Tema
Sikkerhet
Defender, Purview, Sentinel, MSRC og sårbarheter — fra zero-days til policy-endringer.
-
OpenTelemetry-C++ leser ubegrenset HTTP-svar — fare for ressursutmatting
OTLP HTTP-eksportørene i opentelemetry-cpp leser HTTP-svar uten størrelsesgrense, slik at et ondsinnet eller kompromittert telemetri-endepunkt kan tvinge fram minneoppblåsing og tjenestenekt. Team som sender telemetri via OTLP/HTTP bør oppgradere biblioteket til en rettet versjon.
-
Linux-kjernefeil i net/sched kan korrumpere minne på Azure-VM-er
Microsoft har publisert CVE-2026-46331, en sårbarhet i Linux-kjernens net/sched-subsystem der en delvis copy-on-write i pedit kan korrumpere page cache. Feilen er relevant for Azure Linux-VM-er og AKS-noder, og bør patches så snart oppdateringen er tilgjengelig. Detaljene i MSRC-guiden er foreløpig sparsomme.
-
Heap-overlesing i ASN.1-parsing kan eksponere minne (CVE-2026-34180)
En heap-buffer-overlesing under parsing av ASN.1-innhold kan la en angriper lese tilstøtende minne via manipulerte strukturer, med risiko for informasjonslekkasje eller krasj. ASN.1 brukes bredt i sertifikat- og kryptohåndtering, så admins bør rulle ut oppdateringen raskt.
-
Heap-overflow i OpenSSLs ASN.1-parsing kan gi kodekjøring
OpenSSL har en mulig heap buffer overflow ved konvertering av multibyte ASN.1-strenger. Siden ASN.1 brukes bredt i sertifikat- og kryptohåndtering, kan overflyten i verste fall gi kodekjøring og rammer mange produkter. Dette bør prioriteres høyt i patch-syklusen.
-
NULL-peker i CRMF-dekryptering åpner for tjenestenekt (CVE-2026-42767)
Dekryptering av CRMF EncryptedValue kan utløse en NULL-pekerdereferanse og krasje prosessen som behandler sertifikatforespørsler. Miljøer med sertifikatregistrering via CRMF bør patche når Microsoft publiserer rettelsen.
-
NULL-dereferanse i CMS-dekryptering kan krasje tjenester (CVE-2026-42766)
En mulig NULL-pekerdereferanse i passordbasert CMS-dekryptering kan utløses av spesialutformede data og føre til tjenestenektkrasj. Admins bør prioritere oppdatering på systemer som dekrypterer CMS-meldinger fra upålitelige kilder.
-
Feil tag-håndtering i AES-GCM-SIV svekker integritet for tomme meldinger
Feil i tag-prosesseringen for tomme meldinger i AES-GCM-SIV- og AES-SIV-modus kan svekke autentiseringsgarantien slik at manipulerte meldinger godtas. Utviklere og admins som bruker disse AEAD-modusene bør oppdatere berørte kryptobiblioteker når rettelsen kommer.
-
Lesefeil utenfor minnet i CMS-dekryptering kan lekke data (CVE-2026-9076)
En out-of-bounds-lesefeil i passordbasert CMS-dekryptering kan la en angriper lese minne utenfor tiltenkt buffer, med fare for informasjonslekkasje. IT-admins bør følge MSRC og rulle ut oppdateringen så snart den er tilgjengelig for berørte komponenter.
-
Bleichenbacher-orakel i OpenSSLs CMS_decrypt() truer kryptert data
En Bleichenbacher-padding-orakel-sårbarhet i OpenSSLs CMS_decrypt() og PKCS7_decrypt() med flere RecipientInfo kan la angripere dekryptere RSA-kryptert innhold. Feilen rammer meldings- og sertifikathåndtering i produkter som bygger på OpenSSL. Oppdater berørte biblioteker.
-
Ubegrenset minnevekst i QUIC-håndtering åpner for tjenestenekt
En sårbarhet i håndteringen av QUIC PATH_CHALLENGE gir ubegrenset minnevekst som kan utnyttes til tjenestenekt (DoS). Servere og tjenester som bruker det berørte QUIC-biblioteket kan tvinges til å bruke opp minnet. Berørte komponenter bør patches snarest.
-
OpenSSL ignorerer IV-en i AES-OCB og svekker krypteringen
En feil i OpenSSLs EVP_Cipher()-sti gjør at IV-en ignoreres for AES-OCB, noe som kan svekke krypteringen og gjøre kryptert data mer forutsigbar. Feilen rammer applikasjoner og Microsoft-produkter som benytter OpenSSL til kryptering. Prioriter patching av berørte komponenter.
-
«root» legges feilaktig til i gruppelister (CVE-2025-5791)
En sårbarhet fører til at brukeren «root» feilaktig dukker opp i gruppeoppføringer, noe som kan gi misvisende oversikt over tilganger. MSRC har publisert informasjon om feilen i en berørt komponent. IT-admins bør verifisere gruppemedlemskap og følge med på kommende oppdateringer.
-
Double-free i Rust-biblioteket crossbeam-channel ved drop
Rust-crate-en crossbeam-channel har en double-free-feil ved drop som kan føre til minnekorrupsjon og krasj. Microsoft-produkter og -tjenester som bygger på biblioteket kan være berørt. Hold øye med oppdateringer til komponenter som bruker crossbeam-channel.
-
RCE-sårbarhet i Excel for Mac lar angripere kjøre vilkårlig kode
CVE-2026-45469 er en sårbarhet for ekstern kjøring av kode i Microsoft Excel, og Microsoft har gitt ut sikkerhetsoppdateringer for Office for Mac. IT-admins bør rulle ut oppdateringen til alle berørte Mac-klienter umiddelbart. Andre Office-versjoner er ikke berørt og krever ingen handling.
-
Ny RCE-sårbarhet i Office for Mac krever umiddelbar oppdatering
CVE-2026-45475 er en sårbarhet for ekstern kjøring av kode i Microsoft Office, og rettes i sikkerhetsoppdateringene for Office for Mac. Kunder med berørt Mac-programvare bør installere oppdateringen for å være beskyttet. Andre Office-installasjoner trenger ingen tiltak.
-
AutoJack: Én nettside kan kapre AI-agenten og kjøre kode på verten
Microsoft-forskere avdekket en angrepskjede de kaller AutoJack i AutoGen Studio, der ondsinnet nettinnhold en surfe-agent åpner kan nå en lokal MCP-WebSocket og starte vilkårlige prosesser på vertsmaskinen. Hullet ble tettet i upstream-koden før det nådde en PyPI-utgivelse, så vanlige installasjoner er ikke eksponert for akkurat denne kjeden. Saken er likevel en påminnelse om at agenter som surfer på utrygt innhold kan bryte localhost-tillitsgrensen — vurder hvilke lokale tjenester agent-rammeverk får snakke med.
-
Purview kobler innsiderisiko til oppbevaring av slettede data
Adaptive Protection i Purview integreres med Data Lifecycle Management slik at oppbevaringsetiketter automatisk settes på slettede e-poster og filer ut fra brukerens innsiderisikonivå. For IT-admin betyr det at data fra høyrisikobrukere bevares automatisk når risikoen stiger, uten manuell policy-styring. Lansering er ventet i august 2026.
-
Purview lar deg teste filer mot alle klassifiserere på én gang
En ny funksjon på klassifiseringssiden i Purview lar deg teste filer mot en enkelt klassifiserer eller alle samtidig for å se hva som trigger på sensitivt innhold. Det gjør feilsøking av feilklassifisering raskere for admins som finjusterer DLP- og merkeregler. Lansering er ventet i august 2026.
-
Purview lar deg eksportere DLP- og etikettpolicyer som ZIP
Purview får en eksportfunksjon for DLP-policyer og policyer for merkepublisering, inkludert skjema, som en nedlastbar ZIP-fil. Filen kan legges ved supportsaker for å fremskynde feilsøking. En liten, men kjærkommen forbedring for admins som jobber mye mot Microsoft support. Lansering er ventet i august 2026.
-
Månedens Azure-tips: Event Grid-triggere og TLS-pinning i praksis
Core Infrastructure and Security-bloggen samler månedens beste community-artikler, blant annet hvordan du trigger Azure Functions fra Blob Storage via Event Grid og hvorfor TLS-sertifikatpinning frarådes for Azure-baserte PostgreSQL- og MySQL-databaser. En lettlest faglig oppdatering for Azure-driftere. Lite nytt av kritisk betydning.
-
Forrester: Samlet Microsoft-sikkerhet ga 124 % ROI på tre år
En Forrester TEI-studie bestilt av Microsoft anslår at en modellert organisasjon med 10 000 ansatte kan oppnå 124 % avkastning over tre år ved å samle sikkerheten hos Microsoft. Studien fremhever opptil 30 % lavere sannsynlighet for brudd og 25 % lavere utbedringskostnader. Tallene er bestilt og modellert av Microsoft selv, så les dem som markedsføring og ikke uavhengig måling.
-
Sentinel-deteksjon flytter til Defender — regler og playbooks følger med
Microsoft flytter deteksjonsarbeidet inn i Defender, der eksisterende analyseregler, playbooks og workbooks fortsetter å virke uendret. Til gjengjeld kan analytikere nå jakte på tvers av endepunkt-, identitets-, e-post- og Sentinel-data i én KQL-flate, med near-real-time deteksjoner og Security Copilot som genererer playbooks. SOC-team bør sette seg inn i den nye verktøykassa før migreringen.
-
Defender for Office 365 Plan 1 rulles ut til alle E3-kunder
Microsoft 365 E3/G3 og Office 365 E3/G3 får nå automatisk Defender for Office 365 Plan 1, med full utrulling innen høsten 2026. Safe Links, Safe Attachments og avansert anti-phishing slås på automatisk, så admins bør gjennomgå policyer, mail flow og sluttbrukeropplevelse før beskyttelsen aktiveres.
-
Graph blokkerer nå tilgang til skjulte mapper med Copilot- og Teams-logger
Microsoft har stille blokkert Graph-tilgang til ikke-IPM-mapper som TeamsMessagesData, der compliance-data for Copilot-prompter og Teams-chat lagres. Get-MgUserMailFolderMessage gir nå 403 Forbidden mot disse skjulte mappene. Admins med skript som henter slike compliance-poster via Graph må finne nye metoder.
-
Nordkoreansk Sapphire Sleet kompromitterte 140+ npm-pakker i Mastra-angrep
Microsoft Threat Intelligence knytter et storstilt npm-forsyningskjedeangrep mot over 140 pakker i mastra- og @mastra-scopene til den nordkoreanske statsaktøren Sapphire Sleet. Angriperne kapret vedlikeholderkontoen ehindero og publiserte forgiftede versjoner som trakk inn easy-day-js, en ondsinnet typosquat av populære dayjs. Pakkene er fjernet og publiseringstilgangen trukket, men angrepet viser hvorfor utviklere må låse avhengigheter og granske postinstall-skript.
-
Crypto-clipper bruker Tor og ormespredning for å stjele kryptolommebøker
Microsoft Threat Intelligence har sporet en Windows-basert crypto-clipper som har vært aktiv siden februar 2026, og som bytter ut kryptoadresser i utklippstavlen, tar skjermbilder og fungerer som en lett bakdør. Skadevaren bruker Windows Script Host og ActiveX til å starte en innebygd Tor-proxy mot en skjult C2-tjeneste, uten tradisjonell installer eller IP-basert infrastruktur. Defender oppdager den som Trojan:Win32/CryptoBandits.A, og de sterkeste sporene for forsvarere er atferdsbaserte, som skripttolkere som starter mistenkelige barneprosesser og trafikk mot localhost:9050.
-
Microsofts AI-agenter jakter sårbarheter i Windows, Hyper-V og Azure
Microsoft løfter AI-systemet MDASH fra forskningsprosjekt til produksjon for å oppdage, verifisere og utbedre sårbarheter i egne plattformer som Windows, Hyper-V, Azure og identitetssystemer. Systemet orkestrerer et panel av spesialiserte AI-agenter framfor å lene seg på én modell, og åpner nå for preview. For sikkerhetsteam betyr det raskere funn av vanskelige feil før angriperne rekker først.
-
Forrester kårer Microsoft til leder innen XDR-plattformer i 2026
Microsoft topper Forresters XDR Wave for Q2 2026 og scorer høyest av alle leverandører på både strategi og visjon. Rapporten trekker fram Defenders dekning på tvers av identitet, endepunkt, e-post, SaaS og skyworkloads, samt toppscore på blant annet SIEM-erstatning og trusseljakt. Mest relevant som beslutningsstøtte hvis du vurderer XDR-leverandør.
-
AI gir cyberangrep fart — identitet er det nye trykkpunktet
Microsoft advarer om at AI lar angripere skalere sosial manipulering, automatisere rekognosering og utnytte lekkede passord raskere enn før. Identitet er fortsatt den vanligste inngangen, og selv små forsinkelser mellom deteksjon og handling kan skille en kontrollert hendelse fra et forretningskritisk brudd. Admins bør samle identitets- og sikkerhetssignaler framfor å jobbe i siloer.
-
Sentinel i Defender gir SOC-team én samlet hendelseskø og angrepshistorie
Når Sentinel flyttes fra Azure-portalen inn i Defender, samles hendelser, varsler, korrelasjon og automatisering ett sted — med én incident-kø og én sammenhengende angrepshistorie. Den underliggende dataarkitekturen og innholdet fra Content hub består, så eksisterende investeringer videreføres. Microsoft inkluderer en konkret sjekkliste for hva SOC-team bør gjøre allerede denne uka.
-
Nye ASIM-parsere for Azure Firewall og AWS — og en brytende endring i vente
Microsoft har sluppet en bølge nye ASIM-parsere for blant annet Azure Firewall, Key Vault og AWS CloudTrail (EC2, S3, IAM), pluss 10+ tredjepartsprodukter. To nye skjemaer kommer til — Asset Entities og AI Agent Events — slik at én analyseregel kan dekke flere kilder. Viktigst for detection engineers: en brytende endring i ProcessEvent-parserne er på vei, så sjekk changelogene på GitHub.
-
DMZ-først: slik bør Azure-landingssoner bygges etter trafikkflyt
Microsoft skisserer en DMZ-først-arkitektur for Azure-landingssoner der sikkerhetskontroller styres av trafikkens tillitsgrense, ikke bare av tilkobling. Modellen klassifiserer nord-sør-, øst-vest- og hybridtrafikk hver for seg og legger inspeksjon før tilgang. Nyttig referanse for arkitekter som bygger regulerte arbeidslaster i en distribuert hub-modell.
-
Defender kobler nå brukerens admin- og hverdagskonto automatisk
En ny forhåndsvisning i Microsoft Defender lar deg lage egne korrelasjonsregler som knytter en brukers flere kontoer sammen. Det tetter et synlighetshull der admin- og vanlig konto ellers utløser separate hendelser, slik at analytikere ser hele angrepskjeden i én sak.
-
Defender for Cloud lukker containersikkerheten fra kode til runtime
Microsoft Defender for Cloud samler containersikkerhet i én kontinuerlig sløyfe på tvers av posture, shift-left, runtime og multicloud i Azure, AWS og GCP. Bakteppet er at 31 % av brudd nå starter med utnyttelse av en sårbarhet, og at containere i økende grad er der AI-arbeidslaster kjører. For admins betyr det at punktvise sjekker ikke lenger holder — sikkerheten må følge koden helt inn i kjørende pods.
-
Ny Sentinel-kobling gir identitetskontekst på AI-agenter
Microsoft lanserer Agent Identities Asset Connector i public preview, som henter agentenes identitetsdata inn i Sentinels data lake. Det lar sikkerhetsteam koble agentaktivitet mot eierskap, tillatelser og styring — og endelig svare på hvem som står bak en agent. For SOC-er som allerede sliter med agent-spredning, lukker dette et viktig synlighetsgap.
-
Microsoft åpner offentlig hovedbok som beviser hvordan skytjenester bygges
Microsoft har gjort Signing Transparency (MST) generelt tilgjengelig — en åpen, manipuleringssikker hovedbok som logger hvert produksjonsbygg av kritiske skytjenester som Azure Attestation og Managed HSM. Bare bygg som finnes i loggen settes i produksjon, slik at kunder kan revidere forsyningskjeden når som helst. Bygget på den fremvoksende IETF SCITT-standarden og helt åpen kildekode.
-
Alle Sentinel-kunder flyttes til Defender innen 31. mars 2027
Microsoft samler Sentinel og Defender i én portal, og alle Sentinel-kunder blir automatisk flyttet over innen 31. mars 2027. Overgangen påvirker incidents, RBAC, automatisering og datalagring, så SOC-team bør planlegge migreringen i god tid. Dette er første del i en seks-delers bloggserie som forklarer hva som faktisk endres.
-
Ny loggtabell tetter blindsone i Entra ID for sikkerhetsteam
AADGraphActivityLogs gir endelig defenders innsyn i kall mot det eldre Azure AD Graph-APIet, som MicrosoftGraphActivityLogs ikke fanget opp. Gapet har latt aktivitet mot legacy-endepunktet passere uten logging. Jeffrey Appel forklarer hvorfor tabellen er viktig for deteksjon og hvordan den tas i bruk.
-
Ett år med tall: Defender slår e-postgateways på deteksjon før levering
Microsoft oppsummerer ett år med kvartalsvise benchmarktall som måler Defender mot SEG- og ICES-leverandører på reell trusseltelemetri. Defender har bommet på færre alvorlige trusler før levering enn alle SEG-leverandørene i hvert kvartal siden juli 2025, der nest beste SEG hadde 2,5 ganger flere bom. Nyttig dokumentasjon hvis du vurderer lagdelt eller flerleverandør e-postsikkerhet.
-
TLS-pinning mot Azure-databaser: derfor kan serveren ikke oppdage det
Sertifikat-pinning i Azure Database for PostgreSQL og MySQL er ren klientside-logikk, og serveren kan ikke se om en klient pinner — derfor kan enhver sertifikatrotasjon brekke tilkoblinger uten forvarsel. Microsoft forklarer hvorfor pinning ikke kan oppdages serverside, og hva som er beste praksis for å unngå brutte forbindelser.
-
Logic App fanger Azure-VMer som faller ut av Defender-dekning
En Logic App sjekker daglig alle kjørende Azure-VMer og varsler eieren automatisk når en maskin ikke er onboardet til Defender for Endpoint eller har sluttet å rapportere. Den skiller «onboardet, men rapporterer ikke» fra «ikke onboardet» og legger ved en CSV-rapport til IT, slik at hull i MDE-dekningen fanges innen 24 timer i stedet for uker.
-
Microsoft sletter ubetalte OneDrive-kontoer etter 365 dager
Microsoft varsler (MC1381110) at ulisensierte OneDrive for Business-kontoer slettes etter 365 dager uten betaling for lagringen. Det er neste steg etter at slike kontoer for to år siden ble flyttet til Microsoft 365 Archive, og endringen gjelder ikke utdannings- eller offentlige tenanter. Bruk rapporten i SharePoint admin center til å gå gjennom ulisensierte kontoer før data går tapt.
-
Azure Bastion får Managed Identity for opptak av RDP- og SSH-økter
Azure Bastion Premium kan ta opp grafiske RDP- og SSH-økter som avspillbar video for revisjon og etterforskning. En ny public preview lar deg bruke Managed Identity i stedet for SAS-tokens for å lagre opptakene, noe som fjerner manuell tokenhåndtering og utløpsproblemer i produksjonsmiljøer.
-
Azure-teamet inviterer til webinarserie om nettverkssikkerhet
Azure Network Security-teamet kjører en serie tekniske webinarer om WAF, Azure Firewall, DDoS Protection og Bastion, med demoer og de nyeste forbedringene. Sesjonene retter seg mot sikkerhetsarkitekter, nettverksteam og SOC-analytikere som sikrer Azure-miljøer. Mest relevant som kompetansepåfyll, ikke en produktnyhet.
-
DNS over HTTPS blir allment tilgjengelig i Windows Server 2025
DNS over HTTPS (DoH) for Windows DNS Server er nå generelt tilgjengelig på Windows Server 2025 for klient-til-server-trafikk. Det gir kryptert og autentisert DNS direkte i eksisterende on-prem-infrastruktur, og reduserer risiko for avlytting og spoofing. For sikkerhetsteam er dette et konkret steg mot Zero Trust DNS uten å bytte ut resolver-arkitekturen.
-
Defender får ny anbefaling som avslører unødvendig internett-eksponering
Microsoft Defender introduserer en ny sikkerhetsanbefaling som identifiserer enheter med innkommende tilkobling fra det åpne internett. Den hjelper sikkerhetsteam å skille tilsiktet eksponering fra unødvendig angrepsflate, slik at de kan prioritere og redusere risikoen for initial access og lateral bevegelse.
-
Slik finner du sensitivitetsetiketter med PowerShell
Tony Redmond går gjennom tre måter å hente ut sensitivitetsetiketter og egenskapene deres i en Microsoft 365-tenant via PowerShell. Du trenger etikett-ID-en for å automatisere merking av filer, og artikkelen viser hvordan Get-Label skiller seg fra de Graph-baserte metodene. Nyttig grunnlag for admins som bygger skript rundt Purview-merking.
-
Én ARG-spørring henter alle patch-feil i Azure Update Manager
Azure Update Manager viser patch-feil kun per maskin i portalen, noe som blir uhåndterlig i store flåter. En enkelt Azure Resource Graph-spørring kan i stedet trekke ut alle feilede maskiner med feilkoder og -meldinger for en gitt vedlikeholdskjøring, på tvers av abonnementer og regioner.
-
Defender for Linux får sentralstyrte planlagte antivirus-skann
Microsoft Defender støtter nå sentralt administrerte, planlagte antivirus-skann på Linux i public preview. Admins kan sette opp time-, dags- eller ukesskann via security settings-policyer eller JSON deployet med Ansible, Puppet eller Chef — slutt på skjøre, egendefinerte cron-skript.
-
Exchange Online avslører skjult triks angripere bruker for å stjele e-post
Exchange Online logger nå et MailItemsAccessed-event når e-post kopieres fra den synlige IPM-mappen til skjulte non-IPM-mapper — en kjent teknikk angripere har brukt for å iscenesette exfiltrering uten spor. Den nye AccessType-verdien CopyFromIPM lukker et revisjonshull som tidligere lot kopiering skje usynlig. SOC-team bør oppdatere jaktspørringer for å fange opp signalet.
-
Kritisk RCE-hull i Veeam Backup rammer domenetilknyttede servere
Veeam har tettet en kritisk sårbarhet (CVE-2026-44963, CVSS 9.4) som lar en autentisert domenebruker kjøre vilkårlig kode på backup-serveren. Hullet rammer kun backup-servere som er domenetilknyttet, men berører en lang rekke v12-versjoner. Oppgrader til v12.3.2.4854 (sluppet 9. juni 2026) umiddelbart.
-
LAPS for Azure Arc roterer lokale admin-passord på tvers av hybridmiljøet
LAPS for Azure Arc lar deg rotere og sikre lokale administrator-passord på tvers av hybride Windows-maskiner i stor skala. Lokale admin-kontoer med samme, sjelden roterte passord er en klassisk inngang for lateral bevegelse i angrep. For sikkerhetsteam lukker dette et ofte oversett, men kritisk risikohull.
-
Purview strekker DLP-policyer ut til AI-agenter på AWS Bedrock
Microsoft Purview kan nå håndheve DLP-policyer for AI-agenter som kjører utenfor Azure, som på AWS Bedrock og Google Cloud. Det gir IT-admins ett felles styringslag for sensitive data på tvers av skyer, i stedet for separate kontroller per plattform. Posten demonstrerer det med en utgiftsgodkjennings-agent på Bedrock beskyttet av Purview-policyer.
-
Ny playbook viser hvordan du etterforsker Copilot- og Azure AI-hendelser
Microsoft har publisert en etterforskningsplaybook for Microsoft 365 Copilot og Azure AI-tjenester som bruker telemetri du allerede har i Purview, Defender og Sentinel. Den følger en scope–context–signal-metodikk for å kartlegge hvem som gjorde hva, hvilke data som ble berørt, og om signaler som prompt-injection er reelle. Gir SOC-team en konkret ramme for å granske AI-relatert aktivitet i stedet for løsrevne enkeltsignaler.
-
Defender overvåker nå RPC-trafikk for å stoppe lateral bevegelse
Microsoft Defender begynner å overvåke eksterne RPC-kall, forstyrre ondsinnet aktivitet og eksponere telemetri i advanced hunting. RPC misbrukes ofte til lateral bevegelse, oppretting av tjenester og DCSync-baserte credential theft-angrep, så ny synlighet her tetter et viktig hull for sikkerhetsteam.
-
Custom data collection i Defender brukes til å avsløre C2-trafikk
Microsoft deler konkrete eksempler på hvordan custom data collection og dynamisk tagging i Defender kan brukes til å oppdage command-and-control-kommunikasjon. For SOC-team gir det rikere telemetri og dypere jakt-muligheter på angriperaktivitet uten å forlate Defender-portalen.
-
Edge 149 trenger ingen nye sikkerhetsinnstillinger — bruk 139-baseline
Microsoft har gjennomgått de 7 nye innstillingene i Microsoft Edge 149 og konkludert med at ingen krever håndheving. Den eksisterende Edge 139-baselinen forblir anbefalt konfigurasjon, så admins trenger ikke gjøre endringer — et regneark med de nye innstillingene er likevel tilgjengelig.
-
Slik demper du alarmstøy for usanksjonerte apper i Defender for Cloud Apps
Jeffrey Appel viser hvordan du slår av alarmgenerering for usanksjonerte apper i Microsoft Defender for Cloud Apps når MDCA er integrert med Defender for Endpoint. Uten justering kan blokkering av apper utløse unødvendig støy i alarmkøen. En praktisk how-to for å holde Shadow IT-oppdagelsen ren.
-
Slik fanget Defender og Sentinel Shai-Hulud-ormen i SAP-npm-pakker
29. april 2026 ble fire offisielle SAP CAP npm-pakker kortvarig erstattet med ondsinnede versjoner som kjørte en legitimasjonstyver i utviklermiljøer og CI/CD-pipelines. Kampanjen «Mini Shai-Hulud» viser at også SAP-økosystemet nå er et mål for supply chain-angrep. Microsoft beskriver hvordan Defender for Endpoint og Sentinel for SAP BTP oppdaget angrepet — nyttig deteksjonslogikk for alle som driver SAP-utvikling.
-
Ny etikettinnstilling blokkerer Copilot fra å lese filinnhold
Message center-varsel MC1297982 utvider en sensitivitetsetikett-innstilling som hindrer Microsoft 365 Copilot og andre tilkoblede tjenester i å analysere innhold i Word, Excel og PowerPoint. Innstillingen er en «advanced setting» som kun kan konfigureres via PowerShell — den finnes ikke i Purview-portalens grensesnitt. Admins som vil skjerme sensitivt innhold fra AI bør merke seg endringen.
-
Kritisk Exchange-sårbarhet tettes i mai-oppdateringen
Microsoft har lansert en out-of-band-oppdatering som fikser en alvorlig sårbarhet i Exchange Server som lar uautoriserte angripere kjøre kode på serveren. Alle on-prem Exchange-miljøer bør patches innen 72 timer. Cloud-mailbokser er ikke berørt.
-
Defender stopper nå ransomware på Linux automatisk
Automatic Attack Disruption er utvidet til Linux og kan isolere kompromitterte servere uten SOC-inngripen ved høy konfidens på ransomware-aktivitet. Funksjonen kjører i shadow-mode først så team kan validere før de slår på full håndhevelse.
-
Purview kan nå blokkere sensitive Copilot-prompter
Purview DLP-policyer kan nå evaluere innholdet i Copilot-prompter og blokkere meldinger som inneholder sensitiv data før de når modellen. Funksjonen er i public preview og krever E5 Compliance-lisens.
-
Sentinel Summary Rules blir GA — kan kutte log-kostnader
Summary Rules går fra preview til GA og lar Sentinel aggregere høy-volum-logger til kompakt summary-data før indeksering. Tidlige brukere rapporterer 40-60% reduksjon i ingestion-kost for nettverkslogger.
