Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Preview de l’export à grand échelle des journaux d’activité permettant d’aller jusqu’à 6 mois en arrière ou 100 000 événements.
• Microsoft a réorganisé la documentation de Microsoft Defender for Cloud Apps pour mettre en évidence les principaux piliers du produit et les cas d'utilisation, et pour l'aligner sur la documentation générale de Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Copilot for Security est conforme HIPAA.

Microsoft Intune

• Public Preview de l’intégration de Copilot dans la fonctionnalité de requêtage du périphérique (Device Query). Vous pouvez désormais utiliser Copilot dans la page de requête de périphérique de Microsoft Intune pour vous aider à élaborer des requêtes KQL. Il vous suffit d'utiliser un langage naturel pour poser une question sur un appareil dans Microsoft Intune, et Copilot générera une requête KQL que vous pourrez exécuter pour obtenir la réponse.

Modification de Plugins

• Microsoft a mis à jour le schéma du connecteur Copilot pour LogicApp pour inclure le support des propriétés dynamiques native. Ceci améliore les scénarios d’automatisation.

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Microsoft essaye de minimiser la sensation de la latence globale, ainsi la réponse de Copilot for Security est affichée en mode continu. Cette approche améliore considérablement la latence perçue par les utilisateurs, en leur permettant de commencer à lire les réponses au fur et à mesure qu'elles sont générées, comme pour les autres Copilot.

Microsoft Defender Threat Intelligence

• Une nouvelle expérience intégrée dans l’espace Threat Intelligence de Microsoft Defender est disponible permettant aux analystes d'approfondir le contexte de la Threat Intelligence à partir de sources telles que Microsoft Defender Threat Intelligence, l'analyse des menaces et les informations de réputation basées sur les détonations. La Threat Intelligence comprend des articles et des profils d'acteurs, des indicateurs de compromission et l'impact sur l’entreprise, y compris les incidents connexes, les actifs et les recommandations de remédiation.

Je vous propose un petit aperçu des nouveautés de ce mois autour de gestion de la confidentialité des données proposé via Microsoft Priva.

On retrouve notamment :

Privacy Risk Management

• Supporte désormais de joindre des fichiers aux réponses aux questions.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de gestion de la confidentialité des données proposé via Microsoft Priva.

On retrouve notamment :

Privacy Risk Management

• Les réponses à l'évaluation de la protection de la vie privée peuvent désormais être exportées vers des fichiers Microsoft Word ou PDF formatés.
• L'étape "Choose locations" du processus de création de la politique est renommée dans le produit "Choose data sources." et ce dans chaque politique : Data overexposure, Data transfer, et Data minimization.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Il est maintenant possible de stocker les données de Microsoft Defender for Identity en Inde.
• Support de Microsoft Entra Connect (anciennement Azure AD Connect) avec un capteur qui offre différentes recommandations et détections :
  • (Recommandation) Rotate password for Entra Connect connector account : Un compte de connecteur Entra Connect compromis (compte de connecteur AD DS, communément appelé MSOL_XXXXXXXX) peut donner accès à des fonctions à haut privilège comme la réplication et la réinitialisation des mots de passe, permettant aux attaquants de modifier les paramètres de synchronisation et de compromettre la sécurité dans les environnements en nuage et sur site, ainsi que d'offrir plusieurs voies pour compromettre l'ensemble du domaine. Dans cette évaluation, nous recommandons aux clients de changer le mot de passe des comptes MSOL dont le dernier mot de passe a été défini il y a plus de 90 jours.
  • (Recommandation) Remove unnecessary replication permissions for Entra Connect Account : Par défaut, le compte du connecteur Entra Connect a des permissions étendues pour assurer une synchronisation adéquate (même si elles ne sont pas réellement requises). Si Password Hash Sync n'est pas configuré, il est important de supprimer les permissions inutiles afin de réduire la surface d'attaque potentielle.
  • (Recommandation) Change password for Entra seamless SSO account configuration : Ce rapport liste tous les comptes d'ordinateur Entra seamless SSO dont le dernier mot de passe a été défini il y a plus de 90 jours. Le mot de passe du compte d'ordinateur Azure SSO n'est pas automatiquement modifié tous les 30 jours. Si un attaquant compromet ce compte, il peut générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'Active Directory. Un attaquant peut utiliser ceci pour se déplacer latéralement d'Active Directory vers Entra ID.
  • (Recommandation) Remove Resource Based Constrained Delegation for Entra seamless SSO account : Si la délégation contrainte basée sur les ressources est configurée sur le compte d'ordinateur AZUREADSSOACC, un compte avec la délégation serait capable de générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et d'usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'AD.
  • (Détection) Suspicious Interactive Logon to the Entra Connect Server : Les connexions directes aux serveurs Entra Connect sont très inhabituelles et potentiellement malveillantes. Les attaquants ciblent souvent ces serveurs pour voler des informations d'identification afin d'élargir l'accès au réseau. Microsoft Defender for Identity peut maintenant détecter les connexions anormales aux serveurs Entra Connect, vous aidant à identifier et à répondre à ces menaces potentielles plus rapidement. Cela s'applique spécifiquement lorsque le serveur Entra Connect est un serveur autonome et ne fonctionne pas en tant que contrôleur de domaine.
  • (Détection) User Password Reset by Entra Connect Account : Le compte du connecteur Entra Connect détient souvent des privilèges élevés, y compris la capacité de réinitialiser les mots de passe des utilisateurs. Microsoft Defender for Identity a désormais une visibilité sur ces actions et détectera toute utilisation de ces permissions identifiées comme malveillantes et non légitimes. Cette alerte ne sera déclenchée que si la fonction Password Writeback est désactivée.
  • Suspicious writeback by Entra Connect on a sensitive user : Alors qu'Entra Connect empêche déjà la réécriture pour les utilisateurs des groupes privilégiés, Microsoft Defender for Identity étend cette protection en identifiant d'autres types de comptes sensibles. Cette détection améliorée permet d'empêcher les réinitialisations de mot de passe non autorisées sur les comptes critiques, ce qui peut être une étape cruciale dans les attaques avancées ciblant à la fois les environnements cloud et sur site.
• Nouvelle activité de réinitialisation de mot de passe échouée sur un compte sensible disponible dans la table 'IdentityDirectoryEvents' dans Advanced Hunting. Cela peut aider les entreprise à suivre les événements de réinitialisation de mot de passe échoués et à créer une détection personnalisée basée sur ces données.
• Précision améliorée pour la détection de l'attaque de synchronisation DC.
• Nouvel alerte de santé pour les cas où le capteur est incapable de récupérer la configuration du service Entra Connect.
• Surveillance étendue pour les alertes de sécurité, telles que PowerShell Remote Execution Detector, en activant le nouveau capteur sur les serveurs Entra Connect.
• Le module PowerShell DefenderForIdentity a été mis à jour, incorporant de nouvelles fonctionnalités et corrigeant plusieurs bugs.
  • Un cmdlet New-MDIDSA simplifie la création de comptes de service, avec un paramètre par défaut pour les comptes de service gérés par le groupe (gMSA) et une option pour créer des comptes standard.
  • Améliore la fiabilité de la création des objets de stratégie de groupe (GPO) en ciblant automatiquement l'émulateur de contrôleur de domaine primaire (PDCe) pour la plupart des opérations Active Directory.
  • Un nouveau paramètre serveur pour les cmdlets Get/Set/Test-MDIConfiguration, vous permettant de spécifier un contrôleur de domaine à cibler au lieu du PDCe.

• La version 2.239 apporte des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview de 6 nouvelles détections :
  • Possible NetSync attack: NetSync est un module de Mimikatz, un outil de post-exploitation, qui demande le hachage du mot de passe d'un appareil cible en se faisant passer pour un contrôleur de domaine. Un attaquant pourrait effectuer des activités malveillantes à l'intérieur du réseau en utilisant cette fonctionnalité pour accéder aux ressources de l'organisation.
  • Possible takeover of a Microsoft Entra seamless SSO account: Un objet de compte Microsoft Entra seamless SSO (single sign-on), AZUREADSSOACC, a été modifié de manière suspecte. Un attaquant pourrait se déplacer latéralement de l'environnement On-Prem vers le Cloud.
  • Suspicious LDAP query: Une requête Lightweight Directory Access Protocol (LDAP) suspecte associée à un outil d'attaque connu a été détectée. Un attaquant pourrait être en train d'effectuer une reconnaissance pour des étapes ultérieures.
  • Suspicious SPN was added to a user: Un Service Principal Name (SPN) suspect a été ajouté à un utilisateur sensible. Un attaquant peut tenter d'obtenir un accès élevé pour un mouvement latéral au sein de l'organisation.
  • Suspicious creation of ESXi group: Un groupe VMWare ESXi suspect a été créé dans le domaine. Cela peut indiquer qu'un attaquant tente d'obtenir plus de permissions pour les étapes ultérieures d'une attaque.
  • Suspicious ADFS authentication: Un compte joint à un domaine s'est connecté en utilisant Active Directory Federation Services (ADFS) à partir d'une adresse IP suspecte. Un attaquant peut avoir volé les informations d'identification d'un utilisateur et les utiliser pour se déplacer latéralement dans l'organisation.
• Microsoft ajoute ces nouvelles recommandations de Microsoft Defender for Identity en tant qu'actions d'amélioration de Microsoft Secure Score :
  • Azure SSO account configuration: Password last set more than 90 days ago
  • Azure SSO account configuration: Resource Based Constrained Delegation configured
  • Remove unnecessary replication permissions for Microsoft Entra Connect accounts
  • Rotate password for Entra Connect connector users

• Les versions 2.237, et 2.238 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity