Au sein d'un centre d'opérations de sécurité (SOC), l'aboutissement d'une investigation réussie se solde souvent par une action de blocage. Une fois que l'analyste a repéré un fichier malveillant (via son Hash SHA256) ou identifié un serveur "Command & Control" (via son adresse IP ou son nom de domaine), il doit s'assurer que cette menace ne puisse plus jamais interagir avec le réseau de l'entreprise.
Dans l'écosystème Microsoft 365, cette opération consiste à injecter un Indicateur de Compromission (IOC) de type "Block" (Bloquer) dans Defender for Endpoint.
Pourtant, une erreur courante chez les administrateurs juniors est de configurer ces blocages de manière permanente ("Ne jamais expirer"). Cette pratique conduit invariablement à des pannes réseaux majeures quelques mois plus tard. Découvrez pourquoi la "Best Practice" de l'industrie exige une validité stricte de 90 jours et comment l'orchestrateur Akuity SOC applique cette règle par défaut.
Le mécanisme de blocage d'IOC dans Microsoft Defender
Microsoft Defender for Endpoint possède une fonctionnalité puissante : la gestion des indicateurs personnalisés (Custom Threat Indicators). Accessible via l'API native /api/indicators, cette fonctionnalité permet aux administrateurs de définir des règles de priorité qui supplantent les décisions de l'antivirus de base.
Lorsqu'une action est définie sur "Block", le comportement est radical :
- Hash de fichier (SHA256) : Si Windows Defender détecte un fichier correspondant à ce hash sur le disque dur d'un utilisateur, l'exécution est bloquée et le fichier est automatiquement mis en quarantaine ou supprimé.
- Adresses IP / Domaines : Grâce à la protection réseau de Defender (Network Protection), toute communication entrante ou sortante vers cette infrastructure est bloquée directement au niveau de la couche réseau de la machine, peu importe l'application utilisée (Chrome, Edge, ou un script caché).
Pourquoi le blocage permanent (Never Expire) est dangereux ?
Le premier réflexe d'un analyste est de penser : "Si ce serveur héberge un malware aujourd'hui, je veux le bloquer pour toujours". Cette logique omet une réalité technique fondamentale d'Internet : le recyclage des infrastructures.
- L'éphémérité des IP Cloud : La grande majorité des attaques proviennent aujourd'hui de serveurs virtuels loués sur AWS, Google Cloud, DigitalOcean ou OVH. Le cybercriminel loue un serveur, obtient l'IP
192.168.x.x(pour l'exemple), lance son attaque, puis détruit le serveur. Quelques jours plus tard, cette même adresse IP publique est réattribuée par le fournisseur cloud à une startup parfaitement légitime. Si vous avez bloqué cette IP de façon permanente, vos employés ne pourront plus accéder au site de cette startup. - Le nettoyage des noms de domaine (Sinkholing) : Lorsqu'un nom de domaine malveillant est repéré par les autorités (Europol, FBI), il est souvent saisi (Sinkholed). Il cesse d'être une menace et sert parfois de serveur de redirection sécurisé pour identifier les victimes.
- La pollution des pare-feu : Accumuler des milliers de règles de blocage obsolètes ralentit les moteurs de filtrage et crée un cauchemar de maintenance (dette technique) pour les équipes réseaux qui devront, un jour, chercher pourquoi tel service partenaire est inaccessible.
La règle d'or des 90 Jours : L'équilibre parfait
L'industrie de la cybersécurité (notamment les équipes de Threat Intelligence comme celles d'AlienVault OTX) considère que la durée de vie "utile" d'un Indicateur de Compromission lié à l'infrastructure réseau est très courte. Une adresse IP d'attaquant change souvent en moins de 48 heures.
La durée de 90 jours (3 mois) offre le parfait équilibre :
- Elle couvre largement la durée d'une campagne d'attaque active ou persistante (APT).
- Elle donne le temps à l'entreprise de corriger la vulnérabilité d'origine (Patch Management).
- Elle garantit que la liste de blocage de Microsoft Defender (Indicators list) se "nettoie" (Self-Cleaning) automatiquement, empêchant les faux positifs futurs sur des adresses IP recyclées.
L'automatisation intelligente avec Akuity SOC
Dans les portails d'administration classiques, définir la date d'expiration exacte demande de calculer les jours manuellement sur un calendrier. Pour l'analyste SOC en pleine remédiation d'urgence, c'est une friction inutile.
L'orchestrateur Akuity SOC applique le "Security by Design" (la sécurité par conception). Dans le Panel de Ticket de la plateforme, lorsque l'analyste clique sur l'action de remédiation "Bloquer l'IOC" (blockIocOnTenant), le middleware s'occupe de la logique technique.
Après validation de la double authentification de l'analyste (niveau AAL2 indispensable pour modifier des règles globales affectant tout le tenant), le système forge le payload de la requête pour l'API Defender. Il y injecte automatiquement le paramètre d'action "Block" et génère une date d'expiration d'exactement Now + 90 Days.
L'analyste n'a pas à s'inquiéter de la maintenance de sa liste d'IOCs. Le système se protège instantanément contre l'attaque en cours, tout en évitant de créer une dette technique pour les mois à venir.
Industrialisez votre Threat Intelligence sans créer de dette technique. > Apprenez à gérer intelligemment vos listes de blocage via notre module d'Évaluation et blocage d'IOCs avec AlienVault.