Détection et réponse des points de terminaison (PEPT) en mode blocageEndpoint detection and response (EDR) in block mode

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Qu’est-ce PEPT en mode bloc ?What is EDR in block mode?

La détection et la réponse des points de terminaison (PEPT) en mode blocage offrent une protection contre les artefacts malveillants, même lorsque Antivirus Microsoft Defender est en cours d’exécution en mode passif.Endpoint detection and response (EDR) in block mode provides protection from malicious artifacts, even when Microsoft Defender Antivirus is running in passive mode. Lorsqu’elle est PEPT, elle bloque les artefacts ou comportements malveillants détectés sur un appareil.When turned on, EDR in block mode blocks malicious artifacts or behaviors that are detected on a device. PEPT en mode blocage fonctionne en arrière-plan pour corriger les artefacts malveillants détectés après une violation.EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post breach.

PEPT en mode bloc est également intégré aux menaces& gestion des vulnérabilités .EDR in block mode is also integrated with threat & vulnerability management. L’équipe de sécurité de votre organisation reçoit une recommandation de sécurité pour activer PEPT en mode blocage s’il n’est pas déjà activé.Your organization's security team will get a security recommendation to turn EDR in block mode on if it isn't already enabled.

recommandation pour activer l’PEPT en mode blocage

Notes

Pour obtenir la meilleure protection possible, veillez à déployer Microsoft Defender pour les lignes de base de point de terminaison.To get the best protection, make sure to deploy Microsoft Defender for Endpoint baselines.

Que se passe-t-il lorsqu’un quelque chose est détecté ?What happens when something is detected?

Lorsque PEPT en mode bloc est allumé et qu’un artefact malveillant est détecté, Microsoft Defender pour le point de terminaison bloque et remédie à cet artefact.When EDR in block mode is turned on, and a malicious artifact is detected, Microsoft Defender for Endpoint blocks and remediates that artifact. Vous verrez l’état de détection bloqué ou interdit en tant qu’actions terminées dans le centre de l’action.You'll see detection status as Blocked or Prevented as completed actions in the Action center.

L’image suivante montre une instance des logiciels indésirables détectés et bloqués par PEPT en mode blocage :The following image shows an instance of unwanted software that was detected and blocked through EDR in block mode:

PEPT en mode blocage a détecté quelque chose

Activer PEPT en mode blocEnable EDR in block mode

Important

Assurez-vous que les conditions requises sont remplies avant d’PEPT en mode bloc.Make sure the requirements are met before turning on EDR in block mode.

  1. Go to the Centre de sécurité Microsoft Defender ( https://securitycenter.windows.com ) and sign in.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.

  2. Choisissez Paramètres > fonctionnalités avancées.Choose Settings > Advanced features.

  3. Activer PEPT en mode bloc.Turn on EDR in block mode.

Notes

PEPT en mode bloc ne peut être allumé que dans le Centre de sécurité Microsoft Defender.EDR in block mode can be turned on only in the Microsoft Defender Security Center. Vous ne pouvez pas utiliser les clés de Registre, Intune ou les stratégies de groupe pour activer ou désactiver les PEPT en mode bloc.You cannot use registry keys, Intune, or group policies to enable or disable EDR in block mode.

Conditions requises pour PEPT en mode blocRequirements for EDR in block mode

Conditions requisesRequirement DétailsDetails
AutorisationsPermissions Rôle Administrateur général ou Administrateur de la sécurité attribué dans Azure Active Directory.Global Administrator or Security Administrator role assigned in Azure Active Directory. Voir Autorisations de base.See Basic permissions.
Système d’exploitationOperating system L’une des versions suivantes :One of the following versions:
- Windows 10 (toutes les releases)- Windows 10 (all releases)
- Windows Server, version 1803 ou plus récente- Windows Server, version 1803 or newer
- Windows Server 2019- Windows Server 2019

REMARQUE: PEPT en mode bloc n’est pas pris en charge sur Windows Server 2016.NOTE: EDR in block mode is not supported on Windows Server 2016.

Windows Inscription E5Windows E5 enrollment Windows E5 est inclus dans les abonnements suivants :Windows E5 is included in the following subscriptions:
- Microsoft 365 E5- Microsoft 365 E5
- Microsoft 365 E3 avec l’offre Protection contre les menaces & identité- Microsoft 365 E3 together with the Identity & Threat Protection offering

Voir Composants, fonctionnalités et fonctionnalités pour chaque plan.See Components and features and capabilities for each plan.
Antivirus Microsoft DefenderMicrosoft Defender Antivirus Antivirus Microsoft Defender doit être installé et s’exécute en mode actif ou passif.Microsoft Defender Antivirus must be installed and running in either active mode or passive mode. (Vous pouvez utiliser Antivirus Microsoft Defender’une solution antivirus non Microsoft.) Confirmez Antivirus Microsoft Defender est en mode actif ou passif.(You can use Microsoft Defender Antivirus alongside a non-Microsoft antivirus solution.) Confirm Microsoft Defender Antivirus is in active or passive mode.
Protection fournie par le cloudCloud-delivered protection Assurez-vous Antivirus Microsoft Defender est configuré de telle sorte que la protection livrée par le cloud soit activée.Make sure Microsoft Defender Antivirus is configured such that cloud-delivered protection is enabled.
Antivirus Microsoft Defender logiciel anti-programme malveillantMicrosoft Defender Antivirus antimalware client Assurez-vous que votre client est à jour.Make sure your client is up to date. À l’aide de PowerShell, exécutez la cmdlet Get-MpComputerStatus en tant qu’administrateur.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. Dans la ligne AMProductVersion, vous devriez voir 4.18.2001.10 ou version supérieure.In the AMProductVersion line, you should see 4.18.2001.10 or above.
Antivirus Microsoft Defender de rechercheMicrosoft Defender Antivirus engine Assurez-vous que votre moteur est à jour.Make sure your engine is up to date. À l’aide de PowerShell, exécutez la cmdlet Get-MpComputerStatus en tant qu’administrateur.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. Dans la ligne AMEngineVersion, vous devriez voir 1.1.16700.2 ou version supérieure.In the AMEngineVersion line, you should see 1.1.16700.2 or above.

Important

Pour obtenir la meilleure valeur de protection, assurez-vous que votre solution antivirus est configurée pour recevoir des mises à jour régulières et des fonctionnalités essentielles, et que vos exclusions sont configurées.To get the best protection value, make sure your antivirus solution is configured to receive regular updates and essential features, and that your exclusions are configured. PEPT en mode bloc respecte les exclusions définies pour Antivirus Microsoft Defender.EDR in block mode respects exclusions that are defined for Microsoft Defender Antivirus.

Foire aux questionsFrequently asked questions

Ai-je besoin d’activer PEPT en mode blocage, même lorsque j’ai Antivirus Microsoft Defender en cours d’exécution sur des appareils ?Do I need to turn EDR in block mode on even when I have Microsoft Defender Antivirus running on devices?

Nous vous recommandons de PEPT en mode blocage, que Antivirus Microsoft Defender s’exécute en mode passif ou actif.We recommend keeping EDR in block mode on, whether Microsoft Defender Antivirus is running in passive mode or in active mode. PEPT mode bloc fournit une autre couche de défense avec Microsoft Defender pour endpoint.EDR in block mode provides another layer of defense with Microsoft Defender for Endpoint. Il permet à Defender for Endpoint d’prendre des mesures en fonction des détections de PEPT de comportement post-violation.It allows Defender for Endpoint to take actions based on post-breach behavioral EDR detections.

Les PEPT en mode blocage auront-ils un impact sur la protection antivirus d’un utilisateur ?Will EDR in block mode have any impact on a user's antivirus protection?

PEPT en mode blocage n’affecte pas la protection antivirus tierce en cours d’exécution sur les appareils des utilisateurs.EDR in block mode does not affect third-party antivirus protection running on users' devices. PEPT en mode blocage fonctionne si la solution antivirus principale manque quelque chose ou s’il existe une détection post-violation.EDR in block mode works if the primary antivirus solution misses something, or if there is a post-breach detection. PEPT en mode bloc fonctionne comme Antivirus Microsoft Defender en mode passif,sauf qu’il bloque et remédie également aux artefacts ou comportements malveillants détectés.EDR in block mode works just like Microsoft Defender Antivirus in passive mode, except it also blocks and remediates malicious artifacts or behaviors that are detected.

Pourquoi dois-je maintenir la Antivirus Microsoft Defender à jour ?Why do I need to keep Microsoft Defender Antivirus up to date?

Comme Antivirus Microsoft Defender détecte et remédie aux éléments malveillants, il est important de le maintenir à jour.Because Microsoft Defender Antivirus detects and remediates malicious items, it's important to keep it up to date. Pour que PEPT en mode bloc soit efficace, il utilise les derniers modèles d’apprentissage des appareils, les détections comportementales et l’heuristique.For EDR in block mode to be effective, it uses the latest device learning models, behavioral detections, and heuristics. La pile de fonctionnalités defender pour point de terminaison fonctionne de manière intégrée.The Defender for Endpoint stack of capabilities works in an integrated manner. Pour obtenir la meilleure valeur de protection, vous devez Antivirus Microsoft Defender à jour.To get best protection value, you should keep Microsoft Defender Antivirus up to date.

Pourquoi avons-nous besoin de la protection cloud ?Why do we need cloud protection on?

La protection cloud est nécessaire pour activer la fonctionnalité sur l’appareil.Cloud protection is needed to turn on the feature on the device. La protection cloud permet à Defender for Endpoint de fournir la dernière et la plus grande protection en fonction de notre étendue et de notre profondeur d’intelligence de la sécurité, ainsi que des modèles d’apprentissage du comportement et des appareils.Cloud protection allows Defender for Endpoint to deliver the latest and greatest protection based on our breadth and depth of security intelligence, along with behavioral and device learning models.

Comment définir Antivirus Microsoft Defender en mode passif ?How do I set Microsoft Defender Antivirus to passive mode?

Voir Activer Antivirus Microsoft Defender et vérifier qu’il est en mode passif.See Enable Microsoft Defender Antivirus and confirm it's in passive mode.

Comment puis-je confirmer Antivirus Microsoft Defender est en mode actif ou passif ?How do I confirm Microsoft Defender Antivirus is in active or passive mode?

Pour vérifier si Antivirus Microsoft Defender est en cours d’exécution en mode actif ou passif, vous pouvez utiliser l’invite de commandes ou PowerShell sur un appareil exécutant Windows.To confirm whether Microsoft Defender Antivirus is running in active or passive mode, you can use Command Prompt or PowerShell on a device running Windows.

Utiliser PowerShellUse PowerShell

  1. Sélectionnez le menu Démarrer, commencez à taper, puis PowerShell ouvrez Windows PowerShell dans les résultats.Select the Start menu, begin typing PowerShell, and then open Windows PowerShell in the results.

  2. Tapez Get-MpComputerStatus.Type Get-MpComputerStatus.

  3. Dans la liste des résultats, dans la ligne AMRunningMode, recherchez l’une des valeurs suivantes :In the list of results, in the AMRunningMode row, look for one of the following values:

    • Normal - Service Defender s’exécutant normalement.Normal - Defender service running normally. Aucun mode spécial n’est activé.No special modes are enabled.
    • Passive Mode- Si votre organisation utilise Microsoft Defender pour endpoint avec une solution antivirus/anti-programme malveillant non Microsoft, Antivirus Microsoft Defender passe automatiquement en mode passif.Passive Mode - If your organization is using Microsoft Defender for Endpoint together with a non-Microsoft antivirus/antimalware solution, then Microsoft Defender Antivirus automatically goes into passive mode. (La protection en temps réel et les menaces ne sont pas Antivirus Microsoft Defender.)(Real-time protection and threats are not remediated by Microsoft Defender Antivirus.)
    • SxS Passive Mode- Similaire au mode passif, mais avec la possibilité d’activer l’analyse périodique limitée.SxS Passive Mode- Similar to passive mode, but with the option to turn on limited periodic scanning.

Pour plus d’informations, voir Get-MpComputerStatus.To learn more, see Get-MpComputerStatus.

Utiliser l’invite de commandesUse Command Prompt

  1. Sélectionnez le menu Démarrer, commencez à taper, puis ouvrez Command Prompt Windows invite de commandes dans les résultats.Select the Start menu, begin typing Command Prompt, and then open Windows Command Prompt in the results.

  2. Tapez sc query windefend.Type sc query windefend.

  3. Dans la liste des résultats, dans la ligne STATE, confirmez que le service est en cours d’exécution.In the list of results, in the STATE row, confirm that the service is running.

Combien de temps faut-il pour que PEPT en mode bloc soit désactivé ?How much time does it take for EDR in block mode to be disabled?

Si vous avez choisi de désactiver les PEPT en mode blocage, cela peut prendre jusqu’à 30 minutes pour que le système désactive cette fonctionnalité.If you chose to disable EDR in block mode it can take up to 30 minutes for the system to disable this capability.

Le PEPT en mode bloc est-il pris en charge sur Windows Server 2016 ?Is EDR in block mode supported on Windows Server 2016?

Non.No. PEPT en mode bloc est pris en charge par les versions suivantes de Windows :EDR in block mode is supported of the following versions of Windows:

  • Windows 10 (toutes les publications)Windows 10 (all releases)
  • Windows Serveur, version 1803 ou plus récenteWindows Server, version 1803 or newer
  • Windows Server 2019Windows Server 2019

Voir aussiSee also