Partager via


Protéger les serveurs avec l’analyse des programmes malveillants sans agent

Le plan 2 de Microsoft Defender pour le cloud prend en charge une fonction d'analyse des programmes malveillants sans agent, qui analyse et détecte les programmes malveillants et les virus. Le scanneur est disponible pour les machines virtuelles Azure, les instances AWS EC2 et les instances de machine virtuelle GCP.

L'analyse des programmes malveillants sans agent offre les options suivantes :

  • fonctionnalités de détection des programmes malveillants à jour et complètes qui utilisent le moteur antivirus Microsoft Defender et le flux de signature de protection cloud pris en charge par les flux d'intelligence de Microsoft ;

  • Analyses rapides et complètes qui utilisent la détection des menaces heuristiques basées sur des signatures.

  • Alertes de sécurité générées lorsqu'un programme malveillant est détecté. Ces alertes fournissent des informations supplémentaires et un contexte pour les enquêtes. Par la suite, elles sont envoyées à la fois à la page d'Alerte Defender pour le cloud et à Defender XDR.

Important

L'analyse des programmes malveillants sans agent n'est disponible qu'à travers le plan 2 Defender pour serveurs, l'analyse sans agent étant activée.

Détection sans agent de programmes malveillants

L'analyse des programmes malveillants sans agent présente les avantages suivants pour les machines protégées et non protégées :

  • Couverture améliorée : si une machine n'a pas de solution antivirus activée, le détecteur sans agent analyse cette machine pour détecter les activités malveillantes.

  • Détecter les menaces potentielles : le scanneur sans agent analyse tous les fichiers et dossiers, notamment ceux qui sont exclus des analyses antivirus basées sur l'agent. De fait, cette opération n'a pas d'incidence sur les performances de l'ordinateur.

Approfondissez vos connaissances sur l'analyse des machines sans agent et sur l'activation de l'analyse sans agent pour les machines virtuelles.

Important

Les alertes de sécurité apparaissent sur le portail uniquement lorsque des menaces sont détectées dans votre environnement. Si vous n’avez pas d’alertes, cela peut être dû à l’absence de menaces sur votre environnement. Vous pouvez tester la capacité d'analyse des logiciels malveillants sans agent pour voir si elle a été bien intégrée et si elle communique avec Defender pour le cloud.

Alertes de sécurité de Microsoft Defender pour le cloud

Lorsqu’un fichier malveillant est détecté, Microsoft Defender pour le cloud génère une alerte de sécurité Microsoft Defender pour le cloud. Pour afficher l’alerte, accédez aux alertes de sécurité Microsoft Defender pour le cloud. L’alerte de sécurité contient les détails et le contexte du fichier, le type de programme malveillant, ainsi que les étapes d’investigation et de correction recommandées. Pour utiliser ces alertes à des fins de correction, vous pouvez :

  1. Afficher les alertes de sécurité dans le Portail Azure en accédant à Microsoft Defender pour le cloud>Alertes de sécurité.
  2. Configurer des automatisations basées sur ces alertes.
  3. Exporter des alertes de sécurité vers un SIEM. Vous pouvez exporter en continu les alertes de sécurité Microsoft Sentinel (SIEM Microsoft) à l’aide du connecteur Microsoft Sentinel ou d’un autre SIEM de votre choix.

En savoir plus sur la réponse aux alertes de sécurité.

Gestion des faux positifs possibles

Si vous pensez qu’un fichier est détecté comme un programme malveillant alors qu’il ne l’est pas (faux positif), vous pouvez l’envoyer pour analyse en utilisant le portail d’envoi d’exemples. Le fichier envoyé est analysé par les analystes de sécurité de Defender. Si le rapport d’analyse indique que le fichier est effectivement propre, le fichier ne déclenche plus de nouvelles alertes à partir de maintenant.

Defender pour le cloud vous permet de supprimer les fausses alertes positives. Veillez à limiter la règle de suppression à l’aide du nom ou du hachage de fichier du logiciel malveillant.

Étape suivante

Découvrez comment activer l'analyse sans agent des machines virtuelles.