Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La nouvelle version de File Integrity Monitoring basée sur Microsoft Defender for Endpoint est en Public Preview. Elle fait partie de Defender for Servers Plan 2. Elle vous permet de répondre aux exigences de conformité en surveillant les fichiers et registres critiques en temps réel et en auditant les modifications mais aussi identifier les problèmes de sécurité potentiels en détectant les modifications suspectes du contenu des fichiers. Dans le cadre de cette version, l'expérience FIM sur AMA ne sera plus disponible dans le portail Defender for Cloud. L'expérience FIM sur MMA restera prise en charge jusqu'à la fin du mois de novembre 2024. Au début du mois de septembre, une expérience in-produit sera publiée pour vous permettre de migrer votre configuration FIM sur MMA vers la nouvelle version FIM sur Defender for Endpoint.
• Vous pouvez désormais activer Microsoft Defender for SQL Servers en masse sur plusieurs serveurs à la fois.
• L'intégration des alertes de Defender for Cloud avec les alertes Azure WAF sera supprimée le 25 septembre 2024. Aucune action n'est nécessaire. Pour les clients Sentinel, vous pouvez configurer le connecteur Azure Web Application Firewall.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité générale des recommandations de découverte et de configuration améliorées pour la protection des terminaux. La fonctionnalité de recommandations améliorées utilise une analyse de machine sans agent, permettant une découverte et une évaluation complètes de la configuration des solutions de détection et de réponse aux terminaux prises en charge. Lorsque des problèmes de configuration sont identifiés, des étapes de correction sont fournies. La liste des solutions prises en charge est étendue pour inclure deux autres outils de détection et de réponse : Singularity Platform de SentinelOne, et Cortex XDR
• Les utilisateurs GitHub dans Defender for Cloud n’ont plus besoin d’une licence GitHub Advanced Security pour afficher les résultats de sécurité. Cela s’applique aux évaluations de sécurité pour les faiblesses du code, les erreurs de configuration de l’infrastructure en tant que code (IaC) et les vulnérabilités dans les images de conteneur détectées pendant la phase de création.
• Dépréciation de l’agent Microsoft Monitoring Agent (MMA) en août 2024 engendrant le retrait des fonctionnalités suivantes dans le portail Defender for Cloud :
  • Affichage de l'état de l'installation de MMA sur les tuiles Inventory et Resource Health.
  • La possibilité d'intégrer de nouveaux serveurs non-Azure à Defender for Servers via les espaces de travail Log Analytics sera supprimée des tuiles Inventory et Getting Started.
• Public Preview de Binary Drift dans Defender for Containers permettant d'identifier et d'atténuer les risques de sécurité potentiels associés à la présence de binaires non autorisés dans les conteneurs. Binary Drift identifie et envoie de manière autonome des alertes sur les processus binaires potentiellement dangereux dans vos conteneurs. En outre, il permet la mise en œuvre d'une nouvelle politique Binary Drift pour contrôler les préférences d'alerte, offrant la possibilité d'adapter les notifications à des besoins de sécurité spécifiques.
• Les scripts de remédiation automatisés pour AWS et GCP sont désormais en disponibilité générale.
• L'application GitHub nécessitera des autorisations de lecture pour GitHub Copilot Business. Cette autorisation sera utilisée pour aider les clients à mieux sécuriser leurs déploiements GitHub Copilot. Microsoft suggère de mettre à jour l'application dès que possible dans votre GitHub Organization, naviguez jusqu'à l'application Microsoft Security DevOps dans Settings > GitHub Apps et acceptez la demande d'autorisation.
• Disponibilité Générale de nouveaux standards permettant de valider les ressources AWS et GCP : CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 and ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Brazilian General Personal Data Protection Law (LGPD), California Consumer Privacy Act (CCPA), etc.
• L'expérience d'inventaire sera mise à jour pour améliorer les performances, y compris les améliorations de la logique d'interrogation "Open query" de la tuile dans Azure Resource Graph. Les mises à jour de la logique qui sous-tend le calcul des ressources Azure peuvent entraîner le comptage et la présentation de ressources supplémentaires.
• Grâce aux fonctionnalités de sécurité DevOps de Microsoft Defender Cloud Security Posture Management (CSPM), vous pouvez mapper vos applications cloud-natives du code au cloud pour lancer facilement les flux de travail de remédiation des développeurs et réduire le temps de remédiation des vulnérabilités dans vos images de conteneurs. Actuellement, vous devez configurer manuellement l'outil de mappage des images de conteneurs pour qu'il s'exécute dans l'action DevOps de Microsoft Security sur GitHub. Avec ce changement, le mappage des conteneurs sera exécuté par défaut dans le cadre de l'action Microsoft Security DevOps.
• Le durcissement adaptatif du réseau de Defender for Server a été déprécié. L'obsolescence de la fonctionnalité inclut les expériences suivantes :
  • Recommandation : Adaptive network hardening recommendations should be applied on internet facing virtual machines [assessment Key: f9f0eed0-f143-47bf-b856-671ea2eeed62]
  • Alerte : Traffic detected from IP addresses recommended for blocking

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Il est maintenant possible de stocker les données de Microsoft Defender for Endpoint et Microsoft Defender for Identity en Inde.
• Les données Microsoft Sentinel sont désormais disponibles en Preview avec les données Defender XDR dans la gestion multitenant de Microsoft Defender. Un seul espace de travail Microsoft Sentinel par tenant est actuellement pris en charge dans la plateforme d'opérations de sécurité unifiée de Microsoft. Ainsi, la gestion multitenant de Microsoft Defender affiche les données de gestion des informations et des événements de sécurité (SIEM) d'un espace de travail Microsoft Sentinel par tenant.
• Pour garantir une expérience fluide lors de la navigation sur le portail Microsoft Defender, vous devez configurer votre pare-feu réseau en ajoutant les adresses appropriées à votre liste d'autorisations.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Les incidents avec alertes où un appareil compromis a communiqué avec un périphérique OT sont désormais visibles dans le portail Microsoft Defender via la licence Microsoft Defender for IoT et les fonctionnalités de détection d’appareils de Defender for Endpoint. À l’aide des données de Defender for Endpoint, Defender XDR met automatiquement en corrélation ces nouvelles alertes OT avec les incidents pour fournir un historique d’attaque complet.
• La plateforme d'opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender est disponibilité générale. Le site rassemble toutes les capacités de Microsoft Sentinel, Microsoft Defender XDR et Microsoft Copilot for Security dans Microsoft Defender. Plus d’informations sur : FAQ Unified SOC platform (microsoft.com)
• Disponibilité Générale de la fonctionnalité permettant de libérer ou déplacer les messages électroniques de la quarantaine vers la boîte de réception de l'utilisateur directement depuis l'option Take actions dans l’Advanced Hunting et dans les détections personnalisées. Cela permet aux opérateurs de sécurité de gérer les faux positifs plus efficacement et sans perdre le contexte.
• Disponibilité Générale du filtrage des alertes Microsoft Defender for Cloud par l'ID de l'abonnement d'alerte associé dans les files d'attente d'incidents et d'alertes.
• Disponibilité Générale de la table UrlClickEvents dans l’Advanced Hunting afin d’obtenir des informations sur les clics Safe Links à partir de messages électroniques, de Microsoft Teams et d'applications Office 365 dans les applications de bureau, mobiles et web prises en charge.
• Preview permettant de personnaliser les colonnes des files d'attente des incidents et des alertes dans le portail Microsoft Defender. Vous pouvez ajouter, supprimer, réorganiser les colonnes pour afficher les informations dont vous avez besoin.
• (Preview) Les Critical Assets font désormais partie des étiquettes dans les files d'attente d'incidents et d'alertes.
• Preview permettant classer les incidents en fonction des dernières mises à jour automatiques ou manuelles apportées à un incident.
• Les ressources du centre d'apprentissage ont été déplacées du portail Microsoft Defender vers microsoft.com. Accédez à la formation Microsoft Defender XDR Ninja, aux parcours d'apprentissage, aux modules de formation et plus encore.
• Disponibilité Générale de la capacité d’exécuter des playbooks à la demande depuis le portail Defender. Vous pouvez ainsi récupérer parmi les nombreux modèles de playbooks disponibles dans la galerie Content hub.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Copilot for Security fonctionne avec un principe de consommation sur la base d’unités de calcul (Security Compute Units). Le mode de facturation est par heure de fonctionnement de chaque SCU. Or selon la typologie de l’organisation, il existe des périodes de creux dans cette utilisation (nuit, weekends, etc.). Pour l’instant, la solution n’inclut pas de mécanisme automatique de scale in/scale out permettant d’adapter le provisionnement d’unités de calcul. Lachlan Watson a construit une solution qui permet d’automatiser cela sur la base d’un workbook Sentinel et d’une Logic App.

La solution est disponible sur GitHub

Plus d’informations : Introducing the Copilot for Security SCU Optimizer Solution (substack.com)

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Cette mise à jour résout la CVE-2024-38089, qui est listée dans la documentation des fonctionnalités de la version 24.1.4 du logiciel.

Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

On retrouve les nouveautés suivantes :

• Ajout du plan de service Universal Print aux SKUs Government "Extra Features »

Plus d’informations sur : What's new in Universal Print | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• L'interaction AI de l'explorateur d'activités inclut l'invite et la réponse de Copilot indépendamment de l'eDiscovery et de la gestion des risques d'initiés.
• Vous pouvez utiliser le rôle Microsoft Purview Security Reader pour un accès en lecture seule au Microsoft Purview AI Hub.

Etiquettes de confidentialité (Sensitivity Labels)

• Public Preview des filigranes / watermarks dynamiques pour empêcher la fuite de documents étiquetés et chiffrés en affichant sur le document l'adresse électronique du lecteur ou d'autres informations d'identification sur les plateformes iOS et Android.

Gestion de la conformité

• Ajout et clarification des informations sur les états d'évaluation.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Le nouveau portail Microsoft Purview entre en disponibilité générale avec une expérience unifiée pour la sécurité des données, la gouvernance et la conformité. Le déploiement commence fin juillet 2024 et s'achèvera mi-septembre 2024. Les utilisateurs seront redirigés vers le nouveau portail, qui remplacera le portail classique d'ici la fin de l'année 2024. Aucune action immédiate n'est requise pour la préparation.
• Vous pouvez désormais utiliser le rôle de Microsoft Purview Compliance Administrator pour accéder à Microsoft Purview AI Hub.
• Microsoft a apporté des modifications à la page Content Explorer, de sorte que seul l'utilisateur ayant le rôle "Data Classification Content Viewers" peut voir les informations sensibles.
• Tous les connecteurs de données Veritas dans Microsoft Purview ont été retirés en juin 2024. Les connecteurs de données non Veritas de l’organisation ne sont pas concernés par ce changement.

Etiquettes de confidentialité (Sensitivity Labels)

• Longtemps attendu ! On retrouve enfin une Public Preview pour des filigranes / watermarks dynamiques pour empêcher la fuite de documents étiquetés et chiffrés en affichant sur le document l'adresse électronique du lecteur ou d'autres informations d'identification. Contrairement aux marquages de contenu standard, les filigranes dynamiques ne peuvent pas être modifiés ou supprimés par l'utilisateur.
• Outlook for iOS et Outlook for Android supporte maintenant l’utilisation de Copilot pour les objets chiffrés.
• Les entreprises organisation peuvent désormais désactiver les expériences connectées pour des raisons de confidentialité sans impacter les stratégies de sécurité des données, telles que les étiquettes de sensibilité. Les services associés à Microsoft Purview (étiquettes de sensibilité, gestion des droits, etc.) ne sont plus contrôlés par les paramètres de politique pour gérer les contrôles de confidentialité pour les applications Microsoft 365. Au lieu de cela, ces services s'appuient sur leurs contrôles administratifs de sécurité existants dans les portails Purview. Ce changement sera effectif pour tout le monde mi août car il vient avec la version 2407 de Microsoft 365 apps.

Gestion des risques internes

• Public Preview de l'évaluation progressive des alertes, qui évaluera les activités des utilisateurs plus fréquemment au cours d'une période de 24 heures et mettra à jour les informations sur les alertes toutes les quelques heures. Le déploiement commencera au début du mois d'août 2024 et devrait être terminé à la fin du mois d'août 2024.
• La condition Insider Risk de Microsoft Entra dans l'accès conditionnel est maintenant disponible. Les organisations disposant d'une licence Entra ID P2 peuvent mettre en place des politiques d'accès conditionnel en utilisant les signaux de risque d'initié d'Adaptive Protection pour appliquer des actions basées sur les niveaux de risque de l'utilisateur. Le déploiement se terminera au début du mois d'août 2024. Les organisations doivent activer Adaptive Protection et obtenir une licence Entra ID P2 pour utiliser cette fonctionnalité.

Information Barriers

• Une nouvelle cmdlet Invoke-ComplianceSecurityFilterAction sera disponible dans le cadre du module PowerShell Security & Compliance. Cette cmdlet permet à l'utilisateur de vérifier si une boîte aux lettres ou un site donné possède la valeur de la propriété de limite de conformité. Si la propriété n'est pas définie ou si l'objet est en arbitrage, les administrateurs de la conformité peuvent utiliser cette cmdlet pour attribuer la valeur de la propriété pour la boîte aux lettres ou le site afin que la limite de conformité prenne effet.

Audit et Advanced eDiscovery

• Le nouveau portail Microsoft Purview introduit une expérience d'eDiscovery modernisée, unifiant la recherche de contenu, l'eDiscovery Standard et l'eDiscovery Premium avec des fonctionnalités améliorées pour l'efficacité et la gestion des données. La Public Preview commence fin juillet 2024 et la disponibilité générale est attendue pour début octobre 2024. Parmi les nouveautés, on retrouve :
  • Amélioration de l'efficacité de la recherche grâce à l'identification des messages et aux étiquettes de sensibilité pour un accès plus rapide à l'information.
  • Utilisation de l'interface améliorée de recherche par type d'information sensible (SIT) pour une sélection conviviale sans saisie manuelle.
  • Le mappage avancé des sources de données permet de relier le OneDrive d'un utilisateur à l'aide de données telles que l'adresse SMTP (Simple Mail Transfer Protocol) de la boîte aux lettres de l'utilisateur ou le nom de l'utilisateur, ce qui rationalise la récupération et la gestion des données.
  • Accélération grâce à de puissantes capacités d'investigation, telles que les collaborateurs fréquents de l'utilisateur, offrant une vue d'ensemble des réseaux de l'utilisateur.
  • Nouvelle fonction de synchronisation des sources de données, qui permet aux utilisateurs de suivre facilement tout emplacement de données nouveau ou supprimé, garantissant que les enquêtes eDiscovery restent alignées sur le paysage des sources de données le plus récent.
  • La nouvelle fonction de statistiques visuelles permet aux utilisateurs d'obtenir des informations en un coup d'œil, telles que les résultats contenant des types d'informations sensibles, les principaux participants à la communication, etc.
  • Suivi des processus de longue durée à l'aide d'une barre de progression informée et transparente, avec l'option d'annulation (pour certains types de processus) si nécessaire.
  • Obtenez un rapport de processus complet pour toutes les actions entreprises, telles que les statistiques pour les retenues et les exportations, renforçant ainsi la légitimité de vos efforts en matière d'eDiscovery.
  • Personnalisez vos exportations grâce à de nouveaux paramètres, notamment l'option d'exportation en tant que fichier PST unique, la troncature du chemin d'accès et l'utilisation de noms conviviaux pour rendre les données exportées plus accessibles.
• Nouveaux scénarios ajoutés pour la cmdlet Invoke-ComplianceSecurityFilterAction pour les limites de conformité.
• Le générateur de conditions permettant de créer des requêtes de recherche dans eDiscovery à partir du portail Microsoft Purview prend en charge les étiquettes de sensibilité. Par exemple, dans le cadre de votre dossier eDiscovery, limitez le contenu aux fichiers et aux courriels dont l'étiquette de sensibilité est Hautement confidentiel. Ou inversement, excluez le contenu des fichiers et des courriels dont le label de sensibilité est Public.

Gestion de la conformité

• Mise à jour de la documentation pour clarifier des paramètres pour le test automatique des actions d'amélioration afin de spécifier que les administrateurs du Compliance Manager peuvent activer ou désactiver le test automatique pour toutes les actions d'amélioration, et pas seulement pour une action en particulier.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Preview permettant d’effectuer des simulations avec des QR codes dans le cadre de la formation à la simulation d'attaque.
• Vous pouvez suivre les réponses des utilisateurs et attribuer la formation aux utilisateurs finaux. Le bouton Rapport intégré dans Outlook pour Microsoft 365 et Outlook 2021 prend désormais en charge l'expérience des paramètres rapportés par l'utilisateur pour signaler les messages comme étant du Phishing, du Junk et du Not Junk..

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• La valeur Remove allow entry after > 45 days after last used date est désormais la valeur par défaut pour les nouvelles entrées d'autorisation provenant de soumissions et les entrées d'autorisation existantes dans la liste d'autorisation/blocage des tenants. L'entrée d'autorisation est déclenchée et la propriété LastUsedDate est mise à jour lorsque l'entité est rencontrée et identifiée comme malveillante pendant le flux de courrier ou au moment du clic. Lorsque le système de filtrage détermine que l'entité est propre, l'entrée d'autorisation est automatiquement supprimée au bout de 45 jours. Par défaut, les entrées d'autorisation pour les expéditeurs usurpés n'expirent jamais.
• Les ressources du centre d'apprentissage ont été déplacées du portail Microsoft Defender vers microsoft.com. Accédez à la formation Microsoft Defender XDR Ninja, aux parcours d'apprentissage, aux modules de formation et plus encore.
• Le personnel SecOps peut désormais libérer des messages électroniques de la quarantaine ou déplacer des messages de la quarantaine vers les boîtes de réception des utilisateurs directement à partir de Take action dans Threat Explorer, l’Advanced hunting, la détection personnalisée, la page de l'entité Email et le panneau de résumé de l'Email. Cette fonctionnalité permet aux opérateurs de sécurité de gérer les faux positifs plus efficacement et sans perdre le contexte.
• Microsoft retire 4 alertes de neutralisation héritées de Microsoft Defender pour Office 365 en août 2024 en raison de la redondance de la fonctionnalité Secure by default. Les utilisateurs concernés disposant d'abonnements spécifiques n'auront pas besoin de prendre des mesures car ce changement se produira automatiquement.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Preview de personnalisation de l'expérience de blocage de Microsoft Defender for Cloud Apps (MDA) pour les applications bloquées à l'aide de Cloud Discovery. Vous pouvez configurer une URL de redirection personnalisée sur les pages de blocage pour informer et rediriger les utilisateurs finaux vers la politique d'utilisation acceptable de l'organisation ou pour guider les utilisateurs finaux sur les étapes à suivre pour sécuriser une exception pour le blocage
• Les utilisateurs du navigateur Edge sous macOS (à partir de la v125 d’Edge), soumis à des règles de session, bénéficient désormais de la fonctionnalité In-broswer Protection. Ceci s’applique aux stratégies suivantes :
  • Block and Monitor upload of sensitive files
  • Block and Monitor paste
  • Block and Monitor of malware upload
  • Block and Monitor of malware download
• La page Fichiers/Files de Microsoft Defender for Cloud Apps sera retirée le 1er septembre 2024. Les utilisateurs doivent utiliser la page Policy Management pour créer, modifier et explorer les stratégies de protection des informations et les fichiers de logiciels malveillants. Ce changement affecte les utilisateurs qui utilisent actuellement la page Fichiers/Files.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Preview de l’export à grand échelle des journaux d’activité permettant d’aller jusqu’à 6 mois en arrière ou 100 000 événements.
• Microsoft a réorganisé la documentation de Microsoft Defender for Cloud Apps pour mettre en évidence les principaux piliers du produit et les cas d'utilisation, et pour l'aligner sur la documentation générale de Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Copilot for Security est conforme HIPAA.

Microsoft Intune

• Public Preview de l’intégration de Copilot dans la fonctionnalité de requêtage du périphérique (Device Query). Vous pouvez désormais utiliser Copilot dans la page de requête de périphérique de Microsoft Intune pour vous aider à élaborer des requêtes KQL. Il vous suffit d'utiliser un langage naturel pour poser une question sur un appareil dans Microsoft Intune, et Copilot générera une requête KQL que vous pourrez exécuter pour obtenir la réponse.

Modification de Plugins

• Microsoft a mis à jour le schéma du connecteur Copilot pour LogicApp pour inclure le support des propriétés dynamiques native. Ceci améliore les scénarios d’automatisation.

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Microsoft essaye de minimiser la sensation de la latence globale, ainsi la réponse de Copilot for Security est affichée en mode continu. Cette approche améliore considérablement la latence perçue par les utilisateurs, en leur permettant de commencer à lire les réponses au fur et à mesure qu'elles sont générées, comme pour les autres Copilot.

Microsoft Defender Threat Intelligence

• Une nouvelle expérience intégrée dans l’espace Threat Intelligence de Microsoft Defender est disponible permettant aux analystes d'approfondir le contexte de la Threat Intelligence à partir de sources telles que Microsoft Defender Threat Intelligence, l'analyse des menaces et les informations de réputation basées sur les détonations. La Threat Intelligence comprend des articles et des profils d'acteurs, des indicateurs de compromission et l'impact sur l’entreprise, y compris les incidents connexes, les actifs et les recommandations de remédiation.

Je vous propose un petit aperçu des nouveautés de ce mois autour de gestion de la confidentialité des données proposé via Microsoft Priva.

On retrouve notamment :

Privacy Risk Management

• Supporte désormais de joindre des fichiers aux réponses aux questions.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de gestion de la confidentialité des données proposé via Microsoft Priva.

On retrouve notamment :

Privacy Risk Management

• Les réponses à l'évaluation de la protection de la vie privée peuvent désormais être exportées vers des fichiers Microsoft Word ou PDF formatés.
• L'étape "Choose locations" du processus de création de la politique est renommée dans le produit "Choose data sources." et ce dans chaque politique : Data overexposure, Data transfer, et Data minimization.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Il est maintenant possible de stocker les données de Microsoft Defender for Identity en Inde.
• Support de Microsoft Entra Connect (anciennement Azure AD Connect) avec un capteur qui offre différentes recommandations et détections :
  • (Recommandation) Rotate password for Entra Connect connector account : Un compte de connecteur Entra Connect compromis (compte de connecteur AD DS, communément appelé MSOL_XXXXXXXX) peut donner accès à des fonctions à haut privilège comme la réplication et la réinitialisation des mots de passe, permettant aux attaquants de modifier les paramètres de synchronisation et de compromettre la sécurité dans les environnements en nuage et sur site, ainsi que d'offrir plusieurs voies pour compromettre l'ensemble du domaine. Dans cette évaluation, nous recommandons aux clients de changer le mot de passe des comptes MSOL dont le dernier mot de passe a été défini il y a plus de 90 jours.
  • (Recommandation) Remove unnecessary replication permissions for Entra Connect Account : Par défaut, le compte du connecteur Entra Connect a des permissions étendues pour assurer une synchronisation adéquate (même si elles ne sont pas réellement requises). Si Password Hash Sync n'est pas configuré, il est important de supprimer les permissions inutiles afin de réduire la surface d'attaque potentielle.
  • (Recommandation) Change password for Entra seamless SSO account configuration : Ce rapport liste tous les comptes d'ordinateur Entra seamless SSO dont le dernier mot de passe a été défini il y a plus de 90 jours. Le mot de passe du compte d'ordinateur Azure SSO n'est pas automatiquement modifié tous les 30 jours. Si un attaquant compromet ce compte, il peut générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'Active Directory. Un attaquant peut utiliser ceci pour se déplacer latéralement d'Active Directory vers Entra ID.
  • (Recommandation) Remove Resource Based Constrained Delegation for Entra seamless SSO account : Si la délégation contrainte basée sur les ressources est configurée sur le compte d'ordinateur AZUREADSSOACC, un compte avec la délégation serait capable de générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et d'usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'AD.
  • (Détection) Suspicious Interactive Logon to the Entra Connect Server : Les connexions directes aux serveurs Entra Connect sont très inhabituelles et potentiellement malveillantes. Les attaquants ciblent souvent ces serveurs pour voler des informations d'identification afin d'élargir l'accès au réseau. Microsoft Defender for Identity peut maintenant détecter les connexions anormales aux serveurs Entra Connect, vous aidant à identifier et à répondre à ces menaces potentielles plus rapidement. Cela s'applique spécifiquement lorsque le serveur Entra Connect est un serveur autonome et ne fonctionne pas en tant que contrôleur de domaine.
  • (Détection) User Password Reset by Entra Connect Account : Le compte du connecteur Entra Connect détient souvent des privilèges élevés, y compris la capacité de réinitialiser les mots de passe des utilisateurs. Microsoft Defender for Identity a désormais une visibilité sur ces actions et détectera toute utilisation de ces permissions identifiées comme malveillantes et non légitimes. Cette alerte ne sera déclenchée que si la fonction Password Writeback est désactivée.
  • Suspicious writeback by Entra Connect on a sensitive user : Alors qu'Entra Connect empêche déjà la réécriture pour les utilisateurs des groupes privilégiés, Microsoft Defender for Identity étend cette protection en identifiant d'autres types de comptes sensibles. Cette détection améliorée permet d'empêcher les réinitialisations de mot de passe non autorisées sur les comptes critiques, ce qui peut être une étape cruciale dans les attaques avancées ciblant à la fois les environnements cloud et sur site.
• Nouvelle activité de réinitialisation de mot de passe échouée sur un compte sensible disponible dans la table 'IdentityDirectoryEvents' dans Advanced Hunting. Cela peut aider les entreprise à suivre les événements de réinitialisation de mot de passe échoués et à créer une détection personnalisée basée sur ces données.
• Précision améliorée pour la détection de l'attaque de synchronisation DC.
• Nouvel alerte de santé pour les cas où le capteur est incapable de récupérer la configuration du service Entra Connect.
• Surveillance étendue pour les alertes de sécurité, telles que PowerShell Remote Execution Detector, en activant le nouveau capteur sur les serveurs Entra Connect.
• Le module PowerShell DefenderForIdentity a été mis à jour, incorporant de nouvelles fonctionnalités et corrigeant plusieurs bugs.
  • Un cmdlet New-MDIDSA simplifie la création de comptes de service, avec un paramètre par défaut pour les comptes de service gérés par le groupe (gMSA) et une option pour créer des comptes standard.
  • Améliore la fiabilité de la création des objets de stratégie de groupe (GPO) en ciblant automatiquement l'émulateur de contrôleur de domaine primaire (PDCe) pour la plupart des opérations Active Directory.
  • Un nouveau paramètre serveur pour les cmdlets Get/Set/Test-MDIConfiguration, vous permettant de spécifier un contrôleur de domaine à cibler au lieu du PDCe.

• La version 2.239 apporte des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview de 6 nouvelles détections :
  • Possible NetSync attack: NetSync est un module de Mimikatz, un outil de post-exploitation, qui demande le hachage du mot de passe d'un appareil cible en se faisant passer pour un contrôleur de domaine. Un attaquant pourrait effectuer des activités malveillantes à l'intérieur du réseau en utilisant cette fonctionnalité pour accéder aux ressources de l'organisation.
  • Possible takeover of a Microsoft Entra seamless SSO account: Un objet de compte Microsoft Entra seamless SSO (single sign-on), AZUREADSSOACC, a été modifié de manière suspecte. Un attaquant pourrait se déplacer latéralement de l'environnement On-Prem vers le Cloud.
  • Suspicious LDAP query: Une requête Lightweight Directory Access Protocol (LDAP) suspecte associée à un outil d'attaque connu a été détectée. Un attaquant pourrait être en train d'effectuer une reconnaissance pour des étapes ultérieures.
  • Suspicious SPN was added to a user: Un Service Principal Name (SPN) suspect a été ajouté à un utilisateur sensible. Un attaquant peut tenter d'obtenir un accès élevé pour un mouvement latéral au sein de l'organisation.
  • Suspicious creation of ESXi group: Un groupe VMWare ESXi suspect a été créé dans le domaine. Cela peut indiquer qu'un attaquant tente d'obtenir plus de permissions pour les étapes ultérieures d'une attaque.
  • Suspicious ADFS authentication: Un compte joint à un domaine s'est connecté en utilisant Active Directory Federation Services (ADFS) à partir d'une adresse IP suspecte. Un attaquant peut avoir volé les informations d'identification d'un utilisateur et les utiliser pour se déplacer latéralement dans l'organisation.
• Microsoft ajoute ces nouvelles recommandations de Microsoft Defender for Identity en tant qu'actions d'amélioration de Microsoft Secure Score :
  • Azure SSO account configuration: Password last set more than 90 days ago
  • Azure SSO account configuration: Resource Based Constrained Delegation configured
  • Remove unnecessary replication permissions for Microsoft Entra Connect accounts
  • Rotate password for Entra Connect connector users

• Les versions 2.237, et 2.238 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Je vous partage une constatation que j’ai faite chez un client lors de la mise en place de Passkeys et de clés FIDO pour la connexion sur des services portés par Microsoft Entra.  Dans ce contexte, le client voulait :

• Donner des clés FIDO pour ses administrateurs afin de se connecter sur différents tenants et améliorer la sécurité en plus de tous les mécanismes déjà en place (postes conformes, etc.)
• Mettre en place plusieurs clés FIDO pour la connexion avec les comptes BreakTheGlass par des administrateurs habilités afin de rehausser la sécurité de ces derniers.

En tentant d’enregistrer la clé par le portail MySignIns, la procédure semble se passer correctement :

On reçoit même le message spécifiant que la passkey a été sauvegardée

Néanmoins en revenant sur le site MySignIns, la clé n’apparaît pas dans la liste des méthodes :

Côté portail Entra, on constate l’évènement « User started security info registration » suivant dans les journaux d’audit mais sans plus de détails :

Le client utilise plusieurs solutions dont l’accès conditionnel de Microsoft Entra, du contrôle de session par Microsoft Defender for Cloud Apps, etc.
Après investigation, je constate que la désactivation du contrôle de session "Use Conditional Access App Control" configuré en mode "Monitor Only" sur la règle d’accès conditionnel, n’engendre plus le problème :

Lors de l’utilisation du CASB, l’URL est réécrite, engendrant parfois des redirections et des pertes de workflows :

La solution n’est néanmoins pas satisfaisante car elle revient à désactiver le contrôle de session du CASB pour l’ensemble des applications. Pour contourner le problème lors de l’activation de cette option dans les règles d’accès conditionnel, il faut positionner une « exception » sur l’application MySignIns. Ceci permet de désactiver le contrôle pour cette application cloud uniquement sans impacter les autres services comme Microsoft Teams, etc.

Pour ce faire, ouvrez le portail Microsoft Defender XDR et naviguez dans Cloud Apps – Cloud app catalog. Recherchez MySignIns. Cliquez sur les 3 points en bout de ligne et sélectionnez Edit app details…

Dans l’écran suivant, décochez le contrôle de session pour cette application uniquement :

Bien que la solution ne soit pas parfaite non plus du fait que MySignIns ne sera plus sous contrôle du CASB, elle permet de limiter l’impact.

Vous pouvez ensuite retenter l’expérience en constatant notamment que l’URL n’est plus réécrite :

Lorsque la clé est ajoutée, la redirection vous propose de nommer la clé et finalise l’ajout :

Vous pouvez constater l’ajout dans la liste :

Microsoft vient de publier une mise à jour (2.3.20.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.3.20.0) apporte les éléments suivants :

• TLS 1.2 ou supérieur est requis pour Microsoft Entra Connect. Microsoft met à disposition un script PowerShell permettant de vérifier si TLS 1.2 est activé.
• TLS 1.3 est supporté par Microsoft Entra Connect.
• Les pilotes SQL livrés avec Microsoft Entra Connect ont été mis à jour. ODBC à 17.10.6, OLE DB à 18.7.2.
• Changements dans la gestion de SSPR pour réduire les blocages SQL pendant les cycles de synchronisation.
• Changements dans les éléments de l'assistant que le Narrateur lira pour améliorer l'accessibilité.
• Mise à jour de l’image de l'icône Microsoft Entra Connect

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Azure Active Directory Connect

C’est une demande de longue date et par de nombreux clients, Purview Information Protection supporte le marquage visuel avec des variables mais qui ne permettait que d’avoir un filigrane avec l’utilisateur propriétaire du document. Ceci rendait particulièrement difficile d’identifier qui pouvait être à l’origine d’une fuite via une capture d’écrans. Microsoft vient d’annoncer en Public Preview le marquage visuel avec le l’UPN de l’utilisateur qui a ouvert le document. La disponibilité générale est attendue pour la fin d’année pour Word, Excel et PowerPoint.

Cette option de marquage dynamique est disponible sur l’étiquette :

Lors de l’activation, les utilisateurs pourront visualiser, modifier et collaborer sur leurs fichiers comme d'habitude, mais les filigranes seront toujours visibles au-dessus du contenu du fichier. Point important ! Tous les utilisateurs, à l'exception du propriétaire du fichier, ne pourront ouvrir le fichier que sur les clients Office qui prennent en charge le filigrane dynamique. Lorsqu'un utilisateur tente d'ouvrir un fichier comportant des filigranes dynamiques sur une version d'Office qui ne prend pas en charge cette fonctionnalité, un message d'interdiction d'accès s'affiche. Les utilisateurs qui ne disposent pas d'un client Office capable de prendre en charge le filigrane dynamique doivent utiliser Office pour le web pour travailler avec des fichiers filigranés.

A noter qu'au moment de la disponibilité générale, la fonctionnalité ne sera disponible que pour des utilisateurs équipés d'une licence E5 (Microsoft 365 E5, Microsoft 365 E5 Compliance, Microsoft Information Protection and Governance E5, Microsoft Enterprise Mobiity and Security E5, ou Microsoft Security and Compliance for Frontline Workers F5)

Il faut les versions suivantes :

• Windows: Version 2407 (Build 17830.20000) or later
• Mac: Version 16.87 (Build 24070110) or later

Plus d’informations sur : Introducing dynamic watermarking for Word, Excel, and PowerPoint (microsoft365.com)

Microsoft vient d’annoncer que le service de mises à jour Windows Server Update Services (WSUS) ne synchroniserait plus les drivers à partir du 18 avril 2024. Ceci concerne tous les outils qui utilisent WSUS donc notamment Microsoft Configuration Manager et les clients qui l’utiliseraient pour déployer les mises à jour des drivers pour les produits Surface.

Pour parer à ce problème, plusieurs solutions :

• Vous utilisez Configuration Manager :
  • Vous pouvez toujours utiliser la fonctionnalité Third Party updates et les catalogues associés. Pour les produits Surface, vous pouvez créer des packages et déployer les drivers de cette façon.
  • [Recommandé] Vous pouvez aussi faire la transition vers la gestion des mises à jour avec Intune et son service de gestion des drivers.
• Vous utilisez WSUS uniquement :
  • Microsoft propose d’utiliser le principe de packages de drivers de DISM pour procéder à l’installation.
  • [Recommandé] Vous pouvez aussi faire la transition vers la gestion des mises à jour avec Intune et son service de gestion des drivers.

Plus d’informations sur : Deprecation of WSUS driver synchronization | Windows IT Pro Blog (microsoft.com)

En août 2024, Microsoft a introduit différents changements à Windows Autopilot permettant d’améliorer le comportement.

On retrouve notamment :

• Initialement prévu en juillet, Micorsoft vient de décaler le changement qui empêchera l'inscription de nouveaux appareils via la fonction "Windows Autopilot deployment for existing devices", lorsque des restrictions d'inscription d'entreprise bloquant l'enregistrement d'appareils personnels sont configurées. Ainsi, les organisations doivent enregistrer les périphériques dans Autopilot pour ne pas être bloquer par la restriction d'enregistrement.Si vous ne pensez pas être prêt pour la date, vous pouvez demander une exception.

Source : What's new in Autopilot | Microsoft Learn

Avec la disponibilité générale, Microsoft vient de publier une mise à jour (1.5.3925.0) du connecteur Microsoft Entra private network. Microsoft Entra private network est anciennement le connecteur Azure AD Application Proxy. La nouvelle marque met l'accent sur le connecteur en tant qu'infrastructure commune permettant d'accéder à n'importe quelle ressource du réseau privé. Le connecteur est utilisé à la fois pour Microsoft Entra Private Access et Microsoft Entra Application Proxy. Le nouveau nom apparaît dans les composants de l'interface utilisateur.

La dernière mise à jour (1.5.3925.0) apporte les éléments suivants :

• Corrections de bugs et améliorations mineures.

Plus d’informations sur les fonctionnalités et les différences : Microsoft Entra private network connector version release notes - Global Secure Access | Microsoft Learn

Télécharger Microsoft Entra private network connector