Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview du niveau de risque Microsoft Entra ID en temps presque réel dans Microsoft Defender for Identity. Cette information est dans la page d’assets et dans la table IdentityInfo de l’Advanced Hunting. Précédemment via l’User and entity behavior analytics (UEBA).
- L’Identity scoping est désormais disponible dans tous les environnements. Les organisations peuvent désormais définir et affiner la portée de la surveillance MDI et obtenir un contrôle granulaire sur les entités et les ressources incluses dans l'analyse de sécurité.
- Nouvelle évaluation de la posture de sécurité Remove discoverable passwords in Active Directory account attributes en Preview pour mettre en évidence les attributs qui continent des mots de passe ou indices d’identifiants.
- Nouvelle évaluation de sécurité Remove inactive service accounts en Preview
- Amélioration de la logique de détection (Suspected Brute Force attack (Kerberos, NTLM)) afin d'inclure des scénarios dans lesquels les comptes ont été verrouillés pendant les attaques. En conséquence, le nombre d'alertes déclenchées pourrait augmenter.
- Preview de l’API (en bêta) basée sur Graph pour initier et gérer les actions de réponse dans Microsoft Defender for Identity.
- A partir du 18 septembre, les alertes classiques MDI seront migrées vers la plateforme de détection XDR. Ceci permet d’améliorer la logique de détection afin de réduire les faux positifs et d’améliorer les performances. Les alertes suivantes sont concernées :
Alert Title |
Detector ID |
External ID |
Active Directory attributes Reconnaissance using LDAP |
xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert |
2210 |
User and IP address reconnaissance (SMB) |
xdr_SmbSessionEnumeration |
2012 |
Account enumeration reconnaissance in AD FS |
xdr_AccountEnumerationHintSecurityAlertAdfs |
2003 |
Account enumeration in reconnaissance in Kerberos |
xdr_AccountEnumerationHintSecurityAlertKerberos |
2003 |
Account enumeration reconnaissance in NTLM |
xdr_AccountEnumerationHintSecurityAlertNtlm |
2003 |
Suspected brute-force attack (LDAP) |
xdr_LdapBindBruteforce |
2004 |
Suspicious network connection over Encrypting File System Remote Protocol |
xdr_SuspiciousConnectionOverEFSRPC |
2416 |
Si vous utilisez l’identifiant d’alerte dans vos workflows ou automatisation, vous devez les mettre à jour avec les nouveaux identifiants de détection. De même si vous avez défini des exclusions dans les paramétrages MDI, il faudra reconfigurer ces exclusions dans les règles de tuning d’alertes XDR.
- Mise à jour du capteur en version 2.246 et 2.267 pour améliorer la stabilité et intégrer diverses corrections.
Plus d’informations sur: What's new in Microsoft Defender for Identity