Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud (anciennement Azure Defender ou Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Microsoft annonce la Preview de Microsoft Security Private Link permettant une connectivité privée entre Defender for Cloud et vos charges de travail. La connexion est établie en créant des points de terminaison privés dans votre réseau virtuel, ce qui permet au trafic Defender for Cloud de rester sur le réseau fédérateur Microsoft et d'éviter toute exposition à l'Internet public. Les points de terminaison privés sont actuellement pris en charge pour le plan Defender for Containers.

Plus d’informations sur : Release notes for Microsoft Defender for Cloud | Microsoft Docs

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Preview d’un widget Entity Behavior Analytics sur la page d’accueil du portail Defender. Il offre une visibilité immédiate sur les comportements utilisateurs anormaux, permettant aux analystes d’identifier plus rapidement les activités suspectes et d’accélérer les workflows de détection.
• Microsoft confirme que Microsoft Sentinel ne sera plus supporté dans le portail Azure après le 31 mars 2027. Sentinel est désormais généralement disponible dans le portail Defender, y compris pour les clients ne disposant pas de Defender XDR ou de licences E5. Les organisations utilisant encore Sentinel dans Azure doivent planifier leur migration vers le portail Defender afin de bénéficier de l’expérience SOC unifiée.
• Une nouvelle couche UEBA behaviors fait son apparition dans le portail Defender. Elle agrège et normalise les événements issus de sources supportées pour produire des comportements lisibles, contextualisés et alignés MITRE ATT&CK. Cette couche permet de :
  • accélérer les investigations grâce à des comportements séquencés et agrégés ;
  • transformer une télémétrie volumineuse en observations exploitables ;
  • améliorer les workflows des analystes, hunters et detection engineers ;
  • garantir la traçabilité via un lien direct vers les logs sources et les tactiques MITRE.

Les comportements UEBA peuvent être activés indépendamment de la détection d’anomalies. Les sources supportées en Public Preview :AWS CloudTrail, CommonSecurityLog (CyberArk Vault, Palo Alto Threats), GCPAuditLog

• Il est désormais possible d’activer UEBA directement depuis la configuration des connecteurs. Cette intégration réduit les risques de couverture incomplète et simplifie la gestion en permettant d’associer immédiatement une source de données à UEBA lors de son onboarding.
• La solution SAP BTP s’enrichit de nouvelles détections couvrant des activités critiques du plan de contrôle, de l’intégration et de l’identité :
  • SAP Integration Suite — Détection des modifications non autorisées d’artefacts, politiques d’accès, sources JDBC et imports de packages.
  • SAP Cloud Identity Service — Surveillance des suppressions d’utilisateurs, élévations de privilèges et changements SAML/OIDC.
  • SAP Build Work Zone — Détection des suppressions massives de rôles et des accès non autorisés.
  • SAP BTP Audit Logging — Identification des interruptions d’ingestion des logs d’audit.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Ces nouvelles alertes ont été ajoutées aux alertes de sécurité Defender for Identity :
  • Nouvelles alertes liées à Entra ID :
    • Suspicious user configuration change activity from Entra ID sync application
    • Anomalous OAuth device code authentication activity
    • Suspicious Graph API request made from Entra ID sync application
    • Suspicious sign-in observed from Entra ID sync application
    • Suspicious sign in with CSRF speedbump trigger
  • Nouvelles alertes liées à Active Directory :
    • Possible golden ticket attack (suspicious ticket)
    • Possible Kerberos key list attack
• Mise à jour du capteur en version 2.254 et 2.255 pour améliorer la stabilité et intégrer diverses corrections.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Microsoft vient de publier une mise à jour (2.26.108) au client Global Secure Access de Microsoft Entra. Global Secure Access est le client utilisé par Microsoft Entra Internet Access et Private Access.  Ces services sont la solution Security Service Edge de Microsoft.

La dernière mise à jour (2.26.108) apporte les éléments suivants :

• Support de l'accès privé pour les appareils personnels BYOD (Microsoft Entra enregistrés) (en version bêta).
• Le client supprime les vérifications de santé pour les appareils Microsoft Entra enregistrés et les utilisateurs Microsoft Entra connectés à Windows, car ces vérifications ne sont plus des prérequis. Le client prend en charge les appareils Microsoft Entra enregistrés.
• Il optimise la détection de l'accès intelligent local (ILA) en réévaluant le statut à chaque changement de réseau.
• L'interface utilisateur du client affiche le type d'adhésion pour indiquer si le périphérique est enregistré ou joint au compte Microsoft Entra ID de l'utilisateur.
• Le traceroute du Global Secure Access inclut un test de vitesse de 50 Mo entre le client et le périphérique.
• Le support de Windows est disponible en turc.
• Le certificat client Global Secure Access est supprimé s'il n'est plus nécessaire.
• Améliore la gestion des connexions Global Secure Access internes obsolètes sur le réseau.
• Ajoute la configuration et les journaux d'alimentation, la liste des services Windows et la liste des pilotes aux journaux collectés.
• Améliore les journaux pour le processus de collecte des journaux.
• Améliore les tests de vérification de l'état de santé.
• Améliorations de l'accessibilité.
• De nouvelles télémétries sont disponibles.
• Diverses améliorations et corrections de bogues.

Plus d’informations sur les fonctionnalités et les différences : Global Secure Access client for Windows version release notes - Global Secure Access | Microsoft Learn

Le client est téléchargeable depuis le portail Microsoft Entra en naviguant dans Global Secure Access > Connect > Client download