Outre les différentes solutions de sécurité indépendantes, Microsoft propose Microsoft 365 Defender. Ce service est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint (MDATP), Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Cloud App Security. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.
Parmi les nouveautés de ce mois, on retrouve :
- Il est maintenant possible de recevoir des emails de notifications pour la création ou la mise à jour d’un incident. Cette notification contient ensuite le nom de l’incident, sa sévérité et sa catégorie.
- Microsoft a réalisé des changements dans les tables EmailEventset EmailAttachmentInfo concernant les données Office 365 avec deux nouvelles colonnes pour l’émetteur. On retrouve de nouvelles colonnes qui se mappent sur d’ancienne colonnes. Pour avoir l’exhaustivité des changements : Additional email data in advanced hunting - Microsoft Tech Community
- Microsoft harmonise les valeurs des sources de service (ServiceSource) et les sources de détection (DetectionSource) pour faire correspondre les changements de nom des différents produits (Microsoft Defender for Endpoint, Microsoft Defender for Office 365, etc.)
- On retrouve la public preview avec de nouvelles sources de données fournissant les journaux d’audit Azure Active Directory dans la fonctionnalité Advanced Hunting. Pour l’instant, l’ingestion a une dépendance sur MCAS et le connecteur Office 365 mais Microsoft a pour objectif de l’étendre à d’autres clients.
- Microsoft publie un article pour détailler comment utiliser Microsoft 365 Defender pour détecter Solorigate : Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security
