Un nouveau sensor est maintenant disponible pour Microsoft Defender for Identity, la solution de protection contre les menaces de Microsoft pour Active Directory Domain Services. Il permet de protéger les serveurs Entra Connect (ex AAD connect, AAD Sync…) qui se chargent de la synchronisation entre ADDS et Entra ID. Cet environnement de synchronisation du fait de ses privilèges sur ADDS nécessite une surveillance du même niveau que les contrôleurs de domaine.

Trois nouvelles alertes
Il arrive avec trois nouvelles alertes qui sont actuellement en public preview.

Suspicious Interactive Logon to the Entra Connect Server : vous aurez, au préalable, configuré la stratégie d’audit dans la partie Advanced Security Audit Policy Settings et logon/logoff afin d’avoir les événements 4624  » An account was successfully logged on« . La documentation est ici. Les authentifications directes sur les serveurs Entra connect sont très improbables et peuvent souvent signifier de la malveillance.
User Password Reset by Entra Connect Account : lorsque le Password Write Back n’est pas activé, du fait des privilèges de réinitialisation de mot de passe accordés au compte lié au connecteur, une alerte sera levée pour toute utilisation de ces privilèges.
Suspicious writeback by Entra Connect on a sensitive user : le write back est déjà bloqué pour les utilisateurs dans des groupes à privilèges. Ceci permet d’étendre la fonctionnalité à des utilisateurs critiques.

Améliorations sur des alertes déjà présentes
Nouvelle activité de password reset qui n’aurait pas réussi sur un compte à privilège disponible dans la table IdentityDirectoryEvents.
Amélioration de la précision de l’alerte d’attaque de type DC sync
Nouvelle alerte pour le cas ou le sensor ne pourrait pas récupérer sa configuration depuis le service Entra Connect

Posture de sécurité
L’aspect Secure Score n’est pas oublié avec de nouvelles recommandations.

Rotate password for Entra Connect connector account : avec une recommandation de 90 jours pour le changement de mot de passe du compte du connecteur.
Remove unnecessary replication permissions for Entra Connect Account : Lorsque le PHS (Password Hash Synchronization) n’est pas utilisé, certains privilèges accordés au compte Entra Connect ne sont pas nécessaires et il est donc recommandé de les retirer afin de réduire la surface d’attaque.
Change password for Entra seamless SSO account configuration : lorsque l’on utilise le seamless SSO un compte d’ordinateur AZUREADSSOACC est créé (plus d’information ici). Il est recommandé d’en changer le mot de passe tous les 30 jours. Ce rapport renvoie l’information des comptes dont le mot de passe n’aurait pas été changé depuis 90 jours.
Remove Resource Based Constrained Delegation for Entra seamless SSO account : remonte pour le cas où la resource-based constrained delegation a été configurée pour le compte AZUREADSSOACC

Plus d’information
Protect and Detect: Microsoft Defender for Identity Expands to Entra Connect Server
https://aka.ms/MdiSensorForEntraConnectInstallation