Divers
Cybersecurity Reference Architectures
Disponible sur https://aka.ms/mcra et mis à jour le 30 avril 2025 (ppt toujours très utiles et complets). Notable car la version précédente datait de décembre 2023.
M365 Zero Trust Deployment Plan
Là aussi les visio / PDF ont été mis à jour en avril sur https://aka.ms/m365zt
Infographie Attack Disruption
Là aussi très intéressant pour agrémenter les présentations et discussions : Attack Disruption Infographic
Secure Future Initiative
On en a beaucoup parlé en début de fiscale Microsoft mais concrètement on est où côté Microsoft ?
• Investissement d’un équivalent de 34 000 ingénieurs full time
• Sécurité par design, par défaut et dans tous les process (développement de l’outil Secure by design a UX …)
• Security-first mindset, pour tous les employés (Chaque employé a un objectif lié à la sécurité…)
• Amélioration de la gouvernance (14 deputy CISO…)
• Mesure des progrès sur les différents piliers (retrait de 6.3 millions de tenants….)
On retrouve les informations complètes ici : Securing our future: April 2025 progress report on Microsoft’s Secure Future Initiative
Engagements pour l’Europe
Un certain nombre d’engagements pour l’Europe ont été annoncés : https://news.microsoft.com/source/emea/2025/04/microsoft-nouveaux-engagements-numeriques-europe/?lang=fr
- Augmentation de 40% de la capacité d’ici deux ans, Cloud Souverain
en France et en Allemagne… - Conseil d’administration des datacenter européens avec uniquement des ressortissants européens, partenariats pour la continuité d’activité, Microsoft s’engage à utiliser toutes les voies juridiques pour défendre ses clients
- Engagements contractuels, EU data Boundary, solutions de chiffrement adaptées, engagement Defending your data
- Nomination d’Ann Johnson, qui est vice présidente chez Microsoft, en tant que RSSI adjoint en Europe garant du suivi des réglementation européennes en matière de cybersécurité
- Engagement auprès des startups, mise a disposition de 1800 modèles IA
Entra ID
CA Deployment Guide
Dans l’admin center Microsoft 365( il permet de déployer facilement des règles d’accès conditionnel en lien avec
Il propose de déployer dans le mode défini (report Only…)
Plus d’informations : Advanced deployment guide for Conditional Access Policy templates
Protecting tokens
Après Understanding Tokens , un bon résumé sur la protection des jetons dans Entra ID est disponible sur Protecting Tokens in Microsoft Entra ID
Conditional Access Optimization Agent
Cet agent, en Public Preview, nécessite évidemment Security Copilot (avec moins d’une SCU par requête) et suggère des évolutions suivant les recommandations choisies. Il s’exécute toutes les 24h et les nouvelles stratégies sont évidemment en Report only.
Plus d’informations : Microsoft Entra Conditional Access optimization agent
Suggested access packages dans MyAccess
Actuellement en Public Preview, une liste de packages proposés est définie par les utilisations des collaborateurs proches
C’est à valider, au préalable, dans les options
Plus d’informations : Show suggested access packages for My Access in entitlement management (preview)
API pour le What if dans accès conditionnel
Là aussi en public preview dans
https://graph.microsoft.com/beta/identity/conditionalAccess/evaluate
On peut définir l’identité, le contexte, les conditions et 4 exemples sont disponibles dans le lien suivant What If evaluation – Microsoft Graph beta
Revoke all refresh tokens for user
En Public Preview, dans la partie gouvernance, on peut désormais créer un workflow pour invalider tous les refresh tokens.
Plus d’informations : Lifecycle Workflows tasks and definitions
Manage Identities pour les applications Entra
Excellente nouvelle, en General Avalaibility, on peut désormais utiliser des
User Managed Identities avec les applications dans Entra, c’est dans Certificate & secrets et il faut choisir Federated credentials.
Plus d’informations : Configure an application to trust a managed identity
Entra Connect Sync (rappel)
Entra Connect Sync changements à venir
Des changements intéressants se profilent :
• Amélioration de la sécurité du processus de synchronisation de Microsoft Entra Connect Sync
• Authentification via application : ABA (Application Based Authentication) + Oauth 2.0
• Nouvelle application dans Entra ID, Certificat et droits
• MSI pour ce changement uniquement via le portail Entra
Unified Security Operations Platform
Investigations dans Data Security
Dans le cadre d’une vue globale incluant la donnée et en Public Preview nous avons l’intégration avec Microsoft Purview Data Security Investigations et donc la possibilité de créer des investigations quand des données sont à risque.
On ne peut mêler des boîtes aux lettres, mails, fichiers dans une investigation (on en crée deux si fichiers + mails)
Plus d’informations : Create investigations in Data Security Investigations (preview)
Contain IP addresses of undiscovered devices
En Public Preview, et pour des IP malveillantes associées à des périphériques inconnus / non intégrés à MDE afin d’éviter les mouvements latéraux.
Plus d’informations : Automatic attack disruption: Enhanced containment for critical assets and shadow IT
Tables
• La table OAuthAppInfo est en public preview et est fournie par App Governance de Defender for Cloud Apps. Elle contient les informations sur les applications Oauth connectées.
• Les colonnes OnboardingStatus et NetworkAdapterDnsSuffix sont maintenant disponibles dans DeviceNetworkInfo
Microsoft Sentinel
Sentinel Ninja Training
Une mise à jour du Ninja training toujours disponible sur https://aka.ms/sentinelninja.Tout ce qui est nouveau ou modifié est visible avec le new en vert. On a accès aux modules par rôle (analyste, architecte…) et de nouveaux modules sont intégrés (Data Collection, Manage Sentinel-as-a-code, Case Management)
Support multi workspace et multitenant
Grosses évolutions pour les MSSP notamment, avec dans le portail Defender XDR:
• Aggregated view across SIEM and XDR : vue multi-tenant et multi-workspace des incidents et alertes
• Unified incident detection and investigation: Détection et investigation avec une meilleure precision sur différents workspaces
• Unified case management : Gestion des cases en muti-tenant
• Improved threat hunting : Hunting sur différents workspaces
• Effortless automation rule deployment : Déploiement des règles automation sur différents workspaces en utilisant l’automation rule creation wizard
Plus d’informations : Multi-workspace for Multi-tenant is now in Public Preview in Microsoft’s Unified SecOps Platform Hub
Tables ThreatIntelIndicators et ThreatIntelObjects
Pour le support de STIX (Structured Threat Information eXpression) mais attention :
Plus d’informations : Work with STIX objects and indicators to enhance threat intelligence and threat hunting in Microsoft Sentinel
SOC Optimization
La partie SOC Optimization évolue doucement avec un début de support des colonnes inutilisées en public preview. Cela reste limité mais nul doute que ce n’est qu’un début.
Plus d’informations : SOC optimization reference
Rich text for Case Management
En Public Preview, afin d’améliorer le confort des analystes et pour une meilleure lisibilité, on peut désormais intégrer des liens, des tableaux, de l’italique…
Plus d’informations : Announcing Rich Text for Case Management
App Assure
S’il manque un connecteur tierce partie ou qu’il ne fonctionne pas faites appel à un ami ! https://aka.ms/AppAssureSentinelPromise
Plus d’informations : App Assure’s promise: Migrate to Sentinel with confidence
Nouveaux connecteurs
Plus d’informations : RSAC 2025 new Microsoft Sentinel connectors announcement
HTTP Data Collector API
Retrait le 14/09/2026 et transition vers Azure Monitor Logs
Ingestion API
Plus d’informations : Transitioning from the HTTP Data Collector API to the Log Ingestion API…What does it mean for me?
Microsoft Sentinel for SAP Agentless
Evolution Agentless de la solution SAP
Plus d’informations : Microsoft Sentinel for SAP: New Security Content Goes Beyond Agentless
Solution Samsung Knox
Plus d’informations : Enhance mobile security with the Samsung Knox solution for Microsoft Sentinel
Security Copilot
Agents dans Security Copilot (public preview)
• Conditional Access Optimization Agent dans Entra ID, qui permet de surveiller les applications ou utilisateurs non encore soumis à des règles d’accès conditionnel, d’identifier des évolutions afin d’améliorer la sécurité et de recommander des quick fixes.
En vidéo ici
• Vulnerability Remediation Agent dans Microsoft Intune, qui permet de gérer et prioriser les vulnérabilités ainsi que les actions correctives, de résoudre les problèmes de configuration des applications et les stratégies.
En vidéo ici
• Threat Intelligence Briefing Agent dans Security Copilot, qui permet de remonter les informations de TI, pertinentes et adaptées au contexte de l’entreprise.
En vidéo ici
Les autres arriveront dans les prochaines semaines
Defender for Endpoint
Règles ASR / Support Linux
Deux nouvelles règles en general availability :
• Block rebooting machine in Safe Mode
• Block use of copied or impersonated system tools
Support de distributions Serveurs ARM64
• Ubuntu, RHEL, Debian, SUSE Linux, Amazon Linux, et Oracle Linux
Ce qui est supporté en AMD64 l’est aussi en ARM64
Plus d’informations : Attack surface reduction rules reference
Defender for Identity
Intégration de solutions PAM
Intégration de 3 solutions de Privileged Access Management du marché.
Dans les actions on retrouve ainsi les interactions :
Plus d’informations : Integrate Defender for Identity with PAM services
Defender for Cloud Apps
Applications Oauth dans l’Attack Path
Dans la partie Attack paths et Map
Plus d’informations : Investigate OAuth application attack paths in Defender for Cloud Apps
Inventaire des Applications
Une nouvelle page avec l’inventaire des applications SaaS et OAuth est disponible.
Plus d’informations : Application inventory – Microsoft Defender for Cloud Apps
Defender for Cloud
Defender for App Service
L’ alerte Suspicious WordPress theme invocation detected est abandonnée. Deux nouvelles alertes sont ajoutées :
• suspicious code executions
• access to internal or remote endpoints
API Security Posture Management
En General Availability et disponible dans le plan CSPM
• Inventaire et posture sur les APIs
• Nouveaux risques : AllowsAnonymousAccess et UnencryptedAccess
Defender for SQL servers
Il évolue grandement au niveau de l’architecture puisqu’il ne nécessite plus l’agent AMA. Une procédure est disponible pour les clients ayant validé le plan avant le 21/04/2025 : Update Defender for SQL servers on Machines plan configuration
Attention à ce warning :
Divers
• Intégration avec Mend.io : Overview of Mend.io integration
• AI Posture Management dans GCP Vertex AI en Public preview :
Découverte d’application AI
Renforcement de la posture de sécurité
Analyse de chemins d’attaques
EVEZHIAN.IO 
Laisser un commentaire