Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender for Endpoint introduits dans le mois.
- (Disponibilité Générale) La solution de sécurité Defender for Endpoint pour Windows 7 SP1 et Windows Server 2008 R2 SP1 est désormais disponible pour tous. Elle apporte des capacités de protection avancées et des fonctionnalités améliorées pour ces appareils hérités par rapport aux autres solutions, et se déploie via l'outil de déploiement Defender (Defender deployment tool).
- (Disponibilité Générale) La collecte de données personnalisée (Custom data collection) est désormais disponible pour tous. Elle permet aux organisations d'étendre et de personnaliser la collecte de télémétrie au-delà des configurations par défaut, grâce à un filtrage basé sur des règles pour des événements spécifiques provenant des appareils. La limite maximale d'événements par règle passe de 25 000 à 75 000 événements par appareil sur une fenêtre glissante de 24 heures.
- (Disponibilité Générale) La configuration des paramètres de mise à jour hors connexion de l'intelligence de sécurité pour Linux est désormais possible directement depuis les portails Defender et Intune.
- (Preview) Le nouveau modèle de score d'exposition (Enhanced exposure score) dans Defender Vulnerability Management est disponible en préversion. Il améliore la priorisation des risques et la précision de l'impact des recommandations en intégrant les données de prédiction d'exploitation (EPSS) ainsi que des facteurs de contexte des actifs, tels que l'exposition à Internet et la criticité.
- (Preview) La planification des analyses antivirus sur Linux est désormais disponible. Les analyses planifiées prennent en charge les analyses rapides horaires, les analyses rapides à intervalle régulier et les analyses complètes hebdomadaires, avec des options d'exécution en basse priorité, de planification en période d'inactivité et d'heures de démarrage aléatoires. La configuration s'effectue via un JSON managé, le portail Microsoft Defender ou l'interface en ligne de commande mdatp.
- (Preview) L'isolation automatique des appareils (automatic device isolation), dans le cadre de la perturbation automatique des attaques (automatic attack disruption), permet désormais à Defender for Endpoint d'isoler automatiquement les appareils compromis. L'isolation bloque la majeure partie du trafic réseau tout en maintenant l'appareil connecté aux services de sécurité. L'action est limitée dans le temps, circonscrite à l'incident, et les opérateurs de sécurité peuvent lever l'isolation à tout moment.
- (Preview) Les actions de réponse sélectives (Selective Response Actions) permettent aux organisations d'adapter les opérations de sécurité à fort impact sur les appareils lors de l'onboarding. Elles offrent un contrôle précis sur la manière dont les actions de réponse sont appliquées aux systèmes Tier-0 et aux autres actifs de grande valeur, contribuant à maintenir la stabilité opérationnelle tout en assurant une protection forte.
- Dans la version du client Defender for Endpoint pour Windows (Platform 4.18.26040.7 | Engine 1.1.26040.8), on retrouve des améliorations ainsi que des corrections de bugs et de performances.
- Dans la version de mai du client Defender for Endpoint pour Android (1.0.8913.0101), on retrouve l'amélioration des performances et des corrections de bugs.
- Dans la version de mai du client Defender for Endpoint pour iOS (1.1.77130101), on retrouve l'amélioration des performances et des corrections de bugs.
Plus d’informations sur : What's new in Microsoft Defender for Endpoint | Microsoft Docs
