Exercices pratiques sur l’administration de la sécurité

  • 30 minutes

La gestion des menaces et des vulnérabilités

Tableau de bord de gestion des menaces et des vulnérabilités

L’identification, l’évaluation et la correction effectives des faiblesses des points de terminaison sont essentielles pour l’exécution d’un programme de sécurité sain et la réduction des risques organisationnels. La gestion des menaces et des vulnérabilités sert d’infrastructure pour réduire l’exposition de l’organisation, renforcer la surface de point de terminaison et augmenter la résilience de l’organisation.

Cette infrastructure permet aux organisations de détecter en temps réel les vulnérabilités et les problèmes de configuration, sur la base de capteurs, sans qu’il soit nécessaire d’utiliser des agents ou d’effectuer des analyses périodiques. Il hiérarchise les problèmes en fonction de nombreux facteurs. Il s’agit des facteurs suivants : paysage de menace, détections dans votre organisation, informations sensibles sur les appareils exposés et contexte professionnel.

La gestion des menaces et des vulnérabilités est intégrée, en temps réel, basée sur le cloud, entièrement intégrée à la pile de sécurité des points de terminaison Microsoft, au Microsoft Intelligent Security Graph et à l’analytique des applications base de connaissances. Il peut créer une tâche ou un ticket de sécurité par le biais de l’intégration à Microsoft Intune et Microsoft Endpoint Manager.

Il fournit les solutions suivantes pour les lacunes entre les opérations de sécurité, l’administration de la sécurité et l’administration des TI :

  • Informations sur la détection et la réponse au point de terminaison en temps réel (EDR) corrélées avec les vulnérabilités de point de terminaison
  • Informations sur les vulnérabilités et les données d’évaluation de la configuration de sécurité dans le contexte de la découverte d’exposition
  • Processus de correction intégrés via Microsoft Intune et Microsoft Endpoint Manager

Par exemple, si vous utilisez les recommandations en matière de sécurité présentes dans le portail, un administrateur peut demander la mise à jour d’une application, ce qui permet d’informer l’équipe Intune de résoudre le problème.

Recommandations de sécurité

Réduction de la surface d’attaque

L’ensemble de fonctionnalités de réduction de surface d’attaque offre la première ligne de défense dans la pile en veillant à ce que les paramètres de configuration soient correctement définis et que les techniques d’atténuation des risques soient appliquées.

  • L’isolation basée sur le matériel protège et maintient l’intégrité du système au démarrage et Pendant son exécution, et valide l’intégrité du système via l’attestation locale et distante. L’isolation de conteneur pour Microsoft Edge permet de protéger le système d’exploitation hôte contre les sites Web malveillants.
  • Le contrôle des applications s’éloigne du modèle de confiance classique de l’application dans lequel toutes les applications sont considérées comme dignes de confiance par défaut pour l’exécution des applications.
  • Exploit protection applique les techniques d’atténuation pour les applications utilisées par votre organisation, à la fois individuellement et à l’échelle de l’organisation.
  • La protection réseau étend la protection contre les programmes malveillants et l’ingénierie sociale proposée par Microsoft Defender SmartScreen dans Microsoft Edge pour couvrir le trafic réseau et la connectivité sur les appareils de votre organisation.
  • Accès contrôlé aux dossiers permet de protéger les fichiers dans les dossiers système principaux contre les modifications apportées par les applications malveillantes et suspectes, y compris les programmes malveillants de contrôle de fichier.
  • La réduction de la surface d’attaque réduit la surface d’attaque de vos applications grâce à des règles intelligentes qui arrêtent les vecteurs utilisés par Office, programmes malveillants basés sur des scripts et des courriers électroniques.
  • Pare-feu réseau utilise le filtrage du trafic réseau bidirectionnel sur l’hôte qui bloque le trafic réseau non autorisé entrant ou sortant de l’appareil local.

La capture d’écran ci-dessous montre un graphique des détections par rapport à une règle de réduction de la surface d’attaque qui protège les applications de bureau :

Règles de réduction de la surface d’attaque

Protection de nouvelle génération

L’antivirus Microsoft Defender est une solution de protection contre les programmes malveillants intégrée qui offre une protection nouvelle génération pour les ordinateurs de bureau, les ordinateurs portables et les serveurs. L’antivirus Microsoft Defender inclut les éléments suivants :

  • Protection fournie par le cloud pour une détection et un blocage quasi instantanés des menaces nouvelles et émergentes. Tout comme l’apprentissage automatique et le système Intelligent Security Graph, la protection fournie par le cloud fait partie des technologies nouvelle génération intégrées à l’antivirus Microsoft Defender.
  • Analyses permanentes, à l’aide de la surveillance avancée du comportement des fichiers et des processus, ainsi que d’autres méthodes heuristiques (également appelées « protection en temps réel »).
  • Mises à jour de la protection dédiées, fondées sur l’apprentissage automatique, l’analyse humaine et automatisée du Big Data, et des recherches approfondies sur la résistance aux menaces.

Les paramètres de proxy et de réseau suivants doivent être pris en compte :

  • Le capteur Microsoft Defender pour point de terminaison requiert Microsoft Windows HTTP (WinHTTP) pour signaler les données du capteur et communiquer avec le service Microsoft Defender pour point de terminaison.
  • Le capteur Microsoft Defender pour point de terminaison incorporé s’exécute dans le contexte système à l’aide du compte LocalSystem. Le capteur utilise les services Microsoft Windows HTTP Services (WinHTTP) pour activer la communication avec le service Cloud Microsoft Defender pour point de terminaison.
  • Le paramètre de configuration WinHTTP est indépendant des paramètres de proxy de navigation Internet de Windows Internet (WinINet) et ne peut découvrir qu’un serveur proxy à l’aide des méthodes de découverte automatique suivantes :
    • Proxy transparent
    • Protocole WPAD (Web Proxy Auto-Discovery Protocol)

Détection et réponse au point de terminaison

Microsoft Defender pour point de terminaison fonctionnalités de détection et de réponse des points de terminaison fournissent des détections d’attaque avancées qui sont quasiment en temps réel et exploitables. Les analystes de la sécurité peuvent hiérarchiser efficacement les alertes, avoir une meilleure visibilité de l’ampleur d’une faille et prendre des mesures correctives pour remédier aux menaces.

Lorsqu’une menace est détectée, les alertes sont créées dans le système à des fins d’analyse par un analyste. Les alertes présentant les mêmes techniques d’attaque ou attribuées au même agresseur sont regroupées dans une entité appelée incident. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.

Inspiré par l’approche « présomption d’une violation de sécurité », Microsoft Defender pour point de terminaison collecte en continu la cyber télémétrie comportementale. Ce qui inclut les informations de processus, les activités réseau, l’optique profonde dans le noyau et le gestionnaire de mémoire, les activités de connexion utilisateur, les modifications apportées au registre et au système de fichiers, etc. Les informations sont conservées pendant six mois, ce qui permet à un analyste de remonter au début d’une attaque. Il peut alors analyser différents axes et adopter une approche d’investigation via plusieurs vecteurs.

Le tableau de bord Opérations de sécurité (illustré dans la capture d’écran) est l’endroit où les fonctionnalités de détection et de réponse de point de terminaison sont exposées. Il fournit une vue d’ensemble de l’emplacement où des détections ont été détectées et indique l’emplacement des actions de réponse.

Capture d’écran du tableau de bord Opérations de sécurité.

Investigation et résolution automatiques

Microsoft Defender pour point de terminaison offre une visibilité étendue sur plusieurs ordinateurs. Avec ce type d’optique, le service génère une multitude d’alertes. Le volume d’alertes produit peut s’avérer difficile à gérer individuellement pour une équipe de sécurité classique. Pour résoudre ce problème, Microsoft Defender pour point de terminaison utilise des fonctionnalités automatisées d’investigation et de correction afin de réduire sensiblement le volume d’alertes devant être étudiées de manière individuelle.

Enquêtes automatisées

La fonctionnalité d’investigation automatisée utilise différents algorithmes d’inspection et processus utilisés par des analystes (tels que les règles) pour examiner les alertes et prendre des mesures correctives immédiates pour résoudre les brèches. Cela réduit considérablement les volumes d’alertes, ce qui permet aux experts en matière de sécurité de se concentrer sur des menaces plus sophistiquées et d’autres initiatives de grande valeur. Dans la capture d’écran ci-dessous, nous pouvons voir que les programmes malveillants ont été détectés et corrigés automatiquement :

Programmes malveillants détectés et corrigés

Découvrir comment réduire les risques organisationnels avec la gestion des menaces et des vulnérabilités

Visionnez la version vidéo du guide interactif (sous-titres disponibles dans d’autres langues).

Réduire les risques organisationnels avec la gestion des menaces et des vulnérabilités

Veillez à sélectionner l’option plein écran dans le lecteur vidéo. Lorsque vous avez terminé, utilisez la flèche Précédent de votre navigateur pour revenir à cette page.