L’équipe Azure Sentinel a publié un billet visant à créer une formation complète sur Azure Sentinel allant jusqu’à un niveau d’expertise. On retrouve notamment :

• Un Aperçu
  • Module 1 : Un aperçu technique
  • Module 2 : Le rôle d’Azure Sentinel
• Concevoir votre déploiement
  • Module 3 : Architecture Cloud et support de multiples tenants/espaces de travail
  • Module 4 : Collecte des événements
  • Module 5 : Gestion des journaux
  • Module 6 : Intégrer le renseignement sur les menaces (Threat Intelligence)
• Contenu
  • Module 7 : Le langage de requête Kusto (KQL) - le point de départ
  • Module 8 : Rédaction de règles pour la mise en œuvre de la détection
  • Module 9 : Création de playbooks pour la mise en œuvre de SOAR
  • Module 10 : Création de cahiers d'exercices pour la mise en œuvre de tableaux de bord et d'applications
  • Module 11 : Mise en œuvre des cas d'utilisation
• Opérations de sécurité
  • Module 12 : Une journée dans la vie d'un analyste du SOC, la gestion des incidents et les investigations
  • Module 13 : Investigation/Hunting
• Sujets avancés
  • Module 14 : Automatisation et intégration
  • Module 15 : Roadmap
  • Module 16 : Où aller ensuite ?

Accéder à Become an Azure Sentinel Ninja: The complete level 400 training

L’équipe Azure Sentinel a publié 4 billets pour expliquer quelles sont les différentes capacités d’ingestion et de connexion de sources de données à Azure Sentinel. On retrouve des éléments sur les services Cloud : Office 365, Azure, Intune, Desktop Analytics, Windows Virtual Desktop, Power Apps, Teams, etc. On retrouve aussi comment collecter des événements sur des serveurs On-Premises ou sur des sources externes (Syslog, CEF, Varonis, CheckPoint, Carbon Black, etc.)

Plus d’informations :

• Collecting logs from Microsoft Services and Applications
• Azure Sentinel Agent: Collecting telemetry from on-prem and IaaS server
• Hunting Threats on Linux with Azure Sentinel
• Azure Sentinel: Syslog, CEF, Logstash and other 3rd party connectors grand list
• Creating Custom Connectors

L’équipe Microsoft FastTrack a créé un assistant vous permettant aisément de créer une stratégie de déploiement de Windows 10 à utiliser avec Microsoft Endpoint Configuration Manager. Vous n’avez quasiment pas d’actions techniques à réaliser puisque l’assistant vous génère un script à exécuter sur l’infrastructure afin de créer les séquences de tâches et les éléments nécessaires.

C’est donc une bonne solution pour les clients qui voudraient démarrer à utiliser le produit sans énormément de connaissances.

Accéder à l’assistant

Vous enregistrez un périphérique Windows 10 manuellement dans Microsoft Intune via l’application Paramètres. Vous ne constatez aucune application de stratégies, d’applications, etc. Sur le portail Microsoft Endpoint Manager, le périphérique affiche un statut en attente (Pending).

Le problème survient car vous êtes toujours connecté avec un compte administrateur local. En effet, une machine doit pouvoir récupérer un token Azure AD afin de s’authentifier sur le service et récupérer les stratégies Microsoft Intune. Afin de récupérer un token Azure AD, un utilisateur synchronisé dans Azure AD doit être connecté. Cet utilisateur doit avoir un UPN routable.

Dans le cas contraire, la commande dsregcmd /status renvoie le statut suivant :

AzureAdPrt : No

Plus d’informations : Support Tip: Configuration Policy Shows as Pending on Windows Devices

Si vous n’utilisez pas encore les services de Microsoft (Office 365, Azure AD, etc.), il se peut qu’un utilisateur ait provoqué la création d’un tenant en mode libre-service par l’activation d’un service tel que Power BI. Ce tenant devient donc non géré et sans administrateur général (Global Admin).

Microsoft a fourni une procédure qui peut permettre de récupérer la main sur ce tenant sans avoir à les contacter. Notez que cette opération n’est pas possible si un utilisateur a déjà été défini comme administrateur du tenant.

Lire Perform an internal admin takeover

Beaucoup de clients se posent la question d’activer l’authentification à facteurs multiples (MFA) et la question se pose avec Microsoft Intune. L’accès conditionnel offre l’accès à deux applications Cloud :

• Microsoft Intune est utilisée pour toutes les connexions (portail d’entreprise, portail web d’entreprise, etc.) exception faite du workflow lié à l’enregistrement d’un périphérique
• Microsoft Intune Enrollment est l’application Cloud qui identifie uniquement l’action d’enregistrement d’un périphérique.

Quand il s’agit de penser à la sécurité, il est surement plus important de vérifier que l’utilisateur qui se présente pour enregistrer un périphérique est bien l’utilisateur que l’on attend plutôt que simplement de vérifier ceci quand il ouvre le portail d’entreprise. En effet, l’enregistrement du téléphone une fois effectuée par un attaquant ayant volé les identifiants, peut donner accès aux applications métiers, à des profils de connexion VPN, des profils de connexion WiFi et donc potentiellement ouvre les portes du système d’information.

Mais quels sont les scénarios où des considérations doivent être pris en compte lors de l’activation du MFA pour l’enregistrement d’un périphérique ?

La première correspond à l’enregistrement d’un périphérique via Samsung KME ou quand le périphérique est enregistré dans le mode Android Enterprise Fully Managed. Lors de l’enregistrement, l'utilisateur n'aura pas accès à l'application Microsoft Authenticator ni la possibilité de recevoir un appel ou un SMS sur l'appareil. Deux solutions :

• L'utilisateur doit donc être en mesure de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
• Vous désactivez l’authentification à facteurs multiples (MFA) pour l’enregistrement dans Microsoft Intune

Le second est lors de l’utilisation d’Apple Device Enrollment Program (ou Apple Business Manager) avec un profil forçant l’utilisant du Single App Mode. Tant que l’authentification sur le portail d’entreprise n’a pas été réalisé, le périphérique est bloqué sur ce dernier. Dans le même temps, l’utilisateur ne peut pas basculer sur les SMS ou les appels. Dans ce cas, vous avez deux solutions :

• Permettre à l’utilisateur de procéder à l'authentification à facteurs multiples par une méthode différente (via un autre périphérique, etc.).
• Désactiver le mode Single App Mode sur le profile DEP tout en sachant que l’utilisateur peut donc choisir d’outre passer la procédure d’enregistrement.
• Désactiver le MFA pour l’enregistrement Microsoft Intune

Dans les projets de gestion de périphériques mobiles (MDM) ou de protection de la donnée, vous pouvez être amené à utiliser les stratégies de protection applicatives (APP) de Microsoft Intune. Souvent, les entreprises se posent la question sur comment les implémenter ?

On rencontre beaucoup d’entreprises qui ont raté leur projet car elles ont été trop contraignante d’un coup. Microsoft a donc créé un framework comprenant 3 niveaux que vous pouvez mettre en œuvre étape par étape pour rehausser la sécurité :

• Niveau 1 : La protection basique des données de l’entreprise
• Niveau 2 : La protection avancée des données de l’entreprise
• Niveau 3 : La protection élevée des données de l’entreprise

Pour en apprendre plus, vous pouvez lire la documentation : Data protection framework using app protection policies

Source

Azure Sentinel et Azure Log Analytics intègrent par défaut des moyens de suivre l’usage et le coût des données. Néanmoins, il n’est pas si facile de savoir quelle table du workspace sont les plus volumineuses.
Clive Watson (MSFT) a publié un workbook permettant de suivre les tables, les types d’événements et le coût. Vous pouvez voir aussi la lentence, le nombre d'événements par seconde, le coût, 

Pour l’installer :

1. Copier le workbook au format RAW
2. Se connecter dans Azure Sentinel
3. Ouvrir le Workspace
4. Ouvrez Workbooks
5. Cliquez sur Add workbook
6. Cliquez sur Edit
7. Cliquez sur l’icone </>
8. Validez que vous utilisez le mode Gallery Template
9. Coller le code
10. Cliquez sur Done Editing
11. Cliquez sur Save

Plus d’informations sur : Usage reporting for Azure Sentinel

Télécharger le Workbook sur GitHub

Michael Niehaus (MSFT) a publié un très bon script qui vise à identifier les problèmes liés aux différents enregistrements d’une machine impliquée dans une processus Windows Autopilot. En effet, une machine peut avoir plusieurs enregistrements dans :

• Le Service Autopilot
• Azure Active Directory (plusieurs en fonction des scénarios)
• Microsoft Intune

Le but est de mettre en lumière les problèmes où des liens manqueraient entre certains enregistrements éventuellement manquants. Ce script est donc une bonne assistance dans vos problèmes de dépannage.

Plus d’informations sur : An experimental script to check out your Windows Autopilot devices

L’équipe Identity Protection a publié un bon billet résumant les grandes étapes permettant de bloquer l’authentification héritée sur votre tenant Azure Active Directory.

 On retrouve notamment :

1. L’identification des authentifications héritées
2. La compréhension de ces authentifications.
3. La création d’une stratégie d’accès conditionnel en mode report-only
4. Le blocage effectif de l’authentification héritée via
   • L’accès conditionnel
   • Un blocage côté service

Lire : New tools to block legacy authentication in your organization

Microsoft a publié un guide complet sur la base de retours d’expériences pour optimiser les mises à niveau de Windows 10. Le but de ce guide est d’optimiser la cadence, l’usage, et l’adoption de Windows 10. Il revient sur de nombreux concepts essentiels :

• Les dates butoirs (deadlines)
• Désactiver les stratégies en conflit
• Les périphériques à faibles activités (souvent éteints)
• Les périphériques non sains
• L’optimisation de la bande passante et le partage P2P
• La supervision des stratégies

Il vous donnera des éléments pour :

• Adapter les stratégies de mise à jour pour une vitesse accrue
• La personnalisation des périphériques pour une vitesse accrue.
• La surveillance et l’application
• Les stratégies de déploiement

Bref ceci est un guide à lire avec détails :  Optimizing Windows 10 update adoption

António Vasconcelos et Rob Mallicoat (Program Managers dans le groupe produit Microsoft Defender ATP) ont publié une série d’articles sur Microsoft Defender Exploit Guard et les règles de réduction de surface d’attaque proposées (ASR).

Microsoft Defender Exploit Guard est un ensemble de fonctionnalités de prévention des intrusions qui est livré avec Windows 10. Les quatre composants de Microsoft Defender Exploit Guard sont conçus pour verrouiller l'appareil contre une grande variété de vecteurs d'attaque et bloquer les comportements couramment utilisés dans les attaques de logiciels malveillants, tout en permettant aux entreprises d'équilibrer leurs risques de sécurité et leurs exigences de productivité.

Les quatre composants de Microsoft Defender Exploit Guard sont :

• Protection du réseau (Network Protection) : Protège le périphérique contre les menaces Web en bloquant tout processus sortant sur le périphérique vers des hôtes/IP non fiables via Microsoft Defender SmartScreen.
• Accès contrôlé aux dossiers (Controlled Folder Access) : Protège les données sensibles contre les ransomewares en empêchant les processus non fiables d'accéder aux dossiers protégés de l’utilisateur.
• Protection contre l'exploitation (Exploit Protection) : Un ensemble de mesures d'atténuation des exploits (remplaçant Enhanced Mitigation Experience Toolkit (EMET)) qui peuvent être facilement configurées pour protéger le système et les applications.
• Les règles de réduction de la surface d'attaque (Attack Surface Reduction (ASR)) : comprend un ensemble de contrôles (15 règles) pour empêcher les logiciels malveillants d'entrer sur la machine en bloquant les menaces communes basées sur les logiciels Office, Adobe, les scripts et les e-mails. Office et les emails sont des moyens simples et faciles de distribuer des mécanismes permettant aux mauvais hackers de lancer des attaques malveillantes et des attaques sans fichiers.

C’est ce dernier mécanisme sur lequel les deux PMs focalise les articles. Il est parfois difficile de mettre en œuvre ces règles mais les différents articles reviennent sur des fondamentaux importants et des pièges à éviter.

Lire :

• Demystifying attack surface reduction rules - Part 1
• Demystifying attack surface reduction rules - Part 2
• Demystifying attack surface reduction rules - Part 3

Je vous propose un article assez ancien mais qui mérite d’être lu si vous souhaitez mettre en œuvre Azure Sentinel. L’article se focalise sur le déploiement et la gestion de la solution en mode « as Code ». Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

L’article explique comment automatiser les différents composants :

• L’onboarding
• Les règles d’alerte
• Les requêtes d’investigation (Hunting)
• Les playbooks
• Les workbooks
• Les connecteurs

Je vous invite à lire Deploying and Managing Azure Sentinel as Code

Les solutions de type Endpoint Detection and Response (EDR) comme Microsoft Defender Advanced Threat Protection (ATP), sont devenus des outils indispensables pour se protéger des tentatives d’attaques. Ces outils sont devenus une des pierres angulaires du Security Operation Center (SOC). Néanmoins, le Data Protection Officier (DPO) peut poser des questions quant aux données utilisées et envoyées au service. Il est donc primordial de savoir apporter les réponses.

Concernant les données exactes, on retrouve :

• Événements du registre
• Événements de création de fichiers
• Événements du réseau
• Événements de connexion
• Informations sur les applications installées
• Informations sur les machines
• Événements du noyau/kernel
• Événements de la mémoire
• Modifications du matériel
• Appels API du système

Parmi les actions qu’un opérateur peut éventuellement prendre, on retrouve :

• Isoler la machine (l'utilisateur est averti - pas de connexion possible à l'Internet et au réseau local)
• Limiter l'exécution des applications (seules les applications certifiées peuvent être exécutées par la suite)
• Déclencher une analyse antivirus
• Collecter un des éléments d’investigation
• Lancer une session de réponse en direct (shell de commande à distance)

Les données de Microsoft Defender ATP sont conservées pendant 180 jours maximum et peuvent être stockées aux États-Unis, au Royaume-Uni ou en Europe. L’entreprise définit la durée de stockage des données et l'emplacement des données lors de la configuration initiale.

Plus d’informations sur : Put regulation fears to rest when deploying Microsoft Defender ATP

En août dernier, Microsoft a lancé Exact Data Match (EDM), une nouvelle capacité permettant aux entreprises d’identifier et cible des données spécifiques. Dans cette situation, on pense surtout à l’identification des données personnelles en réduisant les faux positifs via la construction et l’utilisation d’un dictionnaire ou référentiel des données personnelles de l’entreprise.

Imaginez donc un scénario où vous traitez des données de santé avec des numéros de sécurité social, vous connaissez tous les numéros de vos clients. Vous construisez donc un dictionnaire qui sera ensuite utilisé par les services de prévention de la perte de données (DLP) de Microsoft pour empêcher certaines actions de partage.

Microsoft propose un article très intéressant vis à expliquer comment construire ce référentiel :

• Implementing Microsoft Exact Data Match (EDM) Part 1
• Implementing Microsoft Exact Data Match (EDM) Part 2

Microsoft a publié un script qui peut être utilisé pour générer les informations de diagnostic et de journalisation de Windows 10 lié à la gestion de périphériques mobiles (MDM).

Lire Generate & gather Windows 10 MDM client logs and diagnostics

L’équipe Azure AD a rédigé un très bon article sur les questions fréquentes et les bonnes pratiques concernant l’accès conditionnel d’Azure Active Directory. Ce billet revient sur :

• Comment mettre en œuvre correctement l’authentification à facteurs multiples ?
• Comment contrôler l’accès aux applications et services ?
• Comment mettre en œuvre rapidement et efficacement les stratégies ?
• Comment gérer le cas des utilisateurs connectés en VPN ?
• Comment donner et sécuriser l’accès à des applications internes sans accès en VPN ?

Lire Frequent questions about using Conditional Access to secure remote access

Notez aussi ce très bon billet résumant les nouveautés récentes apportées au mode Report-Only pour vous aider dans cette démarche.

Il y a quelques semaines, Microsoft annonçait un rebranding de certains de ses produits à destination du marché Small Business (jusqu’à 300 utilisateurs). Un des abonnements appelé Microsoft 365 Business Premium offre de nombreux services. Microsoft revient au travers de deux billets sur la sécurisation des environnements et du travail à distance via la solution. Ceci inclut :

• La protection de l’identité
• La protection de l’image
• La gouvernance de l’information
• La sécurité de Teams
• La gestion des périphériques
• La sécurisation de l’accès à distance

Ceci inclut différentes technologies parmi : L’authentification à facteurs multiples (MFA), l’accès conditionnel, Azure AD Application Proxy, Windows Virtual Desktop, La gestion via Microsoft Intune, Office 365 Advanced Threat Protection, La prévention de la perte de donnée (DLP), l’archivage Exchange Online, etc.

Lire les deux articles :

• Using Microsoft 365 Business Premium to secure your remote workforce
• Practical guide to securing remote work using Microsoft 365 Business Premium

Il y a quelques semaines, une polémique a émergé selon laquelle Microsoft forcerait l’utilisation du moteur de recherche Bing sur le navigateur Chrome lorsque la suite Office 365 ProPlus serait installée. Microsoft est revenu via un billet sur les conditions de ce scénario. Il faut déjà comprendre que le but est de pousser l’usage de Microsoft Search pouvant être utilisé par les entreprises pour réaliser des recherches centrées sur le contexte de l’entreprise.

Ainsi, l’extension est déployée uniquement si les conditions suivantes sont réunies :

• L’extension Bing pour Chrome est installée uniquement si l’administrateur du tenant l’active.
• L’extension Bing pour Chrome est installée uniquement si la machine a installé Microsoft 365 Apps for Enterprise (Office 365 ProPlus)
• La machine est jointe à Active Directory

Dans ce cas, l’extension Bing est installée et activée mais l’utilisateur peut toujours revenir à son paramétrage de moteur de recherche initial. Le but est bien ici d’offrir des scénarios de recherche contextualisés à l’entreprise (RH, Bénéfices, ,etc.) via Microsoft Search.

Plus d’informations sur : Update on timing of opt-in Microsoft Search in Bing through Microsoft 365 Apps for enterprise*

Il y a quelques semaines, Microsoft publiait une expérience d’administration de Windows Virtual Desktop au travers du portail Microsoft Azure. Cette annonce facilite grandement la prise en main de la solution plutôt que d’utiliser des scripts et des commandes PowerShell. Outre cette annonce, il est maintenant possible de provisionner Windows Virtual Desktop basé sur le modèle Azure Resource Manager (ARM). Ceci comporte de nombreux avantages dont :

• L’utilisation de groupes Azure AD pour la publication des applications
• L’utilisation des rôles RBAC Azure intégré et la création de rôles personnalisé sur cette base
• L’intégration avec le module PowerShell AZ
• L’intégration avec Log Analytics
• La sélection de l’emplacement pour le stockage des métadonnées du service

Je vous recommande vivement de lire l’article suivant pour une bonne prise en main du service : Getting started: Windows Virtual Desktop ARM-based Azure portal

C’est un problème auquel j’ai fait face récemment sur Microsoft Intune. Si vous devez supprimer un token Apple Device Enrollment Program (DEP) pour lequel un profil DEP est configuré par défaut, alors la suppression renvoie une erreur.

Les entreprises ont l’habitude de sélectionner l’option visant à attribuer un profil par défaut aux périphériques remonté par Apple Business Manager (ABM) et DEP. Cette action créé un lien avec le tenant qui bloque la suppression du token qui est associé à ce token.

Soit vous devez d’abord supprimer tous les profils associé à ce token DEP. Soit vous vous retrouvez bloqué.
Microsoft travaille sur une solution dans les prochains mois afin de supprimer en cascade le token DEP et les profils associés.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/intune-customer-success/deleting-dep-enrollment-for-ios-ipados-macos-for-default/ba-p/1191418

L’équipe Intune avait publié un très bon billet résumant les grands concepts pour le déploiement d’applications avec Microsoft Intune. Scott Duffey (MSFT) reivnet sur les concepts suivants :

• Contexte d’installation de l’application (Périphérique vs Utilisateur)
• Assignation de l’application (groupe de périphérique vs utilisateur)
• Type d’assignation d’application (Disponible, Requis, Désinstallation)
• Groupes d’assignation d’application (Groupes inclus vs groupes exclus)

Si vous utilisez Intune, je vous recommande vivement de prendre le temps de lire ce billet : How Application Context, Assignment and Exclusions Work in Intune

Microsoft vient de publier une mise à jour (1.5.30.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

Elle corrige les problèmes suivants :

• Correction d'un problème où des domaines non sélectionnés étaient mal sélectionnés dans l'interface utilisateur de l'assistant.
• Correction d'un problème dans le module PowerShell ADSyncConfig, où l'appel de la commande DSACLS utilisée dans tous les cmdlets Set-ADSync* provoquait l'une des erreurs suivantes :
  • GrantAclsNoInheritance : The parameter is incorrect. The command failed to complete successfully.
  • GrantAcls : No GUID Found for computer …

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#15300

Télécharger Microsoft Azure Active Directory Connect

J’étais passé à côté de l’annonce en décembre dernier mais elle est relativement importante ! Microsoft a mis à disposition MSIX Core en version 1.1.0.0. MSIX Core est le portage des bénéfices de packaging du format MSIX sur les versions qui ne supportent pas ce format initialement. Comprenez qu’en installant MSIX Core sur Windows 7 SP1, Windows 8.1, Windows 10 pour des versions antérieures à 1709 ou toutes versions de Windows Server supportées (avec interface graphique), vous pouvez installer/désinstaller des applications au format MSIX.

Alors certes, vous ne bénéficiez pas des autres avantages telles que la conteneurisation ou l’utilisation de fonctionnalités apportées par Windows 10 mais vous pouvez bénéficier des avantages d’installer et désinstaller proprement ces applications.

Avec cette annonce, il n’y a plus de raison d’utiliser autre chose que le format MSIX pour packager vos applications ! Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Plus d’informations sur : MSIX Core

Télécharger MSIX Core 1.1 sur GitHub

MITRE vient juste de publier le résultat de l’évaluation sur les solutions de sécurité de type Endpoint Detection and Response (EDR). Les solutions proposées par Microsoft sont regroupées sous Microsoft Threat Protection et incluent notamment Microsoft Defender Advanced Threat Protection (ATP), etc. L’évaluation est basée sur le framework ATT&CK de MITRE, considéré comme l’un des catalogues de techniques et d’attaques le plus complet du marché. L’attaque utilisée est Cosy Bear connu sous Advanced Persistent Threat (APT) 29 avec 58 techniques d’attaque dans 10 catégories différentes.

Dans cette étude, les solutions doivent désactiver les mécanismes de protection habituels tels que les flux de remédiation automatique, isolation des applications, réduction de la surface d'attaque, protection du réseau, protection contre l'exploitation, accès contrôlé aux dossiers et l’antivirus de nouvelle génération. Le but est donc de tester les capacités d’audit des solutions.

Microsoft s’en sort avec les meilleurs délais et sans modification de configuration :

En outre, c’est l’une des solutions qui couvre le mieux les techniques d’attaque :

Ces deux éléments signifient que la solution est efficace tout en étant facile à mettre en œuvre.

Plus d’informations sur le résultat de l’étude : https://attackevals.mitre.org/evaluations.html?round=APT29

Source : Microsoft Threat Protection leads in real-world detection in MITRE ATT&CK evaluation