Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

  • Preview du niveau de risque Microsoft Entra ID en temps presque réel dans Microsoft Defender for Identity. Cette information est dans la page d’assets et dans la table IdentityInfo de l’Advanced Hunting. Précédemment via l’User and entity behavior analytics (UEBA).
  • L’Identity scoping est désormais disponible dans tous les environnements. Les organisations peuvent désormais définir et affiner la portée de la surveillance MDI et obtenir un contrôle granulaire sur les entités et les ressources incluses dans l'analyse de sécurité.
  • Nouvelle évaluation de la posture de sécurité Remove discoverable passwords in Active Directory account attributes en Preview pour mettre en évidence les attributs qui continent des mots de passe ou indices d’identifiants.
  • Nouvelle évaluation de sécurité Remove inactive service accounts en Preview
  • Amélioration de la logique de détection (Suspected Brute Force attack (Kerberos, NTLM)) afin d'inclure des scénarios dans lesquels les comptes ont été verrouillés pendant les attaques. En conséquence, le nombre d'alertes déclenchées pourrait augmenter.
  • Preview de l’API (en bêta) basée sur Graph pour initier et gérer les actions de réponse dans Microsoft Defender for Identity.
  • A partir du 18 septembre, les alertes classiques MDI seront migrées vers la plateforme de détection XDR. Ceci permet d’améliorer la logique de détection afin de réduire les faux positifs et d’améliorer les performances. Les alertes suivantes sont concernées :

Alert Title

Detector ID

External ID

Active Directory attributes Reconnaissance using LDAP

xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert

2210

User and IP address reconnaissance (SMB)

xdr_SmbSessionEnumeration

2012

Account enumeration reconnaissance in AD FS

xdr_AccountEnumerationHintSecurityAlertAdfs

2003

Account enumeration in reconnaissance in Kerberos 

xdr_AccountEnumerationHintSecurityAlertKerberos

2003

Account enumeration reconnaissance in NTLM

xdr_AccountEnumerationHintSecurityAlertNtlm

2003

Suspected brute-force attack (LDAP)

xdr_LdapBindBruteforce

2004

Suspicious network connection over Encrypting File System Remote Protocol

xdr_SuspiciousConnectionOverEFSRPC

2416

 

Si vous utilisez l’identifiant d’alerte dans vos workflows ou automatisation, vous devez les mettre à jour avec les nouveaux identifiants de détection. De même si vous avez défini des exclusions dans les paramétrages MDI, il faudra reconfigurer ces exclusions dans les règles de tuning d’alertes XDR.

  • Mise à jour du capteur en version 2.246 et 2.267 pour améliorer la stabilité et intégrer diverses corrections.

Plus d’informations sur: What's new in Microsoft Defender for Identity

Facebook Like