Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Tags
Archives
Related
Recommended
Home » Blogueurs » Jean-Sébastien DUCHENE Blog's » [MDE] Bonnes pratiques sur la personnalisation des alertes pour des faux positifs/négatifs via les exclusions, suppressions, etc.

Microsoft Defender for Endpoint est une solution de sécurité (EDR) puissante proposant des règles de sécurité et de détection sur étagère. Il se peut néanmoins que certains comportements génèrent des faux positifs et doivent être adaptés à la configuration spécifique d’un tenant. Je vous propose via cet article de faire un point sur les différentes options en place. On retrouve notamment :

  • Les règles de suppression d’alertes permettent de cacher/résoudre automatiquement des alertes afin de gérer les détections.

  • Les exclusions EDR permettent de contrôler la collection de données réalisée par MDE en offrant deux niveaux.
    1. « Low Fidelity » : MDE collecte les événements mais ne consomme pas de temps à calculer les identifiants de fichiers. Ceci engendre des événements à faible valeur qui ont une valeur d’exploitation moindre
    2. Non collecte / « Full Ignore » ignore complètement tout type d’événements (selon des règles) et ne collecte donc pas la donnée.
      Ceci est à utiliser en dernier recours puisque cela un impact sur la sécurité.

  • Les indicateurs personnalisés (Custom Indicators) offrent une capacité de contrôler les mécanismes de blocage de l’Antivirus en proposant de bloquer ou autoriser (comprendre exclure) un fichier/URL/IP.

J’ai vu trop de mauvaises configurations qui ont un impact important sur la sécurité. La compréhension de ces mécanismes est essentielle afin de ne pas impacter le comportement du produit. Ainsi, il ne faut pas utiliser les exclusions EDR dans le but de ne plus détecter un faux positif. En lieu et place, vous devez utiliser les règles de suppression d’alertes et les indicateurs personnalisés.

En espérant que mes explications rendent les mécanismes plus claires, je vous recommande de suivre la procédure décrite dans cette article : Address false positives/negatives in Microsoft Defender for Endpoint | Microsoft Learn et plus globalement cet article qui revient sur la gestion des exclusions : Manage exclusions for Microsoft Defender for Endpoint and Microsoft Defender Antivirus | Microsoft Learn

Facebook Like
2024 - MicrosoftTouch
Site indépendant de passionnés
La communauté fournit le site et le contenu "tels quels" et ne donne aucune garantie quant au site et à ses contenus.
Le contenu est l'entière propriété de l'auteur. Son plagiat vous expose à des poursuites.
Powered by VERINT