Les solution XDR (Extended Detection and Response (détection et réponse étendues) de Microsoft sont nombreuses.
On peut citer les nombreuses versions de Defender :
Microsoft Defender for Endpoint Plan 1
Microsoft Defender for Endpoint Plan 2
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint on Mac
Microsoft Defender for Endpoint on iOS
Microsoft Defender for Endpoint on Linux
Microsoft Defender for Endpoint on Android
Il existe aussi de nombreuses versions adaptées à d’autres applications…
Nous allons nous intéresser à la version orienté PME :
Microsoft Defender for Business
Acheter Defender for Business
Le licensing est assez simple :
- Soit on achète ce produit seul :
- Soit on utilise Microsoft 365 Business Premium, qui comprends notamment InTune, et Defender for Business
Evidemment lorsqu’on utilise Business Premium, on dispose de tous les outils pour installer Defender automatiquement sur les PC avec InTune, mais si vous achetez Defender for Business seul, il faudra gérer le déploiement.
Administrer Defender for Business
Commençons tout d’abord par découvrir la console d’administration :
L’adresse est facile à retenir :
https://security.microsoft.com/
La page d’accueil, personnalisable, permet d’afficher un tableau de bord de sécurité :
Intéressons-nous à la page permettant de visualiser les PC gérés et leur état : menu Ressources / Appareils :
Pour déployer Defender for Business, il faut aller chercher les informations dans le menu Paramètres / Points de terminaison, puis Gestion des appareils / Intégration.
Voici la liste des OS supportés :
Déploiement pour Windows 10 et 11
Vous pouvez donc :
Soit exécuter un script de déploiement
Vous pouvez le télécharger en cliquant sur le lien Télécharger le package d’installation :
Le script commence par quelques conseils :
echo This script is for onboarding machines to the Microsoft Defender for Endpoint services, including security and compliance products.
Once completed, the machine should light up in the portal within 5-30 minutes, depending on this machine’s Internet connectivity availability and machine power state (plugged in vs. battery powered).
IMPORTANT: This script is optimized for onboarding a single machine and should not be used for large scale deployment.
For more information on large scale deployment, please consult the MDE documentation (links available in the MDE portal under the endpoint onboarding section).
Le script vérifie tout d’abord quelques prérequis :
- Que l’utilisateur l’a lancé avec les privilèges d’administrateur
- L’architecture Windows
Puis installe et démarre un service en le liant avec votre tenant, à l’aide d’un OrgID.
Normalement le PC apparaitra dans la console au bout de quelques minutes.
NB : Le script est documenté sur cette page :
Soit déployer par GPO
Un fichier ADMX peut être téléchargé en cliquant sur le lien Télécharger le package d’installation.
Microsoft suggère de créer une tâche planifiée pour exécuter el script de déploiement : WindowsDefenderATPOnboardingScript.cmd
Les stratégies Defender se trouvent ici :Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender ATP
NB : vous trouverez plus d’informations ici :
Autres méthodes de déploiement
Les autres méthodes sont plus spécifiques et trouveront probablement peu d’intérêt pour les PME.
Vérification de l’installation correcte
Outre le fait de voir apparaitre le PC dans la console, Microsoft fournit un exemple de script simulant une attaque, et déclenchant Microsoft Defender :
Si vous exécutez ce script, vous ne verrez rien sur le PC car le process sera tezrminé, mais une alerte apparaitra sur la console :