Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

  • La version 2.158 inclut une nouvelle alerte de sécurité : Suspicious network connection over Encrypting File System Remote Protocol (ID externe 2416). Dans cette détection, Microsoft Defender for Identity déclenchera une alerte de sécurité chaque fois qu'un attaquant tentera d'exploiter le protocole EFS-RPC contre le contrôleur de domaine. Ce vecteur d'attaque est associé à la récente attaque PetitPotam.  Plus d’informations sur : PetitPotam? Microsoft Defender for Identity has it covered! - Microsoft Tech Community
  • Les versions 2.158 et 2.159 incluent une nouvelle alerte de sécurité : Exchange Server Remote Code Execution (CVE-2021-26855) (external ID 2414). Dans cette détection, Microsoft Defender for Identity déclenchera une alerte de sécurité chaque fois qu'un attaquant tentera de modifier l'attribut "msExchExternalHostName" de l'objet Exchange pour l'exécution de code à distance. Pour en savoir plus sur cette alerte : Microsoft Defender for Identity lateral movement security alerts | Microsoft Docs. Cette détection repose sur l'événement 4662 de Windows, il doit donc être activée au préalable. Microsoft a étendu la prise en charge de cette détection pour qu'elle se déclenche lorsqu'un attaquant potentiel communique sur un canal EFS-RPC chiffré. Les alertes déclenchées lorsque le canal est chiffré seront traitées comme des alertes de gravité moyenne, par opposition aux alertes de gravité élevée lorsqu'il n'est pas chiffré.
  • Les versions 2.157, 2.158, 2.159, et 2.160 apportent des améliorations et des corrections de bugs sur les capteurs.

 

Plus d’informations sur : What's new in Microsoft Defender for Identity

Facebook Like
Anonymous