Microsoft 365 Defender : comprendre l'architecture de sécurité unifiée
Microsoft 365 Defender n'est pas un simple produit de sécurité : c'est une suite intégrée de services, d'outils et de capacités de détection et réponse étendue (XDR – Extended Detection and Response). Son objectif est d'implémenter concrètement le modèle Zero Trust de Microsoft, selon lequel aucune identité, aucun appareil et aucune application n'est considéré comme fiable par défaut — tout doit être vérifié, en permanence.
Cet article présente l'ensemble des composants clés disponibles dans le portail security.microsoft.com, leurs fonctions respectives, et les actions prioritaires à mettre en place pour sécuriser votre tenant Microsoft 365.
Portail unifié
Depuis sa refonte, le portail Microsoft Defender est accessible via security.microsoft.com. Il centralise l'ensemble des outils de sécurité Microsoft 365 dans une interface unique, remplaçant les anciens portails séparés.
Modèle de licences : trois niveaux de protection
Avant d'explorer les fonctionnalités, il est essentiel de comprendre le modèle de licences, qui conditionne directement les capacités disponibles.
| Plan | Profil | Capacités principales |
|---|---|---|
| Exchange Online Protection (EOP) | Tous les clients Microsoft 365 | Anti-malware, anti-spam, anti-phishing basique |
| Defender for Business / Plan 1 | PME et investigation manuelle | Threat Intelligence, analyse des menaces, correction manuelle |
| Defender XDR (E5 / E3 + add-ons) | Entreprises avec SOC | Suite complète : investigation, réponse automatisée, isolation de machines, UEBA |
- EOP : inclus dans toutes les souscriptions Microsoft 365, il assure la protection email de base.
- Defender Plan 1 (inclus dans Microsoft 365 Business Premium) : ajoute Safe Attachments, Safe Links et des capacités de détection avancées.
- Defender XDR / Plan 2 (E5 ou E5 Security) : active la réponse automatisée aux incidents, l'Attack Simulator, Threat Analytics avancé et l'intégration complète avec Defender for Identity et Defender for Endpoint.
Essai gratuit
Le portail Defender propose des essais de 30 jours pour les add-ons premium. Profitez-en pour tester les capacités XDR complètes avant tout engagement commercial.
Secure Score : votre tableau de bord de posture de sécurité
Le Secure Score est le point de départ recommandé pour tout administrateur qui prend en main un tenant Microsoft 365. Il fournit une évaluation chiffrée de la posture de sécurité de votre organisation, décomposée par domaine :
- Identité : politiques MFA, accès conditionnel, credentials résistants au phishing
- Données : protection des informations, DLP, sensitivity labels
- Applications : politiques OAuth, Shadow IT, Defender for Cloud Apps
- Appareils : conformité Intune, patch management, surface d'attaque
Chaque recommandation est accompagnée d'un guide pas-à-pas d'implémentation, d'un historique des modifications et de la possibilité d'assigner l'action à un membre de l'équipe.
Benchmarking sectoriel
Le Secure Score inclut une comparaison avec des tenants similaires (même secteur, même taille). Cet indicateur est précieux pour identifier les écarts par rapport aux bonnes pratiques du marché.
Accès : Exposure Management > Secure Score dans le portail Defender.
Protection email et collaboration : les politiques incontournables
Les politiques de base incluses dans EOP
Tous les clients Microsoft 365 bénéficient automatiquement des politiques suivantes via Exchange Online Protection :
- Anti-malware : 9 moteurs d'analyse en parallèle
- Anti-spam : filtrage entrant et sortant
- Anti-phishing : détection des tentatives d'usurpation d'identité
Ces politiques sont accessibles via Email & Collaboration > Policies & Rules > Threat Policies.
Safe Attachments : la première ligne de défense
Safe Attachments est l'une des fonctionnalités les plus critiques disponibles avec Defender Plan 1 (Business Premium, E5, E3 + Defender add-on). Son fonctionnement repose sur un mécanisme de détonation :
- Le message est délivré à l'utilisateur sans la pièce jointe
- La pièce jointe est exécutée dans un environnement sandbox isolé
- L'analyse vérifie : exécution de code, appels registre, comportements malveillants
- Si la pièce jointe est saine, elle est réattachée et livrée (délai de quelques secondes)
- Si elle est malveillante, elle est supprimée définitivement
Accéder aux politiques Safe Attachments
Dans le portail Defender, naviguez vers Email & Collaboration > Policies & Rules > Threat Policies > Safe Attachments.
Créer une nouvelle politique
Cliquez sur Create et nommez votre politique. Définissez le scope : utilisateurs individuels, groupes (ex. : Sales & Marketing) ou domaine entier.
Configurer l'action
Choisissez l'action Dynamic Delivery (recommandée en production) pour délivrer le message sans délai tout en analysant la pièce jointe en arrière-plan. L'option Block est plus restrictive mais peut impacter la productivité.
Configurer la redirection (optionnel)
Activez la redirection vers une boîte aux lettres de monitoring dédiée pour les pièces jointes bloquées. Utile pour les équipes SOC qui souhaitent analyser les artefacts malveillants.
Activation obligatoire
Safe Attachments est désactivé par défaut. Si vous disposez de la licence appropriée, son activation est une priorité absolue. Ne laissez pas cette fonctionnalité inactive dans votre environnement de production.
Safe Links : protection contre les URL malveillantes
Safe Links protège vos utilisateurs contre plus de 4 milliards de liens malveillants connus et inconnus. Il fonctionne en temps réel sur :
- Les emails Outlook
- Les messages Microsoft Teams
- Les documents Office
Le comportement est le suivant :
- Lien en cours d'analyse : indicateur visuel jaune
- Lien malveillant détecté : blocage avec page d'avertissement rouge
- Lien sain : redirection transparente vers la destination
La configuration est similaire à Safe Attachments : Email & Collaboration > Policies & Rules > Threat Policies > Safe Links. Les paramètres par défaut sont suffisants dans la majorité des cas pour une protection immédiate.
Attack Simulator : tester la résilience humaine
Disponible avec Defender Plan 2 (E5 / E3 + add-on), l'Attack Simulator permet de lancer des campagnes de phishing simulées contre vos propres utilisateurs. Les fonctionnalités clés incluent :
- Bibliothèque de templates basés sur les dernières techniques d'attaque réelles
- Ciblage par groupe, département ou utilisateur individuel
- Modules de formation automatiques pour les utilisateurs qui cliquent sur les leurres
- Rapports de suivi : taux de clic, taux de signalement, progression dans le temps
Référence Microsoft
Documentation officielle : Attack simulation training in Microsoft Defender
Defender for Identity : sécuriser Active Directory et les identités hybrides
Defender for Identity surveille les comportements des comptes utilisateurs et des entités grâce à l'UEBA (User and Entity Behavior Analytics). Il est particulièrement efficace dans les environnements hybrides utilisant Active Directory on-premises.
Déploiement du capteur sur les contrôleurs de domaine
Accéder aux paramètres Identity
Dans le portail Defender, naviguez vers Settings > Identities pour accéder à la configuration de Defender for Identity.
Télécharger et installer le capteur
Téléchargez le package d'installation du capteur directement depuis le portail. Exécutez-le sur chaque contrôleur de domaine Active Directory à surveiller.
Configurer la clé d'accès
Lors de l'installation, renseignez la clé d'accès générée depuis le portail Defender. Cette clé établit la liaison sécurisée entre le capteur et le service cloud.
Vérifier la remontée des données
Une fois le capteur actif, le tableau de bord Identities commence à afficher les activités, les alertes comportementales et les chemins d'attaque potentiels.
Le capteur analyse en temps réel :
- Les pass-the-hash et pass-the-ticket attacks
- Les tentatives de reconnaissance LDAP
- Les modifications suspectes sur des groupes privilégiés
- Les comportements anormaux de connexion (heure, localisation, fréquence)
Référence Microsoft
Guide de déploiement officiel : Deploy Microsoft Defender for Identity sensors
Defender for Endpoint : protection des postes de travail et serveurs
Defender for Endpoint couvre l'ensemble des endpoints : postes Windows, macOS, Linux, iOS et Android. L'onboarding peut être réalisé via plusieurs méthodes.
Script PowerShell de vérification post-onboarding
Après le déploiement, vous pouvez vérifier que le service Defender for Endpoint est bien actif sur un poste Windows avec le script suivant :
1# Vérification du statut du service Sense (Defender for Endpoint)2$service = Get-Service -Name "Sense" -ErrorAction SilentlyContinue3 4if ($service) {5 Write-Host "Defender for Endpoint - Statut : $($service.Status)" -ForegroundColor Green6 7 # Vérification de la version du capteur8 $defenderInfo = Get-MpComputerStatus9 Write-Host "Version de la plateforme MDE : $($defenderInfo.AMProductVersion)"10 Write-Host "Dernière mise à jour des signatures : $($defenderInfo.AntivirusSignatureLastUpdated)"11} else {12 Write-Host "Le service Sense n'est pas trouvé. L'onboarding n'est pas effectué." -ForegroundColor Red13}Script PowerShell d'onboarding en masse via Intune (vérification de conformité)
1# Vérification de l'onboarding MDE sur plusieurs machines via Get-MgDevice (Microsoft Graph)2# Prérequis : module Microsoft.Graph installé et connecté3 4Connect-MgGraph -Scopes "Device.Read.All"5 6$devices = Get-MgDevice -All | Select-Object DisplayName, OperatingSystem, OperatingSystemVersion, TrustType7 8foreach ($device in $devices) {9 Write-Output "[$($device.DisplayName)] OS: $($device.OperatingSystem) $($device.OperatingSystemVersion) | Trust: $($device.TrustType)"10}Méthodes d'onboarding disponibles
- Microsoft Intune : méthode recommandée pour les environnements cloud-first et hybrides
- Group Policy (GPO) : pour les environnements Active Directory on-premises
- Script local : déploiement manuel ou via SCCM
- Microsoft Defender for Cloud : pour les machines virtuelles Azure
L'accès à la configuration se fait via Settings > Endpoints > Onboarding dans le portail Defender.
Script PowerShell d'activation inclus
Le package d'onboarding téléchargé depuis le portail Defender inclut un script PowerShell de validation (WindowsDefenderATPOnboardingScript.cmd) qui vérifie que l'agent est correctement installé et communique avec le service cloud.
Threat Intelligence : anticiper les menaces émergentes
La section Threat Intelligence > Threat Analytics est conçue pour les analystes SOC. Elle fournit :
- Les rapports d'analystes Microsoft sur les menaces actives (groupes APT, ransomware, techniques MITRE ATT&CK)
- L'impact sur votre tenant : avez-vous des endpoints exposés à cette menace ?
- Les indicateurs de compromission (IoC) associés
- Les actions recommandées avec prioritisation
- L'état de patching de vos endpoints par rapport aux CVE exploitées
Référence Microsoft
Documentation complète : Threat analytics in Microsoft Defender XDR
Exposure Management : visualiser et réduire la surface d'attaque
La section Exposure Management offre une vue consolidée de la surface d'attaque de votre organisation :
- Attack Surface Map : cartographie des chemins d'attaque potentiels
- Vulnerability Management : CVE détectées sur vos endpoints, avec score CVSS et patch disponible
- Secure Score : (voir section dédiée ci-dessus)
- Data Connectors : intégration de sources tierces (AWS, GCP, outils SIEM)
Récapitulatif des composants Microsoft 365 Defender
| Composant | Protège quoi ? | Licence minimale |
|---|---|---|
| Exchange Online Protection | Email entrant/sortant | Toutes les licences M365 |
| Safe Attachments | Pièces jointes malveillantes | Business Premium / Plan 1 |
| Safe Links | URLs malveillantes | Business Premium / Plan 1 |
| Attack Simulator | Sensibilisation utilisateurs | Plan 2 / E5 |
| Defender for Identity | Identités AD et hybrides | Plan 2 / E5 |
| Defender for Endpoint | Postes, serveurs, mobiles | Plan 1 / Plan 2 |
| Threat Analytics | Intelligence sur les menaces | Plan 2 / E5 |
| Exposure Management | Surface d'attaque globale | E5 / E5 Security |
Conclusion : par où commencer ?
Face à la richesse des composants disponibles, voici les priorités d'action recommandées pour un démarrage efficace avec Microsoft 365 Defender :
- Consulter le Secure Score et traiter les recommandations à fort impact (MFA, Conditional Access)
- Activer Safe Attachments et Safe Links immédiatement si vous disposez des licences appropriées
- Déployer le capteur Defender for Identity sur vos contrôleurs de domaine AD
- Onboarder vos endpoints via Intune pour bénéficier de la protection EDR
- Consulter Threat Analytics régulièrement pour rester informé des menaces actives
- Lancer une campagne Attack Simulator pour mesurer la résilience de vos utilisateurs
Prérequis de licences
Vérifiez toujours vos licences actives avant de configurer les fonctionnalités. Certaines options (Attack Simulator, Threat Analytics complet, Defender for Identity) nécessitent Microsoft 365 E5 ou des add-ons spécifiques. Utilisez le Microsoft 365 Licensing Diagrams comme référence : M365 Maps.
Pour aller plus loin, explorez les ressources de formation disponibles directement dans le portail Defender via Learning Hub, qui pointe vers les parcours officiels Microsoft Learn.



