IDC classe Microsoft Defender for Endpoint numéro un en termes de parts de marché dans le rapport Worldwide Corporate Endpoint Security Market Shares de 2022. IDC indique que le marché a grossi de 29.2% en 2022 afin d’atteindre 13.1 milliards de dollars. Microsoft obtient la plus grosse part de marché avec 18.9% en 2022 et une augmentation de 7.2% par rapport à 2021.

Viennent ensuite :

• CrowdStrike avec 15.1%
• TrendMicro avec 7.6%
• Trellix avec 6.1%
• Sophos, Palo Alto Networks, Broadcom Software.

Pour obtenir plus d’informations sur le rapport, rendez-vous sur IDC, Worldwide Corporate Endpoint Security Market Shares, 2022: Pace of Growth Accelerated Through 2022

Source : IDC ranks Microsoft Defender for Endpoint first in market share | Microsoft Security Blog

Microsoft vient de mettre à disposition une nouvelle version (1.2.4419) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Améliorations générales de l'expérience du Narrateur.
• Correction d'un problème qui faisait que le texte du message d'abonnement aux espaces de travail était coupé lorsque l'utilisateur augmentait la taille du texte.
• Correction d'un problème qui faisait que le client ne répondait parfois plus lorsqu'il tentait de démarrer de nouvelles connexions.
• Amélioration de la journalisation du client, des diagnostics et de la classification des erreurs pour aider les administrateurs à résoudre les problèmes de connexion et d'alimentation.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• L'intégration directe (sans Azure Arc) à Defender for Servers est en disponibilité générale. Auparavant, Azure Arc était nécessaire pour intégrer des serveurs non-Azure à Defender for Servers. Cependant, avec la dernière version, vous pouvez également intégrer vos serveurs sur site à Defender for Servers en utilisant uniquement l'agent Microsoft Defender for Endpoint. Cette nouvelle méthode simplifie le processus d'intégration pour les clients qui se concentrent sur la protection des points finaux et vous permet de profiter de la facturation basée sur la consommation de Defender for Servers pour les actifs en nuage et non en nuage. L'option d'intégration directe via Defender for Endpoint est disponible dès maintenant, et la facturation des machines intégrées commencera le 1er juillet.
• La configuration express pour les évaluations de vulnérabilité dans Defender for SQL est maintenant disponible. La configuration express offre une expérience d'intégration rationalisée pour les évaluations de vulnérabilité SQL en utilisant une configuration en un clic (ou un appel API). Il n'y a pas besoin de paramètres supplémentaires ou de dépendances sur les comptes de stockage gérés.
• Defender for Cloud a amélioré l'expérience d'onboarding en incluant une nouvelle interface utilisateur et des instructions rationalisées, ainsi que de nouvelles capacités qui vous permettent d'onboarder vos environnements AWS et GCP tout en donnant accès à des fonctionnalités d'onboarding avancées.
• La prise en charge des Private Endpoint est désormais disponible dans le cadre de la Public Preview de l'analyse des programmes malveillants dans Defender for Storage. Cette fonctionnalité permet d'activer l'analyse des malwares sur les comptes de stockage qui utilisent des Private Endpoints. Aucune autre configuration n'est nécessaire.
• Une nouvelle recommandation de conteneur dans Defender CSPM proposée via MDVM est disponible en Public Preview :
  • Running container images should have vulnerability findings resolved (powered by Microsoft Defender Vulnerability Management)(Preview)  : L'évaluation de la vulnérabilité des images de conteneurs analyse votre registre à la recherche de vulnérabilités communément connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation offre une visibilité sur les images vulnérables actuellement en cours d'exécution dans vos clusters Kubernetes. Remédier aux vulnérabilités des images de conteneurs en cours d'exécution est essentiel pour améliorer votre posture de sécurité, en réduisant considérablement la surface d'attaque de vos charges de travail conteneurisées.
• Vous pouvez désormais découvrir les économies potentielles en matière de sécurité en appliquant Defender for Cloud dans le cadre d'un business case Azure Migrate.
• Defender for DevOps a ajouté les scopes supplémentaires suivants à l'application Azure DevOps (ADO) :
  • Advance Security management: vso.advsec_manage. est nécessaire pour vous permettre d'activer, de désactiver et de gérer GitHub Advanced Security pour ADO.
  • Container Mapping : vso.extension_manage, vso.gallery_manager ; Nécessaire pour partager l'extension du décorateur avec l'organisation ADO.

Seuls les nouveaux clients de Defender for DevOps qui essaient d'intégrer les ressources ADO à Microsoft Defender for Cloud sont concernés par ce changement.

• Avec les capacités Agentless Container Posture disponibles dans Defender CSPM, les capacités de découverte basées sur l'agent sont maintenant retirées. Si vous utilisez actuellement les capacités de conteneur dans Defender CSPM, veuillez-vous assurer que les extensions pertinentes sont activées pour continuer à recevoir la valeur liée aux conteneurs des nouvelles capacités sans agent, telles que les chemins d'attaque, les informations et l'inventaire liés aux conteneurs. (Les effets de l'activation des extensions peuvent prendre jusqu'à 24 heures).
• Les normes NIST 800-53 (R4 et R5) ont récemment été mises à jour avec les changements de contrôle dans Microsoft Defender for Cloud pour la conformité réglementaire. Les contrôles gérés par Microsoft ont été supprimés de la norme, et les informations sur la mise en œuvre de la responsabilité de Microsoft (dans le cadre du modèle de responsabilité partagée dans le Cloud) sont désormais disponibles uniquement dans le volet de détails du contrôle sous Actions Microsoft.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Windows 365. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• Disponibilité Générale de Windows 365 Frontline permettant de répondre à ce besoin spécifique aux employés de terrain. Une licence permet de provisionner jusqu'à 3 Cloud PCs avec une session concurrente.Le nombre maximum de sessions actives du PC Cloud Windows 365 Frontline dans votre organisation est égal au nombre de licences Windows 365 Frontline que vous avez achetées. Par exemple, si vous achetez 10 licences, vous pouvez provisionner jusqu'à 30 Cloud PCs. Dix de ces Cloud PCs peuvent être actifs à un moment donné. Les sessions actives sont gérées automatiquement. Lorsqu'un utilisateur se déconnecte de son Cloud PCs, la session est libérée pour qu'un autre utilisateur puisse commencer à utiliser son Cloud PC.
• Un nouvel outil de configuration de Windows 365 Government est désormais disponible. Il remplace les scripts PowerShell qui étaient utilisés pour configurer le mappage des locataires et les autorisations.

Gestion des périphériques

• Le redimensionnement unique et en masse prend désormais en charge les Cloud PCs qui ont été approvisionnés avec des licences basées sur des groupes.
• Les utilisateurs de l'application Windows 365 recevront une notification lorsqu'une mise à jour sera disponible. Si les utilisateurs choisissent de mettre à jour, l'application se ferme et ils reçoivent une notification Windows lorsque la mise à jour est terminée.
  
  

Gestion des applications

• Les charges de travail basées sur la virtualisation sont désormais prises en charge dans les environnements Windows 365 Government..

Expérience Utilisateur

• Windows365.microsoft.com et son bouton Ouvrir dans le navigateur inclut l'application Windows 365 et Ouvrir dans l'application Bureau à distance.
• Les utilisateurs de l'application Windows 365 recevront une notification lorsqu'une mise à jour sera disponible. Si les utilisateurs choisissent de mettre à jour, l'application se ferme et ils reçoivent une notification Windows lorsque la mise à jour est terminée.
• L'application Windows 365 prend désormais en charge les environnements Windows 365 Government.
• L'épinglage de l'application Windows 365 Cloud PC dans la barre des tâches prend désormais en charge Windows 365 Government

Supervision et Dépannage

• Le rapport sur les performances des ressources dans Endpoint Analytics est désormais disponible pour Windows 365 Government.
• Le statut du contrôle de santé de la connexion au réseau Azure dans Microsoft Intune inclut désormais un identifiant de corrélation. Cet identifiant aide l'équipe d'assistance à résoudre les problèmes des clients. Veillez à fournir le numéro d'identification lorsque vous contactez le service d'assistance de Microsoft.

Documentation

• Nouvel article de documentation : Diagramme d'architecture de haut niveau
• La page Guides de déploiement avancé dans le centre d'administration Microsoft 365 contient un nouveau guide pour aider les administrateurs à planifier, déployer et mettre à l'échelle Windows 365 Enterprise dans leur organisation. Ce guide contient une liste de contrôle des tâches de configuration du Cloud PC et inclut les bonnes pratiques, les outils et les recommandations basées sur la configuration du tenant.

Plus d’informations sur : What's new in Windows 365 Enterprise | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La disponibilité générale du Content Hub est retardée. Microsoft avait l'intention de mettre le Content Hub à la disposition de tous cette semaine. Les équipes d'ingénieurs a identifié quelques problèmes juste avant le lancement et prend le temps de les corriger. Si vous avez vu cette annonce et que vous attendiez avec impatience la mise à jour de l'expérience pour votre tenant, nous nous excusons pour le décalage. Voici donc l'annonce révisée dans l'attente d'une disponibilité générale prochaine.
• Disponibilité Générale du connecteur Windows Forwarded Events.
• Preview de la capacité à connecter plusieurs identificateurs de système SAP (SID) via la page des connecteurs de l'interface utilisateur et obtenir des informations sur l'état de santé de la connectivité de chacun d'entre eux.
• La solution Microsoft Sentinel pour les applications SAP® utilise le nouveau fichier json à partir des versions de l'agent déployées à partir du 22 juin. Pour les versions antérieures de l'agent, vous devez toujours utiliser le fichier systemconfig.ini.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• La gouvernance des applications est désormais incluse dans les licences Microsoft Defender for Cloud Apps et ne nécessite plus de licence supplémentaire. Dans le portail Microsoft 365 Defender, allez dans Settings > Cloud apps > App governance > Service status pour activer la gouvernance des applications si elle est disponible, ou vous inscrire sur la liste d'attente. Les détenteurs actuels de licences d'essai pour le module complémentaire de gouvernance des applications ont jusqu'au 31 juillet 2023 pour activer la bascule et conserver leur accès à la gouvernance des applications.

• Pour les clients qui ont activé la gouvernance des applications, Microsoft a consolidé les capacités de surveillance et d'application des stratégies pour toutes les applications OAuth dans la gouvernance des applications. Dans le portail Microsoft 365 Defender, Microsoft a fusionné toutes les fonctionnalités qui se trouvaient à l'origine sous Cloud apps > OAuth apps sous App governance, où vous pouvez gérer toutes les apps OAuth sous un seul et même panneau de verre.
• La gouvernance des applications vous permet désormais d'aller plus loin dans la recherche de données sur les applications en fournissant des informations plus approfondies sur les applications OAuth, ce qui aide votre SOC à identifier les activités d'une application et les ressources auxquelles elle a accédé. Les informations sur les applications OAuth comprennent
  • Des requêtes prêtes à l'emploi qui aident à rationaliser l'enquête
  • Visibilité des données grâce à la vue des résultats
  • La possibilité d'inclure les données de l'application OAuth, telles que les détails de l'activité de la ressource, de l'application, de l'utilisateur et de l'application, dans les détections personnalisées.

• À partir du 1er juin 2023, la gestion des applications inutilisées, des informations d'identification inutilisées et des informations d'identification arrivant à expiration ne sera disponible que pour les clients de la gouvernance des applications disposant de Microsoft Entra Workload Identities Premium.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Je vous propose un petit aperçu des nouveautés en juin 2023 autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, etc.).

On retrouve notamment :

Etiquettes de confidentialité (Sensitivity Labels)

• Disponibilité Générale de la prise en charge d’un paramètre d'étiquetage obligatoire que vous pouvez configurer avec Microsoft Intune pour inviter les utilisateurs à sélectionner une étiquette de sensibilité lorsqu'ils composent un e-mail au lieu de l'envoyer sur Outlook pour Android et Outlook pour iOS prennent en charge.
• Disponibilité générale de la barre de confidentialité et les couleurs des étiquettes sur Outlook pour Android et Outlook pour iOS. Pour iOS, la version est encore en cours de déploiement.
• En Preview, on retrouve les emplacements OneDrive pour les stratégies d'étiquetage automatique passent des sites spécifiés par des URL aux utilisateurs et aux groupes. Ce changement de configuration signifie que les unités administratives sont désormais prises en charge pour les politiques d'étiquetage automatique OneDrive. Tous les sites OneDrive existants spécifiés dans les politiques d'étiquetage automatique en tant qu'URL de site continueront à fonctionner, mais avant d'ajouter d'autres emplacements OneDrive, ou pour les administrateurs restreints, vous devez d'abord supprimer tous les sites OneDrive existants spécifiés en tant qu'URL. Groupes pris en charge : groupes de distribution, groupes Microsoft 365, groupes de sécurité activés par courrier électronique et groupes de sécurité.
• En Preview, on retrouve la prise en charge limitée des étiquettes configurées pour les autorisations définies par l'utilisateur pour Office sur le web, SharePoint et OneDrive.
• En Preview : Les nouvelles conditions suivantes sont déployées en Preview pour les politiques d'étiquetage automatique. La dernière nouvelle condition répertoriée nécessite une règle avancée et ne s'applique qu'à OneDrive et SharePoint. Toutes les autres nouvelles conditions sont disponibles dans les règles communes :
  • Attachment or file extension is
  • Attachment or document name contains words or phrases
  • Attachment or document property is
  • Attachment or document size equals or is greater than
  • Document created by
• En Preview, l’onglet Contextual Summary est ajouté aux stratégies d'étiquetage automatique en cours de simulation. À l'instar d'autres solutions prenant en charge le résumé contextuel, lorsque vous sélectionnez un élément à examiner, ce nouvel onglet met en évidence le contenu correspondant et le contexte qui l'entoure. Vous pouvez utiliser cet onglet pour confirmer que la correspondance est positive et qu'il est donc possible d'activer la politique. Ou bien la correspondance est négative, auquel cas vous pouvez affiner la politique et réexécuter la simulation.
• Plusieurs limitations antérieures ont été supprimées pour les réunions protégées Teams, notamment la prise en charge de Safari et de Firefox pour empêcher la copie du chat, la prise en charge de l'infrastructure de bureau virtuel (VDI), les paramètres de stratégie pour la justification de la modification d'une étiquette, l'étiquetage obligatoire et un lien d'aide vers une page d'aide personnalisée, et davantage de méthodes sont désormais prises en charge pour empêcher la copie du chat..

Prévention de fuite de données (DLP)

• Disponibilité générale de Popup de surpartage pour Outlook Win32.

Gestion des enregistrements et de la rétention

• Disponibilité générale des politiques de rétention de l'étiquetage automatique pour les pièces jointes cloud qui sont partagées via Yammer.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Public Preview de la libération forcée de périphériques isolés permettant de libérer de force des périphériques de l'isolement, lorsque des périphériques isolés ne répondent plus.  La fonctionnalité est disponible sur la page du périphérique et dans son menu action avec l’option : Download script to force-release a device from isolation. Cette fonctionnalité s’applique :
  • Windows 10 21H2 and 22H2 with KB KB5023773
  • Windows 11 version 21H2, all editions with KB5023774
  • Windows 11 version 22H2, all editions with KB5023778

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Pour les tenants ayant déployé Defender for Identity, la table Advanced Hunting Microsoft 365 IdentityInfo inclut désormais plus d'attributs par identité, ainsi que les identités détectées par le capteur Defender for Identity à partir de votre environnement On-Premises.
• Les versions 2.205, et 2.206 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Beaucoup d’entreprises ont fait le choix d’implémenter l’authentification directe ou Passthrough Authentication (PTA) pour Microsoft Entra (Azure AD). Celle-ci permet aux applications fédérées avec Microsoft Entra (Azure AD) d’utiliser les contrôleurs de domaine Active Directory On-Premises pour authentifier l’utilisateur se présentant à Azure Active Directory.

Une des recommandations de Microsoft est d’activer la fonctionnalité Password Hash Synchronization (PHS) permettant de synchroniser le hash des mots de passe stockés dans l’annuaire On-Premises vers Microsoft Entra (Azure AD). Parmi les bénéfices que l’on retrouve :

• La détection des fuites d’identifiants/mots de passe
• La résilience en fournissant un mécanisme d’authentification depuis le Cloud.

C’est sur ce deuxième bénéfice que je vais focaliser cet article car il permet d’offrir une continuité de services dans les scénarios suivants :

• Indisponibilité du réseau On-Premises dû à une problématique d’infrastructure (coupure de la sortie Internet, problématiques réseaux, etc.)
• Cyberattaque mettant à mal tout ou partie du réseau On-Premises (Agents PTA, Azure AD Connect ou Contrôleurs de domaine)

Je ne peux que vous conseiller de mettre en place le PHS en sus de votre stratégie d’authentification via l’authentification directe (PTA)

Cet article suppose que vous avez déjà configuré la synchronisation des hashs des mots de passe (PHS) sur votre tenant. Il permet de vous donner les indications à suivre dans l’un des scénarios cités plus haut. Je vous recommande aussi de tester le scénario de bascule en condition réelle pour s’assurer que vous êtes prêt dans l’une des situations citées.

Notez que vous devez disposer d’un compte ayant les caractéristiques suivantes :

• Cloud Only : c’est-à-dire n’étant pas synchronisé à partir du réseau On-Premises.
• Ayant les privilèges Global Administrator sur le tenant.

Je vous recommande la création d’à minima deux comptes d’urgence dits BreakTheGlass pour ce genre de situation. Veillez à superviser les tentatives de connexion sur ces comptes pour qu’il ne soit pas utiliser à mauvais escient* ;

Lorsque votre tenant est dans un mode PTA + PHS, le mécanisme de résilience n’est pas activé automatiquement en cas d’indisponibilité du réseau On-Premises. Pour cela, vous devez suivre la procédure suivante.

Mise en place des prérequis

Les prérequis :

• Une machine autonome avec :
  • L’installation d’un agent PTA
  • L’installation du module PowerShell AzureAD
• Un compte administrateur non synchronisé ayant les privilèges Global Admin (voir les ci-dessus)

En cas d’indisponibilité de votre réseau On-Premises, vous devez provisionner une machine répondant aux prérequis de l’agent PTA. A date, elle requiert un système d’exploitation Windows Server 2016 ou ultérieur.
Il est à noter que la bascule ne requiert pas que cette machine soit jointe à un domaine. Elle peut donc être en mode Workgroup.
Note : Pour provisionner cette machine, vous pouvez utiliser un environnement neutre (par exemple : Microsoft Azure ou même un poste de travail).

Une fois la machine provisionnée, récupérez l’agent Passthrough Authentication (PTA) en vous connectant au portail Entra (via un compte Break The Glass ou Cloud Only) puis Hybrid management et Azure AD Connect. Cliquez ensuite sur Pass-through authentication.

Dans la page, cliquez sur Download pour récupérer les binaires nécessaires

Sur le serveur, lancez l’exécutable. Une fenêtre d’authentification s’ouvre. Connectez-vous avec un compte répondant aux critères cités plus haut.

L’installation se poursuit :

Une fois l’installation terminée, vous devez procéder à l’installation du module PowerShell AzureAD qui est utilisé par le module PowerShell PTA pour s’authentifier.

Pour cela, ouvrez une commande PowerShell en tant qu’administrateur local et exécutez les commandes suivantes :

[Net.ServicePointManager] ::SecuirtyProtocol = [Net.SecurityProtocolType]::Tls12

Install-Module AzureAD

La commande TLS permet d’activer TLS 1.2 notamment sur des anciennes versions Windows Server (2016).

Bascule PTA vers PHS

Procédez ensuite à la connexion à Azure AD avec un compte répondant aux critères cités plus haut en utilisant la commande :

Connect-AzureAD

Une fois la commande exécutée, vous observez les messages suivants :

Dans la commande PowerShell utilisée pour se connecter à Azure AD, exécutez les commandes suivantes :

Cd “C:\Program Files\Microsoft Azure AD Connect Authentication Agent”

Import-Module .\Modules\PassthroughAuthPSModule

Validez le statut actuel via la commande :

Get-PassthroughAuthenticationEnablementStatus

Constatez que le statut d’authentification directe (PTA) est à Enabled :

Pour désactiver l’authentification PTA, exécutez la commande PowerShell suivante :

Disable-PassthroughAuthentication

Vous devez vous connecter avec un compte répondant aux critères cités plus haut et confirmer la bascule en tapant sur Entrer.

Note : Le changement est instantané. En cas de problématique dans le déroulement de cette procédure, vous devez contacter le support Microsoft.

Vous pouvez ainsi vérifier le statut de l’authentification via une des deux méthodes suivantes :

• Dans le portail Entra puis Hybrid management et Azure AD Connect. Cliquez ensuite sur Pass-through authentication.
• En exécutant la commande PowerShell suivante : Get-PassthroughAuthenticationEnablementStatus

Vous constaterez ensuite que les authentifications pour des comptes utilisateurs hybrides (synchronisés), fonctionnent à nouveau.

Il est à noter que dans ce mode dégradé, les fonctionnalités suivantes sont indisponibles :

• Réinitialisation du mot de passe par l’utilisateur en utilisant la fonctionnalité Self Service Password Recovery (SSPR)
• Réinitialisation du mot de passe de l’utilisateur hybride/synchronisé par un administrateur depuis le portail Microsoft Entra.

Dans ce cas, il faudra attendre que l’infrastructure On-Premises revienne en ligne pour retrouver les capacités SSPR.

Lorsque l’infrastructure On-Premises est à nouveau en ligne, vous pouvez suivre à nouveau cette procédure et utiliser la commande pour revenir dans un mode nominal en réactivant l’authentification PTA :

Enable-PassthroughAuthentication

Bonne Bascule !