Expliquer les actions de l’appareil
Lors de l’examen d’un appareil, vous pouvez effectuer des actions, collecter des données ou accéder à distance à l’ordinateur. Defender pour le point de terminaison fournit le contrôle de périphérique requis.
Par exemple, vous pouvez effectuer les actions de maîtrise suivantes :
Isoler l’appareil
Restreindre l'exécution de l'application
Exécuter une analyse antivirus
Vous pouvez effectuer les actions d’investigation suivantes :
Lancer une investigation automatisée
Collecter le package d’enquête
Lancer une session de réponse en direct
Le centre de maintenance fournit des informations sur les actions qui ont été effectuées sur un appareil ou un fichier.
Isoler les appareils des réseaux
Selon la gravité de l’attaque et la sensibilité de l’appareil, vous souhaiterez peut-être isoler l’appareil du réseau. Cette action peut aider à empêcher l’attaquant de contrôler l’appareil compromis et d’effectuer des activités supplémentaires telles que l’exfiltration de données et le mouvement latéral.
Cette fonctionnalité d’isolation d’appareil déconnecte l’appareil compromis du réseau tout en conservant la connectivité à l’outil Defender pour le service de point de terminaison, qui continue à surveiller l’appareil.
Sur Windows 10, version 1709 ou ultérieure, vous disposez d’un autre contrôle sur le niveau d’isolement réseau. Vous pouvez également choisir d’activer la connectivité Outlook, Microsoft Teams et Skype entreprise (aussi appelée « isolation sélective »).
Une fois que vous avez sélectionné isoler un appareil sur la page de l’appareil, tapez un commentaire et sélectionnez confirmer. Le centre de maintenance affiche les informations d’analyse et la chronologie de l’appareil inclut un nouvel événement.
Lorsqu’un appareil est isolé, une notification s’affiche pour informer l’utilisateur que l’appareil est isolé du réseau.
Restreindre l'exécution de l'application
En plus de contenir une attaque en arrêtant des processus malveillants, vous pouvez également verrouiller un appareil et empêcher l’exécution des tentatives ultérieures de programmes potentiellement malveillants.
Important
Cette action est disponible pour les appareils qui exécutent Windows 10 version 1709 ou ultérieure. Cette fonctionnalité est disponible si votre organisation utilise l’antivirus Microsoft Defender. Cette action doit respecter les formats de la stratégie d’intégrité du code et les exigences de signature de Windows Defender application Control. Pour empêcher l’exécution d’une application, une stratégie d’intégrité du code est appliquée, qui autorise uniquement l’exécution des fichiers s’ils sont signés par un certificat émis par Microsoft. Cette méthode de restriction peut empêcher une personne malveillante de contrôler les appareils compromis et d’effectuer d’autres activités malveillantes.
Vous pouvez inverser la restriction des applications en cours d’exécution à tout moment. Le bouton sur la page de l’appareil change et indique supprimer les restrictions d’application, puis vous suivez les mêmes étapes que pour restreindre l’exécution de l’application.
Une fois que vous avez sélectionné Restreindre l’exécution de l’application dans la page de l’appareil, tapez un commentaire et sélectionnez Confirmer. Le centre de maintenance affiche les informations d’analyse et la chronologie de l’appareil inclut un nouvel événement.
Quand une application est restreinte, une notification s’affiche pour informer l’utilisateur qu’une application est en cours d’exécution.