Microsoft Defender for Endpoint garde les données renvoyées par les machines enregistrées dans Microsoft Defender for Endpoint (MDE) pour une durer de rétention définie par l’administrateur du service et ce bien que la machine ait pu être désinscrite/offboardée du service.
Le service ne permet pas de supprimer un périphérique pour des raisons de sécurité. Cela signifierait qu’un attaquant/hacker qui a réussi à rentrer sur le système d’informations pourrait effacer les traces de ses actions. Ainsi, le service ne permet pas la destruction des informations à des fins de forensic et d’investigations.
Pour autant, il y a de nombreux cas où cela peut amener à des doublons ou des enregistrements fantômes, complexifiant la gestion opérationnelle :
- Remasterisation d’une machine
- Machine mise au rebus
- Machine de rechange en attente d’attribution
- Machine de tests, etc.
Il est possible de cacher / retirer des machines de la liste d’inventaire afin de faciliter le quotidien des équipes opérationnelles. Ceci se fait via :
- La création d’une balise/tag
- L’association de cette balise/tag à toutes les machines concernées
- (Optionnel) La création d’un groupe basé sur cette balise
- Le filtrage de la vue selon la balise/tag ou le groupe.
Création d’une balise/tag et association à une machine
Pour ce faire, ouvrez le portail Microsoft 365 Defender et naviguez dans Assets – Devices. Sélectionnez une machine que vous souhaitez exclure dans la liste présente.
Une fois un des périphériques cibles sélectionnés, cliquez sur Manage tags :
Renseignez le nom de la balise précédemment créée ou qui doit être nouvellement créée pour ce besoin. Puis cliquez sur le nom associé dans la liste déroulante :
Répétez l’opération pour toutes les machines qui doivent être cachées / exclues / retirées.
(Optionnel) Création d’un groupe basé sur cette balise
Cette opération n’est pas nécessaire pour filtrer la vue d’inventaire mais peut être utile pour d’autres actions dans le produit liées à la gestion des vulnérabilités et des menaces.
Pour la création, toujours dans le portail, naviguez dans Settings – Endpoints – Permissions – Device Groups. Sélectionnez ensuite Add device group
Spécifiez ensuite :
- Le nom du groupe
- Le niveau d’automatisation choisie
- La description
Sur l’écran suivant, spécifiez la balise que vous avez créé. Vous pouvez aussi ajouter plusieurs balises si vous souhaitez créer un groupe de plusieurs balises et donc répondant à plusieurs statuts :
Note : Vous pouvez utiliser d’autres propriétés telles que le domaine ou le système d’exploitation.
Sur l’écran suivant, vous pouvez prévisualiser 10 périphériques qui répondraient à ces conditions :
Enfin, choisissez les groupes d’utilisateurs qui peuvent voir ce groupe et cliquez sur Done :
Cliquez ensuite sur Apply Modifications pour procéder à la création et au calcul des groupes.
Filtrage de la vue selon la balise/tag ou le groupe
Proposez ensuite à chaque opérateur de suivre la procédure suivante. Connectez-vous au portail Microsoft 365 Defender et naviguez dans Assets – Devices. Cliquez sur Filter. Vous avez ensuite deux solutions :
- Filtrer sur la balise
- Filtrer sur le groupe
Il vous suffit pour cela de choisir les périphériques non taggués ou taggués avec des tags spécifiques que vous utiliseriez :
La vue est ensuite filtrée selon vos attentes :