Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• L'interaction AI de l'explorateur d'activités inclut l'invite et la réponse de Copilot indépendamment de l'eDiscovery et de la gestion des risques d'initiés.
• Vous pouvez utiliser le rôle Microsoft Purview Security Reader pour un accès en lecture seule au Microsoft Purview AI Hub.

Etiquettes de confidentialité (Sensitivity Labels)

• Public Preview des filigranes / watermarks dynamiques pour empêcher la fuite de documents étiquetés et chiffrés en affichant sur le document l'adresse électronique du lecteur ou d'autres informations d'identification sur les plateformes iOS et Android.

Gestion de la conformité

• Ajout et clarification des informations sur les états d'évaluation.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Général

• Le nouveau portail Microsoft Purview entre en disponibilité générale avec une expérience unifiée pour la sécurité des données, la gouvernance et la conformité. Le déploiement commence fin juillet 2024 et s'achèvera mi-septembre 2024. Les utilisateurs seront redirigés vers le nouveau portail, qui remplacera le portail classique d'ici la fin de l'année 2024. Aucune action immédiate n'est requise pour la préparation.
• Vous pouvez désormais utiliser le rôle de Microsoft Purview Compliance Administrator pour accéder à Microsoft Purview AI Hub.
• Microsoft a apporté des modifications à la page Content Explorer, de sorte que seul l'utilisateur ayant le rôle "Data Classification Content Viewers" peut voir les informations sensibles.
• Tous les connecteurs de données Veritas dans Microsoft Purview ont été retirés en juin 2024. Les connecteurs de données non Veritas de l’organisation ne sont pas concernés par ce changement.

Etiquettes de confidentialité (Sensitivity Labels)

• Longtemps attendu ! On retrouve enfin une Public Preview pour des filigranes / watermarks dynamiques pour empêcher la fuite de documents étiquetés et chiffrés en affichant sur le document l'adresse électronique du lecteur ou d'autres informations d'identification. Contrairement aux marquages de contenu standard, les filigranes dynamiques ne peuvent pas être modifiés ou supprimés par l'utilisateur.
• Outlook for iOS et Outlook for Android supporte maintenant l’utilisation de Copilot pour les objets chiffrés.
• Les entreprises organisation peuvent désormais désactiver les expériences connectées pour des raisons de confidentialité sans impacter les stratégies de sécurité des données, telles que les étiquettes de sensibilité. Les services associés à Microsoft Purview (étiquettes de sensibilité, gestion des droits, etc.) ne sont plus contrôlés par les paramètres de politique pour gérer les contrôles de confidentialité pour les applications Microsoft 365. Au lieu de cela, ces services s'appuient sur leurs contrôles administratifs de sécurité existants dans les portails Purview. Ce changement sera effectif pour tout le monde mi août car il vient avec la version 2407 de Microsoft 365 apps.

Gestion des risques internes

• Public Preview de l'évaluation progressive des alertes, qui évaluera les activités des utilisateurs plus fréquemment au cours d'une période de 24 heures et mettra à jour les informations sur les alertes toutes les quelques heures. Le déploiement commencera au début du mois d'août 2024 et devrait être terminé à la fin du mois d'août 2024.
• La condition Insider Risk de Microsoft Entra dans l'accès conditionnel est maintenant disponible. Les organisations disposant d'une licence Entra ID P2 peuvent mettre en place des politiques d'accès conditionnel en utilisant les signaux de risque d'initié d'Adaptive Protection pour appliquer des actions basées sur les niveaux de risque de l'utilisateur. Le déploiement se terminera au début du mois d'août 2024. Les organisations doivent activer Adaptive Protection et obtenir une licence Entra ID P2 pour utiliser cette fonctionnalité.

Information Barriers

• Une nouvelle cmdlet Invoke-ComplianceSecurityFilterAction sera disponible dans le cadre du module PowerShell Security & Compliance. Cette cmdlet permet à l'utilisateur de vérifier si une boîte aux lettres ou un site donné possède la valeur de la propriété de limite de conformité. Si la propriété n'est pas définie ou si l'objet est en arbitrage, les administrateurs de la conformité peuvent utiliser cette cmdlet pour attribuer la valeur de la propriété pour la boîte aux lettres ou le site afin que la limite de conformité prenne effet.

Audit et Advanced eDiscovery

• Le nouveau portail Microsoft Purview introduit une expérience d'eDiscovery modernisée, unifiant la recherche de contenu, l'eDiscovery Standard et l'eDiscovery Premium avec des fonctionnalités améliorées pour l'efficacité et la gestion des données. La Public Preview commence fin juillet 2024 et la disponibilité générale est attendue pour début octobre 2024. Parmi les nouveautés, on retrouve :
  • Amélioration de l'efficacité de la recherche grâce à l'identification des messages et aux étiquettes de sensibilité pour un accès plus rapide à l'information.
  • Utilisation de l'interface améliorée de recherche par type d'information sensible (SIT) pour une sélection conviviale sans saisie manuelle.
  • Le mappage avancé des sources de données permet de relier le OneDrive d'un utilisateur à l'aide de données telles que l'adresse SMTP (Simple Mail Transfer Protocol) de la boîte aux lettres de l'utilisateur ou le nom de l'utilisateur, ce qui rationalise la récupération et la gestion des données.
  • Accélération grâce à de puissantes capacités d'investigation, telles que les collaborateurs fréquents de l'utilisateur, offrant une vue d'ensemble des réseaux de l'utilisateur.
  • Nouvelle fonction de synchronisation des sources de données, qui permet aux utilisateurs de suivre facilement tout emplacement de données nouveau ou supprimé, garantissant que les enquêtes eDiscovery restent alignées sur le paysage des sources de données le plus récent.
  • La nouvelle fonction de statistiques visuelles permet aux utilisateurs d'obtenir des informations en un coup d'œil, telles que les résultats contenant des types d'informations sensibles, les principaux participants à la communication, etc.
  • Suivi des processus de longue durée à l'aide d'une barre de progression informée et transparente, avec l'option d'annulation (pour certains types de processus) si nécessaire.
  • Obtenez un rapport de processus complet pour toutes les actions entreprises, telles que les statistiques pour les retenues et les exportations, renforçant ainsi la légitimité de vos efforts en matière d'eDiscovery.
  • Personnalisez vos exportations grâce à de nouveaux paramètres, notamment l'option d'exportation en tant que fichier PST unique, la troncature du chemin d'accès et l'utilisation de noms conviviaux pour rendre les données exportées plus accessibles.
• Nouveaux scénarios ajoutés pour la cmdlet Invoke-ComplianceSecurityFilterAction pour les limites de conformité.
• Le générateur de conditions permettant de créer des requêtes de recherche dans eDiscovery à partir du portail Microsoft Purview prend en charge les étiquettes de sensibilité. Par exemple, dans le cadre de votre dossier eDiscovery, limitez le contenu aux fichiers et aux courriels dont l'étiquette de sensibilité est Hautement confidentiel. Ou inversement, excluez le contenu des fichiers et des courriels dont le label de sensibilité est Public.

Gestion de la conformité

• Mise à jour de la documentation pour clarifier des paramètres pour le test automatique des actions d'amélioration afin de spécifier que les administrateurs du Compliance Manager peuvent activer ou désactiver le test automatique pour toutes les actions d'amélioration, et pas seulement pour une action en particulier.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• Preview permettant d’effectuer des simulations avec des QR codes dans le cadre de la formation à la simulation d'attaque.
• Vous pouvez suivre les réponses des utilisateurs et attribuer la formation aux utilisateurs finaux. Le bouton Rapport intégré dans Outlook pour Microsoft 365 et Outlook 2021 prend désormais en charge l'expérience des paramètres rapportés par l'utilisateur pour signaler les messages comme étant du Phishing, du Junk et du Not Junk..

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

• La valeur Remove allow entry after > 45 days after last used date est désormais la valeur par défaut pour les nouvelles entrées d'autorisation provenant de soumissions et les entrées d'autorisation existantes dans la liste d'autorisation/blocage des tenants. L'entrée d'autorisation est déclenchée et la propriété LastUsedDate est mise à jour lorsque l'entité est rencontrée et identifiée comme malveillante pendant le flux de courrier ou au moment du clic. Lorsque le système de filtrage détermine que l'entité est propre, l'entrée d'autorisation est automatiquement supprimée au bout de 45 jours. Par défaut, les entrées d'autorisation pour les expéditeurs usurpés n'expirent jamais.
• Les ressources du centre d'apprentissage ont été déplacées du portail Microsoft Defender vers microsoft.com. Accédez à la formation Microsoft Defender XDR Ninja, aux parcours d'apprentissage, aux modules de formation et plus encore.
• Le personnel SecOps peut désormais libérer des messages électroniques de la quarantaine ou déplacer des messages de la quarantaine vers les boîtes de réception des utilisateurs directement à partir de Take action dans Threat Explorer, l’Advanced hunting, la détection personnalisée, la page de l'entité Email et le panneau de résumé de l'Email. Cette fonctionnalité permet aux opérateurs de sécurité de gérer les faux positifs plus efficacement et sans perdre le contexte.
• Microsoft retire 4 alertes de neutralisation héritées de Microsoft Defender pour Office 365 en août 2024 en raison de la redondance de la fonctionnalité Secure by default. Les utilisateurs concernés disposant d'abonnements spécifiques n'auront pas besoin de prendre des mesures car ce changement se produira automatiquement.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Preview de personnalisation de l'expérience de blocage de Microsoft Defender for Cloud Apps (MDA) pour les applications bloquées à l'aide de Cloud Discovery. Vous pouvez configurer une URL de redirection personnalisée sur les pages de blocage pour informer et rediriger les utilisateurs finaux vers la politique d'utilisation acceptable de l'organisation ou pour guider les utilisateurs finaux sur les étapes à suivre pour sécuriser une exception pour le blocage
• Les utilisateurs du navigateur Edge sous macOS (à partir de la v125 d’Edge), soumis à des règles de session, bénéficient désormais de la fonctionnalité In-broswer Protection. Ceci s’applique aux stratégies suivantes :
  • Block and Monitor upload of sensitive files
  • Block and Monitor paste
  • Block and Monitor of malware upload
  • Block and Monitor of malware download
• La page Fichiers/Files de Microsoft Defender for Cloud Apps sera retirée le 1er septembre 2024. Les utilisateurs doivent utiliser la page Policy Management pour créer, modifier et explorer les stratégies de protection des informations et les fichiers de logiciels malveillants. Ce changement affecte les utilisateurs qui utilisent actuellement la page Fichiers/Files.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Preview de l’export à grand échelle des journaux d’activité permettant d’aller jusqu’à 6 mois en arrière ou 100 000 événements.
• Microsoft a réorganisé la documentation de Microsoft Defender for Cloud Apps pour mettre en évidence les principaux piliers du produit et les cas d'utilisation, et pour l'aligner sur la documentation générale de Microsoft Defender.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Copilot for Security est conforme HIPAA.

Microsoft Intune

• Public Preview de l’intégration de Copilot dans la fonctionnalité de requêtage du périphérique (Device Query). Vous pouvez désormais utiliser Copilot dans la page de requête de périphérique de Microsoft Intune pour vous aider à élaborer des requêtes KQL. Il vous suffit d'utiliser un langage naturel pour poser une question sur un appareil dans Microsoft Intune, et Copilot générera une requête KQL que vous pourrez exécuter pour obtenir la réponse.

Modification de Plugins

• Microsoft a mis à jour le schéma du connecteur Copilot pour LogicApp pour inclure le support des propriétés dynamiques native. Ceci améliore les scénarios d’automatisation.

L’actualité autour de l’Intelligence Artificielle (AI) est riche et je vous propose un petit tour d’horizon des dernières annonces autour de Microsoft Copilot for Security.

Général

• Microsoft essaye de minimiser la sensation de la latence globale, ainsi la réponse de Copilot for Security est affichée en mode continu. Cette approche améliore considérablement la latence perçue par les utilisateurs, en leur permettant de commencer à lire les réponses au fur et à mesure qu'elles sont générées, comme pour les autres Copilot.

Microsoft Defender Threat Intelligence

• Une nouvelle expérience intégrée dans l’espace Threat Intelligence de Microsoft Defender est disponible permettant aux analystes d'approfondir le contexte de la Threat Intelligence à partir de sources telles que Microsoft Defender Threat Intelligence, l'analyse des menaces et les informations de réputation basées sur les détonations. La Threat Intelligence comprend des articles et des profils d'acteurs, des indicateurs de compromission et l'impact sur l’entreprise, y compris les incidents connexes, les actifs et les recommandations de remédiation.

Je vous propose un petit aperçu des nouveautés de ce mois autour de gestion de la confidentialité des données proposé via Microsoft Priva.

On retrouve notamment :

Privacy Risk Management

• Supporte désormais de joindre des fichiers aux réponses aux questions.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Je vous propose un petit aperçu des nouveautés de ce mois autour de gestion de la confidentialité des données proposé via Microsoft Priva.

On retrouve notamment :

Privacy Risk Management

• Les réponses à l'évaluation de la protection de la vie privée peuvent désormais être exportées vers des fichiers Microsoft Word ou PDF formatés.
• L'étape "Choose locations" du processus de création de la politique est renommée dans le produit "Choose data sources." et ce dans chaque politique : Data overexposure, Data transfer, et Data minimization.

Plus d’informations sur : What's new in Microsoft Priva - Microsoft Priva | Microsoft Learn

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Il est maintenant possible de stocker les données de Microsoft Defender for Identity en Inde.
• Support de Microsoft Entra Connect (anciennement Azure AD Connect) avec un capteur qui offre différentes recommandations et détections :
  • (Recommandation) Rotate password for Entra Connect connector account : Un compte de connecteur Entra Connect compromis (compte de connecteur AD DS, communément appelé MSOL_XXXXXXXX) peut donner accès à des fonctions à haut privilège comme la réplication et la réinitialisation des mots de passe, permettant aux attaquants de modifier les paramètres de synchronisation et de compromettre la sécurité dans les environnements en nuage et sur site, ainsi que d'offrir plusieurs voies pour compromettre l'ensemble du domaine. Dans cette évaluation, nous recommandons aux clients de changer le mot de passe des comptes MSOL dont le dernier mot de passe a été défini il y a plus de 90 jours.
  • (Recommandation) Remove unnecessary replication permissions for Entra Connect Account : Par défaut, le compte du connecteur Entra Connect a des permissions étendues pour assurer une synchronisation adéquate (même si elles ne sont pas réellement requises). Si Password Hash Sync n'est pas configuré, il est important de supprimer les permissions inutiles afin de réduire la surface d'attaque potentielle.
  • (Recommandation) Change password for Entra seamless SSO account configuration : Ce rapport liste tous les comptes d'ordinateur Entra seamless SSO dont le dernier mot de passe a été défini il y a plus de 90 jours. Le mot de passe du compte d'ordinateur Azure SSO n'est pas automatiquement modifié tous les 30 jours. Si un attaquant compromet ce compte, il peut générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'Active Directory. Un attaquant peut utiliser ceci pour se déplacer latéralement d'Active Directory vers Entra ID.
  • (Recommandation) Remove Resource Based Constrained Delegation for Entra seamless SSO account : Si la délégation contrainte basée sur les ressources est configurée sur le compte d'ordinateur AZUREADSSOACC, un compte avec la délégation serait capable de générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et d'usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'AD.
  • (Détection) Suspicious Interactive Logon to the Entra Connect Server : Les connexions directes aux serveurs Entra Connect sont très inhabituelles et potentiellement malveillantes. Les attaquants ciblent souvent ces serveurs pour voler des informations d'identification afin d'élargir l'accès au réseau. Microsoft Defender for Identity peut maintenant détecter les connexions anormales aux serveurs Entra Connect, vous aidant à identifier et à répondre à ces menaces potentielles plus rapidement. Cela s'applique spécifiquement lorsque le serveur Entra Connect est un serveur autonome et ne fonctionne pas en tant que contrôleur de domaine.
  • (Détection) User Password Reset by Entra Connect Account : Le compte du connecteur Entra Connect détient souvent des privilèges élevés, y compris la capacité de réinitialiser les mots de passe des utilisateurs. Microsoft Defender for Identity a désormais une visibilité sur ces actions et détectera toute utilisation de ces permissions identifiées comme malveillantes et non légitimes. Cette alerte ne sera déclenchée que si la fonction Password Writeback est désactivée.
  • Suspicious writeback by Entra Connect on a sensitive user : Alors qu'Entra Connect empêche déjà la réécriture pour les utilisateurs des groupes privilégiés, Microsoft Defender for Identity étend cette protection en identifiant d'autres types de comptes sensibles. Cette détection améliorée permet d'empêcher les réinitialisations de mot de passe non autorisées sur les comptes critiques, ce qui peut être une étape cruciale dans les attaques avancées ciblant à la fois les environnements cloud et sur site.
• Nouvelle activité de réinitialisation de mot de passe échouée sur un compte sensible disponible dans la table 'IdentityDirectoryEvents' dans Advanced Hunting. Cela peut aider les entreprise à suivre les événements de réinitialisation de mot de passe échoués et à créer une détection personnalisée basée sur ces données.
• Précision améliorée pour la détection de l'attaque de synchronisation DC.
• Nouvel alerte de santé pour les cas où le capteur est incapable de récupérer la configuration du service Entra Connect.
• Surveillance étendue pour les alertes de sécurité, telles que PowerShell Remote Execution Detector, en activant le nouveau capteur sur les serveurs Entra Connect.
• Le module PowerShell DefenderForIdentity a été mis à jour, incorporant de nouvelles fonctionnalités et corrigeant plusieurs bugs.
  • Un cmdlet New-MDIDSA simplifie la création de comptes de service, avec un paramètre par défaut pour les comptes de service gérés par le groupe (gMSA) et une option pour créer des comptes standard.
  • Améliore la fiabilité de la création des objets de stratégie de groupe (GPO) en ciblant automatiquement l'émulateur de contrôleur de domaine primaire (PDCe) pour la plupart des opérations Active Directory.
  • Un nouveau paramètre serveur pour les cmdlets Get/Set/Test-MDIConfiguration, vous permettant de spécifier un contrôleur de domaine à cibler au lieu du PDCe.

• La version 2.239 apporte des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Public Preview de 6 nouvelles détections :
  • Possible NetSync attack: NetSync est un module de Mimikatz, un outil de post-exploitation, qui demande le hachage du mot de passe d'un appareil cible en se faisant passer pour un contrôleur de domaine. Un attaquant pourrait effectuer des activités malveillantes à l'intérieur du réseau en utilisant cette fonctionnalité pour accéder aux ressources de l'organisation.
  • Possible takeover of a Microsoft Entra seamless SSO account: Un objet de compte Microsoft Entra seamless SSO (single sign-on), AZUREADSSOACC, a été modifié de manière suspecte. Un attaquant pourrait se déplacer latéralement de l'environnement On-Prem vers le Cloud.
  • Suspicious LDAP query: Une requête Lightweight Directory Access Protocol (LDAP) suspecte associée à un outil d'attaque connu a été détectée. Un attaquant pourrait être en train d'effectuer une reconnaissance pour des étapes ultérieures.
  • Suspicious SPN was added to a user: Un Service Principal Name (SPN) suspect a été ajouté à un utilisateur sensible. Un attaquant peut tenter d'obtenir un accès élevé pour un mouvement latéral au sein de l'organisation.
  • Suspicious creation of ESXi group: Un groupe VMWare ESXi suspect a été créé dans le domaine. Cela peut indiquer qu'un attaquant tente d'obtenir plus de permissions pour les étapes ultérieures d'une attaque.
  • Suspicious ADFS authentication: Un compte joint à un domaine s'est connecté en utilisant Active Directory Federation Services (ADFS) à partir d'une adresse IP suspecte. Un attaquant peut avoir volé les informations d'identification d'un utilisateur et les utiliser pour se déplacer latéralement dans l'organisation.
• Microsoft ajoute ces nouvelles recommandations de Microsoft Defender for Identity en tant qu'actions d'amélioration de Microsoft Secure Score :
  • Azure SSO account configuration: Password last set more than 90 days ago
  • Azure SSO account configuration: Resource Based Constrained Delegation configured
  • Remove unnecessary replication permissions for Microsoft Entra Connect accounts
  • Rotate password for Entra Connect connector users

• Les versions 2.237, et 2.238 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity