Comment activer et configurer Microsoft Defender pour Endpoint à partir de zéro

Comment activer et configurer Microsoft Defender pour Endpoint à partir de zéro

01/01/2024

Cet article technique et pédagogique vise à fournir un guide pratique et détaillé sur la façon d'activer et de configurer Microsoft Defender for Endpoint (MDE) à partir de zéro. MDE est une plate-forme unifiée de sécurité des points finaux pour la protection préventive, la détection post-violation, l'enquête et la réponse automatisées. Il s'agit d'un outil essentiel pour les analystes de sécurité, les administrateurs informatiques et les ingénieurs système qui cherchent à renforcer la sécurité de leurs environnements Microsoft.

Présentation

Le paysage des cybermenaces est en constante évolution, les attaques étant de plus en plus sophistiquées et ciblées. La protection des points finaux (ordinateurs, serveurs, appareils mobiles) est une priorité absolue pour toute organisation. Microsoft Defender for Endpoint (MDE) offre une solution robuste qui va au-delà de l'antivirus traditionnel en fournissant des fonctionnalités avancées de détection et de réponse des points de terminaison (EDR), de gestion des vulnérabilités et des menaces, de réduction de la surface d'attaque, de protection de nouvelle génération et de fonctionnalités automatisées d'enquête et de correction [1].

Ce guide couvrira les étapes fondamentales de la mise en œuvre de MDE, des prérequis initiaux à la configuration des ressources essentielles, à la validation et aux meilleures pratiques. Notre objectif est 100 % pratique, avec des instructions étape par étape, des exemples de commandes et des descriptions afin que le lecteur puisse reproduire le processus dans son propre environnement et valider les résultats.

Pourquoi Microsoft Defender pour point de terminaison ?

MDE s'intègre nativement à d'autres solutions de sécurité Microsoft telles que Microsoft 365 Defender, Azure Active Directory (maintenant Microsoft Entra ID), Microsoft Intune et Microsoft Sentinel, créant ainsi une structure de sécurité cohérente. Ses principaux avantages comprennent :

  • Protection complète : Détectez et bloquez les logiciels malveillants, les ransomwares et les attaques sans fichier.
  • Visibilité approfondie : surveillance continue de l'activité des points finaux pour identifier les comportements suspects.
  • Réponse rapide : outils automatisés d'enquête et de remédiation pour contenir rapidement les menaces.
  • Posture Management : Évaluation des vulnérabilités et recommandations pour améliorer l'hygiène de sécurité.

Prérequis

Avant de commencer à configurer Microsoft Defender pour Endpoint, assurez-vous que les conditions préalables suivantes sont remplies :

  1. Licence : une licence valide pour Microsoft Defender for Endpoint. Cela peut faire partie de packages tels que Microsoft 365 E5, Microsoft 365 E3 (avec module complémentaire de sécurité), Windows E5 ou de licences autonomes [2].
  2. Accès administratif : comptes avec les autorisations d'administrateur général ou d'administrateur de sécurité dans le portail Microsoft 365 Defender (security.microsoft.com).
  3. Connectivité réseau : les points de terminaison doivent avoir un accès Internet pour communiquer avec les services cloud MDE. Assurez-vous que les URL et les ports requis sont autorisés sur les pare-feu et les proxys [3].
  4. Systèmes d'exploitation pris en charge : MDE prend en charge une large gamme de systèmes d'exploitation, notamment :
    • Windows 10/11 Entreprise, Professionnel, Éducation
    • Windows Serveur (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (versions récentes)
    • Linux (diverses distributions) *Android et iOS (via Microsoft Intune)
  5. Microsoft Intune (facultatif, mais recommandé) : pour une gestion centralisée et l'intégration d'appareils à grande échelle, l'intégration avec Microsoft Intune est fortement recommandée.

Étape par étape : Activation et configuration initiale

1. Activez Microsoft Defender pour le point de terminaison

La première étape consiste à activer le service dans votre locataire. Cela se fait généralement automatiquement lors de l'achat de la licence, mais il est crucial de vérifier et de garantir que le service est fourni.

  1. Accédez au portail Microsoft 365 Defender : « https://security.microsoft.com ».
  2. Dans le volet de navigation de gauche, accédez à Paramètres (l'icône d'engrenage) > Points de terminaison.
  3. Vérifiez l'état du service. S'il n'est pas actif, suivez les instructions pour démarrer le processus de provisionnement. Vous devrez peut-être accepter les conditions d'utilisation.

2. Paramètres généraux et fonctionnalités avancées

Après l'activation, il est important d'examiner et de configurer les fonctionnalités avancées qui améliorent les capacités de détection et de réponse de MDE.

  1. Dans le portail Microsoft 365 Defender, sous Paramètres > Points de terminaison, ssélectionnez Fonctionnalités avancées.
  2. Activez les fonctionnalités suivantes (si elles ne sont pas déjà activées) pour maximiser la protection :
    • Autoriser l'analyse d'échantillons : permet à MDE de collecter des échantillons de fichiers suspects pour analyse. Choisissez entre « Automatique » ou « Sécurisé ».
    • Détection EDR en mode blocage : permet à MDE de bloquer les artefacts malveillants détectés par EDR, même si l'antivirus de nouvelle génération est en mode passif.
    • Aperçu des ressources : active l'accès aux ressources qui sont encore en phase d'aperçu. Recommandé pour les environnements de test.
    • Intégration avec Microsoft Intune : essentiel pour la gestion des appareils et des politiques de sécurité.
    • Intégration avec Microsoft Cloud App Security : étend la visibilité et le contrôle aux applications cloud.
    • Intégration avec Azure Information Protection : permet la protection des données sensibles.
    • Accès au contexte des fichiers pour une analyse automatisée : améliore la capacité d'investigation automatisée.

3. Intégration des appareils

Le processus d'intégration connecte les appareils au service MDE, leur permettant d'envoyer des données de sécurité et de recevoir des politiques. Il existe plusieurs façons de procéder à l'intégration, en fonction de la taille et de l'infrastructure de votre organisation.

Option A : intégration manuelle (pour quelques appareils)

  1. Dans le portail Microsoft 365 Defender, accédez à Paramètres > Points de terminaison > Gestion des appareils > Intégration.
  2. Sélectionnez le système d'exploitation de l'appareil que vous souhaitez intégrer (ex : Windows 10 et 11).
  3. Choisissez la méthode de déploiement. Pour une intégration manuelle, sélectionnez Script local.
  4. Téléchargez le package d'intégration (un fichier .zip contenant un script PowerShell).
  5. Copiez le script sur le périphérique cible et exécutez-le avec les privilèges d'administrateur.
# Exemple d'exécution du script d'intégration
# Assurez-vous que le fichier WindowsDefenderATPLocalScript.cmd se trouve dans le répertoire actuel
.\WindowsDefenderATPLocalScript.cmd

Option B : intégration via Microsoft Intune (à grande échelle)

Il s'agit de la méthode la plus recommandée pour les environnements d'entreprise, car elle vous permet d'automatiser l'intégration et de gérer les politiques de sécurité.

  1. Vérifiez la connexion MDE-Intune : dans le portail Microsoft 365 Defender, sous Paramètres > Points de terminaison > Fonctionnalités avancées, assurez-vous que Intégration Microsoft Intune est activé.
  2. Accédez au portail Microsoft Intune (centre d'administration Microsoft Endpoint Manager) : https://endpoint.microsoft.com.
  3. Dans le volet de navigation de gauche, accédez à Endpoint Security > Microsoft Defender for Endpoint.
  4. Vérifiez l'État de la connexion. Il devrait apparaître comme « Activé ». Sinon, configurez la connexion comme indiqué à l'écran.
  5. Créez une stratégie de configuration des appareils pour l'intégration : dans Intune, accédez à Endpoint Security > Intégration des appareils.
  6. Cliquez sur Créer un profil.
  7. Sélectionnez Windows 10 et versions ultérieures pour Plateforme et Microsoft Defender pour Endpoint pour Profil.
  8. Donnez un nom et une description à la stratégie.
  9. Dans les paramètres, le type d'intégration doit être automatiquement configuré par Intune en raison de l'intégration.
  10. Attribuez la stratégie aux groupes de périphériques souhaités.

4. Configuration des politiques de sécurité (exemple : réduction de la surface d'attaque)

Après l'intégration, il est crucial de configurer des politiques pour protéger les points finaux. Nous utiliserons les règles de réduction de la surface d'attaque (ASR) comme exemple.

  1. Dans le portail Microsoft 365 Defender, accédez à Paramètres > Points de terminaison > Réduction de la surface d'attaque.
  2. Sélectionnez Règles de réduction de la surface d'attaque.
  3. Vous pouvez configurer des règles spécifiques pour bloquer les comportements malveillants. Par exemple, activez la règle Bloquer le vol d'informations d'identification du sous-système de l'autorité de sécurité locale Windows pour protéger les informations d'identification.
  4. Définissez le mode de règle sur Audit (pour surveiller l'impact avant le blocage) ou Block (pour appliquer la protection immédiatement).

Validation et tests

La validation de la configuration est une étape critique pour garantir le bon fonctionnement de MDE et la protection de vos points de terminaison.

1. Vérifiez l'état du capteur sur le point de terminaison

Sur l'appareil intégré, vous pouvez vérifier l'état du service MDE.

  1. OuvrirInvite de commandes ou PowerShell en tant qu'administrateur.
  2. Exécutez la commande suivante pour vérifier l'état du service « Sense » (le capteur MDE) :
sc requête Sens
  • Résultat attendu : Le statut doit être « RUNNING ».

2. Vérifiez l'état d'intégration sur le portail

  1. Dans le portail Microsoft 365 Defender, accédez à Actifs > Périphériques.
  2. Recherchez le nom de l'appareil que vous avez intégré. Il doit apparaître dans la liste avec le statut « Actif » ainsi qu'un niveau de risque et d'exposition.
  3. Cliquez sur l'appareil pour afficher les détails, notamment les alertes, la chronologie et l'état de conformité.

3. Test de détection EDR (fichier de test EICAR)

Pour tester la capacité de détection sans causer de réels dommages, vous pouvez utiliser le fichier de test EICAR. Le MDE devrait le détecter et générer une alerte.

  1. Sur un appareil intégré, ouvrez un navigateur et accédez à « https://www.eicar.org/download/eicar.com.txt ».
  2. Essayez de télécharger ou de copier le contenu du fichier EICAR sur votre appareil.
  3. Le MDE doit bloquer l'action et générer une alerte. Consultez le portail Microsoft 365 Defender sous Incidents et alertes > Alertes pour voir l'alerte générée.

Conseils de sécurité et bonnes pratiques

  • Garder MDE à jour : assurez-vous que les agents de sécurité et les définitions MDE sont toujours à jour. Microsoft publie continuellement des mises à jour pour améliorer la protection.
  • Intégrez-vous à d'autres solutions : tirez parti de l'intégration MDE avec Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection et Microsoft Cloud App Security pour une vue unifiée et une protection en couches.
  • Surveiller activement : examinez régulièrement les alertes et les incidents dans le portail Microsoft 365 Defender. Configurez les notifications par e-mail pour les alertes critiques.
  • Utiliser le mode audit pour l'ASR : lors de la mise en œuvre de nouvelles règles de réduction de la surface d'attaque, démarrez en mode audit pour comprendre l'impact et éviter les pannes avant d'appliquer le mode de blocage.
  • Segmentez le réseau : mettez en œuvre la segmentation du réseau pour limiter la propagation latérale des attaques, même si un point de terminaison est compromis.
  • Former les utilisateurs : la sensibilisation des utilisateurs est une ligne de défense cruciale. Sensibiliser les employés aux bonnes pratiques en matière de cybersécurité.

Dépannage courant

  • L'appareil n'apparaît pas dans le portail : vérifiez la connectivité réseau, l'état du service « Sense » sur le point de terminaison et si le script d'intégration s'est exécuté correctement. Dans les environnements avec Intune, vérifiez l’état de la connexion Intune-MDE.
  • Alertes manquantes : assurez-vous que les fonctionnalités de détection avancées sont activées. Recherchez les exclusions antivirus susceptibles d’empêcher la détection.
  • Problèmes de performances : MDE est optimisé pour un faible impact sur les performances, mais dans de rares cas, des conflits avec d'autres logiciels de sécurité peuvent survenir. Consultez les directives de compatibilité de Microsoft.
  • Échec du script d'intégration : vérifiez les journaux d'événements système sur le point de terminaison pour les messages d'erreur. Assurez-vous que le script a été exécuté avec les privilèges d'administrateur.

Conclusion

Microsoft Defender for Endpoint est un outil puissant et essentiel pour une défense moderne contre les cybermenaces. En suivant ce guide, vous serez en mesure d'activer, de configurer et de valider MDE dans votre environnement, établissant ainsi une base solide pour la sécurité de vos points de terminaison. N'oubliez pas que la sécurité est un processus continu qui nécessite une surveillance, des ajustements et des mises à jour constantes. La mise en œuvre efficace de MDE constitue une étape importante vers la protection de votre organisation contre un paysage de menaces en constante évolution.

Références :

[1] Microsoft Apprendre. Microsoft Defender pour point de terminaison. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft Apprendre. Exigences minimales pour Microsoft Defender for Endpoint. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft Apprendre. Configurer l'environnement réseau pour Microsoft Defender for Endpointt. Disponible sur : https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''