Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Nouvelle alerte de santé pour vérifier que l'audit NTLM est activé, comme décrit dans la page des alertes de santé.
- Nouvelle alerte de sécurité : authentification anormale d'Active Directory Federation Services (AD FS) à l'aide d'un certificat suspect. Cette nouvelle technique est liée au tristement célèbre acteur NOBELIUM et a été baptisée "MagicWeb". Elle permet à un adversaire d'implanter une porte dérobée sur des serveurs AD FS compromis, ce qui lui permettra de se faire passer pour n'importe quel utilisateur du domaine et d'accéder ainsi à des ressources externes. Pour en savoir plus sur cette attaque, lisez cet article de blog.
- Defender for Identity peut désormais utiliser le compte LocalSystem sur le contrôleur de domaine pour effectuer des actions de remédiation (activer/désactiver un utilisateur, forcer l'utilisateur à réinitialiser son mot de passe), en plus de l'option gMSA qui était disponible auparavant. Ceci permet une prise en charge immédiate des actions de remédiation.
- Les versions 2.192, et 2.193 apportent des améliorations et des corrections de bugs sur les capteurs.
Plus d’informations sur : What's new in Microsoft Defender for Identity
