Microsoft Defender for Endpoint (anciennement Windows Defender ATP)

Qu'est-ce que Microsoft Defender for Endpoint ?

Microsoft Defender for Endpoint - anciennement Microsoft Defender Advanced Threat Protection ou Windows Defender ATP - est une plateforme de sécurité pour les terminaux conçue pour aider les entreprises à prévenir, détecter et répondre aux menaces de sécurité.

Defender for Endpoint peut aider une organisation à répondre aux menaces potentielles, telles que les logiciels malveillants (malware) ou les ransomwares, à l'aide d'outils intégrés à Windows 10 et aux services Azure. Ces outils offrent des fonctions automatisées d'investigation, de détection préventive et de réponse à la violation de la sécurité.

Defender for Endpoint était auparavant connu sous le nom de Microsoft Defender Advanced Threat Protection, mais a été rebaptisé en 2019 en même temps que d'autres produits sous la marque Defender.

Caractéristiques et capacités

Microsoft Defender for Endpoint offre les fonctionnalités et capacités de sécurité suivantes :

• Gestion des menaces et des vulnérabilités. Un inventaire des logiciels est réalisé en temps réel sur les postes de travail. Ces informations sont utilisées pour détecter, hiérarchiser et atténuer les failles de sécurité liées aux applications installées et aux correctifs manquants.
• Réduction de la surface d'attaque. La surface d'attaque globale d'un système est réduite grâce à l'isolation du matériel et au contrôle des applications. Les données d'audit des applications sont contrôlées et des exclusions sont ajoutées pour les applications nécessaires. Des règles de réduction de la surface d'attaque sont également utilisées.
• Protection de nouvelle génération. Defender for Endpoint effectue des analyses en continu pour détecter et bloquer les menaces. Cette fonction utilise Microsoft Defender Antivirus, ainsi qu'une protection antivirus basée sur le comportement et une protection fournie dans le nuage.
• Détection et réponse au niveau des points d'accès. Defender for Endpoint regroupe les attaques connexes en incidents. Ce type d'agrégation aide les professionnels de la sécurité à établir des priorités, à enquêter et à répondre aux menaces.
• Investigation et remédiation automatisées. S'ils ne sont pas contrôlés, les points d'extrémité du réseau peuvent générer un nombre écrasant d'alertes de sécurité. La fonction d'investigation automatisée examine et résout les alertes, ce qui permet aux professionnels de la sécurité de se concentrer sur d'autres tâches.
• Score de sécurité. Defender for Endpoint utilise un score de sécurité pour évaluer la configuration de sécurité actuelle. Ce score est basé sur des catégories telles que l'application, le système d'exploitation, le réseau, les comptes et les contrôles de sécurité.
• Endpoint Attack. Anciennement Microsoft Threat Experts -- Targeted Attack Notification, Endpoint Attack est un service de chasse géré qui détecte et hiérarchise les attaques, y compris les attaques par keylogger ou les cyberattaques.
• Gestion et API. Une collection d'API permet d'intégrer Defender for Endpoint dans le flux de travail d'une organisation.
• Données partagées. Defender for Endpoint partage des données avec d'autres produits Microsoft, notamment Azure Active Directory Identity Protection, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender for Identity.
• Capteurs comportementaux des points d'extrémité. Ces capteurs collectent et traitent les comportements de Windows 10.
• Prise en charge des plateformes. Defender for Endpoint offre des services de sécurité pour les systèmes d'exploitation Windows, Linux, macOS, iOS et Android.

Defender pour les plans Endpoint

Windows Defender for Endpoint propose deux plans principaux : Plan 1 (P1) et Plan 2 (P2). P1 est une version de base et P2 offre tout ce que P1 offre mais ajoute plusieurs fonctionnalités.

P1 offre les caractéristiques suivantes :

• API, connecteur de gestion des informations et des événements de sécurité.
• Contrôle de l'application.
• Accès contrôlé aux dossiers.
• Accès conditionnel basé sur l'appareil.
• Contrôle des dispositifs tels que l'USB.
• Pare-feu de point de terminaison.
• Protection du réseau.
• Antimalware de nouvelle génération.
• Outils de sécurité unifiés avec gestion centralisée.
• Contrôle du Web et blocage d'URL par catégorie.

P2 comprend toutes les caractéristiques mentionnées précédemment, ainsi que les éléments suivants :

• Investigation et remédiation automatisées.
• Capacités de gestion des vulnérabilités de Defender.
• Détection des points finaux et réponse.
• Bac à sable.
• Renseignements sur les menaces grâce à l'analyse.

Defender for Endpoint propose également une version autonome de Defender for Business. Cette version comprend des fonctions de gestion des menaces et des vulnérabilités, de réduction de la surface d'attaque, de détection et de réponse des points d'extrémité, ainsi que d'investigation et de réponse automatisées. Toutefois, ses fonctions de filtrage du contenu web et de prise en charge multiplateforme sont limitées.

Microsoft Defender for Business est disponible sous forme d'abonnement utilisateur autonome pour les petites et moyennes entreprises ou dans le cadre de Microsoft 365 Business Premium.

Microsoft Defender for Endpoint P1 est disponible sous forme de licence d'abonnement autonome pour les clients commerciaux et éducatifs. Il est également inclus dans certains plans Microsoft 365.

Microsoft Defender for Endpoint P2 est également disponible sous forme de licence autonome ou dans le cadre de certaines versions de Windows 10 et 11 Enterprise et de certaines versions de Microsoft 365.

Microsoft propose une version d'essai gratuite des versions P1 et P2 de Microsoft Defender for Endpoint.

Intégrations supplémentaires

Windows Defender for Endpoint peut être intégré à d'autres logiciels Microsoft, notamment les suivants :

• Azure Information Protection.
• Accès conditionnel.
• Microsoft Intune.
• Microsoft Defender for Cloud.
• Microsoft Defender pour les applications cloud.
• Microsoft Defender pour l'identité.
• Microsoft Defender pour Office.
• Microsoft Sentinel.
• Skype pour les entreprises.

Forces et faiblesses

L'un des principaux atouts de Microsoft Defender for Endpoint est sa liste de fonctionnalités. Il peut également créer une chronologie graphique des attaques à l'aide des données relatives à une attaque donnée. L'outil est également compatible avec d'autres systèmes d'exploitation, notamment Windows, Linux, macOS, iOS et Android.

Mais la mise en œuvre de Defender for Endpoint par Microsoft présente également quelques faiblesses. Par exemple, le produit désactive automatiquement les autres logiciels antimalware et les logiciels de détection et de réponse présents sur un terminal. Cela signifie qu'en fonction de la configuration, l'installation de Defender for Endpoint peut affaiblir la posture de sécurité d'une organisation qui a déjà installé des outils de sécurité.

En dehors des environnements Windows, Defender for Endpoint peut être difficile à déployer, notamment sur les anciens appareils macOS. De même, les systèmes Linux peuvent présenter une utilisation élevée de la mémoire pour les agents des points finaux.

Les cybercriminels disposent de plusieurs moyens pour diffuser des logiciels malveillants. Découvrez comment les fichiers d'archive aux formats ZIP et RAR sont devenus le moyen le plus populaire de distribuer des logiciels malveillants sur les machines des utilisateurs finaux.