Nouveautés de Microsoft Defender pour l’identité
Cet article est fréquemment mis à jour pour vous informer des nouveautés des dernières versions de Microsoft Defender pour Identity.
Important
Les clients qui utilisent le portail classique Defender pour Identity sont désormais automatiquement redirigés vers Microsoft Defender XDR, sans possibilité de revenir au portail classique.
Pour plus d’informations, consultez notre article de blog et Microsoft Defender pour Identity dans Microsoft Defender XDR.
Recevez les notifications de mises à jours
Recevez une notification quand cette page est mise à jour en copiant et collant l’URL suivante dans votre lecteur de flux : https://aka.ms/mdi/rss
Nouveautés : portée et références
Les versions de Defender pour Identity sont déployées progressivement à nos clients locataires. S’il existe une fonctionnalité documentée ici que vous ne voyez pas encore chez votre locataire, revenez plus tard pour la mise à jour.
Pour plus d'informations, consultez également :
- Nouveautés dans Microsoft Defender XDR
- Nouveautés dans Microsoft Defender for Endpoint
- Nouveautés de Microsoft Defender for Cloud Apps
Pour les mises à jour sur les versions et fonctionnalités publiées il y a six mois ou avant, consultez l’archive des nouveautés pour Microsoft Defender pour Identity.
Avril 2024
Détectez facilement la vulnérabilité CVE-2024-21427 de contournement des fonctionnalités de sécurité de Windows Kerberos
Pour aider les clients à mieux identifier et détecter les tentatives de contournement des protocoles de sécurité liés à cette vulnérabilité, nous avons ajouté une nouvelle activité au sein de la fonction Chasse avancée qui surveille l'authentification Kerberos AS.
Grâce à ces données, les clients peuvent désormais facilement créer leurs propres règles de détection personnalisées dans Microsoft Defender XDR et déclencher automatiquement des alertes pour ce type d'activité.
Accédez au portail Defender XDR –> Chasse –> Chasse avancée.
Vous pouvez maintenant copier la requête recommandée ci-dessous et cliquer sur « Créer une règle de détection ». Veuillez noter que la requête que nous fournissons suit également les tentatives de connexion échouées, lesquelles peuvent générer des informations sans rapport avec une attaque potentielle. N'hésitez donc pas à adapter la requête à vos besoins spécifiques.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender pour Identity version 2.234
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.233
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Mars 2024
Nouvelles autorisations de lecture seule pour l'affichage des paramètres de Defender for Identity
Vous pouvez désormais configurer les utilisateurs de Defender for Identity avec des autorisations de lecture seule pour afficher les paramètres de Defender for Identity.
Pour en savoir plus, consultez Autorisations requises pour Defender for Identity dans Microsoft Defender XDR.
Nouvelle API basée sur Graph pour l’affichage et la gestion des problèmes d’intégrité
Vous pouvez maintenant afficher et gérer des problèmes d’intégrité de Microsoft Defender for Identity via l’API Graph
Pour plus d’informations, veuillez consulter la rubrique Gestion des problèmes d’intégrité via l’API Graph.
Defender pour Identity version 2.232
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.231
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Février 2024
Defender pour Identity version 2.230
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Nouvelle évaluation de la posture de sécurité pour la configuration d'un point de terminaison IIS AD CS non sécurisée
Defender for Identity a ajouté la nouvelle recommandation Modifier les points de terminaison IIS d’inscription des certificats ADCS non sécurisés (ESC8) dans Microsoft Secure Score.
Le service de certificats Active Directory (AD CS) prend en charge l’inscription de certificats via différentes méthodes et protocoles, notamment l’inscription via HTTP à l’aide du service d’inscription de certificats (CES) ou de l’interface d’inscription Web (Certsrv). Les configurations non sécurisées des points de terminaison IIS CES ou Certsrv peuvent créer des vulnérabilités aux attaques de relais (ESC8).
La nouvelle recommandation Modifier les points de terminaison IIS d’inscription des certificats ADCS non sécurisés (ESC8) est ajoutée à d’autres recommandations liées à AD CS récemment publiées. Conjointement, ces évaluations offrent des rapports sur la posture de sécurité qui mettent en lumière les problèmes de sécurité et les erreurs de configuration graves qui représentent des risques pour l'ensemble de l'organisation, ainsi que les détections correspondantes.
Pour plus d’informations, consultez l’article suivant :
- Évaluation de la sécurité : modifier les points de terminaison IIS d’inscription des certificat AD CS non sécurisés (ESC8)
- Évaluations de la posture de sécurité pour les capteurs AD CS
- Évaluations de la posture de sécurité de Microsoft Defender pour Identity
Defender pour Identity version 2.229
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Expérience utilisateur améliorée pour l’ajustement des seuils d’alerte (préversion)
La page des Paramètres avancés de Defender for Identity est désormais renommée Ajuster les seuils d’alerte et +offre une expérience renouvelée avec une flexibilité accrue pour l’ajustement des seuils d’alerte.
Les changements sont notamment :
Nous avons supprimé l’option Supprimer la période d’apprentissage et ajouté une nouvelle : Mode test recommandé. Sélectionnez Mode test recommandé pour définir tous les niveaux de seuil sur Faible, augmenter le nombre d’alertes et définir tous les autres niveaux de seuil en lecture seule.
La colonne du Niveau de sensibilité s’appelle désormais Niveau de seuil, avec des valeurs nouvellement définies. Par défaut, toutes les alertes sont définies sur un seuil Élevé, qui représente le comportement par défaut et une configuration d’alerte standard.
Le tableau suivant répertorie le mappage entre les anciennes valeurs de Niveau de sensibilité et les nouvelles du Niveau de seuil :
Niveau de sensibilité (nom antérieur) | Niveau de seuil (nouveau nom) |
---|---|
Normal | Activité |
Moyenne | Moyenne |
Activité | Faible |
Si vous aviez des valeurs spécifiques définies sur la par Paramètres avancés, nous les avons transférées vers la nouvelle page Ajuster les seuils d’alerte comme suit :
Configuration de la page des paramètres avancés | Nouvelle configuration de la page Ajuster les seuils d’alerte |
---|---|
Supprimer la période d’apprentissage activée | Mode test recommandé désactivée. Les paramètres de configuration du seuil d’alerte restent identiques. |
Supprimer la période d’apprentissage désactivée | Mode test recommandé désactivée. Les paramètres de configuration du seuil d’alerte sont tous réinitialisés à leurs valeurs par défaut, avec un niveau de seuil Élevé. |
Les alertes sont toujours déclenchées immédiatement si l’option Mode test recommandé est sélectionnée ou si un niveau de seuil est défini sur Moyen ou Faible, que la période d’apprentissage de l’alerte soit déjà terminée ou non.
Pour plus d’informations, consultez Ajuster les seuils d’alerte.
Les pages de détails sur les appareils incluent désormais leur description (préversion)
Microsoft Defender XDR inclut désormais des descriptions d’appareils dans les volets de détails et les pages de détails. Les descriptions sont tirées de l’attribut Description d’Active Directory de l’appareil.
Par exemple, dans le volet des détails de l’appareil :
Pour plus d’informations, consultez Étapes de l’examen des appareils suspects.
Defender pour Identity version 2.228
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender for Identity, ainsi que les nouvelles alertes suivantes :
- Reconnaissance de l’énumération de comptes (LDAP) (ID externe 2437) (préversion)
- Modification du mot de passe du mode de restauration des services d’annuaire (ID externe 2438) (préversion)
Janvier 2024
Defender pour Identity version 2.227
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Ajout de l’onglet Chronologie pour les entités de groupe
Désormais, vous pouvez visualiser dans Microsoft Defender XDR les activités et les alertes liées aux entités de groupe Active Directory des 180 derniers jours, telles que les changements d’appartenance à un groupe, les requêtes LDAP, etc.
Pour accéder à la page Chronologie de groupe, sélectionnez Ouvrir chronologie dans le volet des détails du groupe.
Par exemple :
Pour plus d’informations, consultez Étapes de l’examen des groupes suspects.
Configurez et validez votre environnement Defender for Identity via PowerShell
Defender for Identity prend désormais en charge le nouveau module PowerShell DefenderForIdentity, conçu pour vous aider à configurer et valider votre environnement pour travailler avec Microsoft Defender for Identity.
Utilisez les commandes PowerShell pour éviter les mauvaises configurations, gagner du temps et éviter une charge inutile sur votre système.
Pour vous aider à utiliser les nouvelles commandes PowerShell, nous avons ajouté les procédures suivantes à la documentation de Defender for Identity :
- Modifier la configuration du proxy à l’aide de PowerShell
- Configurer, obtenir et tester des stratégies d’audit à l’aide de PowerShell
- Générer un rapport avec des configurations actuelles via PowerShell
- Tester vos autorisations et délégations DSA via PowerShell
- Tester la connectivité du service à l’aide de PowerShell
Pour plus d’informations, consultez l’article suivant :
- Module PowerShell DefenderForIdentity (PowerShell Gallery)
- Documentation de référence sur PowerShell DefenderForIdentity
Defender pour Identity version 2.226
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.225
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Décembre 2023
Remarque
Si vous constatez une diminution du nombre d’alertes de tentative d’exécution de code à distance, consultez nos annonces mises à jour de septembre, qui incluent une mise à jour de la logique de détection Defender pour Identity. Defender pour Identity continue d’enregistrer les activités d’exécution de code à distance comme précédemment.
Nouvelle zone et nouveau tableau de bord des identités dans Microsoft 365 Defender (préversion)
Les clients Defender pour Identity disposent désormais d’une nouvelle zone Identités dans Microsoft 365 Defender pour plus d’informations sur la sécurité des identités avec Defender for Identity.
Dans Microsoft 365 Defender, sélectionnez Identités pour afficher l’une des nouvelles pages suivantes :
Tableau de bord : cette page contient des graphiques et des widgets qui vous aident à surveiller les activités de détection et de réponse des menaces d’identité. Par exemple :
Pour en savoir plus, consultez Travailler avec le tableau de bord ITDR de Defender for Identity.
Problèmes d’intégrité : cette page est transférée de la zone Paramètres > Identités et répertorie tous les problèmes d’intégrité actuels liés au déploiement général de votre Defender for Identity et des capteurs spécifiques. Pour plus d’informations, consultez Problèmes d’intégrité du capteur Microsoft Defender for Identity.
Outils : cette page contient des liens vers des informations et des ressources utiles pour travailler avec Defender for Identity. Cette page contient des liens vers la documentation, en particulier sur l’outil de planification de la capacité et le script Test-MdiReadiness.ps1.
Defender pour Identity version 2.224
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Évaluations de la posture de sécurité pour les capteurs AD CS (préversion)
Les évaluations de la posture de sécurité de Defender for Identity détectent de manière proactive et recommandent des actions pour l’ensemble de vos configurations Active Directory sur site.
Les actions recommandées incluent désormais les nouvelles évaluations de posture de sécurité suivantes, en particulier pour les modèles de certificats et les autorités de certification.
Actions recommandées pour les modèles de certificats :
- Empêcher les utilisateurs de demander un certificat valide pour des utilisateurs arbitraires en fonction du modèle de certificat (ESC1)
- Modifier un modèle de certificat trop permissif avec une EKU privilégiée (EKU à usage unique ou sans EKU) (ESC2)
- Modèle de certificat d'agent d'inscription mal configuré (ESC3)
- Modifier l’ACL des modèles de certificats mal configurés (ESC4)
- Modifier le propriétaire de modèles de certificats mal configurés (ESC4)
Actions recommandées pour l’autorité de certification :
Les nouvelles évaluations sont disponibles dans Microsoft Secure Score. Elles signalent les problèmes de sécurité et les erreurs de configuration graves qui présentent des risques pour l’ensemble de l’organisation, ainsi que les détections. Votre score est mis à jour en conséquence.
Par exemple :
Pour plus d’informations, consultez les évaluations de l’état de la sécurité de Microsoft Defender pour Identity.
Remarque
Bien que les évaluations du modèle de certificat soient disponibles pour tous les clients qui ont installé AD CS dans leur environnement, les valuation de l’autorité de certification sont disponibles uniquement pour les clients qui ont installé un capteur sur un serveur AD CS. Pour plus d’informations, consultez Nouveau type de capteur pour les services de certificats Active Directory (AD CS).
Defender pour Identity version 2.223
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.222
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.221
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Novembre 2023
Defender pour Identity version 2.220
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.219
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Chronologie Identity inclut plus de 30 jours de données (préversion)
Defender pour Identity déploie progressivement des rétentions de données étendues sur les détails de l’identité à plus de 30 jours.
L’onglet Chronologie de la page Détails d’Identity, qui comprend les activités de Defender pour Identity, Microsoft Defender for Cloud Apps et Microsoft Defender for Endpoint, comprend actuellement un minimum de 150 jours et cette durée augmente. Il pourrait y avoir des variations dans les taux de conservation des données au cours des prochaines semaines.
Pour afficher les activités et les alertes sur la chronologie de l'identité au cours d'une période spécifique, sélectionnez la valeur par défaut de 30 jours, puis sélectionnez Plage personnalisée. Les données filtrées remontant à plus de 30 jours sont affichées pendant un maximum de sept jours à la fois.
Par exemple :
Pour plus d’informations, consultez Examiner les ressources et Examiner les utilisateurs dans Microsoft Defender XDR.
Defender for Identity version 2.218
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Octobre 2023
Defender for Identity version 2.217
Cette version intègre les améliorations suivantes :
Rapport récapitulatif : le rapport récapitulatif est mis à jour pour inclure deux nouvelles colonnes dans l’onglet Problèmes d’intégrité :
- Détails : informations supplémentaires sur le problème, telles qu’une liste d’objets impactés ou de capteurs spécifiques sur lesquels le problème se produit.
- Recommandations : liste des actions recommandées qui peuvent être prises pour résoudre le problème, ou comment examiner le problème plus loin.
Pour plus d’informations, consultez Télécharger et planifier des rapports Defender pour Identity dans Microsoft Defender XDR (préversion).
Problèmes d’intégrité : ajout du problème d’intégrité Le bouton « Supprimer la période d’apprentissage » a été automatiquement désactivé pour ce locataire
Cette version inclut également des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender for Identity version 2.216
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
September 2023
Diminution du nombre d'alertes pour les tentatives d'exécution de code à distance
Pour mieux aligner les alertes Defender for Identity et Microsoft Defender pour point de terminaison, nous avons mis à jour la logique de détection des détections de Tentative d’exécution de code à distance Defender for Identity.
Bien que cette modification entraîne une diminution du nombre d’alertes de tentatives d’exécution de code à distance, Defender pour Identity continue d’enregistrer les activités d’exécution de code à distance. Les clients peuvent continuer à créer leurs propres requêtes de repérage avancé et créer des stratégies de détection personnalisées.
Paramètres de sensibilité des alertes et améliorations de la période d’apprentissage
Certaines alertes Defender for Identity attendent une période d’apprentissage avant d’être déclenchées, tout en créant un profil de modèles à utiliser pour faire la distinction entre les activités légitimes et suspectes.
Defender pour Identity fournit désormais les améliorations suivantes pour l’expérience de la période d’apprentissage :
Les administrateurs peuvent désormais utiliser le paramètre Supprimer la période d'apprentissage pour configurer la sensibilité utilisée pour des alertes spécifiques. Définissez la sensibilité comme normale pour configurer le paramètre Supprimer la période d’apprentissage comme désactivé pour le type d’alerte sélectionné.
Après avoir déployé un nouveau capteur dans un nouvel espace de travail Defender for Identity, le paramètre Supprimer la période d’apprentissage est automatiquement réglé sur ON pendant 30 jours. Au terme de ces 30 jours, le paramètre Supprimer la période d’apprentissage est automatiquement réglé sur Off et les niveaux de sensibilité des alertes sont rétablis à leur fonctionnalité par défaut.
Pour que Defender pour Identity utilise la fonctionnalité de période d’apprentissage standard, où les alertes ne sont pas générées tant que la période d’apprentissage n’est pas terminée, configurez le paramètre Supprimer les périodes d’apprentissage sur désactivé.
Si vous aviez précédemment mis à jour le paramètre Supprimer la période d’apprentissage, votre paramètre demeure tel que vous l’avez configuré.
Pour plus d’informations, consultez les Paramètres avancés.
Remarque
La page Paramètres avancés répertoriait à l'origine l'alerte de reconnaissance d'énumération de compte sous les options Supprimer la période d'apprentissage comme configurable pour les paramètres de sensibilité. Cette alerte a été retirée de la liste et est remplacée par l'alerte de reconnaissance de principal de sécurité (LDAP). Ce bogue de l’interface utilisateur a été corrigé en novembre 2023.
Defender pour Identity version 2.215
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Rapports Defender pour Identity a été déplacé vers la zone des Rapports principale
Vous pouvez désormais accéder aux rapports Defender pour Identity à partir de la zone Rapports principale de Microsoft Defender XDR au lieu de la zoneParamètres. Par exemple :
Pour plus d’informations, consultez Télécharger et planifier des rapports Defender pour Identity dans Microsoft Defender XDR (préversion).
Le bouton Go hunt pour des groupes dans Microsoft Defender XDR
Defender for Identité a ajouté le bouton Rechercher pour les groupes dans Microsoft Defender XDR. Les utilisateurs peuvent utiliser le bouton Go hunt pour rechercher des activités et des alertes liées au groupe au cours d'un examen.
Par exemple :
Pour plus d’informations, consultez Rechercher rapidement des informations sur une entité ou un événement avec go hunt.
Defender for Identity version 2.214
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Une amélioration du niveau de performance
Defender for Identity a apporté des améliorations internes en termes de latence, de stabilité et de performances lors du transfert d’événements en temps réel des services Defender for Identity vers Microsoft Defender XDR. Les clients ne doivent s’attendre à aucun délai dans l’affichage des données Defender pour Identity dans Microsoft Defender XDR, telles que les alertes ou les activités de repérage avancé.
Pour plus d’informations, consultez l’article suivant :
- Alertes de sécurité dans Microsoft Defender pour Identity
- Évaluations de la posture de sécurité de Microsoft Defender pour Identity
- Dépister de manière proactive les menaces avec le repérage avancé dans Microsoft Defender XDR
Août 2023
Defender pour Identity version 2.213
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender for Identity version 2.212
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Defender pour Identity version 2.211
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Nouveau type de capteur pour les services de certificats Active Directory (AD CS)
Defender pour Identity prend désormais en charge le nouveau type de capteur ADCS pour un serveur dédié avec les services de certificats Active Directory (AD CS) configurés.
Le nouveau type de capteur identifié s’affiche sur la page Paramètres > Identités > Capteurs dans Microsoft Defender XDR. Pour plus d’informations, consultez Gérer et mettre à jour les capteurs de Microsoft Defender pour Identity.
Avec le nouveau type de capteur, Defender pour Identity fournit désormais des alertes AD CS associées et des rapports de niveau de sécurité. Pour afficher les nouvelles alertes et les rapports de niveau de sécurité, assurez-vous que les événements requis sont collectés et connectés sur votre serveur. Pour plus d’informations, consultez Configurer l’audit pour des événements de services de certificats Active Directory (AD CS).
AD CS est un rôle serveur Windows qui émet et gère les certificats d'infrastructure de clés publiques (PKI) dans des protocoles de communication et d'authentification sécurisés. Pour plus d’informations, consultez Qu'est-ce que les services de certificats Active Directory ?
Defender pour Identity version 2.210
Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.
Étapes suivantes
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour