• [MDI] Les nouveautés d’août 2025 pour Microsoft Defender for Identity

    Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Preview du niveau de risque Microsoft Entra ID en temps presque réel dans Microsoft Defender for Identity. Cette information est dans la page d’assets et dans la table IdentityInfo de l’Advanced Hunting. Précédemment via l’User and entity behavior analytics (UEBA).
    • L’Identity scoping est désormais disponible dans tous les environnements. Les organisations peuvent désormais définir et affiner la portée de la surveillance MDI et obtenir un contrôle granulaire sur les entités et les ressources incluses dans l'analyse de sécurité.
    • Nouvelle évaluation de la posture de sécurité Remove discoverable passwords in Active Directory account attributes en Preview pour mettre en évidence les attributs qui continent des mots de passe ou indices d’identifiants.
    • Nouvelle évaluation de sécurité Remove inactive service accounts en Preview
    • Amélioration de la logique de détection (Suspected Brute Force attack (Kerberos, NTLM)) afin d'inclure des scénarios dans lesquels les comptes ont été verrouillés pendant les attaques. En conséquence, le nombre d'alertes déclenchées pourrait augmenter.
    • Preview de l’API (en bêta) basée sur Graph pour initier et gérer les actions de réponse dans Microsoft Defender for Identity.
    • A partir du 18 septembre, les alertes classiques MDI seront migrées vers la plateforme de détection XDR. Ceci permet d’améliorer la logique de détection afin de réduire les faux positifs et d’améliorer les performances. Les alertes suivantes sont concernées :

    Alert Title

    Detector ID

    External ID

    Active Directory attributes Reconnaissance using LDAP

    xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert

    2210

    User and IP address reconnaissance (SMB)

    xdr_SmbSessionEnumeration

    2012

    Account enumeration reconnaissance in AD FS

    xdr_AccountEnumerationHintSecurityAlertAdfs

    2003

    Account enumeration in reconnaissance in Kerberos 

    xdr_AccountEnumerationHintSecurityAlertKerberos

    2003

    Account enumeration reconnaissance in NTLM

    xdr_AccountEnumerationHintSecurityAlertNtlm

    2003

    Suspected brute-force attack (LDAP)

    xdr_LdapBindBruteforce

    2004

    Suspicious network connection over Encrypting File System Remote Protocol

    xdr_SuspiciousConnectionOverEFSRPC

    2416

     

    Si vous utilisez l’identifiant d’alerte dans vos workflows ou automatisation, vous devez les mettre à jour avec les nouveaux identifiants de détection. De même si vous avez défini des exclusions dans les paramétrages MDI, il faudra reconfigurer ces exclusions dans les règles de tuning d’alertes XDR.

    • Mise à jour du capteur en version 2.246 et 2.267 pour améliorer la stabilité et intégrer diverses corrections.

    Plus d’informations sur: What's new in Microsoft Defender for Identity