Configurer des fonctionnalités avancées d’environnement

Effectué

La zone Fonctionnalités avancées de la zone Paramètres généraux fournit de nombreux commutateurs activé/désactivé pour les fonctionnalités au sein du produit. Vous découvrirez certaines de ces fonctionnalités dans les modules ultérieurs.

Selon les produits de sécurité Microsoft que vous utilisez, certaines fonctionnalités avancées peuvent être disponibles pour permettre une intégration à Defender pour point de terminaison.

Dans le volet de navigation, sélectionnez Paramètres > Points de terminaison > Fonctionnalités avancées.

Sélectionnez la fonctionnalité avancée que vous souhaitez configurer et basculez le paramètre entre Activé et Désactivé.

Sélectionnez Enregistrer les préférences.

Utilisez les fonctionnalités avancées suivantes pour mieux vous protéger contre les fichiers potentiellement malveillants et obtenir de meilleurs insights lors des investigations de sécurité.

Investigation automatisée

Activez cette fonctionnalité pour tirer parti des fonctionnalités d’investigation et de correction automatisées du service. Pour plus d’informations, consultez Investigation automatisée.

Réponse dynamique

Notes

Pour pouvoir activer la réponse en direct dans la section Paramètres avancés du portail, vous devez d’abord activer l’investigation automatisée.

Activez cette fonctionnalité pour que les utilisateurs disposant des autorisations appropriées puissent démarrer une session de réponse dynamique sur les appareils.

Réponse en direct pour les serveurs

Activez cette fonctionnalité pour que les utilisateurs disposant des autorisations appropriées puissent démarrer une session de réponse en direct sur les serveurs.

Exécution des scripts non signés de réponse dynamique

L’activation de cette fonctionnalité vous permet d’exécuter des scripts non signés dans une session de réponse dynamique.

Toujours corriger les applications potentiellement indésirables

Les applications potentiellement indésirables (PUA) sont une catégorie de logiciels qui peuvent ralentir votre ordinateur, afficher des publicités inattendues ou, au pire, installer d’autres logiciels inattendus ou indésirables.

Activez cette fonctionnalité pour corriger les applications potentiellement indésirables sur tous les appareils de votre locataire, même si la protection PUA n’est pas configurée sur les appareils. Cette activation de la fonctionnalité permet de protéger les utilisateurs contre l’installation accidentelle d’applications indésirables sur leur appareil. Lorsqu’elle est désactivée, la correction dépend de la configuration de l’appareil.

Restreindre la corrélation à l’intérieur de groupes d’appareils délimités

Vous pouvez utiliser cette configuration dans les scénarios où les opérations SOC locales souhaitent limiter les corrélations d’alertes aux groupes d’appareils auxquels elles peuvent accéder. En activant ce paramètre, un incident composé d’alertes impliquant plusieurs groupes d’appareils ne sera plus considéré comme un incident unique. Le SOC local peut ensuite prendre des mesures sur l’incident, car il a accès à l’un des groupes d’appareils impliqués. Toutefois, le SOC global verra plusieurs incidents par groupe d’appareils au lieu d’un seul incident. Nous vous déconseillons d’activer ce paramètre à moins qu’il n’offre plus d’avantages que la corrélation des incidents dans l’ensemble de l’organisation.

Notes

La modification de ce paramètre impacte uniquement les corrélations d’alerte futures.

Activer EDR en mode bloc

La protection évolutive des points de terminaison (PEPT) en mode bloc offre une protection contre les artefacts malveillants, même lorsque l’Antivirus Microsoft Defender s’exécute en mode passif. Lorsqu’elle est activée, la PEPT en mode bloc bloque les artefacts ou comportements malveillants détectés sur un appareil. La PEPT en mode bloc fonctionne en arrière-plan pour corriger les artefacts malveillants détectés après une violation.

Résoudre automatiquement les alertes corrigées

Pour les locataires créés à partir de Windows 10, version 1809, la fonctionnalité d’investigation et de correction automatisées est configurée par défaut pour résoudre les alertes dont l’état du résultat de l’analyse automatisée est « aucune menace détectée » ou « corrigé ». Si vous ne souhaitez pas que les alertes soient résolues automatiquement, vous devez désactiver la fonctionnalité manuellement.

Conseil

Pour les locataires créés avant cette version, vous devez activer manuellement cette fonctionnalité à partir de la page Fonctionnalités avancées.

Notes

Le résultat de l’action de résolution automatique peut influencer le calcul du niveau de risque de l’appareil qui est basé sur les alertes actives trouvées sur un appareil. Si un analyste des opérations de sécurité définit manuellement l’état d’une alerte sur « en cours » ou « résolu », la fonctionnalité de résolution automatisée ne le remplace pas.

Autoriser ou bloquer un fichier

Le blocage est disponible uniquement si votre organisation répond à ces exigences :

  • Utilisation de l’antivirus Microsoft Defender comme solution anti-programme malveillant active
  • Fonctionnalité de protection basée sur le Cloud activée

Cette fonctionnalité vous permet de bloquer des fichiers potentiellement malveillants dans votre réseau. Le blocage d’un fichier empêche sa lecture, son écriture ou son exécution sur les appareils de votre organisation.

Après avoir activé cette fonctionnalité, vous pouvez bloquer des fichiers via l’onglet ajouter un indicateur de la page de profil d’un fichier.

Indicateurs de réseau personnalisés

L’activation de cette fonctionnalité vous permet de créer des indicateurs pour les adresses IP, les domaines ou les URL, qui déterminent si elles seront autorisées ou bloquées en fonction de votre liste d’indicateurs personnalisée.

Pour utiliser cette fonctionnalité, les appareils doivent exécuter Windows 10 version 1709 ou ultérieure ou Windows 11. Ils doivent également disposer d’une protection réseau en mode bloc et de la version 4.18.1906.3 ou ultérieure de la plateforme anti-programme malveillant (voir l’article 4052623 dans la base de connaissances).

Notes

La protection du réseau tire profit des services de réputation qui traitent les demandes pouvant se trouver hors de l’emplacement que vous avez sélectionné pour vos données Defender pour point de terminaison.

Protection contre les falsifications

Lors de certains types de cyberattaques, les acteurs malveillants tentent de désactiver les fonctionnalités de sécurité de vos ordinateurs, notamment la protection antivirus. Les acteurs malveillants cherchent à désactiver vos fonctionnalités de sécurité pour accéder plus facilement à vos données, installer des logiciels malveillants ou encore exploiter vos données, votre identité et vos appareils.

La protection contre les falsifications verrouille essentiellement l’Antivirus Microsoft Defender et empêche la modification de vos paramètres de sécurité par le biais d’applications et de méthodes.

Cette fonctionnalité est disponible si votre organisation utilise l’Antivirus Microsoft Defender et que la protection basée sur le cloud est activée.

Laissez la protection contre les falsifications activée pour empêcher les modifications indésirables apportées à votre solution de sécurité et à ses fonctionnalités essentielles.

Afficher les détails de l’utilisateur

Activez cette fonctionnalité pour voir les détails de l’utilisateur stockés dans Microsoft Entra ID. Les détails incluent l’image, le nom, le titre et les informations du service d’un utilisateur lors de l’examen des entités du compte d’utilisateur. Vous trouverez des informations sur le compte d’utilisateur dans les vues suivantes :

  • Tableau de bord des opérations de sécurité
  • File d’attente des alertes
  • Page Détails de l’appareil

Intégration de Skype Entreprise

L’activation de l’intégration Skype Entreprise vous donne la possibilité de communiquer avec les utilisateurs à l’aide de Skype Entreprise, d’une adresse e-mail ou d’un téléphone. Cette activation peut être utile quand vous devez communiquer avec l’utilisateur et atténuer les risques.

Notes

Quand un appareil est isolé du réseau, une fenêtre contextuelle vous permet d’activer les communications Outlook et Skype afin de pouvoir communiquer avec l’utilisateur lorsqu’il est déconnecté du réseau. Ce paramètre s’applique aux communications Skype et Outlook quand les appareils sont en mode d’isolation.

Intégration de Microsoft Defender pour Identity

L’intégration à Microsoft Defender pour Identity vous permet de basculer directement vers un autre produit de sécurité Microsoft Identity. Microsoft Defender pour Identity enrichit une investigation avec davantage d’informations sur un compte compromis suspect et les ressources associées. En activant cette fonctionnalité, vous enrichissez la capacité d’investigation basée sur les appareils en basculant sur le réseau à partir d’un point de vue d’identité.

Notes

Pour activer cette fonctionnalité, vous devez disposer de la licence appropriée.

Connexion à Office 365 Threat Intelligence

Cette fonctionnalité n’est disponible que si vous avez un abonnement Office 365 E5 actif ou le module complémentaire Threat Intelligence.

Quand vous activez cette fonctionnalité, vous pouvez incorporer des données de Microsoft Defender pour Office 365 dans Microsoft Defender XDR afin d’effectuer une investigation de sécurité complète sur les boîtes aux lettres Office 365 et les appareils Windows.

Remarque

Pour activer cette fonctionnalité, vous devez disposer de la licence appropriée.

Pour recevoir l’intégration contextuelle des appareils dans Office 365 Threat Intelligence, vous devez activer les paramètres Defender pour point de terminaison dans le tableau de bord Sécurité & conformité.

Spécialistes des menaces Microsoft - Notifications d’attaque ciblées

Vous ne pouvez utiliser la fonctionnalité de spécialistes à la demande qu’une fois votre demande d’accès à la préversion approuvée. Vous pouvez recevoir des notifications d’attaque ciblées des spécialistes des menaces Microsoft par le biais du tableau de bord des alertes de votre portail et par e-mail si vous configurez cette option.

Microsoft Defender for Cloud Apps

L’activation de ce paramètre permet de transférer les signaux Microsoft Defender pour point de terminaison à Microsoft Defender pour les applications cloud pour fournir une plus grande visibilité sur l’utilisation des applications cloud. Les données transférées sont stockées et traitées au même emplacement que vos données Defender pour les applications cloud.

Activer l’intégration de Microsoft Defender pour point de terminaison à partir du portail Microsoft Defender pour Identity

Pour recevoir l’intégration contextuelle des appareils dans Microsoft Defender pour Identity, vous devez également activer la fonctionnalité dans le portail Microsoft Defender pour Identity.

Filtrage de contenu web

Bloquez l’accès aux sites web comprenant du contenu indésirable et suivez l’activité web dans tous les domaines. Pour spécifier les catégories de contenu web que vous souhaitez bloquer, créez une stratégie de filtrage de contenu web. Vérifiez que la protection réseau est en mode bloc lors du déploiement de la ligne de base de référence de sécurité Microsoft Defender pour point de terminaison.

Partager des alertes de point de terminaison avec le portail de conformité Microsoft Purview

Transfère les alertes de sécurité des points de terminaison et leur état de triage au portail de conformité Microsoft Purview afin d’améliorer les stratégies de gestion des risques internes avec des alertes et de corriger les risques internes avant qu’ils ne provoquent des dommages. Les données transférées sont traitées et stockées au même emplacement que vos données Office 365.

Après avoir configuré les indicateurs de violation de la politique de sécurité dans les paramètres de gestion des risques internes, les alertes de Defender pour point de terminaison seront partagées avec la gestion des risques internes pour les utilisateurs concernés.

Connexion à Microsoft Intune

Microsoft Defender pour point de terminaison peut être intégré à Microsoft Intune pour activer l’accès conditionnel basé sur les risques des appareils. Quand vous activez cette fonctionnalité, vous pouvez partager les informations d’appareil de Microsoft Defender pour point de terminaison avec Microsoft Intune et améliorer ainsi l’application des stratégies.

Important

Vous devez activer l’intégration sur Intune et Defender pour point de terminaison afin d’utiliser cette fonctionnalité.

Cette fonctionnalité est disponible uniquement si vous disposez des prérequis suivants :

Locataire sous licence pour Enterprise Mobility + Security E3 et Windows E5 (ou Microsoft 365 Entreprise E5)

Environnement Microsoft Intune actif, avec des appareils Windows gérés par Intune joints à Microsoft Entra.

Stratégie d’accès conditionnel

Lorsque vous activez l’intégration à Intune, Intune crée automatiquement une stratégie d’accès conditionnel (CA) classique. Cette stratégie CA classique est une condition préalable à la configuration de rapports d’état sur Intune. Il ne doit pas être supprimé.

Notes

La stratégie d’autorité de certification classique créée par Intune est distincte des stratégies d’accès conditionnel modernes qui sont utilisées pour configurer des points de terminaison.

Découverte de l’appareil

Vous aide à trouver des appareils non gérés connectés à votre réseau d’entreprise sans avoir besoin d’appareils supplémentaires ou de modifications de processus fastidieuses. Grâce aux appareils intégrés, vous pouvez trouver les appareils non gérés dans votre réseau et évaluer les vulnérabilités et les risques.

Notes

Vous pouvez toujours appliquer des filtres pour exclure les appareils non gérés de la liste de l’inventaire des appareils. Vous pouvez également utiliser la colonne d’état d’intégration sur les requêtes d’API pour exclure par filtrage les appareils non gérés.

Fonctionnalités de préversion

Découvrez les nouvelles fonctionnalités de la préversion de Defender pour point de terminaison. Essayez les fonctionnalités à venir en activant l’expérience en préversion.

Vous aurez accès aux fonctionnalités à venir, sur lesquelles vous pourrez fournir des commentaires afin d’améliorer l’expérience globale avant la mise à disposition générale des fonctionnalités.

Télécharger les fichiers mis en quarantaine

Sauvegardez les fichiers mis en quarantaine dans un emplacement sécurisé et conforme pour qu’ils puissent être téléchargés directement à partir du mode quarantaine. Le bouton Télécharger le fichier sera toujours disponible dans la page du fichier. Ce paramètre est activé par défaut.