Divers

Collaboration Crowdstrike / Microsoft

Une collaboration pour apporter un peu de clarté aux conventions de nommage des groupes d’attaquants : ici

Google / Mandiant et Palo Alto ont aussi annoncé leur contribution
L’annonce en question : Announcing a new strategic collaboration to bring clarity to threat actor naming
A noter aussi sur le repo github un bon outil pour voyager à travers les différents groupes d’attaquants : Knowledge Graph

How to deploy AI safely

Yonatan Zunger CVP et Deputy CISO chez Microsoft a publié le premier billet d’une série avec en rappel pour certains que bon sens pour un déploiement IA en toute sécurité.
How to deploy AI safely

Entra ID

Entra Resilience par John Savill

Il y avait eu une première vidéo (toujours accessible et avec beaucoup d’éléments toujours valides) Celle-ci présente les dernières innovations en matière de résilience sur la plateforme Entra ID : Entra Resilience Deep Dive

Conformité DORA

D’intéressantes ressources ont été publiées ces derniers temps par Microsoft au sujet de la conformité DORA :
• dans le learn, tableau (service Entra, Guide, Article DORA) : ici
• Blog : Enhance identity security and resilience to minimize operational disruptions
• Au niveau du contrat : ici
• Dans le Service Trust Portal : ici

External ID et fédération SAML/WS-fed

On peut désormais configurer un IdP(SAML/WS-fed) et l’utiliser dans Entra External ID pour l’authentification . L’utilisateur va s’authentifier avec son compte dans l’IdP externe puis si succès sera redirigé vers Entra External ID . La configuration s’effectue dans Entra et l’IdP : About SAML/WS-Fed identity provider federation – Microsoft Entra External ID

Entra Connect Sync : ABA

L’ Application Based Authentication dans Entra Connect Sync est en public preview. La version d’Entra Connect Sync à utiliser pour en profiter est celle disponible sur le portail Entra. Il utilise une application dans Entra ID,
un certificat et d’Oauth 2.0 : Authenticate to Microsoft Entra ID using Application Identity
Nous avons 3 possibilités :
• Application gérée par Entra Connect
• Bring Your Own Application (BYOA)
• Bring your Own Certificate (BYOC)

CA : Policy Impact (GA)

Afin de pouvoir observer l’impact d’une stratégie d’accès conditionnel, nous avons maintenant un bouton View policy impact dans chaque stratégie : Analyze Conditional Access policy impact

On peut avoir une visibilité sur 24h, 7 jours ou 1 mois

GSA : Deployment Logs (public preview)

De nouveaux logs pour avoir la visibilité sur les changements de configuration de Global Secure Access avec les champs suivants

Pour en savoir plus : View and Analyze Deployment Logs in Global Secure Access

Unified Security Operations Platform

Advanced Hunting

Dans Advanced Hunting on a désormais les User Defined Rules ainsi que des filtres supplémentaires (workspace ID, …) : Manage custom detection rules in Microsoft Defender XDR

Unified Security Summary

Un nouveau tableau de bord avec :
• Posture de sécurité
• Détection
• Protection
• Investigation et réponse
• Investigation et réponse via Security Copilot

Plus d’informations : Visualize security impact with the unified security summary

Nouvelles tables pour Teams (public preview)

• MessageEvents : details sur les messages envoyés et reçus
• MessagePostDeliveryEvents : événements de sécurité après la réception de message
• MessageUrlInfo : informations sur les urls ayant transité via Teams

Table IdentityInfo

Attention à la liste des colonnes par rapport à la table Sentinel : The Power of a Unified SIEM+XDR IdentityInfo Schema

Microsoft Sentinel

Transition dans le portail Defender XDR

Trois bonnes sources d’information pour ces changements importants :
• The Best of Microsoft Sentinel — Now in Microsoft Defender
• Microsoft Sentinel in the Microsoft Defender portal
• Transition Your Microsoft Sentinel Environment to the Defender Portal

Ajouts à SOC Optimization (public preview)

AI MITRE ATT&CK tagging recommendations : via l’IA tagging des tactiques / techniques
• Appliquer la recommandation à une règles analytiques spécifique
• Appliquer la recommandation à toutes les règles du workspace.
• Ne pas appliquer

Recommandations basées sur les risques

Security Copilot

Intégration dans Defender for Cloud

Boutons Analyze with copilot et Summarize with copilot : Microsoft Security Copilot in Defender for Cloud

Connecteur copilot studio

Permet d’intégrer Security Copilot dans des workflows (powerautomate aussi) : Copilot Studio connector in Microsoft Security Copilot
• Soumettre un prompt
• Récupérer le statut d’une évaluation

Nouveaux plugins

• Censys pour la TI
• HP Workforce Experience Platform pour une analyse de flotte
• 35 plugins tierce partie disponibles et 12 plugins Microsoft

Defender for Endpoint

AV-comparatives et tampering

MDE a passé tous les tests de tampering de AV-comparatives

Plus d’informations : Defender for Endpoint successfully passes the AV-Comparatives 2025 Anti-Tampering Test

Defender for Office 365

Nouveaux guides pour Teams et MDO

• Déploiement de la protection dans Teams : ici
• Guide Secops pour Teams : ici

Defender for Identity

Déploiement du sensor

Le déploiement du sensor unifié est désormais possible sans l’onboarding Defender for Endpoint. On a aussi la visibilité sur les DC non éligibles

Plus d’informations : Activate Microsoft Defender for Identity capabilities directly on a domain controller

Health Issue : VMware

Pour les configurations VMWare, une nouvelle alerte est disponible en cas de mauvaise configuration : Microsoft Defender for Identity health issues

Defender for Cloud Apps

Obsolescence des SIEM agents

Prévu pour Novembre 2025, pour une bonne transition :
• Alertes : Microsoft Defender XDR Streaming API
• Entra ID Protection logon events : table IdentityLogonEvents
• Pour les alertes Microsoft Graph Security API : List alerts_v2
Plus d’informations : Migrate to Supported API Solutions

Defender for Cloud

On upload malware scanning (blob storage)

Plus d’informations : Microsoft Defender for Storage on-upload malware scanning

Tableau de bord Data and AI

Plus d’informations : Data and AI security dashboard

Nouvelle architecture des plans SQL

Une simplification intéressante puisque l’agent MMA/AMA n’est plus nécessaire. Pour la mise à jour :

Plus d’informations : Enhancements for protecting hosted SQL servers across clouds and hybrid environments

Divers

Active User (public Preview) : sur chaque recommandation, les 3 utilisateurs les plus actifs sont indiqués
Defender for AI Services passe en General Availability : AI threat protection avec en prime un script pour estimer les coûts : Defender for AI Price estimation scripts