l’un de vos profils pour ouvrir un menu volant contenant des informations supplémentaires.

   

2. Sélectionnez Ouvrir la page de profil. La page de profil contient deux onglets Configurations et Appareils.

Afficher par configuration

Sous l’onglet Configurations , vous pouvez consulter la liste des configurations et évaluer leur état de conformité signalé.

En sélectionnant une configuration dans la liste, vous verrez un menu volant avec les détails du paramètre de stratégie, notamment la valeur recommandée (plage de valeurs attendue pour un appareil à considérer comme conforme) et la source utilisée pour déterminer les paramètres actuels de l’appareil.

L’onglet Appareils affiche une liste de tous les appareils applicables et leur état de conformité par rapport à cette configuration spécifique. Pour chaque appareil, vous pouvez utiliser la valeur actuelle détectée pour voir pourquoi il est conforme ou non conforme.

Afficher par appareil

Sous l’onglet Main Appareils, vous pouvez consulter la liste des appareils et évaluer leur état de conformité signalé.

En sélectionnant un appareil dans la liste, vous verrez un menu volant avec des détails supplémentaires.

Sélectionnez l’onglet Configuration pour afficher la conformité de cet appareil spécifique par rapport à toutes les configurations de profil.

En haut du panneau latéral de l’appareil, sélectionnez Ouvrir la page de l’appareil pour accéder à la page de l’appareil dans l’inventaire des appareils. La page de l’appareil affiche l’onglet Conformité de référence qui fournit une visibilité précise de la conformité de l’appareil.

En sélectionnant une configuration dans la liste, vous voyez un menu volant avec les détails de conformité pour le paramètre de stratégie sur cet appareil.

Créer et gérer des exceptions

Vous pouvez avoir des cas où vous ne souhaitez pas évaluer des configurations spécifiques sur certains appareils. Par exemple, un appareil peut être sous le contrôle d’un tiers ou disposer d’une autre atténuation déjà en place. Dans ces situations, vous pouvez ajouter des exceptions pour exclure l’évaluation de configurations spécifiques sur un appareil.

Les appareils inclus dans les exceptions ne seront pas évalués pour les configurations spécifiées dans les profils de base. Cela signifie qu’il n’affecte pas les métriques et le score d’un organization, et qu’il peut aider les organisations à avoir une vision plus claire de leur conformité.

Pour afficher les exceptions :

1. Accédez à Gestion des> vulnérabilitésÉvaluation des bases de référence dans le portail Microsoft Defender.
2. Sélectionnez l’onglet Exceptions en haut

Pour ajouter une nouvelle exception :

1. Sous l’onglet Exceptions , sélectionnez le bouton Créer .

2. Renseignez les détails demandés, y compris le motif de justification et la durée.

3. Sélectionnez Suivant.

4. Dans la page Étendue de la configuration , choisissez le logiciel, le benchmark de base et le niveau de conformité, puis sélectionnez Suivant.

5. Sélectionnez les configurations que vous souhaitez ajouter à l’exception.

   

6. Sélectionnez Suivant pour choisir les appareils que vous souhaitez inclure dans l’exception. L’exception sera automatiquement appliquée aux appareils.

7. Sélectionnez Suivant pour passer en revue l’exception.

8. Sélectionnez Envoyer pour créer votre exception.

9. Dans la dernière page, sélectionnez Afficher toutes les exceptions pour revenir à la page des exceptions.

Dans la page Exceptions, sélectionnez l’une de vos exceptions pour ouvrir un volet volant dans lequel vous pouvez voir les status, modifier ou supprimer votre exception :

Utiliser la chasse avancée

Vous pouvez exécuter des requêtes de repérage avancées sur les tables suivantes pour obtenir une visibilité sur les bases de référence de sécurité dans votre organization :

• DeviceBaselineComplianceProfiles : fournit des détails sur les profils créés.
• DeviceBaselineComplianceAssessment : informations relatives à la conformité des appareils.
• DeviceBaselineComplianceAssessmentKB : paramètres généraux pour les benchmarks CIS et STIG (non liés à un appareil).

Problèmes connus liés à la collecte de données

Nous sommes conscients des problèmes connus affectant la collecte de données dans certaines versions des benchmarks CIS, STIG et Microsoft. Les problèmes peuvent entraîner des résultats inexacts ou incomplets lors de l’exécution de tests dans ces versions. Ces problèmes sont activement résolus et seront résolus dans les prochaines mises à jour.

Nous vous recommandons d’exclure les tests affectés du profil de benchmark lors de l’exécution de l’évaluation afin d’éviter l’impact de ces problèmes.

Si votre version de référence n’est pas répertoriée ci-dessous et que vous rencontrez des problèmes, contactez Support Microsoft pour nous aider à examiner plus en détail et à vous aider à résoudre les problèmes.

Les points de référence CIS, Microsoft et STIG suivants sont affectés :

• CIS

  • CIS 17.1.1
  • CIS 17.2.1
  • CIS 17.3.1 à 17.3.2
  • CIS 17.5.1 à 17.5.6
  • CIS 17.6.1 à 17.6.4
  • CIS 17.7.1 à 17.7.5
  • CIS 17.8.1
  • CIS 17.9.1 à 17.9.5

• Vérification cis des ajouts

  • CIS 2.3.7.3 à 2.3.7.5
  • CIS 2.3.10.1
  • CIS 1.1.5

• Vérifications Microsoft

  • Microsoft 2.1
  • Microsoft 2.10
  • Microsoft 2.12 à 2.30
  • Microsoft 2.33 à 2.37
  • Microsoft 2.40 à 2.50
  • Microsoft 3.55
  • Microsoft 3.57
  • Microsoft 3.60
  • Microsoft 3.72

• Vérifications du magasin de certificats Microsoft pour Windows et Windows Server

  • MCS 1.1 pour Windows 10 1909 (temporaire) 1.1.5
  • MCS 2.0 pour Windows 10 1909 (Temporaire) 1.1.5
  • MCS 1.1 pour Windows 10 20H2 (temporaire) 1.1.5
  • MCS 2.0 pour Windows 10 20H2 (Temporaire) 1.1.5
  • MCS 2.0 pour Windows 10 v21H2 1.1.5
  • MCS 2.0 pour Windows 10 v22H2 1.1.5
  • MCS 2.0 pour Windows 11 1.1.5
  • MCS 2.0 pour Windows 11 23H2 1.1.5
  • MCS 2.0 pour Windows Server 2022 1.1.5
  • MCS 2.0 pour Windows Server 2022 Domain Controller 1.1.5
  • MCS 2.0 pour Windows Server 2019 1.1.5
  • MCS 2.0 pour Windows Server 2019 Domain Controller 1.1.5
  • MCS 2.0 pour Windows Server 2016 1.1.5
  • MCS 2.0 pour Windows Server 2016 Contrôleur de domaine 1.1.5
  • MCS 2.0 pour Windows Server 2012_R2 1.1.5
  • MCS 1.1 pour Windows Server 2008_R2 (temporaire) 1.1.5
  • MCS 2.0 pour Windows Server 2022 Domain Controller 2.3.10.1
  • MCS 2.0 pour Windows Server 2019 Domain Controller 2.3.10.1
  • MCS 2.0 pour Windows Server 2016 contrôleur de domaine 2.3.10.1

• Liste STIG

  • STIG SV-205678r569188
  • STIG SV-220746r569187
  • STIG SV-220754r569187
  • STIG SV-220757r569187
  • STIG SV-220760r569187
  • STIG SV-220767r569187
  • STIG SV-220768r569187
  • STIG SV-220768r851975
  • STIG SV-220775r569187
  • STIG SV-220775r851978
  • STIG SV-220786r569187
  • STIG SV-220769r569187
  • STIG SV-225273r569185
  • STIG SV-225281r569185
  • STIG SV-225284r569185
  • STIG SV-225287r569185
  • STIG SV-225292r569185
  • STIG SV-225294r569185
  • STIG SV-225294r852189
  • STIG SV-225295r569185
  • STIG SV-225302r569185
  • STIG SV-225302r852194
  • STIG SV-226092r569184
  • STIG SV-226092r794343
  • STIG SV-226099r569184
  • STIG SV-226099r794279
  • STIG SV-226102r569184
  • STIG SV-226102r794335
  • STIG SV-226107r569184
  • STIG SV-226107r794336
  • STIG SV-226110r569184
  • STIG SV-226110r794366
  • STIG SV-226117r569184
  • STIG SV-226117r794356
  • STIG SV-226117r852079
  • STIG SV-226109r569184
  • STIG SV-226109r794353
  • STIG SV-226109r852074
  • STIG SV-226063r569184
  • STIG SV-226063r794292
  • STIG SV-254271r848629
  • STIG SV-224873r569186

Articles connexes

• Les vulnérabilités dans mon organisation
• Informations de référence sur le schéma de chasse avancée