Protéger votre réseau d’entreprise contre les menaces avancées à l’aide de Microsoft Defender pour point de terminaison
- 8 minutes
Microsoft Defender pour point de terminaison est une plate-forme de sécurité de point de terminaison d’entreprise conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées. Defender pour point de terminaison utilise une combinaison des technologies suivantes intégrées à Windows 10 et 11 et du service cloud robuste de Microsoft :
- Les capteurs de comportement de point de terminaison. Les capteurs incorporés dans Windows 10 et 11 collectent et traitent les signaux comportementaux du système d’exploitation. Ils envoient ces données à l’instance cloud privée, isolée et de l’organisation de Microsoft Defender pour point de terminaison.
- Analyse de sécurité cloud. Utilise le Big Data, l’apprentissage des appareils et les optiques Microsoft uniques dans l’écosystème Windows, les produits cloud d’entreprise (tels que les Microsoft 365) et les ressources en ligne. Les analyses de sécurité cloud traduisent les signaux comportementaux en insights, détections et réponses recommandées aux menaces avancées.
- Intelligence des menaces. L’intelligence contre les menaces permet à Microsoft Defender pour point de terminaison d’identifier les outils, techniques et procédures des attaquants. Il génère également des alertes qui apparaissent dans les données de capteur collectées. Les chasseurs internes et les équipes de sécurité de Microsoft génèrent des données de renseignement sur les menaces. Les partenaires Microsoft utilisent ensuite le renseignement sur les menaces pour augmenter les données.
Microsoft Defender pour point de terminaison fournit une solution complète de sécurité de point de terminaison. Il intègre les fonctionnalités suivantes pour fournir une protection préventive, une détection post-violation, une investigation automatisée et une réponse.
La gestion des menaces et des vulnérabilités
L’identification, l’évaluation et la correction efficaces des faiblesses des points de terminaison sont essentielles à l’exécution d’un programme de sécurité sain et à la réduction des risques organisationnels. La gestion des menaces et des vulnérabilités sert d’infrastructure pour réduire l’exposition de l’organisation, renforcer la surface de point de terminaison et augmenter la résilience de l’organisation.
Découvrez les vulnérabilités et les erreurs de configuration en temps réel avec les capteurs, sans avoir besoin d’agents ni d’analyses périodiques. Il classe les vulnérabilités en fonction des points suivants :
- le paysage des menaces
- détections dans l’organisation
- informations sensibles sur les appareils vulnérables
- contexte d’entreprise
Réduction de la surface d'attaque
Une organisation peut réduire ses surfaces d’attaque en réduisant les emplacements où elle est vulnérable aux cybermenaces et aux attaques. Les fonctionnalités qui réduisent la surface d’attaque fournissent la première ligne de défense dans la pile. Lorsque les organisations définissent correctement des paramètres de configuration et appliquent des techniques liées à l’atténuation des attaques, les fonctionnalités résistent activement aux attaques et à l’exploitation. Le tableau suivant définit cet ensemble de fonctionnalités.
| Capabilities | Description |
|---|---|
| Réduction de la surface d’attaque | Réduit les vulnérabilités (surfaces d’attaque) dans vos applications avec des règles intelligentes qui permettent d’arrêter les programmes malveillants. (Nécessite l’antivirus Microsoft Defender). |
| Isolation basée sur le matériel | Protège et maintient l’intégrité d’un système lorsqu’il démarre et qu’il est en cours d’exécution. Valide l’intégrité du système par le biais d’une attestation locale et distante. Utilise l’isolation de conteneur pour Microsoft Edge afin de vous protéger contre les sites web malveillants. |
| Contrôle d’application | Utilise le contrôle d’application afin que les applications doivent gagner la confiance pour s’exécuter. |
| Exploit Protection | Aide votre organization protéger les systèmes d’exploitation et les applications qu’il utilise contre l’exploitation. Exploit Protection fonctionne également avec des solutions antivirus tierces. |
| Protection du réseau | Étend la protection au trafic réseau et à la connectivité sur les appareils de votre organization. (Nécessite Antivirus Microsoft Defender) |
| Protection web | Sécurise vos appareils contre les menaces web et vous aide à réglementer le contenu indésirable. |
| Accès contrôlé aux dossiers | Permet d’empêcher les applications malveillantes ou suspectes (y compris les logiciels malveillants ransomware de chiffrement de fichiers) d’apporter des modifications aux fichiers de vos dossiers système clés (Nécessite Microsoft Defender Antivirus) |
| Pare-feu réseau | Empêche le trafic non autorisé de circuler vers ou depuis les appareils de votre organization. Un organization peut atteindre cet objectif à l’aide du filtrage du trafic réseau bidirectionnel. |
Antivirus Microsoft Defender
Le composant de protection nouvelle génération de Microsoft Defender pour point de terminaison protège les appareils de votre organisation en regroupant les éléments suivants :
- Apprentissage automatique
- Analyse du Big Data
- Recherche approfondie sur la résistance aux menaces
- L’infrastructure cloud Microsoft
Microsoft Defender pour point de terminaison inclut les services de protection suivants :
- protection antivirus basée sur le comportement, heuristique et en temps réel. Inclut l’analyse permanente à l’aide de la surveillance du comportement des fichiers et des processus et d’autres heuristiques (également appelées protection en temps réel). Il inclut également la détection et le blocage des applications qu’il considère comme dangereuses, mais qu’il peut ne pas détecter comme des programmes malveillants.
- Protection fournie par le cloud. Inclut la détection et le blocage quasi instantanés des menaces nouvelles et émergentes.
- Mises à jour de produit et de protection dédiées. Inclut des mises à jour qui maintiennent Antivirus Microsoft Defender à jour.
Détection et réponse du point de terminaison
Microsoft Defender pour point de terminaison inclut des fonctionnalités de détection de point de terminaison et de réponse qui détectent, examinent et répondent aux menaces avancées qui ont dépassé les deux premiers piliers de sécurité. Le repérage avancé fournit un outil de recherche de menace par requête qui vous permet de détecter les brèches de manière proactive et de créer des détections personnalisées.
Les fonctionnalités de détection et de réponse des points de terminaison fournissent des détections d’attaque avancées qui sont quasiment en temps réel et exploitables. Les analystes de la sécurité peuvent hiérarchiser efficacement les alertes, avoir une meilleure visibilité de l’ampleur d’une faille et prendre des mesures correctives pour remédier aux menaces.
Quand Microsoft Defender pour point de terminaison détecte une menace, il crée des alertes dans le système pour qu’un analyste examine. Les alertes présentant les mêmes techniques d’attaque ou attribuées au même agresseur sont regroupées dans une entité appelée incident. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.
Investigation et résolution automatiques
Microsoft Defender pour point de terminaison répond rapidement aux attaques avancées. Il offre des fonctionnalités d’investigation et de correction automatiques (AIR) qui permettent de réduire le volume d’alertes en quelques minutes à grande échelle.
La technologie de l’investigation automatisée utilise différents algorithmes d’inspection et est basée sur les processus utilisés par les analystes de sécurité. Les fonctionnalités AIR sont conçues pour examiner les alertes et prendre des mesures immédiates pour résoudre les violations. Les fonctionnalités AIR réduisent considérablement le volume d’alertes, ce qui permet aux opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives à valeur élevée. Le centre de notifications effectue le suivi de toutes les actions de correction, qu’elles soient en attente ou terminées. Dans le Centre de notifications, les administrateurs peuvent approuver (ou rejeter) les actions en attente, et ils peuvent annuler les actions terminées si nécessaire.
Niveau de sécurité Microsoft pour les appareils
Microsoft Defender pour point de terminaison inclut le niveau de sécurité Microsoft pour les appareils. Cette fonctionnalité aide les organisations :
- Évaluez dynamiquement l’état de sécurité de leur réseau d’entreprise.
- Identifiez les systèmes non protégés.
- Prenez les mesures recommandées pour améliorer leur sécurité globale.
Votre score pour les appareils est visible dans le tableau de bord de gestion des menaces et des vulnérabilités du Centre de sécurité Microsoft Defender. Un niveau de sécurité Microsoft plus élevé pour les appareils signifie que vos points de terminaison sont plus résilients contre les attaques contre les menaces de cybersécurité. Il reflète l’état de configuration de sécurité collective de vos appareils dans les catégories suivantes :
- Application
- Système d’exploitation
- Réseau
- Comptes
- Contrôles de sécurité
Spécialistes des menaces Microsoft
Microsoft Threat Experts est un service de repérage des menaces géré. Il fournit aux centres d’opérations de sécurité (SOC) d’une organisation une surveillance et une analyse de niveau expert. Ces fonctionnalités aident les soc à s’assurer que les menaces critiques dans leur environnement ne sont pas manquées.
Ce service managé de repérage des menaces fournit des insights et des données pilotés par des experts grâce à ces deux fonctionnalités : la notification d’attaque ciblée et l’accès aux experts à la demande. Les notifications d’attaque ciblée s’affichent sous la forme d’une nouvelle alerte.
Le service de repérage Microsoft Threat Experts fournit un repérage proactif pour les menaces les plus importantes pour votre réseau. Ces menaces sont les suivantes :
- intrusions de l’adversaire humain
- attaques manuelles au clavier
- attaques avancées telles que le cyber-espion
Le service de repérage Microsoft Threat Experts inclut :
- la surveillance et l’analyse des menaces. Réduit le temps de résidence et les risques pour l’entreprise.
- Intelligence artificielle entraînée par Lee. Détecte et classe les attaques connues et inconnues.
- Identification des risques Identifie les risques les plus importants, ce qui permet aux socs d’optimiser le temps et l’énergie.
- Portée du compromis. Pour permettre une réponse SOC rapide, l’étendue de la compromission fournit le plus de contexte possible de manière rapide.
Les organisations peuvent faire appel aux experts en sécurité de Microsoft directement à partir de Centre de sécurité Microsoft Defender pour obtenir des réponses précises et en temps opportun. Les experts de Microsoft fournissent des insights nécessaires pour mieux comprendre les menaces complexes qui affectent une organisation, notamment :
- Demandes d’alerte
- Appareils potentiellement compromis
- Cause première d’une connexion réseau suspecte
- informations supplémentaires sur les menaces sur les campagnes de menace persistantes avancées en cours
Avec ces informations, une organisation peut :
- Obtenez des précisions supplémentaires sur les alertes, notamment la cause racine ou l’étendue de l’incident.
- Gagnez en clarté dans le comportement suspect des appareils et les étapes suivantes si vous êtes confronté à un attaquant avancé.
- Déterminez les risques et la protection concernant les acteurs des menaces, les campagnes ou les techniques d’attaquant émergentes.
Vérification des connaissances
Choisissez la meilleure réponse pour la question suivante.
Vérifier vos connaissances
Commentaires
Cette page a-t-elle été utile ?
No
Vous avez besoin d’aide pour cette rubrique ?
Vous souhaitez essayer d’utiliser Ask Learn pour clarifier ou vous guider dans cette rubrique ?