samedi, novembre 23, 2024

Examen de Microsoft 365 Defender

La plupart des clients Microsoft ont entendu parler de Windows Defender, car certaines versions s’exécutent sur chaque bureau Windows jusqu’à Windows XP. Mais grâce aux efforts concertés de Microsoft pour déplacer les clients vers ses services cloud, la société a poussé sa technologie de protection des terminaux dans la grange d’applications Microsoft 365. Désormais appelé Microsoft 365 Defender, l’outil est vraiment à la pointe de la technologie, y compris les fonctionnalités de détection et de réponse aux points de terminaison (EDR), la recherche active des menaces et la prise en charge des appareils macOS, Linux, iOS et Android. Les utilisateurs de Windows, bien sûr, obtiennent le meilleur support de bureau, tandis que les utilisateurs de Microsoft 365 sont les vrais gagnants puisqu’ils recevront également l’analyse des e-mails dans le cadre du package. Mais alors que Microsoft 365 Defender possède toutes les fonctionnalités nécessaires pour être au sommet, Microsoft a fait un travail étonnamment médiocre en matière de conception d’interface. Cela maintient la version actuelle derrière nos gagnants Editors’ Choice dans l’espace des terminaux : Bitdefender GravityZone Ultra, F-Secure Elements et Sophos Intercept X.

Vous pouvez faire confiance à nos avis

Depuis 1982, PCMag a testé et évalué des milliers de produits pour vous aider à prendre de meilleures décisions d’achat. (Lire notre mission éditoriale.)


Tarifs et forfaits Microsoft 365 Defender

Mis à part les problèmes d’interface, Microsoft 365 Defender a un système de tarification assez compétitif mais quelque peu alambiqué. Par exemple, vous pouvez acheter la version Microsoft 365 Defender P2, qui inclut EDR et d’autres fonctionnalités avancées, en tant que service autonome pour 5,00 $ par utilisateur et par mois. Alternativement, il est inclus dans le plan d’entreprise Microsoft 365 E5, le plan Microsoft 365 soupe aux noix qui coûte 57 $ par utilisateur et par mois.

Si vous lisez rapidement, ce prix de 5 $ par utilisateur et par mois peut sembler fantastique par rapport aux autres solutions que nous avons examinées. Mais faites le calcul, et cela se traduit par 60 $ par utilisateur et par an, ce qui rend Microsoft 365 Defender plus cher. Notre gagnant du choix de l’éditeur le plus coûteux, Bitdefender GravityZone, commence de la même manière à 57,40 $ par utilisateur et par an, bien que sans fonctionnalités avancées comme l’EDR. tout cet argent si vous n’êtes pas actuellement un client Microsoft 365.

Les entreprises plus frugales voudront la version P1 de Microsoft 365 Defender, qui laisse de côté les fonctionnalités avancées, notamment EDR. Vous pouvez acheter P1 seul pour 3 $ par utilisateur et par mois, et cela fait également partie du plan Microsoft 365 E3, plus économique, qui coûte 32 $ par utilisateur et par mois.

Même si vous n’avez actuellement aucun abonnement Microsoft 365, vous pouvez toujours avoir accès à Microsoft 365 Defender. Les clients qui ont acheté des licences d’entreprise d’Office 365, Windows 10 et Windows 11 ont accès aux fonctionnalités et au portail de Defender sans frais supplémentaires, tout comme les clients des offres de points de terminaison Defender précédentes, y compris Microsoft Defender pour Endpoint, Microsoft Defender pour Identity, Microsoft Defender pour les applications cloud et Defender pour Office 365 (plan 2).

Si vous souhaitez évaluer le service par vous-même, une version d’essai autonome et gratuite de 30 jours est disponible (convient pour 25 utilisateurs) à télécharger sur le site Web de Microsoft 365.


Premiers pas avec Microsoft 365 Defender

Ironiquement, la mise en route est la partie la plus difficile de l’utilisation de Microsoft 365 Defender. La documentation de démarrage de Microsoft (disponible en ligne) suppose que vous disposez déjà d’un compte Microsoft 365 et que vous avez la possibilité d’y apporter des modifications. Si vous souhaitez uniquement la partie du point de terminaison, elle est également disponible sous forme d’inscription distincte.

Une fois que vous êtes inscrit, l’intégration est facile si vous savez où chercher, mais le savoir est la partie la plus difficile. Il y a actuellement une longue transition car Microsoft déplace lentement l’ancienne fonctionnalité de Defender dans la nouvelle version, nous avons donc trouvé difficile de localiser et d’utiliser de nombreuses fonctionnalités au moment de la rédaction de cet article.

La meilleure méthode que nous avons trouvée consistait à accéder à Paramètres > Points de terminaison > Intégration. Une fois là-bas, vous pouvez télécharger le script d’intégration qui s’exécute sur les machines Windows 10. Néanmoins, cette procédure est quelque peu fastidieuse, ce qui a été un gros désagrément, étant donné que même certains produits qui n’ont pas évalué notre désignation Editors’ Choice, tels que Kaspersky Endpoint Security Cloud et Vipre Endpoint Security Cloud, offrent une facilité d’utilisation installateurs.

Pour les machines macOS, le processus est légèrement différent mais tout aussi lourd. Honnêtement, l’intégration de cette manière ne semble vraiment appropriée que pour les boutiques centrées sur Windows, où vous pousserez le produit via Active Directory. Pour l’administrateur moyen qui n’est peut-être pas entièrement intégré dans le domaine de Windows Server, c’est une grande question. La configuration de Microsoft 365 Defender était suffisamment ennuyeuse pour être un problème important dans notre livre.

(Note de la rédaction : Vipre appartient à Ziff Davis, la société mère de PCMag.com.)


Une interface de montagnes russes

L’utilisation de Microsoft 365 Defender est une expérience de haut en bas. Une fois que vous vous êtes frayé un chemin à travers le processus d’installation, vous constaterez que le tableau de bord est en quelque sorte un désordre encombré. C’est informatif, mais pas dans le sens que vous voudriez d’une expérience prête à l’emploi. Tout dépend de ce que vous pouvez faire avec le produit, mais il ne fournit pas immédiatement les informations dont vous avez besoin sur votre réseau. Nous nous sommes retrouvés à nettoyer la zone et à ne rajouter que les blocs que nous voulions voir. Un autre inconvénient est que vous pouvez soudainement et mystérieusement vous retrouver sur l’ancienne interface de temps en temps. Heureusement, lorsque vous vous retrouvez là-bas, vous verrez également une option visible pour vous rediriger automatiquement vers le nouveau site, que nous avons activé.

Capture d'écran de l'affichage rapide de l'alerte active Microsoft 365 Defender

Dans la nouvelle interface, le côté gauche de la page présente soigneusement vos options disponibles. Incidents et alertes est l’endroit où vous passerez la plupart de votre temps. Cette section identifie toutes les menaces actives et corrigées sur tous vos points de terminaison enregistrés et actuellement connectés. L’avantage, par rapport au reste de l’interface, c’est qu’elle est bien structurée. Les incidents sont regroupés de sorte qu’un lot d’infections ne ressemble pas à une série d’événements discrets. S’ils arrivent sur la machine via le même processus, cela s’affichera dans une hiérarchie d’enquête. Si vous approfondissez l’enquête, vous obtiendrez un graphique de style EDR qui vous donnera des images complètes de la façon dont l’infection a commencé et de ce qu’elle a affecté. Alors que d’autres produits les mieux classés le font également, tels que les lauréats du choix des éditeurs F-Secure Elements et Bitdefender GravityZone Ultra, Microsoft 365 Defender le fait proprement, avec d’excellentes explications à l’écran.

Vue de gestion Microsoft 365 Defender EDR

La page d’analyse des menaces est étroitement liée aux incidents. Il montre les menaces les plus répandues dans la nature et si elles affectent votre réseau, et il offre des informations fascinantes sur ce qui pourrait frapper votre réseau ensuite et quels appareils sont vulnérables. La section Gestion des vulnérabilités est liée à cela, qui comprend un tableau de bord indiquant un score d’exposition et comment l’améliorer et plusieurs pages pour découvrir et gérer les logiciels vulnérables. Pour chacune des vulnérabilités trouvées, il donne des étapes de correction, si disponibles, ou des liens vers la page du logiciel obsolète afin que vous puissiez acquérir des mises à jour. Il fournit également une variété d’informations utiles; à tel point, en fait, que c’est un peu écrasant. Il pourrait facilement perdre quelqu’un qui ne savait pas déjà quoi chercher. Il est certainement nécessaire de passer du temps à lire la documentation de celui-ci, mais il y a beaucoup de puissance ici.

Analyse et description des menaces Microsoft 365 Defender

Alors que la gestion des menaces et des vulnérabilités de Microsoft 365 Defender est de premier ordre d’un point de vue technique, la gestion des politiques ne l’est pas. Vous obtenez une certaine granularité dans la façon dont le courrier électronique est géré, mais les paramètres généraux du point de terminaison semblent déplacés et orientés vers la connexion avec d’autres offres Microsoft, telles que Intune, Secure Store et Office 365 Threat Intelligence. Ces paramètres ne sont pas non plus gérés avec des stratégies définies et constituent un ensemble global. En l’absence d’un processus cohérent pour restreindre les appareils, définir le niveau de protection et gérer les exclusions, la gestion des politiques de Defender semble être une réflexion après coup.

Les rapports sont un autre élément positif pour l’interface Microsoft 365 Defender, car ils sont à la fois colorés et utiles. Tout, de la santé et de la conformité de l’appareil à un rapport de sécurité complet, est disponible. Cela dit, ils sont quelque peu buggés au moment des tests. De nombreux rapports généraient des erreurs ou indiquaient que les données n’étaient pas disponibles alors que de nombreuses données l’étaient. Nous pensons que cela s’améliorera avec le temps et sans aucun doute via plusieurs correctifs. Un autre problème mineur est l’impossibilité d’imprimer ces rapports ou de les convertir en PDF, mais ce n’est pas un compromis.

Éditeur de rapport et de politique Microsoft 365 Defender


Test de protection des terminaux

Comme pour tous nos autres concurrents, nous avons exécuté Microsoft 365 Defender via notre processus de test de protection des terminaux. Au cours de l’attaque de phishing, nous avons testé 10 liens de phishing vérifiés de PhishTank. Lorsque nous avons utilisé Microsoft Edge, toutes les pages ont été signalées comme non sécurisées par Microsoft Defender SmartScreen. Lorsque nous avons testé Chrome et Firefox, ils ne semblaient pas être protégés par cette fonctionnalité, ce qui est assez typique pour un produit orienté Microsoft mais n’en est pas moins une marque contre elle.

Ensuite, nous avons utilisé la fonctionnalité Autopwn 2 de Metasploit pour lancer une attaque basée sur un navigateur contre le système à l’aide d’une version vulnérable connue de Chrome avec le runtime Java 1.7 installé. Seules les attaques susceptibles de réussir à accorder un shell distant ont été lancées automatiquement, et aucune des attaques n’a réussi.

Nous avons ensuite simulé l’exécution d’un binaire Meterpreter standard collé à la fin de la calculatrice Windows. L’exécutable n’était même pas autorisé à copier sur le bureau. Nous avons également testé un ensemble d’exécutables Meterpreter codés en Veil 3.0 qui incluaient PowerShell, Auto-IT, Python et Ruby. Tous ont été détectés au moment où ils ont été copiés sur le bureau et nous n’avons pas pu procéder à d’autres tests d’accès.

Enfin, nous avons désactivé la connexion réseau sur notre machine virtuelle (VM), extrait un ensemble d’exécutables de logiciels malveillants connus appelés TheZoo et tenté de les exécuter. Defender a mis chacun d’eux en quarantaine avant qu’il n’ait la possibilité de s’exécuter, confirmant que la détection basée sur les signatures de Defender fonctionnait bien. Il y a eu un léger délai entre le déploiement du malware et la réaction du système, mais nous pensons qu’il s’agissait de la notification en retard par rapport à l’action en cours.

À l’appui de nos résultats de test, nous avons constaté que Defender s’est également bien comporté dans les évaluations MITRE ATT&CK. Il a géré la quasi-totalité des attaques et a résisté à plusieurs menaces notoires du monde réel.


Puissant mais non poli

Microsoft 365 Defender est un sac mélangé. Il a la plupart des éléments d’un gagnant, mais il manque assez de finition pour en faire un. Cela dit, si vous êtes déjà un utilisateur de Microsoft 365, vous y avez peut-être déjà accès, ce qui vaut la peine d’y jeter un coup d’œil pour voir s’il peut répondre à vos besoins pendant que Microsoft s’efforce de l’améliorer.

Vous pouvez être sûr que cela protégera votre réseau contre les menaces de manière adéquate, même si cela a tendance à être un peu déroutant au début. Pour moi, c’est un laissez-passer, mais il devrait figurer sur la liste de surveillance pour les options futures. Pour l’instant, notre préférence serait de rester avec l’un de nos gagnants Editors’ Choice : Bitdefender GravityZone Ultra, Sophos Intercept X ou F-Secure Elements.

Vous aimez ce que vous lisez ?

S’inscrire pour Rapport de laboratoire pour recevoir les dernières critiques et les meilleurs conseils sur les produits directement dans votre boîte de réception.

Cette newsletter peut contenir de la publicité, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désinscrire des newsletters à tout moment.

Source-133

- Advertisement -

Latest