Partager via

Configurer l’interruption automatique des attaques dans Microsoft Defender XDR

  • Article

Microsoft Defender XDR comprend de puissantes fonctionnalités d’interruption des attaques automatisées qui peuvent protéger votre environnement contre les attaques sophistiquées à fort impact.

Cet article explique comment configurer les fonctionnalités d’interruption automatique des attaques dans Microsoft Defender XDR. Une fois que vous êtes tous configurés, vous pouvez afficher et gérer les actions d’endiguement dans Incidents et le Centre de notifications. Et, si nécessaire, vous pouvez apporter des modifications aux paramètres.

Configuration requise

Voici les conditions préalables à la configuration de l’interruption automatique des attaques dans Microsoft Defender XDR :

Conditions requises Détails
Conditions d’abonnement Un de ces abonnements :
  • Microsoft 365 E5 ou A5
  • Microsoft 365 E3 avec le module complémentaire Microsoft 365 E5 Sécurité
  • Microsoft 365 E3 avec le module complémentaire Enterprise Mobility + Security E5
  • Microsoft 365 A3 avec le module complémentaire Microsoft 365 A5 Security
  • Windows 10 Entreprise E5 ou A5
  • Windows 11 Entreprise E5 ou A5
  • Enterprise Mobility + Security (EMS) E5 ou A5
  • Office 365 E5 ou A5
  • Microsoft Defender pour point de terminaison (Plan 2)
  • Microsoft Defender pour l’identité
  • Microsoft Defender for Cloud Apps
  • Defender pour Office 365 (Plan 2)
  • Microsoft Defender pour les PME

Consultez Microsoft Defender XDR conditions de licence.
Configuration requise pour le déploiement
  • Déploiement sur les produits Defender (par exemple, Defender pour point de terminaison, Defender for Office 365, Defender pour Identity et Defender for Cloud Apps)
    • Plus le déploiement est large, plus la protection est étendue. Par exemple, si un signal Microsoft Defender for Cloud Apps est utilisé dans une certaine détection, ce produit est requis pour détecter le scénario d’attaque spécifique approprié.
    • De même, le produit approprié doit être déployé pour exécuter une action de réponse automatisée. Par exemple, Microsoft Defender pour point de terminaison doit contenir automatiquement un appareil.
  • la découverte d’appareils de Microsoft Defender pour point de terminaison est définie sur « découverte standard » (prérequis pour l’initiation automatique de l’action « Contenir l’appareil »)
Autorisations Pour configurer les fonctionnalités d’interruption d’attaque automatique, vous devez disposer de l’un des rôles suivants attribués dans Microsoft Entra ID (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 () :https://admin.microsoft.com
  • Administrateur général
  • Administrateur de sécurité
Pour utiliser les fonctionnalités d’investigation et de réponse automatisées, telles que l’examen, l’approbation ou le rejet des actions en attente, consultez Autorisations requises pour les tâches du centre de notifications.

Microsoft Defender pour point de terminaison prérequis

Version minimale du client Sense (client MDE)

La version minimale de l’agent Sense requise pour que l’action Contenir l’utilisateur fonctionne est v10.8470. Vous pouvez identifier la version de l’agent Sense sur un appareil en exécutant la commande PowerShell suivante :

Get-ItemProperty -Chemin 'Registry ::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name « InstallLocation »

Paramètre d’automatisation pour les appareils de votre organisation

Passez en revue le niveau d’automatisation configuré pour vos stratégies de groupe d’appareils, si les investigations automatisées s’exécutent et si les actions de correction sont effectuées automatiquement ou uniquement après approbation de vos appareils dépendent de certains paramètres. Vous devez être administrateur général ou administrateur de la sécurité pour effectuer la procédure suivante :

  1. Accédez au portail Microsoft Defender (https://security.microsoft.com) et connectez-vous.

  2. Accédez à Paramètres système>Points>de terminaison>Groupes d’appareils sous Autorisations.

  3. Passez en revue vos stratégies de groupe d’appareils et examinez la colonne Niveau de correction . Nous vous recommandons d’utiliser l’option Complète pour corriger automatiquement les menaces.

Vous pouvez également créer ou modifier vos groupes d’appareils pour définir le niveau de correction approprié pour chaque groupe. La sélection du niveau semi-automatisation permet de déclencher l’interruption automatique des attaques sans qu’il soit nécessaire d’approuver manuellement. Pour exclure un groupe d’appareils de l’isolement automatisé, vous pouvez définir son niveau d’automatisation sur aucune réponse automatisée. Notez que ce paramètre n’est pas fortement recommandé et ne doit être effectué que pour un nombre limité d’appareils.

Configuration de la découverte d’appareils

Les paramètres de découverte d’appareil doivent être activés au minimum pour « Standard découverte ». Découvrez comment configurer la découverte d’appareils dans Configurer la découverte d’appareils.

Remarque

L’interruption des attaques peut agir sur les appareils indépendamment de l’état de fonctionnement de l’antivirus Microsoft Defender d’un appareil. L’état de fonctionnement peut être en mode Actif, Passif ou Bloc EDR.

Conditions préalables de Microsoft Defender pour Identity

Configurer l’audit dans les contrôleurs de domaine

Découvrez comment configurer l’audit dans les contrôleurs de domaine dans Configurer des stratégies d’audit pour les journaux des événements Windows afin de vous assurer que les événements d’audit requis sont configurés sur les contrôleurs de domaine où le capteur Defender pour Identity est déployé.

Valider les comptes d’action

Defender pour Identity vous permet d’effectuer des actions de correction ciblant Active Directory local comptes en cas de compromission d’une identité. Pour effectuer ces actions, Defender pour Identity doit disposer des autorisations nécessaires. Par défaut, le capteur Defender pour Identity emprunte l’identité du compte LocalSystem du contrôleur de domaine et effectue les actions. Étant donné que la valeur par défaut peut être modifiée, vérifiez que Defender pour Identity dispose des autorisations requises ou utilise le compte LocalSystem par défaut.

Vous trouverez plus d’informations sur les comptes d’action dans Configurer Microsoft Defender pour Identity comptes d’action.

Le capteur Defender pour Identity doit être déployé sur le contrôleur de domaine où le compte Active Directory doit être désactivé.

Remarque

Si vous avez mis en place une automatisation pour activer ou bloquer un utilisateur, case activée si l’automatisation peut interférer avec une interruption. Par exemple, si une automatisation est en place pour case activée et appliquer régulièrement que tous les employés actifs ont activé des comptes, cela peut activer involontairement les comptes qui ont été désactivés par une interruption d’attaque lors de la détection d’une attaque.

Microsoft Defender for Cloud Apps prérequis

connecteur Microsoft Office 365

Microsoft Defender for Cloud Apps doivent être connectés à Microsoft Office 365 via le connecteur. Pour vous connecter Defender for Cloud Apps, consultez Connecter Microsoft 365 à Microsoft Defender for Cloud Apps.

Gouvernance des applications

La gouvernance des applications doit être activée. Reportez-vous à la documentation sur la gouvernance des applications pour l’activer.

Microsoft Defender pour Office 365 prérequis

Emplacement des boîtes aux lettres

Les boîtes aux lettres doivent être hébergées dans Exchange Online.

Enregistrement d’audit dans les boîtes aux lettres

Les événements de boîte aux lettres suivants doivent être audités au minimum :

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Consultez Gérer l’audit des boîtes aux lettres pour en savoir plus sur la gestion de l’audit des boîtes aux lettres.

Étapes suivantes

Contenu connexe

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.