Archives des étiquettes : Defender

Microsoft Defender pour Office 365 ajoute une protection pour les comptes plus sensibles

Microsoft a annoncé mercredi dernier la disponibilité de la version commerciale de la « protection différenciée des comptes prioritaires » dans Microsoft Defender pour les utilisateurs d’Office 365. Fonction qui permet aux administration de marquer les comptes de messagerie sensibles dans l’entreprise. Comme par exemple pour des cadres, des dirigeants, ou d’autres utilisateurs ayant accès à des informations sensibles.

Ces comptes marqués bénéficieraient d’une meilleure protection contre les menaces grâce aux processus d’apprentissage automatique de Microsoft associés au service Microsoft Defender for Office 365. Microsoft précise : qu’ en se concentrant sur ces ensembles d’utilisateurs spécifiques et sur les attaques qui les ciblent, ils ont pu améliorer les modèles d’apprentissage automatique pour offrir un niveau de protection plus élevé. Ils ont aussi été en mesure d’ajuster d’autres aspects des fonctions de protection, comme la façon dont les messages sont traités dans les « bacs à sables ». Microsoft active par défaut la fonction de compte prioritaire pour les abonnés concernés. Bien que les administrateurs puissent la désactiver.

Il est alors possible de voir les statistiques sur les comptes prioritaires en les filtrant dans la vue Threat Explorer de Microsoft Defender for Office 365. Interessant également : les étiquettes de comptes prioritaires fonctionnent également avec le processus de mise en quarantaine des e-mails, ce qui permet de voir « les e-mails malveillants qui ciblent ces comptes critiques ». Les attaques signalées par le biais d’une « nouvelle expérience unifiée des soumissions » sont « explicitement marquées et filtrées » pour les équipes de sécurité. Il est également possible de simuler des attaques sur des utilisateurs en fonction des étiquettes de comptes prioritaires pour tester l’ensemble ! Enfin, Microsoft a indiqué qu’il est également possible de créer des politiques d’alerte personnalisées dans Microsoft Defender pour Office 365.

Attention néanmoins, cette fonction n’est disponible que pour les abonnés à Microsoft Defender for Office 365 possédant des comptes Plan 2. La disponibilité inclut bien sûr également les comptes « Office 365 E5, Microsoft 365 E5, ou Microsoft 365 E5 Security ».

Nous reviendrons sur ces annonces lors du prochain Briefing Calipia avec une session dédiée sur les fonctions de sécurités offertes par Microsoft.

Microsoft Defender For Cloud prend désormais en charge Google Cloud Platform

Avec la généralisation du multi-cloud dans la plupart des entreprises, Microsoft vient d’annonce que son offre Defender for Cloud s’étend désormais aussi à GCP (Google Cloud Platform). C’était déjà le cas pour AWS depuis les annonces d’Ignite, nous vous en parlions sur le blog.

Avec cette nouvelle, Microsoft, devient le seul fournisseur de cloud qui permet de gérer la sécurité de manière native à travers les différents Clouds. Certaines des fonctionnalités et des exemples d’avantages sont présentés ci-dessous, comme l’explique Gilad Elyashar de Microsoft sur le Microsoft Defender for Cloud Blog.

« Vue centrale multi-cloud avec un nouveau score de sécurité pour tous les clouds combinés et la possibilité de comparer votre statut de conformité par rapport à des repères critiques tels que le Center of Internet Security (CIS) pour GCP et AWS. »

« Microsoft Defender for Cloud fournira plus de 80 recommandations prêtes à l’emploi pour commencer. Celles-ci sont alignées sur les normes du secteur et les meilleures pratiques de sécurité, y compris une mise en correspondance avec le référentiel CIS pour Google Cloud. »
« Les capacités de protection contre les menaces sont intégrées dans Microsoft Defender for Cloud pour les charges de travail les plus critiques exécutées dans GCP, y compris les conteneurs et les serveurs.
Defender for Cloud étend sa protection des serveurs pour prendre en charge les VM de Google Compute Engine, un autre type de charge de travail critique dans la plupart des environnements. »

Pour ceux qui s’inquiètent du processus d’intégration, Microsoft affirme qu’il devrait être assez facile. Microsoft utilise les API natives de Google et permet aux équipes de sécurité de connecter l’ensemble de l’organisation ou des projets individuels à Microsoft Defender for Cloud sans avoir besoin d’agents ou de services Google supplémentaires.

Anti-malware : de bonnes notes pour Microsoft Defender

Microsoft traine depuis pas mal d’années une mauvaise réputation en matière d’antivirus, alors que la société fait depuis plus de 20 ans des efforts en la matière et parvient peu à peu à corriger son image. Aujourd’hui le laboratoire allemand AV-Test a publié son rapport d’évaluation des meilleurs programmes antivirus de décembre 2021 pour les utilisateurs domestiques de Windows 10. Dans ce rapport, l’organisation a étudié 20 programmes anti-malware différents de diverses entreprises et le test intègre Windows Defender.

Windows Defender a obtenu un score très élevé dans cette évaluation. En fait, il est l’un des meilleurs disponibles aujourd’hui et a obtenu les 18 points. Il a donc logiquement reçu la certification « AV-TEST TOP PRODUCT » (supérieur au seuil de 17,5 points). Outre Defender, ESET, Kaspersky, Avira et Norton, entre autres, ont également obtenu la note maximale.

Microsoft Defender se place donc devant certains de ses concurrents de poids comme Avast, AVG et Malwarebytes qui ont chacun obtenu un score inférieur dans l’une des trois catégories.

Travaillant dans l’informatique, c’est assez régulièrement que nos amis nous posent la question : « Et toi tu me conseilles d’acheter quoi comme anti-virus pour mon PC ? » Avec une offre intégrée et gratuite comme Defender, j’avais la réponse, cette petite étude ravira les plus sceptiques 🙂

Toute l’étude est à retrouver ici.

Microsoft Defender for Endpoint peut maintenant détecter les appareils non gérés

La fonction d’inventaire des périphériques non gérés, qui était en beta depuis fin avril, est maintenant en version finale. Cette fonctionnalité sera visible d’ici le 19 juillet dans la console de gestion Microsoft 365 Defender, où elle apparaîtra sous l’option de menu « Endpoints ».

L’objectif de cette fonction est logiquement découvrir les périphériques non gérés d’un réseau, puis de les intégrer à Defender afin qu’ils soient gérés. Cette fonction peut détecter les stations de travail, les serveurs et les terminaux mobiles (Windows, Linux, macOS, iOS et Android) qui n’ont pas été intégrés et sécurisés. Il peut même détecter les périphériques réseau, tels que les pare-feu, les routeurs, les commutateurs, les passerelles de réseau privé virtuel, etc.

La nouvelle fonction d’inventaire des périphériques non gérés est associée à un changement de mode de découverte de « Basic » à « Standard ». Ce passage au mode Standard est effectué automatiquement par Microsoft afin selon l’éditeur de fournir de meilleures capacités de découverte des périphériques. Le passage au mode Standard sera annoncé aux administrateur par le biais d’une fenêtre contextuelle qui apparaîtra en haut de la console Microsoft 365 Defender. Selon Microsoft, le mode de découverte Standard propose un processus de recherche de vulnérabilités plus actif et plus approfondi que le mode de découverte Basic. L’utilisation de ce mode n’aurait pas d’impact important sur le réseau, affirme la société :

« Une fois que vous avez activé ce processus [mode Standard], la quantité de trafic réseau est minimale, jusqu’à 5k de trafic est généré par dispositif découvert et la fréquence de ce processus est seulement une fois toutes les 3 semaines après la découverte initiale ou lorsque certaines caractéristiques du dispositif géré changent ».

Azure Defender protégera les serveurs Linux

Le mois dernier, Microsoft avait annoncé la prise en charge, via Microsoft Defender for Endpoint security, de la protection de machines Linux et de la possibilité de réaliser des analyses après intrusion. Poursuivant sa stratégie, Microsoft annonce aujourd’hui que Azure Defender disposera à court terme de la capacité de protéger les serveurs Linux. La beta est attendue dans une dizaine de jours (le 14 juin normalement).

Les distributions de serveurs Linux suivantes seront prises en charge par la beta d’Azure Defender :

  • Red Hat Enterprise Linux 7.2 ou version supérieure
  • CentOS 7.2 ou version supérieure
  • Ubuntu 16.04 LTS ou version supérieure
  • Debian 9 ou supérieure
  • SUSE Linux Enterprise Server 12 ou version supérieure
  • Oracle Linux 7.2 ou version supérieure

Attention on parle ici à la fois de protection dans le Cloud (Azure) mais aussi en local Azure Defender fonctionnant pour rappel avec des environnements hybrides. Cette protection est possible par l’utilisation de l’agent Azure Arc. Azure Arc étant défini comme la « plateforme de gestion multi-cloud et sur site ».

Aucune information complémentaire en matière de licensing n’est en revanche annoncée, impossible de savoir par exemple si une licence pour Azure Arc est nécessaire pour utiliser l’agent nécessaire dans ce type d’usage. Pour cela il faudra sans doute attendre la version finale.

IoT et Sécurité : Microsoft rachète ReFirm Labs

Le mois dernier, nous vous en parlions, Microsoft avait publié un nouvel outil appelé Counterfit qui automatise les tests de sécurité des systèmes d’IA d’une organisation et s’est associé à Darktrace pour aider les clients à combattre les cybermenaces avec là aussi de l’IA.

Aujourd’hui, Microsoft a annoncé l’acquisition de ReFirm Labs, une société américaine qui fournit des outils pour évaluer et surveiller les risques qui se cachent dans le micrologiciel des appareils IoT et connectés. Cette acquisition devrait renforcer la plateforme Azure Defender for IoT de Microsoft, en aidant à se protéger contre les attaques exploitants le micro code des objets connectés. Il est effectivement à craindre que ce code intégré dans ces objets multiples et souvent mal protégé devient rapidement la prochaine surface d’attaque de choix dans un contexte ou de nombreux constructeurs d’appareils qui intègrent des composants tiers dans leurs produits manquent souvent d’expertise ou d’outils pour détecter toute vulnérabilité. Ceci est aussi vrai sur des objets du quotidien, de domotique, que sur des objets industriels.

Selon une enquête récemment commandée par Microsoft auprès de 1 000 RSI, 83 % des personnes interrogées ont été confrontées à un incident de sécurité lié aux microcode, mais seulement 29 % ont consacré des ressources à la découverte et à la résolution des problèmes…

Avec l’ajout de la technologie de ReFirm Labs et de son outil d’analyse de microcode open-source Binwalk, Microsoft veut fournir aux clients une solution tout-en-un, basée sur le cloud, qui les aidera à identifier, surveiller et répondre aux problèmes de sécurité allant du niveau de la puce et du micrologiciel au réseau et au cloud.

Microsoft va lancer son application antivirus sur iOS et Android cette année

defender iosIl y a presque qu’un an, Microsoft avait lancé en beta son logiciel antivirus Defender pour Mac, la société se prépare maintenant à proposer l’application sur iOS et Android. Sur iOS, les fonctionnalités offertes devraient se concentrer sur de la protection contre le phishing principalement.

Microsoft a annoncé qu’il partagera plus de détails sur Defender Advanced Threat Protection pour iOS et Android cette semaine lors de la conférence RSA.

Alors que la version Mac offre une protection antivirus et des analyses complètes de la machine, Les versions mobiles – en particulier sur iOS – qui arriveront dans le courant de l’année ne devraient pas offrir la même chose en raison des limitations d’Apple pour avec les applications qui descendent trop bas dans les couches Système..

Les clients mobiles Defender de Microsoft seront probablement très différents des versions de bureau, d’autant plus que la plateforme iOS d’Apple ne permet pas aux applications de rechercher des logiciels malveillants sur un iPhone ou un iPad. Il existe cependant une variété d’applications antivirus pour Android. Microsoft se joindra à ce marché en pleine croissance pour empêcher la présence de logiciels malveillants dans les applications Android qui sont chargées sur les appareils.

Microsoft n’a pas communiqué la date de sortie des versions iOS et Android, mais nous pourrions en entendre davantage cette semaine lors de l’annonce de la conférence RSA.

Windows Defender ATP devient Microsoft Defender ATP… et arrive sur Mac

Microsoft Defender ATPSi vous suivez la galaxie des produits de sécurité Microsoft vous connaissez sans aucun doute WIndows Defender ATP : la technologies de protection contre les menaces avancées de Windows Defender. Et bien il faudra désormais appelé ce service Microsoft Defender ATP qui devient du coup disponible pour macOS.

Microsoft a également annoncé une Threat and Vulnerability Management (TVM), qui permet de « découvrir, hiérarchiser et corriger les vulnérabilités connues et les erreurs de configuration qui sont exploitées par les hackers ».

Cette fonction promet d’obtenir :

  • des informations de détection en temps réel corrélées avec les vulnérabilités identifiées
  • de préciser le contexte de vulnérabilité de la machine
  • le processus de correction intégrés via Intune et Microsoft System Center Configuration Manager

Microsoft Defender ATP pour Mac est disponible en beta restreinte. Microsoft a annoncé que la fonction TVM sera également intégrée à la version Mac.

Ces nouveautés seront disponibles vraisemblablement le mois prochain. Nous reviendrons dans le détail sur les différents produits de sécurité Microsoft lors d’une présentation du prochain Briefing Calipia en juin (plus d’informations en suivant ce lien).