• Note pour les visiteurs de Tutoriaux-Excalibur

    Vous trouvez Tutoriaux-Excalibur intéressant ?

    Nous espérons que vous avez trouvé les tutoriels sur Tutoriaux-Excalibur utiles et instructifs. Votre avis est très important pour nous !

    Si vous avez apprécié votre expérience, nous vous invitons à partager vos commentaires sur notre page Trustpilot.

    Cliquez ici pour partager votre expérience sur Trustpilot.

    Merci de votre soutien !

Protection 🧠 Détecter les comportements anormaux avec Microsoft Defender for Endpoint

Sylvain*

Administrateur
Membre VIP
Membre présenté
Membre
🧠 Détecter les comportements anormaux avec Microsoft Defender for Endpoint

🔦 Introduction

Microsoft Defender for Endpoint (anciennement ATP) inclut une surveillance comportementale avancée qui permet de repérer les activités suspectes en temps réel, même si elles ne sont pas encore connues comme malveillantes. Cette capacité repose sur l’analyse des événements système, l’apprentissage machine et l’intelligence cloud Microsoft pour alerter et répondre aux incidents émergents.



🔬 Prérequis

• Licence Microsoft Defender for Endpoint Plan 2

• Poste Windows 10/11 onboardé dans le portail sécurité Microsoft

• Accès au centre de sécurité Microsoft 365 Defender



🪜 Procédure

Étape #1 : Vérifier l’intégration de l’appareil dans le portail

Étape #2 : Activer les détections comportementales

Étape #3 : Accéder à la console des incidents

Étape #4 : Filtrer les alertes de type comportemental

Étape #5 : Analyser les scénarios d’attaque et y répondre



📈 Niveau de difficulté

Étape #1 : Facile

Étape #2 : Moyen

Étape #3 : Facile

Étape #4 : Moyen

Étape #5 : Difficile



👍 Les Avantages

Étape #1 : Confirme la présence de l’agent et sa communication

Étape #2 : Active les capacités avancées d’investigation

Étape #3 : Accès centralisé aux alertes

Étape #4 : Permet de concentrer l’analyse sur les anomalies comportementales

Étape #5 : Fournit des détails sur les chaînes d’attaque complètes



👎 Les Inconvénients

Étape #1 : Requiert un onboarding initial de l’appareil

Étape #2 : Nécessite une configuration réseau adaptée pour la télémétrie

Étape #3 : Dépend d’une bonne configuration du rôle d’accès

Étape #4 : Risque d’alertes non pertinentes (faux positifs)

Étape #5 : Analyse parfois complexe sans expérience en threat hunting



⚙️ Étape #1

1️⃣ Accéder au portail Microsoft 365 Defender

2️⃣ Naviguer dans Assets > Devices

3️⃣ Rechercher le nom du poste à vérifier

4️⃣ Valider la présence de l’état Onboarded



⚙️ Étape #2

1️⃣ Accéder au menu Settings > Endpoints > Advanced features

2️⃣ Activer Behavioral blocking and containment

3️⃣ Activer Live Response pour l’analyse post-infection

4️⃣ Sauvegarder les paramètres



⚙️ Étape #3

1️⃣ Aller dans Incidents & Alerts

2️⃣ Filtrer la liste selon la sévérité ou la catégorie

3️⃣ Cliquer sur un incident pour voir le détail de l’attaque

4️⃣ Accéder aux entités liées : fichiers, processus, utilisateurs



⚙️ Étape #4

1️⃣ Dans l’onglet Alerts, cliquer sur Filter

2️⃣ Sélectionner Detection source = Microsoft Defender for Endpoint

3️⃣ Cocher Behavioral detection dans le type

4️⃣ Appliquer le filtre et analyser les correspondances



⚙️ Étape #5

1️⃣ Ouvrir un incident contenant des détections comportementales

2️⃣ Analyser le graphe d’attaque généré automatiquement

3️⃣ Identifier les techniques MITRE ATT&CK associées

4️⃣ Appliquer une réponse : isolation du poste, suppression du fichier, investigation poussée



💡 Astuce

Créez des règles de suppression automatique pour certains types de détection comportementale à faible risque via
Code:
Automated Investigation & Response



🚨 Mise en garde

Un agent non onboardé ne transmettra aucune donnée à la console. Toujours vérifier son statut avant toute investigation.



🔖 Conseil

Consultez le timeline des alertes comportementales pour mieux corréler les actions suspectes entre utilisateurs et processus.



🔎 Solutions alternatives

Defender ATP behavioral detection

Microsoft 365 Defender incident graph

Live Response Defender for Endpoint



🔗 Références utiles

Support Microsoft

Microsoft Learn

Recherche GitHub



💬 Conclusion
La détection comportementale de Microsoft Defender for Endpoint permet d’identifier les attaques avancées, souvent invisibles aux antivirus classiques. Elle constitue un pilier essentiel des stratégies EDR modernes grâce à sa capacité à observer et à répondre aux signaux faibles en temps réel.
 

Campagne de dons

Dons pour T-E

Campagne de dons pour T-E
Objectif
300.00 $
Reçu
125.81 $
Cette collecte de dons se termine dans
0 heures, 0 minutes, 0 seconds
  41.9%

En ligne

Statistiques des forums

Discussions
19 005
Messages
30 370
Membres
358
Dernier inscrit
Aldo Rossi

Nouveaux membres

Anniversaires

Retour
Haut Bas