Restreindre les actions de réponse sur les ressources à valeur élevée (préversion)

Cet article fournit une vue d’ensemble de la fonctionnalité Actions de réponse sélective dans Microsoft Defender pour point de terminaison. Son public cible est les administrateurs de sécurité et les équipes d’exploitation informatique responsables de la gestion des Microsoft Defender pour point de terminaison dans les environnements qui incluent des systèmes de niveau 0 et des ressources de valeur élevée (HVAs), telles que les contrôleurs de domaine, les serveurs ADFS et d’autres infrastructures critiques.

Vue d’ensemble

Les actions de réponse sélective sont une fonctionnalité Microsoft Defender pour point de terminaison qui permet aux organisations d’adapter les opérations de sécurité à fort impact lors de l’intégration. Il fournit un contrôle précis sur la façon dont les actions de réponse sont appliquées sur les systèmes de niveau 0 et d’autres ressources à valeur élevée, ce qui permet de maintenir la stabilité opérationnelle tout en offrant une protection renforcée.

Arrière-plan

Le déploiement de Microsoft Defender pour point de terminaison sur des ressources à valeur élevée(HVA), telles que des contrôleurs de domaine, des serveurs ADFS et d’autres systèmes de niveau 0, nécessite une approche réfléchie pour trouver un équilibre entre une protection forte et une stabilité opérationnelle. Étant donné les puissantes fonctionnalités de réponse disponibles, les organisations cherchent souvent à mieux contrôler la façon dont ces actions sont appliquées dans des environnements sensibles.

De nombreuses organisations, en particulier celles qui ont des stratégies de gestion des accès privilégiés strictes, préfèrent également limiter les actions administratives lancées par le cloud sur les systèmes de niveau 0 pour s’aligner sur leurs exigences de sécurité et de conformité.

La fonctionnalité Actions de réponse sélective répond à ces besoins en fournissant une approche plus contrôlée et plus flexible. Il permet aux organisations de définir exactement les actions de réponse autorisées sur les ressources critiques, ce qui permet de maintenir la continuité opérationnelle tout en bénéficiant de la protection de Defender.

Comment fonctionne la fonctionnalité ?

Tout d’abord, la fonctionnalité doit être activée sur le locataire. Consultez Activer les actions de réponse sélective.

Une fois la fonctionnalité activée, vous utilisez l’outil de déploiement Defender (DDT) pour créer un package d’intégration avec des paramètres d’opérations de sécurité restreints. Lorsque vous configurez le package, vous choisissez entre les fonctionnalités complètes (mode d’intégration par défaut, où toutes les actions de réponse sont autorisées sur l’appareil intégré) et les fonctionnalités restreintes (où les actions de réponse à fort impact peuvent être interdites). Si vous choisissez une fonctionnalité restreinte, vous pouvez spécifier les actions autorisées sur l’appareil une fois qu’il est intégré.

Le tableau suivant décrit les actions de réponse à fort impact que vous pouvez autoriser ou interdire.

Fonctionnalité Description Remarques
Réponse de base Exécutez l’analyse antivirus, collectez le fichier et collectez le package d’investigation. La fonctionnalité Collecter un fichier fait référence à la récupération d’un fichier à partir de la page Fichier dans le portail, et non de la GetFile commande disponible sous Réponse en direct.
Réponse avancée Isolez l’appareil, limitez l’exécution de l’application et demandez la correction. Les demandes de correction permettent aux administrateurs de la sécurité de lancer des actions de correction pour les vulnérabilités identifiées sur un appareil spécifique.
Réponse en direct Autorise les sessions de réponse en direct sur l’appareil distant.
Protection des appareils Permet l’investigation et la réponse automatisées (AIR) sur l’appareil. Cela s’applique à la fois à AIR déclenché automatiquement et à AIR lancé manuellement.

Pour plus d’informations sur la configuration d’un package d’intégration, consultez Générer un package d’intégration avec des paramètres d’opérations de sécurité restreints .

Remarque

Les appareils intégrés en mode restreint ne prennent pas en charge l’exécution de script Live Response : cette fonctionnalité est désactivée par défaut, même si live response est activée. Le mode restreint n’a pas d’impact sur la détection, les alertes ou la couverture du capteur. Toutes les alertes, les chronologies et les détections de menaces continuent de fonctionner comme prévu.

Prérequis et systèmes d’exploitation pris en charge

  • Le mode restreint est pris en charge sur les stations de travail clientes Windows et les systèmes d’exploitation Windows Server exécutant Sense version 10.8798 ou ultérieure.

    Système d’exploitation Base de connaissances requise
    Windows Server 2025, toutes les éditions KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24H2 KB5062660
    Windows 11 25H2 tous

  • Pour utiliser le mode restreint, le commutateur de fonctionnalité Autoriser les opérations de sécurité restreintes pendant l’intégration doit être activé. Consultez Activer la fonctionnalité d’actions de réponse sélective.

Activer la fonctionnalité d’actions de réponse sélective

Pour utiliser la fonctionnalité d’actions de réponse sélective, activez la fonctionnalité dans le portail Microsoft Defender :

  1. Connectez-vous au portail Microsoft Defender.
  2. Accédez à Paramètres Points>de terminaisonFonctionnalités avancées>.
  3. Activez Autoriser les opérations de sécurité restreintes pendant l’intégration.

Capture d’écran de la page Fonctionnalités avancées montrant l’option Autoriser les opérations restreintes pendant l’intégration activée.

Une fois activée, l’option de mode restreint devient disponible lors de la création de packages de déploiement Defender pour Windows via l’outil de déploiement Defender (DDT). Vous pouvez ensuite créer des packages de déploiement qui spécifient les opérations de sécurité à autoriser sur les appareils que vous intégrez. Pour plus d’informations, consultez Générer un package d’intégration avec des paramètres d’opérations de sécurité restreints . Une fois le package de déploiement généré, utilisez-le pour intégrer l’appareil.

Générer un package d’intégration avec des paramètres d’opérations de sécurité restreints

  1. Dans le portail Microsoft Defender (security.microsoft.com), accédez àParamètres>système>Points de terminaison>Intégration.

  2. Dans le menu déroulant Étape 1, choisissez Windows.

  3. Sous Déployer en téléchargeant et en appliquant des packages ou des fichiers, sélectionnez le bouton Intégrer .

    Capture d’écran montrant le bouton Télécharger le package dans le portail Microsoft Defender.

  4. La page Générer l’outil de déploiement Defender avec une clé d’accès s’affiche.

    Capture d’écran montrant comment configurer un nouveau package de déploiement.

    • Fournissez un nom pour le package. Veillez à créer un nom unique et descriptif.

    • Définissez une date d’expiration pour le package. Vous pouvez définir la date d’expiration pour n’importe quelle période jusqu’à un an. Il est recommandé de rendre la période de validité des packages aussi courte que possible afin de réduire le risque d’utilisation non autorisée des packages de déploiement.

    • Sélectionnez Restreint.

      Une liste d’opérations de sécurité à fort impact s’affiche. Sélectionnez les cases en regard des opérations que vous souhaitez autoriser sur l’appareil intégré, puis désélectionnez les cases en regard des opérations que vous souhaitez interdire.

      Capture d’écran montrant les options du mode d’opérations de sécurité dans le portail Microsoft Defender.

      Remarque

      Les appareils intégrés en mode restreint ne prennent pas en charge l’exécution de scripts Live Response, même lorsque Live Response est activé dans ces paramètres. Cette restriction est appliquée par la conception pour garantir que les actions basées sur des scripts restent bloquées, ce qui maintient un niveau de protection plus élevé pour les ressources sensibles.

      Le mode restreint avec toutes les actions de réponse autorisées n’équivaut pas à une fonctionnalité complète. Lorsque vous intégrez un appareil à l’aide d’un package restreint, l’exécution de scripts est désactivée par défaut, tandis que l’intégration avec un package de fonctionnalités complètes fournit un accès illimité à toutes les actions et fonctionnalités de réponse prises en charge.

    • Lorsque vous avez terminé de configurer le package, sélectionnez Générer.

  5. Lorsque le package est prêt, vous voyez une page avec la clé d’accès au package et un bouton de téléchargement, semblable à l’image suivante.

    Capture d’écran montrant la clé générée pour le package d’outils de déploiement.

    Copiez la clé et enregistrez-la, car elle sera nécessaire avec l’outil de déploiement.

    Une fois que vous avez copié la clé et l’avez enregistrée, sélectionnez Télécharger l’outil de déploiement. Cette opération télécharge un fichier .zip de l’exécutable de l’outil de déploiement Defender.

Intégrer un appareil avec des actions de réponse restreintes

Une fois que vous avez généré et téléchargé un package de déploiement avec les paramètres d’opérations de sécurité restreints souhaités, utilisez le package pour intégrer l’appareil comme décrit dans Déployer Microsoft Defender pour point de terminaison sur des appareils Windows à l’aide de l’outil de déploiement Defender (préversion) .

Guide pratique pour case activée les opérations de sécurité status des appareils intégrés

Les opérations de sécurité status des appareils peuvent être identifiées de plusieurs façons :

  • Dans la page Inventaire des appareils du portail Defender, une propriété appelée Opérations de sécurité indique le mode d’intégration de chaque appareil :

    • Si l’appareil est intégré avec toutes les fonctionnalités, la valeur s’affiche comme Complète.
    • Si l’appareil est intégré avec des fonctionnalités restreintes, la valeur s’affiche comme Restreinte, indiquant à l’administrateur que cet appareil dispose d’un ensemble limité d’opérations de sécurité à distance disponibles.

    Cette visibilité permet aux équipes de sécurité de comprendre rapidement l’étendue opérationnelle de chaque appareil et de prendre les mesures appropriées si nécessaire.

    Capture d’écran de la page Inventaire des appareils montrant les opérations de sécurité status.

  • Lorsque l’appareil est en mode restreint, une étiquette intitulée Opérations de sécurité restreintes est automatiquement ajoutée à l’appareil pour aider les équipes de sécurité à identifier rapidement les ressources avec des fonctionnalités limitées. Vous pouvez voir cette balise sur la page Appareil. La page Appareil inclut également une status opérations de sécurité pour refléter le niveau de fonctionnalités de sécurité à distance configurées pour l’appareil :

    • Full indique que l’appareil est intégré à l’ensemble complet des fonctionnalités de Microsoft Defender pour point de terminaison. Toutes les actions de réponse à distance sont disponibles.
    • Restricted indique que l’appareil est intégré avec un ensemble limité d’actions de réponse disponibles.

    Capture d’écran de la page Appareil montrant les opérations de sécurité status.

    Dans l’image précédente, vous pouvez voir que le lancement de sessions Live Response n’a pas été autorisé sur l’appareil.

    Pour accéder à une liste détaillée de tous les contrôles de sécurité et de leurs status actuels (activés ou désactivés) sur l’appareil, sélectionnez Afficher les informations sur les opérations de sécurité pour afficher le volet Opérations de sécurité de l’appareil.

    Capture d’écran de la page Appareil montrant les détails des opérations de sécurité.

  • Vous pouvez également utiliser la propriété RestrictedDeviceSecurityOperations Repérage avancé pour case activée quelles opérations de sécurité sont restreintes sur l’appareil. Les valeurs représentent les catégories d’opérations de sécurité spécifiques qui sont limitées. Par exemple, si la valeur de la RestrictedDeviceSecurityOperations propriété est LiveResponse, cela signifie que seule la fonctionnalité Réponse dynamique est interdite sur l’appareil, tandis que toutes les autres opérations sont autorisées.

    Capture d’écran de la requête Advanced Hunting montrant la valeur de la propriété RestrictedDeviceSecurityOperations.

  • La réponse sélective est également bloquée lors de l’utilisation de l’API publique. Si vous tentez d’effectuer une action restreinte via l’API, vous recevez un message d’erreur indiquant que l’opération n’est pas autorisée sur l’appareil.

    Capture d’écran du message d’erreur lors de la tentative d’une action de réponse restreinte via une API publique.

Modification des paramètres de restriction

Une fois qu’un appareil est intégré avec des paramètres restreints, sa configuration des opérations de sécurité ne peut pas être modifiée ou modifiée. Pour mettre à jour les fonctionnalités de réponse d’un appareil, vous devez retirer l’appareil et le réintégrer à l’aide d’un nouveau package de déploiement avec les paramètres souhaités. L’ID de l’appareil reste le même et toutes les données historiques sont conservées.

Si vous souhaitez restreindre les actions de réponse sur un appareil déjà intégré à Defender pour point de terminaison en mode complet, vous devez d’abord retirer l’appareil, puis le réintégrer à l’aide d’un package d’intégration configuré avec des paramètres restreints. L’ID de l’appareil reste le même et toutes les données historiques sont conservées.

  • Last updated on