Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les appareils constituent la base de vos opérations de sécurité dans Microsoft Defender pour point de terminaison. Pour protéger vos organization, il est essentiel de comprendre comment les appareils apparaissent dans votre environnement, comment les gérer efficacement et comment les organiser pour les actions de sécurité.
Que sont les appareils dans Defender pour point de terminaison ?
Les appareils dans Microsoft Defender pour point de terminaison incluent tout point de terminaison qui signale les données de télémétrie de sécurité au service. Cela inclut les opérations suivantes :
- Ordinateurs et appareils mobiles : stations de travail, serveurs, ordinateurs portables et appareils mobiles (Windows, macOS, Linux, iOS, Android)
- Périphériques réseau : routeurs, commutateurs et autres infrastructures réseau
- Appareils IoT/OT : imprimantes, caméras, systèmes de contrôle industriels et appareils de technologie opérationnelle
Les appareils apparaissent dans votre inventaire par le biais de deux méthodes principales :
- Intégration : appareils que vous intégrez explicitement à Defender pour point de terminaison avec l’agent complet installé. Les appareils intégrés affichent un status d’intégrationintégré et ont généralement un état d’intégrité du capteur actif. Étant donné que l’agent est installé, Defender pour point de terminaison peut collecter des données de sécurité détaillées à partir de ces appareils, notamment les alertes, les vulnérabilités et l’inventaire logiciel. Pour plus d’informations, consultez Intégrer des appareils à Microsoft Defender pour point de terminaison.
- Découverte : appareils détectés automatiquement sur votre réseau sans agent installé. La découverte se produit via des points de terminaison intégrés qui observent le trafic réseau (découverte de base) ou sondent activement l’environnement (découverte standard). Les appareils découverts affichent un status d’intégrationde Peut être intégré, Non pris en charge ou Informations insuffisantes. Pour plus d’informations, consultez Vue d’ensemble de la découverte d’appareils.
- Appareils IoT et OT : les appareils IoT et de technologie opérationnelle (OT), tels que les imprimantes, les caméras et les systèmes de contrôle industriels, apparaissent dans l’inventaire lorsque vous activez Microsoft Defender pour IoT dans le portail Defender. Ces appareils apparaissent sous l’onglet Appareils IoT/OT et incluent des champs supplémentaires tels que le type d’appareil, le sous-type, le fournisseur et le modèle.
La colonne Sources de découverte dans l’inventaire des appareils vous indique comment chaque appareil a été trouvé : MDE (trouvé par le capteur Defender pour point de terminaison), Microsoft Defender pour IoT (découvert par Defender pour IoT) et d’autres sources. Utilisez cette colonne pour comprendre pourquoi un appareil apparaît et s’il nécessite une intégration.
Cycle de vie et parcours de l’appareil
La gestion des appareils dans Defender pour point de terminaison suit un cycle de vie prévisible. Le tableau suivant présente les étapes clés, les tâches, les rôles impliqués et la documentation associée :
| Phase | Tâches | Rôles impliqués | En savoir plus |
|---|---|---|---|
| Découvrir et intégrer des appareils | • Découvrir des appareils sur votre réseau • Intégrer des appareils avec l’agent Defender pour point de terminaison • Afficher les appareils dans l’inventaire des appareils • Évaluer les niveaux de risque et les scores d’exposition |
Administrateur de sécurité Opérations informatiques |
Explorer les appareils dans l’inventaire des appareils Intégrer des appareils Configurer la découverte d’appareils |
| Gérer l’étendue et la pertinence | • Filtrer les appareils temporaires (automatique) • Exclure des appareils de la gestion des vulnérabilités (manuel) • Déterminer les appareils nécessitant une attention en matière de sécurité |
Administrateur de sécurité | Gérer l’étendue et la pertinence de l’appareil |
| Classifier et organiser avec des balises et des exclusions | • Ajouter des étiquettes manuelles à des appareils individuels • Créer des balises dynamiques à l’aide de règles • Organiser les appareils en groupes significatifs • Appliquer des étiquettes pour le contexte métier |
Administrateur de sécurité Analyste de sécurité |
Créer et gérer des balises d’appareils |
| Appareils cibles pour les actions de sécurité | • Utiliser des groupes d’appareils pour l’accès en fonction du rôle • Collecter des données de télémétrie personnalisées à partir de groupes d’appareils • Appliquer des règles d’automatisation aux appareils étiquetés • Déployer des stratégies de sécurité sur des groupes d’appareils |
Administrateur de sécurité Analyste de sécurité |
Créer et gérer des étiquettes d’appareil et des appareils cibles Collecte de données personnalisée |
| Examiner des appareils | • Passer en revue les chronologies des appareils • Examiner les alertes et les incidents • Identifier les appareils accessibles sur Internet • Rechercher les menaces parmi les groupes d’appareils • Prendre des mesures de réponse |
Analyste de sécurité Administrateur de sécurité |
Examiner des appareils Passer en revue les chronologie de l’appareil Identifier les appareils accessibles sur Internet |
| Surveiller et gérer | • Surveiller les status d’intégrité des appareils • Corriger les capteurs défectueux • Passer en revue les rapports d’intégrité des capteurs • Suivre les status d’intégration |
Opérations informatiques Administrateur de sécurité |
Corriger les capteurs défectueux Rapports d’intégrité de l’appareil |
Ciblage d’appareil
Le ciblage d’appareil utilise des étiquettes d’appareil pour identifier les appareils qui doivent recevoir des actions de sécurité spécifiques. Au lieu de gérer les appareils individuellement, le ciblage vous permet d’organiser les appareils en groupes significatifs et d’appliquer des configurations, des stratégies ou des règles de collecte de données à grande échelle.
Étiquettes et groupes
Les étiquettes d’appareil sont des étiquettes que vous attachez aux appareils ( manuellement ou via des règles dynamiques) pour capturer le contexte métier, tel que le service, l’emplacement ou la criticité. Tous les utilisateurs peuvent voir les appareils étiquetés. Les balises seules ne contrôlent pas l’accès et n’appliquent pas de stratégies de sécurité ; elles fournissent la base organisationnelle pour le ciblage.
Les groupes d’appareils s’appuient sur des étiquettes pour contrôler les équipes de sécurité qui peuvent accéder à des appareils spécifiques et les gérer. Lorsque vous créez un groupe d’appareils, vous définissez des règles de correspondance (souvent basées sur des étiquettes), définissez des niveaux de correction automatisée et affectez Microsoft Entra groupes d’utilisateurs. Les groupes d’appareils activent le contrôle d’accès en fonction du rôle (RBAC) afin que, par exemple, une équipe de sécurité régionale voit uniquement les appareils dans leur zone géographique. Pour obtenir des instructions détaillées, consultez Créer et gérer des groupes d’appareils.
Balises dynamiques et balises manuelles
Les étiquettes manuelles sont des étiquettes personnalisées que vous appliquez directement à des appareils individuels via le portail ou l’API. Ils sont rapides à configurer et utiles pour les besoins ad hoc tels que le balisage des appareils pendant une investigation active. Toutefois, ils ne sont pas bien mis à l’échelle et nécessitent des mises à jour manuelles. Les balises manuelles ne sont pas prises en charge pour la collecte de données personnalisée ou certains scénarios d’automatisation.
Les balises dynamiques sont appliquées automatiquement en fonction des règles que vous définissez dans Gestion des règles de ressources. Ils se mettent à jour à mesure que les propriétés de l’appareil changent (environ toutes les heures), s’adapte à des milliers d’appareils et sont nécessaires pour des fonctionnalités avancées telles que la collecte de données personnalisées. Utilisez des balises dynamiques chaque fois que vous avez besoin d’étiquettes pour rester à jour sans effort manuel.
Importante
De nombreuses fonctionnalités avancées de Defender pour point de terminaison, notamment la collecte de données personnalisée, nécessitent des balises dynamiques. Les balises manuelles ne sont pas prises en charge pour ces scénarios.
Scénarios de ciblage
Le tableau suivant récapitule les scénarios courants où le ciblage d’appareil pilote les opérations de sécurité.
| Scénario | Approche | Exemple |
|---|---|---|
| Investigations d’étendue | Étiquetez les appareils par service ou incident, puis filtrez les alertes et les requêtes de repérage avancées par étiquette. | Examinez tous les Finance-Department appareils pour détecter les mouvements latéral suspects. |
| Collecter des données de télémétrie spécialisées | Créez des balises dynamiques pour les appareils cibles, puis créez des règles de collecte de données personnalisées. Nécessite des balises dynamiques et un espace de travail Microsoft Sentinel. | Collectez les événements d’accès aux fichiers à partir de Database-Servers pour surveiller l’accès aux données. |
| Automatiser les actions de réponse | Définissez des réponses automatisées pour les groupes d’appareils en fonction des étiquettes. | Isolez Public-Kiosk automatiquement les appareils lorsque des programmes malveillants de gravité élevée sont détectés. |
| Contrôler l’accès des analystes (RBAC) | Créez des groupes d’appareils à partir d’étiquettes et affectez-les à Microsoft Entra équipes de sécurité. | Accordez à l’équipe de sécurité financière l’accès uniquement aux Finance-Department appareils. |
| Déployer des règles ASR par type d’appareil | Appliquez différentes stratégies de réduction de la surface d’attaque à différents groupes basés sur des étiquettes. | Blocage agressif sur Internet-Facing-Servers; mode test sur Development-Machines. |
| Appliquer l’accès conditionnel | Utilisez les niveaux de risque de l’appareil et l’appartenance au groupe pour éclairer les décisions d’accès. | Exiger l’authentification multifacteur pour High-Risk-Devices accéder aux applications sensibles. |
| Organiser par zone géographique | Étiquetez les appareils par région ou site pour les opérations de sécurité distribuées. | L’équipe de sécurité EMEA surveille et répond aux Location-EMEA appareils. |
| Gérer le cycle de vie des appareils | Baliser les appareils par étape opérationnelle (production, préproduction, désaffectation). | Appliquer des contrôles complets à la production ; surveillance réduite pour la désaffectation. |
| Piloter de nouvelles fonctionnalités de sécurité | Appliquez des étiquettes manuelles à un groupe pilote, déployez la fonctionnalité en mode test, puis développez-la. | Étiquetez 20 appareils avec ASR-Pilot-2026, testez la nouvelle règle, affinez, puis déployez-les à grande échelle. |
Pour obtenir des instructions pas à pas sur la création d’étiquettes et de groupes d’appareils, consultez Créer et gérer des étiquettes d’appareil et des appareils cibles.
Actions de sécurité optimisées par le ciblage
Les étiquettes et les groupes d’appareils vous permettent d’appliquer des opérations de sécurité dans plusieurs domaines :
| Action de sécurité | Description | Scénarios | En savoir plus |
|---|---|---|---|
| Enquêtes et repérage des menaces | Filtrer les alertes et les investigations d’étendue pour des groupes d’appareils spécifiques | • Examiner tous les appareils « Finance-Department » en cas d’activité suspecte • Rechercher les menaces sur les « serveurs Windows » dans une région spécifique • Suivre les appareils impliqués dans une compromission à l’aide d’étiquettes d’incident |
Repérage avancé |
| Collecte de données personnalisée | Collecter des données de télémétrie spécialisées à partir d’appareils avec des balises dynamiques | • Collecter des événements de fichier à partir de « Serveurs de base de données » • Capturer les connexions réseau à partir de « Developer-Workstations » • Surveiller l’exécution des scripts sur « Administrative-Systems » |
Collecte de données personnalisée Créer des règles de collecte de données personnalisées |
| Règles d’automatisation | Appliquer des actions de réponse automatisées à des catégories d’appareils | • Isoler automatiquement les appareils « Public-Kiosk » si un programme malveillant est détecté • Exécuter la collecte d’informations sur les « serveurs critiques » pendant les incidents • Restreindre « BYOD-Devices » des ressources sensibles |
Examen et réponse automatisés |
| Groupes d’appareils pour l’accès en fonction du rôle | Contrôler quels analystes de sécurité peuvent voir et agir sur des appareils spécifiques | • L’équipe de sécurité financière gère uniquement les appareils « Finance-Department » • Les équipes régionales gèrent les appareils dans leurs emplacements géographiques • Les analystes juniors accèdent uniquement aux groupes d’appareils « hors production » |
Créer et gérer des groupes d’appareils |
| Règles de réduction de la surface d’attaque | Déployer différents contrôles de sécurité sur différents types d’appareils | • Règles de blocage strictes sur les « serveurs accessibles sur Internet » • Mode test sur « Development-Machines » • Standard base de référence pour les stations de travail utilisateur générales |
Règles de réduction de la surface d’attaque |
| Stratégies d’accès conditionnel | Appliquer des contrôles d’accès en fonction de la posture de sécurité et des balises de l’appareil | • Exiger l’authentification multifacteur pour les « appareils à haut risque » • Bloquer les « appareils non conformes » des ressources d’entreprise • Autoriser l’accès limité « Managed-BYOD » aux services approuvés |
Accès conditionnel avec Intune |