Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.
- Disponibilité Générale de la prise en charge des serveurs Linux basés sur ARM64 pour les distributions suivantes : Ubuntu, RHEL, Debian, SUSE Linux, Amazon Linux et Oracle Linux. Toutes les fonctionnalités du produit qui sont prises en charge sur les appareils AMD64 sont maintenant prises en charge sur les serveurs Linux basés sur ARM64.
- Preview la fonctionnalité permettant de contenir les adresses IP associées aux appareils qui ne sont pas découverts ou qui ne sont pas intégrés à Defender for Endpoint. Le fait de contenir une adresse IP empêche les attaquants de propager leurs attaques à d'autres appareils non compromis.
- Deux nouvelles règles de réduction de surface d’attaque (ASR) sont en disponibilité générale :
- Block rebooting machine in Safe Mode: Cette règle empêche l'exécution de commandes visant à redémarrer les machines en mode sans échec.
- Block use of copied or impersonated system tools: Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des copies, soit des imposteurs des outils système originaux.
- Dans la version de mai du client Defender for Endpoint pour macOS (Build: 101.25042.0002 | Release version: 20.125042.2.0), La commande mdatp health -details edr inclut maintenant les infos Entra ID. On retrouve aussi des corrections de bugs et performances.
- Dans la version de mai du client Defender for Endpoint pour Linux (Build: 101.25032.0010 | Release version: 30.125032.0010.0), on retrouve :
- Suppression de la dépendance externe de MDE Netfilter et de libpcre du paquet MDE.
- La correction du script Python exécutant des binaires non vérifiés avec des privilèges de niveau racine pour identifier les processus Java utilisant des versions obsolètes de log4j (CVE-2025-26684) a été résolue.
- Ajout d'un mécanisme de détection pour CVE-2025-31324 affectant le composant "Visual Composer" du serveur d'application SAP NetWeaver..
- Autres améliorations de stabilité et corrections de bugs.
- Dans la version de mai du Client Defender for Endpoint pour Android (1.0.7714.0101), on retrouve :
- À partir du 19 mai 2025, les analystes des centres d'opérations de sécurité (SOC) peuvent désormais visualiser les éléments suivants en tant qu'événements et non plus en tant qu'alertes :
- Connexion ou déconnexion à des réseaux sans fil ouverts
- Téléchargement/installation/suppression de certificats auto-signés
- Ces événements peuvent être visualisés dans l'onglet Timeline de la page d'un appareil.
- À partir du 19 mai 2025, les analystes des centres d'opérations de sécurité (SOC) peuvent désormais visualiser les éléments suivants en tant qu'événements et non plus en tant qu'alertes :
- Dans la version de janvier du client Defender for Endpoint pour iOS (1.1.65280104). À partir du 19 mai 2025, lorsqu'un utilisateur se connecte à un réseau sans fil ouvert sur un appareil mobile, une alerte n'est plus générée sur le portail Microsoft Defender. Au lieu de cela, cette activité est ajoutée en tant qu'événement et visible sous la Timeline de l'appareil.
Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs
