Blocage comportemental du clientClient behavioral blocking

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

PrésentationOverview

Le blocage du comportement client est un composant des fonctionnalités de blocage et de blocage du comportement dans Defender pour point de terminaison.Client behavioral blocking is a component of behavioral blocking and containment capabilities in Defender for Endpoint. Lorsque des comportements suspects sont détectés sur des appareils (également appelés clients ou points de terminaison), les artefacts (tels que les fichiers ou applications) sont bloqués, vérifiés et corrigés automatiquement.As suspicious behaviors are detected on devices (also referred to as clients or endpoints), artifacts (such as files or applications) are blocked, checked, and remediated automatically.

Protection du cloud et du client

La protection antivirus fonctionne mieux lorsqu’elle est couplée à la protection cloud.Antivirus protection works best when paired with cloud protection.

Fonctionnement du blocage du comportement clientHow client behavioral blocking works

Antivirus Microsoft Defender détecter des comportements suspects, du code malveillant, des attaques sans fichier et en mémoire, et bien plus encore sur un appareil.Microsoft Defender Antivirus can detect suspicious behavior, malicious code, fileless and in-memory attacks, and more on a device. Lorsque des comportements suspects sont détectés, Antivirus Microsoft Defender surveille et envoie ces comportements suspects et leurs arbre de processus au service de protection cloud.When suspicious behaviors are detected, Microsoft Defender Antivirus monitors and sends those suspicious behaviors and their process trees to the cloud protection service. L’apprentissage automatique différencie les applications malveillantes et les comportements de qualité en millisecondes et classifie chaque artefact.Machine learning differentiates between malicious applications and good behaviors within milliseconds, and classifies each artifact. En temps quasi réel, dès qu’un artefact est trouvé malveillant, il est bloqué sur l’appareil.In almost real time, as soon as an artifact is found to be malicious, it's blocked on the device.

Chaque fois qu’un comportement suspect est détecté, une alerte est générée et visible dans le portail Microsoft 365 Defender (anciennement le Centre de sécurité Microsoft Defender).Whenever a suspicious behavior is detected, an alert is generated, and is visible in the Microsoft 365 Defender portal (formerly the Microsoft Defender Security Center).

Le blocage du comportement client est efficace, car il permet non seulement d’empêcher le démarrage d’une attaque, mais également d’arrêter une attaque qui a commencé à s’exécuter.Client behavioral blocking is effective because it not only helps prevent an attack from starting, it can help stop an attack that has begun executing. En outre, avec le blocage de boucle de commentaires (autre fonctionnalité de blocage et de blocage du comportement), les attaques sont empêchées sur d’autres appareils de votre organisation.And, with feedback-loop blocking (another capability of behavioral blocking and containment), attacks are prevented on other devices in your organization.

Détections basées sur le comportementBehavior-based detections

Les détections basées sur le comportement sont nommées en fonction de la matrice MITRE ATT&CK pour Enterprise.Behavior-based detections are named according to the MITRE ATT&CK Matrix for Enterprise. La convention d’attribution de noms permet d’identifier la phase d’attaque où le comportement malveillant a été observé :The naming convention helps identify the attack stage where the malicious behavior was observed:

TactiqueTactic Nom de la menace de détectionDetection threat name
Accès initialInitial Access Behavior:Win32/InitialAccess.*!ml
ExécutionExecution Behavior:Win32/Execution.*!ml
PersistancePersistence Behavior:Win32/Persistence.*!ml
Escalade de privilègesPrivilege Escalation Behavior:Win32/PrivilegeEscalation.*!ml
DéfenseDefense Evasion Behavior:Win32/DefenseEvasion.*!ml
Accès aux informations d’identificationCredential Access Behavior:Win32/CredentialAccess.*!ml
DécouverteDiscovery Behavior:Win32/Discovery.*!ml
Mouvement latéralLateral Movement Behavior:Win32/LateralMovement.*!ml
CollectionCollection Behavior:Win32/Collection.*!ml
Commande et contrôleCommand and Control Behavior:Win32/CommandAndControl.*!ml
ExfiltrationExfiltration Behavior:Win32/Exfiltration.*!ml
ImpactImpact Behavior:Win32/Impact.*!ml
Non catégoriséUncategorized Behavior:Win32/Generic.*!ml

Conseil

Pour en savoir plus sur les menaces spécifiques, consultez l’activité récente des menaces globales.To learn more about specific threats, see recent global threat activity.

Configuration du blocage du comportement clientConfiguring client behavioral blocking

Si votre organisation utilise Defender pour endpoint, le blocage du comportement client est activé par défaut.If your organization is using Defender for Endpoint, client behavioral blocking is enabled by default. Toutefois, pour bénéficier de toutes les fonctionnalités de Defender pour point de terminaison, y compris le blocage du comportement et le contenu,assurez-vous que les fonctionnalités et fonctionnalités suivantes de Defender pour point de terminaison sont activées et configurées :However, to benefit from all Defender for Endpoint capabilities, including behavioral blocking and containment, make sure the following features and capabilities of Defender for Endpoint are enabled and configured: