Formation - Se défendre contre les cybermenaces avec Microsoft Defender XDR

1 - Réduire le nombre d’incidents avec Microsoft Defender XDR

• Présentation : vue unifiée des incidents XDR (Microsoft 365 Defender) et priorisation des risques.
• Utiliser le portail Microsoft Defender : navigation, files d’incidents, corrélation multi-signaux (EDR/XDR).
• Gérer et investiguer les incidents : chronologie, preuves, liens avec alertes et entités.
• Gérer et examiner les alertes : tuning, suppression, notifications d’alerte ciblées.
• Enquêtes automatisées : déclenchement, validation et remédiation automatisée.
• Centre de notifications : configuration et bonnes pratiques SOC.
• Recherche avancée de menaces (threat hunting) : requêtes KQL de base, filtres, partitions.
• Journaux de connexion Microsoft Entra ID : exploitation pour l’investigation.
• Niveau de sécurité Microsoft (Secure Score) : lecture, quick wins et plans d’action.
• Analyser menaces et rapports : tableaux de bord, export/partage.
• Configurer le portail Microsoft Defender : rôles, permissions, conformité.
Ateliers

Gérer les incidents pour Microsoft Defender XDR

Examiner les incidents pour Microsoft Defender XDR

Effectuer une recherche avancée dans Microsoft Defender XDR

2 - Déployer l’environnement Microsoft Defender for Endpoint

• Présentation : architectures EDR/XDR et prérequis.
• Créer votre environnement : canaux, connecteurs, paramètres de base.
• Compatibilité et fonctionnalités OS : Windows, macOS, Linux, mobiles.
• Appareils intégrés (onboarding) : scripts, GPO, Intune, vérifications.
• Gérer l’accès : RBAC, contrôle d’accès en fonction du rôle.
• Groupes d’appareils : segmentation, priorisation SOC.
• Fonctionnalités avancées : blocage d’applications, réduction de surface d’attaque, isolations réseau.
Ateliers

Créer votre environnement Microsoft Defender pour point de terminaison

Intégrer des périphériques devant être analysés par Microsoft Defender pour point de terminaison

Configurer les paramètres de Microsoft Defender pour point de terminaison

3 - Configurer les alertes et détections dans Defender for Endpoint

• Présentation : principes, détection comportementale.
• Fonctionnalités avancées : indicateurs personnalisés (hash, IP, URL).
• Notifications d’alerte : canaux, destinataires, SLA SOC.
• Suppression d’alerte : critères, gouvernance.
• Gérer les indicateurs : cycle de vie, exceptions.
Ateliers

Configurer les paramètres d’alerte dans Microsoft Defender pour point de terminaison

Gérer les indicateurs dans Microsoft Defender pour point de terminaison

4 - Automatisation avec Microsoft Defender for Endpoint

• Présentation : scénarios d’auto-investigation/remédiation.
• Fonctionnalités avancées : niveaux d’automatisation, approbations.
• Paramètres de téléchargement et dossiers : bonnes pratiques.
• Investigation et correction automatisées : playbooks type.
• Bloquer les appareils à risque : critères et workflows.
Ateliers

Configurer des fonctionnalités avancées de Microsoft Defender pour le point de terminaison

Gérer les paramètres d’automatisation dans Microsoft Defender pour le point de terminaison

5 - Enquêter sur les appareils (forensique légère)

• Présentation : cycle d’investigation.
• Inventaire des appareils : recherche, balises, santé.
• Examiner l’appareil : chronologie, artefacts, preuves.
• Blocage comportemental : politiques, tests.
• Découverte d’appareils : visibilité, shadow IT.
Ateliers

Utiliser la page de l’appareil dans Microsoft Defender pour point de terminaison

Décrire les informations forensiques sur les appareils collectées par Microsoft Defender pour point de terminaison

Décrire le blocage comportemental par Microsoft Defender pour point de terminaison

6 - Se défendre contre les cybermenaces avec Microsoft Defender XDR (labs)

• Configurer l’environnement Microsoft Defender XDR.
• Déployer Defender for Endpoint et intégrer les appareils.
• Atténuer les attaques : de l’alerte à la remédiation automatisée.
• Résumé : capitalisation des requêtes KQL, check-list SOC.