Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Vous pouvez détecter facilement la vulnérabilité CVE-2024-21427 de contournement de la fonctionnalité de sécurité de Windows Kerberos. Microsoft a pour cela ajouté une nouvelle activité dans Advanced Hunting qui surveille l'authentification Kerberos AS. Grâce à ces données, les entreprises peuvent désormais facilement créer leurs propres règles de détection personnalisées dans Microsoft Defender XDR et déclencher automatiquement des alertes pour ce type d'activité. Vous pouvez pour cela utiliser la requête suivante :
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
- Les versions 2.233, 2.234, et 2.XXX apportent des améliorations et des corrections de bugs sur les capteurs.
Plus d’informations sur: What's new in Microsoft Defender for Identity
