T\u00e2che 6 : Mise en quarantaine des terminaux via l’isolation du r\u00e9seau et des services<\/strong><\/a><\/td>\n| Isole les machines infect\u00e9es du r\u00e9seau<\/td>\n | Ex\u00e9cuter des scripts d’isolation r\u00e9actifs bas\u00e9s sur des d\u00e9clencheurs de menaces<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nConditions pr\u00e9alables \u00e0 une r\u00e9ponse aux logiciels malveillants bas\u00e9e sur un syst\u00e8me RMM<\/h2>\nAvant de proc\u00e9der \u00e0 la configuration de la r\u00e9ponse aux logiciels malveillants bas\u00e9e sur RMM, assurez-vous que votre environnement r\u00e9pond aux exigences suivantes :<\/p>\n \n- Une plateforme RMM<\/strong> avec des capacit\u00e9s de script, d’alerte et d’automatisation (par exemple, NinjaOne)<\/li>\n
- Logiciel antivirus actif<\/strong> sur les terminaux, tel que Microsoft Defender ou des outils tiers tels que SentinelOne ou Bitdefender<\/li>\n
- PowerShell 5.1+ ou acc\u00e8s CMD<\/strong> pour l’\u00e9criture de commandes AV<\/li>\n
- Acc\u00e8s aux journaux d’analyse antivirus<\/strong> ou aux journaux d’\u00e9v\u00e9nements de s\u00e9curit\u00e9 Windows pour la surveillance des menaces<\/li>\n
- Configurations GPO optionnelles<\/strong> pour renforcer les param\u00e8tres de l’antivirus et activer la protection en temps r\u00e9el<\/li>\n<\/ul>\n
T\u00e2che 1 : Utiliser PowerShell pour d\u00e9tecter et mettre en quarantaine les logiciels malveillants<\/h2>\n\ud83d\udccc Cas d’utilisation :<\/strong><\/p>\nPowerShell permet aux administrateurs informatiques d’ex\u00e9cuter des scripts via RMM pour rechercher des menaces, enregistrer les \u00e9v\u00e9nements de d\u00e9tection et prendre des mesures. Il est fonctionnellement int\u00e9gr\u00e9 \u00e0 Microsoft Defender, ce qui permet une gestion manuelle et automatis\u00e9e des menaces.<\/p>\n Vous trouverez ci-dessous les t\u00e2ches recommand\u00e9es que vous pouvez effectuer avec PowerShell pour pr\u00e9venir ou r\u00e9pondre de mani\u00e8re proactive aux menaces de logiciels malveillants par le biais de RMM.<\/p>\n \n- Ouvrez PowerShell en tant qu’administrateur. Appuyez sur la touche Windows, tapez PowerShell<\/strong>, puis cliquez avec le bouton droit de la souris sur Windows PowerShell<\/strong> et s\u00e9lectionnez Ex\u00e9cuter en tant qu’administrateur<\/strong>.<\/li>\n
- Ex\u00e9cutez les commandes suivantes\u00a0:<\/li>\n<\/ol>\n
\n- \n
\n- Pour lancer une analyse rapide :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Start-MpScan -ScanType QuickScan<\/code><\/strong><\/p>\n\n- \n
\n- Pour passer en revue les menaces d\u00e9tect\u00e9es :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Get-MpThreatDetection | Format-List<\/code><\/strong><\/p>\n\n- \n
\n- Pour mettre les menaces en quarantaine :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Remove-MpThreat -ThreatID <ID> -Quarantine<\/code><\/strong><\/p>\n\n- \n
\n- Pour s’assurer que la protection en temps r\u00e9el est activ\u00e9e :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Set-MpPreference -DisableRealtimeMonitoring $false (D\u00e9sactiver la surveillance en temps r\u00e9el)<\/code><\/strong><\/p>\n\ud83d\udca1RMM role<\/em><\/strong>: RMM est un outil efficace pour aider les administrateurs syst\u00e8me \u00e0 programmer des analyses quotidiennes, \u00e0 enregistrer les menaces et \u00e0 mettre automatiquement en quarantaine les infections sur les terminaux.<\/em><\/p>\nT\u00e2che 2 : Utilisation de CMD pour l’analyse antivirus et la mise en quarantaine<\/h2>\n\ud83d\udccc Cas d’utilisation :<\/strong><\/p>\nLes appareils plus anciens peuvent b\u00e9n\u00e9ficier d’une analyse en ligne de commande via MpCmdRun.exe.<\/strong> Cette t\u00e2che est \u00e9galement utile lorsque l’acc\u00e8s \u00e0 PowerShell est limit\u00e9 et que le syst\u00e8me n\u00e9cessite une ex\u00e9cution simplifi\u00e9e des scripts via les fichiers batch de RMM.<\/p>\nVous trouverez ci-dessous les t\u00e2ches recommand\u00e9es \u00e0 l’aide de l’outil de ligne de commande de Microsoft Defender(MpCmdRun.exe)<\/strong> que vous pouvez ex\u00e9cuter avec l’Invite de commande pour pr\u00e9venir ou r\u00e9pondre de mani\u00e8re proactive aux menaces de logiciels malveillants par l’interm\u00e9diaire de RMM.<\/p>\n\n- Appuyez sur la touche Windows <\/strong>+ X<\/strong>, puis s\u00e9lectionnez Invite de commande (Admin)<\/strong> ou Terminal Windows (Admin)<\/strong>. Si vous utilisez le terminal Windows, assurez-vous que vous \u00eates dans un onglet de l’Invite de commande<\/strong>, et non dans PowerShell.<\/li>\n
- Ex\u00e9cutez les commandes suivantes\u00a0:<\/li>\n<\/ol>\n
\n- \n
\n- Pour lancer une analyse rapide :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
\"%ProgramFiles%\\NWindows Defender\\NMpCmdRun.exe\" -Scan -ScanType 1<\/code><\/strong><\/p>\n\n- \n
\n- Pour lancer une analyse compl\u00e8te :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
\"%ProgramFiles%\\NWindows Defender\\NMpCmdRun.exe\" -Scan -ScanType 2<\/code><\/strong><\/p>\n\n- \n
\n- Pour afficher l’historique des menaces mises en quarantaine :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
\"%ProgramFiles%\\NWindows Defender\\NMpCmdRun.exe\" -GetFiles<\/code><\/strong><\/p>\n\ud83d\udca1 R\u00f4le du RMM<\/strong>: Utilisez l’automatisation RMM pour d\u00e9ployer des scripts CMD en vue d’une analyse programm\u00e9e ou conditionnelle, en particulier sur les appareils dont les environnements de script sont limit\u00e9s.<\/p>\nT\u00e2che 3 : Surveillance des journaux d’\u00e9v\u00e9nements pour d\u00e9tecter les activit\u00e9s des logiciels malveillants<\/h2>\n\ud83d\udccc Cas d’utilisation :<\/strong><\/p>\nLes administrateurs informatiques peuvent tirer parti de la capacit\u00e9 des journaux Microsoft Defender \u00e0 enregistrer toutes les principales actions du syst\u00e8me. Ils peuvent s’en servir comme source pour surveiller l’activit\u00e9 des menaces.<\/p>\n \n- Ouvrez l’observateur d’\u00e9v\u00e9nements en appuyant sur la touche Windows <\/strong>+ R<\/strong>, en tapant eventvwr.msc<\/strong> et en appuyant sur Entr\u00e9e.<\/strong><\/li>\n
- Naviguez vers\u00a0:
\nJournaux des applications et services <\/strong>> Microsoft <\/strong>> Windows <\/strong>> Windows Defender <\/strong>> Op\u00e9rationnel<\/strong><\/li>\n- Recherchez les ID d’\u00e9v\u00e9nements<\/strong> correspondants :\n
\n- 1116<\/strong>: Malware d\u00e9tect\u00e9<\/li>\n
- 1117<\/strong>: Mesures prises<\/li>\n
- 2001<\/strong>: Menace supprim\u00e9e<\/li>\n
- 5007<\/strong>: Registre modifi\u00e9 (\u00e9ventuellement par un logiciel malveillant)<\/li>\n<\/ul>\n<\/li>\n
- Vous pouvez ensuite utiliser PowerShell pour contr\u00f4ler ces journaux en ex\u00e9cutant la commande suivante :<\/li>\n<\/ol>\n
Get-WinEvent -LogName \"Microsoft-Windows-Windows Defender\/Operational\" | Where-Object {$_.Id -eq 1116}<\/code><\/strong><\/p>\n\ud83d\udca1 R\u00f4le du RMM<\/strong>: Les politiques RMM peuvent \u00eatre configur\u00e9es pour surveiller ces \u00e9v\u00e9nements et d\u00e9clencher une rem\u00e9diation automatique. Ces actions peuvent inclure la mise en quarantaine du terminal ou la cr\u00e9ation d’un ticket d’assistance.<\/p>\nT\u00e2che 4 : Utilisation des indicateurs de registre DisableAntiSpyware et DisableAntiVirus pour l’isolation et le renforcement de la s\u00e9curit\u00e9<\/h2>\n\ud83d\udccc Cas d’utilisation :<\/strong><\/p>\nLes administrateurs informatiques peuvent utiliser les param\u00e8tres du registre pour renforcer rapidement le syst\u00e8me. Les indicateurs de registre permettent \u00e9galement de conna\u00eetre l’\u00e9tat de la protection antivirus et d’identifier les terminaux qui doivent \u00eatre isol\u00e9s.<\/p>\n \n- Ouvrez PowerShell en tant qu’administrateur. Appuyez sur la touche Windows, tapez PowerShell<\/strong>, puis cliquez avec le bouton droit de la souris sur Windows PowerShell<\/strong> et s\u00e9lectionnez Ex\u00e9cuter en tant qu’administrateur<\/strong>.<\/li>\n
- Ex\u00e9cutez les commandes suivantes\u00a0:<\/li>\n<\/ol>\n
\n- \n
\n- Pour v\u00e9rifier si Defender est d\u00e9sactiv\u00e9 :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Get-ItemProperty -Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows Defender\" -Name \"DisableAntiSpyware\", \"DisableAntiVirus\"<\/code><\/strong><\/p>\n\n- \n
\n- Pour r\u00e9activer Defender :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Set-ItemProperty -Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows Defender\" -Name \"DisableAntiSpyware\" -Value 0<\/code><\/strong><\/p>\nSet-ItemProperty -Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows Defender\" -Name \"DisableAntiVirus\" -Value 0<\/code><\/strong><\/p>\n\n- \n
\n- Pour activer la protection du r\u00e9seau :<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Set-MpPreference -EnableNetworkProtection Enabled (activer la protection du r\u00e9seau)<\/code><\/strong><\/p>\n\ud83d\udca1 R\u00f4le du RMM<\/strong>: La surveillance des cl\u00e9s de registre via RMM permet de d\u00e9tecter les modifications malveillantes et de prendre rapidement des mesures correctives ou de retour en arri\u00e8re.<\/p>\nT\u00e2che 5 : Renforcer les param\u00e8tres de l’antivirus via la strat\u00e9gie de groupe<\/h2>\n\ud83d\udccc Cas d’utilisation :<\/strong><\/p>\nLes objets de strat\u00e9gie de groupe (GPO) permettent d’appliquer une ligne de base stable \u00e0 tous les appareils, ce qui garantit que les param\u00e8tres de protection et d’analyse en temps r\u00e9el restent actifs.<\/p>\n \n- Ouvrez la strat\u00e9gie de groupe en tant qu’administrateur. Appuyez sur la touche Windows<\/strong>, tapez gpedit.msc<\/strong>, puis appuyez sur Ctrl<\/strong> + Shift<\/strong> + Entr\u00e9e<\/strong> pour l’ex\u00e9cuter en tant qu’administrateur.<\/li>\n
- Naviguez vers\u00a0: Configuration de l’ordinateur<\/strong> > Mod\u00e8les d’administration<\/strong> > Composants<\/strong> Windows<\/strong> > Antivirus Microsoft Defender<\/strong><\/li>\n
- V\u00e9rifiez chacun des param\u00e8tres suivants et assurez-vous qu’ils sont configur\u00e9s correctement :<\/li>\n<\/ol>\n
\n\n\nParam\u00e8tre<\/strong><\/td>\nStatut recommand\u00e9<\/strong><\/td>\n<\/tr>\n\n\u00ab\u00a0D\u00e9sactiver l’antivirus Microsoft Defender\u00a0\u00bb<\/strong><\/td>\n| D\u00e9sactiv\u00e9<\/td>\n<\/tr>\n | \n\u00ab\u00a0Autoriser le service antimalware \u00e0 rester toujours en cours d’ex\u00e9cution\u00a0\u00bb<\/strong><\/td>\n| Activ\u00e9<\/td>\n<\/tr>\n | \n\u00ab\u00a0D\u00e9sactiver la protection en temps r\u00e9el<\/strong><\/td>\n| D\u00e9sactiv\u00e9<\/td>\n<\/tr>\n | \n\u00ab\u00a0Activer la surveillance du comportement<\/strong><\/td>\n| Activ\u00e9<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \ud83d\udca1 R\u00f4le du RMM<\/strong>: L’association de GPO et de RMM garantit que les terminaux restent conformes aux politiques de s\u00e9curit\u00e9 et qu’ils sont toujours pr\u00eats \u00e0 r\u00e9agir aux logiciels malveillants.<\/p>\nT\u00e2che 6 : Mise en quarantaine des terminaux via l’isolation du r\u00e9seau et des services<\/h2>\n\ud83d\udccc Cas d’utilisation :<\/strong><\/p>\nCette t\u00e2che est cruciale lorsque les logiciels malveillants sont class\u00e9s comme \u00e9tant \u00e0 haut risque. Les administrateurs informatiques peuvent utiliser PowerShell pour d\u00e9sactiver la connectivit\u00e9 et les services \u00e0 risque.<\/p>\n \n- Ouvrez PowerShell en tant qu’administrateur. Appuyez sur la touche Windows, tapez PowerShell<\/strong>, puis cliquez avec le bouton droit de la souris sur Windows PowerShell<\/strong> et s\u00e9lectionnez Ex\u00e9cuter en tant qu’administrateur<\/strong>.<\/li>\n
- Ex\u00e9cutez les commandes suivantes\u00a0:<\/li>\n<\/ol>\n
| | | | | | |
|