Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.

• Microsoft va retirer la fonctionnalité Deception à partir d’octobre 2025.
• Dans une prochaine version du client Defender for Endpoint pour Windows Server 2012 R2 et 2016 :
  • Microsoft lance le service Microsoft Defender Core pour Windows Server 2012 R2 et Windows Server 2016. Ce nouveau service améliore la stabilité et les performances de Microsoft Defender Antivirus, aidant ainsi les organisations à renforcer la protection des points de terminaison sur les plateformes serveur héritées. Le service Microsoft Defender Core sera installé parallèlement à Microsoft Defender Antivirus sur les systèmes Windows Server 2012 R2 et Windows Server 2016 pris en charge exécutant le client unifié Microsoft Defender pour Endpoint. Pour se préparer, vous devez mettre à jour la plateforme vers la version 4.18.25060.7-0 ou plus. Vous devez aussi autoriser les URLs suivantes : *.events.data.microsoft.com, *.endpoint.security.microsoft.com, *.ecs.office.com
• Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25072.0011 | Release version: 20.125072.11.0), on retrouve :
  • Les mises à jour hors ligne pour les mises à jour des renseignements de sécurité sur macOS à partir d’un serveur miroir local (Public Preview).
  • Amélioration du temps de détection des logiciels malveillants et de l'analyse des archives.
  • Amélioration des capacités de diagnostic et des rapports d'erreur.
  • Amélioration des performances et du diagnostic pour la prévention de la perte de données (DLP) au niveau des points de terminaison.
  • Des corrections de bugs et performances.
• Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25062.0003 | Release version: 30.125062.0003.0), on retrouve :
  • Defender for Endpoint sur Linux prend désormais en charge l'installation vers un emplacement personnalisé (Preview).
  • La commande mdatp threat quarantine add nécessite désormais les privilèges du superutilisateur (root).
  • Le chemin de définition personnalisé peut maintenant être mis à jour sans arrêter Defender for Endpoint. Auparavant, cela nécessitait l'arrêt du service, mais à partir de cette version, les mises à jour du chemin de définition peuvent être effectuées dynamiquement, ce qui améliore l'efficacité opérationnelle et réduit les temps d'arrêt.
  • L'exécution de Defender for Endpoint sur Linux en même temps que Fapolicyd est désormais prise en charge sur les distributions basées sur RHEL et Fedora, ce qui permet aux fonctionnalités antivirus (protection en temps réel) et EDR de fonctionner sans conflit. Pour les autres outils basés sur Fanotify, Defender for Endpoint peut toujours être utilisé en toute sécurité en réglant le niveau d'application de l'antivirus sur passif, ce qui permet d'éviter l'instabilité du système.
  • Autres améliorations de stabilité et corrections de bugs.
• Dans la version de mai du Client Defender for Endpoint pour Android (1.0.8018.0103), on retrouve l’amélioration des performances et corrections de bugs.
• Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.68140102), on retrouve l’amélioration des performances et corrections de bugs.

Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview du niveau de risque Microsoft Entra ID en temps presque réel dans Microsoft Defender for Identity. Cette information est dans la page d’assets et dans la table IdentityInfo de l’Advanced Hunting. Précédemment via l’User and entity behavior analytics (UEBA).
• L’Identity scoping est désormais disponible dans tous les environnements. Les organisations peuvent désormais définir et affiner la portée de la surveillance MDI et obtenir un contrôle granulaire sur les entités et les ressources incluses dans l'analyse de sécurité.
• Nouvelle évaluation de la posture de sécurité Remove discoverable passwords in Active Directory account attributes en Preview pour mettre en évidence les attributs qui continent des mots de passe ou indices d’identifiants.
• Nouvelle évaluation de sécurité Remove inactive service accounts en Preview
• Amélioration de la logique de détection (Suspected Brute Force attack (Kerberos, NTLM)) afin d'inclure des scénarios dans lesquels les comptes ont été verrouillés pendant les attaques. En conséquence, le nombre d'alertes déclenchées pourrait augmenter.
• Preview de l’API (en bêta) basée sur Graph pour initier et gérer les actions de réponse dans Microsoft Defender for Identity.
• A partir du 18 septembre, les alertes classiques MDI seront migrées vers la plateforme de détection XDR. Ceci permet d’améliorer la logique de détection afin de réduire les faux positifs et d’améliorer les performances. Les alertes suivantes sont concernées :

Si vous utilisez l’identifiant d’alerte dans vos workflows ou automatisation, vous devez les mettre à jour avec les nouveaux identifiants de détection. De même si vous avez défini des exclusions dans les paramétrages MDI, il faudra reconfigurer ces exclusions dans les règles de tuning d’alertes XDR.

• Mise à jour du capteur en version 2.246 et 2.267 pour améliorer la stabilité et intégrer diverses corrections.

Plus d’informations sur: What's new in Microsoft Defender for Identity