Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale des cas d’usage Microsoft Sentinel dans le portail Defender. Tous les cas d’usage Microsoft Sentinel, y compris les déploiements multi-tenant et multi-workspace ainsi que le support de l’ensemble des clouds gouvernementaux et commerciaux, sont désormais disponibles en GA directement depuis le portail Defender.
• Les clients de Microsoft Sentinel qui ont activé UEBA dans le portail Defender disposent maintenant d’une nouvelle version de la table IdentityInfo, accessible dans la rubrique Advanced hunting du portail. Cette table unifiée regroupe le plus grand nombre de champs communs aux portails Defender et Azure, pour enrichir et accélérer vos investigations de sécurité.
• Preview de l’ajout à SOC Optimization (Preview)
  • AI MITRE ATT&CK tagging recommendations (Preview) : recours à l’intelligence artificielle pour suggérer automatiquement le balisage de vos détections selon les tactiques et techniques MITRE ATT&CK.
  • Risk-based recommendations (Preview) : propositions de contrôles ciblés pour combler les lacunes de couverture liées à des cas d’usage pouvant générer des risques opérationnels, financiers, réputationnels, de conformité ou juridiques.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a annoncé la disponibilité générale de Defender for AI Services, offrant une protection à l’exécution pour les services Azure AI. Cette protection couvre des menaces propres aux charges de travail IA : jailbreak, abus de wallet, exposition de données, schémas d’accès suspects, etc. Les détections s’appuient sur Microsoft Threat Intelligence, Azure AI Prompt Shields ainsi que des modèles de machine learning et d’IA.
• Microsoft Security Copilot est désormais en GA dans Defender for Cloud. Cet assistant IA accélère la remédiation des risques : résumés générés automatiquement, actions correctives, scripts de remédiation et e-mails de délégation guident les administrateurs tout au long du processus, réduisant le temps d’investigation et facilitant la compréhension contextuelle des risques.
• (Disponibilité Générale) Microsoft a rendu la personnalisation des filtres d’analyse de logiciels malveillants « on-upload » dans Defender for Storage. Les utilisateurs peuvent désormais définir des règles d’exclusion basées sur les préfixes ou suffixes de chemin de blob ainsi que sur la taille des blobs. En excluant, par exemple, des journaux ou des fichiers temporaires, vous éviterez des analyses inutiles et réduirez les coûts.
• (Public Preview) La fonctionnalité Active User aide les administrateurs sécurité à identifier rapidement et à assigner des recommandations aux utilisateurs les plus pertinents, en se basant sur l’activité récente du plan de contrôle. Pour chaque recommandation, jusqu’à trois utilisateurs actifs sont proposés au niveau de la ressource, du groupe de ressources ou de l’abonnement. L’administrateur peut sélectionner un utilisateur, attribuer la recommandation et fixer une date d’échéance, déclenchant une notification et accélérant ainsi les workflows de remédiation.
• (Disponibilité Générale) Microsoft enrichit le tableau de bord de sécurité des données avec le nouveau tableau de bord Data and AI Security. Il offre une vue unifiée sur l’ensemble des ressources de données et d’IA, leur couverture de protection et leurs risques associés ; il met en avant les problèmes critiques, découvre les données sensibles et recense l’empreinte des charges de travail IA (services, conteneurs, ensembles de données, modèles…).
• À compter du 1ᵉʳ juin 2025, Defender CSPM commencera la facturation des ressources Azure Database for MySQL Flexible Server et Azure Database for PostgreSQL Flexible Server dans les abonnements où Defender CSPM est activé. Ces ressources sont déjà protégées ; aucune action n’est requise, mais votre facture pourrait augmenter.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Security Copilot.

Agents

• En preview : Les agents Security Copilot dans Microsoft Purview. Ces agents sont des processus alimentés par l'IA qui vous assistent dans des tâches spécifiques liées aux rôles. Cet article inclut les prérequis, les permissions et les procédures pour déployer et configurer les agents Microsoft Purview.

Nouveaux et Modifications de Plugins

• Disponibilité Générale du connecteur Copilot Studio: Ce connecteur aide les utilisateurs à soumettre des invites en langage naturel pour créer une nouvelle enquête Security Copilot via Copilot Studio. Une fois l'enquête terminée, le résultat de l'évaluation est renvoyé au flux de travail.
• Public Preview du connecteur Censys : Ce plugin permet aux utilisateurs de Security Copilot d'enrichir leurs investigations en utilisant les informations sur les menaces de la plateforme Censys.
• Public Preview du connecteur HP Workforce Experience Platform : Il permet aux utilisateurs d'interroger les données relatives à leur flotte et d'obtenir des réponses rapidement et efficacement. Ce plugin peut répondre à des questions sur la garantie des PC, l'état de préparation à Windows 11, la consommation de ressources. Il peut également répondre à des questions sur l'âge, la stabilité et la santé des appareils, la sécurité, les écrans bleus et les performances des applications, y compris les blocages et les pannes.

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Dans les environnements cloud gouvernementaux, l'option Take action remplace la liste déroulante Message actions dans l'onglet Email (vue) de la zone de détails des vues Tous les emails, Malware ou Phish dans Threat Explorer (Explorer) :
  • Le personnel SecOps peut désormais créer des entrées de blocage au niveau du tenant sur les URL et les fichiers via la liste d'autorisation/blocage du tenant directement à partir de Threat Explorer.
  • Pour 100 messages ou moins sélectionnés dans Threat Explorer, le personnel SecOps peut effectuer plusieurs actions sur les messages sélectionnés à partir de la même page. Par exemple :
    • Purger les messages électroniques ou proposer des mesures correctives pour les messages électroniques.
    • Soumettre les messages à Microsoft.
    • Déclencher des enquêtes.
    • Créer des entrées de blocage dans la liste des autorisations/blocages des tenants.
• Les actions sont contextuellement basées sur le dernier emplacement de livraison du message, mais le personnel SecOps peut utiliser le bouton Show all response actions pour autoriser toutes les actions disponibles.
• Pour 101 messages ou plus sélectionnés, seules les options de purge d'email et de proposition de remédiation sont disponibles.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Preview) Dans l’Advanced Hunting, vous pouvez désormais afficher toutes les règles définies par l'utilisateur, qu'il s'agisse de règles de détection personnalisées ou de règles d'analyse, dans la page Règles de détection. Cette fonctionnalité apporte également les améliorations suivantes :
  • Vous pouvez désormais filtrer pour chaque colonne (en plus de la fréquence et de l'étendue de l'organisation).
  • Pour les organisations à de multiples workspaces qui ont intégré plusieurs espaces de travail à Microsoft Defender, vous pouvez désormais afficher la colonne ID du workspace et filtrer par workspace.
  • Vous pouvez désormais afficher le volet des détails même pour les règles d'analyse.
  • Vous pouvez désormais effectuer les actions suivantes sur les règles d'analyse : Activer/désactiver, Supprimer, Modifier.
• (Preview) Vous pouvez désormais mettre en évidence les réalisations de vos opérations de sécurité et l'impact de Microsoft Defender à l'aide du résumé de sécurité unifié. Le résumé de sécurité unifié est disponible dans le portail Microsoft Defender et rationalise le processus de génération de rapports de sécurité pour les équipes SOC, en économisant le temps habituellement consacré à la collecte de données à partir de diverses sources et à la création de rapports.
• Les utilisateurs du portail Defender qui ont intégré Microsoft Sentinel et activé l'analyse du comportement des utilisateurs et des entités (UEBA) peuvent désormais tirer parti de la nouvelle table IdentityInfo unifiée dans l’Advanced Hunting. Cette dernière version inclut désormais le plus grand nombre possible de champs communs aux portails Defender et Azure.
• (Preview) Les tables de schéma d’Advanced Hunting suivantes sont désormais disponibles pour vous aider à examiner les événements Microsoft Teams et les informations connexes :
  • La table MessageEvents contient des détails sur les messages envoyés et reçus au sein de votre organisation au moment de la livraison
  • La table MessagePostDeliveryEvents contient des informations sur les événements de sécurité qui se sont produits après la livraison d'un message Microsoft Teams dans votre organisation
  • La table MessageUrlInfo contient des informations sur les URL envoyées par les messages Microsoft Teams dans votre organisation.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• La nouvelle page Applications de Microsoft Defender XDR fournit un inventaire unifié de toutes les applications SaaS et OAuth connectées dans votre environnement. Cette vue permet de rationaliser la découverte des applications, la surveillance et l'évaluation des risques.
• Dans le cadre du processus de convergence en cours dans les charges de travail Microsoft Defender, les agents SIEM de Microsoft Defender for Cloud Apps seront obsolètes à partir de novembre 2025. Pour assurer la continuité et l'accès aux données actuellement disponibles via les agents SIEM de Microsoft Defender for Cloud Apps, nous recommandons de passer aux API prises en charge suivantes :
  • Pour les alertes et les activités, voir : Microsoft Defender XDR Streaming API.
  • Pour les événements de connexion de Microsoft Entra ID Protection, voir la table IdentityLogonEvents dans le schéma d’Advanced Hunting.
  • Pour l'API Microsoft Graph Security Alerts, voir : List alerts_v2v
  • Pour visualiser les données d'alertes de Microsoft Defender for Cloud Apps dans l'API d'incidents Microsoft Defender XDR, voir API d'incidents Microsoft Defender XDR et le type de ressource d'incidents.
• La page du catalogue des applications Cloud a été remaniée pour répondre aux normes de sécurité. La nouvelle conception comprend une navigation améliorée, ce qui vous permet de découvrir et de gérer plus facilement vos applications Cloud.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Disponibilité Générale de la prise en charge des serveurs Linux basés sur ARM64 pour les distributions suivantes : Ubuntu, RHEL, Debian, SUSE Linux, Amazon Linux et Oracle Linux. Toutes les fonctionnalités du produit qui sont prises en charge sur les appareils AMD64 sont maintenant prises en charge sur les serveurs Linux basés sur ARM64.
• Preview la fonctionnalité permettant de contenir les adresses IP associées aux appareils qui ne sont pas découverts ou qui ne sont pas intégrés à Defender for Endpoint. Le fait de contenir une adresse IP empêche les attaquants de propager leurs attaques à d'autres appareils non compromis.
• Deux nouvelles règles de réduction de surface d’attaque (ASR) sont en disponibilité générale :
  • Block rebooting machine in Safe Mode: Cette règle empêche l'exécution de commandes visant à redémarrer les machines en mode sans échec.
  • Block use of copied or impersonated system tools: Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des copies, soit des imposteurs des outils système originaux.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25042.0002 | Release version: 20.125042.2.0), La commande mdatp health -details edr inclut maintenant les infos Entra ID. On retrouve aussi des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25032.0010 | Release version: 30.125032.0010.0), on retrouve :
  • Suppression de la dépendance externe de MDE Netfilter et de libpcre du paquet MDE.
  • La correction du script Python exécutant des binaires non vérifiés avec des privilèges de niveau racine pour identifier les processus Java utilisant des versions obsolètes de log4j (CVE-2025-26684) a été résolue.
  • Ajout d'un mécanisme de détection pour CVE-2025-31324 affectant le composant "Visual Composer" du serveur d'application SAP NetWeaver..
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de mai du Client Defender for Endpoint pour Android (1.0.7714.0101), on retrouve :
  • À partir du 19 mai 2025, les analystes des centres d'opérations de sécurité (SOC) peuvent désormais visualiser les éléments suivants en tant qu'événements et non plus en tant qu'alertes :
    • Connexion ou déconnexion à des réseaux sans fil ouverts
    • Téléchargement/installation/suppression de certificats auto-signés
  • Ces événements peuvent être visualisés dans l'onglet Timeline de la page d'un appareil.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.65280104). À partir du 19 mai 2025, lorsqu'un utilisateur se connecte à un réseau sans fil ouvert sur un appareil mobile, une alerte n'est plus générée sur le portail Microsoft Defender. Au lieu de cela, cette activité est ajoutée en tant qu'événement et visible sous la Timeline de l'appareil.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Le nouveau capteur Defender for Identity peut désormais être installé sur vos contrôleurs de domaine sans qu’un onboarding Defender for Endpoint ne soit requis. Ceci entendre une activation simplifiée et des scénarios de déploiement beaucoup plus flexibles.
• La page « Activation » présente maintenant l’ensemble des serveurs de votre inventaire, y compris ceux qui ne sont pas encore éligibles au nouveau capteur Defender for Identity. Ceci vous permet d’identifier immédiatement les serveurs non éligibles afin de les mettre à jour puis de les onboarder pour renforcer la protection des identités.
• D’ici mi-mai 2025, la collecte à distance des membres du groupe « Administrateurs locaux » via SAM-R sera désactivée. Ces informations permettaient d’alimenter les graphes de parcours de mouvement latéral, qui ne seront donc plus mis à jour. Une méthode alternative est actuellement à l’étude. Le changement est automatique et aucune action n’est requise.
• Un nouveau problème de santé détecte désormais les incohérences de configuration réseau sur les capteurs exécutés sous VMware.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a republié l’ensemble des kits de déploiement et d’évaluation (ADK) de Windows en cours de support, pour résoudre un problème de vulnérabilité. Par ailleurs, aucun changement n'a été apporté à la composition du kit. Veillez à installer la dernière version de l'ADK pour rester à jour. Si vous devez continuer à utiliser cette version de l'ADK, veillez à réinstaller la version de l'ADK en cours d'exécution sur vos appareils.

Lorsqu'un bundle s'exécute sous l'utilisateur SYSTEM, Burn utilise GetTempPathW qui pointe vers un répertoire non sécurisé C:\Windows\Temp pour déposer et charger plusieurs binaires. Les utilisateurs standard peuvent détourner le binaire avant qu'il ne soit chargé dans l'application, ce qui entraîne une élévation des privilèges.

Pour les télécharger, rendez-vous à cette adresse.

Microsoft vient de mettre à disposition une nouvelle version (1.2.6277) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème où Microsoft Teams demandait des autorisations de redirection après une mise à jour.
• Correction d'un problème qui provoquait un blocage lors de la connexion à une session distante.
• Correction d'un problème qui empêchait le partage d'applications dans Microsoft Teams.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Avec la disponibilité générale, Microsoft vient de publier une mise à jour (1.5.4287.0) du connecteur Microsoft Entra private network. Microsoft Entra private network est anciennement le connecteur Azure AD Application Proxy. La nouvelle marque met l'accent sur le connecteur en tant qu'infrastructure commune permettant d'accéder à n'importe quelle ressource du réseau privé. Le connecteur est utilisé à la fois pour Microsoft Entra Private Access et Microsoft Entra Application Proxy. Le nouveau nom apparaît dans les composants de l'interface utilisateur.

La dernière mise à jour (1.5.4287.0) apporte les éléments suivants :

• Le connecteur prend désormais en charge le routage du trafic sortant vers des destinations dans Microsoft Entra Private Access par le biais d'un proxy direct, ce qui améliore le contrôle du réseau.
• Le connecteur comprend un nouvel outil de diagnostic pour aider à résoudre les problèmes de configuration.
• Corrections de bugs et améliorations mineures.

Plus d’informations sur les fonctionnalités et les différences : Microsoft Entra private network connector version release notes - Global Secure Access | Microsoft Learn

Télécharger Microsoft Entra private network connector

Microsoft a publié une mise à jour (2.5.3.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.5.3.0) apporte les éléments suivants :

• Modern Authentication activé permettant aux clients de configurer l'authentification basée sur l'application pour une sécurité accrue (Public Preview).
• Mise à jour de l'agent de santé (Health Agent) fourni vers la version 4.5.2520.0
• Déplacement du centre de téléchargement vers le portail Azure pour les téléchargements
• Les informations d'identification de l'administrateur sont désormais requises lors du basculement du mode staging via PowerShell avec SSPR activé.
• Les informations d'identification de l'administrateur sont désormais requises lors de l'activation, de la désactivation ou de la suppression de la configuration SSPR via PowerShell.

Cette mise à niveau doit être faite manuellement via le lien du centre d'administration Microsoft Entra.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect

Microsoft vient de publier une mise à jour (2.18.62) au client Global Secure Access de Microsoft Entra. Global Secure Access est le client utilisé par Microsoft Entra Internet Access et Private Access.  Ces services sont la solution Security Service Edge de Microsoft.

La dernière mise à jour (2.18.62) apporte les éléments suivants :

• Correction d'un bug : Les enregistrements de noms canoniques (CNAME) sont résolus en tant qu'enregistrements A afin de résoudre un problème d'authentification du navigateur Kerberos.

• L'authentification client par défaut est Web Account Manager (WAM).

• Correction : le client essaie à nouveau de se connecter aux profils de trafic après qu'ils aient été supprimés du portail.

• Correction : ajout de la prise en charge des noms de systèmes d'exploitation contenant des caractères non ASCII, ce qui est important pour certaines versions non anglaises de Windows.

• Ajout et amélioration des tests de contrôle de santé.

• Améliorations et corrections de bogues pour les diagnostics avancés.
• Diverses améliorations et corrections de bogues.

Plus d’informations sur les fonctionnalités et les différences : Global Secure Access client for Windows version release notes - Global Secure Access | Microsoft Learn

Le client est téléchargeable depuis le portail Microsoft Entra en naviguant dans Global Secure Access > Connect > Client download

Si vous avez passé les nouvelles certifications sur la sécurité de l’information via Microsoft Purview, Microsoft vient de mettre en ligne les résultats de la certification Microsoft Certified: Information Security Administrator Associate - Certifications | Microsoft Learn .

Pour rappel, voici les différents éléments qui sont évalués :

• Implement information protection (30–35%)
• Implement data loss prevention and retention (30–35%)
• Manage risks, alerts, and activities (30–35%)

Microsoft vient de mettre à disposition une nouvelle version (1.2.6074) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème pour CVE-2025-26645.
• Correction d'un problème avec RemoteApp où une fenêtre maximisée changeait de taille de manière inattendue.
• Amélioration de l'accessibilité du menu Plus d'options.
• Améliorations générales et corrections de bugs.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft Defender for Identity inclut désormais une fonction de découverte des comptes de service, vous offrant une visibilité centralisée sur les comptes de service dans votre environnement Active Directory. Cette mise à jour permet :
  • L'identification automatique des comptes de service gérés par le groupe, des comptes de service gérés et des comptes d'utilisateur fonctionnant comme des comptes de service.
  • Un inventaire centralisé des comptes de service, affichant des attributs clés tels que le type de compte, le type d'authentification, les connexions uniques, la dernière connexion, la classe de service et la criticité.
  • Une page de détails sur les comptes de service, comprenant une vue d'ensemble, une chronologie des activités, des alertes et un onglet sur les nouvelles connexions.
• Microsoft a ajouté un nouveau problème de santé pour les cas où les capteurs fonctionnant sur VMware ont une mauvaise configuration réseau.
• La page Identities sous Assets a été mise à jour pour offrir une meilleure visibilité et une meilleure gestion des identités dans votre environnement.
  • Identities : Une vue consolidée des identités à travers Active Directory, Entra ID. Cet onglet Identities met en évidence les détails clés, y compris les types d'identité et les informations sur les utilisateurs.
  • Cloud application accounts : Affiche une liste de comptes d'applications cloud, y compris ceux des connecteurs d'application et des sources tierces (disponible à l'origine dans la version précédente basée sur Microsoft Defender for Cloud Apps).
• De nouveaux événements de requête LDAP ont été ajoutés au tableau IdentityQueryEvents dans Advanced Hunting afin de fournir une meilleure visibilité sur les requêtes de recherche LDAP supplémentaires exécutées dans l'environnement du client.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a publié une mise à jour (2.4.131.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.4.131.0) apporte les éléments suivants :

• Suppression de la vérification préalable de l'activation de la clé de registre SchUseStrongCrypto. Cette version utilise .NET 4.7.2 qui utilise la cryptographie forte par défaut.

La mise à niveau automatique s'effectue jusqu'au 15 avril 2025. Si votre environnement n'est pas mis à niveau d'ici là, cela signifie que la tentative de mise à niveau automatique a échoué et que vous devrez effectuer une mise à niveau manuelle. Vous pouvez consulter les journaux d'événements de l'application pour connaître les raisons de l'échec de la mise à niveau automatique.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• L'ancienne console de gestion On-Prem n’est plus téléchargeable depuis le 1er janvier 2025.

Réseaux OT

• Les détails de l'alerte "Unauthorized Internet Connectivity Detected" comprennent désormais l'URL à partir de laquelle la connexion suspecte a été initiée, ce qui aide les analystes SOC à évaluer les incidents et à y répondre plus efficacement.
• L'alerte "Excessive Number of Sessions" inclut désormais la prise en charge par défaut d'un port de protocole de bureau à distance (RDP), ce qui améliore la visibilité des attaques potentielles par force brute et des tentatives d'accès non autorisé.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Nouvel article pour expliquer la configuration du connecteur qui archive les données SMS/MMS Hong Kong CSL.

Data Security Posture Management for AI

• La liste des sites d'IA pris en charge par la DSPM for IA est mise à jour pour les nouveaux sites qui incluent DeepSeek.

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité générale (GA) des filigranes dynamiques pour les étiquettes qui sont configurées avec la configuration de chiffrement Assign permissions now, parfois appelée "autorisations définies par l'administrateur". La prise en charge des autorisations définies par l'utilisateur (l'option Let users assign permissions) est maintenant en Public Preview. Les filigranes dynamiques empêchent les fuites de documents étiquetés et chiffrés en affichant sur le document le nom universel du lecteur (UPN) ou d'autres informations d'identification. Contrairement aux marquages de contenu standard, les filigranes dynamiques ne peuvent pas être modifiés ou supprimés par l'utilisateur.

• Public Preview : Lorsque vous protégez une réunion Teams avec une étiquette de sensibilité, vous pouvez désormais appliquer automatiquement ou recommander que la réunion soit étiquetée avec l'étiquette de sensibilité la plus prioritaire à partir des fichiers partagés pour la réunion. Utilisez le nouveau paramètre de politique d'étiquetage Apply inheritance between Teams meetings and artifacts et assurez-vous que cette politique est publiée pour les organisateurs de réunions.

• Pour les réunions protégées, le paramètre d'étiquette qui empêche de copier le chat dans le presse-papiers empêche ou autorise également la copie et le transfert de liens, de sous-titres en direct, de transcriptions et de contenu de récapitulation de réunion généré par l'IA.

Gestion des risques internes (Insider Risk Management)

• Nouvel article sur les éléments, les paramètres, les déclencheurs et les limites de stratégies d’Insider Risk Management.
• Preview : Nouveaux indicateurs Microsoft Entra ID dans Insider Risk Management.

Audit et Advanced eDiscovery

• Nouvelles informations du journal des activités pour les activités de détection des risques de Microsoft Entra.
• Disponibilité générale (GA) de la nouvelle expérience eDiscovery dans le portail Microsoft Purview

• Clarifications concernant les processus liés à chaque page eDiscovery dans le rapport sur les processus.
• Support des groupes de distribution en tant que sources de données lors de la création de mises en retenue (holds) d'eDiscovery.
• Clarifications sur la suppression des retenues et des limites de localisation associées en fonction de votre licence eDiscovery.
• Nouvel article pour vous aider à rechercher les activités qui sont effectuées dans le portail Microsoft Purview ou dans PowerShell et qui sont enregistrées dans le journal d'audit.
• Lors de la migration de boîtes aux lettres d'Exchange sur site vers Exchange Online, vous devez créer de nouvelles mises en retenue dans le portail Microsoft Purview pour les boîtes aux lettres avec mises en retenue afin de préserver les données. Les anciennes retenues dans les organisations Exchange sur site ne sont pas migrées.

Data Governance

• Disponibilité générale de la détection automatique du format (Parquet, Delta, Iceberg) pour les ressources de données (tables, fichiers). Avec cette mise à jour, les responsables de la qualité des données n'ont plus besoin de sélectionner manuellement le type de fichier pour les ressources de données lors de l'exécution des analyses de la qualité des données ou de l'exécution du profilage des données pour une ressource de données.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Les utilisateurs de Defender for Cloud Apps qui utilisent la gouvernance des applications pourront désormais obtenir une visibilité sur l'origine des applications OAuth connectées à Microsoft 365. Vous pouvez filtrer et surveiller les applications ayant des origines externes, afin de les examiner de manière proactive et d'améliorer la posture de sécurité de l'organisation.
  • Les nouvelles capacités de filtrage et d'exportation des permissions permettent d'identifier rapidement les applications ayant des permissions spécifiques pour accéder à Microsoft 365.
  • Vous pouvez désormais obtenir des informations granulaires sur les données accessibles par les applications utilisant l'API EWS héritée en parallèle de Microsoft Graph. La couverture améliorée des informations sur l'utilisation des données permet d'obtenir une visibilité plus approfondie sur les applications accédant aux e-mails via l'API EWS héritée.
  • Microsoft étend également la couverture de la fonctionnalité de niveau de privilège pour toutes les permissions API populaires de Microsoft. La classification améliorée du niveau de privilège permet de visualiser et de surveiller les applications avec des permissions puissantes dans les API héritées et autres non-Graph qui ont accès à Microsoft 365.

• Microsoft Defender for Cloud Apps améliore ses sources d'alerte pour fournir des informations plus précises. Cette mise à jour, applicable uniquement aux nouvelles alertes, sera reflétée dans diverses expériences et API, y compris le portail Defender XDR, la chasse avancée et l'API Graph.
• Mises à jour des prérequis réseaupour Microsoft Defender for Cloud Apps afin d’améliorer sa sécurité et ses performances. Les informations réseau dans le pare-feu et les services tiers supplémentaires doivent être mises à jour pour se conformer aux nouvelles normes. Pour garantir un accès ininterrompu à nos portails et services, vous devez appliquer ces changements d'ici le 27 mars 2025.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Preview) Les adresses IP peuvent désormais être exclues des réponses automatisées en cas de perturbation d'une attaque. Cette fonctionnalité vous permet d'exclure des adresses IP spécifiques des actions de confinement automatisées déclenchées par l'interruption d'une attaque.

• (Preview) La colonne PrivilegedEntraPimRoles est dans la table IdentityInfo d’Advanced Hunting.
• (GA) Vous pouvez maintenant voir comment Security Copilot a suggéré la requête dans ses réponses dans l’Advanced Hunting. Sélectionnez See the logic behind the query sous le texte de la requête pour valider que la requête correspond à votre intention et à vos besoins, même si vous n'avez pas une compréhension experte de KQL.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Disponibilité Générale du reporting aggrégé qui étend les intervalles de reporting des signaux afin de réduire de manière significative la taille des événements rapportés tout en préservant les propriétés essentielles de l'événement. Cette fonctionnalité est disponible pour Microsoft Defender for Endpoint Plan 2.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25012.0008 | Release version: 20.125012.7.0), on retrouve aussi la supervision du comportement en Public Preview. Le contrôle des comportements surveille le comportement des processus afin de détecter et d'analyser les menaces potentielles en fonction du comportement des applications, des démons et des fichiers au sein du système. Comme la surveillance des comportements observe le comportement du logiciel en temps réel, elle peut s'adapter rapidement aux menaces nouvelles et évolutives et les bloquer. On retrouve aussi des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.24122.0008 | Release version: 30.124112.0008.0), on retrouve :
  • Le paquet MDATP 101.24122.0008 est déployé progressivement pour chaque distribution.
  • Correction d'un bug qui signalait incorrectement la version de DefenderEngineVersion au portail de sécurité.
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de janvier du Client Defender for Endpoint pour Android (1.0.7427.0101), on retrouve :
  • Changement du support pour cibler Android 10 comme version minimale. Nouveaux utilisateurs : L'application ne sera plus disponible pour les nouvelles installations sur les appareils fonctionnant sous Android 10. Lorsque les utilisateurs dont la version d'Android est inférieure à 10 tenteront de télécharger l'application Microsoft Defender, le magasin Google Play les informera que l'appareil n'est pas compatible. Pour les utilisateurs existants, l'application Microsoft Defender continue de fonctionner pour les utilisateurs existants des versions Android 8, 8.1 et 9, mais ils ne reçoivent pas de mises à jour du Google Play Store car ils ne répondent pas aux exigences minimales de la version SDK. Par conséquent, toute nouvelle mise à jour de l'application n'est pas disponible pour les utilisateurs utilisant une version Android antérieure à la version 10.
  • Mise à jour de la détection du Wi-Fi ouvert avec un changement de comportement. Si l'utilisateur sort de la zone Wi-Fi ouverte et se reconnecte au même réseau, une autre alerte est déclenchée. Sur la base des résultats de nos recherches et des contributions de Microsoft et d'autres équipes SOC, nous mettons en œuvre un comportement de mise en cache pour garantir que la valeur des alertes est maintenue et qu'elles ne fatiguent pas les équipes SOC en raison de leur volume. Chaque fois que l'utilisateur final se connecte à un réseau Wi-Fi ouvert, une alerte est déclenchée. Si l'utilisateur se reconnecte au même réseau Wi-Fi ouvert au cours des sept jours suivants, aucune autre alerte ne sera déclenchée. Veuillez noter que si un utilisateur se connecte à un autre réseau Wi-Fi ouvert, une alerte est immédiatement générée et il n'y a pas de changement à ce niveau.
  • des correctifs de bugs et améliorations diverses.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.62040103), on retrouve des correctifs de bugs et améliorations. En outre, le changement sur le comportement de la détection du Wi-Fi ouvert.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Mise à jour du module PowerShell DefenderForIdentity (version 1.0.0.3) avec :
  • La prise en charge de l'obtention, du test et de la configuration de la corbeille Active Directory via les commandes Get/Set/Test MDIConfiguration.
  • La prise en charge de l'obtention, du test et de la configuration du proxy sur le nouveau capteur MDI.
  • La valeur de registre des Services de certificats Active Directory pour le filtrage d’audit définit désormais correctement le type.
  • La commande New-MDIConfigurationReport affiche désormais le nom du GPO testé et supporte les arguments Server et Identity.
  • L’amélioration de la fiabilité des autorisations sur le conteneur DeletedObjects sur les systèmes d’exploitation non anglophones.
  • La correction d’une sortie superflue lors de la création de la clé racine KDS.
  • D’autres correctifs de fiabilité.
• Nouvel onglet des trajectoires d’attaque sur la page de profil Identity offrant une visibilité sur les trajectoires d’attaque potentielles menant à une identité critique ou l’impliquant dans la trajectoire, facilitant ainsi l’évaluation des risques de sécurité.
• Améliorations supplémentaires de la page d’identité avec u nouveau panneau latéral proposant davantage d’informations pour chaque entrée de la timeline utilisateur. On retrouve aussi des capacités de filtrage ajoutées à l’onglet Devices dans Observed in organization.
• Mise à jour de la recommandation de posture « Protect and manage local admin passwords with Microsoft LAPS » pour s’aligner sur l’évaluation de la posture de sécurité dans Secure Score avec la dernière version de Windows LAPS, garantissant que les pratiques de gestion des mots de passe administrateur locaux soient en phase avec les recommandations de sécurité actuelles.
• Nouveaux événements et mises à jour dans la table Advanced hunting IdentityDirectoryEvents avec la mise à jour et l’ajout des événements suivants :
  • User Account control flag has been changed
  • Security group creation in Active directory
  • Failed attempt to change an account password
  • Successful account password change
  • Account primary group ID has been changed.

La référence de schéma intégrée pour Advanced Hunting dans Microsoft Defender XDR a également été actualisée afin d’inclure des informations détaillées sur l'ensemble des types d’événements supportés (valeurs ActionType) dans les tables liées aux identités, garantissant ainsi une visibilité complète sur les événements disponibles.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft introduit un nouveau rôle Global Secure Access Log Reader servant notamment à la surveillance des journaux de trafic réseau pour le service SSE : Microsoft Entra Global Secure Access (GSA). Vous pouvez le rôle Global Secure Access Log Reader aux utilisateurs qui doivent effectuer les tâches suivantes :

• Lire les journaux de trafic réseau dans Microsoft Entra Internet Access et Microsoft Entra Private Access pour une analyse par le personnel de sécurité désigné.
• Voir les détails des journaux tels que les sessions, les connexions et les transactions.
• Filtrer les journaux en fonction de critères tels que l'adresse IP et le domaine.
• Utiliser des API pour lire les journaux, comme les agrégations.

Plus d’informations sur : Microsoft Entra built-in roles - Microsoft Entra ID | Microsoft Learn

Microsoft vient de publier une mise à jour (2.14.80) au client Global Secure Access de Microsoft Entra. Global Secure Access est le client utilisé par Microsoft Entra Internet Access et Private Access.  Ces services sont la solution Security Service Edge de Microsoft.

La dernière mise à jour (2.14.80) apporte les éléments suivants :

• Support des connexions User Datagram Protocol (UDP) à long terme.
• Support des connexions routées directement vers le réseau en l'absence de tunnel établi avec succès vers le cloud Global Secure Access.
• Ajout de compteurs de performance à Performance Monitor :
  • Flow count : nombre de flux
  • Tunnel count : nombre de tunnels
• Support des environnements Microsoft Cloud for Sovereignty.
• Correction de bug : Global Secure Access ne préserve pas l'état « Disable Private Access » après un redémarrage.
• Envoie le nom de l'appareil au service Global Secure Access.
• Correction d'un bug : la synchronisation de l'heure échoue lorsque l'accès à Internet est activé.
• Ajoute des données télémétriques pour les connexions qui ne parviennent pas à établir un tunnel et qui passent à l'action de durcissement.
• Vérifie la validité du certificat du client avant d'utiliser le certificat pour établir une connexion mTLS (mutual Transport Layer Security).
• Améliorations et corrections de bogues pour les diagnostics avancés.
• Diverses améliorations et corrections de bogues.

Plus d’informations sur les fonctionnalités et les différences : Global Secure Access client for Windows version release notes - Global Secure Access | Microsoft Learn

Le client est téléchargeable depuis le portail Microsoft Entra en naviguant dans Global Secure Access > Connect > Client download.