Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Les workbooks Microsoft Sentinel sont maintenant disponibles directement dans le portail Microsoft Defender en naviguant dans Microsoft Sentinel > Threat management> Workbooks. Ceci permet de ne pas avoir à ouvrir le portail Azure.
• (Preview) L'optimisation SOC inclut désormais de nouvelles recommandations pour l'ajout de sources de données à votre espace de travail, basées sur la posture de sécurité d'autres clients dans des industries et secteurs similaires aux vôtres, et avec des modèles d'ingestion de données similaires.
• Microsoft propose une solution Microsoft Sentinel unifiée pour Microsoft Power Platform, Microsoft Dynamics 365 Customer Engagement, et Microsoft Dynamics 365 Finance et Operations. La solution mis à jour supprime les solutions individuelles pour Microsoft Dynamics 365 Customer Engagement, et Microsoft Dynamics 365 Finance et Operations du Content Hub.
• Nouvelle documentation autour de la plateforme Unified Security Operation permettant de voir les capacités de l’ensemble des solutions : Microsoft Sentinel, Microsoft Defender XDR, Microsoft Security Exposure Management et l’IA générative.
• Preview du connecteur basé sur les données S3 pour les journaux Amazon Web Services web application firewall (WAF).
• (Preview Limitée) La solution Microsoft Sentinel pour les applications SAP prend désormais en charge un déploiement sans agent, en utilisant les fonctionnalités de la plateforme cloud de SAP pour fournir un déploiement et une connectivité simplifiés et sans agent au lieu de déployer une machine virtuelle et un agent conteneurisé. La solution sans agent utilise SAP Cloud Connector et SAP Integration Suite. La solution sans agent est compatible avec SAP S/4HANA Cloud, Private Edition RISE with SAP, SAP S/4HANA on-premises et SAP ERP Central Component (ECC), garantissant la fonctionnalité continue du contenu de sécurité existant, y compris les détections, les classeurs et les playbooks.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a publié une mise à jour (2.4.129.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.4.129.0) apporte les éléments suivants :

• L'audit des événements de l'administrateur dans Microsoft Entra Connect Sync permet d'enregistrer tous les changements effectués par l'administrateur sur Entra Connect Sync. Ceci inclut les changements faits en utilisant l'interface utilisateur et les scripts PowerShell.
• Correction de la suppression de la configuration SSPR lorsque des changements sont effectués sur le connecteur Azure AD et sauvegardés dans l'interface utilisateur du gestionnaire du service Sync.
• Correction de la validation du rôle Administrateur global/Administrateur d'identité hybride effectuée lors de l'installation d'Entra Connect Sync et des utilisateurs avec Administrateur global/Administrateur d'identité hybride à travers la gestion d'identité privilégiée (PIM).
• Correction de l'erreur "no registered protocol handlers" sur le scénario fédéré avec AD FS.
• Correction de l'erreur "Relying party must be unique (conflict error)" sur le scénario fédéré avec AD FS.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (GA) La distribution de contenu via les groupes de tenants dans la gestion multitenants est désormais disponible. Ceci permet de copier du contenu existant comme des règles de détection personnalisées depuis un tenant source vers un tenant de destination.
• Microsoft Defender Experts for XDR offre maintenant une couverture étendue pour les clients qui souhaitent définir un ensemble spécifique d'appareils et/ou d'utilisateurs, basé sur la géographie, la filiale ou la fonction, pour lequel ils aimeraient que Defender Experts fournisse une assistance.
• (Preview) La fonction Lien vers l'incident dans l’advanced hunting permet maintenant de lier les résultats de la requête de Microsoft Sentinel. Dans l'expérience unifiée et dans l’Advanced Hunting de Defender XDR, vous pouvez maintenant spécifier si une entité est un actif impacté ou une preuve associée.
• (Preview) Dans l’Advanced Hunting, les utilisateurs du portail Microsoft Defender peuvent maintenant utiliser l'opérateur adx() pour interroger les tables stockées dans Azure Data Explorer. Vous n'avez plus besoin d'aller dans l'analyse des journaux dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.
• Nouvelle bibliothèque de documentation pour la plateforme d'opérations de sécurité unifiée de Microsoft.
• (GA) Dans l’Advanced Hunting, vous pouvez désormais ajouter vos tables de schéma, fonctions, requêtes et règles de détection fréquemment utilisées dans les sections Favoris sous chaque onglet pour un accès plus rapide.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Microsoft a publié un article qui vise à donner des indications et des considérations pour l’intégration de services de sécurité tiers (non-Microsoft) avec Microsoft 365.

On retrouve notamment :

• Les recommandations générales
• L’intégration avec le routage d’email DNS
• L’intégration avec l’API Microsoft Graph
• L’intégration avec le routage email entrant et sortant
• L’intégration avec des outils de reporting de messages

Lire Integrate non-Microsoft security services with Microsoft 365 - Microsoft Defender for Office 365 | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en décembre 2024.

Microsoft apporte les nouveautés suivantes :

Général

• Microsoft a intégré au portail une fonctionnalité « What’s new in Microsoft Entra » offrant une vue compréhensive de toutes les mises à jour produit incluant la roadmaps (Public Preview, GAs, etc.), les changements (dépréciation, etc.).

Microsoft Entra ID (Azure Active Directory)

• Disponibilité Générale permettant aux utilisateurs de modifier leur photo de profil depuis MyAccount. Cette modification fait apparaître un nouveau bouton de modification dans la section de la photo de profil du compte de l'utilisateur.
• Disponibilité Générale du support du mot de passe d’accès temporaire (Temporary Access Password – TAP) pour les utilisateurs invités internes. Grâce à cette amélioration, les invités internes peuvent désormais intégrer et récupérer leurs comptes de manière transparente avec des informations d'identification temporaires limitées dans le temps.
• Public Preview de l’expérience embarquée de Security Copilot dans le centre d’administration Microsoft Entra. Microsoft élargit le champ d'application pour inclure un ensemble de compétences spécifiques à la gestion des risques liés aux applications, à la fois dans les expériences autonomes et intégrées de Security Copilot et de Microsoft Entra. Les administrateurs d'identité obtiennent des résumés en langage naturel du contexte de l'identité, pilotés par l'IA, ainsi que des informations adaptées au traitement des incidents de sécurité, ce qui leur permet de mieux se protéger contre la compromission de l'identité. L'expérience intégrée accélère également les tâches de dépannage telles que la résolution des risques liés à l'identité et des problèmes de connexion, sans jamais quitter le centre d'administration.
• Amélioration et extension des journaux d’audit sur les stratégies de réinitialisation de mot de passe en libre-service (SSPR). Avec cette amélioration, toute modification de la configuration de la politique SSPR, y compris l'activation ou la désactivation, entraînera une entrée dans le journal d'audit qui comprendra des détails sur la modification effectuée. En outre, les valeurs précédentes et les valeurs actuelles de la modification seront enregistrées dans le journal d'audit. Ces informations supplémentaires sont disponibles en sélectionnant une entrée du journal d'audit et en sélectionnant l'onglet Propriétés modifiées dans l'entrée.

Microsoft Entra Identity Governance

• Disponibilité Générale de l’intégration Privileged Identity Management (PIM) dans Azure Role Based Access Control. Avant cette intégration, les administrateurs RBAC ne pouvaient gérer que les accès permanents (attributions de rôles permanents actifs) à partir de l'interface utilisateur Azure RBAC. Avec cette intégration, l'accès juste à temps et l'accès limité dans le temps, qui sont des fonctionnalités prises en charge par PIM, sont désormais intégrés dans l'interface utilisateur Azure RBAC pour les clients disposant d'une licence P2 ou d'une licence ID Governance.
• Public Preview du provisionnement des attributs de sécurité personnalisés à partir de sources RH. C’est le cas pour Workday, SAP SuccessFactor, et des systèmes RH qui utilisent le provisionnement via l’API.
• Public Preview permettant aux approbateurs de révoquer les accès dans My Access. Seule la personne qui a pris la mesure d'approbation peut révoquer l'accès. Durant la Public Preview, vous devez activer la fonctionnalité sur cette page.
• Public Preview de la suggestion des packages d’accès dans My Access aux utilisateurs. Cette fonction permet aux utilisateurs de visualiser rapidement les packages d'accès les plus pertinents (sur la base des packages d'accès de leurs pairs et des demandes précédentes) sans avoir à faire défiler une longue liste.

Microsoft Entra External ID

• Public Preview de la connexion avec Apple comme fournisseur d’identité dans Entra External ID.
• Disponibilité Générale d’une fonction permettant aux utilisateurs de personnaliser leur point de terminaison d'authentification par défaut de Microsoft avec leurs propres noms de marque. Les domaines d'URL personnalisés aident les utilisateurs à modifier le point de terminaison Ext ID < nom du locataire >.ciamlogin.com en login.contoso.com.

Modifications de service

• Dans le cadre du renforcement continu de la sécurité, Microsoft a déployé Microsoft Entra AD Synchronization Service, une application dédiée pour Microsoft pour permettre la synchronisation entre Active Directory et Microsoft Entra ID. Cette nouvelle application, avec Application Id 6bf85cfa-ac8a-4be5-b5de-425a0d0dc016, a été provisionnée dans les tenants clients qui utilisent Microsoft Entra Connect Sync ou le service Microsoft Entra Cloud Sync.

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID 

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Nouvelle évaluation de la posture de sécurité : Prevent Certificate Enrollment with arbitrary Application Policies (ESC15) dans Microsoft Secure Score. Cette recommandation répond directement à la récente publication CVE-2024-49019, qui met en évidence les risques de sécurité associés aux configurations AD CS vulnérables. Cette évaluation de la posture de sécurité répertorie tous les modèles de certificats vulnérables trouvés dans les environnements des clients en raison de serveurs AD CS non corrigés.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft a mis en ligne une nouvelle version (10.1.26100.2454) du kit de déploiement et d’évaluation (ADK) pour Windows. Cette version permet d'apporter notamment le support de Windows Server 2025. Cette version est compatible avec Microsoft Configuration Manager (ConfigMgr) 2309 et ultérieure.

Cette version apporte les changements suivants :

• Correction des installateurs de modules complémentaires ADK et WinPE afin de supprimer une vulnérabilité.
• Ajout de la prise en charge de HTA sur Arm64 WinPE en tant que composant optionnel. Il est nécessaire d’installer WinPE- Scripting avant d'installer WinPE-HTA.
• Les cabs ARM64 WinPE-HTA ont été inclus dans cette version.
• Les binaires ARM64 WinPE-HTA sont activés dans la version du package.
• CopyPE a été mis à jour pour prendre en charge les binaires de démarrage signés avec la nouvelle autorité de certification "Windows UEFI CA 2023". Des modifications ont également été apportées au script MakeWinPEMedia.cmd afin d'exploiter ces nouveaux binaires pour créer des médias WinPE amorçables pour les machines qui prennent en charge cette nouvelle autorité de certification. Lors de la création de Windows PE pour la prise en charge du certificat 2023, veuillez le créer avec l'option /bootex dans MakeWinPEMedia.cmd.
• Ajout de Restrict Standby et Adaptive Hibernate à l'utilitaire Modern Standby.
• Correction de plusieurs bugs dans l'efficacité énergétique Modern Standby, la signature et la vérification de l'état de la connectivité.
• Amélioration de la convivialité dans l'automatisation des applications.
• Mise à jour du fournisseur d'événements dans la charge de travail Edge.

Plus d’informations sur : https://msdn.microsoft.com/en-us/windows/hardware/dn913721(v=vs8.5).aspx

Télécharger :

• Windows ADK 10.1.26100.2454 (December 2024)
• Windows PE add-on for the Windows ADK 10.1.26100.2454 (December 2024)

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Universal Print.

On retrouve les nouveautés suivantes :

• Disponibilité Générale du support de macOS. Il faut pour cela télécharger et installer le client Universal Print (en version 1.0.3 ou ultérieure) depuis l'AppStore Mac.
  Public Preview d’Universal Print anywhere (pull print) permettant aux utilisateurs d'imprimer de n'importe où et de libérer leurs travaux en toute sécurité sur n'importe quelle imprimante de l'organisation. En s'appuyant sur la fonctionnalité existante de libération sécurisée par QR code (activée avec l'application mobile Microsoft 365), les utilisateurs peuvent imprimer sans avoir à choisir une imprimante à l'avance. Il leur suffit d'imprimer, puis de s'authentifier auprès de l'imprimante de leur choix et de récupérer leurs travaux d'impression en toute sécurité. Cela permet de s'assurer que les documents confidentiels ne sont pas laissés sur l'imprimante pour être consultés par des personnes non autorisées, et de minimiser le gaspillage de toner et de papier dû à des travaux d'impression non collectés.

Plus d’informations sur : What's new in Universal Print | Microsoft Learn

Microsoft vient de mettre à disposition une nouvelle version (1.2.5807) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème pour CVE-2024-49105.
• Ajout d'une liste de codecs graphiques dans la boîte de dialogue Informations sur la connexion.
• Correction d'un problème où la partie inférieure de la boîte de dialogue Authentification Windows pouvait être coupée lors de la connexion à une RemoteApp.
• Correction d'un problème où la boîte de dialogue Informations de connexion affichait le RTT le plus bas au lieu du RTT moyen.
• Correction d'un problème où le type UDP était incorrectement indiqué comme « UDP (Réseau privé) » pour toutes les connexions UDP dans la boîte de dialogue Informations sur la connexion.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

En avril 2024, Microsoft publiait une mise à jour de Windows pour ajouter de nouveau comportements qui entament le processus de résolution d'un risque de sécurité dans le protocole de validation PAC de Kerberos. Ces améliorations sont déployées en trois phases :

• 9 avril 2024 : La phase initiale de déploiement a commencé avec la publication de la mise à jour de sécurité d'avril 2024. Cette mise à jour a ajouté un nouveau comportement sécurisé qui prévient les risques d'élévation de privilèges.
• Janvier 2025 : La phase « Enforced by Default » (mise en œuvre par défaut) commence. Au cours de cette phase, les contrôleurs de domaine (DC) et les clients Windows passeront en mode renforcé. Ce mode appliquera le nouveau comportement sécurisé par défaut. Pendant cette phase, vous pouvez remplacer les paramètres de la phase « Enforced by Default » et revenir au mode « Compatibility ».
• Avril 2025 : Début de la phase d'application. Au cours de cette phase, il n'est pas possible de revenir sur le nouveau comportement sécurisé.

Pour se préparer, vous devez superviser les événements d’audit en mode Compatibility permettant d’identifier les appareils non mis à jour.

Plus d’informations : https://support.microsoft.com/help/5037754

Microsoft a récemment communiqué le plan concernant la stratégie de cycle de vie moderne qui affecte notamment Microsoft Teams. Les utilisateurs qui utilisent le nouveau client Teams dont la version du système d'exploitation n'est pas prise en charge recevront des notifications in-app pour les encourager à mettre à jour leur appareil vers une version de système d'exploitation prise en charge. Une version trop ancienne deviendra incompatible avec le service et le client Desktop sera bloqué jusqu'à ce que le système d'exploitation soit mis à jour.

Par conséquent, le client Teams peut présenter une page de blocage pour les utilisateurs et exiger une mise à jour vers une version de système d'exploitation prise en charge pour continuer à utiliser le client de bureau, avec un lien vers cette page. Ceci concerne les systèmes d’exploitation suivants :

• Les versions de macOS 11 (Big Sur) ou inférieures à partir du 15 novembre 2024
• Les versions de Windows 10 inférieures à 19041 (2004/20H1) à partir du 15 janvier 2025
• La version de macOS 12 (Monterey) à partir du 15 mars 2025
• Les versions de Windows 10 ou 11 LTSC à partir du 15 août 2025

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Data Security Posture Management

• Microsoft annonce Data Security Posture Management (DSPM) for AI en remplacement de l’AI Hub précédemment annoncé. On retrouve notamment :
  • L’évaluation des données (Data Assessments) (en Public Preview) permet d’identifier et corriger les risques potentiels de surpartage dans l’organisation. Les corrections incluent l'aide à la création d'une politique DLP pour empêcher Microsoft 365 Copilot de résumer les fichiers avec des étiquettes de sensibilité spécifiques, et la spécification des sites SharePoint à restreindre à partir de Microsoft 365 Copilot (découvrabilité du contenu restreint de SharePoint).
  • De nouvelles recommandations et politiques qui incluent la détection de l'utilisation risquée de l'IA à l'aide d'une politique de gestion du risque d'initié.
  • L'extension de la prise en charge d'autres applications d'IA générative, y compris Copilot Studio, ChatGPT - intégration de Microsoft Purview avec ChatGPT Enterprise Compliance API, et la nouvelle prise en charge des notes générées par l'IA de Microsoft Teams, actuellement en cours de Preview. Ces notes sont classées sur la page Rapports et dans l'explorateur d'activités en tant que Microsoft Copilot Experiences et Enterprise AI apps.
  • Une version pour les clients E3, pour aider à activer l'audit, voir les données liées aux interactions Microsoft 365 Copilot, et d'autres événements liés à l'IA dans l'explorateur d'activités.

Copilot for Security

• Preview de l’expérience dans l'explorateur d'activités Microsoft Purview. Il peut aider à la recherche de données et à la génération de filtres à partir d'invites en langage naturel. Security Copilot dans l'explorateur d'activités.

Classification des données

• Il y a deux classificateurs entrainés en Preview :
  • Prompt Shields : Détecte les attaques de l'utilisateur dans les LLMs.
  • Protected material : Détecte les contenus textuels connus susceptibles d'être protégés par des droits d'auteur ou de marque.

Etiquettes de confidentialité (Sensitivity Labels)

• Les bibliothèques de documents SharePoint peuvent être configurées pour une étiquette de sensibilité afin d'étendre les autorisations aux documents téléchargés et de protéger les fichiers contre la copie ou le déplacement.

Prévention de fuite de données (DLP)

• La protection "juste à temps" (JIT) de Microsoft Data Loss Prevention est disponible sur les trois versions les plus récentes de macOS..
• (Public Preview) Les politiques DLP pour Fabric prennent en charge les modèles sémantiques et les lakehouses.
• (Public Preview) Quatre nouveaux scénarios pour appliquer des contrôles aux fichiers qui échouent à la classification ou qui sont hors du champ de la surveillance DLP ou qui sont dans le champ mais inconnus ou des sous-ensembles de fichiers.
  • Apply controls to supported files that fail scanning
  • Apply controls to all unsupported files
  • Apply controls to some unsupported files
  • Disable scanning for some supported files and apply controls
• (Public Preview) Vous pouvez utiliser Security Copilot pour obtenir des informations sur vos politiques DLP.
• (Public Preview) Vous pouvez utiliser l'intégration Power Automate pour déclencher des workflows personnalisés en tant qu'action de règle DLP : Démarrer avec l'intégration Power Automate
• (Public Preview) Microsoft 365 Copilot est disponible en tant qu'emplacement surveillé dans les règles DLP. Il est possible de positionner des actions pour restreindre le traitement de contenu. On peut donc imaginer un scénario qui cible des données sensibles ou des documents étiquetés avec des hauts niveaux de confidentialité.

Gestion des enregistrements et de la rétention

• (Public Preview) Les stratégies de conservation prennent en charge les notes générées par l'IA de Teams lorsque vous utilisez l'emplacement du chat Teams pour les notes générées par l'IA dans le chat, et les comptes OneDrive pour les notes générées par l'IA dans les réunions. Les étiquettes de rétention ne sont pas actuellement prises en charge pour les notes générées par l'IA.
• (Public Preview) Vous pouvez créer des politiques de rétention distinctes pour les interactions Copilot et les chats Teams. Les politiques nouvellement créées utilisent des emplacements distincts. Vous pouvez également séparer les politiques existantes. Auparavant, les messages provenant de Teams et de Microsoft Copilot étaient automatiquement inclus dans l'emplacement de la politique de conservation.

Gestion des risques internes

• Un nouveau modèle de stratégie Risky AI usage permet de détecter et d’activer un scoring de risque pur les invites de l'utilisateur et les réponses du système dans les outils d'IA de l’organisation.

Audit et Advanced eDiscovery

• Nouvelle prise en charge et mise à jour du flux d'exportation dans les ensembles de recherche et de révision, offrant une structure d'exportation unifiée pour les fonctions premium et non premium, des performances d'exportation plus rapides, des rapports détaillés et des options d'exportation flexibles.
• Nouveau support pour identifier les requêtes web dans l'utilisation de Microsoft 365 Copilot.

Gestion de la conformité

• Nouvelle prise en charge de la détection des interactions d'IA générative avec Microsoft Copilot, des applications d'IA générative non connectées à Microsoft et des applications d'IA à partir de l'activité du navigateur et du réseau des utilisateurs de votre organisation.
• Nouvelle prise en charge du contenu nuisible généré par l'utilisateur et par l'IA dans les applications et les services. Cela inclut l'évaluation des invites utilisateur soumises aux services d'IA générative et l'inclusion de contenus textuels connus qui peuvent être sensibles pour votre organisation.
• Intégration étendue pour les indicateurs de conformité des communications et les indicateurs de politique d'IA générative dans les politiques de gestion des risques d'initiés.

Data Governance

• Disponibilité Générale d’Azure Databricks Unity Catalog Lineage. Les utilisateurs peuvent désormais suivre le flux de données dans leurs tables, vues et notebooks Azure Databricks. Microsoft Purview peut capturer le lignage à la fois au niveau de la table/vue Unity Catalog et au niveau de la colonne.
• A l’occasion de l’Ignite, Microsoft a renommé Data Catalog en Unified Catalog. L’ancien nom était un « report » d'Azure Purview et ne reflète pas exactement l'étendue des capacités ou la vision de la nouvelle solution. La nouvelle solution permet actuellement de scanner des métadonnées à partir de catalogues locaux tels que Fabric OneLake et Databricks Unity, ainsi que des sources de données hétérogènes telles que ADLS Gen 2, Fabric, GCP Big Query.
• La prise en charge de plusieurs espaces de travail Databricks a été activée pour Data Quality. Cette mise à jour permet l'utilisation de plusieurs espaces de travail Azure Databricks (ADB) avec différents métastores. Les clients pourront profiler leurs données et exécuter des analyses de qualité des données (DQ) avec des règles pour plusieurs espaces de travail Databricks dans le cadre du même abonnement Azure.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview de la disponibilité de Microsoft Sentinel dans le portail Defender et ce même sans avoir Microsoft Defender XDR ou une licence Microsoft 365 E5.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Disponibilité Générale du tableau de bord Usage Dashboard. Parmi les principales améliorations, on retrouve l'introduction de nouvelles dimensions de données, de meilleures capacités de filtrage des données, une période de données étendue à 90 jours et la possibilité d'exporter les données d'utilisation dans des feuilles Excel.

Microsoft Purview

• Disponibilité Général de l’accès aux journaux d'audit par l'intermédiaire de Microsoft Purview et de l'API Office Management pour aider à satisfaire aux exigences réglementaires et de conformité. Le journal d'audit permet d'accéder à des informations telles que les événements administratifs et les métadonnées d'activité.
• Preview de l’expérience dans l'explorateur d'activités Microsoft Purview. Il peut aider à la recherche de données et à la génération de filtres à partir d'invites en langage naturel. Security Copilot dans l'explorateur d'activités.

Nouveaux et Modifications de Promptbooks

• Microsoft introduit les promptbooks suivants :
  • Check impact of an external threat article
  • Investigate a user
  • 360 report for your organization based on a Defender Threat Intelligence article

Microsoft vient de publier une mise à jour (2.8.45) au client Global Secure Access de Microsoft Entra. Global Secure Access est le client utilisé par Microsoft Entra Internet Access et Private Access.  Ces services sont la solution Security Service Edge de Microsoft.

La dernière mise à jour (2.8.45) apporte les éléments suivants :

• Support des connexions mTLS (mutual Transport Layer Security).
• Prise en charge de l'interdiction faite aux utilisateurs non privilégiés de désactiver et d'activer le client Global Secure Access sur leur appareil.
• Affichage des tests de contrôle de santé lors du chargement d'un fichier zip dans les diagnostics avancés.
• Support du commutateur interne Hyper-V : le client Global Secure Access installé sur l'hôte contourne le trafic réseau des machines invitées Hyper-V. Si nécessaire, le client Global Secure Access peut être installé sur la machine invitée, sur la machine hôte ou sur les deux.
• La mise à jour du profil de transfert est déclenchée lorsqu'un utilisateur se connecte à Windows.
• Les événements du driver du client Global Secure Access sont enregistrés dans l'observateur d'événements sous : Applications and Services Logs > Microsoft > Windows > Global Secure Access > Kernel
• Amélioration des performances du trafic réseau tunnelé.
• Les notifications d'entrée et de sortie du portail captif sont désactivées par défaut.
• Dans l'onglet Advanced diagnostics Traffic, les informations d'état apparaissent dans deux colonnes : l'état de la connexion et les détails de l'état. Si le service Global Secure Access interrompt une connexion (par exemple, en raison d'une politique de filtrage définie sur le blocage), la colonne État de la connexion indique "Terminé" et la colonne Détails de l'état indique la raison de l'interruption.
• Pour s'adapter lorsque l'ouverture de session est requise, la fenêtre d'ouverture de session s'affiche même si les notifications Windows sont désactivées.
• Les services ont été renommés :
  • "Global Secure Access Management Service" et s'appellent désormais "Global Secure Access Engine Service".
  • "Global Secure Access Auto Upgrade Service" s'appelle désormais "Global Secure Access Client Manager Service".
• Les clés de registre périmées du client sont supprimées lors de la désinstallation.
• Correction d'un bug : le service de récupération des politiques cesse d'interroger les nouvelles politiques lorsqu'il rencontre une erreur.
• Le nom du fichier zip des journaux collectés contient désormais le numéro de version du client Global Secure Access.
• Récupération après les défaillances du service de tunneling.
• La télémétrie est activée pour les tenants de test.
• Améliorations de la collecte des journaux.
• Améliorations et corrections de bugs pour les diagnostics avancés.
• Corrections de bugs et améliorations diverses.

Plus d’informations sur les fonctionnalités et les différences : Global Secure Access client for Windows version release notes - Global Secure Access | Microsoft Learn

Le client est téléchargeable depuis le portail Microsoft Entra en naviguant dans Global Secure Access > Connect > Client download.

Microsoft a publié une mise à jour (2.3.20.0) à Microsoft Entra Connect. Microsoft Entra Connect est anciennement Azure Active Directory Connect - AADC, DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La dernière mise à jour (2.4.27.0) apporte les éléments suivants :

• Les pilotes SQL livrés avec Microsoft Entra Connect ont été mis à jour à la version OLE DB 18.7.4
• Correction d'un problème avec Privileged Identity Management (PIM), les rôles Microsoft Entra, et PIM for Groups pour vérifier que PIM est activé et que l'utilisateur a le rôle Hybrid Identity Administrator activé.
• Correction d'un problème où les commandes AD FS échouaient lorsque Connect Sync est installé sur un serveur non-ADFS.

Plus d’informations sur les fonctionnalités et les différences : Azure AD Connect: Version release history | Microsoft Docs

Télécharger Microsoft Entra Connect

A l’occasion de l’Ignite, Microsoft a annoncé la disponibilité générale de Microsoft Security Exposure Management. La solution est conçue pour fournir une vue centrale de la posture de sécurité d'une organisation. Il permet aux équipes de sécurité de comprendre, d'analyser et d'améliorer leur sécurité tout en gérant les expositions à travers une multitude d'éléments : appareils, identités, applications, données et infrastructures multicloud.  La solution est inclues dans un certain nombre de licences existantes. On retrouve différents enjeux :

• La gestion de la surface d'attaque (Attack Surface Management) offre une vue complète et continue de la surface d'attaque d'une organisation, permettant aux équipes d'explorer pleinement les actifs, de découvrir les interdépendances et de surveiller l'exposition à travers l'ensemble du domaine numérique. L'identification des actifs critiques, qui sont souvent des cibles privilégiées pour les attaquants, est au cœur de cette démarche. En mettant en évidence ces actifs clés, les équipes de sécurité peuvent prioriser leurs efforts et mieux comprendre quelles zones nécessitent le plus de protection.
• L'analyse des chemins d'attaque (Attack Path Analysis) va encore plus loin, en aidant les équipes à visualiser et à hiérarchiser les chemins d'attaque à haut risque dans divers environnements, en se concentrant spécifiquement sur les actifs critiques. Cette capacité permet de remédier de manière ciblée et efficace aux vulnérabilités qui ont un impact sur ces actifs clés, contribuant ainsi à réduire de manière significative l'exposition et la probabilité d'une violation en se concentrant sur les voies les plus impactantes qu'un attaquant pourrait exploiter.
• Unified Exposure Insights donne aux décideurs une vision claire de l'exposition aux menaces d'une organisation, aidant les équipes de sécurité à répondre aux questions clés sur leur position. Grâce aux initiatives de sécurité, les équipes se concentrent sur des domaines prioritaires tels que la sécurité du cloud et les ransomwares, en s'appuyant sur des mesures exploitables pour suivre les progrès, hiérarchiser les risques et aligner les mesures correctives sur les objectifs de l'entreprise pour une gestion proactive des risques.

Pour résumer, Microsoft Security Exposure Management permet de :

• Construire un programme efficace de gestion de l'exposition avec un processus continu de gestion de l'exposition aux menaces (CTEM).
• Réduire les risques grâce à une vision claire de chaque actif et à une évaluation en temps réel des expositions potentielles, tant à l'intérieur qu'à l'extérieur.
• Identifier et classer les actifs critiques, en veillant à ce qu'ils soient protégés contre un large éventail de menaces.
• Découvrir et visualiser les voies d'intrusion potentielles des adversaires, y compris les mouvements latéraux, afin d'identifier et d'arrêter de manière proactive les activités des attaquants.
• Communiquer les risques d'exposition aux chefs d'entreprise et aux parties prenantes à l'aide d'indicateurs clés de performance claire et d'informations exploitables.
• Améliorer l'analyse de l'exposition et la remédiation en intégrant des sources de données et des outils tiers.

Outre les solutions Microsoft qui alimentent cette nouvelle solution, Microsoft planifie l’ouverture à des solutions tierces qui permettront d’enrichir l’outil. On retrouve déjà ServiceNow CMDB, Tenable, Qualys, Rapid7.

Cette solution est disponible dès lors que vous disposez d’une des licences suivantes :

• Microsoft 365 E5 or A5
• Microsoft 365 E3
• Microsoft 365 E3 with the Microsoft Enterprise Mobility + Security E5 add-on
• Microsoft 365 A3 with the Microsoft 365 A5 security add-on
• Microsoft Enterprise Mobility + Security E5 or A5
• Microsoft Defender for Endpoint (Plan 1 and 2)
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Office 365 (Plans 1 and 2)
• Microsoft Defender Vulnerability Management

Plus d’informations sur : Microsoft Security Exposure Management documentation - Microsoft Security Exposure Management | Microsoft Learn

Source : Unlock Proactive Defense: Microsoft Security Exposure Management Now Generally Available | Microsoft Community Hub

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Disponibilité Générale de Microsoft Security Exposure Management. La solution est conçue pour fournir une vue centrale de la posture de sécurité d'une organisation. Il permet aux équipes de sécurité de comprendre, d'analyser et d'améliorer leur sécurité tout en gérant les expositions à travers une multitude d'éléments : appareils, identités, applications, données et infrastructures multicloud.  La solution est inclues dans un certain nombre de licences existantes.
• (Preview) Les chemins d'attaque (Attack paths) dans le graphique d'incident sont maintenant disponibles dans le portail Microsoft Defender. L'histoire de l'attaque inclut maintenant des chemins d'attaque potentiels qui montrent les chemins que les attaquants peuvent potentiellement prendre après avoir compromis un appareil. Cette fonctionnalité vous aide à prioriser vos efforts de réponse.
• (Preview) Les utilisateurs de Microsoft Defender XDR peuvent désormais exporter les données d'incident au format PDF. Utilisez les données exportées pour capturer et partager facilement les données d'incident avec d'autres parties prenantes.
• (GA) La colonne last update time dans la file d'attente des incidents est désormais disponible.
• (Preview) Des actions d'investigation et de réponse natives du cloud sont désormais disponibles pour les alertes liées aux conteneurs dans le portail Microsoft Defender. Les analystes des centres d'opérations de sécurité (SOC) peuvent désormais enquêter et répondre aux alertes liées aux conteneurs en temps quasi réel avec des actions de réponse natives du cloud et des journaux d'enquête pour rechercher des activités connexes.
• (Preview) L'opérateur arg() est disponible dans l’Advanced Hunting pour les requêtes Azure Resource Graph afin d'effectuer des recherches sur les ressources Azure. Vous n'avez plus besoin d'aller dans Log Analytics dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.
• (Preview) La table CloudProcessEvents contient des informations sur les événements de processus dans les environnements hébergés multicloud. Vous pouvez l'utiliser pour découvrir les menaces qui peuvent être observées à travers les détails des processus, comme les processus malveillants ou les signatures de ligne de commande.
• (Preview) La migration des requêtes de détection personnalisées vers la fréquence continue (quasi temps réel ou NRT) est désormais disponible. Vous pouvez migrer les requêtes KQL compatibles en suivant les étapes de la fréquence continue (NRT).

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• "SaaS security initiative" fournit un emplacement centralisé pour toutes les bonnes pratiques liées à la sécurité SaaS, classées en 12 mesures. Ces mesures sont conçues pour aider à gérer efficacement et à hiérarchiser le grand nombre de recommandations de sécurité.
• Plusieurs améliorations dans App Governance avec notamment :
  • Preview permettant d’avoir une visibilité sur l'origine des applications OAuth connectées à Microsoft 365 avec la fonctionnalité App Governance. Vous pouvez filtrer et surveiller les applications qui ont des origines externes, afin de les examiner de manière proactive et d'améliorer la posture de sécurité de l'organisation.
  • Preview des capacités de filtres et d’export pour identifier rapidement les applications disposant d'autorisations spécifiques pour accéder à Microsoft 365.
  • Preview permettant d’avoir la visibilité sur le niveau de privilège pour toutes les autorisations d'API populaires de Microsoft.
  • Preview permettant d’obtenir des informations granulaires sur les données auxquelles accèdent les applications utilisant l'ancienne API EWS avec Microsoft Graph. La couverture améliorée des informations sur l'utilisation des données vous permettra d'obtenir une visibilité plus approfondie sur les applications accédant aux e-mails à l'aide de l'ancienne API EWS.
• Preview du support de Graph API pour les applications découvertes par Defender for Cloud Apps. L’API supporte les appels GET.
• L'application d'entreprise "Microsoft Defender for Cloud Apps - Session Controls" est utilisée en interne par le service Conditional Access App Control. Veuillez-vous assurer qu'aucune politique d’accès conditionnel ne restreint l'accès à cette application. Pour les stratégies qui restreignent toutes les applications ou certaines d'entre elles, veuillez-vous assurer que cette application est répertoriée comme une exception ou confirmer que la stratégie de blocage est délibérée.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Windows Autopatch.

Ce mois-ci se focalise sur l’intégration des mises à jour Hotpatch. Pour rappel, les mises à jour Hotpatch sont des mises à jour de sécurité (Monthly B) publiées tous les mois et pouvant être installées sans redémarrage de l'appareil. Les mises à jour Hotpatch sont conçues pour réduire les temps d'arrêt et les interruptions. En minimisant la nécessité de redémarrer, ces mises à jour contribuent à une mise en conformité plus rapide.

Il y a de nouvelles fonctionnalités ce mois :

• Support des mises à jour hotpatch en Public Preview. Si vous utilisez des groupes Autopatch et que vous souhaitez que vos appareils reçoivent des mises à jour Hotpatch, vous devez créer une stratégie Hotpatch et y affecter des appareils. L'activation des mises à jour Hotpatch ne modifie pas le paramètre de report appliqué aux périphériques au sein d'un groupe Autopatch.
• Public Preview du rapport Hotpatch quality update Fournissant une vue par politique des statuts de mise à jour actuels pour tous les appareils  qui reçoivent des mises à jour Hotpatch.

 Microsoft a réalisé des maintenances sur le service afin d'améliorer les performances globales de Windows Autopatch.

Plus d’informations sur : What's new 2024 - Windows Deployment | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Nouveau modèle : les modèles de déploiement Microsoft Purview sont un nouvel ensemble de contenu créé par l'équipe produit et basé sur des expériences client réelles. Ils sont destinés à rationaliser et à accélérer votre processus de déploiement pour des scénarios métier spécifiques. Le premier, Sécuriser par défaut avec Microsoft Purview et protéger contre le partage excessif, se concentre sur :
  • La mise en œuvre d'une configuration sécurisée par défaut à l'aide de l'étiquetage de sensibilité
  • L'utilisation des valeurs par défaut de publication d'étiquettes et de l'étiquetage automatique dans le client Office.
  • L'utilisation de valeurs par défaut contextuelles dans les sites SharePoint pour augmenter la vitesse de déploiement.

Hub IA

• Modifications de l'interface utilisateur pour la navigation : bien qu'aucune fonctionnalité n'ait été modifiée, certaines pages et la navigation du hub AI ont changé. Par exemple, la page Analytics d'origine est remplacée par les pages Présentation et Recommandations, et les politiques en un clic ont été déplacées de la page Politiques vers des cartes de recommandation individuelles.
• : Le nom de l'événement "Classification stamped" dans l'explorateur d'activités est remplacé par "Sensitive info types detected".

Classification des données

• Nouveau : numéro de passeport indonésien
• Nouveau : numéro d'identification unique équatorien.

Etiquettes de confidentialité (Sensitivity Labels)

• Support de Loop : nouvel article qui répertorie les applications et scénarios pris en charge pour l’utilisation d’étiquettes de sensibilité avec les composants, pages et espaces de travail Loop.
• Preview : Les étiquettes de sensibilité qui appliquent un contrôle d'accès aux éléments chiffrés prennent désormais en charge les stratégies de protection pour Microsoft Fabric.
• Modification des champs d'application des étiquettes : Le champ d'application "Items" est renommé "Files & other data assets" (fichiers et autres données). Ce nouveau champ d'application comprend désormais des éléments qui se trouvaient auparavant dans le champ d'application des actifs de données schématisés, qui a été supprimé, et inclut désormais des éléments pour Microsoft Fabric.
• Améliorations apportées aux étiquettes par défaut : lors du déploiement, les étiquettes de sensibilité par défaut incluent désormais l’étendue Réunions si le tenant dispose de licences pour appliquer manuellement une étiquette pour les réunions planifiées. De plus la stratégie d’étiquette de sensibilité associée inclut une étiquette de réunion Teams par défaut. Si le locataire dispose de licences pour appliquer manuellement l’étiquette aux réunions Teams, certaines des étiquettes de sensibilité ont également des paramètres configurés pour protéger ces réunions.
• Améliorations apportées à Microsoft 365 Copilot : Copilot dans Outlook (Classic) pour Windows prend désormais en charge les éléments chiffrés pour la version 2408 dans le canal d’entreprise mensuel.

Gestion de la conformité

• Les modifications apportées aux paramètres de Compliance Manager pour les tests automatisés des actions d’amélioration et l’accès des utilisateurs aux évaluations sont désormais reflétées dans le journal d’audit. Des schémas pertinents ont également été ajoutés au schéma de l’API Office 365 Management Activity.

Data Governance

• Les gestionnaires de données peuvent désormais relier les termes du glossaire aux éléments de données critiques et vice versa.
• Les administrateurs de gouvernance de données répertoriés sous Settings->Data Catalog->Role and permissions peuvent désormais mettre à jour les propriétaires des domaines de gouvernance qui sont devenus inaccessibles en raison du départ des propriétaires précédents de l'organisation.
• (Preview) Analyse et perspectives en libre-service pour les métadonnées de gouvernance de données. Cette fonctionnalité permet aux analystes de données et aux gestionnaires de données d'analyser et d'obtenir des perspectives à partir des métadonnées de gouvernance de données de Microsoft Purview dans Fabric OneLake. Ils peuvent relier les métadonnées de gouvernance des données à d'autres sources de données pour créer des rapports de leadership et générer des informations qui soutiennent la prise de décision basée sur les faits et favorisent une culture de gouvernance des données dans l'ensemble de l'organisation. Le support d'ADLSg2 est actuellement en Preview. Vous devez contacter votre équipe Microsoft pour que votre tenant soit autorisé à accéder aux métadonnées de Purview Data Governance pour votre stockage ADLSg2.
• Public Preview de la prise en charge des vues Azure Databricks. Les utilisateurs d'Azure Databricks pourront profiler et exécuter des analyses de qualité des données pour les données dans les vues Azure Databricks en plus des tables Azure Databricks.
• Le connecteur natif Synapse pour Serverless et Synapse Data Warehouse avec prise en charge vNet gérée est disponible en Preview pour les tables et les vues.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Les colonnes LastSeenForUser et UncommonForUser sont disponibles pour les requêtes et les règles de détection dans l’Advanced Hunting. Les nouvelles colonnes sont conçues pour vous aider à mieux identifier les activités inhabituelles qui peuvent sembler suspectes, et vous permettre de créer des détections personnalisées plus précises, ainsi que d'enquêter sur toutes les activités suspectes qui surviennent.
• Les colonnes AuditSource et SessionData sont disponibles pour les requêtes et les règles de détection. L'utilisation de ces données permet d'effectuer des requêtes qui prennent en compte des sources d'audit spécifiques, y compris le contrôle d'accès et de session, et des requêtes par sessions en ligne spécifiques.
• La colonne OAuthAppId est disponible pour les requêtes et les règles de détection. L'utilisation de OAuthAppId permet aux requêtes de prendre en compte des applications OAuth spécifiques, ce qui rend les requêtes et les règles de détection plus précises.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• Des rôles Microsoft Unified RBAC sont ajoutés avec de nouveaux niveaux d’autorisation pour que les clients Microsoft Threat Experts puissent utiliser la fonctionnalité Ask Defender Experts.
• (Preview) L'opérateur arg() est disponible dans l’Advanced Hunting pour les requêtes Azure Resource Graph afin d'effectuer des recherches sur les ressources Azure. Vous n'avez plus besoin d'aller dans Log Analytics dans Microsoft Sentinel pour utiliser cet opérateur si vous êtes déjà dans Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Le portail Microsoft Purview Message Encryption permet d'accéder aux messages chiffrés envoyés par les utilisateurs de votre organisation à des destinataires externes. La conception du portail (polices, couleurs, contrôles, etc.) sera adaptée à la marque Purview. Ce changement aura lieu d’ici décembre 2024.

Etiquettes de confidentialité (Sensitivity Labels)

• Copilot dans Outlook (Classic) pour Windows prend désormais en charge les éléments chiffrés, à partir de la version 2408 dans Current Channel.
• Microsoft va opérer un changement d’ici fin octobre sur les stratégies et labels par défaut. Avant ce changement, les étiquettes et les politiques par défaut sont limitées aux fichiers et au courrier électronique. Après ce déploiement, l'activation des étiquettes par défaut inclura les réunions. Ce déploiement n'affectera pas les étiquettes de sensibilité actuellement utilisées par l’entreprise. Ce déploiement n'affectera que les entreprises qui choisissent d'activer les étiquettes par défaut.
• Microsoft Purview Information Protection va bientôt intégrer Advanced Message Encryption avec la fonctionnalité de rappel de messages (Message Recall) pour les courriels dans Outlook, permettant aux utilisateurs licenciés de rappeler les courriels chiffrés. Le déploiement commence début octobre 2024, sans qu'aucune action administrative ne soit nécessaire.
• Outlook pour iOS et Android invitera les utilisateurs à ouvrir les PDF avec des étiquettes de confidentialité dans l'application Microsoft 365 à partir de début septembre 2024. Cette mise à jour est automatique et ne nécessite aucune action de la part de l'administrateur, mais il est recommandé d'en informer les utilisateurs.

Prévention de fuite de données (DLP)

• D’ici fin novembre, Microsoft Purview Data Loss Prevention (DLP) sera amélioré pour prendre en charge plus de 100 types de fichiers pour l'analyse du contenu sur les appareils Windows, avec des fonctionnalités supplémentaires telles que la détection des étiquettes dans les fichiers protégés (pfiles), l'analyse des métadonnées des fichiers et la reconnaissance des informations sensibles dans les fichiers intégrés (fichier txt dans un PowerPoint) et les champs de formulaire PDF.
• D’ici fin octobre 2024, Microsoft Purview Data Loss Prevention introduira quatre nouveaux prédicats Exchange pour détecter les messages et pièces jointes non étiquetés, et ceux contenant des informations sensibles spécifiques.
  • Message is not labeled: Détecte si le corps du message n'a pas d'étiquette.
  • Attachment is not labeled: Détecte la présence d'une pièce jointe sans étiquette.
  • Message contains: Détecte si le corps du message contient des types d'informations sensibles (SIT) ou des étiquettes. Notez qu'il n'existe pas encore de classificateurs entraînables ou de règles non avancées.
  • Attachment contains: Détecte si une pièce jointe contient des SITs ou des étiquettes spécifiées. Notez qu'il n'existe pas encore de classificateurs entraînables ou de règles non avancées.

Gestion des risques internes

• Microsoft introduit des limites de déclencheurs plus granulaires afin d'isoler l'impact d'une augmentation des volumes de déclenchements bruyants et d'éviter que d'autres politiques ne soient affectées. Cela garantit que les organisations peuvent recevoir des alertes critiques sans être limitées par ces limites. Par défaut, ces limites d'étranglement sont appliquées :
  • Tous les déclencheurs sensibles, y compris les signaux RH, les départs d'Azure AD et les déclencheurs personnalisés, seront limités à 15 000 par jour et par déclencheur.
  • Tous les autres déclencheurs seront limités à 5 000 par jour et par déclencheur.

En outre, les messages d'avertissement sur la santé de la politique seront améliorés pour aider les administrateurs disposant des autorisations appropriées à identifier et à traiter efficacement les déclencheurs bruyants.

• Microsoft Purview Insider Risk Management a introduit une fonctionnalité permettant de détecter l'exfiltration de données sensibles vers des courriels gratuits du domaine public. Le nouveau groupe de détection de domaines « Free public domains» répertorie les domaines courants utilisés pour les comptes de messagerie personnels. Les administrateurs disposant des autorisations appropriées peuvent choisir de sélectionner ces domaines dans leurs variantes d'indicateurs. Vous pouvez également modifier le groupe de détection « Free public domains». Les administrateurs disposant des autorisations nécessaires ont désormais la possibilité d'adapter la liste des domaines par défaut dans les « Free public domains» en ajoutant de nouveaux domaines ou en supprimant des domaines existants. S'il est nécessaire de revenir à la liste de domaines originale fournie par Microsoft, la fonction « Reset » peut être utilisée. Le nombre maximum de domaines autorisés par groupe de détection reste plafonné à 200, y compris le groupe « Free public domains». Toute modification apportée à ce groupe sera prise en compte lors de l'analyse d'une éventuelle exfiltration de données vers des comptes de messagerie personnels.
• D’ici novembre, Microsoft introduira les exclusions globales. Par conséquent, toutes les fonctions d'exclusion actuellement présentes dans les détections intelligentes seront déplacées vers un nouvel onglet Exclusions globales dans les paramètres Insider Risk. Toutes les exclusions ajoutées précédemment dans les détections intelligentes seront transférées vers ce nouvel onglet. La fonctionnalité des exclusions reste inchangée. Les administrateurs disposant des autorisations appropriées peuvent désormais ajouter des exclusions avec des groupes de détection définis, qui contiennent des entités similaires telles que des domaines ou des types de fichiers.

Communication Compliance

• Microsoft Purview Communication Compliance propose des classificateurs avancés pour détecter les violations potentielles de la sécurité sur le lieu de travail, telles que les contenus haineux ou violents, et attribuer des scores de gravité aux textes dangereux dans l'ensemble du système dans plus de 100 langues. Ces derniers sont disponibles depuis mi-septembre.

Data Governance

• Disponibilité Générale de Microsoft Purview Data Governance comprenant les nouvelles fonctionnalités suivantes :
  • Suppression de concepts métier - permet aux gestionnaires de données de supprimer des concepts métier (domaines de gouvernance, produits de données, termes de glossaire, éléments de données critiques et OKR) qui ne sont pas publiés et ne sont pas associés à d'autres concepts.
  • Paramètres d'administration du catalogue de données - l'expérience d'administration, y compris les rôles, les autorisations et les analyses en libre-service, fait désormais partie des paramètres de solution pour le catalogue de données dans le portail Microsoft Purview.
  • Politiques relatives aux produits de données - les fournisseurs d'accès facultatifs dans les flux de travail de demande d'accès aux produits de données peuvent enregistrer l'état de provisionnement de l'accès au niveau des actifs pour les actifs dans le produit de données et marquer la demande comme étant terminée.
  • Flux de demandes d'accès aux produits de données
    • Les consommateurs de données peuvent sélectionner une demande dans l'onglet Mon accès aux données de la page Produits de données et voir les détails de la demande, y compris les détails d'approbation et le statut de provisionnement de l'accès au niveau de l'actif.
    • Les approbateurs des demandes d'accès ou les nouveaux fournisseurs d'accès facultatif qui constituent la dernière étape du flux de travail peuvent enregistrer l'état du provisionnement de l'accès au niveau des actifs dans le produit de données et marquer la demande comme "Terminée" après approbation.
  • Qualité des données pour les sources de données multi-cloud - Les responsables de la qualité des données pourront établir des profils, ajouter des règles de qualité des données, exécuter des analyses de qualité des données et surveiller les scores de qualité de leurs données dans les domaines de données multi-cloud.
  • Glossaire de l'entreprise (Preview) - les consommateurs de données peuvent parcourir et comprendre tous les termes du glossaire, les CDE et les OKR de l'entreprise dans cette nouvelle page sous Discovery.
  • Nouvelle navigation - Nouvelle navigation et amélioration des menus pour naviguer dans les 3 principales catégories d'expériences : Découverte, Gestion du catalogue et Gestion de la santé, ainsi que des expériences d'administration distinctes pour les paramètres de solution dans le portail Microsoft Purview.
  • Fonctionnalité d'importation en vrac développée par un partenaire - Téléchargez les utilitaires autonomes de notre partenaire Macula pour importer en vrac des concepts d'entreprise dans le nouveau catalogue de données.
  • Visualisation sous forme d'arborescence : La hiérarchie des domaines de gouvernance et des termes du glossaire peut être visualisée sous forme d'arborescence dans les expériences de gestion et de découverte du catalogue.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• L'expérience de migration Microsoft Monitoring Agent sera disponible d'ici fin novembre afin de préparer vos environnements à la dépréciation de Log Analytics Agent.
• La détection de la dérive binaire est en disponibilité générale pour toutes les versions d'AKS dans le plan Defender for Container.
• (Preview) Les recommandations pour " Containers running in AWS/Azure/GCP should have vulnerabilities findings resolved" sont mises à jour pour regrouper tous les conteneurs qui font partie de la même charge de travail en une seule recommandation, réduisant les duplications et évitant les fluctuations dues aux nouveaux conteneurs et aux conteneurs terminés.
• Disponibilité Générale de recevoir les résultats de sécurité concernant les mauvaises configurations de l'infrastructure en tant que code (IaC), les vulnérabilités des conteneurs et les faiblesses du code pour les dépôts GitHub sans GitHub Advanced Security.
• Améliorations diverses autour de Kubernetes:
  • Preview du graph de sécurité permettant de requêter les RBAC Kubernetes et les relations associées entre les objets Kubernetes (Can Authenticate As, Can Impersonate As, Grants Role, Access Defined By, Grants Access To, Has Permission To, etc.)
  • Preview des chemins d’attaques basées sur le graph Sécurité et les données RBAC Kubernetes. Ceci permet à Defender for Cloud de détecter désormais les mouvements latéraux vers Kubernetes, de Kubernetes vers Cloud et à l'intérieur de Kubernetes et signale d'autres chemins d'attaque où les attaquants peuvent abuser de l'autorisation de Kubernetes et de Cloud pour des mouvements latéraux vers, depuis et à l'intérieur des clusters Kubernetes.
  • Le nouveau moteur d'analyse des chemins d'attaque publié en novembre dernier prend désormais également en charge les cas d'utilisation des conteneurs, en détectant dynamiquement de nouveaux types de chemins d'attaque dans les environnements cloud sur la base des données ajoutées au Graph. Microsoft peut désormais trouver davantage de chemins d'attaque pour les conteneurs et détecter des schémas d'attaque plus complexes et sophistiqués utilisés par les attaquants pour infiltrer les environnements cloud et Kubernetes.
• Defender for Cloud collecte désormais des données d'inventaire pour toutes les images de conteneurs dans les registres pris en charge, offrant une visibilité totale dans le Graph sécurité pour toutes les images dans vos environnements cloud, y compris les images qui n'ont actuellement aucune recommandation de posture.
• Prise en charge améliorée de la sécurité des API pour les déploiements multirégionaux d'Azure API Management et la gestion des révisions d'API
• Les clients peuvent désormais obtenir une liste des logiciels installés dans leurs conteneurs et images de conteneurs via le Cloud Security Explorer. Cette liste peut également être utilisée pour obtenir rapidement d'autres informations sur l'environnement du client, comme la recherche de tous les conteneurs et images de conteneurs contenant des logiciels affectés par une vulnérabilité de type 0-day, avant même la publication d'un CVE.
• Dépréciation de 3 standards Defender for Cloud : AWS CSPM, GCP CSPM, et GCP Default. Le standard par défaut est Microsoft Cloud Security Benchmark (MCSB) qui contient toutes les évaluations.
• Dépréciation de trois standards de conformité : SWIFT CSP-CSCF v2020 (for Azure) remplacé par la version 2022 et CIS Microsoft Azure Foundations Benchmark v1.1.0 et v1.3.0 remplacé par les versions 1.4.0 et 2.0.0.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs