Microsoft Defender for Endpoints, Servers and Identity

Microsoft Defender for Endpoint est une plate-forme de sécurité des terminaux d'entreprise conçue pour aider les réseaux d'entreprise à prévenir, détecter, enquêter et répondre aux menaces avancées. Microsoft Defender for Servers est l'une des fonctionnalités de sécurité améliorées de Microsoft Defender for Cloud. Utilisez-le pour ajouter une détection des menaces et des défenses avancées à vos machines Windows et Linux, qu'elles s'exécutent dans Azure, sur site ou dans un environnement multi-cloud. Microsoft Defender for Identity est une solution de sécurité basée sur le cloud qui exploite vos signaux Active Directory sur site pour identifier, détecter et enquêter sur les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation.

Abonnement Microsoft Defender for Endpoint P1 - Free Public Preview (90 Days)
Microsoft Defender pour Endpoint P1 prend en charge les points de terminaison clients exécutant Windows 7*, 8.1, 10, 11, macOS, Android et iOS
Au cours de cette préversion publique, les organisations peuvent essayer gratuitement Microsoft Defender pour Endpoint P1.
La disponibilité générale est estimée plus tard cette année. Une fois généralement disponible, le Plan 1 sera proposé de deux manières :
En tant que SKU autonome sous licence par utilisateur. Les utilisateurs sous licence éligibles pourront utiliser Microsoft Defender pour Endpoint Plan 1 sur un maximum de cinq appareils simultanés.
Inclus dans le cadre de Microsoft 365 E3/A3 avec les mêmes droits par modèle d'utilisateur et par appareil que ceux indiqués ci-dessus.
Pour les clients qui disposent déjà de Microsoft 365 E3/A3, vous bénéficierez automatiquement des fonctionnalités de Microsoft Defender pour Endpoint P1 lorsqu'elles seront généralement disponibles. Vous devrez suivre quelques étapes pour activer cela – nous partagerons ces informations en détail plus près de la disponibilité générale.

Les organisations qui possèdent des licences incluant Microsoft Defender pour Endpoint P2 ne seront pas éligibles pour P1. Ces licences donnent déjà droit à la solution complète complète qu'est P2

Aujourd'hui, nous sommes ravis d'annoncer l'aperçu d'un ensemble de base de nos capacités de prévention et de protection de pointe pour les points de terminaison clients exécutant Windows, macOS, Android et iOS. Cette nouvelle solution permettra à un plus grand nombre d'équipes de sécurité à travers le monde d'acheter et d'adopter les meilleurs principes fondamentaux de Microsoft Defender for Endpoint.

Le paysage des menaces est plus complexe que jamais. Les organisations dont les ressources sont déjà limitées essaient de suivre le rythme, tout en s'assurant d'avoir une stratégie de sécurité Zero Trust qui évolue avec les menaces en constante évolution et leurs propres besoins organisationnels.

Le point de terminaison reste l'une des surfaces d'attaque les plus ciblées, car les logiciels malveillants et les ransomwares nouveaux et sophistiqués continuent d'être des menaces répandues. Alors que nous entrons dans la seconde moitié de 2021, les ransomwares en particulier continuent de persister et d'évoluer, les dommages financiers continuent d'augmenter et l'impact se fait sentir dans de nombreuses industries - non seulement dans le secteur privé mais aussi dans les infrastructures publiques.

Au cours de l'année dernière, les chercheurs en sécurité de Microsoft ont suivi une augmentation de près de 121% des organisations qui ont rencontré des ransomwares

Le niveau de sophistication de ces types d'attaques et la vitesse à laquelle elles évoluent nécessitent une approche différente de la sécurité, basée sur une technologie native du cloud, basée sur une menace profonde et une intelligence humaine, et qui peut facilement évoluer. Cela nécessite une prévention robuste qui utilise l'IA et l'apprentissage automatique pour arrêter rapidement les menaces et une solution qui permet une approche Zero Trust.

Avec Microsoft Defender pour Endpoint P1, les clients bénéficieront des fonctionnalités principales suivantes :

Antimalware leader du secteur basé sur le cloud avec une IA intégrée qui aide à arrêter les ransomwares, les logiciels malveillants connus et inconnus et d'autres menaces sur leurs traces.
Capacités de réduction de la surface d'attaque qui renforcent l'appareil, empêchent le zéro jour et offrent un contrôle granulaire sur l'accès et les comportements sur le point de terminaison.
Accès conditionnel basé sur les appareils qui offre une couche supplémentaire de protection des données et de prévention des violations et permet une approche Zero Trust.


Toutes ces fonctionnalités reposent sur la même base solide dont tous les clients Microsoft Defender for Endpoint bénéficient aujourd'hui :

Solution basée sur le cloud avec une échelle presque infinie pour répondre à vos besoins - pas de coûts informatiques supplémentaires, pas de problèmes de compatibilité, pas d'attente pour les mises à jour.
Une étendue et une profondeur inégalées de menaces intégrées et d'intelligence humaine alimentées par des modèles d'apprentissage automatique et l'IA.
Une solution unifiée offrant une visibilité inégalée sur les menaces, une corrélation et un aperçu des incidents, ainsi qu'une expérience SecOps de classe mondiale dans le cadre de Microsoft 365 Defender, notre solution XDR.
Microsoft Defender for Endpoint P1 tient sa promesse de sécurité des terminaux pour aider les organisations à arrêter rapidement les attaques, à faire évoluer leurs ressources de sécurité et à faire évoluer leurs défenses. Notre solution de sécurité des points de terminaison existante continuera d'être proposée sans modification et nommée Microsoft Defender for Endpoint Plan 2 (P2).

Le nouveau Plan 1 est un sous-ensemble des fonctionnalités qui se trouvent aujourd'hui dans Microsoft Defender for Endpoint - comme indiqué en vert dans notre graphique de capacité ci-dessous. Il offre aux organisations la sécurité de base dont elles ont besoin contre les logiciels malveillants et d'autres menaces telles que les ransomwares, et aide les organisations à démarrer leur parcours Zero Trust avec des capacités qui contrôlent l'accès et les comportements sur le point de terminaison et permettent un accès conditionnel.

Les clients qui recherchent le plan 1 sont ceux qui recherchent uniquement des fonctionnalités EPP (protection des points de terminaison). Plan 1 offre les meilleures bases en matière de prévention et de protection pour les points de terminaison clients exécutant Windows, macOS, Android et iOS. Il comprend la protection de nouvelle génération, le contrôle des appareils, le pare-feu des terminaux, la protection du réseau, le filtrage du contenu Web, les règles de réduction de la surface d'attaque, l'accès contrôlé aux dossiers, l'accès conditionnel basé sur les appareils, les API et les connecteurs. , et la possibilité d'apporter votre propre TI personnalisée. Enfin, il inclut l'accès à l'expérience de sécurité Microsoft 365 Defender pour afficher les alertes et les incidents, les tableaux de bord de sécurité, l'inventaire des appareils et effectuer des enquêtes et des actions de réponse manuelle sur les événements de protection de nouvelle génération.

Microsoft Defender for Endpoint P1 Features

Pour la solution de sécurité des terminaux la plus complète, Plan 2 est de loin la meilleure solution pour les entreprises qui ont besoin d'une solution avec une prévention et une détection avancées des menaces, des capacités d'investigation et de recherche approfondies, ainsi que des outils avancés d'investigation et de correction SecOps. Les fonctionnalités de Plan 2 préviennent davantage les failles de sécurité, réduisent le délai de résolution et minimisent la portée des attaques grâce à la gestion des vulnérabilités, la détection et la réponse des points de terminaison (EDR), la résolution automatisée, la recherche avancée, le sandboxing, les services de recherche gérés et des informations approfondies sur les menaces et analyse des dernières campagnes de logiciels malveillants et des menaces des États-nations.

Le tableau ci-dessous offre une comparaison des capacités offertes dans le plan 1 par rapport au plan 2.
Comparaison Microsoft Defender pour Endpoint P1 P2
Abonnement Microsoft Defender For Endpoint P2
L"abonnement Microsoft Defender For Endpoint fournit une plate-forme de sécurité unifiée des points de terminaison et permet aux entreprises clientes de protéger, détecter, enquêter et répondre aux attaques avancées et aux violations de données.
Il est intégré, alimenté par le cloud, applique l"intelligence artificielle pour automatiser les incidents de sécurité et exploite le Microsoft Intelligence Security Graph pour intégrer la détection et l"exploration avec d"autres services Microsoft Threat Protection *.
* certains abonnements séparés peuvent être requis
Abonnement Microsoft Defender for Endpoint Server
Microsoft Defender for Servers est l'une des fonctionnalités de sécurité améliorées de Microsoft Defender for Cloud. Utilisez-le pour ajouter une détection des menaces et des défenses avancées à vos machines Windows et Linux, qu'elles s'exécutent dans Azure, sur site ou dans un environnement multi-cloud.

Microsoft Defender for Endpoint Server est une plate-forme de sécurité unifiée des terminaux et permet aux entreprises clientes de protéger, détecter, enquêter et répondre aux attaques avancées et aux violations de données.
Il est intégré, alimenté par le cloud, applique l'intelligence artificielle pour automatiser les incidents de sécurité et exploite le Microsoft Intelligence Security Graph pour intégrer la détection et l'exploration avec d'autres services Microsoft Defender*.

Les capacités de détection et de protection des menaces fournies avec Microsoft Defender for Server incluent :

Licence intégrée pour Microsoft Defender for Endpoint
Microsoft Defender pour serveurs inclut Microsoft Defender pour Endpoint. Ensemble, ils fournissent des capacités complètes de détection et de réponse aux points de terminaison (EDR).

Lorsque Defender for Endpoint détecte une menace, il déclenche une alerte. L'alerte est affichée dans Defender for Cloud. Depuis Defender for Cloud, vous pouvez également basculer vers la console Defender for Endpoint et effectuer une enquête détaillée pour découvrir l'étendue de l'attaque.

Important
L'intégration de Defender for Cloud avec Microsoft Defender for Endpoint est activée par défaut. Ainsi, lorsque vous activez Microsoft Defender pour les serveurs, vous autorisez Defender for Cloud à accéder aux données Microsoft Defender for Endpoint relatives aux vulnérabilités, aux logiciels installés et aux alertes pour vos points de terminaison.
Nous proposons actuellement le capteur pour les machines Linux en avant-première.
En savoir plus dans Protégez vos points de terminaison avec Defender pour Solution EDR intégrée dans le cloud : Microsoft Defender for Endpoint.

Outils d'évaluation de la vulnérabilité des machines
Microsoft Defender pour serveurs comprend un choix d'outils de détection et de gestion des vulnérabilités pour vos machines. À partir des pages de paramètres de Defender for Cloud, vous pouvez sélectionner lequel de ces outils à déployer sur vos machines et les vulnérabilités découvertes seront affichées dans une recommandation de sécurité.

Gestion des menaces et des vulnérabilités Microsoft
Découvrez les vulnérabilités et les erreurs de configuration en temps réel avec Microsoft Defender for Endpoint, et sans avoir besoin d'agents supplémentaires ou d'analyses périodiques. La gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces, des détections dans votre organisation, des informations sensibles sur les appareils vulnérables et du contexte commercial
En savoir plus dans Enquêter sur les faiblesses avec Microsoft Defender pour Gestion des menaces et des vulnérabilités des terminaux.

Scanner de vulnérabilité optimisé par Qualys
Le scanner de Qualys est l'un des principaux outils d'identification en temps réel des vulnérabilités de vos machines virtuelles Azure et hybrides. Vous n'avez pas besoin d'une licence Qualys ni même d'un compte Qualys - tout est géré de manière transparente dans Defender for Cloud.
En savoir plus sur le scanner Qualys intégré de Defender for Cloud pour Azure et les machines hybrides.

Accès à la machine virtuelle (VM) juste à temps (JIT)
Les acteurs malveillants recherchent activement les machines accessibles avec des ports de gestion ouverts, comme RDP ou SSH. Toutes vos machines virtuelles sont des cibles potentielles pour une attaque. Lorsqu'une machine virtuelle est compromise avec succès, elle est utilisée comme point d'entrée pour attaquer d'autres ressources au sein de votre environnement.

Lorsque vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser l'accès VM juste à temps pour verrouiller le trafic entrant vers vos VM, réduisant ainsi l'exposition aux attaques tout en offrant un accès facile pour se connecter aux VM en cas de besoin.
Pour plus d'informations, voir Comprendre JIT Accès à la VM.

Contrôle de l'intégrité des fichiers (FIM)
La surveillance de l'intégrité des fichiers (FIM), également connue sous le nom de surveillance des modifications, examine les fichiers et les registres du système d'exploitation, des logiciels d'application et autres à la recherche de modifications susceptibles d'indiquer une attaque. Une méthode de comparaison est utilisée pour déterminer si l'état actuel du fichier est différent de la dernière analyse du fichier. Vous pouvez utiliser cette comparaison pour déterminer si des modifications valides ou suspectes ont été apportées à vos fichiers.

Lorsque vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser FIM pour valider l'intégrité des fichiers Windows, de vos registres Windows et des fichiers Linux.
Pour plus d'informations, consultez Surveillance de l'intégrité des fichiers dans Microsoft Defender pour le cloud.

Contrôles adaptatifs des applications (AAC)
Les contrôles d'application adaptatifs sont une solution intelligente et automatisée pour définir des listes d'autorisation d'applications connues comme sûres pour vos machines.

Lorsque vous avez activé et configuré les contrôles d'application adaptatifs, vous recevrez des alertes de sécurité si une application s'exécute autre que celles que vous avez définies comme sûres.
Pour plus d'informations, voir Utiliser des contrôles d'application adaptatifs pour réduire surfaces d'attaque de vos machines.

Renforcement adaptatif du réseau (ANH)
L'application de groupes de sécurité réseau (NSG) pour filtrer le trafic vers et depuis les ressources améliore la sécurité de votre réseau. Cependant, il peut encore y avoir des cas dans lesquels le trafic réel circulant à travers le NSG est un sous-ensemble des règles NSG définies. Dans ces cas, une amélioration supplémentaire de la posture de sécurité peut être obtenue en durcissant les règles NSG, sur la base des modèles de trafic réels.

Le renforcement adaptatif du réseau fournit des recommandations pour renforcer davantage les règles NSG. Il utilise un algorithme d'apprentissage automatique qui prend en compte le trafic réel, la configuration de confiance connue, les informations sur les menaces et d'autres indicateurs de compromission, puis fournit des recommandations pour autoriser le trafic uniquement à partir de tuples IP/ports spécifiques.
Pour plus d'informations, voir Améliorer la sécurité de votre réseau avec durcissement adaptatif du réseau.

Renforcement de l'hôte Docker
Microsoft Defender for Cloud identifie les conteneurs non gérés hébergés sur des machines virtuelles Linux IaaS ou d'autres machines Linux exécutant des conteneurs Docker. Defender for Cloud évalue en permanence les configurations de ces conteneurs. Il les compare ensuite avec le Docker Benchmark du Center for Internet Security (CIS). Defender for Cloud inclut l'ensemble des règles du CIS Docker Benchmark et vous alerte si vos conteneurs ne satisfont à aucun des contrôles.
Pour plus d'informations, consultez Renforcez vos hôtes Docker.

Détection d'attaque sans fichier
Les attaques sans fichier injectent des charges utiles malveillantes dans la mémoire pour éviter la détection par des techniques d'analyse basées sur le disque. La charge utile de l'attaquant persiste alors dans la mémoire des processus compromis et effectue un large éventail d'activités malveillantes.

Avec la détection des attaques sans fichier, les techniques d'analyse de mémoire automatisée identifient les kits d'outils, les techniques et les comportements d'attaque sans fichier. Cette solution analyse périodiquement votre machine au moment de l'exécution et extrait des informations directement de la mémoire des processus. Les informations spécifiques incluent l'identification de :
Boîtes à outils et logiciels d'extraction de crypto bien connus
Shellcode, qui est un petit morceau de code généralement utilisé comme charge utile dans l'exploitation d'une vulnérabilité logicielle.
Exécutable malveillant injecté dans la mémoire du processus

La détection des attaques sans fichier génère des alertes de sécurité détaillées qui incluent des descriptions avec des métadonnées de processus telles que l'activité du réseau. Ces détails accélèrent le tri des alertes, la corrélation et le temps de réponse en aval. Cette approche complète les solutions EDR basées sur les événements et offre une couverture de détection accrue.
Pour plus de détails sur les alertes de détection d'attaque sans fichier, voir le Tableau de référence des alertes.

Alertes Linux auditd et intégration de l'agent Log Analytics (Linux uniquement)
Le système auditd se compose d'un sous-système au niveau du noyau, qui est responsable de la surveillance des appels système. Il les filtre selon un ensemble de règles spécifié et écrit des messages pour eux dans un socket. Defender for Cloud intègre les fonctionnalités du package auditd dans l'agent Log Analytics. Cette intégration permet la collecte d'événements auditd dans toutes les distributions Linux prises en charge, sans aucun prérequis.

L'agent Log Analytics pour Linux collecte les enregistrements audités, les enrichit et les agrège en événements. Defender for Cloud ajoute en permanence de nouvelles analyses qui utilisent les signaux Linux pour détecter les comportements malveillants sur les machines Linux cloud et sur site. Semblables aux capacités de Windows, ces analyses couvrent les processus suspects, les tentatives de connexion douteuses, le chargement des modules du noyau et d'autres activités. Ces activités peuvent indiquer qu'une machine est attaquée ou qu'elle a été violée.
Pour une liste des alertes Linux, voir le Tableau de référence des alertes

Pour protéger les machines dans les environnements hybrides et multi-cloud, Defender for Cloud utilise Azure Arc.
Ce produit fournit MDE sur les points de terminaison du serveur et il est concédé sous licence par nœud.
*certains abonnements séparés peuvent être requis.
Abonnement Microsoft Defender for Identity
Microsoft Defender for Identity est conçu pour vous aider à protéger votre entreprise contre les attaques ciblées avancées en analysant, en apprenant et en identifiant automatiquement le comportement normal et anormal des entités (utilisateur, appareils et ressources).

Microsoft Defender for Identity (anciennement Azure Advanced Threat Protection, également connu sous le nom d"Azure ATP) est une solution de sécurité basée sur le cloud qui exploite vos signaux Active Directory sur site pour identifier, détecter et enquêter sur les menaces avancées, les identités compromises et les actions d"initiés malveillantes. dirigée vers votre organisation.

Defender for Identity permet aux analystes SecOp et aux professionnels de la sécurité qui ont du mal à détecter des attaques avancées dans des environnements hybrides de:
• Surveillez les utilisateurs, le comportement des entités et les activités avec des analyses basées sur l"apprentissage
• Protégez les identités et les informations d’identification des utilisateurs stockées dans Active Directory
• Identifier et enquêter sur les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne de destruction
• Fournir des informations claires sur les incidents sur un calendrier simple pour un triage rapide
• Surveiller et profiler le comportement et les activités des utilisateurs
• Defender for Identity surveille et analyse les activités et les informations des utilisateurs sur votre réseau, telles que les autorisations et l"appartenance à un groupe, en créant une base de référence comportementale pour chaque utilisateur. Defender for Identity identifie ensuite les anomalies grâce à une intelligence intégrée adaptative, vous donnant des informations sur les activités et événements suspects, révélant les menaces avancées, les utilisateurs compromis et les menaces internes auxquelles votre organisation est confrontée. Les capteurs propriétaires de Defender for Identity surveillent les contrôleurs de domaine de l"organisation, offrant une vue complète de toutes les activités des utilisateurs depuis chaque appareil.

Protégez les identités des utilisateurs et réduisez la surface d"attaque
• Defender for Identity vous fournit des informations précieuses sur les configurations d"identité et les meilleures pratiques de sécurité suggérées. Grâce à des rapports de sécurité et à des analyses de profil utilisateur, Defender for Identity aide à réduire considérablement la surface d"attaque de votre organisation, ce qui rend plus difficile la compromission des informations d"identification des utilisateurs et la progression d"une attaque. Les chemins de mouvement latéraux visuels de Defender for Identity vous aident à comprendre rapidement exactement comment un attaquant peut se déplacer latéralement à l"intérieur de votre organisation pour compromettre les comptes sensibles et vous aide à prévenir ces risques à l"avance. Les rapports de sécurité de Defender for Identity vous aident à identifier les utilisateurs et les appareils qui s"authentifient à l"aide de mots de passe en texte clair et fournissent des informations supplémentaires pour améliorer la posture et les politiques de sécurité de votre organisation.

Protéger AD FS dans les environnements hybrides
• Les services de fédération Active Directory (AD FS) jouent un rôle important dans l"infrastructure actuelle en matière d"authentification dans les environnements hybrides. Defender for Identity protège l"AD FS dans votre environnement en détectant les attaques locales sur l"AD FS et en offrant une visibilité sur les événements d"authentification générés par l"AD FS.

Identifier les activités suspectes et les attaques avancées tout au long de la chaîne de destruction des cyberattaques
• En règle générale, les attaques sont lancées contre toute entité accessible, telle qu"un utilisateur à faibles privilèges, puis se déplacent rapidement latéralement jusqu"à ce que l"attaquant ait accès à des actifs précieux, tels que des comptes sensibles, des administrateurs de domaine et des données hautement sensibles. Defender for Identity identifie ces menaces avancées à la source tout au long de la chaîne d"élimination des cyberattaques:

Reconnaissance
• Identifiez les utilisateurs malhonnêtes et les tentatives des attaquants pour obtenir des informations. Les attaquants recherchent des informations sur les noms d"utilisateur, l"appartenance aux groupes d"utilisateurs, les adresses IP attribuées aux périphériques, les ressources, etc., à l"aide de diverses méthodes.

Identifiants compromis
• Identifiez les tentatives de compromettre les informations d"identification des utilisateurs à l"aide d"attaques par force brute, d"échecs d"authentification, de modifications d"appartenance aux groupes d"utilisateurs et d"autres méthodes.

Mouvements latéraux
• Détectez les tentatives de déplacement latéral à l"intérieur du réseau pour obtenir un contrôle supplémentaire des utilisateurs sensibles, en utilisant des méthodes telles que Passer le ticket, Passer le hachage, Passer outre le hachage et plus encore.

Domination du domaine
• Mettre en évidence le comportement de l"attaquant si la domination du domaine est atteinte, via l"exécution de code à distance sur le contrôleur de domaine et des méthodes telles que DC Shadow, la réplication de contrôleur de domaine malveillant, les activités Go lden Ticket, etc.

Examiner les alertes et les activités des utilisateurs
• Defender for Identity est conçu pour réduire le bruit d"alerte général, en fournissant uniquement des alertes de sécurité pertinentes et importantes dans une chronologie d"attaque organisationnelle simple et en temps réel. La vue chronologique des attaques de Defender for Identity vous permet de rester facilement concentré sur ce qui compte, en tirant parti de l"intelligence des analyses intelligentes. Utilisez Defender for Identity pour enquêter rapidement sur les menaces et obtenir des informations sur l"ensemble de l"organisation pour les utilisateurs, les appareils et les ressources réseau. L"intégration transparente avec Microsoft Defender pour Endpoint offre une autre couche de sécurité améliorée grâce à une détection et une protection supplémentaires contre les menaces persistantes avancées sur le système d"exploitation.