Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Remédiation & SOAR

Comment isoler un poste infecté par un ransomware avec Microsoft Intune

5 min de lecture Akuity SOC · Delphisoft Deutschland

Découvrez comment déclencher l'isolation réseau d'urgence d'une machine compromise via Microsoft Intune et l'API Graph depuis votre console SOAR.

Lorsqu'un ransomware parvient à s'exécuter sur un poste de travail au sein de votre entreprise, la vitesse de réaction est l'unique facteur qui sépare un incident mineur d'un désastre industriel. Une fois implanté, le logiciel malveillant va chercher à scanner le réseau local pour rebondir vers d'autres cibles (serveurs de fichiers, contrôleurs de domaine). C'est ce qu'on appelle le mouvement latéral.

Pour stopper cette propagation fulgurante, la mesure d'urgence absolue est le confinement. Découvrez comment l'orchestrateur Akuity SOC s'interface avec Microsoft Intune et Defender for Endpoint pour déclencher l'isolement réseau immédiat d'une machine compromise, à distance et en un seul clic.

Le mécanisme de l'isolement réseau (Isolate Device)

Qu'est-ce que l'isolement réseau dans l'écosystème Microsoft ? Contrairement à une simple déconnexion Wi-Fi ou au débranchement d'un câble ethernet (qui nécessite une présence physique ou l'action de l'utilisateur), l'isolement active un pare-feu logiciel ultra-restrictif directement au niveau du noyau de Windows Defender.

Lorsque la commande d'isolement est reçue par la machine :

  1. Tout le trafic réseau entrant et sortant du poste de travail est instantanément coupé.
  2. L'attaquant qui contrôlait la machine à distance via un outil de commande (Reverse Shell) perd immédiatement son accès.
  3. Le ransomware ne peut plus communiquer avec son serveur C2 pour récupérer la clé de chiffrement, ni scanner le réseau interne de l'entreprise.

L'exception de sécurité

Fait crucial : l'isolement maintient une seule et unique ligne de communication ouverte : la connexion cryptographique sécurisée vers les serveurs cloud de Microsoft Defender et d'Intune. Cela permet à votre équipe de sécurité de garder le contrôle de la machine à distance, d'analyser les processus et de mener l'enquête, sans que le poste ne représente un danger pour le reste de l'organisation.

L'exécution de la remédiation depuis le Cockpit Akuity SOC

Dans une console SOC traditionnelle, isoler un appareil demande d'ouvrir le portail d'administration Microsoft Intune, de rechercher la machine par son numéro de série ou son nom, de valider plusieurs menus et d'attendre la synchronisation. En pleine crise cyber, ces manipulations créent une latence critique.

L'interface d'Akuity SOC élimine ces étapes intermédiaires grâce à une intégration API directe.

Étape 1 : Identification du risque

L'analyste SOC ou le gestionnaire informatique navigue dans l'onglet "Appareils à risque" de la plateforme. Cet espace rassemble de manière centralisée toutes les machines du workspace (postes Windows, macOS, serveurs) gérées par Intune qui font l'objet d'alertes de menaces actives ou de non-conformité. Un moteur de recherche unifié permet de filtrer instantanément par nom de machine ou par système d'exploitation avec un système de réinitialisation rapide.

Étape 2 : L'obligation du MFA (Sécurité AAL2)

Isoler le PC d'un utilisateur (comme le directeur financier) est une action lourde qui coupe son outil de travail. Pour empêcher qu'un pirate n'exploite cette fonctionnalité, Akuity applique une sécurité drastique. L'action d'isolement (isolateDevice) exige une validation par double authentification (MFA). L'analyste doit saisir le code à 6 chiffres généré par son application Google ou Microsoft Authenticator. Sans cette élévation au niveau de session AAL2, le serveur Next.js rejette la commande.

Étape 3 : L'appel API asynchrone

Une fois le code MFA validé, le backend d'Akuity envoie une requête asynchrone vers l'endpoint de remédiation Microsoft Graph : /microsoft.graph.isolate. Un toast de notification éphémère apparaît instantanément en bas de l'interface pour confirmer le succès de l'envoi de la commande de sécurité. La machine est confinée en quelques secondes, et l'analyste peut alors lancer, toujours depuis l'interface, un Scan Antivirus rapide à distance pour nettoyer le poste.

Conclusion : Gagnez la course contre le chiffrement

Face aux ransomwares, l'asymétrie opérationnelle penche en faveur de celui qui agit le plus vite. En centralisant la gestion de vos appareils à risque et en permettant un confinement réseau à la seconde sans quitter votre cockpit de supervision, vous neutralisez la propagation des menaces avant qu'elles ne paralysent votre activité métier.

Ne laissez plus les ransomwares se propager sur votre réseau. > Découvrez la puissance de notre Orchestrateur SOAR Microsoft Security sans Agent et testez l'isolement réseau en environnement sécurisé.

Page Solution Associée

Orchestrateur SOAR Microsoft Security sans Agent

Réduisez votre MTTR avec une orchestration SOAR 1-Clic pour Microsoft Security. Intégration API immédiate, zéro agent et confinement réseau automatisé.

Découvrir la solution complète

Articles du même cluster

Pourquoi votre PME a besoin d'un SOAR Microsoft Defender (et pas juste d'un SIEM)

Découvrez la différence fondamentale entre un SIEM et un SOAR pour votre PME. Réduisez votre MTTR et automatisez votre réponse aux incidents Microsoft.

Lire →

Comment déployer un orchestrateur de sécurité sans installer le moindre agent

Découvrez comment l'architecture Zéro Agent d'Akuity SOC élimine les frictions de déploiement et sécurise votre infrastructure Microsoft par API.

Lire →

Purge de Phishing M365 : Supprimer un email sur tout un tenant

Une campagne de phishing cible vos collaborateurs ? Découvrez comment exécuter une purge globale de mail (Soft-Delete) via Microsoft Graph Security.

Lire →

Le guide complet des permissions Microsoft Graph API pour la sécurité

Découvrez les permissions Microsoft Graph API indispensables pour piloter un SOAR sécurisé (Least Privilege) et automatiser vos remédiations cyber.

Lire →