Microsoft vient de mettre à disposition une nouvelle version (1.2.6014) du client Windows pour Remote Desktop.

Cette version apporte les éléments suivants :

• Correction d'un problème pour CVE-2024-49105.
• Ajout de la prise en charge de l'optimisation du partage d'écran et d'application.
• Résolution d'un problème avec le raccourci clavier CTRL+ALT+flèche dans un scénario RemoteApp.
• Amélioration de l'expérience de redémarrage de session, en supprimant l'exigence que la session précédente traite entièrement la télémétrie avant le lancement de la session suivante.
• Corrections de bugs et améliorations générales.

Télécharger pour :

• Windows 64-bit
• Windows 32-bit
• Windows ARM64

Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft Defender. Ce service Microsoft Defender XDR (Anciennement M365 Defender) est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.

• (Preview) Les événements d’activité d’appareil des pages d’entitésd’appareil de Microsoft Sentinel sont désormais visibles sous l’onglet Chronologie de la page Entité appareil du portail Defender, en plus de rester visibles sous l’onglet Événements Sentinel. Ces événements d’activité d’appareil incluent désormais le trafic réseau bloqué, supprimé ou refusé en provenance d’un appareil donné.
• (Preview) Les utilisateurs disposant d’un accès approvisionné à Microsoft Purview Insider Risk Management peuvent désormais afficher et gérer les alertes de gestion des risques internes et rechercher les événements et comportements de gestion des risques internes dans le portail Microsoft Defender.
• Defender Boxed est disponible pour une durée limitée en janvier et juillet de chaque année. Cette série de diapositives met en évidence les réussites de l’entreprise en matère de sécurité, les améliorations et les actions de réponse dans le portail Microsoft Defender au cours des six derniers mois/année.
• (Disponibilité Générale) Les volets de contexte de l’Advanced Hunting sont désormais disponibles dans les expériences de détection personnalisées. Cela vous permet d’accéder à la fonctionnalité d’Advanced Hunting sans quitter votre workflow actuel.
  • Pour les incidents et les alertes générés par des détections personnalisées, vous pouvez sélectionner Run query pour explorer les résultats de la détection personnalisée associée.
  • Dans l’étape Set rule logic de l’Assistant Détection personnalisée, vous pouvez sélectionner View query results de la requête pour vérifier les résultats de la requête que vous êtes sur le point de définir.
• (Disponibilité Générale) La fonctionnalité Lien vers un incidentdans l’Advanced Hunting permet désormais de lier les résultats de requêtes Microsoft Sentinel.
• (Disponibilité Générale) La migration de requêtes de détection personnalisées vers l’analyse continue (Near Real Time ou NRT) est désormais en disponibilité générale dans l’Advanced Hunting. L’utilisation de l’analyse en temps réel (NRT) augmente la capacité de l’entreprise à identifier les menaces plus rapidement. Elle a un impact minime ou nul sur l’utilisation des ressources et doit donc être prise en compte pour toute règle de détection personnalisée qualifiée.

Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Entra (incluant Entra ID, Permissions Management, etc.) en janvier 2025.

Microsoft apporte les nouveautés suivantes :

Général

• Disponibilité Générale du module PowerShell Microsoft Entra.
• Pour rappel, Microsoft a déprécié le service d’API Graph Azure AD depuis 2020. A partir du 1^er février, les applications nouvelles ou existantes ne pourront plus faire d’appels sur ces APIs.
• Pour rappel, Microsoft retire les modules PowerShell MSOnline et Azure AD et ne seront plus supportés à partir du 30 mars 2025.

Microsoft Entra ID (Azure Active Directory)

• Disponibilité Générale de l’amélioration de la visibilité des connexions des tenants en aval. Auparavant, il n’y avait pas beaucoup d’informations sur si les connexions sont celles de partenaires accédant à des ressources de tenants en aval. A partir du 7 mars 2025, Microsoft activera les colonnes Home Tenant ID et Resouce Tenant ID dans la vue Sign-ins pour plus facilement filtrer et analyser les connexions à des services.
• Public Preview des événements d’audit d’administration pour Microsoft Entra Connect lorsque vous utilisez la version 2.4.129.0 ou ultérieure. Tous les changements réalisés par l’assistant Connect Sync ou en PowerShell sont donc consignés. La mise à jour automatique des entreprises ayant Entra Connect est prévue pour février 2025 si vous avez activé l’auto-upgrade.
• Disponibilité Générale de la détection en temps réel du Password Spray dans Entra ID Protection avant que l'attaquant n'obtienne un jeton. L'accès conditionnel basé sur le risque peut automatiquement répondre à ce nouveau signal en augmentant le risque de session, en contestant immédiatement la tentative de connexion et en stoppant les tentatives de pulvérisation de mot de passe dans leur élan. Cette détection s'ajoute aux détections existantes pour les attaques avancées telles que le phishing Adversary-in-the-Middle (AitM) et le vol de jetons, afin d'assurer une couverture complète contre les attaques modernes.
• Disponibilité Générale des actions protégés pour les suppressions définitives. Vous pouvez ainsi créer des stratégies d’accès conditionnel qui cible ces actions et requiert donc certains niveaux d’exigences supplémentaires
• Public Preview de l’export des événements d’accès élevé via les journaux d’audit Microsoft Entra. Ceci permet d’exporter ces éléments dans un SIEM pour pouvoir les consommer et détecter certains scénarios.
• Public Preview des justificatifs d'identité fédérée flexibles étendant le modèle de justificatif d'identité fédérée existant en offrant la possibilité d'utiliser des caractères génériques pour certaines revendications. Actuellement disponible pour les scénarios GitHub, GitLab et Terraform Cloud, cette fonctionnalité peut être utilisée pour réduire le nombre total de FIC requis pour gérer des scénarios similaires.

Microsoft Entra Identity Governance

• Public Preview de la gestion des flux de cycle de vie (Lifecycle Workflows) avec Security Copilot. Les clients peuvent désormais gérer et personnaliser les Lifecycle Workflows en utilisant le langage naturel avec Microsoft Security Copilot. La soltuion fournit des conseils étape par étape pour effectuer des tâches clés de configuration et d'exécution en utilisant le langage naturel.

Microsoft Entra Verified ID

• Microsoft a publié les instructions pour mettre à niveau les clés de signature afin de devenir conforme FIPS.

Plus d’informations sur : What's new? Release notes - Microsoft Entra | Microsoft Learn et What's new for Microsoft Entra Verified ID 

Je vous propose un petit aperçu des nouveautés de ce mois autour de la gouvernance, de la conformité et de la protection de données proposé via Microsoft PurView (MIP, DLP, etc.).

On retrouve notamment :

Protection des informations

• Les utilisateurs de OneDrive en mode Web peuvent maintenant voir les PDFs avec des étiquettes de sensibilité en mode lecture seule. Une bannière affiche en haut du document : "This file is protected by Microsoft Purview Information Protection. View permissions." 
• Disponibilité Générale de la fonctionnalité Double Key Encryption (DKE) sur les applications Word, Excel, et PowerPoint sur Android. Ceci aligne les fonctionnalités sur Windows, iOS et Mac.
• Disponibilité Générale du marquage dynamique (Dynamic Watermarking) avec le nom de l'utilisateur qui ouvre le document sur Word, Excel et PowerPoint pour Windows, Mac, Android, iOS et Web. Cette fonctionnalité est soumise à des licences Microsoft 365 E5 ou E5 Compliance ou E5 Information Protection & Governance. Elle est très pratique pour identifier qui est à l'origine d'une fuite d'information.

Data Governance

• Public Preview de la prise en charge native de la qualité des données pour le format de table ouvert Iceberg. Les utilisateurs de Microsoft Purview qui exploitent des solutions de stockage telles que ADLS Gen2, Microsoft Fabric Lakehouse, AWS S3 et GCP GCS peuvent désormais utiliser Microsoft Purview pour conserver, gérer et effectuer un contrôle de l'état des données et des évaluations de la qualité des données sur les ressources de données Iceberg.
• Les contrôles de la santé des données (Data Health Controls) permettent à nos clients d'analyser et de surveiller efficacement la gestion de la santé de leur patrimoine de données. Ils peuvent utiliser ces contrôles pour mesurer les progrès et identifier les domaines à améliorer. Les contrôles de la santé des données consistent en des mesures, des processus et des outils spécifiques conçus pour surveiller, maintenir et améliorer la qualité, la sécurité et la santé globale des données d'une organisation. Ces contrôles font partie intégrante d'un cadre solide de gouvernance des données, garantissant que les données restent exactes, cohérentes et utilisables dans l'ensemble de l'organisation.

Plus d’informations sur : What's new in Microsoft 365 compliance - Microsoft 365 Compliance | Microsoft Docs

Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Preview du reporting aggrégé qui étend les intervalles de reporting des signaux afin de réduire de manière significative la taille des événements rapportés tout en préservant les propriétés essentielles de l'événement. Cette fonctionnalité est disponible pour Microsoft Defender for Endpoint Plan 2.
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.24122.0005 | Release version: 20.124122.5.0), on retrouve le retrait du support de macOS 12, la correction d’un problème où Defender pouvait mettre un fichier en quarantaine malgré le fait qu’il soit marqué comme immutable, des corrections de bugs et performances. Enfin, mdatp health peut renvoyer un état ouf_of_date pour le statut des définitions.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.24112.0001 | Release version: 30.124112.0001.0), on retrouve :
  • Mise à jour de la version Bond vers 13.0.1 pour corriger les vulnérabilités de sécurité dans les versions 12 ou inférieures.
  • Le paquet Mdatp ne dépend plus des paquets SELinux.
  • L'utilisateur peut maintenant demander l'état du fournisseur d'événements supplémentaires eBPF en utilisant la requête de chasse aux menaces dans DeviceTvmInfoGathering. Le résultat de cette requête peut renvoyer les deux valeurs suivantes en tant qu'état eBPF :
    • Activé : Lorsque l'eBPF est activé et fonctionne comme prévu.
    • Désactivé : Lorsque eBPF est désactivé pour l'une des raisons suivantes :
      • lorsque MDE utilise auditD comme capteur supplémentaire
      • lorsque eBPF n'est pas présent et que nous nous rabattons sur Netlink comme fournisseur d'événements supplémentaire
      • lorsqu'aucun capteur supplémentaire n'est présent.
  • À partir de 2411, la publication des paquets MDATP vers Production sur packages.microsoft.com suivra un mécanisme de déploiement progressif qui s'étendra sur une semaine. Les autres anneaux de diffusion, insiderFast et insiderSlow, ne sont pas affectés par ce changement. Amélioration de la stabilité et des performances.
  • Correction de bugs critiques concernant le flux de mise à jour des définitions.
• Dans la version de janvier du Client Defender for Endpoint pour Android (1.0.7307.0101), on retrouve l’activation de Network protection, des correctifs de bugs et améliorations diverses. En outre, il y a un changement de l’expérience utilisateur avec des améliorations.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.61160103), on retrouve des correctifs de bugs et améliorations. En outre, il y a un changement de l’expérience utilisateur avec des améliorations. Enfin, la version iOS/iPadOS 15 n’est plus supporté depuis le 31 janvier 2025.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft vient de publier la bêta d’un nouvel examen SC-401: Administering Information Security in Microsoft 365 disponible dès le 11 février 2025 et qui sera généralisé à partir d’Avril 2025. Cette certification valide les compétences nécessaires pour planifier et implémenter la sécurité des informations sensibles en utilisant Microsoft Purview. Elle vient remplacer la précédente SC-400 qui sera retirée à partir du 31 mai 2025.

Dans les objectifs, on retrouve :

• Mettre en œuvre la protection des informations (30-35%)
• Mise en œuvre de la prévention des pertes de données et de la conservation des données (30-35%)
• Gérer les risques, les alertes et les activités (30-35%)

Pour se préparer à la SC-401, vous pouvez suivre : Study guide for Exam SC-401: Administering Information Security in Microsoft 365 | Microsoft Learn

Plus d’informations sur : Validate critical information security skills with our new Certification | Microsoft Community Hub

Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office.

• Le bouton intégré Report dans Outlook pour Android et iOS (en version 4.2446) prend désormais en charge les paramètres rapportés par l'utilisateur pour signaler les messages comme étant des messages d'hameçonnage, des messages indésirables ou des messages non indésirables.

Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Disponibilité Générale des connecteurs de données Standard ou Premium de Microsoft Defender Threat Intelligence.
• Disponibilité Générale des règles d'analyse de correspondance de Defender Threat Intelligence. Ces règles permettent de trouver des menaces avec un haut niveau de fidélité.
• O
• Le nœud Threat Intelligence pour Microsoft Sentinel dans le portail Defender a été renommé Intel Management et déplacé dans le nœud Threat Intelligence.
• Private Preview des tables prenant en charge le nouveau schéma d'objets STIX afin de visualiser les renseignements sur les menaces pour les objets STIX et de déverrouiller le modèle d’hunting qui les utilise. Les nouvelles tables ThreatIntelIndicator et ThreatIntelObjects peuvent être utilisées pour intégrer votre Threat Intell, en plus ou à la place de la table actuelle ThreatIntelligenceIndicator.
• Microsoft fournit un API d’upload pour vos indicateurs afin d’injecter dans Sentinel les objets STIX suivants :
  • indicator
  • attack-pattern
  • identity
  • threat-actor
  • relationship
• Preview du support des modèles Bicep pour les respositories en plus des modèles ARM JSON. Bicep offre un moyen intuitif de créer des modèles de ressources Azure et d'éléments de contenu Microsoft Sentinel. Non seulement il est plus facile de développer de nouveaux éléments de contenu, mais Bicep facilite la révision et la mise à jour du contenu pour tous ceux qui font partie de l'intégration continue et de la livraison de votre contenu Microsoft Sentinel.
• Vous pouvez maintenant voir le contenu individuel disponible dans une solution spécifique directement depuis le hub de contenu et ce avant même d’avoir installé la solution.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for IoT. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Général

• L'ancienne console de gestion On-Prem n’est plus téléchargeable depuis le 1er janvier 2025.

Réseaux OT

• Pour réduire la fatigue des alertes, plusieurs versions de la même violation d'alerte et avec les mêmes paramètres sont regroupées et répertoriées dans le tableau des alertes comme un seul élément. Le volet des détails de l'alerte répertorie chacune des violations d'alerte identiques dans l'onglet Violations et les actions correctives appropriées sont répertoriées dans l'onglet Take action.

 Plus d’informations sur : What's new in Microsoft Defender for IoT - Microsoft Defender for IoT | Microsoft Learn

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Microsoft a mis à jour un des critères d’analyse pour les images de registre en analysant tous les 30 jours au lieu de 90 jours initialement. Ceci s’applique à tous les Clouds et registres externes.
• Concernant l’évaluation des vulnérabilités sur les conteneurs, Microsoft améliore la couverture avec de nouveaux langages de programmation supportés (PHP, Ruby et Rust) mais aussi l’analyse de JARs éparpillés, et l’amélioration des performances lors de la lecture de fichiers image de conteneur de grande taille.
• Microsoft a ajouté les permissions suivantes au connecteur Google Cloud Platform afin de supporter la plateforme IA GCP (Vertex AI) :
  • batchPredictionJobs.list
  • customJobs.list
  • datasets.list
  • datasets.get
  • endpoints.getIamPolicy
  • endpoints.list
  • indexEndpoints.list
  • indexes.list
  • models.list
  • models.get
  • pipelineJobs.list
  • schedules.list
  • tuningJobs.list
  • dataStores.list
  • documents.list
  • engines.list
  • instances.list
• En février, Microsoft prévoir l’amélioration de la fiabilité et de la couverture de la baseline Linux avec de nouvelles règles et des renommages de règles existantes.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a republié le kit de déploiement et d’évaluation (ADK) de Windows en version 10.1.25398.1 pour résoudre un problème de vulnérabilité. Par ailleurs, aucun changement n'a été apporté à la composition du kit. Veillez à installer la dernière version de l'ADK pour rester à jour. Si vous devez continuer à utiliser cette version de l'ADK, veillez à réinstaller la version de l'ADK en cours d'exécution sur vos appareils.

Notez que depuis cette version, deux nouvelles versions de l’ADK ont été publiées.

Télécharger :

• Windows ADK 10.1.25398.1 (Republished in January 2025)
• Windows PE add-on for the ADK 10.1.25398.1 (Republished in January 2025)