Quarantaine (Endpoint)
Qu'est-ce que Quarantaine (Endpoint) ?
Quarantaine (Endpoint)Action de securite endpoint qui deplace un fichier suspect de son emplacement d'origine vers un magasin controle et neutralise pour qu'il ne puisse pas s'executer mais reste analysable.
La quarantaine est l'action de reponse historique des AV, NGAV et EDR lorsqu'un fichier est qualifie de malveillant. L'agent retire le fichier du disque (ou interdit son acces), le chiffre avec une cle que lui seul connait et le stocke dans un repertoire protege — par exemple ProgramData\Microsoft\Windows Defender\Quarantine sous Windows ou /Library/Application Support/CrowdStrike sous macOS — accompagne des metadonnees de detection. Defender, ESET, CrowdStrike, SentinelOne et Sophos offrent une console centrale dans laquelle l'administrateur peut consulter, liberer apres triage ou soumettre l'echantillon au laboratoire cloud. La quarantaine differe de l'isolation d'endpoint : elle neutralise un fichier, l'isolation coupe la machine entiere. Les deux sont souvent orchestrees via des playbooks SOAR.
● Exemples
- 01
Microsoft Defender met en quarantaine un document Word a macro telecharge et garde la copie chiffree pour analyse ulterieure.
- 02
ESET Inspect libere un PDF en quarantaine identifie a tort comme Bredolab apres triage de l'analyste.
● Questions fréquentes
Qu'est-ce que Quarantaine (Endpoint) ?
Action de securite endpoint qui deplace un fichier suspect de son emplacement d'origine vers un magasin controle et neutralise pour qu'il ne puisse pas s'executer mais reste analysable. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Quarantaine (Endpoint) ?
Action de securite endpoint qui deplace un fichier suspect de son emplacement d'origine vers un magasin controle et neutralise pour qu'il ne puisse pas s'executer mais reste analysable.
Comment fonctionne Quarantaine (Endpoint) ?
La quarantaine est l'action de reponse historique des AV, NGAV et EDR lorsqu'un fichier est qualifie de malveillant. L'agent retire le fichier du disque (ou interdit son acces), le chiffre avec une cle que lui seul connait et le stocke dans un repertoire protege — par exemple ProgramData\Microsoft\Windows Defender\Quarantine sous Windows ou /Library/Application Support/CrowdStrike sous macOS — accompagne des metadonnees de detection. Defender, ESET, CrowdStrike, SentinelOne et Sophos offrent une console centrale dans laquelle l'administrateur peut consulter, liberer apres triage ou soumettre l'echantillon au laboratoire cloud. La quarantaine differe de l'isolation d'endpoint : elle neutralise un fichier, l'isolation coupe la machine entiere. Les deux sont souvent orchestrees via des playbooks SOAR.
Comment se défendre contre Quarantaine (Endpoint) ?
Les défenses contre Quarantaine (Endpoint) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Quarantaine (Endpoint) ?
Noms alternatifs courants : Quarantaine de fichier, Quarantaine malware, Quarantaine endpoint.
● Termes liés
- defense-ops№ 050
Antivirus (AV)
Logiciel d'endpoint qui detecte et supprime les fichiers malveillants au moyen de bases de signatures, d'analyses fichier et d'heuristiques basiques ; base historique de la securite endpoint.
- defense-ops№ 725
Antivirus de nouvelle generation (NGAV)
Protection endpoint qui complete la detection par signatures avec des modeles ML, de l'analyse comportementale et de la prevention d'exploits pour stopper les menaces inconnues et fileless.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- defense-ops№ 381
Isolation d'endpoint
Action de reponse EDR qui coupe la connectivite reseau d'un poste compromis (sauf vers l'outil de securite) pour empecher le mouvement lateral pendant l'investigation.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
- forensics-ir№ 650
Analyse de maliciel
Étude structurée d'un échantillon malveillant pour comprendre son fonctionnement, son origine, ses indicateurs de compromission et son impact sur les systèmes touchés.