Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Il est maintenant possible de stocker les données de Microsoft Defender for Identity en Inde.
- Support de Microsoft Entra Connect (anciennement Azure AD Connect) avec un capteur qui offre différentes recommandations et détections :
- (Recommandation) Rotate password for Entra Connect connector account : Un compte de connecteur Entra Connect compromis (compte de connecteur AD DS, communément appelé MSOL_XXXXXXXX) peut donner accès à des fonctions à haut privilège comme la réplication et la réinitialisation des mots de passe, permettant aux attaquants de modifier les paramètres de synchronisation et de compromettre la sécurité dans les environnements en nuage et sur site, ainsi que d'offrir plusieurs voies pour compromettre l'ensemble du domaine. Dans cette évaluation, nous recommandons aux clients de changer le mot de passe des comptes MSOL dont le dernier mot de passe a été défini il y a plus de 90 jours.
- (Recommandation) Remove unnecessary replication permissions for Entra Connect Account : Par défaut, le compte du connecteur Entra Connect a des permissions étendues pour assurer une synchronisation adéquate (même si elles ne sont pas réellement requises). Si Password Hash Sync n'est pas configuré, il est important de supprimer les permissions inutiles afin de réduire la surface d'attaque potentielle.
- (Recommandation) Change password for Entra seamless SSO account configuration : Ce rapport liste tous les comptes d'ordinateur Entra seamless SSO dont le dernier mot de passe a été défini il y a plus de 90 jours. Le mot de passe du compte d'ordinateur Azure SSO n'est pas automatiquement modifié tous les 30 jours. Si un attaquant compromet ce compte, il peut générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'Active Directory. Un attaquant peut utiliser ceci pour se déplacer latéralement d'Active Directory vers Entra ID.
- (Recommandation) Remove Resource Based Constrained Delegation for Entra seamless SSO account : Si la délégation contrainte basée sur les ressources est configurée sur le compte d'ordinateur AZUREADSSOACC, un compte avec la délégation serait capable de générer des tickets de service pour le compte AZUREADSSOACC au nom de n'importe quel utilisateur et d'usurper l'identité de n'importe quel utilisateur dans le locataire Entra qui est synchronisé à partir d'AD.
- (Détection) Suspicious Interactive Logon to the Entra Connect Server : Les connexions directes aux serveurs Entra Connect sont très inhabituelles et potentiellement malveillantes. Les attaquants ciblent souvent ces serveurs pour voler des informations d'identification afin d'élargir l'accès au réseau. Microsoft Defender for Identity peut maintenant détecter les connexions anormales aux serveurs Entra Connect, vous aidant à identifier et à répondre à ces menaces potentielles plus rapidement. Cela s'applique spécifiquement lorsque le serveur Entra Connect est un serveur autonome et ne fonctionne pas en tant que contrôleur de domaine.
- (Détection) User Password Reset by Entra Connect Account : Le compte du connecteur Entra Connect détient souvent des privilèges élevés, y compris la capacité de réinitialiser les mots de passe des utilisateurs. Microsoft Defender for Identity a désormais une visibilité sur ces actions et détectera toute utilisation de ces permissions identifiées comme malveillantes et non légitimes. Cette alerte ne sera déclenchée que si la fonction Password Writeback est désactivée.
- Suspicious writeback by Entra Connect on a sensitive user : Alors qu'Entra Connect empêche déjà la réécriture pour les utilisateurs des groupes privilégiés, Microsoft Defender for Identity étend cette protection en identifiant d'autres types de comptes sensibles. Cette détection améliorée permet d'empêcher les réinitialisations de mot de passe non autorisées sur les comptes critiques, ce qui peut être une étape cruciale dans les attaques avancées ciblant à la fois les environnements cloud et sur site.
- Nouvelle activité de réinitialisation de mot de passe échouée sur un compte sensible disponible dans la table 'IdentityDirectoryEvents' dans Advanced Hunting. Cela peut aider les entreprise à suivre les événements de réinitialisation de mot de passe échoués et à créer une détection personnalisée basée sur ces données.
- Précision améliorée pour la détection de l'attaque de synchronisation DC.
- Nouvel alerte de santé pour les cas où le capteur est incapable de récupérer la configuration du service Entra Connect.
- Surveillance étendue pour les alertes de sécurité, telles que PowerShell Remote Execution Detector, en activant le nouveau capteur sur les serveurs Entra Connect.
- Le module PowerShell DefenderForIdentity a été mis à jour, incorporant de nouvelles fonctionnalités et corrigeant plusieurs bugs.
- Un cmdlet New-MDIDSA simplifie la création de comptes de service, avec un paramètre par défaut pour les comptes de service gérés par le groupe (gMSA) et une option pour créer des comptes standard.
- Améliore la fiabilité de la création des objets de stratégie de groupe (GPO) en ciblant automatiquement l'émulateur de contrôleur de domaine primaire (PDCe) pour la plupart des opérations Active Directory.
- Un nouveau paramètre serveur pour les cmdlets Get/Set/Test-MDIConfiguration, vous permettant de spécifier un contrôleur de domaine à cibler au lieu du PDCe.
- La version 2.239 apporte des améliorations et des corrections de bugs sur les capteurs.
Plus d’informations sur: What's new in Microsoft Defender for Identity