[MDA] Les nouveautés de Microsoft Defender for Cloud Apps en février 2024

Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

Ce mois, on retrouve les changements suivants :

• Defender for Cloud Apps a maintenant amélioré son support SSPM dans la disponibilité générale en incluant les applications suivantes :
  • Atlassian
  • Dropbox
  • Zendesk
• Nouvelles alertes de gouvernance des applications pour l'accès aux identifiants et les mouvements latéraux :
  • Application initiating multiple failed KeyVault read activity with no success : Cette détection identifie une application dans votre tenant qui a été observée en train d'effectuer plusieurs appels d'action de lecture vers KeyVault en utilisant Azure Resource Manager API dans un court intervalle, avec seulement des échecs et aucune activité de lecture réussie.
  • Dormant OAuth App predominantly using MS Graph or Exchange Web Services recently seen to be accessing ARM workloads : Cette détection identifie une application dans votre tenant qui, après une longue période d'inactivité, a commencé à accéder à l'API Azure Resource Manager pour la première fois. Auparavant, cette application utilisait principalement MS Graph ou Exchange Web Service.
• Microsoft Defender for Cloud Apps apporte quelques modifications au catalogue d'applications Cloud afin d'améliorer l'évaluation des risques liés aux applications. Microsoft supprimera du catalogue les indicateurs non pertinents et redondants suivants :
  • Consumer Popularity Index
  • Safe Harbor
  • Jericho Forum Commandments
  • Heartbleed patched
  • Protected against DROWN
  • ISO 27002
  • The following PCI-DSS values: 1, 2, 3, 3.1, and 3.2
• Microsoft va également supprimer les indicateurs suivants du calcul du score par défaut. Ces indicateurs continueront à être présentés dans le catalogue et peuvent être inclus dans les calculs de score en configurant les métriques de score :
  • Founded
  • Holding
  • Domain Registration
  • FedRAMP level
  • FISMA

Si vous avez créé des politiques de découverte basées sur un score total de l'application ou sur l'un des indicateurs supprimés, le score de risque de certaines applications peut changer et de nouvelles alertes peuvent être déclenchées. Toutes les politiques existantes qui ont été créées sur la base des indicateurs supprimés seront désactivées. Microsoft prévoit ce changement à la mi-mars 2024 pour une fin mi-avril 2024.

Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs