Les solutions de type Endpoint Detection and Response (EDR) comme Microsoft Defender Advanced Threat Protection (ATP), sont devenus des outils indispensables pour se protéger des tentatives d’attaques. Ces outils sont devenus une des pierres angulaires du Security Operation Center (SOC). Néanmoins, le Data Protection Officier (DPO) peut poser des questions quant aux données utilisées et envoyées au service. Il est donc primordial de savoir apporter les réponses.
Concernant les données exactes, on retrouve :
- Événements du registre
- Événements de création de fichiers
- Événements du réseau
- Événements de connexion
- Informations sur les applications installées
- Informations sur les machines
- Événements du noyau/kernel
- Événements de la mémoire
- Modifications du matériel
- Appels API du système
Parmi les actions qu’un opérateur peut éventuellement prendre, on retrouve :
- Isoler la machine (l'utilisateur est averti - pas de connexion possible à l'Internet et au réseau local)
- Limiter l'exécution des applications (seules les applications certifiées peuvent être exécutées par la suite)
- Déclencher une analyse antivirus
- Collecter un des éléments d’investigation
- Lancer une session de réponse en direct (shell de commande à distance)
Les données de Microsoft Defender ATP sont conservées pendant 180 jours maximum et peuvent être stockées aux États-Unis, au Royaume-Uni ou en Europe. L’entreprise définit la durée de stockage des données et l'emplacement des données lors de la configuration initiale.
Plus d’informations sur : Put regulation fears to rest when deploying Microsoft Defender ATP