Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Microsoft est en train de désactiver l'alerte SAM-R honeytoken. Bien qu'il ne faille jamais accéder à ces types de comptes ou les interroger, Microsoft est conscients que certains systèmes hérités peuvent utiliser ces comptes dans le cadre de leurs opérations régulières. Si cette fonctionnalité est nécessaire pour vous, vous pouvez toujours créer une requête Advanced Hunting et l'utiliser comme détection personnalisée. De plus, Microsoft va revoir l'alerte LDAP honeytoken dans les semaines à venir, mais restera fonctionnelle pour l'instant.
- Microsoft a corrigé les problèmes de logique de détection dans l'alerte d'audit des objets des services d'annuaire pour les systèmes d'exploitation non anglophones et pour Windows 2012 avec des schémas de services d'annuaire antérieurs à la version 87.
- Microsoft a supprimé la condition préalable de configuration d'un compte Directory Services pour que les capteurs démarrent. Pour plus d'informations, voir Microsoft Defender for Identity Directory Service account recommendations.
- Microsoft n'exige plus la journalisation des événements 1644. Si ce paramètre de registre est activé, vous pouvez le supprimer. Pour plus d'informations, voir Event ID 1644.
- Certaines exclusions pour lesquelles le Honeytoken a été interrogé via l'alerte SAM-R ne fonctionnaient pas correctement. Dans ces cas, des alertes étaient déclenchées même pour des entités exclues. Ce problème a été corrigé.
- Mise à jour du nom du protocole NTLM pour les tables Advanced Hunting Identity : L'ancien nom de protocole Ntlm sera désormais le nouveau nom de protocole NTLM dans les tables Identity Advanced Hunting : IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Si vous utilisez actuellement le protocole Ntlm en format sensible à la casse dans les tables d'événements d'identité, vous devez le remplacer par NTLM.
- Les versions 2.199, 2.200, et.201 apportent des améliorations et des corrections de bugs sur les capteurs.
Plus d’informations sur : What's new in Microsoft Defender for Identity