Archives des nouveautés de Microsoft Defender pour Identity

Cet article répertorie les notes de publication de Microsoft Defender pour Identity pour les versions et les fonctionnalités publiées il y a plus de 6 mois.

Pour plus d’informations sur les dernières versions et fonctionnalités, consultez Nouveautés de Microsoft Defender pour Identity.

Remarque

À partir du 15 juin 2022, Microsoft ne prendra plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2008 R2. Nous vous recommandons d’identifier les contrôleurs de domaine ou les serveurs AD FS restants qui exécutent toujours le système d’exploitation Windows Server 2008 R2 et de prévoir leur mise à jour vers un système d’exploitation pris en charge.

Pendant les deux mois suivant le 15 juin 2022, le capteur continuera de fonctionner. Après ces deux mois, c’est-à-dire à partir du 15 août 2022, le capteur ne fonctionnera plus sur les plateformes Windows Server 2008 R2. Vous trouverez plus de détails sur https://aka.ms/mdi/2008r2

Juillet 2023

Defender pour Identity version 2.209

Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.

Rechercher des groupes Active Directory dans Microsoft Defender XDR (préversion)

La recherche globale Microsoft Defender XDR prend désormais en charge la recherche par nom de groupe Active Directory. Tous les groupes trouvés sont affichés dans les résultats sous un onglet Groupes distincts. Sélectionnez un groupe Active Directory à partir de vos résultats de la recherche pour afficher plus de détails, notamment :

• Type
• Étendue
• Domain
• Nom SAM
• SID

• Temps de création du groupe
• La première fois qu’une activité du groupe a été observée
• Groupes qui contiennent le groupe sélectionné
• Une liste de tous les membres de groupe

Par exemple :

Pour plus d’informations, consultez Microsoft Defender pour Identity dans Microsoft Defender XDR.

Nouveaux rapports de l’état de sécurité

Les évaluations de la posture de sécurité des identités de Defender pour Identity détectent et recommandent de manière proactive des actions dans vos configurations Active Directory local.

Les nouvelles évaluations de l’état de la sécurité suivantes sont désormais disponibles dans niveau de sécurité Microsoft :

• Supprimez les droits d'accès sur les comptes suspects avec l'autorisation de l’administrateur SDHolder
• Supprimer les comptes non-administrateurs ayant des permissions DCSync
• Supprimer les administrateurs locaux sur les ressources d’identité
• Démarrer votre déploiement Defender pour Identity

Pour plus d’informations, consultez les évaluations de l’état de la sécurité de Microsoft Defender pour Identity.

Redirection automatique au portail classique Defender pour Identity

L'expérience et les fonctionnalités du portail Microsoft Defender for Identity convergent vers la plateforme de détection et de réponse étendue (XDR) de Microsoft, Microsoft Defender XDR. Depuis le 6 juillet 2023, les clients qui utilisent le portail classique Defender pour Identity sont automatiquement redirigés vers Microsoft Defender XDR, sans possibilité de revenir au portail classique.

Pour plus d’informations, consultez notre article de blog et Microsoft Defender pour Identity dans Microsoft Defender XDR.

Téléchargements et planification de rapports Defender pour Identity dans Microsoft Defender XDR (préversion)

Vous pouvez désormais télécharger et planifier des rapports Defender pour Identity périodiques à partir du portail Microsoft Defender, créant ainsi une parité dans la fonctionnalité de rapport avec l’ancien portail classique Defender pour Identity.

Téléchargez et planifiez des rapports dans Microsoft Defender XDR à partir de la page de Paramètres > Identités > Gestionnaire de rapports. Par exemple :

Pour plus d’informations, consultez les rapports Microsoft Defender pour Identity dans Microsoft Defender XDR.

Defender pour Identity version 2.208

• Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.

Defender pour Identity version 2.207

• Cette version fournit le nouveau paramètre d’installation AccessKeyFile. Utilisez le paramètre AccessKeyFile lors d’une installation sans assistance d’un capteur Defender pour Identity, pour définir la clé d’accès à l’espace de travail à partir d’un chemin d’accès de texte fourni. Pour plus d’informations, consultez Installer le capteur Microsoft Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.

Juin 2023

Defender for Identity version 2.206

• Cette version inclut des améliorations et des correctifs de bogues pour les services cloud et le capteur Defender pour Identity.

Repérage avancé avec une table IdentityInfo améliorée

• Pour les locataires ayant déployé Defender for Identity, le tableau de chasse avancé Microsoft 365 IdentityInfo inclut désormais davantage d'attributs par identité, ainsi que les identités détectées par le capteur Defender for Identity depuis votre environnement local.

Pour plus d’informations, consultez la documentation de repérage avancé de Microsoft Defender XDR.

Defender for Identity version 2.205

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mai 2023

Présentation du contrôle de compte Active Directory amélioré

La page Identité> Détails de l’utilisateur de Microsoft Defender XDR inclut désormais de nouvelles données de contrôle de compte Active Directory.

Dans l’onglet Vue d’ensemble des détails de l’utilisateur, nous avons ajouté la nouvelle carte Contrôles de compte Active Directory pour mettre en évidence les paramètres de sécurité importants et les contrôles Active Directory. Par exemple, cette carte vous permet de savoir si un utilisateur spécifique est en mesure d’ignorer les exigences de mot de passe ou possède un mot de passe qui n’expire jamais.

Par exemple :

Pour plus d’informations, consultez la documentation Attribut User-Account-Control.

Defender pour Identity version 2.204

Publication : 29 mai 2023

• Nouvelle alerte d’intégrité pour les échecs d’ingestion de données d’intégration VPN (radius). Pour plus d’informations, consultez Alertes d’intégrité du capteur Microsoft Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.203

Publication : 15 mai 2023

• Nouvelle alerte d’intégrité permettant de vérifier que l’audit des conteneurs ADFS est configuré correctement. Pour plus d’informations, consultez Alertes d’intégrité du capteur Microsoft Defender pour Identity.

• La page Identité de Microsoft Defender 365 inclut les mises à jour de l’IU pour l’expérience du chemin d’accès des mouvements latéraux. Aucune fonctionnalité n’a été modifiée. Pour plus d’informations, consultez Comprendre et examiner les chemins d’accès des mouvements latéraux avec Microsoft Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Améliorations apportées à la chronologie Identity

L’onglet Chronologie Identity contient désormais de nouvelles fonctionnalités ainsi que des fonctionnalités améliorées ! Grâce à la chronologie mise à jour, vous pouvez désormais filtrer par Type d’activité, Protocole et Emplacement, en plus des filtres d’origine. Vous pouvez également exporter la chronologie vers un fichier CSV et trouver des informations supplémentaires sur les activités associées aux techniques MITRE ATT&CK. Pour plus d’informations, consultez Examiner les utilisateurs dans Microsoft Defender XDR.

Réglage des alertes dans Microsoft Defender XDR

Le réglage des alertes, désormais disponible dans Microsoft Defender XDR, vous permet d’ajuster vos alertes et de les optimiser. Le réglage des alertes réduit les faux positifs, permet à vos équipes SOC de se concentrer sur les alertes à priorité élevée et d’améliorer la couverture de détection des menaces dans votre système.

Dans Microsoft Defender XDR, créez des conditions de règles en fonction des types de preuves, puis appliquez votre règle sur n’importe quel type de règle qui correspond à vos conditions. Pour plus d’informations, consultez Paramétrer une alerte.

Avril 2023

Defender pour Identity version 2.202

Publication : 23 avril 2023

• Nouvelle alerte d’intégrité permettant de vérifier que l’audit des conteneurs de configuration des services d’annuaire est configuré correctement, comme décrit dans la page des alertes d’intégrité.
• Les nouveaux espaces de travail pour les locataires AD mappés à la Nouvelle-Zélande sont créés dans la région Australie Est. Pour obtenir la liste la plus actuelle du déploiement régional, consultez Composants Defender pour Identity.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mars 2023

Defender pour Identity version 2.201

Publication : 27 mars 2023

• Nous sommes en train de désactiver l’alerte honeytoken SAM-R. Bien que ces types de comptes ne doivent jamais être accessibles ou interrogés, certains systèmes hérités peuvent utiliser ces comptes dans le cadre de leurs opérations régulières. Si cette fonctionnalité est nécessaire pour vous, vous pouvez toujours créer une requête de repérage avancé et l’utiliser comme détection personnalisée. Nous examinerons également l’alerte honeytoken LDAP dans les semaines à venir, mais cette dernière reste fonctionnelle pour l’instant.

• Nous avons résolu les problèmes de logique de détection dans l’alerte d’intégrité de l’audit des objets des services d’annuaire pour les systèmes d’exploitation non anglais et pour Windows 2012 contenant des schémas de services d’annuaire antérieurs à la version 87.

• Nous avons supprimé le prérequis qui consistait à configurer un compte Services d’annuaire pour que les capteurs démarrent. Pour plus d’informations, consultez Recommandations relatives au compte de service d’annuaire Microsoft Defender pour Identity.

• Nous n’avons plus besoin de journaliser les événements 1644. Si ce paramètre de registre est activé, vous pouvez le supprimer. Pour plus d’informations, consultez ID d’événement 1644.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.200

Publication : 16 mars 2023

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.199

Publication : 5 mars 2023

• Certaines exclusions pour l’alerte Honeytoken a été interrogé via SAM-R ne fonctionnaient pas correctement. Dans ces cas, les alertes étaient déclenchées même pour les entités exclues. Cette erreur est désormais résolue.

• Mise à jour du nom du protocole NTLM pour les tables de repérage avancé Identity : l’ancien nom du protocole Ntlm est désormais répertorié comme nouveau nom du protocole NTLM dans les tables Identity de repérage avancé : IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Si vous utilisez actuellement le protocole Ntlm dans le format respectant la casse des tables d’événements Identity, vous devez le remplacer par NTLM.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Février 2023

Defender pour Identity version 2.198

Publication : 15 février 2023

• La chronologie Identity est désormais disponible dans le cadre de la nouvelle page Identité de Microsoft Defender XDR : la page Utilisateur mise à jour dans Microsoft Defender XDR a désormais une nouvelle apparence, avec un affichage développé des ressources associées et un nouvel onglet dédié à la chronologie. Le chronologie représente les activités et les alertes des 30 derniers jours, et unifie les entrées d’identité de l’utilisateur sur toutes les charges de travail disponibles (Defender pour Identity/Defender for Cloud Apps/Defender for Endpoint). L’utilisation de la chronologie vous permet de vous concentrer facilement sur les activités de l’utilisateur (ou les activités qui y sont effectuées) dans des périodes spécifiques. Pour plus d’informations, consultez Examiner les utilisateurs dans Microsoft Defender XDR.

• Améliorations supplémentaires pour les alertes honeytoken : dans la version 2.191, nous avons introduit plusieurs nouveaux scénarios dans l’alerte d’activité honeytoken.

  En fonction des retours d’expérience des clients, nous avons décidé de fractionner l’alerte d’activité honeytoken en cinq alertes distinctes :

  • L’utilisateur Honeytoken a été interrogé via SAM-R.
  • L’utilisateur Honeytoken a été interrogé via LDAP.
  • Activité d’authentification de l’utilisateur Honeytoken.
  • L’utilisateur Honeytoken avait des attributs modifiés.
  • L’appartenance aux groupes Honeytoken a changé.

  En outre, nous avons ajouté des exclusions pour ces alertes, ce qui permet de personnaliser votre environnement.

  Nous sommes impatients de prendre connaissance de votre retour d’expérience afin que nous puissions continuer à améliorer les alertes.

• Nouvelle alerte de sécurité : Utilisation d’un certificat suspect au cours du protocole Kerberos (PKINIT). : la plupart des techniques de mauvaise utilisation des services de certificats Active Directory (AD CS) impliquent l’utilisation d’un certificat dans une phase de l’attaque. Microsoft Defender pour Identity avertit désormais les utilisateurs lorsqu’il observe l’utilisation d’un certificat suspect. Cette approche de surveillance comportementale offre une protection complète contre les attaques AD CS, en déclenchant une alerte lorsqu’une authentification à l’aide d’un certificat suspect est tentée sur un contrôleur de domaine où un capteur Defender pour Identity est installé. Pour plus d’informations, consultez Microsoft Defender pour Identity détecte maintenant l’utilisation d’un certificat suspect.

• Interruption automatique des attaques : Defender pour Identity fonctionne désormais avec Microsoft Defender XDR pour offrir une interruption automatique des attaques. Cette intégration signifie que, pour les signaux provenant de Microsoft Defender XDR, nous pouvons déclencher l’action Désactiver l’utilisateur. Ces actions sont déclenchées par des signaux XDR haute fidélité, combinés à des insights provenant de l’examen continu de milliers d’incidents par les équipes de recherche de Microsoft. L’action interrompt le compte d’utilisateur compromis dans Active Directory et synchronise ces informations avec Microsoft Entra ID. Pour plus d’informations sur l’interruption automatique des attaques, lisez le billet de blog de Microsoft Defender XDR.

  Vous pouvez également exclure des utilisateurs spécifiques des actions de réponses automatisées. Pour plus d’informations, consultez Configurer les exclusions de réponses automatisées Defender pour Identity.

• Supprimer la période d’apprentissage : les alertes générées par Defender pour Identity sont basées sur différents facteurs tels que le profilage, la détection déterministe, l’apprentissage automatique et les algorithmes comportementaux qu’il a appris sur votre réseau. Le processus d’apprentissage complet de Defender pour Identity peut prendre jusqu’à 30 jours par contrôleur de domaine. Toutefois, il se peut que vous souhaitiez recevoir des alertes même avant la fin du processus d’apprentissage complet. Par exemple, lorsque vous installez un nouveau capteur sur un contrôleur de domaine ou que vous évaluez le produit, il se peut que vous souhaitiez recevoir des alertes immédiatement. Dans ce cas, vous pouvez désactiver la période d’apprentissage pour les alertes affectées en activant la fonctionnalité Supprimer la période d’apprentissage. Pour plus d’informations, consultez Paramètres avancés.

• Nouvelle façon d’envoyer des alertes à M365D : il y a un an, nous avons annoncé que toutes les expériences Microsoft Defender pour Identity étaient disponibles dans le portail Microsoft Defender. Notre pipeline d’alerte principal passe désormais progressivement de Defender pour Identity > Defender for Cloud Apps > Microsoft Defender XDR à Defender pour Identity > Microsoft Defender XDR. Cette intégration signifie que les mises à jour de statut dans Defender for Cloud Apps ne seront pas reflétées dans Microsoft Defender XDR et inversement. Cette modification doit réduire considérablement le temps nécessaire à l’apparition des alertes dans le portail Microsoft Defender. Dans le cadre de cette migration, toutes les stratégies Defender pour Identity ne seront plus disponibles dans le portail Defender for Cloud Apps à compter du 5 mars. Comme toujours, nous vous recommandons d’utiliser le portail Microsoft Defender pour toutes les expériences Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Janvier 2023

Defender pour Identity version 2.197

Publication : 22 janvier 2023

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.196

Publication : 10 janvier 2023

• Nouvelle alerte d’intégrité permettant de vérifier que l’audit des objets des services d’annuaire est configuré correctement, comme décrit dans la page des alertes d’intégrité.

• Nouvelle alerte d’intégrité permettant de vérifier que les paramètres d’alimentation du capteur sont configurés pour des performances optimales, comme décrit dans la page des alertes d’intégrité.

• Nous avons ajouté les informations MITRE ATT&CK aux tables IdentityLogonEvents, IdentityDirectoryEvents et IdentityQueryEvents dans Microsoft Defender XDR Advanced Hunting. Dans la colonne AdditionalFields, vous trouverez des détails sur les techniques d’attaque et la tactique (catégorie) associées à certaines de nos activités logiques.

• Étant donné que toutes les principales fonctionnalités de Microsoft Defender pour Identity sont désormais disponibles dans le portail Microsoft Defender, le paramètre de redirection du portail est automatiquement activé pour chaque locataire à partir du 31 janvier 2023. Pour plus d’informations, consultez Redirection de comptes de Microsoft Defender pour Identity vers Microsoft Defender XDR.

Décembre 2022

Defender pour Identity version 2.195

Publication : 7 décembre 2022

• Les centres de données Defender pour Identity sont désormais également déployés dans la région Australie Est. Pour obtenir la liste la plus actuelle du déploiement régional, consultez Composants Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Novembre 2022

Defender pour Identity version 2.194

Publication : 10 novembre 2022

• Nouvelle alerte d’intégrité permettant de vérifier que l’audit avancé des services d’annuaire est configuré correctement, comme décrit dans la page des alertes d’intégrité.

• Certaines des modifications introduites dans Defender pour Identity version 2.191 concernant les alertes honeytoken n’ont pas été activées correctement. Ces problèmes sont à présent résolus.

• À partir de fin novembre, l’intégration manuelle avec Microsoft Defender for Endpoint n’est plus prise en charge. Toutefois, nous vous recommandons vivement d’utiliser le portail Microsoft Defender (https://security.microsoft.com) qui comporte cette intégration.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Octobre 2022

Defender pour Identity version 2.193

Publication : 30 octobre 2022

• Nouvelle alerte de sécurité : Authentification des services de fédération Active Directory (AD FS) anormale utilisant un certificat suspect
  Cette nouvelle technique est liée à l’acteur tristement célèbre NOBELIUM et a été surnommée « MagicWeb ». Elle permet à une personne mal intentionnée d’implanter une porte dérobée sur des serveurs AD FS compromis et ainsi d’usurper l’identité de n’importe quel utilisateur de domaine et d’accéder aux ressources externes. Pour en savoir plus sur cette attaque, lisez ce billet de blog.

• Defender pour Identity peut désormais utiliser le compte LocalSystem sur le contrôleur de domaine pour effectuer des actions de correction (activer/désactiver l’utilisateur, forcer l’utilisateur à réinitialiser son mot de passe), en plus de l’option gMSA disponible avant. Cela permet une prise en charge prête à l’emploi pour les actions de correction. Pour plus d’informations, consultez Comptes d’action Microsoft Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.192

Publication : 23 octobre 2022

• Nouvelle alerte d’intégrité permettant de vérifier que l’audit NTLM est activé, comme décrit dans la page des alertes d’intégrité.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Septembre 2022

Defender pour Identity version 2.191

Publication : 19 septembre 2022

• Activités supplémentaires pour déclencher des alertes honeytoken
  Microsoft Defender pour Identity offre la possibilité de définir des comptes honeytoken, qui sont utilisés comme pièges pour les acteurs malveillants. Toute authentification associée à ces comptes honeytoken (normalement dormants), déclenche une alerte d’activité honeytoken (ID externe 2014). Nouveauté dans cette version : toute requête LDAP ou SAMR sur ces comptes honeytoken déclenche une alerte. En outre, si l’événement 5136 est audité, une alerte est déclenchée quand l’un des attributs du honeytoken a été modifié ou si l’appartenance au groupe du honeytoken a été modifiée.

Pour plus d’informations, consultez Configurer la collection d’événements Windows.

Defender pour Identity version 2.190

Date de publication : 11 septembre 2022

• Mise à jour de l’évaluation : Configurations de domaines non sécurisées
  L’évaluation des configurations de domaines non sécurisées, disponible avec le Niveau de sécurité Microsoft, analyse désormais la configuration de la stratégie de signature LDAP du contrôleur de domaine et l’alerte si elle trouve une configuration non sécurisée. Pour plus d’informations, consultez Évaluation de la sécurité : Configurations de domaines non sécurisées.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.189

Publication : 4 septembre 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Août 2022

Defender pour Identity version 2.188

Publication : 28 août 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.187

Publication : 18 août 2022

• Nous avons modifié une partie de la logique derrière le déclenchement de l’alerte Suspicion d’attaque DCSync (réplication de services d’annuaire) (ID externe 2006). Ce détecteur couvre désormais les cas où l’adresse IP source vue par le capteur semble être un appareil NAT.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.186

Publication : 10 août 2022

• Les alertes d’intégrité affichent désormais le nom de domaine complet (FQDN) du capteur au lieu du nom NetBIOS.

• Les nouvelles alertes d’intégrité sont disponibles pour capturer le type de composant et la configuration, comme décrit dans la page des alertes d’intégrité.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juillet 2022

Defender pour Identity version 2.185

Publication : 18 juillet 2022

• Un problème a été résolu concernant l’alerte Suspicion d’utilisation de golden ticket (compte inexistant) (ID externe 2027) qui entraînait la détection erronée des appareils macOS.

• Actions de l’utilisateur : nous avons décidé de fractionner l’action Désactiver l’utilisateur sur la page de l’utilisateur en deux actions distinctes :

  • Désactiver l’utilisateur – cette action désactive l’utilisateur au niveau Active Directory
  • Suspendre l’utilisateur – cette option désactive l’utilisateur au niveau Microsoft Entra ID

  Nous sommes conscients que le temps nécessaire à la synchronisation d’Active Directory vers Microsoft Entra ID peut être crucial. Vous pouvez donc désormais choisir de désactiver les utilisateurs dans les services l’un après l’autre pour supprimer la dépendance liée à la synchronisation elle-même. Notez qu’un utilisateur qui est désactivé uniquement dans Microsoft Entra ID est remplacé par Active Directory si l’utilisateur y est toujours actif.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.184

Publication : 10 juillet 2022

• Nouvelles évaluations de la sécurité
  Defender pour Identity inclut désormais la nouvelle évaluation de sécurité suivante :

  • Configurations de domaine non sécurisées
    Microsoft Defender pour Identity supervise en continu votre environnement pour identifier les domaines dont les valeurs de configuration présentent un risque de sécurité, et vous en informe sous forme de rapports qui vous aident à protéger votre environnement. Pour plus d’informations, consultez Évaluation de la sécurité : Configurations de domaines non sécurisées.

• Le package d’installation Defender pour Identity installe désormais le composant Npcap au lieu des pilotes WinPcap. Pour plus d’informations, consultez Pilotes WinPcap et Npcap.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juin 2022

Defender pour Identity version 2.183.15436.10558 (Hotfix)

Publiée le 20 juin 2022 (mise à jour le 4 juillet 2022)

• Nouvelle alerte de sécurité : suspicion d’attaque DFSCoerce avec le protocole DFS (Distributed File System)
  En réponse à la publication d’un outil d’attaque récent qui tire parti d’un flux dans le protocole DFS, Microsoft Defender pour Identity déclenche une alerte de sécurité chaque fois qu’un attaquant utilise cette méthode d’attaque. Pour en savoir plus sur cette attaque, Lisez le billet de blog.

Defender pour Identity version 2.183

Publication : 20 juin 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour la version 2.182 de l'identité

Sortie le 4 juin 2022

• Une nouvelle page À propos de Defender pour Identity est disponible. Vous pouvez la trouver dans le portail Microsoft Defender, sous Paramètres ->Identités ->Informations. Elle fournit plusieurs détails importants sur votre instance Defender pour Identity, notamment le nom, la version, l’ID et la géolocalisation de votre instance. Ces informations peuvent être utiles lors de la résolution de problèmes et de l’ouverture de tickets d’assistance.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mai 2022

Defender pour Identity version 2.181

Publication : mai 22, 2022

• Vous pouvez désormais effectuer des actions de correction directement sur vos comptes locaux à l’aide de Microsoft Defender pour Identity.

  • Désactiver l’utilisateur : cela empêche temporairement un utilisateur de se connecter au réseau. Il peut aider à empêcher les utilisateurs compromis de se déplacer ultérieurement et de tenter d’exfiltrer des données ou de compromettre davantage le réseau.
  • Réinitialiser le mot de passe de l’utilisateur – cela invite l’utilisateur à modifier son mot de passe lors de la prochaine connexion, ce qui garantit que ce compte ne peut pas être utilisé pour d’autres tentatives d’emprunt d’identité.

  Ces actions peuvent être effectuées à partir de plusieurs emplacements dans Microsoft Defender XDR : la page utilisateur, le panneau latéral de la page utilisateur, le repérage avancé et même les détections personnalisées. Cela nécessite la configuration d’un compte gMSA privilégié que Microsoft Defender pour Identity utilisera pour effectuer les actions. Pour plus d’informations sur les exigences, consultez Comptes d’action Microsoft Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.180

Publication : 12 mai 2022

• Nouvelle alerte de sécurité : modification suspecte d’un attribut dNSHostName (CVE-2022-26923)
  En réponse à la publication un CVE récent, Microsoft Defender pour Identity déclenchera une alerte de sécurité chaque fois qu’un attaquant tentera d’exploiter CVE-2022 -26923. Pour en savoir plus sur cette attaque, Lisez le billet de blog.

• Dans la version 2.177, nous avons publié des activités LDAP supplémentaires qui peuvent être couvertes par Defender pour Identity. Toutefois, nous avons détecté un bogue qui provoque la non-présentation et l’ingestion des événements dans le portail Defender pour Identity. Cela a été corrigé dans cette version. À partir de la version 2.180, lorsque vous activez l'ID d'événement 1644, vous n'obtenez pas seulement une visibilité sur les activités LDAP sur les services Web d'Active Directory, mais aussi sur d'autres activités LDAP qui incluront l'utilisateur qui a effectué l'activité LDAP sur l'ordinateur source. Cela s'applique aux alertes de sécurité et aux activités logiques qui sont basées sur des événements LDAP.

• En réponse à la récente exploitation KrbRelayUp, nous avons publié un détecteur silencieux pour nous aider à évaluer notre réponse à cette exploitation. Le détecteur silencieux nous permettra d'évaluer l'efficacité de la détection, et de recueillir des informations sur la base des événements que nous collectons. Si cette détection s’affiche en haute qualité, nous publierons une nouvelle alerte de sécurité dans la prochaine version.

• Nous avons renommé l’exécution de code distant sur DNS en tentative d’exécution de code à distance sur DNS, car elle reflète mieux la logique derrière ces alertes de sécurité.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.179

Date de publication : 1er mai 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Avril 2022

Defender pour Identity version 2.178

Publication : 10 avril 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mars 2022

Defender pour Identity version 2.177

Publication : 27 mars 2022

• Microsoft Defender pour Identity peut maintenant surveiller des requêtes LDAP supplémentaires sur votre réseau. Ces activités LDAP sont envoyées via le protocole de service web Active Directory et ont le même comportement que les requêtes LDAP normales. Pour bénéficier d’une visibilité sur ces activités, vous devez activer l’événement 1644 sur vos contrôleurs de domaine. Cet événement couvre les activités LDAP dans votre domaine et est principalement utilisé pour identifier les recherches LDAP (Lightweight Directory Access Protocol) coûteuses, inefficaces ou lentes qui sont servies par les contrôleurs de domaine Active Directory. Pour plus d’informations, consultez Configurations héritées.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.176

Publication : 16 mars 2022

• À partir de cette version, quand vous installez le capteur à partir d’un nouveau package, la version indiquée sous Ajout/suppression de programmes s’affiche avec le numéro de version complet (par exemple, 2.176.x.y), contrairement à la version 2.0.0.0 statique précédemment affichée. Cette version est toujours affichée (celle qui est installée via le package), même si elle est mise à jour par le biais des mises à jour automatiques des services cloud Defender pour Identity. La version réelle peut être consultée dans la page Paramètres du capteur du portail, dans le chemin de l’exécutable ou dans la version de fichier.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.175

Publication : 6 mars 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Février 2022

Defender pour Identity version 2.174

Publication : 20 février 2022

• Nous avons ajouté le FQDN shost du compte impliqué dans l’alerte au message envoyé à SIEM. Pour plus d’informations, consultez Informations de référence du journal SIEM de Microsoft Defender pour Identity.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.173

Publication : 13 février 2022

• Toutes les fonctionnalités de Microsoft Defender pour Identity sont désormais disponibles dans le portail Microsoft Defender. Pour plus d’informations, consultez ce billet de blog.

• Cette version corrige les problèmes lors de l’installation du capteur sur Windows Server 2019 avec KB5009557 installé, ou sur un serveur avec des autorisations EventLog renforcées.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.172

Publication : 8 février 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Janvier 2022

Defender pour Identity version 2.171

Publication : 31 janvier 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.170

Publication : 24 janvier 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.169

Date de publication : 17 janvier 2022

• Nous sommes heureux de vous offrir la possibilité de configurer un compte d’action pour Microsoft Defender pour Identity. Il s’agit de la première étape de la capacité à effectuer des actions sur les utilisateurs directement à partir du produit. Dans un premier temps, vous pouvez définir le compte gMSA que Microsoft Defender pour Identity utilisera pour effectuer les actions. Nous vous recommandons vivement de commencer à créer ces utilisateurs pour profiter de la fonctionnalité Actions une fois qu’elle sera disponible. Pour plus d’informations, consultez Gérer les comptes d’action.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.168

Publication : 9 janvier 2022

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Décembre 2021

Defender pour Identity version 2.167

Mise en production du 29 décembre 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.166

Mise en production du 27 décembre 2021

• La version comprend une nouvelle alerte de sécurité : Modification suspecte d’un attribut sAMNameAccount (CVE-2021-42278 and CVE-2021-42287 exploitation) (external ID 2419).
  En réponse à la publication des CVE récents, Microsoft Defender pour Identity déclenchera une alerte de sécurité chaque fois qu’un attaquant tentera d’exploiter CVE-2021-42278 et CVE-2021-42287. Pour en savoir plus sur cette attaque, Lisez le billet de blog.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.165

Mise en production du 6 décembre 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Novembre 2021

Defender pour Identity version 2.164

Mise en production du 17 novembre 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.163

Mise en production du 8 novembre 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.162

Mise en production du 1 novembre 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Septembre 2021

Defender pour Identity version 2.161

Mise en production du 12 septembre 2021

• Cette version inclut une nouvelle activité surveillée : le mot de passe du compte gMSA a été récupéré par un utilisateur. Pour plus d’informations, consultez Activités surveillées Microsoft Defender pour Identity.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Août 2021

Defender pour Identity version 2.160

Publication : 22 août 2021

• Cette version inclut différentes améliorations et couvre davantage de scénarios en fonction des dernières modifications apportées à l’exploitation PetitPotam.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.159

Publication : 15 août 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.
• Cette version inclut une amélioration de l’alerte nouvellement publiée : Connexion réseau suspecte au cours du protocole distant du système de fichiers EFS (ID externe 2416).
  Nous avons étendu la prise en charge de cette détection qui se déclenche désormais lorsqu’un attaquant potentiel communique sur un canal EFS-RPC chiffré. Les alertes déclenchées quand le canal est chiffré sont traitées comme une alerte de gravité moyenne. S’il n’est pas chiffré, le niveau de gravité est élevé. Pour en savoir plus sur l’alerte, consultez Connexion réseau suspecte au cours du protocole distant du système de fichiers EFS (ID externe 2416).

Defender pour Identity version 2.158

Publication : 8 août 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

• La version comprend une nouvelle alerte de sécurité : Connexion réseau suspecte au cours du protocole distant du système de fichiers EFS (ID externe 2416).
  Dans cette détection, Microsoft Defender pour Identity déclenchera une alerte de sécurité chaque fois qu’un attaquant tentera d’exploiter EFS-RPC sur le contrôleur de domaine. Ce vecteur d’attaque est associé à l’attaque récente de PetitPotam. Pour en savoir plus sur l’alerte, consultez Connexion réseau suspecte au cours du protocole distant du système de fichiers EFS (ID externe 2416).

• La version comprend une nouvelle alerte de sécurité : Exécution du code distant du serveur Exchange (CVE-2021-26855) (ID externe 2414)
  Dans cette détection, Microsoft Defender pour Identity déclenchera une alerte de sécurité chaque fois qu’un attaquant tentera de modifier l’attribut « msExchExternalHostName » sur l’objet Exchange pour l’exécution du code distant. Pour en savoir plus sur cette alerte, consultez Exécution du code distant du serveur Exchange (CVE-2021-26855) (ID externe 2414). Cette détection s’appuie sur l’événement Windows 4662. Elle doit donc être activée au préalable. Pour plus d’informations sur la configuration et la collection de cet événement, consultez Configurer la collection d’événements Windows et suivez les instructions pour Activer l’audit sur un objet Exchange.

Defender pour Identity version 2.157

Publication : 1er août 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juillet 2021

Defender pour Identity version 2.156

Publication : 25 juillet 2021

• À partir de cette version, nous ajoutons l’exécutable du pilote Npcap au package d’installation du capteur. Pour plus d’informations, consultez Pilotes WinPcap et Npcap.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.155

Publication : 18 juillet 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.154

Publication : 11 juillet 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.
• Des améliorations et des détections ont été ajoutées dans cette version pour l’exploitation du spouleur d’impression appelée « détection PrintNightmare », afin de couvrir d’autres scénarios d’attaque.

Defender pour Identity version 2.153

Publication : 4 juillet 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

• La version comprend une nouvelle alerte de sécurité : Suspicion de tentative d’exploitation du service de spouleur d’impression de Windows (exploitation CVE-2021-34527) (ID externe 2415).

  Dans cette détection, Defender pour Identity déclenche une alerte de sécurité chaque fois qu’un attaquant tente d’exploiter le service de spouleur d’impression de Windows sur le contrôleur de domaine. Ce vecteur d’attaque est associé à l’exploitation du spouleur d’impression et connu sous le nom de PrintNightmare. En savoir plus sur cette alerte.

Juin 2021

Defender pour Identity version 2.152

Publication : 27 juin 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.151

Publication : 20 juin 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.150

Publication : 13 juin 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mai 2021

Defender pour Identity version 2.149

Publication : 31 mai 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.148

Publication : 23 mai 2021

• Si vous configurez et collectez l’ID d’événement 4662, Defender pour Identity signale l’utilisateur qui a modifié le Nombre de séquences de mise à jour (USN) en différentes propriétés d’objet Active Directory. Par exemple, si le mot de passe d’un compte est modifié et que l’événement 4662 est activé, l’événement enregistre la personne qui a modifié le mot de passe.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.147

Publication : 9 mai 2021

• En fonction du retour d’expérience des clients, nous augmentons le nombre par défaut de capteurs autorisés de 200 à 350 et les identifiants des services d’annuaire de 10 à 30.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.146

Publication : 2 mai 2021

• Les notifications par e-mail pour les problèmes d’intégrité et les alertes de sécurité ont désormais l’URL d’examen pour Microsoft Defender pour Identity et Microsoft Defender XDR.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Avril 2021

Defender pour Identity version 2.145

Publication : 22 avril 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.144

Publication : 12 avril 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mars 2021

Defender pour Identity version 2.143

Publication : 14 mars 2021

• Nous avons ajouté l’événement Windows 4741 pour détecter les comptes d’ordinateur ajoutés aux activités Active Directory. Configurer le nouvel événement à collecter par Defender pour Identity. Une fois configurés, les événements collectés peuvent être consultés dans le journal d’activité, ainsi que dans le repérage avancé de Microsoft Defender XDR.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.142

Publication : 7 mars 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Février 2021

Defender pour Identity version 2.141

Publication : 21 février 2021

• Nouvelle alerte de sécurité : Suspicion d’attaque AS-REP Roasting (ID externe 2412)
  L’alerte de sécurité Suspicion d’attaque AS-REP Roasting (ID externe 2412) de Defender pour Identity est maintenant disponible. Dans cette détection, une alerte de sécurité de Defender pour Identity est déclenchée quand un attaquant cible des comptes où la pré-authentification Kerberos est désactivée et tente d’obtenir les données du TGT Kerberos. L’intention de l’attaquant peut être d’extraire les identifiants des données à l’aide d’attaques de craquage de mot de passe hors connexion. Pour plus d’informations, consultez Exposition à l’attaque AS-REP Roasting au cours du protocole Kerberos (ID externe 2412).
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.140

Publication : 14 février 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Janvier 2021

Defender pour Identity version 2.139

Publication : 31 janvier 2021

• Nous avons mis à jour la gravité de l’alerte Suspicion d’exposition de noms SPN Kerberos qui est désormais élevée pour mieux refléter l’impact de l’alerte. Pour plus d’informations sur l’alerte, consultez Suspicion d’exposition de noms SPN Kerberos (ID externe 2410)
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.138

Publication : 24 janvier 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.137

Publication : 17 janvier 2021

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.136

Publication : 3 janvier 2021

• Defender pour Identity prend désormais en charge l’installation des capteurs sur les serveurs des services de fédération Active Directory (AD FS). L’installation du capteur sur les serveurs AD FS compatibles étend la visibilité de Microsoft Defender pour Identity sur l’environnement hybride en surveillant ce composant d’infrastructure critique. Nous avons également actualisé certaines de nos détections existantes (Création d’un service suspect, Suspicion d’attaque par force brute (LDAP), Reconnaissance d’énumération de compte) pour travailler également sur les données AD FS. Pour démarrer le déploiement du capteur Microsoft Defender pour Identity pour le serveur AD FS, téléchargez le dernier package de déploiement à partir de la page de configuration du capteur.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Décembre 2020

Defender pour Identity version 2.135

Publication : 20 décembre 2020

• Nous avons amélioré notre alerte Reconnaissance des attributs Active Directory (LDAP) (ID externe 2210) afin de détecter également les techniques utilisées pour obtenir les informations nécessaires à la génération de jetons de sécurité, tels qu’ils sont pris en compte dans le cadre de la campagne Solorigate.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.134

Publication : 13 décembre 2020

• Notre détecteur NetLogon récemment publié a été amélioré pour fonctionner également lorsque la transaction de canal Netlogon se produit sur un canal chiffré. Pour plus d’informations sur le détecteur, consultez Suspicion de tentative d’élévation des privilèges Netlogon.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.133

Publication : 6 décembre 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Novembre 2020

Defender pour Identity version 2.132

Publication : 17 novembre 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Defender pour Identity version 2.131

Publication : 8 novembre 2020

• Nouvelle alerte de sécurité : Suspicion d’exposition de noms SPN Kerberos (ID externe 2410)
  L’alerte de sécurité Suspicion d’exposition de noms SPN Kerberos (ID externe 2410) de Defender pour Identity est maintenant disponible. Dans cette détection, une alerte de sécurité de Defender pour Identity est déclenchée quand un attaquant énumère des comptes de service et leurs noms SPN respectifs, puis demande des tickets TGS Kerberos pour les services. L’intention de l’attaquant peut être d’extraire les codes de hachage des tickets et de les enregistrer pour une utilisation ultérieure dans les attaques par force brute hors connexion. Pour plus d’informations, consultez Exposition de noms SPN Kerberos.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Octobre 2020

Defender pour Identity version 2.130

Publication : 25 octobre 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.129

Publication : 18 octobre 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Septembre 2020

Azure ATP version 2.128

Publication : 27 septembre 2020

• Configuration des notifications par e-mail modifiée
  Nous supprimons les boutons à bascule de notification par courrier qui permettent d’activer les notifications par e-mail. Pour recevoir des notifications par e-mail, ajoutez simplement une adresse. Pour plus d’informations, consultez Définir des notifications.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.127

Publication : 20 septembre 2020

• Nouvelle alerte de sécurité : Suspicion de tentative d’élévation des privilèges Netlogon (ID externe 2411)
  L’alerte de sécurité Suspicion de tentative d’élévation des privilèges Netlogon (exploitation CVE-2020-1472) (ID externe 2411) d’Azure ATP est maintenant disponible. Dans cette détection, une alerte de sécurité Azure ATP est déclenchée quand un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine, à l’aide du protocole distant Netlogon (MS-NRPC), également appelé « vulnérabilité d’élévation de privilège Netlogon ». Pour plus d’informations, consultez Suspicion de tentative d’élévation des privilèges Netlogon.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.126

Publication : 13 septembre 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.125

Publication : 6 septembre 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Août 2020

Azure ATP version 2.124

Publication : 30 août 2020

• Nouvelles alertes de sécurité
  Les alertes de sécurité Azure ATP incluent désormais les détections suivantes :
  • Reconnaissance des attributs Active Directory (LDAP) (ID externe 2210)
    Dans cette détection, une alerte de sécurité Azure ATP est déclenchée quand un attaquant est soupçonné d’obtenir des informations critiques sur le domaine pour les utiliser dans sa chaîne de destruction d’attaque. Pour plus d’informations, consultez Reconnaissance des attributs Active Directory.
  • Suspicion d’utilisation de certificats Kerberos non autorisés (ID externe 2047)
    Dans cette détection, une alerte de sécurité Azure ATP est déclenchée quand un attaquant qui a pris le contrôle de l’organisation en compromettant le serveur d’autorité de certification est soupçonné de générer des certificats qui peuvent être utilisés comme comptes de porte dérobée dans de futures attaques, comme le déplacement latéral dans votre réseau. Pour plus d’informations, consultez Suspicion d’utilisation de certificats Kerberos non autorisés.
  • Suspicion d’utilisation de golden ticket (anomalie de ticket utilisant la RBCD) (ID externe 2040)
    Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource.
    Ce TGT falsifié est appelé « Golden Ticket », car il permet aux attaquants d’atteindre une persistance du réseau durable à l’aide de la délégation contrainte basée sur les ressources (RBCD). Les Golden Tickets falsifiés de ce type ont des caractéristiques uniques et cette nouvelle détection est conçue pour les identifier. Pour plus d’informations, consultez Suspicion d’utilisation de golden ticket (anomalie de ticket utilisant la RBCD).
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.123

Publication : 23 août 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.122

Publication : 16 août 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.121

Publication : 2 août 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juillet 2020

Azure ATP version 2.120

Publication : 26 juillet 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.119

Publication : 5 juillet 2020

• Amélioration de fonctionnalité : nouvel onglet Contrôleurs de domaine exclus dans le rapport Excel
  Pour améliorer la précision de notre calcul de la couverture des contrôleurs de domaine, nous exclurons les contrôleurs de domaine avec des approbations externes du calcul pour atteindre une couverture de 100 %. Les contrôleurs de domaine exclus seront exposés dans le nouvel onglet Contrôleurs de domaine exclus dans le téléchargement du rapport Excel de couverture des domaines. Pour plus d’informations sur le téléchargement du rapport, consultez Statut des contrôleurs de domaine.
• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juin 2020

Azure ATP version 2.118

Publication : 28 juin 2020

• Nouvelles évaluations de la sécurité
  Les évaluations de sécurité Azure ATP incluent désormais les nouvelles évaluations suivantes :

  • Chemins d’accès des mouvements latéraux les plus risqués
    Cette évaluation surveille en permanence votre environnement pour identifier les comptes sensibles avec les chemins d’accès des mouvements latéraux les plus risqués qui présentent un risque de sécurité. Elle signale ensuite ces comptes pour vous aider à gérer votre environnement. Les chemins d’accès sont considérés comme risqués s’ils comportent au moins trois comptes non sensibles qui peuvent exposer le compte sensible à un vol d’informations d’identification par des acteurs malveillants. Pour plus d’informations, consultez Évaluation de la sécurité : Chemins d’accès des mouvements latéraux les plus risqués.
  • Attributs de compte non sécurisés
    Cette évaluation Azure ATP surveille en permanence votre environnement pour identifier les comptes avec des valeurs d’attribut qui présentent un risque de sécurité. Elle signale ensuite ces comptes pour vous aider à protéger votre environnement. Pour plus d’informations, consultez Évaluation de la sécurité : Attributs de compte non sécurisés.

• Mise à jour de la définition de la sensibilité
  Nous développons notre définition de la sensibilité pour les comptes locaux afin d’inclure des entités autorisées à utiliser la réplication Active Directory.

Azure ATP version 2.117

Publication : 14 juin 2020

• Amélioration de fonctionnalité : détails d’activité supplémentaires disponibles dans l’expérience SecOps unifiée
  Nous avons enrichi les informations d’appareil que nous envoyons à Defender for Cloud Apps, notamment les noms d’appareil, les adresses IP, les noms UPN de compte et les ports utilisés. Pour plus d’informations sur l’intégration à Defender for Cloud Apps, consultez Utilisation d’Azure ATP avec Defender for Cloud Apps.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.116

Publication : 7 juin 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mai 2020

Azure ATP version 2.115

Publication : 31 mai 2020

• Nouvelles évaluations de la sécurité
  Les évaluations de sécurité Azure ATP incluent désormais les nouvelles évaluations suivantes :

  • Attributs d’historique des SID non sécurisés
    Cette évaluation signale les attributs d’historique des SID qui peuvent être utilisés par des attaquants malveillants pour accéder à votre environnement. Pour plus d’informations, consultez Évaluation de la sécurité : Attributs d’historique des SID non sécurisés.
  • Utilisation de Microsoft LAPS
    Cette évaluation signale les comptes d’administrateurs locaux qui n’utilisent pas la « Solution de mot de passe d’administrateur local » (LAPS) de Microsoft pour sécuriser leurs mots de passe. L’utilisation de LAPS simplifie la gestion des mots de passe et permet également de se défendre contre les cyberattaques. Pour plus d’informations, consultez Évaluation de la sécurité : Utilisation de Microsoft LAPS.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.114

Publication : 17 mai 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.113

Publication : 5 mai 2020

• Amélioration de fonctionnalité : activité d’accès aux ressources enrichie avec NTLMv1
  À partir de cette version, Azure ATP fournit désormais des informations sur les activités d’accès aux ressources en indiquant si la ressource utilise l’authentification NTLMv1. Cette configuration de ressource n’est pas sécurisée et présente le risque que des acteurs malveillants puissent forcer l’application à leur avantage. Pour plus d’informations sur le risque, consultez Utilisation des protocoles hérités.

• Amélioration de fonctionnalité : alerte Suspicion d’attaque par force brute (Kerberos, NTLM)
  L’attaque par force brute est utilisée par les attaquants pour accéder à votre organisation et constitue une méthode clé pour la découverte des menaces et des risques dans Azure ATP. Pour vous aider à vous concentrer sur les risques critiques pour vos utilisateurs, cette mise à jour facilite et accélère l’analyse et la correction des risques, en limitant et en classant par ordre de priorité le volume d’alertes.

Mars 2020

Azure ATP version 2.112

Publication : 15 mars 2020

• Intégration automatique des nouvelles instances d’Azure ATP à Microsoft Defender for Cloud Apps
  Lors de la création d’une instance d’Azure ATP (anciennement instance), l’intégration à Microsoft Defender for Cloud Apps est activée par défaut. Pour plus d’informations sur l’intégration, consultez Utilisation d’Azure ATP avec Microsoft Defender for Cloud Apps.

• Nouvelles activités surveillées
  Les moniteurs d’activité suivants sont désormais disponibles :

  • Ouverture de session interactive avec certificat

  • Échec de l’ouverture de session avec certificat

  • Accès aux ressources déléguées

    En savoir plus sur les activités qu’Azure ATP surveille et la manière de filtrer et rechercher des activités surveillées dans le portail.

• Amélioration de fonctionnalité : activité d’accès aux ressources enrichie
  À partir de cette version, Azure ATP fournit désormais des informations sur les activités d’accès aux ressources en indiquant si la ressource est approuvée pour la délégation non contrainte. Cette configuration de ressource n’est pas sécurisée et présente le risque que des acteurs malveillants puissent forcer l’application à leur avantage. Pour plus d’informations sur le risque, consultez Évaluation de la sécurité : Délégation Kerberos non sécurisée.

• Suspicion de manipulation de paquets SMB (exploitation CVE-2020-0796) – (préversion)
  L’alerte de sécurité Suspicion de manipulation de paquets SMB d’Azure ATP est désormais en préversion publique. Dans cette détection, une alerte de sécurité Azure ATP est déclenchée quand un paquet SMBv3 suspecté d’exploiter la faille de sécurité CVE-2020-0796 est détecté sur un contrôleur de domaine dans le réseau.

Azure ATP version 2.111

Publication : 1 mars 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Février 2020

Azure ATP version 2.110

Publication : 23 février 2020

• Nouvelle évaluation de la sécurité : Contrôleurs de domaine non surveillés
  Les évaluations de la sécurité Azure ATP incluent désormais un rapport sur les contrôleurs de domaine non supervisés et les serveurs sans capteur pour vous aider à gérer la couverture complète de votre environnement. Pour plus d’informations, consultez Contrôleurs de domaine non surveillés.

Azure ATP version 2.109

Publication : 16 février 2020

• Amélioration de fonctionnalité : entités sensibles
  À partir de cette version (2.109), les ordinateurs identifiés comme autorité de certification, DHCP ou serveurs DNS par Azure ATP sont désormais catégorisés automatiquement comme Sensibles.

Azure ATP version 2.108

Publication : 9 février 2020

• Nouvelle fonctionnalité : prise en charge des comptes de services administrés par un groupe
  Azure ATP prend désormais en charge l’utilisation de comptes de services administrés par un groupe (gMSA) pour améliorer la sécurité lors de la connexion de capteurs Azure ATP à vos forêts Microsoft Entra. Pour plus d’informations sur l’utilisation de gMSA avec des capteurs Azure ATP, consultez Se connecter à votre forêt Active Directory.

• Amélioration de fonctionnalité : rapport planifié contenant un trop grand nombre de données
  Lorsqu’un rapport planifié contient un trop grand nombre de données, l’e-mail vous en informe désormais en affichant le texte suivant : Le nombre de données pendant la période spécifiée était trop important pour générer un rapport. Cela remplace le comportement précédent qui consistait à ne découvrir le fait qu’après avoir cliqué sur le lien de rapport dans l’e-mail.

• Amélioration de fonctionnalité : logique de couverture des contrôleurs de domaine mise à jour
  Nous avons mis à jour notre logique de rapport de couverture des contrôleurs de domaine pour inclure des informations supplémentaires provenant de Microsoft Entra ID, ce qui donne une vue plus précise des contrôleurs de domaine sans capteurs. Cette nouvelle logique doit également avoir un effet positif sur le Niveau de sécurité Microsoft correspondant.

Azure ATP version 2.107

Publication : 3 février 2020

• Nouvelle activité surveillée : modification de l’historique des SID
  La modification de l’historique des SID est désormais une activité surveillée qu’il est possible de filtrer. En savoir plus sur les activités qu’Azure ATP surveille et la manière de filtrer et rechercher des activités surveillées dans le portail.

• Amélioration de fonctionnalité : les alertes fermées ou supprimées ne sont plus rouvertes
  Une fois qu’une alerte est fermée ou supprimée dans le portail Azure ATP, si la même activité est détectée à nouveau pendant une courte période, une nouvelle alerte est ouverte. Auparavant, dans les mêmes conditions, l’alerte était rouverte.

• TLS 1.2 nécessaire pour l’accès au portail et les capteurs
  TLS 1.2 est désormais nécessaire pour utiliser des capteurs Azure ATP et le service cloud. Il ne sera plus possible d’accéder au portail Azure ATP en utilisant des navigateurs qui ne prennent pas en charge TLS 1.2.

Janvier 2020

Azure ATP version 2.106

Publication : 19 janvier 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.105

Publication : 12 janvier 2020

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Décembre 2019

Azure ATP version 2.104

Publication : 23 décembre 2019

• Suppression des expirations des versions des capteurs
  Les packages d’installation des capteurs et de déploiement des capteurs Azure ATP n’expirent plus après un certain nombre de versions et ne se mettent à jour qu’une seule fois. Le résultat de cette fonctionnalité est que les packages d’installation des capteurs précédemment téléchargés peuvent maintenant être installés même s’ils sont plus anciens que notre nombre maximal de versions expirées.

• Confirmer la compromission
  Vous pouvez maintenant confirmer la compromission d’utilisateurs Microsoft 365 spécifiques et définir leur niveau de risque sur élevé. Ce flux de travail offre à vos équipes chargées des opérations de sécurité une autre capacité de réponse pour réduire les seuils de résolution des incidents de sécurité. En savoir plus sur comment confirmer la compromission à l’aide d’Azure ATP et de Defender for Cloud Apps.

• Nouvelle bannière d’expérience
  Sur les pages du portail Azure ATP où une nouvelle expérience est disponible dans le portail Defender for Cloud Apps, de nouvelles bannières s’affichent pour décrire ce qui est disponible avec les liens d’accès.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.103

Publication : 15 décembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.102

Publication : 8 décembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Novembre 2019

Azure ATP version 2.101

Publication : 24 novembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.100

Publication : 17 novembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.99

Publication : 3 novembre 2019

• Amélioration de fonctionnalité : Ajout de la notification de l’interface utilisateur de la disponibilité du portail Defender for Cloud Apps au portail Azure ATP
  Pour garantir que tous les utilisateurs soient informés de la disponibilité des fonctionnalités améliorées disponibles à l’aide du portail Defender for Cloud Apps, la notification a été ajoutée pour le portail à partir de la chronologie d’alerte Azure ATP existante.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Octobre 2019

Azure ATP version 2.98

Publication : 27 octobre 2019

• Amélioration de fonctionnalité : alerte Suspicion d’attaque par force brute
  Amélioration de l’alerte Suspicion d’attaque par force brute (SMB) à l’aide d’une analyse supplémentaire et amélioration de la logique de détection pour réduire les résultats d’alertes vrais positifs bénins (B-TP) et faux positifs (FP).

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.97

Publication : 6 octobre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Septembre 2019

Azure ATP version 2.96

Publication : 22 septembre 2019

• Données d’authentification NTLM enrichies à l’aide de l’événement Windows 8004
  Les capteurs Azure ATP sont désormais en mesure de lire et d’enrichir automatiquement les activités d’authentification NTLM avec vos données de serveur consultées lorsque l’audit NTLM et l’événement Windows 8004 sont activés. Azure ATP analyse l’événement Windows 8004 pour les authentifications NTLM afin d’enrichir les données d’authentification NTLM utilisées pour l’analyse des menaces et les alertes Azure ATP. Cette fonctionnalité améliorée fournit une activité d’accès aux ressources sur les données NTLM ainsi que des activités d’échec d’ouverture de session enrichies comprenant l’ordinateur de destination auquel l’utilisateur a tenté d’accéder en vain.

  En savoir plus sur les activités d’authentification NTLM utilisant l’événement Windows 8004.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.95

Publication : 15 septembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.94

Publication : 8 septembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.93

Publication : 1er septembre 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Août 2019

Azure ATP version 2.92

Publication : 25 août 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.91

Publication : 18 août 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.90

Publication : 11 août 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.89

Publication : 4 août 2019

• Améliorations apportées aux méthodes de capteur
  Pour éviter l’excès de génération de trafic NTLM lors de la création d’évaluations précises des chemins d’accès des mouvements latéraux, des améliorations ont été apportées aux méthodes de capteur Azure ATP pour s’appuyer moins sur l’utilisation de NTLM et rendre plus significative l’utilisation de Kerberos.

• Amélioration de l’alerte : Suspicion d’utilisation de golden ticket (compte inexistant)
  Les modifications de nom SAM ont été ajoutées aux types de preuves à l’appui répertoriés dans ce type d’alerte. Pour en savoir plus sur l’alerte, notamment comment empêcher ce type d’activité et y remédier, consultez Suspicion d’utilisation de golden ticket (compte inexistant).

• Disponibilité générale : suspicion de falsification d’authentification NTLM
  L’alerte Suspicion de falsification d’authentification NTLM n’est plus en mode préversion, mais en disponibilité générale.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juillet 2019

Azure ATP version 2.88

Publication : 28 juillet 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.87

Publication : 21 juillet 2019

• Amélioration de fonctionnalité : collecte automatisée des événements Syslog pour les capteurs autonomes Azure ATP
  Les connexions Syslog entrantes pour les capteurs autonomes Azure ATP sont désormais entièrement automatisées, tout en supprimant l’option de bouton à bascule de l’écran de configuration. Ces modifications n’ont aucun effet sur les connexions Syslog sortantes.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.86

Publication : 14 juillet 2019

• Nouvelle alerte de sécurité : Suspicion de falsification d’authentification NTLM (ID externe 2039)
  L’alerte de sécurité Suspicion de falsification d’authentification NTLM d’Azure ATP est désormais en préversion publique. Dans cette détection, une alerte de sécurité Azure ATP est déclenchée en cas de suspicion d’utilisation de l’attaque « de l’intercepteur » pour contourner la vérification de l’intégrité des messages (MIC) NTLM. Cette faille de sécurité est détaillée dans Microsoft CVE-2019-040. Ces types d’attaques tentent de rétrograder les fonctionnalités de sécurité NTLM et de parvenir à une authentification réussie, avec l’objectif ultime d’effectuer des mouvements latéraux réussis.

• Amélioration de fonctionnalité : identification enrichie du système d’exploitation des appareils
  Jusqu’à présent, Azure ATP fournissait des informations sur le système d’exploitation des appareils des entités en fonction de l’attribut disponible dans Active Directory. Auparavant, si les informations du système d’exploitation n’étaient pas disponibles dans Active Directory, elles ne l’étaient pas non plus sur les pages d’entités Azure ATP. À partir de cette version, Azure ATP fournit désormais ces informations pour les appareils dont Active Directory n’a pas les informations ou qui ne sont pas enregistrés dans Active Directory, à l’aide de méthodes d’identification enrichies du système d’exploitation des appareils.

  L’ajout de données d’identification enrichies du système d’exploitation des appareils permet d’identifier les appareils non enregistrés et non Windows, tout en facilitant simultanément votre processus d’examen. Pour en savoir plus sur la résolution de noms réseau dans Azure ATP, consultez Présentation de la résolution de noms réseau (NNR).

• Nouvelle fonctionnalité : proxy authentifié – préversion
  Azure ATP prend désormais en charge le proxy authentifié. Spécifiez l’URL du proxy à l’aide de la ligne de commande du capteur et spécifiez le nom d’utilisateur/mot de passe pour utiliser des proxys nécessitant une authentification. Pour plus d’informations sur l’utilisation du proxy authentifié, consultez Configurer le proxy.

• Amélioration de fonctionnalité : processus du synchronisateur de domaine automatisé
  Le processus de conception et de catégorisation des contrôleurs de domaine en tant que candidats au synchronisateur de domaine pendant l’installation et la configuration en cours est désormais entièrement automatisé. L’option de bouton à bascule permettant de sélectionner manuellement des contrôleurs de domaine en tant que candidats au synchronisateur de domaine est supprimée.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.85

Publication : 7 juillet 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.84

Publication : 1er juillet 2019

• Prise en charge des nouveaux emplacements : centre de données Azure du Royaume-Uni
  Les instances Azure ATP sont désormais prises en charge dans le centre de données Azure du Royaume-Uni. Pour en savoir plus sur la création d’instances Azure ATP et leurs emplacements dans les centres de données correspondants, consultez l’étape 1 de l’installation d’Azure ATP.

• Amélioration de fonctionnalité : nouveau nom et nouvelles fonctionnalités pour l’alerte Ajouts suspects aux groupes sensibles (ID externe 2024)
  L’alerte Ajouts suspects aux groupes sensibles était auparavant appelée Modifications suspectes apportées aux groupes sensibles. L’ID externe de l’alerte (ID 2024) reste le même. Le changement de nom descriptif reflète plus précisément l’objectif qui est de vous alerter des ajouts à vos groupes sensibles. L’alerte améliorée comprend également de nouvelles preuves et des descriptions améliorées. Pour plus d’informations, consultez Ajouts suspects aux groupes sensibles.

• Nouvelle fonctionnalité de documentation : guide pour passer d’Advanced Threat Analytics à Azure ATP
  Ce nouvel article comprend des prérequis, des conseils de planification, ainsi que les étapes de configuration et de vérification pour passer d’ATA au service Azure ATP. Pour plus d’informations, consultez Déplacer des données d’ATA vers Azure ATP.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Juin 2019

Azure ATP version 2.83

Publication : 23 juin 2019

• Amélioration de fonctionnalité : alerte Création d’un service suspect (ID externe 2026)
  Cette alerte comprend désormais une page d’alerte améliorée avec des preuves supplémentaires et une nouvelle description. Pour plus d’informations, consultez Alerte de sécurité Création d’un service suspect.

• Prise en charge des noms des instances : ajout de la prise en charge du préfixe de domaine numérique uniquement
  Ajout de la prise en charge de l’utilisation de préfixes de domaine commençant seulement par des chiffres lors de la création d’instances Azure ATP. Par exemple, l’utilisation de préfixes de domaine commençant seulement par des chiffres, comme 123456.contoso.com, est désormais prise en charge.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.82

Publication : 18 juin 2019

• Nouvelle préversion publique
  L’expérience d’examen des menaces d’identité d’Azure ATP est désormais disponible en préversion publique et pour tous les locataires protégés par Azure ATP. Consultez Expérience d’examen d’Azure ATP avec Microsoft Defender for Cloud Apps pour en savoir plus.

• Disponibilité générale
  La prise en charge d’Azure ATP pour les forêts non approuvées est désormais en disponibilité générale. Pour en savoir plus, consultez Prise en charge de plusieurs forêts dans Azure ATP.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.81

Publication : 10 juin 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.80

Publication : 2 juin 2019

• Amélioration de fonctionnalité : alerte Connexion VPN suspecte
  Cette alerte inclut désormais des preuves et des textes améliorés pour une meilleure facilité d’utilisation. Pour plus d’informations sur les fonctionnalités d’alerte, les étapes de correction suggérées et la prévention, consultez la description de l’alerte Connexion VPN suspecte.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mai 2019

Azure ATP version 2.79

Publication : 26 mai 2019

• Disponibilité générale : reconnaissance de principal de sécurité (LDAP) (ID externe 2038)

  Cette fonctionnalité est désormais en GA (disponibilité générale). Pour plus d’informations sur l’alerte, les fonctionnalités d’alerte, et les suggestions de correction et de prévention, consultez Description de l’alerte Reconnaissance de principal de sécurité (LDAP)

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.78

Publication : 19 mai 2019

• Amélioration de fonctionnalité : entités sensibles
  Catégorisation manuelle sensible pour les serveurs Exchange

  Vous pouvez désormais catégoriser manuellement des entités comme serveurs Exchange pendant la configuration.

  Pour catégoriser manuellement une entité comme serveur Exchange :

  1. Dans le portail Azure ATP, sélectionnez Configuration.
  2. Sous Détection, sélectionnez Étiquettes d’entité, puis sélectionnez Sensible.
  3. Sélectionnez Serveurs Exchange, puis ajoutez l’entité que vous souhaitez catégoriser.

  Après avoir catégorisé un ordinateur comme serveur Exchange, celui-ci est catégorisé comme Sensible et il est affiché qu’il a été catégorisé comme serveur Exchange. La balise Sensible s’affiche dans le profil d’entité de l’ordinateur et l’ordinateur est pris en compte dans toutes les détections basées sur des comptes sensibles et des chemins d’accès de mouvements latéraux.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.77

Publication : 12 mai 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.76

Publication : 6 mai 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Avril 2019

Azure ATP version 2.75

Publication : 28 avril 2019

• Amélioration de fonctionnalité : entités sensibles
  À partir de cette version (2.75), les ordinateurs identifiés comme serveurs Exchange par Azure ATP sont désormais automatiquement catégorisés comme Sensibles.

  Les entités qui sont automatiquement catégorisées comme Sensibles, car elles fonctionnent comme serveurs Exchange, répertorient cette classification comme raison pour laquelle elles sont catégorisées de la sorte.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.74

Publication : 14 avril 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.73

Publication : 10 avril 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Mars 2019

Azure ATP version 2.72

Publication : 31 mars 2019

• Amélioration de fonctionnalité : profondeur délimitée par le chemin d’accès des mouvements latéraux
  Les chemins d’accès des mouvements latéraux sont une méthode clé de découverte des menaces et des risques dans Azure ATP. Pour vous concentrer sur les risques critiques pour vos utilisateurs les plus sensibles, cette mise à jour facilite et accélère l’analyse et la correction des risques pour les utilisateurs sensibles sur chaque chemin d’accès des mouvements latéraux, en limitant l’étendue et la profondeur de chaque graphique affiché.

  Consultez les Chemins d’accès des mouvements latéraux pour en savoir plus sur l’utilisation des chemins d’accès des mouvements latéraux par Azure ATP pour exposer les risques d’accès à chaque entité de votre environnement.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.71

Publication : 24 mars 2019

• Amélioration de fonctionnalité : alertes d’intégrité Résolution de noms réseau (NNR)
  Des alertes d’intégrité ont été ajoutées pour les niveaux de confiance associés aux alertes de sécurité Azure ATP basées sur la NNR. Chaque alerte d’intégrité inclut des recommandations exploitables et détaillées pour vous aider à résoudre les faibles taux de réussite NNR.

  Consultez Qu’est-ce que la résolution de noms réseau pour en savoir plus sur la façon dont Azure ATP utilise la NNR et sur les raisons pour lesquelles elle est importante pour la précision des alertes.

• Prise en charge du serveur : ajout de la prise en charge de Server 2019 avec l’utilisation de KB4487044
  Ajout de la prise en charge de l’utilisation de Windows Server 2019, avec un niveau de correctif de KB4487044. L’utilisation de Server 2019 sans correctif n’est pas prise en charge et est bloquée à partir de cette mise à jour.

• Amélioration de fonctionnalité : exclusion d’alerte basée sur l’utilisateur
  Les options d’exclusion d’alerte étendues permettent désormais d’exclure des utilisateurs spécifiques d’alertes spécifiques. Les exclusions permettent d’éviter les situations où l’utilisation ou la configuration de certains types de logiciels internes a déclenché à plusieurs reprises des alertes de sécurité bénignes.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.70

Date de publication : 17 mars 2019

• Amélioration de fonctionalité : Ajout du niveau de confiance Résolution de noms réseau (NNR) à plusieurs alertes La Résolution de noms de réseau (NNR) est utilisée pour aider à identifier l’identité de l’entité source des attaques suspectées. En ajoutant les niveaux de confiance NNR aux listes de preuves d’alertes Azure ATP, vous pouvez maintenant évaluer et comprendre instantanément le niveau de confiance NNR lié aux sources possibles identifiées et corriger correctement.

  La preuve de niveau de confiance NNR a été ajoutée aux alertes suivantes :

  • Reconnaissance de mappage réseau (DNS)
  • Suspicion d’usurpation d’identité (pass-the-ticket)
  • Suspicion d’attaque de relais NTLM (compte Exchange) (préversion)
  • Suspicion d’attaque DCSync (réplication de services d’annuaire)

• Scénario d’alerte d’intégrité supplémentaire : le service de capteur Azure ATP n’a pas pu démarrer
  Dans les cas où le capteur Azure ATP n’a pas pu démarrer en raison d’un problème de pilote de capture réseau, une alerte d’intégrité du capteur est désormais déclenchée. Consultez Résolution des problèmes de capteur Azure ATP avec les journaux Azure ATP pour plus d’informations sur les journaux Azure ATP et leur utilisation.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.69

Publication : 10 mars 2019

• Amélioration de fonctionnalité : Alerte de suspicion d’usurpation d’identité (pass-the-ticket) Cette alerte présente maintenant de nouvelles preuves montrant les détails des connexions établies avec le protocole Bureau à distance (RDP). La preuve ajoutée facilite la correction du problème connu des vraies alertes positives bénignes (B-TP) provoquées par l’utilisation de Credential Guard à distance sur les connexions RDP.

• Amélioration de fonctionnalité : alerte Exécution de code distant sur DNS
  Cette alerte présente désormais de nouvelles preuves montrant le statut de la mise à jour de sécurité de votre contrôleur de domaine et vous informant quand des mises à jour sont requises.

• Nouvelle fonctionnalité de documentation : Alerte de sécurité Azure ATP MITRE ATT&CK Matrix™
  Pour expliquer et simplifier la relation entre les alertes de sécurité Azure ATP et la matrice connue MITRE ATT&CK Matrix, nous avons ajouté les techniques MITRE appropriées aux listes des alertes de sécurité Azure ATP. Cette référence supplémentaire facilite la compréhension de la technique d’attaque suspecte potentiellement en cours d’utilisation lorsqu’une alerte de sécurité Azure ATP est déclenchée. En savoir plus sur le guide des alertes de sécurité Azure ATP.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.68

Date de publication : 3 mars 2019

• Amélioration de fonctionnalité : alerte Suspicion d’attaque par force brute (LDAP)
  Des améliorations significatives de la facilité d’utilisation ont été apportées à cette alerte de sécurité, notamment une description révisée, l’ajout d’informations sources supplémentaires et les détails des tentatives pour une correction plus rapide.
  En savoir plus sur les alertes de sécurité Suspicion d’attaque par force brute (LDAP).

• Nouvelle fonctionnalité de documentation : laboratoire des alertes de sécurité
  Pour expliquer la puissance d’Azure ATP en matière de détection des menaces réelles pour votre environnement de travail, nous avons ajouté un nouveau laboratoire des alertes de sécurité à cette documentation. Le laboratoire des alertes de sécurité vous aide à configurer rapidement un laboratoire ou un environnement de test, et explique la meilleure posture défensive contre les menaces et attaques réelles courantes.

  Le laboratoire pas à pas est conçu pour vous assurer de passer le moins de temps possible à créer et de passer davantage de temps à en savoir plus sur votre paysage des menaces, les alertes et la protection Azure ATP disponibles. Nous sommes impatients de prendre connaissance de votre retour d’expérience.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Février 2019

Azure ATP version 2.67

Date de publication : 24 février 2019

• Nouvelle alerte de sécurité : Reconnaissance de principal de sécurité (LDAP) – (préversion)
  L’alerte de sécurité Reconnaissance de principal de sécurité (LDAP) – préversion d’Azure ATP est désormais en préversion publique. Dans cette détection, une alerte de sécurité Azure ATP est déclenchée lorsque la reconnaissance de principal de sécurité est utilisée par les attaquants pour obtenir des informations critiques sur l’environnement du domaine. Ces informations aident les attaquants à mapper la structure du domaine, ainsi qu’à identifier les comptes privilégiés qu’ils utiliseront ultérieurement dans les étapes de leur chaîne de destruction d’attaque.

  Le protocole LDAP est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory. La reconnaissance de principal de sécurité ciblée sur le protocole LDAP est couramment utilisée comme première phase d’une attaque Kerberoasting. Les attaques Kerberoasting sont utilisées pour obtenir une liste ciblée des noms de principaux de sécurité (SPN), pour lesquels les attaquants tentent ensuite d’obtenir des tickets auprès du serveur d’accord de tickets (TGS).

• Amélioration de fonctionnalité : alerte Reconnaissance d’énumération de compte (NTLM)
  Amélioration de l’alerte Reconnaissance d’énumération de compte (NTLM) à l’aide d’une analyse supplémentaire et amélioration de la logique de détection pour réduire les résultats d’alertes B-TP et FP.

• Amélioration de fonctionnalité : alerte Reconnaissance de mappage réseau (DNS)
  Nouveaux types de détections ajoutés aux alertes Reconnaissance de mappage réseau (DNS). En plus de détecter les requêtes AXFR suspectes, Azure ATP détecte désormais les types suspects de requêtes provenant de serveurs non DNS utilisant un nombre excessif de requêtes.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.66

Date de publication : 17 février 2019

• Amélioration de fonctionnalité : alerte Suspicion d’attaque DCSync (réplication de services d’annuaire)
  Des améliorations ont été apportées à la facilité d’utilisation de cette alerte de sécurité, notamment une description révisée, l’ajout d’informations sources supplémentaires, une nouvelle infographie et d’autres preuves. En savoir plus sur les alertes de sécurité Suspicion d’attaque DCSync (réplication de services d’annuaire).

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.65

Publication : 10 février 2019

• Nouvelle alerte de sécurité : Suspicion d’attaque de relais NTLM (compte Exchange) – (préversion)
  L’alerte de sécurité Suspicion d’attaque de relais NTLM (compte Exchange) – (préversion) d’Azure ATP est désormais en préversion publique. Dans cette détection, une alerte de sécurité Azure ATP est déclenchée en cas d’identification d’une utilisation des identifiants du compte Exchange à partir d’une source suspecte. Ces types d’attaques tentent d’exploiter les techniques de relais NTLM pour obtenir des privilèges d’échange de contrôleur de domaine et sont appelées ExchangePriv. En savoir plus sur la technique ExchangePriv de l’avertissement ADV190007 publié le 31 janvier 2019 et la réponse d’alerte Azure ATP.

• Disponibilité générale : exécution de code distant sur DNS
  Cette fonctionnalité est désormais en GA (disponibilité générale). Pour plus d’informations et de fonctionnalités d’alerte, consultez la page de description de l’alerte Exécution de code distant sur DNS.

• Disponibilité générale : exfiltration de données sur SMB
  Cette fonctionnalité est désormais en GA (disponibilité générale). Pour plus d’informations et de fonctionnalités d’alerte, consultez la page de description de l’alerte Exfiltration des données sur SMB.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.64

Date de publication : 4 février 2019

• Disponibilité générale : suspicion d’utilisation de golden ticket (anomalie de ticket)
  Cette fonctionnalité est désormais en GA (disponibilité générale). Pour plus d’informations et de fonctionnalités d’alerte, consultez la page de description de l’alerte Suspicion d’utilisation de golden ticket (anomalie de ticket).

• Amélioration de fonctionnalité : reconnaissance de mappage réseau (DNS)
  Amélioration de la logique de détection des alertes déployée pour cette alerte afin de réduire les faux positifs et le bruit de l’alerte. Cette alerte a maintenant une période d’apprentissage de huit jours avant que l’alerte ne se déclenche pour la première fois. Pour plus d’informations sur cette alerte, consultez la page de description de l’alerte Reconnaissance de mappage réseau (DNS).

  En raison de l’amélioration de cette alerte, la méthode nslookup ne doit plus être utilisée pour tester la connectivité Azure ATP pendant la configuration initiale.

• Amélioration de fonctionnalité :
  Cette version inclut des pages d’alertes repensées et de nouvelles preuves, ce qui permet de mieux examiner les alertes.

  • Suspicion d’attaque par force brute (SMB)
  • Page de description de l’alerte Suspicion d’utilisation de golden ticket (anomalie temporelle)
  • Suspicion d’attaque overpass-the-hash (Kerberos)
  • Suspicion d’utilisation du cadre de piratage Metasploit
  • Suspicion d’attaque par rançongiciel WannaCry

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Janvier 2019

Azure ATP version 2.63

Publication : 27 janvier 2019

• Nouvelle fonctionnalité : support de forêt non approuvée – (préversion)
  La prise en charge d’Azure ATP pour les capteurs dans les forêts non approuvées est désormais en préversion publique. À partir de la page Services d’annuaire du portail Azure ATP, configurez des ensembles d’identifiants supplémentaires pour permettre aux capteurs Azure ATP de se connecter à différentes forêts Active Directory et de transmettre des rapports au service Azure ATP. Pour en savoir plus, consultez Prise en charge de plusieurs forêts dans Azure ATP.

• Nouvelle fonctionnalité : couverture des contrôleurs de domaine
  Azure ATP fournit désormais des informations de couverture pour les contrôleurs de domaine surveillés par Azure ATP.
  Dans la page Capteurs du portail Azure ATP, consultez le nombre de contrôleurs de domaine surveillés et non surveillés détectés par Azure ATP dans votre environnement. Téléchargez la liste des contrôleurs de domaine surveillés pour une analyse plus approfondie et créez un plan d’action. Pour en savoir plus, consultez le guide pratique de surveillance des contrôleurs de domaine.

• Amélioration de fonctionnalité : reconnaissance d’énumération de compte
  La détection de reconnaissance d’énumération de compte Azure ATP détecte et émet désormais des alertes pour les tentatives d’énumération à l’aide de Kerberos et NTLM. Auparavant, la détection fonctionnait uniquement pour les tentatives utilisant Kerberos. Pour en savoir plus, consultez les alertes de reconnaissance Azure ATP.

• Amélioration de fonctionnalité : alerte Tentative d’exécution de code distant

  • Toutes les activités d’exécution à distance, comme la création de service, l’exécution WMI et la nouvelle exécution de PowerShell, ont été ajoutées à la chronologie du profil de l’ordinateur de destination. L’ordinateur de destination est le contrôleur de domaine sur lequel la commande a été exécutée.
  • L’exécution de PowerShell a été ajoutée à la liste des activités d’exécution de code distant répertoriées dans la chronologie des alertes du profil d’entité.
  • Consultez Tentative d’exécution de code distant pour en savoir plus.

• Problème lié au service LSASS de Windows Server 2019 et Azure ATP
  En réponse aux retours d’expérience des clients concernant l’utilisation d’Azure ATP avec les contrôleurs de domaine exécutant Windows Server 2019, cette mise à jour inclut une logique supplémentaire pour éviter de déclencher le comportement signalé sur les ordinateurs Windows Server 2019. La prise en charge complète du capteur Azure ATP sur Windows Server 2019 est prévue pour une prochaine mise à jour d’Azure ATP, mais l’installation et l’exécution d’Azure ATP sur Windows Servers 2019 ne sont pas actuellement prises en charge. Pour en savoir plus, consultez les exigences relatives au capteur Azure ATP.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.62

Publiée le 20 janvier 2019

• Nouvelle alerte de sécurité : Exécution de code distant sur DNS – (préversion)
  L’alerte de sécurité Exécution de code distant sur DNS d’Azure ATP est désormais en préversion publique. Dans cette détection, une alerte de sécurité Azure ATP est déclenchée quand des requêtes DNS suspectées d’exploiter la faille de sécurité CVE-2018-8626 sont effectuées sur un contrôleur de domaine dans le réseau.

• Amélioration de fonctionnalité : mise à jour du capteur différée de 72 heures
  Option modifiée pour retarder les mises à jour des capteurs sur les capteurs sélectionnés de 72 heures (au lieu du délai précédent de 24 heures) après chaque mise à jour de publication d’Azure ATP. Consultez la mise à jour du capteur Azure ATP pour obtenir des instructions de configuration.

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.61

Publication : 13 janvier 2019

• Nouvelle alerte de sécurité : Exfiltration de données sur SMB – (préversion)
  L’alerte de sécurité Exfiltration de données sur SMB d’Azure ATP est désormais en préversion publique. Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, les attaquants peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource.

• Amélioration de fonctionnalité : alerte de sécurité Tentative d’exécution de code distant
  Une nouvelle description de l’alerte et des preuves supplémentaires ont été ajoutées pour faciliter la compréhension de l’alerte et fournir de meilleurs flux de travail d’examen.

• Amélioration de fonctionnalité : activités logiques de requête DNS
  Des types de requêtes supplémentaires ont été ajoutés aux activités surveillées par Azure ATP, notamment TXT, MX, NS, SRV, ANY, DNSKEY.

• Amélioration de fonctionnalité : Suspicion d’utilisation de golden ticket (anomalie de ticket) et Suspicion d’utilisation de golden ticket (compte inexistant)
  Une logique de détection améliorée a été appliquée aux deux alertes pour réduire le nombre d’alertes FP et fournir des résultats plus précis.

• Amélioration de fonctionnalité : documentation sur les alertes de sécurité Azure ATP
  La documentation sur les alertes de sécurité Azure ATP a été améliorée et développée pour inclure de meilleures descriptions des alertes, des classifications d’alertes plus précises et des explications sur les preuves, la correction et la prévention. Familiarisez-vous avec la nouvelle conception de la documentation des alertes de sécurité à l’aide des liens suivants :

  • Alertes de sécurité Azure ATP
  • Présentation des alertes de sécurité
    • Alertes de phase de reconnaissance
    • Alertes de phase de compromission des informations d’identification
    • Alertes de phase de mouvement latéral
    • Alertes de phase de domination du domaine
    • Alertes de phase d’exfiltration
  • Examiner un ordinateur
  • Examiner un utilisateur

• Cette version inclut également des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.60

Publiée le 6 janvier 2019

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Décembre 2018

Azure ATP version 2.59

Publication : 16 décembre 2018

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.58

Date de publication : 9 décembre 2018

• Amélioration de l’alerte de sécurité : fractionnement de l’alerte Implémentation d’un protocole inhabituel
  La série d’alertes de sécurité Implémentation d’un protocole inhabituel d’Azure ATP qui partageaient auparavant 1 externalId (2002) est désormais divisée en quatre alertes distinctes, avec un ID externe unique correspondant.

Nouveaux externalIds d’alerte

Nouveau nom de l’alerte de sécurité	Ancien nom de l’alerte de sécurité	ID externe unique
Suspicion d’attaque par force brute (SMB)	Implémentation d’un protocole inhabituel (utilisation potentielle d’outils malveillants comme Hydra)	2033
Suspicion d’attaque overpass-the-hash (Kerberos)	Implémentation d’un protocole Kerberos inhabituel (attaque overpass-the-hash potentielle)	2002
Suspicion d’utilisation du cadre de piratage Metasploit	Implémentation d’un protocole inhabituel (utilisation potentielle d’outils de piratage Metasploit)	2034
Suspicion d’attaque par rançongiciel WannaCry	Implémentation d’un protocole inhabituel (attaque potentielle par rançongiciel WannaCry)	2035

• Nouvelle activité surveillée : copie de fichiers via SMB
  La copie de fichiers à l’aide de SMB est désormais une activité surveillée qu’il est possible de filtrer. En savoir plus sur les activités qu’Azure ATP surveille et la manière de filtrer et rechercher des activités surveillées dans le portail.

• Amélioration de l’image des chemins d’accès des mouvements latéraux de grande longueur
  Lors de l’affichage de chemins de mouvement latéral d’une grande longueur, Azure ATP ne met désormais en surbrillance que les nœuds connectés à une entité sélectionnée, au lieu d’estomper les autres nœuds. Cette modification introduit une amélioration significative de la vitesse de rendu des chemins d’accès des mouvements latéraux de grande longueur.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Azure ATP version 2.57

Publication : 2 décembre 2018

• Nouvelle alerte de sécurité : Suspicion d’utilisation de golden ticket – anomalie de ticket (préversion)
  L’alerte de sécurité Suspicion d’utilisation de golden ticket – anomalie de ticket d’Azure ATP est désormais en préversion publique. Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, les attaquants peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource.

  Ce TGT falsifié est appelé « Golden Ticket », car il permet aux attaquants d’atteindre une persistance du réseau durable. Les Golden Tickets falsifiés de ce type ont des caractéristiques uniques et cette nouvelle détection est conçue pour les identifier.

• Amélioration de fonctionnalité : création automatisée d’une instance Azure ATP (instance)
  À partir d’aujourd’hui, les instances Azure ATP sont renommées instances Azure ATP. Azure ATP prend désormais en charge une instance Azure ATP par compte Azure ATP. Les instances des nouveaux clients sont créées à l’aide de l’Assistant de création d’instances dans le portail Azure ATP. Les instances Azure ATP existantes sont converties automatiquement en instances Azure ATP avec cette mise à jour.

  • Création simplifiée d’instances pour accélérer le déploiement et la protection à l’aide de la procédure Créer votre instance Azure ATP.
  • La confidentialité et la conformité des données restent identiques.

  Pour en savoir plus sur les instances Azure ATP, consultez Créer votre instance Azure ATP.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Novembre 2018

Azure ATP version 2.56

Publiée le 25 novembre 2018

• Amélioration de fonctionnalité : chemins d’accès des mouvements latéraux
  Deux fonctionnalités supplémentaires sont ajoutées pour améliorer les fonctionnalités des chemins d’accès des mouvements latéraux :

  • L’historique des chemins d’accès des mouvements latéraux est désormais enregistré et détectable par entité, et lors de l’utilisation de rapports sur les chemins d’accès des mouvements latéraux.
  • Suivez une entité dans un chemin d’accès des mouvements latéraux via la chronologie des activités et examinez-la en utilisant les preuves supplémentaires fournies pour la découverte de chemins d’attaque potentiels.

  Consultez Chemins d’accès des mouvements latéraux d’Azure ATP pour en savoir plus sur l’utilisation et l’examen avec des chemins d’accès des mouvements latéraux.

• Améliorations apportées à la documentation : chemins d’accès des mouvements latéraux, noms des alertes de sécurité
  Des ajouts et des mises à jour ont été apportés aux articles Azure ATP expliquant les descriptions et fonctionnalités des chemins d’accès des mouvements latéraux ; le mappage de noms a été ajouté pour toutes les instances des anciens noms des alertes de sécurité vers de nouveaux noms et externalIds.

  • Pour plus d’informations, consultez Chemins de mouvement latéral d’Azure ATP, Investiguer les chemins de mouvement latéral et Guide des alertes de sécurité.

• Cette version inclut des améliorations et des correctifs de bogues pour l’infrastructure de capteur interne.

Pour plus d’informations sur les versions de Defender pour Identity antérieures à (et y compris) la version 2.55, consultez les Informations de référence sur la version de Defender pour Identity.

Étapes suivantes

Nouveautés de Microsoft Defender pour l’identité