Microsoft a introduit un ensemble de nouveautés dans Microsoft Defender for Cloud Apps (anciennement MCAS), sa solution Cloud Access Security Broker (CASB). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
Les versions 209, 210, 211 apportent les changements suivants :
- Le connecteur API de Slack est désormais disponible, ce qui donne une meilleure visibilité et un meilleur contrôle sur la façon dont Slack est utilisé dans l’entreprise.
- Une nouvelle expérience d'avertissement (Warn and Educate) pour les applications surveillées avec Microsoft Defender for Endpoint est maintenant disponible. Cloud App Security a étendu son intégration native avec Microsoft Defender for Endpoint. Il est maintenant possible d’appliquer un blocage souple de l'accès aux applications marquées comme surveillées en utilisant la capacité Network Protection de Microsoft Defender for Endpoint. Les utilisateurs pourront contourner le blocage.
- Microsoft propose une nouvelle expérience des applications découvertes pour couvrir les applications Web découvertes et les applications OAuth et fournir une vue unifiée d'une entité d'application.
Les versions 212, et 213 apportent les changements suivants :
- Les alertes relatives aux voyages impossibles, à l'activité depuis des pays peu fréquents, à l'activité depuis des adresses IP anonymes et à l'activité depuis des adresses IP suspectes ne s'appliqueront plus aux échecs de connexion. Après un examen approfondi, Microsoft a décidé de séparer le traitement des échecs de connexion des alertes mentionnées ci-dessus. Dorénavant, elles ne seront déclenchées qu'en cas de connexion réussie, et non plus en cas d'échec de la connexion ou de tentative d'attaque. L'alerte de masse en cas d'échec de connexion sera toujours appliquée s'il y a un nombre anormalement élevé de tentatives de connexion échouées pour un utilisateur.
- Nouvelle détection d'anomalie : ISP inhabituel pour une application OAuth. Microsoft a étendu les détections d'anomalies pour inclure l'ajout suspect d'informations d'identification privilégiées à une application OAuth. La nouvelle détection est désormais disponible et automatiquement activée. La détection peut indiquer qu'un attaquant a compromis l'app et l'utilise pour une activité malveillante.
- Nouvelle détection : Activité à partir d’adresses IP associées à la pulvérisation du mot de passe (password spray). Cette détection compare les adresses IP effectuant des activités réussies dans vos applications Cloud aux adresses IP identifiées par les sources de threat intelligence de Microsoft comme ayant récemment effectué des attaques par pulvérisation de mot de passe. Elle signale les utilisateurs qui ont été victimes de campagnes de pulvérisation de mots de passe et qui ont réussi à accéder à vos applications Cloud à partir de ces adresses IP malveillantes. Cette nouvelle alerte sera générée par la politique existante Activity from suspicious IP addresses.
- Les connecteurs API de Smartsheet et OneLogin sont désormais disponibles. Vous pouvez désormais connecter Microsoft Cloud App Security à Smartsheet et à OneLogin pour surveiller et protéger les utilisateurs et les activités.
- Nouvelle intégration Shadow IT avec Open Systems pour bénéficier d'une visibilité Shadow IT sur l'utilisation des applications et de contrôler leur accès.
Plus d’informations sur : What's new in Microsoft Defender for Cloud Apps | Microsoft Docs