• [Intune] Les stratégies restent avec un statut Pending sur les périphériques Windows

    Vous enregistrez un périphérique Windows 10 manuellement dans Microsoft Intune via l’application Paramètres. Vous ne constatez aucune application de stratégies, d’applications, etc. Sur le portail Microsoft Endpoint Manager, le périphérique affiche un statut en attente (Pending).

    Le problème survient car vous êtes toujours connecté avec un compte administrateur local. En effet, une machine doit pouvoir récupérer un token Azure AD afin de s’authentifier sur le service et récupérer les stratégies Microsoft Intune. Afin de récupérer un token Azure AD, un utilisateur synchronisé dans Azure AD doit être connecté. Cet utilisateur doit avoir un UPN routable.

    Dans le cas contraire, la commande dsregcmd /status renvoie le statut suivant :

    AzureAdPrt : No

     

    Plus d’informations : Support Tip: Configuration Policy Shows as Pending on Windows Devices

    • 23/5/2020
  • [Azure AD/Office 365] Comment reprendre la main sur un tenant provisionné par un de ses utilisateurs ?

    Si vous n’utilisez pas encore les services de Microsoft (Office 365, Azure AD, etc.), il se peut qu’un utilisateur ait provoqué la création d’un tenant en mode libre-service par l’activation d’un service tel que Power BI. Ce tenant devient donc non géré et sans administrateur général (Global Admin).

    Microsoft a fourni une procédure qui peut permettre de récupérer la main sur ce tenant sans avoir à les contacter. Notez que cette opération n’est pas possible si un utilisateur a déjà été défini comme administrateur du tenant.

    Lire Perform an internal admin takeover

    • 23/5/2020
  • [Intune] Authentification à facteurs multiples (MFA) et enregistrement d’un périphérique (Android, Apple DEP, etc.)

    Beaucoup de clients se posent la question d’activer l’authentification à facteurs multiples (MFA) et la question se pose avec Microsoft Intune. L’accès conditionnel offre l’accès à deux applications Cloud :

    • Microsoft Intune est utilisée pour toutes les connexions (portail d’entreprise, portail web d’entreprise, etc.) exception faite du workflow lié à l’enregistrement d’un périphérique
    • Microsoft Intune Enrollment est l’application Cloud qui identifie uniquement l’action d’enregistrement d’un périphérique.

    Quand il s’agit de penser à la sécurité, il est surement plus important de vérifier que l’utilisateur qui se présente pour enregistrer un périphérique est bien l’utilisateur que l’on attend plutôt que simplement de vérifier ceci quand il ouvre le portail d’entreprise. En effet, l’enregistrement du téléphone une fois effectuée par un attaquant ayant volé les identifiants, peut donner accès aux applications métiers, à des profils de connexion VPN, des profils de connexion WiFi et donc potentiellement ouvre les portes du système d’information.

    Mais quels sont les scénarios où des considérations doivent être pris en compte lors de l’activation du MFA pour l’enregistrement d’un périphérique ?

    La première correspond à l’enregistrement d’un périphérique via Samsung KME ou quand le périphérique est enregistré dans le mode Android Enterprise Fully Managed. Lors de l’enregistrement, l'utilisateur n'aura pas accès à l'application Microsoft Authenticator ni la possibilité de recevoir un appel ou un SMS sur l'appareil. Deux solutions :

    • L'utilisateur doit donc être en mesure de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
    • Vous désactivez l’authentification à facteurs multiples (MFA) pour l’enregistrement dans Microsoft Intune

    Le second est lors de l’utilisation d’Apple Device Enrollment Program (ou Apple Business Manager) avec un profil forçant l’utilisant du Single App Mode. Tant que l’authentification sur le portail d’entreprise n’a pas été réalisé, le périphérique est bloqué sur ce dernier. Dans le même temps, l’utilisateur ne peut pas basculer sur les SMS ou les appels. Dans ce cas, vous avez deux solutions :

    • Permettre à l’utilisateur de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
    • Désactiver le mode Single App Mode sur le profile DEP tout en sachant que l’utilisateur peut donc choisir d’outre passer la procédure d’enregistrement.
    • Désactiver le MFA pour l’enregistrement Microsoft Intune

     

    • 22/5/2020
  • [Intune] Comment mettre en place les stratégies de protection applicatives (APP)

    Dans les projets de gestion de périphériques mobiles (MDM) ou de protection de la donnée, vous pouvez être amené à utiliser les stratégies de protection applicatives (APP) de Microsoft Intune. Souvent, les entreprises se posent la question sur comment les implémenter ?

    On rencontre beaucoup d’entreprises qui ont raté leur projet car elles ont été trop contraignante d’un coup. Microsoft a donc créé un framework comprenant 3 niveaux que vous pouvez mettre en œuvre étape par étape pour rehausser la sécurité :

    • Niveau 1 : La protection basique des données de l’entreprise
    • Niveau 2 : La protection avancée des données de l’entreprise
    • Niveau 3 : La protection élevée des données de l’entreprise

    Pour en apprendre plus, vous pouvez lire la documentation : Data protection framework using app protection policies

     

    Source

    • 22/5/2020
  • [Sentinel] Suivre l’usage et le coût des données ingérées

    Azure Sentinel et Azure Log Analytics intègrent par défaut des moyens de suivre l’usage et le coût des données. Néanmoins, il n’est pas si facile de savoir quelle table du workspace sont les plus volumineuses.
    Clive Watson (MSFT) a publié un workbook permettant de suivre les tables, les types d’événements et le coût. Vous pouvez voir aussi la lentence, le nombre d'événements par seconde, le coût, 

    Pour l’installer :

    1. Copier le workbook au format RAW
    2. Se connecter dans Azure Sentinel
    3. Ouvrir le Workspace
    4. Ouvrez Workbooks
    5. Cliquez sur Add workbook
    6. Cliquez sur Edit
    7. Cliquez sur l’icone </>
    8. Validez que vous utilisez le mode Gallery Template
    9. Coller le code
    10. Cliquez sur Done Editing
    11. Cliquez sur Save

    Plus d’informations sur : Usage reporting for Azure Sentinel

    Télécharger le Workbook sur GitHub

    • 21/5/2020
  • [Autopilot] Un script pour vous aider à déterminer les problèmes avec les enregistrements Intune, AAD, Autopilot

    Michael Niehaus (MSFT) a publié un très bon script qui vise à identifier les problèmes liés aux différents enregistrements d’une machine impliquée dans une processus Windows Autopilot. En effet, une machine peut avoir plusieurs enregistrements dans :

    • Le Service Autopilot
    • Azure Active Directory (plusieurs en fonction des scénarios)
    • Microsoft Intune

    Le but est de mettre en lumière les problèmes où des liens manqueraient entre certains enregistrements éventuellement manquants. Ce script est donc une bonne assistance dans vos problèmes de dépannage.

    Plus d’informations sur : An experimental script to check out your Windows Autopilot devices

    • 21/5/2020
  • [Azure AD] Comment bloquer l’authentification héritée ?

    L’équipe Identity Protection a publié un bon billet résumant les grandes étapes permettant de bloquer l’authentification héritée sur votre tenant Azure Active Directory.

     On retrouve notamment :

    1. L’identification des authentifications héritées
    2. La compréhension de ces authentifications.
    3. La création d’une stratégie d’accès conditionnel en mode report-only
    4. Le blocage effectif de l’authentification héritée via
      • L’accès conditionnel
      • Un blocage côté service

    Lire : New tools to block legacy authentication in your organization

    • 20/5/2020
  • [Windows 10] Un guide complet sur l’optimisation des mises à niveau de Windows 10

    Microsoft a publié un guide complet sur la base de retours d’expériences pour optimiser les mises à niveau de Windows 10. Le but de ce guide est d’optimiser la cadence, l’usage, et l’adoption de Windows 10. Il revient sur de nombreux concepts essentiels :

    • Les dates butoirs (deadlines)
    • Désactiver les stratégies en conflit
    • Les périphériques à faibles activités (souvent éteints)
    • Les périphériques non sains
    • L’optimisation de la bande passante et le partage P2P
    • La supervision des stratégies

    Il vous donnera des éléments pour :

    • Adapter les stratégies de mise à jour pour une vitesse accrue
    • La personnalisation des périphériques pour une vitesse accrue.
    • La surveillance et l’application
    • Les stratégies de déploiement

    Bref ceci est un guide à lire avec détails :  Optimizing Windows 10 update adoption

    • 20/5/2020
  • [Microsoft Defender] Une série d’articles sur Exploit Guard et ses règles de réduction de surface d’attaque

    António Vasconcelos et Rob Mallicoat (Program Managers dans le groupe produit Microsoft Defender ATP) ont publié une série d’articles sur Microsoft Defender Exploit Guard et les règles de réduction de surface d’attaque proposées (ASR).

    Microsoft Defender Exploit Guard est un ensemble de fonctionnalités de prévention des intrusions qui est livré avec Windows 10. Les quatre composants de Microsoft Defender Exploit Guard sont conçus pour verrouiller l'appareil contre une grande variété de vecteurs d'attaque et bloquer les comportements couramment utilisés dans les attaques de logiciels malveillants, tout en permettant aux entreprises d'équilibrer leurs risques de sécurité et leurs exigences de productivité.

    Les quatre composants de Microsoft Defender Exploit Guard sont :

    • Protection du réseau (Network Protection) : Protège le périphérique contre les menaces Web en bloquant tout processus sortant sur le périphérique vers des hôtes/IP non fiables via Microsoft Defender SmartScreen.
    • Accès contrôlé aux dossiers (Controlled Folder Access) : Protège les données sensibles contre les ransomewares en empêchant les processus non fiables d'accéder aux dossiers protégés de l’utilisateur.
    • Protection contre l'exploitation (Exploit Protection) : Un ensemble de mesures d'atténuation des exploits (remplaçant Enhanced Mitigation Experience Toolkit (EMET)) qui peuvent être facilement configurées pour protéger le système et les applications.
    • Les règles de réduction de la surface d'attaque (Attack Surface Reduction (ASR)) : comprend un ensemble de contrôles (15 règles) pour empêcher les logiciels malveillants d'entrer sur la machine en bloquant les menaces communes basées sur les logiciels Office, Adobe, les scripts et les e-mails. Office et les emails sont des moyens simples et faciles de distribuer des mécanismes permettant aux mauvais hackers de lancer des attaques malveillantes et des attaques sans fichiers.

    C’est ce dernier mécanisme sur lequel les deux PMs focalise les articles. Il est parfois difficile de mettre en œuvre ces règles mais les différents articles reviennent sur des fondamentaux importants et des pièges à éviter.

    Lire :

    • 19/5/2020
  • [Sentinel] Déployer et gérer Azure Sentinel as a Code

    Je vous propose un article assez ancien mais qui mérite d’être lu si vous souhaitez mettre en œuvre Azure Sentinel. L’article se focalise sur le déploiement et la gestion de la solution en mode « as Code ». Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

    L’article explique comment automatiser les différents composants :

    • L’onboarding
    • Les règles d’alerte
    • Les requêtes d’investigation (Hunting)
    • Les playbooks
    • Les workbooks
    • Les connecteurs

    Je vous invite à lire Deploying and Managing Azure Sentinel as Code

    • 19/5/2020
  • [MD ATP] Quelles données sont collectées par Microsoft Defender ATP ? Donnez des réponses à votre DPO

    Les solutions de type Endpoint Detection and Response (EDR) comme Microsoft Defender Advanced Threat Protection (ATP), sont devenus des outils indispensables pour se protéger des tentatives d’attaques. Ces outils sont devenus une des pierres angulaires du Security Operation Center (SOC). Néanmoins, le Data Protection Officier (DPO) peut poser des questions quant aux données utilisées et envoyées au service. Il est donc primordial de savoir apporter les réponses.

    Concernant les données exactes, on retrouve :

    • Événements du registre
    • Événements de création de fichiers
    • Événements du réseau
    • Événements de connexion
    • Informations sur les applications installées
    • Informations sur les machines
    • Événements du noyau/kernel
    • Événements de la mémoire
    • Modifications du matériel
    • Appels API du système

    Parmi les actions qu’un opérateur peut éventuellement prendre, on retrouve :

    • Isoler la machine (l'utilisateur est averti - pas de connexion possible à l'Internet et au réseau local)
    • Limiter l'exécution des applications (seules les applications certifiées peuvent être exécutées par la suite)
    • Déclencher une analyse antivirus
    • Collecter un des éléments d’investigation
    • Lancer une session de réponse en direct (shell de commande à distance)

    Les données de Microsoft Defender ATP sont conservées pendant 180 jours maximum et peuvent être stockées aux États-Unis, au Royaume-Uni ou en Europe. L’entreprise définit la durée de stockage des données et l'emplacement des données lors de la configuration initiale.

     

    Plus d’informations sur : Put regulation fears to rest when deploying Microsoft Defender ATP

    • 18/5/2020
  • Un article sur l’implémentation de Microsoft Exact Data Match (EDM)

    En août dernier, Microsoft a lancé Exact Data Match (EDM), une nouvelle capacité permettant aux entreprises d’identifier et cible des données spécifiques. Dans cette situation, on pense surtout à l’identification des données personnelles en réduisant les faux positifs via la construction et l’utilisation d’un dictionnaire ou référentiel des données personnelles de l’entreprise.

    Imaginez donc un scénario où vous traitez des données de santé avec des numéros de sécurité social, vous connaissez tous les numéros de vos clients. Vous construisez donc un dictionnaire qui sera ensuite utilisé par les services de prévention de la perte de données (DLP) de Microsoft pour empêcher certaines actions de partage.

    Microsoft propose un article très intéressant vis à expliquer comment construire ce référentiel :

    • 18/5/2020
  • [Intune] Un script pour générer les informations de journalisation et de diagnostic de Windows 10

    Microsoft a publié un script qui peut être utilisé pour générer les informations de diagnostic et de journalisation de Windows 10 lié à la gestion de périphériques mobiles (MDM).

    Lire Generate & gather Windows 10 MDM client logs and diagnostics

    • 17/5/2020
  • [Azure AD] Les questions fréquentes et bonnes pratiques pour l’accès conditionnel

    L’équipe Azure AD a rédigé un très bon article sur les questions fréquentes et les bonnes pratiques concernant l’accès conditionnel d’Azure Active Directory. Ce billet revient sur :

    • Comment mettre en œuvre correctement l’authentification à facteurs multiples ?
    • Comment contrôler l’accès aux applications et services ?
    • Comment mettre en œuvre rapidement et efficacement les stratégies ?
    • Comment gérer le cas des utilisateurs connectés en VPN ?
    • Comment donner et sécuriser l’accès à des applications internes sans accès en VPN ?

    Lire Frequent questions about using Conditional Access to secure remote access

    Notez aussi ce très bon billet résumant les nouveautés récentes apportées au mode Report-Only pour vous aider dans cette démarche.

    • 17/5/2020
  • [Microsoft 365] Un guide pratique pour utiliser Microsoft 365 Business Premium

    Il y a quelques semaines, Microsoft annonçait un rebranding de certains de ses produits à destination du marché Small Business (jusqu’à 300 utilisateurs). Un des abonnements appelé Microsoft 365 Business Premium offre de nombreux services. Microsoft revient au travers de deux billets sur la sécurisation des environnements et du travail à distance via la solution. Ceci inclut :

    • La protection de l’identité
    • La protection de l’image
    • La gouvernance de l’information
    • La sécurité de Teams
    • La gestion des périphériques
    • La sécurisation de l’accès à distance

    Ceci inclut différentes technologies parmi : L’authentification à facteurs multiples (MFA), l’accès conditionnel, Azure AD Application Proxy, Windows Virtual Desktop, La gestion via Microsoft Intune, Office 365 Advanced Threat Protection, La prévention de la perte de donnée (DLP), l’archivage Exchange Online, etc.

    Lire les deux articles :

    • 16/5/2020
  • [Office 365] Microsoft précise les conditions de déploiement de l’extension Chrome qui configure Bing

    Il y a quelques semaines, une polémique a émergé selon laquelle Microsoft forcerait l’utilisation du moteur de recherche Bing sur le navigateur Chrome lorsque la suite Office 365 ProPlus serait installée. Microsoft est revenu via un billet sur les conditions de ce scénario. Il faut déjà comprendre que le but est de pousser l’usage de Microsoft Search pouvant être utilisé par les entreprises pour réaliser des recherches centrées sur le contexte de l’entreprise.

    Ainsi, l’extension est déployée uniquement si les conditions suivantes sont réunies :

    • L’extension Bing pour Chrome est installée uniquement si l’administrateur du tenant l’active.
    • L’extension Bing pour Chrome est installée uniquement si la machine a installé Microsoft 365 Apps for Enterprise (Office 365 ProPlus)
    • La machine est jointe à Active Directory

    Dans ce cas, l’extension Bing est installée et activée mais l’utilisateur peut toujours revenir à son paramétrage de moteur de recherche initial. Le but est bien ici d’offrir des scénarios de recherche contextualisés à l’entreprise (RH, Bénéfices, ,etc.) via Microsoft Search.

    Plus d’informations sur : Update on timing of opt-in Microsoft Search in Bing through Microsoft 365 Apps for enterprise*

    • 16/5/2020
  • [WVD] Un article pour démarrer à utiliser Windows Virtual Desktop basé sur ARM avec le portail Azure

    Il y a quelques semaines, Microsoft publiait une expérience d’administration de Windows Virtual Desktop au travers du portail Microsoft Azure. Cette annonce facilite grandement la prise en main de la solution plutôt que d’utiliser des scripts et des commandes PowerShell. Outre cette annonce, il est maintenant possible de provisionner Windows Virtual Desktop basé sur le modèle Azure Resource Manager (ARM). Ceci comporte de nombreux avantages dont :

    • L’utilisation de groupes Azure AD pour la publication des applications
    • L’utilisation des rôles RBAC Azure intégré et la création de rôles personnalisé sur cette base
    • L’intégration avec le module PowerShell AZ
    • L’intégration avec Log Analytics
    • La sélection de l’emplacement pour le stockage des métadonnées du service

     

    Je vous recommande vivement de lire l’article suivant pour une bonne prise en main du service : Getting started: Windows Virtual Desktop ARM-based Azure portal

    • 15/5/2020
  • [Intune] Impossibilité de supprimer un token Apple DEP si un profil DEP est configuré par défaut

    C’est un problème auquel j’ai fait face récemment sur Microsoft Intune. Si vous devez supprimer un token Apple Device Enrollment Program (DEP) pour lequel un profil DEP est configuré par défaut, alors la suppression renvoie une erreur.

    Les entreprises ont l’habitude de sélectionner l’option visant à attribuer un profil par défaut aux périphériques remonté par Apple Business Manager (ABM) et DEP. Cette action créé un lien avec le tenant qui bloque la suppression du token qui est associé à ce token.

    Soit vous devez d’abord supprimer tous les profils associé à ce token DEP. Soit vous vous retrouvez bloqué.
    Microsoft travaille sur une solution dans les prochains mois afin de supprimer en cascade le token DEP et les profils associés.

    Plus d’informations sur : https://techcommunity.microsoft.com/t5/intune-customer-success/deleting-dep-enrollment-for-ios-ipados-macos-for-default/ba-p/1191418

    • 15/5/2020
  • [Intune] Les grands concepts pour le déploiement d’applications (Contexte, Déploiement, Exclusions, etc.)

    L’équipe Intune avait publié un très bon billet résumant les grands concepts pour le déploiement d’applications avec Microsoft Intune. Scott Duffey (MSFT) reivnet sur les concepts suivants :

    • Contexte d’installation de l’application (Périphérique vs Utilisateur)
    • Assignation de l’application (groupe de périphérique vs utilisateur)
    • Type d’assignation d’application (Disponible, Requis, Désinstallation)
    • Groupes d’assignation d’application (Groupes inclus vs groupes exclus)

    Si vous utilisez Intune, je vous recommande vivement de prendre le temps de lire ce billet : How Application Context, Assignment and Exclusions Work in Intune

    • 14/5/2020
  • Mise à jour (1.5.30.0) d’Azure Active Directory Connect (AADC)

    Microsoft vient de publier une mise à jour (1.5.30.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    Elle corrige les problèmes suivants :

    • Correction d'un problème où des domaines non sélectionnés étaient mal sélectionnés dans l'interface utilisateur de l'assistant.
    • Correction d'un problème dans le module PowerShell ADSyncConfig, où l'appel de la commande DSACLS utilisée dans tous les cmdlets Set-ADSync* provoquait l'une des erreurs suivantes :
      • GrantAclsNoInheritance : The parameter is incorrect. The command failed to complete successfully.
      • GrantAcls : No GUID Found for computer …

     

    Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15300

    Télécharger Microsoft Azure Active Directory Connect

    • 14/5/2020
  • [MSIX] Arrivée du format MSIX pour Windows 7, Windows 8.1, et Windows Server via MSIX Core

    J’étais passé à côté de l’annonce en décembre dernier mais elle est relativement importante ! Microsoft a mis à disposition MSIX Core en version 1.1.0.0. MSIX Core est le portage des bénéfices de packaging du format MSIX sur les versions qui ne supportent pas ce format initialement. Comprenez qu’en installant MSIX Core sur Windows 7 SP1, Windows 8.1, Windows 10 pour des versions antérieures à 1709 ou toutes versions de Windows Server supportées (avec interface graphique), vous pouvez installer/désinstaller des applications au format MSIX.

    Alors certes, vous ne bénéficiez pas des autres avantages telles que la conteneurisation ou l’utilisation de fonctionnalités apportées par Windows 10 mais vous pouvez bénéficier des avantages d’installer et désinstaller proprement ces applications.

    Avec cette annonce, il n’y a plus de raison d’utiliser autre chose que le format MSIX pour packager vos applications ! Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Plus d’informations sur : MSIX Core

    Télécharger MSIX Core 1.1 sur GitHub

    • 13/5/2020
  • [MTP] Les résultats de l’évaluation MITRE ATT&CK APT 29 pour les solutions de protection

    MITRE vient juste de publier le résultat de l’évaluation sur les solutions de sécurité de type Endpoint Detection and Response (EDR). Les solutions proposées par Microsoft sont regroupées sous Microsoft Threat Protection et incluent notamment Microsoft Defender Advanced Threat Protection (ATP), etc. L’évaluation est basée sur le framework ATT&CK de MITRE, considéré comme l’un des catalogues de techniques et d’attaques le plus complet du marché. L’attaque utilisée est Cosy Bear connu sous Advanced Persistent Threat (APT) 29 avec 58 techniques d’attaque dans 10 catégories différentes.

    Dans cette étude, les solutions doivent désactiver les mécanismes de protection habituels tels que les flux de remédiation automatique, isolation des applications, réduction de la surface d'attaque, protection du réseau, protection contre l'exploitation, accès contrôlé aux dossiers et l’antivirus de nouvelle génération. Le but est donc de tester les capacités d’audit des solutions.

    Microsoft s’en sort avec les meilleurs délais et sans modification de configuration :

     

    En outre, c’est l’une des solutions qui couvre le mieux les techniques d’attaque :

     

    Ces deux éléments signifient que la solution est efficace tout en étant facile à mettre en œuvre.

     

    Plus d’informations sur le résultat de l’étude : https://attackevals.mitre.org/evaluations.html?round=APT29

    Source : Microsoft Threat Protection leads in real-world detection in MITRE ATT&CK evaluation

    • 13/5/2020
  • [Teams] Un Webcast sur l’eDiscovery pour Teams

    Microsoft propose un Webcast suivi de questions/réponses sur l’eDiscovery appliqué à Microsoft Teams. Cet évènement aura lieu le 14 Mai à partir de 18h (heure française) ou 21h (heure française). L’eDiscovery permet de rechercher et conserver du contenu lorsqu’il y a une contrainte légale ou réglementaire.

    Source

    • 12/5/2020
  • [Microsoft 365] Arrivée de nouveaux service pour la conformité et la gouvernance (Records Management, Communication Compliance)

    Microsoft vient enrichir les solutions concernant la conformité et la gouvernance avec la disponibilité générale de deux solutions :

    • Records Management fournit des mécanismes de protection et de gouvernance de la donnée critique. La solution permet de classifier, retenir, revoir, disposer et gérer le contenu sans compromettre la productivité et la sécurité. En outre, on retrouve des mécanismes de machine learning pour identifier et classifier les enregistrements critiques à l’entreprise, légaux ou de régulation.

    La solution est disponible avec :

    • Microsoft 365 E5/A5/G5
    • Microsoft 365 E3/A3/G3 + the Microsoft 365 E5/A5/G5 Compliance add-on
    • Microsoft 365 E3/A3/G3 + the Microsoft 365 E5/A5/G5 Insider Risk Management add-on
    • Office 365 Enterprise E5/A5
    • Office 365 Enterprise E3/A3 + the Office 365 Advanced Compliance add-on

     

     

    • Communication Compliance offre une solution et des tableaux de bord permettant d’adresser les violations aux stratégies de conduite dans la communication de l’entreprise. La solution supporte les échanges par email, Teams, Skype for Business Online, Twitter, Facebook et Bloomberg.  Ceci permet d’identifier les mots et phrases pour identifier les violences, les harcèlements et profanations. La solution utilise du Machine Learning, des workflows et des stratégies pour vous aider dans cette tâche.

    La solution est disponible avec :

    • Microsoft 365 E5/A5
    • Microsoft 365 E3/A3 + the Microsoft 365 E5/A5 Compliance add-on
    • Microsoft 365 E3/A3 + the Microsoft 365 E5/A5 Information Protection and Governance add-on
    • Office 365 Enterprise E5/A5
    • Office 365 Enterprise E3/A3 + the Office 365 Advanced Compliance add-on
    • 12/5/2020
  • [Azure ATP] Preview de la détection de l’exploitation de la vulnérabilité SMBGhost ou CoronaBlue

    Azure Advanced Threat Protection (ATP) se voit enrichir d’une nouvelle détection en Preview concernant la vulnérabilité SMBGhost ou CoronaBlue. Cette règle de détection concerne la vulnérabilité CVE-2020-0796 et une éventuelle exécution de code à distance due à une vulnérabilité de débordement de mémoire tampon dans la manière dont SMBv3 (3.1.1) traite les demandes de compression SMBv2. La vulnérabilité affecte les versions 1903 et 1909 de Windows 10 et Windows Server 2019.

    Pour l’instant la vulnérabilité n’a pas été exploitée sans engendrer un blue screen mais Microsoft s’attend à une exploitation plus large et aboutie dans les prochains mois.

    Vous pouvez l’activer ou la désactiver :

    Plus d’informations sur : Azure ATP now detects SMBGhost

    • 12/5/2020