EVEZHIAN.IO le blog de Jean-Philippe Lesage

Résumé des annonces Microsoft autour de la RSA Conference

Cet événement a eu lieu du 6 au 9 mai 2024 à Chicago et a été l’occasion d’un ensemble d’annonces.

Lien vers l’événement : https://www.rsaconference.com/events/2024-usa

Lien vers l’enregistrement de la session de Vasu Jakkal : https://youtu.be/pQDmskN0qtg

Microsoft Copilot for Security

15 nouveaux plugins partenaires en public preview : Copilot for Security Partner Ecosystem: Unifying security tools with Copilot’s partner ecosystem

Defender for Cloud

Container Security est disponible sur les 3 clouds AWS, GCP et Azure.

Vulnerability Assessment est disponible grâce à Defender Vulnerability Management

Et l’intégration est disponible dans la partie XDR et le portail Microsoft Defender

• Nouveau Sensor Defender utilisant la technologie opensource Inspektor Gadget

• Intégration des logs d’audit Kubernetes pour hunting

End to end container security with unified SOC experience

GenAI, pour les applications internes basées sur GenAI

Une gestion de la posture de sécurité, AI security posture management (AI-SPM) est en public preview

  • Détection des workloads de type AI déployés
  • Problèmes de configuration
  • Vulnérabilités
  • Chemins d’attaque

Une extension de la protection contre les menaces sur Azure OpenAI est aussi disponible :

Microsoft CNAPP innovations
Secure Generative AI Applications with Microsoft Defender for Cloud

API testing

Lors d’Ignite 2023, en novembre, Microsoft annonçait l’intégration de 42crunch en tant que solution d’API Security testing

Deux nouvelles solutions sont désormais possibles Bright Security et StackHawk

Microsoft Defender for Cloud Extends Support to Enable Increased API Security Testing Visibility

Transition vers MDVM

L’outil d’analyse de vulnérabilité par défaut devient Defender Vulnerability Management. Microsoft explique comment désinstaller l’agent Qualys et il y a même un workbook qui permet de suivre la transition.

On peut imaginer que la partie Qualys va disparaître…

Vulnerability Assessment with Defender for Servers, Powered by Defender Vulnerability Management

Defender for Cloud Apps : In-browser protection

La Session Policy est maintenant directement appliquée dans le navigateur. Ceci est uniquement disponible via Microsoft Edge for Business. On ne passe donc plus par le proxy (mcas.ms) pour moins de latence.

Defender for Cloud Apps delivers new in-browser protection capabilities via Microsoft Edge

Microsoft Entra

Entra ID Protection

Le nouveau tableau de bord est passé en General Availability. Dans la partie attacks in your tenant on peut maintenant cliquer sur les compteurs pour accéder aux attaques.
« Allow on-premises password change to reset user risk » est passé en General Availability

Nouvelles détections

  • Suspicious API traffic detection en general availability pour détecter les nombres d’appels trop importants au MS Graph par rapport à la baseline
  • Real-time Anomalous Token Detection pour les attaques de type “Token replay”
  • Offline detection for AitM

New developments in Microsoft Entra ID Protection

Passkeys

“Support for device-bound passkeys in the Microsoft Authenticator app on iOS and Android”

Il faut aller dans FIDO2 et activer l’authenticator (les deux GUID sont pour Android et iOS)

Expanding passkey support in Microsoft Entra ID

External authentication methods (public preview)

Il succède aux Custom controls (en preview depuis plusieurs années) qui sont dans Conditional access pour lancer une authentification à plusieurs facteurs externe

La configuration est déplacée dans Authentication methods

et c’est disponible pour :

External authentication methods in Microsoft Entra ID

Platform SSO for macOS (public preview)

Le platform SSO fo MacOS fonctionne avec Intune mais d’autres MDM arriveront au fur et à mesure. On retrouve un Microsoft Entra Join for macOS.
3 méthodes d’authentification sont possibles

  • Authentification passwordless (Secure enclave) avec Touch ID
  • Smartcard
  • Synchronisation du mot de passe Entra ID avec le compte local

Platform SSO for macOS now in public preview

Entra External ID

Le successeur de B2C est en General Aavailability le 15 mai. Il s’agit d’une refonte du CIAM pour n’avoir qu’une seule plateforme et permettre la mutualisation des services annexes de gouvernance, de protection… C’est toujours gratuit pour les 50k premiers MAU

Les options de mise à jour depuis B2C et B2B collaboration arriveront ultérieurement.

Announcing General Availability of Microsoft Entra External ID

Microsoft Sentinel

Intégration Cribl Stream

Send data to Microsoft Sentinel using Cribl Stream

SOC Optimization (public preview)
Des APIs sont disponibles ainsi qu’un nouvel onglet dans chaque portail (Azure et Defender) afin de fournir des éléments d’optimisation par rapport aux coûts ou par rapport aux menaces

SOC optimization: unlock the power of precision-driven security management

Microsoft Security Exposure Management

Security Initiatives

Les initiatives ont pour but de simplifier la gestion de la posture sécurité par type de menace ou par domaine (comme Zero Trust)

Choke points

Dans l’Attack Path, on retrouve désormais les choke points qui sont des assets qui interviennent dans plusieurs chemins d’attaque et qui sont donc à prioriser.

Asset Blast Radius

Il est disponible pour chaque entité sous forme de graphe pour visualiser son pouvoir de nuisance

Respond to trending threats and adopt zero-trust with Exposure Management

Microsoft Defender Threat Intelligence

MDTI Achieves PCI DSS Certification: Elevating Security Standards

Zero trust DNS

C’est l’annonce de la private preview, nous sommes donc vraiment très en amont : “In a future version of Windows”

Le périphérique windows configuré avec ZTDNS ne discute qu’avec un Protective DNS Server qui détient les autorisations.

Announcing Zero Trust DNS Private

Deployment Considerations for Windows ZTDNS Client

Data Security, Microsoft Purview

Adaptative protection

Un gros focus est effectué sur les risques internes depuis quelques temps. L’adaptative protection permet d’adapter les contrôles de sécurité en fonction de l’évolution des risques internes (on pourrait voir cela comme un Identity Protection mais sur les risques internes)).

L’intégration d’Adaptative protection avec le DLP est GA (si un risque interne est identifié des règles de DLP sont activées)

L’intégration d’Adaptative protection avec l’accès conditionnel est en Public Preview

L’intégration d’Adaptative protection avec le Data Lifecycle Management est en Public Preview (il y a un risque interne, l’utilisateur se met à essayer de tout effacer et la rétention se met en route)

A new era in data security with dynamic controls to manage data access and mitigate risks

AI Hub

Microsoft Purview AI Hub est en public preview (un centre de gouvernance pour l’utilisation dans copilot mais pas que)

Visibilité sur les sites Sharepoint non labellisés mais pouvant être référencés par Copilot en public preview

Intéractions AI “non éthique” ou “non conformes” en public preview

Templates pour EU AI Act, NIST AI RMF, ISO/IEC 23894:2023 et ISO/IEC 42001

Secure your data to confidently take advantage of Generative AI with Microsoft Purview

Améliorations sur le DLP : New Capabilities for Microsoft Purview DLP

Microsoft Copilot in Purview for Insider Risk Management en GA

Microsoft Purview Audit Search Graph API GA en juin : Using the Microsoft Purview Audit Search Graph API

Laisser un commentaire