Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Disponibilité Générale des nouvelles actions de réponse permettant de cibler des comptes Active Directory lors d’un événement de compromission. Ceci vient enfin compléter des demandes de la plupart des clients. Il devient possible de désactiver l’utilisateur ou réinitialiser le mot de passe de l’utilisateur. Ces actions requièrent la mise en place d’un compte gMSA qui est utilisé par MDI pour effectuer les actions
- Microsoft Defender for Identity peut désormais surveiller les requêtes LDAP supplémentaires dans votre réseau. Ces activités LDAP sont envoyées via le protocole Active Directory Web Service et se comportent comme des requêtes LDAP normales. Pour avoir une visibilité sur ces activités, vous devez activer l'événement 1644 sur vos contrôleurs de domaine. Cet événement couvre les activités LDAP dans votre domaine et est principalement utilisé pour identifier les recherches LDAP (Lightweight Directory Access Protocol) coûteuses, inefficaces ou lentes qui sont gérées par les contrôleurs de domaine Active Directory.
- Lorsque vous installez le capteur à partir d'un nouveau package, la version du capteur sous Ajout/Suppression de programmes apparaîtra avec le numéro de version complet (par exemple, 2.176.x.y), par opposition à la version statique 2.0.0.0 qui était affichée auparavant. Il continuera à afficher cette version (celle qui a été installée par le biais du package) même si la version sera mise à jour par les mises à jour automatiques de Defender for Identity. La version réelle peut être consultée sur la page des paramètres du capteur dans le portail, dans le chemin de l'exécutable ou dans la version du fichier.
- Les versions 2.175, 2.176, et 2.177 apportent des améliorations et des corrections de bugs sur les capteurs.
Notez qu’à partir du 15 juin 2022, Microsoft ne prendra plus en charge le capteur Defender for Identity sur les appareils exécutant Windows Server 2008 R2. Microsoft recommande d'identifier tous les contrôleurs de domaine (DC) ou les serveurs (AD FS) qui fonctionnent encore sous Windows Server 2008 R2 comme système d'exploitation et de prévoir leur mise à jour vers un système d'exploitation pris en charge. Pendant les deux mois suivant le 15 juin 2022, le capteur continuera à fonctionner. A partir du 15 août 2022, le capteur ne fonctionnera plus sur les plateformes Windows Server 2008 R2.
Plus d’informations sur : What's new in Microsoft Defender for Identity