Partager via


Vue d’ensemble des règles de réduction de la surface d’attaque

S’applique à :

Plateformes

  • Windows

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

Pourquoi les règles de réduction de la surface d’attaque sont importantes

La surface d’attaque de votre organisation inclut tous les endroits où un attaquant peut compromettre les appareils ou les réseaux de votre organisation. Réduire votre surface d’attaque signifie protéger les appareils et le réseau de votre organisation, ce qui laisse aux attaquants moins de moyens d’effectuer des attaques. La configuration des règles de réduction de la surface d’attaque dans Microsoft Defender pour point de terminaison peut vous aider !

Les règles de réduction de la surface d’attaque ciblent certains comportements logiciels, tels que :

  • Lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers
  • Exécution de scripts masqués ou suspects
  • Exécution de comportements que les applications n’initient généralement pas pendant le travail quotidien normal

Ces comportements logiciels sont parfois observés dans les applications légitimes. Toutefois, ces comportements sont souvent considérés comme risqués, car ils sont couramment utilisés par des attaquants par le biais de programmes malveillants. Les règles de réduction de la surface d’attaque peuvent limiter les comportements à risque basés sur les logiciels et aider à assurer la sécurité de votre organisation.

Pour obtenir un processus séquentiel de bout en bout de gestion des règles de réduction de la surface d’attaque, consultez :

Évaluer les règles avant le déploiement

Vous pouvez évaluer comment une règle de réduction de la surface d’attaque peut affecter votre réseau en ouvrant la recommandation de sécurité pour cette règle dans Gestion des vulnérabilités Microsoft Defender.

La recommandation de réduction de la surface d’attaque

Dans le volet détails de la recommandation, recherchez l’impact sur l’utilisateur pour déterminer le pourcentage de vos appareils qui peuvent accepter une nouvelle stratégie activant la règle en mode bloquant sans nuire à la productivité.

Consultez Configuration requise dans l’article « Activer les règles de réduction de la surface d’attaque » pour plus d’informations sur les systèmes d’exploitation pris en charge et d’autres informations sur les exigences.

Mode d’audit pour évaluation

Mode Audit

Utilisez le mode audit pour évaluer l’impact des règles de réduction de la surface d’attaque sur votre organisation si elles sont activées. Exécutez d’abord toutes les règles en mode audit afin de comprendre comment elles affectent vos applications métier. De nombreuses applications métier sont écrites avec des problèmes de sécurité limités et peuvent effectuer des tâches qui semblent similaires aux programmes malveillants.

Exclusions

En surveillant les données d’audit et en ajoutant des exclusions pour les applications nécessaires, vous pouvez déployer des règles de réduction de la surface d’attaque sans réduire la productivité.

Exclusions par règle

Pour plus d’informations sur la configuration des exclusions par règle, consultez la section intitulée Configurer les exclusions de la surface d’attaque par règle dans l’article Règles de réduction de la surface d’attaque de test.

Mode d’avertissement pour les utilisateurs

(NOUVEAU !) Avant les fonctionnalités du mode d’avertissement, les règles de réduction de la surface d’attaque activées pouvaient être définies sur le mode audit ou le mode bloc. Avec le nouveau mode d’avertissement, chaque fois que le contenu est bloqué par une règle de réduction de la surface d’attaque, les utilisateurs voient une boîte de dialogue qui indique que le contenu est bloqué. La boîte de dialogue offre également à l’utilisateur une option pour débloquer le contenu. L’utilisateur peut ensuite réessayer son action et l’opération se termine. Lorsqu’un utilisateur débloque du contenu, le contenu reste débloqué pendant 24 heures, puis le blocage reprend.

Le mode Avertir aide votre organisation à mettre en place des règles de réduction de la surface d’attaque sans empêcher les utilisateurs d’accéder au contenu dont ils ont besoin pour effectuer leurs tâches.

Conditions requises pour que le mode d’avertissement fonctionne

Le mode Avertir est pris en charge sur les appareils exécutant les versions suivantes de Windows :

L’Antivirus Microsoft Defender doit s’exécuter avec une protection en temps réel en mode Actif.

Vérifiez également que les mises à jour antivirus et anti-programme malveillant Microsoft Defender sont installées.

  • Configuration requise pour la mise en production minimale de la plateforme : 4.18.2008.9
  • Configuration requise pour la mise en production minimale du moteur : 1.1.17400.5

Pour plus d’informations et pour obtenir vos mises à jour, consultez Mise à jour de la plateforme anti-programme malveillant Microsoft Defender.

Cas où le mode d’avertissement n’est pas pris en charge

Le mode d’avertissement n’est pas pris en charge pour trois règles de réduction de la surface d’attaque lorsque vous les configurez dans Microsoft Intune. (Si vous utilisez la stratégie de groupe pour configurer vos règles de réduction de la surface d’attaque, le mode d’avertissement est pris en charge.) Les trois règles qui ne prennent pas en charge le mode d’avertissement lorsque vous les configurez dans Microsoft Intune sont les suivantes :

En outre, le mode d’avertissement n’est pas pris en charge sur les appareils exécutant des versions antérieures de Windows. Dans ce cas, les règles de réduction de la surface d’attaque configurées pour s’exécuter en mode avertissement s’exécutent en mode bloc.

Notifications et alertes

Chaque fois qu’une règle de réduction de la surface d’attaque est déclenchée, une notification s’affiche sur l’appareil. Vous pouvez personnaliser la notification avec les informations et les coordonnées de l’entreprise.

En outre, lorsque certaines règles de réduction de la surface d’attaque sont déclenchées, des alertes sont générées.

Les notifications et toutes les alertes générées peuvent être consultées dans le portail Microsoft Defender.

Pour plus d’informations sur la fonctionnalité de notification et d’alerte, consultez : Alertes par règle et détails de notification, dans l’article Informations de référence sur les règles de réduction de la surface d’attaque.

Événements avancés de chasse et de réduction de la surface d’attaque

Vous pouvez utiliser la chasse avancée pour afficher les événements de réduction de la surface d’attaque. Pour simplifier le volume de données entrantes, seuls les processus uniques pour chaque heure sont visibles avec la chasse avancée. La durée d’un événement de réduction de la surface d’attaque est la première fois que cet événement est vu dans l’heure.

Par exemple, supposons qu’un événement de réduction de la surface d’attaque se produise sur 10 appareils pendant l’heure de 14h00. Supposons que le premier événement s’est produit à 2 :15 et le dernier à 2 :45. Avec la chasse avancée, vous voyez une instance de cet événement (même s’il s’est réellement produit sur 10 appareils) et son horodatage sera 14h15.

Pour plus d’informations sur la chasse avancée, consultez La chasse proactive aux menaces avec la chasse avancée.

Fonctionnalités de réduction de la surface d’attaque dans les versions de Windows

Vous pouvez définir des règles de réduction de la surface d’attaque pour les appareils qui exécutent l’une des éditions et versions suivantes de Windows :

Bien que les règles de réduction de la surface d’attaque ne nécessitent pas de licence Windows E5, si vous disposez de Windows E5, vous bénéficiez de fonctionnalités de gestion avancées. Les fonctionnalités avancées, disponibles uniquement dans Windows E5, sont les suivantes :

Ces fonctionnalités avancées ne sont pas disponibles avec une licence Windows Professionnel ou Windows E3. Toutefois, si vous disposez de ces licences, vous pouvez utiliser l’Observateur d’événements et les journaux antivirus Microsoft Defender pour passer en revue vos événements de règle de réduction de la surface d’attaque.

Passer en revue les événements de réduction de la surface d’attaque dans le portail Microsoft Defender

Defender pour point de terminaison fournit des rapports détaillés sur les événements et les blocs dans le cadre de scénarios d’investigation d’alerte.

Vous pouvez interroger les données Defender pour point de terminaison dans Microsoft Defender XDR à l’aide de la chasse avancée.

Voici une requête d’exemple :

DeviceEvents
| where ActionType startswith 'Asr'

Passer en revue les événements de réduction de la surface d’attaque dans l’Observateur d’événements Windows

Vous pouvez consulter le journal des événements Windows pour afficher les événements générés par les règles de réduction de la surface d’attaque :

  1. Téléchargez le package d’évaluation et extrayez le fichier cfa-events.xml à un emplacement facilement accessible sur l’appareil.

  2. Entrez les mots Observateur d’événements dans le menu Démarrer pour ouvrir l’Observateur d’événements Windows.

  3. Sous Actions, sélectionnez Importer une vue personnalisée....

  4. Sélectionnez le fichier cfa-events.xml d’où il a été extrait. Vous pouvez également copier directement le code XML.

  5. Sélectionnez OK.

Vous pouvez créer une vue personnalisée qui filtre les événements pour afficher uniquement les événements suivants, qui sont tous liés à l’accès contrôlé aux dossiers :

ID d’événement Description
5007 Événement lorsque les paramètres sont modifiés
1121 Événement lorsque la règle se déclenche en mode Bloc
1122 Événement lorsque la règle se déclenche en mode Audit

La « version du moteur » répertoriée pour les événements de réduction de la surface d’attaque dans le journal des événements est générée par Defender pour point de terminaison, et non par le système d’exploitation. Defender pour point de terminaison étant intégré à Windows 10 et Windows 11, cette fonctionnalité fonctionne sur tous les appareils sur lesquels Windows 10 ou Windows 11 est installé.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.