Microsoft Defender renforce sa réponse aux attaques de logiciels malveillants en modifiant un paramètre clé

Microsoft affirme renforcer la sécurité des utilisateurs de Microsoft Defender for Endpoint en modifiant un paramètre clé, passant de la valeur par défaut des correctifs automatiques facultatifs de logiciels malveillants à une version entièrement automatique remédiation.

Le changement signifie que lorsque Microsoft Defender for Endpoint détecte des logiciels malveillants sur les PC d'un réseau, l'antivirus commence automatiquement à analyser toutes les menaces liées à l'alerte, en examinant les fichiers, les processus, les services, les clés de registre et tous les autres domaines où une menace pourrait résider.

"Le résultat d'une enquête automatisée déclenchée par une alerte est une liste des entités associées trouvées sur un appareil et leurs verdicts (malveillants, suspects ou propres)" Microsoft explique sur un article de blog.

VOIR: Politique de sensibilisation et de formation à la sécurité (Prime TechRepublic)

"Pour toute entité malveillante, l'enquête créera une action corrective, une action qui, une fois approuvée, supprimera ou contiendra une entité malveillante trouvée lors de l'enquête. Ces actions sont définies, gérées et exécutées par Microsoft Defender for Endpoint sans que l'équipe des opérations de sécurité n'ait besoin de se connecter à distance à l'appareil.

Les actions entreprises dépendent du niveau d'automatisation de l'appareil configuré. Auparavant, les clients Microsoft Defender for Endpoint qui optaient pour les versions préliminaires publiques étaient placés sur « Semi », ce qui nécessitait une approbation pour toute correction. Bientôt, ils seront déplacés vers la configuration « Complète », qui permet à Windows 10 de remédier automatiquement aux menaces.

Avec le paramètre Semi, les administrateurs pourraient avoir plus de contrôle, mais comme le souligne Microsoft, les administrateurs peuvent perdre un temps précieux pour empêcher les logiciels malveillants de causer d'autres dommages, tels qu'affecter d'autres PC.

Microsoft a apporté quelques améliorations à sa détection automatisée des logiciels malveillants depuis sa première publication. Premièrement, cela améliore la précision de la détection des logiciels malveillants, de sorte qu'il devrait y avoir moins d'infections et de faux positifs. De plus, il dispose désormais de meilleures capacités d'enquête automatisées.

« Nous avons vu des milliers de cas où des organisations dotées de locataires entièrement automatisés ont réussi à contenir et à corriger les menaces, tout en d'autres entreprises, laissées au niveau "semi" par défaut, restent exposées à un risque élevé en raison du long délai d'attente pour l'approbation des actions", le blog averti.

VOIR: Barre d'outils Windows 10: voici comment Microsoft ajoute les actualités, la météo et le trafic

Selon Microsoft, les clients utilisant une automatisation complète ont vu « 40 % plus d'échantillons de logiciels malveillants de haute confiance supprimés que les clients utilisant des niveaux d'automatisation inférieurs ».

Cela devrait laisser aux centres d’opérations de sécurité plus de temps libre pour faire face aux menaces de logiciels malveillants qui nécessitent une intervention humaine.

À partir du 16 février 2021, Microsoft mettra automatiquement à niveau les organisations qui ont opté pour des versions préliminaires publiques dans Microsoft Defender for Endpoint vers « Résolution complète automatique des menaces ».