Utiliser le mode d’audit

S'applique à:

Vous pouvez activer les règles de réduction de surface d’attaque, la protection contre les attaques, la protection du réseau et l’accès contrôlé aux dossiers en mode d’audit. Cela vous permet d’afficher un enregistrement de ce qui se passerait si la fonctionnalité était activée.

Vous souhaiterez peut-être effectuer cette opération lors du test de la façon dont les fonctionnalités fonctionneront au sein de votre organisation afin de ne pas affecter vos applications métier et de vous faire une idée du nombre de tentatives de modification de fichier suspectes qui se produisent généralement sur une période donnée.

Bien que les fonctionnalités ne bloquent pas et n’empêchent pas la modification des applications, des scripts ou des fichiers, le journal des événements Windows enregistre les événements comme si celles-ci étaient entièrement activées. Cela signifie que vous pouvez activer le mode audit, puis examiner le journal des événements pour voir l’impact d’une fonctionnalité si celle-ci était activée.

Pour savoir comment accéder aux entrées auditées, accédez à applications et services > Microsoft > Windows > Defender > opérationnel.

Vous pouvez utiliser la protection avancée contre les menaces Windows Defender pour obtenir des informations plus détaillées sur chaque événement, en particulier pour l’examen des règles de limitation de surface d’attaque. L’utilisation de la console Microsoft Defender ATP vous permet d’identifier les problèmes dans le cadre de la chronologie des alertes et des scénarios d’enquête.

Cette rubrique fournit des liens qui décrivent comment activer la fonctionnalité d’audit pour chaque fonctionnalité et comment afficher les événements dans l’observateur d’événements Windows.

Vous pouvez utiliser la stratégie de groupe, PowerShell et les fournisseurs de services de configuration (CSP) pour activer le mode d’audit.

Conseil

Vous pouvez également consulter le site Web de WindowsDefenderTestground à l'adresse demo.wd.microsoft.com pour vérifier si les fonctionnalités sont opérationnelles et connaître leur fonctionnement.

Options d'audit Comment activer le mode audit Comment afficher les événements
L’audit s’applique à tous les événements Activer l’accès contrôlé aux dossiers Événements d’Accès contrôlé aux dossiers
L’audit s’applique à des règles individuelles Activer les règles de réduction de surface d’attaque Événements de règle de réduction de surface d’attaque
L’audit s’applique à tous les événements Activer la protection du réseau Événements de Protection du réseau
L’audit s’applique à des atténuations individuelles Activer la protection contre les attaques Événements ExploitProtection

Rubriques associées