Tierney - stock.adobe.com
Microsoft dote Defender ATP de capacités de réponse à incident en temps réel
La solution de détection et de remédiation de menaces de Microsoft permet désormais de lancer de multiples actions d’investigation à distance sur les hôtes suspects.
Microsoft continue de faire progresser sa solution d’EDR Defender ATP à grands pas. L’éditeur vient ainsi d’annoncer l’introduction de capacités dédiée à l’investigation en temps réel sur les hôtes suspects. Il s’agit d’offrir un shell déporté aux équipes de sécurité pour collecter des informations sur les pilotes installés, les tâches programmées, les services exécutés, ou encore de rechercher des fichiers spécifiques et télécharger des échantillons de maliciels en vue de leur analyse, voire d’accéder aux traces d’activité ou exécuter des scripts PowerShell et récolter des échantillons de mémoire vive, entre autres.
Pour l’heure, ces capacités sont toutefois limitées à Windows 10 version 18323 et plus. De quoi laisser un terrain de jeu encore vaste aux solutions d’EDR concurrentes. Mais comme le relevait le RSSI de Facebook, Alex Stamos, il y a un an, Defender ATP a de plus en plus les airs d’un redoutable concurrent. Un brin provocateur, il assurait alors qu’il « n’investirait pas dans un éditeur d’EDR Windows ces jours-ci ».
De fait, Microsoft fait la démonstration d’une agressivité certaine dans le développement de Defender ATP. Début 2018, l’éditeur a commencé par l’ouvrir à Windows 7 et 8.1. Plus récemment, il a ajouté le support de macOS Sierra, High Sierra, et Mojave. Un peu plus tard, c’est au domaine de la gestion des vulnérabilités que Microsoft étendait Defender ATP.
Fin avril, l’éditeur a ouvert à tous les APIs de Defender ATP pour permettre d’intégrer et orchestrer les défenses entre diverses solutions d’administration. Jusqu’à montrer l’exemple en détaillant comment enrichir Defender ATP de flux de renseignements sur les menaces gérés en interne, avec la très populaire plateforme MISP.