أحدث الميزات في Microsoft Defender للهوية
يتم تحديث هذه المقالة بشكل متكرر لإعلامك بالجديد في أحدث إصدارات Microsoft Defender for Identity.
ما هو النطاق والمراجع الجديدة
يتم نشر إصدارات Defender for Identity تدريجيا عبر مستأجري العملاء. إذا كانت هناك ميزة موثقة هنا لا تراها بعد في المستأجر الخاص بك، فتحقق مرة أخرى لاحقا للحصول على التحديث.
لمزيد من المعلومات، راجع أيضا:
- ما الجديد في Microsoft Defender XDR
- أحدث الميزات في Microsoft Defender لنقطة النهاية
- أحدث الميزات في Microsoft Defender لتطبيقات السحابة
للحصول على تحديثات حول الإصدارات والميزات التي تم إصدارها قبل ستة أشهر أو قبلها، راجع الأرشيف الجديد Microsoft Defender for Identity.
فبراير 2025
علامة تبويب مسارات الهجوم الجديدة في صفحة ملف تعريف الهوية
توفر علامة التبويب هذه رؤية لمسارات الهجوم المحتملة التي تؤدي إلى هوية حرجة أو إشراكها داخل المسار، مما يساعد على تقييم المخاطر الأمنية. لمزيد من المعلومات، راجع نظرة عامة على مسار الهجوم داخل إدارة التعرض.
تحسينات إضافية لصفحة الهوية:
لوحة جانبية جديدة مع مزيد من المعلومات لكل إدخال على المخطط الزمني للمستخدم.
إمكانات التصفية على علامة التبويب الأجهزة ضمن تمت ملاحظتها في المؤسسة.
تحديث توصية وضع "حماية كلمات مرور المسؤول المحلي وإدارتها باستخدام Microsoft LAPS"
يعمل هذا التحديث على محاذاة تقييم وضع الأمان داخل درجة الأمان مع أحدث إصدار من Windows LAPS، ما يضمن أنه يعكس أفضل ممارسات الأمان الحالية لإدارة كلمات مرور المسؤول المحلي.
أحداث جديدة ومحدثة في جدول Advanced hunting IdentityDirectoryEvents
لقد أضفنا الأحداث التالية وتحديثها في IdentityDirectoryEvents
الجدول في التتبع المتقدم:
تم تغيير علامة التحكم في حساب المستخدم
إنشاء مجموعة الأمان في Active Directory
فشل محاولة تغيير كلمة مرور الحساب
تغيير كلمة مرور الحساب بنجاح
تم تغيير معرف المجموعة الأساسية للحساب
بالإضافة إلى ذلك، تم تحديث مرجع المخطط المضمن للتتبع المتقدم في Microsoft Defender XDR لتضمين معلومات مفصلة عن جميع أنواع الأحداث المدعومة (ActionType
القيم) في الجداول المتعلقة بالهوية، ما يضمن الرؤية الكاملة للأحداث المتاحة. لمزيد من المعلومات، راجع تفاصيل مخطط التتبع المتقدم.
ديسمبر 2024
تقييم الوضع الأمني الجديد: منع تسجيل الشهادة باستخدام نهج التطبيق العشوائية (ESC15)
أضاف Defender for Identity توصية منع تسجيل الشهادة الجديدة باستخدام نهج التطبيق العشوائية (ESC15) في Microsoft Secure Score.
تتناول هذه التوصية مباشرة CVE-2024-49019 المنشورة مؤخرا، والتي تسلط الضوء على المخاطر الأمنية المرتبطة بتكوينات AD CS الضعيفة. يسرد تقييم وضع الأمان هذا جميع قوالب الشهادات الضعيفة الموجودة في بيئات العملاء بسبب خوادم AD CS غير المتطابقة.
تتم إضافة التوصية الجديدة إلى التوصيات الأخرى المتعلقة ب AD CS. معا، تقدم هذه التقييمات تقارير الوضع الأمني التي تعرض مشكلات الأمان والتكوينات الخاطئة الشديدة التي تنشر المخاطر على المؤسسة بأكملها، جنبا إلى جنب مع الاكتشافات ذات الصلة.
لمزيد من المعلومات، اطلع على:
أكتوبر 2024
يقوم MDI بتوسيع التغطية مع توصيات وضع الهوية الجديدة 10 (معاينة)
يمكن أن تساعد تقييمات وضع أمان الهوية الجديدة (ISPMs) العملاء على مراقبة التكوين الخاطئ من خلال مراقبة نقاط الضعف وتقليل مخاطر الهجوم المحتمل على البنية الأساسية المحلية.
توصيات الهوية الجديدة هذه، كجزء من Microsoft Secure Score، هي تقارير وضع الأمان الجديدة المتعلقة بالبنية الأساسية ل Active Directory وكائنات نهج المجموعة:
يعين عنصر نهج المجموعة هويات غير مميزة للمجموعات المحلية ذات الامتيازات المرتفعة
تأكد من أن جميع الحسابات المميزة تحتوي على علامة التكوين "هذا الحساب حساس ولا يمكن تفويضه"
بالإضافة إلى ذلك، قمنا بتحديث التوصية الحالية "تعديل تفويضات Kerberos غير آمنة لمنع انتحال الهوية" لتضمين الإشارة إلى تفويض Kerberos المقيد مع انتقال البروتوكول إلى خدمة متميزة.
أغسطس 2024
مستشعر Microsoft Entra Connect الجديد:
كجزء من جهودنا المستمرة لتعزيز تغطية Microsoft Defender for Identity في بيئات الهوية المختلطة، قدمنا مستشعرا جديدا لخوادم Microsoft Entra Connect. بالإضافة إلى ذلك، أصدرنا اكتشافات أمان مختلطة جديدة وتوصيات جديدة لوضع الهوية خصيصا Microsoft Entra Connect، مما يساعد العملاء على البقاء محميين والتخفيف من المخاطر المحتملة.
توصيات وضع هوية Microsoft Entra Connect الجديدة:
-
تدوير كلمة المرور لحساب موصل Microsoft Entra Connect
- يمكن لحساب موصل الاتصال Microsoft Entra المخترق (حساب موصل AD DS، الذي يظهر عادة على أنه MSOL_XXXXXXXX) منح حق الوصول إلى وظائف ذات امتيازات عالية مثل النسخ المتماثل وإعادة تعيين كلمة المرور، مما يسمح للمهاجمين بتعديل إعدادات المزامنة واختراق الأمان في كل من البيئات السحابية والمحلية بالإضافة إلى تقديم العديد من المسارات للمساس بالمجال بأكمله. في هذا التقييم، نوصي العملاء بتغيير كلمة مرور حسابات MSOL مع آخر تعيين لكلمة المرور منذ أكثر من 90 يوما. لمزيد من المعلومات، انقر هنا.
-
إزالة أذونات النسخ المتماثل غير الضرورية لحساب Microsoft Entra Connect
- بشكل افتراضي، يحتوي حساب موصل Microsoft Entra Connect على أذونات واسعة لضمان المزامنة المناسبة (حتى إذا لم تكن مطلوبة بالفعل). إذا لم يتم تكوين مزامنة تجزئة كلمة المرور، فمن المهم إزالة الأذونات غير الضرورية لتقليل سطح الهجوم المحتمل. لمزيد من المعلومات، انقر هنا
-
تغيير كلمة المرور لتكوين حساب تسجيل الدخول الأحادي السلس Microsoft Entra
- يسرد هذا التقرير جميع حسابات كمبيوتر تسجيل الدخول الأحادي السلسة Microsoft Entra مع آخر تعيين لكلمة المرور منذ أكثر من 90 يوما. لا يتم تغيير كلمة المرور لحساب كمبيوتر Azure SSO تلقائيا كل 30 يوما. إذا قام مهاجم باختراق هذا الحساب، يمكنه إنشاء تذاكر خدمة لحساب AZUREADSSOACC نيابة عن أي مستخدم وانتحال شخصية أي مستخدم في المستأجر Microsoft Entra الذي تتم مزامنته من Active Directory. يمكن للمهاجم استخدام هذا للانتقال أفقيا من Active Directory إلى Microsoft Entra ID. لمزيد من المعلومات، انقر هنا.
اكتشافات Microsoft Entra Connect الجديدة:
-
تسجيل الدخول التفاعلي المشبوه إلى خادم Microsoft Entra Connect
- عمليات تسجيل الدخول المباشرة إلى خوادم Microsoft Entra Connect غير عادية للغاية ومن المحتمل أن تكون ضارة. غالبا ما يستهدف المهاجمون هذه الخوادم لسرقة بيانات الاعتماد للوصول إلى الشبكة على نطاق أوسع. يمكن Microsoft Defender for Identity الآن الكشف عن عمليات تسجيل الدخول غير الطبيعية إلى خوادم Microsoft Entra Connect، مما يساعدك على تحديد هذه التهديدات المحتملة والاستجابة لها بشكل أسرع. ينطبق على وجه التحديد عندما يكون خادم Microsoft Entra Connect خادما مستقلا ولا يعمل كوحدة تحكم بالمجال.
-
إعادة تعيين كلمة مرور المستخدم بواسطة حساب الاتصال Microsoft Entra
- غالبا ما يحتفظ حساب موصل Microsoft Entra Connect بامتيازات عالية، بما في ذلك القدرة على إعادة تعيين كلمات مرور المستخدم. Microsoft Defender for Identity الآن رؤية لتلك الإجراءات وستكتشف أي استخدام لتلك الأذونات التي تم تحديدها على أنها ضارة وغير مشروعة. سيتم تشغيل هذا التنبيه فقط إذا تم تعطيل ميزة حفظ كلمة المرور مع التحديث .
-
إعادة كتابة مريبة بواسطة Microsoft Entra Connect على مستخدم حساس
- بينما يمنع Microsoft Entra Connect بالفعل الحفظ مع التحديث للمستخدمين في المجموعات المتميزة، Microsoft Defender for Identity توسيع هذه الحماية عن طريق تحديد أنواع إضافية من الحسابات الحساسة. يساعد هذا الكشف المحسن على منع إعادة تعيين كلمة المرور غير المصرح بها على الحسابات الهامة، والتي يمكن أن تكون خطوة حاسمة في الهجمات المتقدمة التي تستهدف كل من البيئات السحابية والمحلية.
تحسينات وقدرات إضافية:
- نشاط جديد لأي إعادة تعيين كلمة مرور فاشلة على حساب حساس متوفر في جدول "IdentityDirectoryEvents" في التتبع المتقدم. يمكن أن يساعد هذا العملاء على تعقب أحداث إعادة تعيين كلمة المرور الفاشلة وإنشاء اكتشاف مخصص استنادا إلى هذه البيانات.
- دقة محسنة للكشف عن هجوم مزامنة DC .
- مشكلة صحية جديدة للحالات التي يتعذر فيها على المستشعر استرداد التكوين من خدمة Microsoft Entra Connect.
- مراقبة موسعة لتنبيهات الأمان، مثل PowerShell Remote Execution Detector، عن طريق تمكين المستشعر الجديد على خوادم Microsoft Entra Connect.
تعرف على المزيد حول أداة الاستشعار الجديدة
وحدة DefenderForIdentity PowerShell المحدثة
تم تحديث وحدة DefenderForIdentity PowerShell، بما في ذلك وظائف جديدة ومعالجة العديد من إصلاحات الأخطاء. تتضمن التحسينات الرئيسية ما يلي:
-
الجديد
New-MDIDSA
Cmdlet: يبسط إنشاء حسابات الخدمة، مع إعداد افتراضي لحسابات الخدمة المدارة للمجموعة (gMSA) وخيار لإنشاء حسابات قياسية. - الكشف التلقائي عن PDCe: يحسن موثوقية إنشاء كائن نهج المجموعة (GPO) عن طريق استهداف محاكي وحدة تحكم المجال الأساسي (PDCe) تلقائيا لمعظم عمليات Active Directory.
-
استهداف وحدة تحكم المجال اليدوي: معلمة خادم جديد ل
Get/Set/Test-MDIConfiguration
cmdlets، مما يسمح لك بتحديد وحدة تحكم مجال للاستهداف بدلا من PDCe.
لمزيد من المعلومات، اطلع على:
- وحدة DefenderForIdentity PowerShell (معرض PowerShell)
- الوثائق المرجعية ل DefenderForIdentity PowerShell
يوليو 2024
6 الاكتشافات الجديدة جديدة في المعاينة العامة:
-
هجوم NetSync المحتمل
- NetSync هي وحدة نمطية في Mimikatz، وهي أداة ما بعد الاستغلال، تطلب تجزئة كلمة المرور لكلمة مرور الجهاز الهدف عن طريق التظاهر بأنها وحدة تحكم بالمجال. قد يقوم المهاجم بتنفيذ أنشطة ضارة داخل الشبكة باستخدام هذه الميزة للوصول إلى موارد المؤسسة.
-
الاستيلاء المحتمل على حساب تسجيل الدخول الأحادي السلس Microsoft Entra
- تم تعديل كائن حساب تسجيل الدخول الأحادي (تسجيل الدخول الأحادي) السلس Microsoft Entra، AZUREADSSOACC، بشكل مريب. قد ينتقل المهاجم أفقيا من البيئة المحلية إلى السحابة.
-
استعلام LDAP مريب
- تم الكشف عن استعلام بروتوكول الوصول إلى الدليل الخفيف (LDAP) المشبوه المقترن بأداة هجوم معروفة. قد يقوم المهاجم بإجراء استطلاع للخطوات اللاحقة.
-
تمت إضافة SPN مريب إلى مستخدم
- تمت إضافة اسم كيان خدمة مشبوه (SPN) إلى مستخدم حساس. قد يحاول المهاجم الحصول على وصول مرتفع للحركة الجانبية داخل المؤسسة
-
إنشاء مشبوه لمجموعة ESXi
- تم إنشاء مجموعة VMWare ESXi مريبة في المجال. قد يشير هذا إلى أن المهاجم يحاول الحصول على المزيد من الأذونات للخطوات اللاحقة في الهجوم.
-
مصادقة ADFS المشبوهة
- حساب مرتبط بالمجال سجل الدخول باستخدام خدمات الأمان المشترك لـ Active Directory (ADFS) من عنوان IP مريب. قد يكون المهاجم قد سرق بيانات اعتماد المستخدم ويستخدمها للتنقل أفقيا في المؤسسة.
إصدار Defender for Identity 2.238
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
يونيو 2024
الانتقال بسهولة للبحث عن معلومات المستخدم من لوحة معلومات ITDR
يوفر Shield Widget نظرة عامة سريعة على عدد المستخدمين في البيئات المختلطة والسحابية والمحلية. تتضمن هذه الميزة الآن ارتباطات مباشرة إلى النظام الأساسي للتتبع المتقدم، والتي تقدم معلومات مفصلة للمستخدم في متناول يدك.
يتضمن عنصر واجهة مستخدم حماية نشر ITDR الآن الوصول المشروط Microsoft Entra الوصول الخاص عبر Microsoft Entra
يمكنك الآن عرض توفر الترخيص للوصول المشروط لحمل العمل Microsoft Entra Microsoft Entra الوصول المشروط للمستخدم الوصول الخاص عبر Microsoft Entra.
إصدار Defender for Identity 2.237
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
مايو 2024
إصدار Defender for Identity 2.236
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.235
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
أبريل 2024
الكشف بسهولة عن ثغرة أمنية لتجاوز ميزة أمان CVE-2024-21427 في Windows Kerberos
لمساعدة العملاء على تحديد واكتشاف محاولات تجاوز بروتوكولات الأمان وفقا لهذه الثغرة الأمنية، أضفنا نشاطا جديدا داخل Advanced Hunting يراقب مصادقة Kerberos AS.
باستخدام هذه البيانات، يمكن للعملاء الآن بسهولة إنشاء قواعد الكشف المخصصة الخاصة بهم ضمن Microsoft Defender XDR وتشغيل التنبيهات لهذا النوع من النشاط تلقائيا
الوصول إلى مدخل Defender XDR -> التتبع -> التتبع المتقدم.
الآن، يمكنك نسخ الاستعلام الموصى به كما هو موضح أدناه، والنقر على "إنشاء قاعدة الكشف". يرجى العلم أن الاستعلام المقدم لدينا يتعقب أيضا محاولات تسجيل الدخول الفاشلة، والتي قد تنشئ معلومات غير مرتبطة بهجوم محتمل. لذلك، لا تتردد في تخصيص الاستعلام ليناسب متطلباتك المحددة.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
إصدار Defender for Identity 2.234
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.233
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
مارس 2024
أذونات جديدة للقراءة فقط لعرض إعدادات Defender for Identity
يمكنك الآن تكوين مستخدمي Defender for Identity الذين لديهم أذونات للقراءة فقط لعرض إعدادات Defender for Identity.
لمزيد من المعلومات، راجع الأذونات المطلوبة Defender for Identity في Microsoft Defender XDR.
واجهة برمجة تطبيقات جديدة تستند إلى الرسم البياني لعرض مشكلات الصحة وإدارتها
الآن يمكنك عرض Microsoft Defender for Identity المشكلات الصحية وإدارتها من خلال واجهة برمجة تطبيقات Graph
لمزيد من المعلومات، راجع إدارة مشكلات الصحة من خلال واجهة برمجة تطبيقات Graph.
إصدار Defender for Identity 2.232
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.231
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
فبراير 2024
إصدار Defender for Identity 2.230
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
تقييم الوضع الأمني الجديد لتكوين نقطة نهاية AD CS IIS غير الآمنة
أضاف Defender for Identity توصية تحرير نقاط نهاية IIS لتسجيل شهادة ADCS غير الآمنة (ESC8) في Microsoft Secure Score.
تدعم خدمات شهادات Active Directory (AD CS) تسجيل الشهادة من خلال أساليب وبروتوكولات مختلفة، بما في ذلك التسجيل عبر HTTP باستخدام خدمة تسجيل الشهادات (CES) أو واجهة تسجيل الويب (Certsrv). قد تؤدي التكوينات غير الآمنة لنقاط نهاية CES أو Certsrv IIS إلى إنشاء ثغرات أمنية لترحيل الهجمات (ESC8).
تتم إضافة توصية تحرير نقاط نهاية IIS لتسجيل شهادة ADCS غير الآمنة (ESC8) إلى التوصيات الأخرى المتعلقة ب AD CS التي تم إصدارها مؤخرا. معا، تقدم هذه التقييمات تقارير الوضع الأمني التي تعرض مشكلات الأمان والتكوينات الخاطئة الشديدة التي تنشر المخاطر على المؤسسة بأكملها، جنبا إلى جنب مع الاكتشافات ذات الصلة.
لمزيد من المعلومات، اطلع على:
- تقييم الأمان: تحرير نقاط نهاية IIS لتسجيل شهادة ADCS غير الآمنة (ESC8)
- تقييمات الوضع الأمني لمستشعرات AD CS
- تقييمات الوضع الأمني Microsoft Defender for Identity
إصدار Defender for Identity 2.229
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
تجربة المستخدم المحسنة لضبط حدود التنبيه (معاينة)
تتم الآن إعادة تسمية صفحة Defender for Identity Advanced Settingsلضبط حدود التنبيه وتوفر تجربة منعشة مع مرونة محسنة لضبط حدود التنبيه.
تتضمن التغييرات ما يلي:
لقد قمنا بإزالة خيار إزالة فترة التعلم السابق، وأضفنا خيار وضع الاختبار الموصى به الجديد. حدد وضع الاختبار الموصى به لتعيين جميع مستويات الحد إلى منخفض، وزيادة عدد التنبيهات، وتعيين جميع مستويات العتبة الأخرى للقراءة فقط.
تتم الآن إعادة تسمية عمود مستوى الحساسية السابق كمستوى حد، مع قيم محددة حديثا. بشكل افتراضي، يتم تعيين جميع التنبيهات إلى عتبة عالية ، والتي تمثل السلوك الافتراضي وتكوين تنبيه قياسي.
يسرد الجدول التالي التعيين بين قيم مستوى الحساسية السابقة وقيم مستوى الحد الجديد:
مستوى الحساسية (الاسم السابق) | مستوى الحد (اسم جديد) |
---|---|
عادي | عال |
متوسط | متوسط |
عال | منخفض |
إذا كان لديك قيم محددة في صفحة الإعدادات المتقدمة ، فقد نقلناها إلى صفحة ضبط حدود التنبيه الجديدة كما يلي:
تكوين صفحة الإعدادات المتقدمة | ضبط جديد لتكوين صفحة حدود التنبيه |
---|---|
إزالة فترة التعلم التي تم تبديلها في | تم إيقاف تشغيل وضع الاختبار الموصى به. تظل إعدادات تكوين حد التنبيه كما هي. |
إزالة فترة التعلم التي تم إيقاف تشغيلها | تم إيقاف تشغيل وضع الاختبار الموصى به. تتم إعادة تعيين جميع إعدادات تكوين حد التنبيه إلى قيمها الافتراضية، مع مستوى عتبة عال . |
يتم تشغيل التنبيهات دائما على الفور إذا تم تحديد خيار وضع الاختبار الموصى به ، أو إذا تم تعيين مستوى حد إلى متوسط أو منخفض، بغض النظر عما إذا كانت فترة تعلم التنبيه قد اكتملت بالفعل.
لمزيد من المعلومات، راجع ضبط حدود التنبيه.
تتضمن صفحات تفاصيل الجهاز الآن أوصاف الجهاز (معاينة)
يتضمن Microsoft Defender XDR الآن أوصاف الجهاز على أجزاء تفاصيل الجهاز وصفحات تفاصيل الجهاز. يتم ملء الأوصاف من سمة وصف Active Directory للجهاز.
على سبيل المثال، في الجزء الجانبي تفاصيل الجهاز:
لمزيد من المعلومات، راجع خطوات التحقيق للأجهزة المشبوهة.
إصدار Defender for Identity 2.228
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity، والتنبيهات الجديدة التالية:
- استكشاف تعداد الحساب (LDAP) (المعرف الخارجي 2437) (معاينة)
- تغيير كلمة مرور وضع استعادة خدمات الدليل (المعرف الخارجي 2438) (معاينة)
يناير / كانون الثاني 2024
إصدار Defender for Identity 2.227
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
تمت إضافة علامة تبويب المخطط الزمني لكيانات المجموعة
يمكنك الآن عرض الأنشطة والتنبيهات المتعلقة بكيان مجموعة Active Directory من آخر 180 يوما في Microsoft Defender XDR، مثل تغييرات عضوية المجموعة واستعلامات LDAP وما إلى ذلك.
للوصول إلى صفحة المخطط الزمني للمجموعة، حدد فتح المخطط الزمني في جزء تفاصيل المجموعة.
على سبيل المثال:
لمزيد من المعلومات، راجع خطوات التحقيق للمجموعات المشبوهة.
تكوين بيئة Defender for Identity والتحقق من صحتها عبر PowerShell
يدعم Defender for Identity الآن وحدة DefenderForIdentity PowerShell الجديدة، والتي تم تصميمها لمساعدتك في تكوين بيئتك والتحقق من صحتها للعمل مع Microsoft Defender for Identity.
استخدام أوامر PowerShell لتجنب التكوينات الخاطئة وتوفير الوقت وتجنب الحمل غير الضروري على النظام الخاص بك.
أضفنا الإجراءات التالية إلى وثائق Defender for Identity لمساعدتك في استخدام أوامر PowerShell الجديدة:
- تغيير تكوين الوكيل باستخدام PowerShell
- تكوين نهج التدقيق والحصول عليها واختبارها باستخدام PowerShell
- إنشاء تقرير مع التكوينات الحالية عبر PowerShell
- اختبار أذونات وتفويضات DSA عبر PowerShell
- اختبار اتصال الخدمة باستخدام PowerShell
لمزيد من المعلومات، اطلع على:
- وحدة DefenderForIdentity PowerShell (معرض PowerShell)
- الوثائق المرجعية ل DefenderForIdentity PowerShell
إصدار Defender for Identity 2.226
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.225
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
ديسمبر 2023
ملاحظة
إذا كنت ترى عددا متناقصا من تنبيهات محاولة تنفيذ التعليمات البرمجية عن بعد ، فشاهد إعلانات شهر سبتمبر المحدثة، والتي تتضمن تحديثا لمنطق الكشف عن Defender for Identity. يستمر Defender for Identity في تسجيل أنشطة تنفيذ التعليمات البرمجية عن بعد كما كان من قبل.
منطقة الهويات الجديدة ولوحة المعلومات في Microsoft 365 Defender (معاينة)
لدى عملاء Defender for Identity الآن منطقة هويات جديدة في Microsoft 365 Defender للحصول على معلومات حول أمان الهوية باستخدام Defender for Identity.
في Microsoft 365 Defender، حدد Identities لمشاهدة أي من الصفحات الجديدة التالية:
لوحة المعلومات: تعرض هذه الصفحة الرسوم البيانية وعناصر واجهة المستخدم لمساعدتك في مراقبة أنشطة الكشف عن تهديدات الهوية والاستجابة لها. على سبيل المثال:
لمزيد من المعلومات، راجع العمل مع لوحة معلومات ITDR الخاصة ب Defender for Identity.
مشكلات الصحة: يتم نقل هذه الصفحة من منطقة Settings > Identities ، وتسرد أي مشكلات صحية حالية لتوزيع Defender for Identity العام وأجهزة استشعار محددة. لمزيد من المعلومات، راجع Microsoft Defender for Identity مشكلات صحة المستشعر.
الأدوات: تحتوي هذه الصفحة على ارتباطات إلى معلومات وموارد مفيدة عند العمل مع Defender for Identity. في هذه الصفحة، ابحث عن ارتباطات إلى الوثائق، وتحديدا على أداة تخطيط السعة، والبرنامج النصي Test-MdiReadiness.ps1 .
إصدار Defender for Identity 2.224
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
تقييمات الوضع الأمني لمستشعرات AD CS (معاينة)
تكتشف تقييمات الوضع الأمني ل Defender for Identity الإجراءات وتوصي بها بشكل استباقي عبر تكوينات Active Directory محلي.
تتضمن الإجراءات الموصى بها الآن تقييمات الوضع الأمني الجديدة التالية، خاصة لقوالب الشهادات والسلطات المصدقة.
الإجراءات الموصى بها لقوالب الشهادات:
- منع المستخدمين من طلب شهادة صالحة للمستخدمين العشوائيين استنادا إلى قالب الشهادة (ESC1)
- تحرير قالب الشهادة المتساهلة بشكل مفرط باستخدام EKU المميز (أي غرض EKU أو No EKU) (ESC2)
- قالب شهادة عامل التسجيل الذي تم تكوينه بشكل خاطئ (ESC3)
- تحرير قوالب الشهادات التي تم تكوينها بشكل خاطئ ACL (ESC4)
- تحرير مالك قوالب الشهادات التي تم تكوينها بشكل خاطئ (ESC4)
الإجراءات الموصى بها لمرجع الشهادة:
تتوفر التقييمات الجديدة في Microsoft Secure Score، وتصفح مشكلات الأمان والتكوينات الخاطئة الشديدة التي تشكل مخاطر على المؤسسة بأكملها، جنبا إلى جنب مع عمليات الكشف. يتم تحديث درجاتك وفقا لذلك.
على سبيل المثال:
لمزيد من المعلومات، راجع تقييمات الوضع الأمني Microsoft Defender for Identity.
ملاحظة
بينما تتوفر تقييمات قالب الشهادة لجميع العملاء الذين لديهم AD CS مثبتة على بيئتهم، فإن تقييمات المرجع المصدق متاحة فقط للعملاء الذين قاموا بتثبيت أداة استشعار على خادم AD CS. لمزيد من المعلومات، راجع نوع المستشعر الجديد لخدمات شهادات Active Directory (AD CS).
إصدار Defender for Identity 2.223
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.222
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.221
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
نوفمبر 2023
إصدار Defender for Identity 2.220
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.219
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
يتضمن المخطط الزمني للهوية أكثر من 30 يوما من البيانات (معاينة)
يقوم Defender for Identity تدريجيا بنشر عمليات استبقاء البيانات الموسعة على تفاصيل الهوية لأكثر من 30 يوما.
تتضمن علامة التبويب المخطط الزمني لصفحة تفاصيل الهوية، والتي تتضمن أنشطة من Defender for Identity، Microsoft Defender for Cloud Apps، Microsoft Defender لنقطة النهاية، حاليا ما لا يقل عن 150 يوما وهي تنمو. قد يكون هناك بعض التباين في معدلات استبقاء البيانات خلال الأسابيع القليلة القادمة.
لعرض الأنشطة والتنبيهات على المخطط الزمني للهوية ضمن إطار زمني محدد، حدد الافتراضي 30 يوما ثم حدد النطاق المخصص. يتم عرض البيانات التي تمت تصفيتها منذ أكثر من 30 يوما لمدة أقصاها سبعة أيام في كل مرة.
على سبيل المثال:
لمزيد من المعلومات، راجع التحقيق في الأصولوالتحقيق في المستخدمين في Microsoft Defender XDR.
إصدار Defender for Identity 2.218
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
أكتوبر 2023
إصدار Defender for Identity 2.217
يتضمن هذا الإصدار التحسينات التالية:
تقرير الملخص: يتم تحديث تقرير الملخص لتضمين عمودين جديدين في علامة التبويب Health issues :
- التفاصيل: معلومات إضافية حول المشكلة، مثل قائمة الكائنات المتأثرة أو أجهزة استشعار معينة تحدث عليها المشكلة.
- التوصيات: قائمة بالإجراءات الموصى بها التي يمكن اتخاذها لحل المشكلة، أو كيفية التحقيق في المشكلة بشكل أكبر.
لمزيد من المعلومات، راجع تنزيل تقارير Defender for Identity وجدولتها في Microsoft Defender XDR (معاينة).
مشكلات الصحة: تم إيقاف تشغيل تبديل "إزالة فترة التعلم" تلقائيا لقضية صحة المستأجر* هذه.
يتضمن هذا الإصدار أيضا إصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.216
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
سبتمبر 2023
انخفاض عدد التنبيهات لمحاولات تنفيذ التعليمات البرمجية عن بعد
لمحاذاة Defender for Identity وتنبيهات Microsoft Defender لنقطة النهاية بشكل أفضل، قمنا بتحديث منطق الكشف لاكتشافات محاولات تنفيذ التعليمات البرمجية عن بعد ل Defender for Identity.
بينما ينتج عن هذا التغيير انخفاض عدد تنبيهات محاولة تنفيذ التعليمات البرمجية عن بعد ، يستمر Defender for Identity في تسجيل أنشطة تنفيذ التعليمات البرمجية عن بعد. يمكن للعملاء الاستمرار في إنشاء استعلامات التتبع المتقدمة الخاصة بهم وإنشاء نهج اكتشاف مخصصة.
إعدادات حساسية التنبيه وتحسينات فترة التعلم
تنتظر بعض تنبيهات Defender for Identity فترة تعلم قبل تشغيل التنبيهات، مع إنشاء ملف تعريف للأنماط لاستخدامها عند التمييز بين الأنشطة المشروعة والأنشطة المشبوهة.
يوفر Defender for Identity الآن التحسينات التالية لتجربة فترة التعلم:
يمكن للمسؤولين الآن استخدام إعداد إزالة فترة التعلم لتكوين الحساسية المستخدمة لتنبيهات معينة. حدد الحساسية على أنها عادية لتكوين إعداد إزالة فترة التعلمكإيقاف تشغيل لنوع التنبيه المحدد.
بعد نشر أداة استشعار جديدة في مساحة عمل Defender for Identity جديدة، يتم تشغيل إعدادإزالة فترة التعلم تلقائيا لمدة 30 يوما. عند اكتمال 30 يوما، يتم إيقاف تشغيل إعداد إزالة فترة التعلم تلقائيا، ويتم إرجاع مستويات حساسية التنبيه إلى وظائفها الافتراضية.
لجعل Defender for Identity يستخدم وظيفة فترة التعلم القياسية، حيث لا يتم إنشاء التنبيهات حتى تنتهي فترة التعلم، قم بتكوين إعداد إزالة فترات التعلم إلى إيقاف التشغيل.
إذا قمت مسبقا بتحديث إعداد إزالة فترة التعلم ، فسيظل الإعداد كما قمت بتكوينه.
لمزيد من المعلومات، انظر Advanced settings.
ملاحظة
أدرجت صفحة الإعدادات المتقدمة في الأصل تنبيه استطلاع تعداد الحساب ضمن خيارات إزالة فترة التعلم على أنها قابلة للتكوين لإعدادات الحساسية. تمت إزالة هذا التنبيه من القائمة وتم استبداله بتنبيه الاستطلاع الأساسي للأمان (LDAP ). تم إصلاح خطأ واجهة المستخدم هذا في نوفمبر 2023.
إصدار Defender for Identity 2.215
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
تم نقل تقارير Defender for Identity إلى منطقة التقارير الرئيسية
يمكنك الآن الوصول إلى تقارير Defender for Identity من منطقة التقارير الرئيسية Microsoft Defender XDR بدلا من منطقة الإعدادات. على سبيل المثال:
لمزيد من المعلومات، راجع تنزيل تقارير Defender for Identity وجدولتها في Microsoft Defender XDR (معاينة).
زر البحث عن المجموعات في Microsoft Defender XDR
أضاف Defender for Identity زر Go hunt للمجموعات في Microsoft Defender XDR. يمكن للمستخدمين استخدام زر Go hunt للاستعلام عن الأنشطة والتنبيهات المتعلقة بالمجموعة أثناء التحقيق.
على سبيل المثال:
لمزيد من المعلومات، راجع البحث السريع عن معلومات الكيان أو الحدث باستخدام go hunt.
إصدار Defender for Identity 2.214
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
تحسينات الأداء
أجرى Defender for Identity تحسينات داخلية لزمن الانتقال والاستقرار والأداء عند نقل الأحداث في الوقت الحقيقي من خدمات Defender for Identity إلى Microsoft Defender XDR. يجب ألا يتوقع العملاء أي تأخير في بيانات Defender for Identity التي تظهر في Microsoft Defender XDR، مثل التنبيهات أو الأنشطة للتتبع المتقدم.
لمزيد من المعلومات، اطلع على:
- تنبيهات الأمان في Microsoft Defender for Identity
- تقييمات الوضع الأمني Microsoft Defender for Identity
- البحث بشكل استباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender XDR
أغسطس 2023
إصدار Defender for Identity 2.213
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.212
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
إصدار Defender for Identity 2.211
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.
نوع مستشعر جديد لخدمات شهادات Active Directory (AD CS)
يدعم Defender for Identity الآن نوع مستشعر ADCS الجديد لخادم مخصص مع تكوين خدمات شهادات Active Directory (AD CS).
ترى نوع المستشعر الجديد المحدد في صفحة Settings > Identities > Sensors في Microsoft Defender XDR. لمزيد من المعلومات، راجع إدارة أدوات استشعار Microsoft Defender for Identity وتحديثها.
جنبا إلى جنب مع نوع المستشعر الجديد، يوفر Defender for Identity الآن تنبيهات AD CS ذات الصلة وتقارير درجة الأمان. لعرض التنبيهات الجديدة وتقارير Secure Score، تأكد من تجميع الأحداث المطلوبة وتسجيلها على الخادم الخاص بك. لمزيد من المعلومات، راجع تكوين التدقيق لأحداث خدمات شهادات Active Directory (AD CS).
AD CS هو دور Windows Server يصدر ويدير شهادات البنية الأساسية للمفتاح العام (PKI) في بروتوكولات الاتصال والمصادقة الآمنة. لمزيد من المعلومات، راجع ما هي خدمات شهادات Active Directory؟
إصدار Defender for Identity 2.210
يتضمن هذا الإصدار تحسينات وإصلاحات الأخطاء للخدمات السحابية ومستشعر Defender for Identity.