Décrire Microsoft Defender pour point de terminaison

  • 4 minutes

Microsoft Defender for Endpoint est une plateforme conçue pour aider les réseaux d’entreprise à protéger les points de terminaison, notamment les ordinateurs portables, les téléphones, les tablettes, les PC, les points d’accès, les routeurs et les pare-feux. La solution est conçue pour prévenir, détecter, examiner et répondre aux menaces avancées. Microsoft Defender for Endpoint incorpore la technologie intégrée à Windows 10 et ultérieur, et aux services de cloud computing Microsoft. Cette technologie comprend les éléments suivants :

  • Les capteurs comportementaux de points de terminaison incorporés dans Windows 10 et ultérieur qui collectent et traitent les signaux du système d’exploitation.
  • L’analytique de sécurité cloud qui traduit les signaux comportementaux en insights, en détections et en réponses recommandées aux menaces avancées.
  • La veille des menaces qui permet à Defender for Endpoint d’identifier les procédures, les techniques et les outils utilisés par les attaquants, et de générer des alertes quand ils sont observés dans les données collectées par les capteurs.

Diagramme montrant les composants de Microsoft Defender for Endpoint.

Microsoft Defender pour point de terminaison couvre les aspects suivants :

  • Gestion des vulnérabilités de base de Defender : les fonctionnalités de gestion des vulnérabilités de base intégrées utilisent une approche moderne basée sur les risques pour la découverte, l’évaluation, la hiérarchisation et la correction des vulnérabilités et des erreurs de configuration des points de terminaison.
  • Réduction de la surface d’attaque : l’ensemble de fonctionnalités de réduction de la surface d’attaque fournit la première couche de défense dans la pile. En s’assurant que les paramètres de configuration sont correctement définis et que les techniques d’atténuation des risques sont appliquées, les fonctionnalités résistent aux attaques et à l’exploitation. Cet ensemble de fonctionnalités comprend également la protection réseau et la protection web, qui régulent l’accès aux adresses IP, domaines et URL malveillants.
  • Protection nouvelle génération : la protection nouvelle génération a été conçue pour intercepter tous les types de menaces émergentes. En plus de Microsoft Defender Antivirus, vos services de protection de nouvelle génération incluent les fonctionnalités suivantes :
    • La protection antivirus heuristique et en temps réel basée sur le comportement.
    • La protection assurée par le cloud qui inclut la détection et le blocage quasi instantanés des menaces nouvelles et émergentes.
    • La protection dédiée et mises à jour des produits, dont des mises à jour liées à celle de Microsoft Defender Antivirus.
  • Protection évolutive des points de terminaison : fournit des détections d’attaques avancées exploitables et en temps quasi réel. Les analystes de sécurité peuvent classer les alertes par ordre de priorité, voir l’étendue complète d’une violation et prendre des mesures afin de remédier aux menaces.
  • Investigation et correction automatisées (AIR) : la technologie de l’enquête automatisée utilise différents algorithmes d’inspection et est basée sur des processus utilisés par des analystes de la sécurité. Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à valeur élevée.
  • Niveau de sécurité Microsoft pour les appareils : le niveau de sécurité Microsoft pour les appareils vous aide à évaluer de façon dynamique l’état de sécurité de votre réseau d’entreprise, à identifier les systèmes non protégés, et à suivre les mesures recommandées pour améliorer la sécurité globale de votre organisation.
  • Spécialistes des menaces Microsoft : Spécialistes des menaces Microsoft est un service géré de repérage des menaces qui offre un repérage et une hiérarchisation proactive, ainsi que des informations supplémentaires et davantage de contexte pour aider les centres d’opérations de sécurité (SOC) à identifier les menaces et à y répondre avec précision et rapidité.
  • Gestion et API : Defender for Endpoint offre un modèle d’API conçu pour exposer des entités et des fonctionnalités via un modèle standard d’authentification et d’autorisation basé sur l’ID Microsoft Entra.

Microsoft Defender for Endpoint s’intègre également aux divers composants de la suite Microsoft Defender ainsi qu’à d’autres solutions Microsoft, notamment Intune et Microsoft Defender pour le cloud.

Microsoft Defender for Endpoint est disponible dans deux plans, Defender for Endpoint Plan 1 et Plan 2. Les informations sur ce qui est inclus dans chaque plan sont détaillées dans le document Comparer les plans Microsoft Defender for Endpoint dans l’unité résumé et ressources.

Microsoft Defender for Endpoint dans le portail Microsoft Defender

Microsoft Defender for Endpoint s’utilise via le portail Microsoft Defender. Le portail Defender héberge le monitoring et la gestion de la sécurité de vos identités, données, appareils, applications et infrastructure Microsoft, ce qui permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité dans un seul emplacement.

Le nœud Points de terminaison dans le volet de navigation gauche du portail Microsoft Defender comprend les éléments suivants :

  • Gestion des menaces et des vulnérabilités : gérez des vulnérabilités et d’autres sources à risque sur les appareils. Vous pouvez, à partir d’ici, accéder au tableau de bord de gestion des vulnérabilités, des suggestions, des corrections, des faiblesses et bien plus encore. Vous trouverez d’autres informations sur Microsoft Defender Vulnerability Management dans une unité ultérieure de ce module.
  • API et partenaires : vous pouvez sélectionner des applications connectées et l’explorateur d’API.
    • Applications connectées : la page Applications connectées fournit des informations sur les applications Microsoft Entra (applications SaaS préintégrées avec Microsoft Entra ID) connectées à Microsoft Defender for Endpoint dans votre organisation.
    • Explorateur d’API : Defender for Endpoint expose une grande partie de ses données et actions via un ensemble d’API programmatiques. Ces API vous permettent d’automatiser des workflows et d’innover des fonctionnalités basées sur Defender for Endpoint. L’explorateur d’API Microsoft Defender for Endpoint est un outil qui vous aide à parcourir diverses API Defender for Endpoint de manière interactive. Vous pouvez utiliser l’explorateur d’API pour tester les fonctionnalités de Microsoft Defender for Endpoint en exécutant des exemples de requête ou en créant et testant votre propre requête d’API.
  • Gestion de la configuration : définissez des stratégies de point de terminaison et suivez les déploiements.

Les paramètres, les autorisations, les incidents et les alertes, les rapports ainsi que d’autres fonctionnalités sont également disponibles sur le Portail Microsoft Defender. D’autres informations sont abordées dans l’unité « Décrire le portail Microsoft Defender », incluse dans ce module.