Tester le fonctionnement des fonctionnalités de Microsoft Defender for Endpoint en mode auditTest how Microsoft Defender for Endpoint features work in audit mode

S’applique à :Applies to:

Vous pouvez activer les règles de réduction de la surface d’attaque, Exploit Protection, la protection réseau et l’accès contrôlé aux dossiers en mode audit.You can enable attack surface reduction rules, exploit protection, network protection, and controlled folder access in audit mode. Le mode audit vous permet d’enregistrer ce qui se serait passé si vous aviez activé la fonctionnalité.Audit mode lets you see a record of what would have happened if you had enabled the feature.

Vous pouvez activer le mode audit lors du test du fonctionnement des fonctionnalités dans votre organisation.You may want to enable audit mode when testing how the features will work in your organization. Cela vous permettra de vous assurer que vos applications métier ne sont pas affectées.This will help make sure your line-of-business apps aren't affected. Vous pouvez également avoir une idée du nombre de tentatives de modification de fichier suspectes qui se produisent sur une période donnée.You can also get an idea of how many suspicious file modification attempts occur over a certain period of time.

Les fonctionnalités ne bloquent pas ou empêchent la modification des applications, des scripts ou des fichiers.The features won't block or prevent apps, scripts, or files from being modified. Toutefois, le journal des événements Windows enregistre les événements comme si les fonctionnalités étaient entièrement activées.However, the Windows Event Log will record events as if the features were fully enabled. Avec le mode audit, vous pouvez consulter le journal des événements pour voir l’impact que la fonctionnalité aurait eu si elle était activée.With audit mode, you can review the event log to see what impact the feature would have had if it was enabled.

Pour rechercher les entrées auditées, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.To find the audited entries, go to Applications and Services > Microsoft > Windows > Windows Defender > Operational.

Vous pouvez utiliser Defender pour le point de terminaison pour obtenir des détails plus détaillés pour chaque événement, en particulier pour examiner les règles de réduction de la surface d’attaque.You can use Defender for Endpoint to get greater details for each event, especially for investigating attack surface reduction rules. L’utilisation de la console Defender for Endpoint vous permet d’examiner les problèmes dans le cadre de la chronologie des alertes et des scénarios d’enquête.Using the Defender for Endpoint console lets you investigate issues as part of the alert timeline and investigation scenarios.

Vous pouvez utiliser la stratégie de groupe, PowerShell et les fournisseurs de services de configuration (CSP) pour activer le mode audit.You can use Group Policy, PowerShell, and configuration service providers (CSPs) to enable audit mode.

Conseil

Vous pouvez également consulter le site Windows Defender Testground sur demo.wd.microsoft.com pour vérifier que les fonctionnalités fonctionnent et voir comment elles fonctionnent.You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the features are working and see how they work.

Options d’auditAudit options Comment activer le mode auditHow to enable audit mode Comment afficher les événementsHow to view events
L’audit s’applique à tous les événementsAudit applies to all events Activer l’accès contrôlé aux dossiersEnable controlled folder access Événements d’accès contrôlé aux dossiersControlled folder access events
L’audit s’applique à des règles individuellesAudit applies to individual rules Activer les règles de réduction de la surface d’attaqueEnable attack surface reduction rules Événements de règle de réduction de la surface d’attaqueAttack surface reduction rule events
L’audit s’applique à tous les événementsAudit applies to all events Activer la protection réseauEnable network protection Événements de protection du réseauNetwork protection events
L’audit s’applique aux atténuations individuellesAudit applies to individual mitigations Activer la protection la protection contre les codes malveillants exploitant une faille de sécuritéEnable exploit protection Événements Exploit ProtectionExploit protection events