Comprendre et utiliser les fonctionnalités de réduction de la surface d’attaque
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Antivirus Microsoft Defender
Plateformes
- Windows
Conseil
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Les surfaces d’attaque sont tous les endroits où votre organization est vulnérable aux cybermenaces et aux attaques. Defender pour point de terminaison inclut plusieurs fonctionnalités permettant de réduire vos surfaces d’attaque. Regardez la vidéo suivante pour en savoir plus sur la réduction de la surface d’attaque.
Configurer les fonctionnalités de la réduction de la surface d’attaque
Pour configurer la réduction de la surface d’attaque dans votre environnement, procédez comme suit :
Activez le contrôle d’application.
Passez en revue les stratégies de base dans Windows. Consultez les exemples de stratégies de base.
Consultez le guide de conception du contrôle d’application Windows Defender.
Reportez-vous à Déploiement de stratégies WDAC (Windows Defender Application Control).
Activez le contrôle d’appareil.
Activer la protection web.
Configurez votre pare-feu réseau.
Obtenez une vue d’ensemble du Pare-feu Windows avec sécurité avancée.
Utilisez le guide de conception du Pare-feu Windows pour décider de la façon dont vous souhaitez concevoir vos stratégies de pare-feu.
Utilisez le guide de déploiement du Pare-feu Windows pour configurer le pare-feu de votre organization avec une sécurité avancée.
Conseil
Dans la plupart des cas, lorsque vous configurez les fonctionnalités de réduction de la surface d’attaque, vous pouvez choisir parmi plusieurs méthodes :
- Microsoft Intune
- Microsoft Configuration Manager
- Stratégie de groupe
- Cmdlets PowerShell
Réduction de la surface d’attaque de test dans Microsoft Defender pour point de terminaison
Dans le cadre de l’équipe de sécurité de votre organization, vous pouvez configurer les fonctionnalités de réduction de la surface d’attaque pour qu’elles s’exécutent en mode audit pour voir comment elles fonctionnent. Vous pouvez activer les fonctionnalités de sécurité de réduction de la surface d’attaque suivantes en mode audit :
- Règles de réduction des surfaces d'attaque
- Exploit Protection
- Protection réseau
- Accès contrôlé aux dossiers
- Contrôle des appareils
Le mode Audit vous permet de voir un enregistrement de ce qui se serait passé si la fonctionnalité avait été activée.
Vous pouvez activer le mode audit lors du test du fonctionnement des fonctionnalités. L’activation du mode audit uniquement pour les tests permet d’empêcher le mode audit d’affecter vos applications métier. Vous pouvez également avoir une idée du nombre de tentatives de modification de fichier suspectes sur une certaine période.
Les fonctionnalités ne bloquent pas ou n’empêchent pas les applications, les scripts ou les fichiers d’être modifiés. Toutefois, le journal des événements Windows enregistre les événements comme si les fonctionnalités étaient entièrement activées. Avec le mode audit, vous pouvez consulter le journal des événements pour voir l’effet que la fonctionnalité aurait eu si elle avait été activée.
Pour trouver les entrées auditées, accédez à Applications et services>Microsoft>Windows>Windows Defender>Operational.
Utilisez Defender pour point de terminaison pour obtenir plus de détails sur chaque événement. Ces détails sont particulièrement utiles pour examiner les règles de réduction de la surface d’attaque. L’utilisation de la console Defender pour point de terminaison vous permet d’examiner les problèmes dans le cadre des scénarios de chronologie et d’investigation des alertes.
Vous pouvez activer le mode audit à l’aide de stratégie de groupe, De PowerShell et de fournisseurs de services de configuration (CSP).
Options d’audit | Comment activer le mode d’audit | Comment afficher les événements |
---|---|---|
L’audit s’applique à tous les événements | Activer l’accès contrôlé aux dossiers | Événements d’accès contrôlé aux dossiers |
L’audit s’applique à des règles individuelles | Étape 1 : Tester les règles de réduction de la surface d’attaque à l’aide du mode Audit | Étape 2 : Comprendre la page de création de rapports sur les règles de réduction de la surface d’attaque |
L’audit s’applique à tous les événements | Activer la protection réseau | Événements de protection réseau |
L’audit s’applique aux atténuations individuelles | Activer la protection la protection contre les codes malveillants exploitant une faille de sécurité | Événements Exploit Protection |
Par exemple, vous pouvez tester les règles de réduction de la surface d’attaque en mode audit avant de les activer en mode bloc. Les règles de réduction de la surface d’attaque sont prédéfinies pour renforcer les surfaces d’attaque courantes et connues. Il existe plusieurs méthodes que vous pouvez utiliser pour implémenter des règles de réduction de la surface d’attaque. La méthode préférée est documentée dans les articles suivants sur le déploiement des règles de réduction de la surface d’attaque :
- Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
- Planifier le déploiement des règles de réduction de la surface d’attaque
- Règles de réduction de la surface d’attaque de test
- Activer les règles de réduction de la surface d’attaque
- Opérationnaliser les règles de réduction de la surface d’attaque
Afficher les événements de la réduction de la surface d’attaque
Passez en revue les événements de réduction de la surface d’attaque dans observateur d'événements pour surveiller les règles ou paramètres qui fonctionnent. Vous pouvez également déterminer si des paramètres sont trop « bruyants » ou impactent votre flux de travail quotidien.
L’examen des événements est pratique lorsque vous évaluez les fonctionnalités. Vous pouvez activer le mode d’audit pour les fonctionnalités ou les paramètres, puis passer en revue ce qui se serait passé s’ils avaient été entièrement activés.
Cette section répertorie tous les événements, leur fonctionnalité ou paramètre associé, et explique comment créer des vues personnalisées pour filtrer sur des événements spécifiques.
Obtenez des rapports détaillés sur les événements, les blocs et les avertissements dans le cadre de Sécurité Windows si vous avez un abonnement E5 et utilisez Microsoft Defender pour point de terminaison.
Utiliser des vues personnalisées pour passer en revue les fonctionnalités de réduction de la surface d’attaque
Créez des vues personnalisées dans le observateur d'événements Windows pour voir uniquement les événements pour des fonctionnalités et des paramètres spécifiques. Le moyen le plus simple consiste à importer une vue personnalisée en tant que fichier XML. Vous pouvez copier le code XML directement à partir de cette page.
Vous pouvez également accéder manuellement à la zone d’événements qui correspond à la fonctionnalité.
Importer une vue personnalisée XML existante
Créez un fichier .txt vide et copiez le code XML de la vue personnalisée que vous souhaitez utiliser dans le fichier .txt. Effectuez cette opération pour chacune des vues personnalisées que vous souhaitez utiliser. Renommez les fichiers comme suit (veillez à modifier le type de .txt en .xml) :
- Vue personnalisée des événements d’accès contrôlé aux dossiers : cfa-events.xml
- Vue personnalisée des événements Exploit Protection : ep-events.xml
- Vue personnalisée des événements de réduction de la surface d’attaque : asr-events.xml
- Affichage personnalisé des événements de protection/réseau : np-events.xml
Tapez observateur d’événements dans le menu Démarrer et ouvrez observateur d'événements.
Sélectionnez Action>Importer la vue personnalisée...
Accédez à l’emplacement où vous avez extrait le fichier XML pour la vue personnalisée souhaitée, puis sélectionnez-le.
Sélectionnez Ouvrir.
Il crée une vue personnalisée qui filtre pour afficher uniquement les événements liés à cette fonctionnalité.
Copier le code XML directement
Tapez observateur d’événements dans le menu Démarrer et ouvrez le observateur d'événements Windows.
Dans le volet gauche, sous Actions, sélectionnez Créer un affichage personnalisé...
Accédez à l’onglet XML et sélectionnez Modifier la requête manuellement. Vous voyez un avertissement indiquant que vous ne pouvez pas modifier la requête à l’aide de l’onglet Filtre si vous utilisez l’option XML. Sélectionnez Oui.
Collez le code XML de la fonctionnalité à partir de laquelle vous souhaitez filtrer les événements dans la section XML.
Sélectionnez OK. Spécifiez un nom pour votre filtre. Cette action crée une vue personnalisée qui filtre pour afficher uniquement les événements liés à cette fonctionnalité.
XML pour les événements de règle de réduction de la surface d’attaque
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pour les événements d’accès contrôlé aux dossiers
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pour les événements exploit protection
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML pour les événements de protection réseau
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Liste des événements de réduction de la surface d’attaque
Tous les événements de réduction de la surface d’attaque se trouvent sous Journaux > des applications et des services Microsoft > Windows , puis le dossier ou le fournisseur répertorié dans le tableau suivant.
Vous pouvez accéder à ces événements dans l’Observateur d’événements Windows :
Ouvrez le menu Démarrer et tapez Observateur d’événements, puis sélectionnez le résultat observateur d'événements.
Développez Journaux > des applications et des services Microsoft > Windows , puis accédez au dossier répertorié sous Fournisseur/source dans le tableau ci-dessous.
Double-cliquez sur le sous-élément pour afficher les événements. Faites défiler les événements pour trouver celui que vous recherchez.
Fonctionnalité | Fournisseur/source | ID d’événement | Description |
---|---|---|---|
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 1 | Audit ACG |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 2 | Forcer ACG |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 3 | Ne pas autoriser l’audit des processus enfants |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 4 | Ne pas autoriser le blocage des processus enfants |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 5 | Bloquer l’audit des images à faible intégrité |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 6 | Bloquer le blocage des images à faible intégrité |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 7 | Bloquer l’audit des images distantes |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 8 | Bloquer le blocage des images distantes |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 9 | Désactiver l’audit des appels système win32k |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 10 | Désactiver le blocage des appels système win32k |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 11 | Audit de la protection d’intégrité du code |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 12 | Blocage de la protection d’intégrité du code |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 13 | Audit EAF |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 14 | Forcer EAF |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 15 | Audit EAF+ |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 16 | Forcer EAF+ |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 17 | Audit IAF |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 18 | Forcer IAF |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 19 | Audit de StackPivot ROP |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 20 | Forcer StackPivot ROP |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 21 | Audit de CallerCheck ROP |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 22 | Forcer CallerCheck ROP |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 23 | Audit de SimExec ROP |
Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 24 | Forcer SimExec ROP |
Exploit Protection | WER-Diagnostics | 5 | Bloquer CFG |
Exploit Protection | Win32K (opérationnel) | 260 | Police non approuvée |
Protection réseau | Windows Defender (opérationnel) | 5007 | Événement lorsque les paramètres sont modifiés |
Protection réseau | Windows Defender (opérationnel) | 1125 | Événement lorsque la protection du réseau se déclenche en mode Audit |
Protection réseau | Windows Defender (opérationnel) | 1126 | Événement lorsque la protection du réseau se déclenche en mode Bloc |
Accès contrôlé aux dossiers | Windows Defender (opérationnel) | 5007 | Événement lorsque les paramètres sont modifiés |
Accès contrôlé aux dossiers | Windows Defender (opérationnel) | 1124 | Événement audité d’accès contrôlé aux dossiers |
Accès contrôlé aux dossiers | Windows Defender (opérationnel) | 1123 | Événement d’accès contrôlé aux dossiers bloqué |
Accès contrôlé aux dossiers | Windows Defender (opérationnel) | 1127 | Événement de blocage de bloc d’écriture du secteur d’accès contrôlé aux dossiers |
Accès contrôlé aux dossiers | Windows Defender (opérationnel) | 1128 | Audited Controlled folder access sector write block event |
Réduction de la surface d'attaque | Windows Defender (opérationnel) | 5007 | Événement lorsque les paramètres sont modifiés |
Réduction de la surface d'attaque | Windows Defender (opérationnel) | 1122 | Événement lorsque la règle se déclenche en mode Audit |
Réduction de la surface d'attaque | Windows Defender (opérationnel) | 1121 | Événement lorsque la règle se déclenche en mode Bloc |
Remarque
Du point de vue de l’utilisateur, les notifications de réduction de la surface d’attaque en mode Avertissement sont effectuées sous la forme d’une notification Toast Windows pour les règles de réduction de la surface d’attaque.
Dans la réduction de la surface d’attaque, la protection réseau fournit uniquement les modes Audit et Bloc.
Ressources pour en savoir plus sur la réduction de la surface d’attaque
Comme mentionné dans la vidéo, Defender pour point de terminaison inclut plusieurs fonctionnalités de réduction de la surface d’attaque. Utilisez les ressources suivantes pour en savoir plus :
Article | Description |
---|---|
Contrôle d’application | Utilisez le contrôle d’application afin que vos applications doivent gagner la confiance pour s’exécuter. |
Informations de référence sur les règles de réduction de la surface d’attaque | Fournit des détails sur chaque règle de réduction de la surface d’attaque. |
Guide de déploiement des règles de réduction de la surface d’attaque | Présente des informations générales et des prérequis pour le déploiement de règles de réduction de la surface d’attaque, suivis d’instructions pas à pas pour le test (mode audit), l’activation (mode bloc) et la surveillance. |
Accès contrôlé aux dossiers | Empêchez les applications malveillantes ou suspectes (y compris les logiciels malveillants ransomware de chiffrement de fichiers) d’apporter des modifications aux fichiers de vos dossiers système clés (Nécessite Microsoft Defender Antivirus). |
Contrôle des appareils | Protège contre la perte de données en surveillant et en contrôlant les médias utilisés sur les appareils, tels que le stockage amovible et les lecteurs USB, dans votre organization. |
Exploit Protection | Protégez les systèmes d’exploitation et les applications que votre organization utilise contre l’exploitation. Exploit Protection fonctionne également avec des solutions antivirus tierces. |
Isolation basée sur le matériel | Protégez et maintenez l’intégrité d’un système au démarrage et pendant son exécution. Validez l’intégrité du système par le biais d’une attestation locale et distante. Utilisez l’isolation de conteneur pour Microsoft Edge afin de vous protéger contre les sites web malveillants. |
Protection du réseau | Étendez la protection au trafic réseau et à la connectivité sur les appareils de votre organisation. (Nécessite l’antivirus Microsoft Defender). |
Règles de réduction de la surface d’attaque de test | Fournit des étapes pour utiliser le mode d’audit pour tester les règles de réduction de la surface d’attaque. |
Protection web | La protection web vous permet de sécuriser vos appareils contre les menaces web et de réglementer le contenu indésirable. |
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.