Microsoft continue de muscler Defender ATP
L’éditeur vient de lever le voile sur les capacités EDR de sa version macOS, mais également l’extension des capacités de gestion des vulnérabilités. De quoi confirmer son agressivité sur le terrain de la protection des hôtes du SI.
Microsoft vient de profiter de sa conférence Ignite pour dévoiler les capacités d’investigation et de remédiation (EDR) de Defender ATP pour macOS. Celles-ci sont disponibles pour la version Windows de l’outil de protection des hôtes du système d’information de l’éditeur depuis la fin du mois de mai. La version Mac de l’outil est disponible depuis le printemps, mais elle n’en profitait pas encore. Cette différence est donc en passe d’être comblée.
De fait, les capacités d’EDR de Defender ATP pour Mac sont aujourd’hui accessibles en avant-première. Dans un billet de blog, Microsoft détaille la manière d’expérimenter ces fonctionnalités. Mais pas dans n’importe quel contexte : l’exemple est celui de macOS Catalina, malgré tous les efforts réalisés par Apple pour durcir son système d’exploitation. L’outil de Microsoft a besoin d’être autorisé à accéder au disque dans son intégralité, afin de pouvoir le surveiller. Mais une fois autorisation accordée, l’agent de l’éditeur apparaît en mesure de collecter suffisamment d’éléments pour qu’il soit possible de commencer à enquêter sur une alerte et sa chronologie.
En l’état, toutefois, les capacités d’EDR de Defender ATP sur macOS semblent s’arrêter là. Mais il y a fort à parier que Microsoft ne restera pas les bras croisés.
Parallèlement, l’éditeur a annoncé l’extension de l’éventail d’hôtes supportés pour le volet gestion des vulnérabilités de Defender ATP. Présentée au printemps, la fonctionnalité Threat & Vulnerability Management (TVM) vise à aider à découvrir, hiérarchiser et corriger les vulnérabilités et défauts de configuration des hôtes surveillés. Et TVM s’apprête à prendre en charge, au moins à titre d’avant-première dans un premier temps, les systèmes sous Windows Server 2008 R2 et ultérieurs, en plus des postes de travail sous Windows 10. Mieux encore, TVM peut désormais déterminer automatiquement l’impact potentiel de ses recommandations de remédiation sur la productivité des utilisateurs concernés, en fonction des données de télémétrie collectées au cours d’une période de 30 jours.
Le modèle de contrôle d’accès basé sur des rôles de Defender ATP a en outre été étendu pour couvrir TVM, avec des permissions spécifiques. Et l’intégration dans les workflows d’ITSM est désormais possible avec les outils de ServiceNow – au-delà d’Intune et de SCCM.
À toutes ces évolutions s’ajoute un mécanisme de protection contre les tentatives d’altération du comportement de Defender ATP. Globalement disponible depuis la mi-octobre, il vise notamment à durcir l’outil de protection des hôtes de Microsoft contre les tentatives de désactivation – l’éditeur mentionne notamment des menaces telles que le redoutable Trickbot.
Avec ces annonces, Microsoft apparaît bien décidé à ne pas se reposer sur les lauriers que lui décernent tant des analystes, comme ceux du cabinet Gartner, que des utilisateurs de plus en plus nombreux.