Le service Microsoft Defender XDR est une solution intégrée qui fournit des éléments provenant de tous les outils de sécurité dont Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. Ces solutions regroupent des mécanismes et concepts communs comme la détection et l’investigation et la réponse automatique. Cette console regroupera les alertes et les incidents agrégés des différents services.
- Les services Microsoft Defender Experts for Servers et Microsoft Defender Experts for Hunting - Servers sont désormais proposés en tant qu'offres autonomes (standalone) pour les clients souhaitant bénéficier de services managés de détection et réponse étendues (XDR) et de threat hunting pour leurs serveurs on-premises et multicloud protégés par Microsoft Defender for Cloud. Ces services étaient auparavant proposés en tant que modules complémentaires (add-ons), respectivement à Microsoft Defender Experts for XDR et Microsoft Defender Experts for Hunting.
- (Preview) La fonctionnalité de perturbation automatique des attaques (Automatic attack disruption) peut désormais isoler du réseau les appareils compromis lorsqu'une analyse d'incident à haut niveau de confiance indique que l'appareil est utilisé comme point d'ancrage actif par l'attaquant. L'isolation bloque les communications de l'attaquant et les déplacements latéraux tout en maintenant l'appareil connecté aux services de sécurité. Cette action est limitée dans le temps, ciblée sur les appareils impliqués dans l'incident, et peut être levée à tout moment par les opérateurs de sécurité.
- Dans l'advanced hunting, l'assistant Take action permet désormais aux clients d'autoriser ou de bloquer les domaines de premier niveau (top-level domains) et les hachages des pièces jointes de fichiers dans les e-mails, en fonction des résultats de requête.
- Le graphe de hunting (hunting graph) dans l'advanced hunting inclut désormais de nouveaux scénarios prédéfinis axés sur l'identité. Ces scénarios vous aident à découvrir les chemins d'attaque, les voies d'élévation de privilèges et les risques d'accès aux identifiants dans les environnements on-premises et cloud, notamment les chemins Kerberoast et AS-REP roast, les voies de compromission de domaine, les risques liés aux applications OAuth et l'accès des utilisateurs externes aux ressources cloud.
- Defender Chat (Preview) est un assistant de conversation à invite ouverte (open prompt) intégré à Microsoft Defender. Il aide les analystes SOC à investiguer les menaces, à explorer les incidents et à répondre aux questions de sécurité en langage naturel, sans avoir à naviguer entre plusieurs écrans ni à écrire des requêtes complexes.
Plus d’informations sur : What's new in Microsoft Defender XDR | Microsoft Learn
