Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Tags
Archives
Related
Recommended
Home » Blogueurs » Jean-Sébastien DUCHENE Blog's » [MDI] Les nouveautés de juillet 2024 pour Microsoft Defender for Identity

Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

  • Public Preview de 6 nouvelles détections :
    • Possible NetSync attack: NetSync est un module de Mimikatz, un outil de post-exploitation, qui demande le hachage du mot de passe d'un appareil cible en se faisant passer pour un contrôleur de domaine. Un attaquant pourrait effectuer des activités malveillantes à l'intérieur du réseau en utilisant cette fonctionnalité pour accéder aux ressources de l'organisation.
    • Possible takeover of a Microsoft Entra seamless SSO account: Un objet de compte Microsoft Entra seamless SSO (single sign-on), AZUREADSSOACC, a été modifié de manière suspecte. Un attaquant pourrait se déplacer latéralement de l'environnement On-Prem vers le Cloud.
    • Suspicious LDAP query: Une requête Lightweight Directory Access Protocol (LDAP) suspecte associée à un outil d'attaque connu a été détectée. Un attaquant pourrait être en train d'effectuer une reconnaissance pour des étapes ultérieures.
    • Suspicious SPN was added to a user: Un Service Principal Name (SPN) suspect a été ajouté à un utilisateur sensible. Un attaquant peut tenter d'obtenir un accès élevé pour un mouvement latéral au sein de l'organisation.
    • Suspicious creation of ESXi group: Un groupe VMWare ESXi suspect a été créé dans le domaine. Cela peut indiquer qu'un attaquant tente d'obtenir plus de permissions pour les étapes ultérieures d'une attaque.
    • Suspicious ADFS authentication: Un compte joint à un domaine s'est connecté en utilisant Active Directory Federation Services (ADFS) à partir d'une adresse IP suspecte. Un attaquant peut avoir volé les informations d'identification d'un utilisateur et les utiliser pour se déplacer latéralement dans l'organisation.
  • Microsoft ajoute ces nouvelles recommandations de Microsoft Defender for Identity en tant qu'actions d'amélioration de Microsoft Secure Score :
    • Azure SSO account configuration: Password last set more than 90 days ago
    • Azure SSO account configuration: Resource Based Constrained Delegation configured
    • Remove unnecessary replication permissions for Microsoft Entra Connect accounts
    • Rotate password for Entra Connect connector users
  • Les versions 2.237, et 2.238 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur: What's new in Microsoft Defender for Identity

 

Facebook Like
2024 - MicrosoftTouch
Site indépendant de passionnés
La communauté fournit le site et le contenu "tels quels" et ne donne aucune garantie quant au site et à ses contenus.
Le contenu est l'entière propriété de l'auteur. Son plagiat vous expose à des poursuites.
Powered by VERINT