Nouveautés de Sécurité Microsoft - Gestion de l’exposition
Sécurité Microsoft - Gestion de l’exposition (MSEM) est en cours de développement et bénéficie d’améliorations en continu. Pour rester à jour avec les développements les plus récents, cette page vous fournit des informations sur les nouvelles fonctionnalités, les correctifs de bogues et les fonctionnalités dépréciées.
Cette page est fréquemment mise à jour avec les dernières mises à jour dans Sécurité Microsoft - Gestion de l’exposition.
Pour en savoir plus sur MSEM, lisez les blogs ici.
Conseil
Recevez une notification lorsque cette page est mise à jour en copiant et collant l’URL suivante dans votre lecteur de flux :
https://aka.ms/msem/rss
Décembre 2024
Nouvelle bibliothèque de documentation pour la plateforme d’opérations de sécurité unifiée de Microsoft
Recherchez une documentation centralisée sur la plateforme SecOps unifiée de Microsoft dans le portail Microsoft Defender. La plateforme SecOps unifiée de Microsoft regroupe toutes les fonctionnalités d’Microsoft Sentinel, de Microsoft Defender XDR, de Sécurité Microsoft - Gestion de l’exposition et d’IA générative dans le portail Defender. Découvrez les fonctionnalités disponibles avec la plateforme SecOps unifiée de Microsoft, puis commencez à planifier votre déploiement.
Novembre 2024
Annonce de la disponibilité générale de Sécurité Microsoft - Gestion de l’exposition
Nous sommes ravis d’annoncer la disponibilité générale de Sécurité Microsoft - Gestion de l’exposition. Cet outil puissant aide les organisations à se concentrer sur leurs expositions les plus critiques et à agir rapidement. En intégrant des insights sur la sécurité dans l’ensemble du patrimoine numérique, il fournit une vue complète de la posture des risques, ce qui permet de prendre des décisions plus rapides et plus éclairées pour réduire l’exposition avant que les attaquants ne puissent l’exploiter.
Avec cette version en disponibilité générale, vous pouvez désormais créer et améliorer un programme de gestion continue de l’exposition aux menaces (CTEM), en identifiant, en hiérarchisant et en atténuant en permanence les risques dans votre paysage numérique.
Améliorations du chemin d’attaque
Chemins d’attaque hybride : local vers le cloud
Nous prenons désormais en charge la découverte et la visualisation des chemins d’attaque hybrides qui proviennent d’environnements locaux et traversent les infrastructures cloud. Nous avons introduit une nouvelle colonne Type pour les chemins d’attaque afin d’afficher la prise en charge des chemins hybrides qui effectuent la transition entre les environnements locaux et cloud, ou vice versa. Cette fonctionnalité permet aux équipes de sécurité de :
- Identifier les vecteurs d’attaque inter-environnements : Découvrez comment les vulnérabilités dans les environnements locaux peuvent être exploitées pour cibler des ressources dans le cloud.
- Hiérarchiser efficacement la correction : Obtenez une clarté sur les risques potentiels pour les ressources cloud critiques provenant de votre infrastructure hybride.
- Améliorer les stratégies de défense hybride : Utilisez ces insights pour renforcer les postures de sécurité locales et cloud.
Cette fonctionnalité comble une lacune critique dans la sécurisation des environnements hybrides en offrant une visibilité de bout en bout sur les chemins d’attaque interconnectés.
Analyse du chemin d’accès basée sur DACL
Nos calculs de chemin d’attaque incluent désormais la prise en charge des Access Control Listes discrétionnaires (DACL), ce qui fournit une représentation plus précise des chemins d’attaque potentiels en incorporant des autorisations basées sur les groupes. Cette amélioration permet aux défenseurs de :
- Prenez des décisions plus éclairées lors de la résolution des risques liés aux structures d’autorisation.
- Afficher les risques dans l’environnement de la même façon que les attaquants
- Identifier les points d’étranglement à faible suspension des fruits qui exposent considérablement l’environnement à des risques
Pour plus d’informations, consultez Passer en revue les chemins d’attaque
Connecteurs de données externes
Nous avons introduit de nouveaux connecteurs de données externes pour améliorer les fonctionnalités d’intégration des données, ce qui permet l’ingestion transparente des données de sécurité d’autres fournisseurs de sécurité. Les données collectées via ces connecteurs sont normalisées dans notre graphique d’exposition, ce qui améliore l’inventaire de vos appareils, les relations de mappage et révèle de nouveaux chemins d’attaque pour une visibilité complète de la surface d’attaque. Ces connecteurs vous aident à consolider les données de posture de sécurité provenant de différentes sources, en fournissant une vue complète de votre posture de sécurité.
Pour plus d’informations, consultez Vue d’ensemble des connecteurs de données.
Sources de découverte disponibles dans la carte des surfaces d’inventaire et d’attaque
L’inventaire des appareils et la carte de la surface d’attaque affichent désormais les sources de données pour chaque ressource découverte. Cette fonctionnalité fournit une vue d’ensemble des outils ou produits signalés par chaque ressource, notamment Microsoft et les connecteurs externes comme Tenable ou ServiceNow CMDB. Dans l’inventaire, utilisez la colonne Sources de découverte pour filtrer les appareils en fonction des sources de rapports. Dans la carte de la surface d’attaque, basculez la vue Sources de découverte à l’aide de l’option Calques . Vous pouvez également interroger les sources de découverte dans la table Informations sur l’appareil via la chasse avancée.
Pour plus d’informations sur la compréhension des données provenant de sources externes, consultez Obtention de valeur à partir de vos connecteurs de données
Initiative de sécurité OT
La nouvelle initiative de sécurité de la technologie opérationnelle (OT) fournit aux praticiens un outil puissant pour identifier, surveiller et atténuer les risques dans l’environnement OT, garantissant ainsi la fiabilité et la sécurité opérationnelles. Cette initiative vise à identifier les appareils sur les sites physiques, à évaluer les risques associés et à fournir une protection plus rapide et plus efficace pour les systèmes OT.
Pour plus d’informations, consultez Passer en revue les initiatives de sécurité
Sécurité Microsoft - Gestion de l’exposition est désormais pris en charge dans Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié
Le contrôle d’accès aux Sécurité Microsoft - Gestion de l’exposition peut désormais être géré à l’aide Microsoft Defender XDR modèle d’autorisations de Role-Based Access Control unifié (RBAC) avec des autorisations dédiées et granulaires.
Cette nouvelle fonctionnalité permet aux administrateurs d’accorder à leurs responsables de posture l’accès aux données et expériences de gestion des expositions avec l’approche d’accès le moins privilégié plutôt que les rôles d’ID Microsoft Azure Entra, qui est toujours pris en charge et peut être utilisé si nécessaire.
Pour en savoir plus sur Sécurité Microsoft - Gestion de l’exposition la gestion des accès à l’aide Microsoft Defender XDR modèle d’autorisations RBAC unifié, consultez Prérequis et prise en charge.
Pour en savoir plus sur la création de rôles personnalisés dans Microsoft Defender XDR RBAC unifié, consultez Créer des rôles personnalisés dans Microsoft Defender XDR RBAC unifié.
Notifications de contrôle de version de contenu
La nouvelle fonctionnalité de gestion de version dans Sécurité Microsoft - Gestion de l’exposition offre des notifications proactives sur les mises à jour de version à venir, offrant aux utilisateurs une visibilité avancée sur les modifications de métriques prévues et leur impact sur leurs initiatives associées. Un panneau latéral dédié fournit des détails complets sur chaque mise à jour, notamment la date de publication attendue, les notes de publication, les valeurs de métrique actuelles et nouvelles, ainsi que les modifications apportées aux scores d’initiative associés. En outre, les utilisateurs peuvent partager des commentaires directs sur les mises à jour au sein de la plateforme, ce qui favorise l’amélioration continue et la réactivité aux besoins des utilisateurs.
Pour plus d’informations sur les insights d’exposition, consultez Vue d’ensemble - Insights d’exposition
Historique d’exposition pour les métriques
L’utilisateur peut examiner les modifications de métriques en examinant les détails du changement d’exposition des ressources. Dans l’onglet Historique de l’initiative, en sélectionnant une métrique spécifique, vous pouvez maintenant voir la liste des ressources où l’exposition a été ajoutée ou supprimée, ce qui fournit des informations plus claires sur les décalages d’exposition au fil du temps.
Pour plus d’informations, consultez Examen de l’historique des initiatives
Initiative de sécurité SaaS
L’initiative de sécurité SaaS offre une vue claire de votre couverture de sécurité SaaS, de l’intégrité, de la configuration et des performances. Grâce à des métriques couvrant plusieurs domaines, les responsables de la sécurité ont une bonne compréhension de leur posture de sécurité SaaS.
Pour plus d’informations, consultez Initiative de sécurité SaaS
Octobre 2024
Nouveautés dans les chemins d’attaque
Nous avons introduit quatre nouvelles fonctionnalités conçues pour améliorer vos efforts de gestion de la sécurité et d’atténuation des risques. Ces fonctionnalités fournissent des informations précieuses sur les chemins d’attaque identifiés dans votre environnement, ce qui vous permet de hiérarchiser efficacement les stratégies d’atténuation des risques et de réduire l’impact des menaces potentielles.
Les nouvelles fonctionnalités sont les suivantes :
- Widget de chemin d’attaque sur la page de vue d’ensemble de la gestion des expositions : fournit aux utilisateurs une vue d’ensemble des chemins d’attaque découverts en un coup d’œil. Il affiche un chronologie des chemins d’accès nouvellement identifiés, des points d’entrée clés, des types de cibles, etc., garantissant que les équipes de sécurité restent informées des menaces émergentes et peuvent réagir rapidement.
- Tableau de bord du chemin d’attaque : fournit une vue d’ensemble générale de tous les chemins d’attaque identifiés dans l’environnement. Cette fonctionnalité permet aux équipes de sécurité d’obtenir des informations précieuses sur les types de chemins identifiés, les principaux points d’entrée, les ressources cibles et bien plus encore, ce qui permet de hiérarchiser efficacement les efforts d’atténuation des risques.
- Points d’étranglement : met en évidence les ressources critiques que plusieurs chemins d’attaque croisent, en les identifiant comme des vulnérabilités clés au sein de l’environnement. En se concentrant sur ces points d’étranglement, les équipes de sécurité peuvent réduire efficacement les risques en traitant les ressources à fort impact, empêchant ainsi les attaquants de progresser par différents chemins.
- Rayon d’explosion : permet aux utilisateurs d’explorer visuellement les chemins à partir d’un point d’étranglement. Il fournit une visualisation détaillée montrant comment la compromission d’une ressource peut affecter d’autres ressources, ce qui permet aux équipes de sécurité d’évaluer les implications plus larges d’une attaque et de hiérarchiser les stratégies d’atténuation plus efficacement.
Pour plus d’informations, consultez Vue d’ensemble des chemins d’attaque.
Septembre 2024
Nouvelle initiative de sécurité IoT d’entreprise
Avec cette nouvelle initiative, Enterprise IoT Security offre une solution puissante pour identifier les appareils IoT non gérés et améliorer votre sécurité. Grâce à la surveillance continue, aux évaluations des vulnérabilités et aux recommandations personnalisées conçues pour les appareils IoT d’entreprise, vous bénéficiez d’une visibilité complète des risques posés par ces appareils. Cette initiative vous aide non seulement à comprendre les menaces potentielles, mais également à renforcer la résilience de votre organization pour les atténuer.
Pour plus d’informations, consultez Passer en revue les initiatives de sécurité
Nouvelles classifications prédéfinies
La règle de classification prédéfinie suivante a été ajoutée à la liste des ressources critiques :
| Classification | Description |
|---|---|
| Hyper-V Server | Cette règle s’applique aux appareils identifiés en tant que serveurs Hyper-V au sein d’un domaine. Ces serveurs sont essentiels pour l’exécution et la gestion des machines virtuelles au sein de votre infrastructure, et servent de plateforme de base pour leur création et leur gestion. |
Visibilité améliorée pour les utilisateurs délimités
Cette modification permet désormais aux utilisateurs qui n’ont accès qu’à certains appareils de l’organization de voir la liste des ressources affectées dans les métriques, les recommandations, les événements et l’historique des initiatives dans leur étendue spécifique.
Pour plus d’informations, consultez Prérequis et support.
Gérer de manière proactive votre posture de sécurité
Découvrez comment les tables ExposureGraphEdges et ExposureGraphNodes dans Advanced Hunting aident vos organisations à gérer et à comprendre votre posture de sécurité de manière proactive en analysant les relations entre les ressources et les vulnérabilités potentielles.
Blog - Graphe Sécurité Microsoft - Gestion de l’exposition : La hiérarchisation est le roi
Pour plus d’informations, consultez Interroger le graphe d’exposition d’entreprise
Août 2024
Nouvelles classifications prédéfinies
Les règles de classification d’identité prédéfinies suivantes ont été ajoutées à la liste des ressources critiques :
| Classification | Description |
|---|---|
| Administrateur du fournisseur d’identité externe | Cette règle s’applique aux identités affectées avec le Microsoft Entra rôle « Administrateur de fournisseur d’identité externe ». |
| Administrateur de noms de domaine | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de noms de domaine » Microsoft Entra. |
| administrateur Gestion des autorisations | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « administrateur Gestion des autorisations ». |
| Administrateur de facturation | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de facturation » Microsoft Entra. |
| Administrateur de licences | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de licence » Microsoft Entra. |
| Administrateur Teams | Cette règle s’applique aux identités affectées avec le rôle « Administrateur Teams » Microsoft Entra. |
| administrateur de flux utilisateur ID externe | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « administrateur de flux d’utilisateurs ID externe ». |
| administrateur d’attributs de flux utilisateur ID externe | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « administrateur d’attributs de flux d’utilisateur ID externe ». |
| Administrateur de stratégie IEF B2C | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de stratégie IEF B2C » Microsoft Entra. |
| Administrateur de conformité des données | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « Administrateur des données de conformité ». |
| Administrateur de stratégie d’authentification | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de stratégie d’authentification » Microsoft Entra. |
| Administrateur des connaissances | Cette règle s’applique aux identités affectées avec le rôle « Administrateur des connaissances » Microsoft Entra. |
| Responsables d’informations | Cette règle s’applique aux identités affectées avec le rôle « Gestionnaire des connaissances » Microsoft Entra. |
| Administrateur de définition d’attribut | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de définition d’attribut » Microsoft Entra. |
| Administrateur d’attribution d’attributs | Cette règle s’applique aux identités affectées avec le rôle « Administrateur d’affectation d’attributs » Microsoft Entra. |
| Administrateur de gouvernance des identités | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « Administrateur de gouvernance des identités ». |
| administrateur Sécurité des applications cloud | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « administrateur Sécurité des applications cloud ». |
| Windows 365 | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « administrateur Windows 365 ». |
| Administrateur Yammer | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « Administrateur Yammer ». |
| Administrateur de l’extensibilité de l’authentification | Cette règle s’applique aux identités affectées avec le rôle « Administrateur d’extensibilité d’authentification » Microsoft Entra. |
| Administrateur de workflows de cycle de vie | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de workflows de cycle de vie » Microsoft Entra. |
Pour plus d’informations, consultez Classifications prédéfinies
Nouvel événement d’initiative
Un nouveau type d’événement a été créé pour avertir les utilisateurs lorsqu’une nouvelle initiative est ajoutée à MSEM.
Pour plus d’informations, consultez Vue d’ensemble - Insights sur l’exposition
Nouvelles de l’équipe de recherche
En savoir plus sur ce que l’équipe de recherche a fait dans ce blog - Bridging the On-premises to Cloud Security Gap : Cloud Credentials Detection
Juillet 2024
Nouvelles classifications prédéfinies
Les règles de classification prédéfinies suivantes ont été ajoutées à la liste des ressources critiques :
| Classification | Description |
|---|---|
| Exchange | Cette règle s’applique aux appareils identifiés en tant que serveurs Exchange opérationnels au sein d’un domaine. Ces serveurs peuvent contenir des données sensibles du organization. |
| VMware ESXi | Cette règle s’applique aux appareils identifiés en tant que serveurs ESXi opérationnels. Ces appareils peuvent contenir d’autres appareils sensibles ou critiques. |
| VMware vCenter | Cette règle s’applique aux appareils identifiés comme VMware vCenter opérationnel et fréquemment utilisés par les administrateurs pour gérer l’infrastructure virtuelle. |
| Identité avec rôle Azure privilégié | Cette règle s’applique aux identités affectées avec un rôle Azure privilégié, sur une étendue potentiellement critique pour l’entreprise. |
| Administrateur Exchange | Cette règle s’applique aux identités affectées avec le rôle « Administrateur Exchange » Microsoft Entra. |
| Administrateur SharePoint | Cette règle s’applique aux identités affectées avec le rôle « Administrateur SharePoint » Microsoft Entra. |
| Administrateur de conformité | Cette règle s’applique aux identités affectées avec le rôle « Administrateur de conformité » Microsoft Entra. |
| administrateur Groupes | Cette règle s’applique aux identités affectées avec le rôle Microsoft Entra « administrateur Groupes ». |
| Machine virtuelle Azure confidentielle | Cette règle s’applique aux Machines Virtuelles confidentiels Azure. |
| Machine virtuelle Azure verrouillée | Cette règle s’applique aux machines virtuelles Azure qui sont protégées par un verrou. |
| Machine virtuelle Azure avec haute disponibilité et performances | Cette règle s’applique aux Machines Virtuelles Azure qui utilisent le stockage Azure Premium et sont configurés avec un groupe à haute disponibilité. |
| Stockage Azure immuable | Cette règle s’applique aux comptes de stockage Azure dont la prise en charge de l’immuabilité est activée. |
| Stockage Azure immuable et verrouillé | Cette règle s’applique aux comptes de stockage Azure dont la prise en charge de l’immuabilité est activée avec une stratégie verrouillée en place. |
| La machine virtuelle Azure a un utilisateur connecté critique | Cette règle s’applique à Azure Machines Virtuelles avec un utilisateur critique connecté protégé par Defender pour point de terminaison avec des utilisateurs à haute ou très haute criticité connectés. |
| Azure Key Vaults avec de nombreuses identités connectées | Cette règle s’applique aux coffres de clés Azure avec un accès élevé par rapport aux autres, ce qui indique une utilisation critique de la charge de travail. |
Pour plus d’informations, consultez Classifications prédéfinies
Mai 2024
Intégration à Threat Analytics
Nouvelle intégration à Threat Analytics pour améliorer l’ensemble des initiatives de sécurité de domaine avec des initiatives de sécurité basées sur les menaces. Ces initiatives se concentrent sur des techniques d’attaque spécifiques et des acteurs actifs des menaces, comme l’ont vu et analysé les chercheurs experts en sécurité Microsoft.
Blog - Répondre aux menaces tendances et adopter la confiance zéro avec la gestion des expositions
Pour plus d’informations, consultez Passer en revue les initiatives de sécurité
Nouvelles tables de gestion des expositions
MSEM a publié deux nouvelles tables puissantes dans Advanced Hunting : ExposureGraphNodes et ExposureGraphEdges.
Blog - Sécurité Microsoft - Gestion de l’exposition Graph : dévoilement de la puissance
Pour plus d’informations, consultez Interroger le graphe d’exposition d’entreprise
Avril 2024
Protection des ressources critiques
Sécurité Microsoft - Gestion de l’exposition introduit une approche contextuelle basée sur les risques, qui permet aux organisations d’identifier et de hiérarchiser efficacement les ressources critiques. En évaluant les expositions potentielles en temps réel, les équipes de sécurité gagnent en clarté et se concentrent sur la protection de leurs ressources numériques.
Blog - Protection des ressources critiques avec Sécurité Microsoft - Gestion de l’exposition
Pour plus d’informations, consultez Vue d’ensemble de la gestion des ressources critiques.