Sdílet prostřednictvím

Co je nového v Microsoft Defender for Identity

Tento článek se často aktualizuje, abyste věděli, co je nového v nejnovějších verzích Microsoft Defender for Identity.

Co je nového– obor a odkazy

Verze Defenderu for Identity se nasazují postupně napříč tenanty zákazníků. Pokud je tady zdokumentovaná funkce, kterou ještě ve svém tenantovi nevidíte, zkuste se k aktualizaci vrátit později.

Další informace najdete také v tématu:

Informace o verzích a funkcích vydaných před šesti měsíci nebo dříve najdete v archivu Co je nového pro Microsoft Defender for Identity.

Leden 2026

Nové upozornění na stav: Chybně nakonfigurovaný audit RPC senzoru v3.x

U některých Microsoft Defender for Identity pokročilých detekcí identit se vyžaduje rozšířené auditování RPC. Nové upozornění na stav pomáhá identifikovat senzory v3.x, kde tato konfigurace chybí nebo je nesprávně použitá. Upozornění se postupně zavádí pro zákazníky. Další informace najdete v tématu Konfigurace RPC na senzorech verze 3.x.

Konfigurace automatického auditování událostí Windows pro senzory Defender for Identity v3.x (Preview)

Postupně zavádíme automatickou konfiguraci auditování událostí Windows pro senzory v3.x spolu se souvisejícími upozorněními na stav. Tato aktualizace zjednodušuje nasazení tím, že automaticky aplikuje požadovaná nastavení auditování na nové senzory a opravuje chybné konfigurace u stávajících. Další informace najdete v tématu Konfigurace automatického auditování oken.

Číslo verze Aktualizace
2.254 Senzor teď podporuje nový cíl zóny DNS pro *.aatp.gcc.azure.com. Ujistěte se, že vaše senzory v GCC mají přístup k této zóně s předponou dns vašeho senzoru.

Nové posouzení stavu zabezpečení: Identifikace účtů služeb v privilegovaných skupinách

Toto posouzení stavu zabezpečení identity obsahuje seznam účtů služby Active Directory s přímým nebo vnořeným členstvím v privilegovaných skupinách.

Toto posouzení můžete použít k identifikaci účtů služeb se zvýšenými oprávněními a provedení akce v případě, že se nevyžaduje privilegovaný přístup.

Další informace najdete v tématu:Posouzení stavu zabezpečení: Identifikace účtů služeb v privilegovaných skupinách.

Nové posouzení stavu zabezpečení: Vyhledání účtů v integrovaných skupinách operátorů

Toto posouzení stavu zabezpečení identity uvádí účty služby Active Directory, které jsou členy předdefinovaných skupin operátorů, včetně přímého a nepřímého členství.

Pomocí tohoto posouzení můžete zkontrolovat starší nebo nepotřebný přístup operátora a provést akci, pokud se zvýšený přístup nevyžaduje.

Další informace najdete v tématu:Posouzení stavu zabezpečení: Vyhledání účtů v integrovaných skupinách operátorů.

Prosinec 2025

Nové vlastnosti pro typ prostředku sensorCandidate v Graph-API (Preview)

Vlastnost Typ Popis
Název_domény String Název domény senzoru.
senseClientVersion String Verze klienta senzoru Defenderu for Identity.

Tato funkce je aktuálně ve verzi Preview a je dostupná ve verzi API Beta. Další informace najdete tady.

Vyhledávání ADWS LDAP v rozšířeném proaktivním vyhledávání

Nová aktivita vyhledávání ADWS LDAP je teď k dispozici v tabulce IdentityQueryEvents v rozšířeném proaktivním vyhledávání. Může tak získat přehled o dotazech na adresáře prováděných prostřednictvím služby ADWS a pomáhat zákazníkům sledovat tyto operace a vytvářet na základě těchto dat vlastní detekci.

Číslo verze Aktualizace
2.253 Obsahuje opravy chyb a vylepšení stability senzoru Microsoft Defender for Identity.
2.252 Obsahuje opravy chyb a vylepšení stability senzoru Microsoft Defender for Identity.

listopad 2025

Číslo verze Aktualizace
2.251 Rozšířené metody dotazů LDAP služby ADWS a starší metody dotazů LDAP založené na heslech teď zaznamenávají širší rozsah jedinečných událostí ve velkém měřítku. V důsledku toho si můžete všimnout nárůstu zaznamenané aktivity.

Vylepšení inventáře identit: Karta Účty, ruční propojení a zrušení propojení účtů a rozšířené nápravné akce

V Microsoft Defender for Identity jsou teď k dispozici následující nové funkce:

Karta Účty v inventáři identit:

Nová karta Účty poskytuje konsolidované zobrazení všech účtů přidružených k identitě, včetně účtů ze služby Active Directory, Microsoft Entra ID a podporovaných zprostředkovatelů identity třetích stran. Další informace najdete v tématu Správa souvisejících identit a účtů (Preview)

Ruční propojení a zrušení propojení účtů:

Účty teď můžete ručně propojit nebo zrušit propojení s identitou přímo na kartě Účty. Tato funkce pomáhá korelovat komponenty identit z různých zdrojů adresářů a poskytuje kompletní kontext identity během vyšetřování. Další informace najdete v tématu Správa souvisejících identit a účtů (Preview).

Akce nápravy na úrovni identity:

U jednoho nebo více účtů propojených s identitou teď můžete provádět nápravné akce, jako je zakázání účtů nebo resetování hesel. Další informace najdete v tématu: Nápravné akce.

Nové posouzení stavu zabezpečení: Změna hesla pro místní účet s potenciálně uniklými přihlašovacími údaji (Preview)

Nové posouzení stavu zabezpečení obsahuje seznam uživatelů, jejichž platné přihlašovací údaje unikly. Další informace najdete v tématu Změna hesla pro místní účet s potenciálně uniklými přihlašovacími údaji (Preview).

aktualizace verzí senzoru Microsoft Defender for Identity

Číslo verze Aktualizace
2.250 Vylepšená metoda dotazu protokolu událostí zachycuje širší rozsah jedinečných událostí ve velkém měřítku. V důsledku toho si můžete všimnout nárůstu zachycených aktivit. Tato aktualizace také zahrnuje vylepšení zabezpečení a výkonu.

Rozšíření rozsahu identity: Podpora organizačních jednotek (Preview)

Kromě toho, že před několika měsíci bylo vydáno obecné nastavení rozsahu doménami služby Active Directory, můžete teď nastavit rozsah podle organizačních jednotek (OU) v rámci uživatelského Role-Based Access Control XDR (URBAC). Toto vylepšení poskytuje ještě podrobnější kontrolu nad tím, které entity a prostředky jsou součástí analýzy zabezpečení.

Další informace najdete v tématu Konfigurace přístupu s vymezeným oborem pro Microsoft Defender for Identity.

Říjen 2025

S radostí oznamujeme, že Microsoft Defender for Identity senzor v3.x je nyní obecně dostupný (GA). Senzor Microsoft Defender for Identity v3.x poskytuje rozšířené pokrytí, lepší výkon v celém prostředí a nabízí jednodušší nasazení a správu řadičů domény.

aktualizace verzí senzoru Microsoft Defender for Identity

Číslo verze Aktualizace
2.249 Vylepšená metoda dotazu na protokol událostí teď zachycuje širší rozsah jedinečných událostí ve velkém měřítku. V důsledku toho si můžete všimnout nárůstu zachycených aktivit. Tato aktualizace také přináší další vylepšení zabezpečení a výkon.

Září 2025

Výstrahy MDI převedené na jednotné prostředí upozorňování Defenderu

V rámci probíhajícího přechodu na jednotné prostředí pro upozorňování napříč produkty Microsoft Defender byly následující výstrahy převedeny z Microsoft Defender for Identity klasického formátu na formát upozornění MDI XDR. Mějte na paměti, že všechna upozornění jsou založená na detekcích ze senzorů Defenderu for Identity.

Název klasického upozornění Externí ID Název upozornění XDR ID detektoru
Rekognoskace atributů Active Directory pomocí protokolu LDAP 2210 Rekognoskace atributů Active Directory pomocí protokolu LDAP xdr_LdapSensitiveAttributeRecon
Rekognoskace uživatelů a IP adres 2012 Rekognoskace uživatelů a IP adres (SMB) xdr_SmbSessionEnumeration
Rekognoskace výčtu účtů 2003 Rekognoskace výčtu účtů ve službě AD FS xdr_AccountEnumerationHintSecurityAlertAdfs
Rekognoskace výčtu účtů v Protokolu Kerberos xdr_AccountEnumerationHintSecurityAlertKerberos
Rekognoskace výčtu účtů v NTLM xdr_AccountEnumerationHintSecurityAlertNtlm
Podezřelý útok hrubou silou (LDAP) 2004 Podezřelý útok hrubou silou (LDAP) xdr_LdapBindBruteForce
Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol 2416 Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol xdr_SuspiciousConnectionOverEFSRPC

Další hodnota zabezpečení v senzoru Defender for Identity v3.x

Použijte značku auditu RPC sjednoceného senzoru u senzoru Defenderu for Identity v3.x na stránce Správa pravidel aktiv , abyste zlepšili ochranu. Tady si můžete přečíst další informace.

Zobrazení doporučení stavu identity na stránce identity (Preview)

Na stránku Profil identity jsme přidali novou kartu, která obsahuje všechna posouzení stavu zabezpečení identit souvisejících s aktivní identitou (ISPM). Tato funkce konsoliduje všechna posouzení stavu zabezpečení specifického pro identitu do jednoho kontextového zobrazení a pomáhá týmům zabezpečení rychle odhalit slabá místa a provádět cílené akce. Další informace najdete v tématu Zkoumání uživatelů v Microsoft Defender XDR.

Nová regionální dostupnost: Spojené arabské emiráty

Datová centra Defenderu for Identity jsou teď také nasazená v oblastech Spojené arabské emiráty, Sever a Střed. Nejnovější seznam regionálních nasazení najdete v tématu Umístění dat v programu Defender for Identity.

Nová podpora rozhraní API pro senzor Defender for Identity v3.x (Preview)

S radostí oznamujeme dostupnost nového rozhraní API založeného na grafech pro správu akcí serveru se senzorem Defender for Identity v3.x. Tato funkce je aktuálně ve verzi Preview a je dostupná ve verzi API Beta.

Toto rozhraní API umožňuje zákazníkům:

  • Monitorujte stav serverů nasazených pomocí senzoru Defender for Identity v3.x.
  • Povolte nebo zakažte automatickou aktivaci oprávněných serverů.
  • Aktivujte nebo deaktivujte senzor na oprávněném serveru.

Další informace najdete v tématu Správa akcí senzoru Defender for Identity v3.x pomocí Graph API.

aktualizace verzí senzoru Microsoft Defender for Identity

Číslo verze Aktualizace
2.249 Obsahuje opravy chyb a vylepšení stability senzoru Microsoft Defender for Identity.

Aktualizace k více detekcím, abyste snížili šum a zlepšili přesnost upozornění.

Několik detekcí defenderu pro identitu se aktualizuje, aby se snížila úroveň šumu a zlepšila přesnost, aby byla upozornění spolehlivější a lépe použitelná. S tím, jak bude zavádění pokračovat, může docházet k poklesu počtu vyvolaných upozornění.

Vylepšení se postupně projeví v následujících detekcích:

  • Podezřelá komunikace přes DNS
  • Podezřelý pokus o zvýšení oprávnění netlogonu (CVE-2020-1472)
  • Aktivita ověřování honeytokenem
  • Pokus o vzdálené spuštění kódu přes DNS
  • Podezřelé resetování hesla účtem Microsoft Entra Connect
  • Exfiltrace dat přes protokol SMB
  • Podezření na útok na kostra klíče (downgrade šifrování)
  • Podezřelá úprava omezeného delegování založeného na prostředcích účtem počítače
  • Pokus o vzdálené spuštění kódu

Sjednocené konektory jsou teď dostupné pro konektory Okta Single Sign-On (Preview)

Microsoft Defender for Identity podporuje prostředí sjednocených konektorů, počínaje konektorem Okta Single Sign-On. Defender for Identity tak může jednou shromažďovat systémové protokoly Okta a sdílet je mezi podporovanými produkty zabezpečení Microsoftu, což snižuje využití rozhraní API a zvyšuje efektivitu konektorů.

Další informace najdete v tématu Připojení Okty k Microsoft Defender for Identity (Preview)

srpen 2025

Microsoft Entra ID úroveň rizika je teď k dispozici téměř v reálném čase v Microsoft Defender for Identity (Preview)

Microsoft Entra ID úroveň rizika je teď k dispozici na stránce Prostředky inventáře identit, na stránce s podrobnostmi o identitě a v tabulce IdentityInfo v rozšířeném proaktivním vyhledávání a obsahuje Microsoft Entra ID skóre rizika. Analytici SOC můžou tato data použít ke korelaci rizikových uživatelů s citlivými nebo vysoce privilegovanými uživateli, k vytváření vlastních detekcí na základě aktuálního nebo historického rizika uživatelů a ke zlepšení kontextu šetření.

Dříve dostávali tenanti Defenderu for Identity Microsoft Entra ID úroveň rizika v tabulce IdentityInfo prostřednictvím analýzy chování uživatelů a entit (UEBA). Díky této aktualizaci se úroveň rizika Microsoft Entra ID aktualizuje téměř v reálném čase prostřednictvím Microsoft Defender for Identity.

U tenantů UEBA bez licence Microsoft Defender for Identity zůstává synchronizace Microsoft Entra ID úrovně rizika do tabulky IdentityInfo beze změny.

Nové posouzení zabezpečení: Odebrání neaktivních účtů služeb

Microsoft Defender for Identity teď obsahuje nové posouzení zabezpečení, které vám pomůže identifikovat a odebrat neaktivní účty služeb ve vaší organizaci. Toto hodnocení obsahuje seznam účtů služby Active Directory, které byly neaktivní posledních 90 dnů, a pomáhá tak zmírnit bezpečnostní rizika spojená s nepoužívanými účty.

Další informace najdete v tématu Posouzení zabezpečení: Odebrání neaktivních účtů služby (Preview).

Nové rozhraní GRAPH API pro akce odpovědí (Preview)

S radostí oznamujeme nové rozhraní API založené na grafech pro inicializování a správu nápravných akcí v Microsoft Defender for Identity.

Tato funkce je aktuálně ve verzi Preview a je dostupná ve verzi API Beta.

Další informace najdete v tématu Správa akcí odpovědí prostřednictvím Graph API.

Rozsah identity je teď obecně dostupný (GA)

Rozsah identity je teď obecně dostupný ve všech prostředích. Organizace teď můžou definovat a upřesnit rozsah monitorování MDI a získat podrobnou kontrolu nad entitami a prostředky zahrnutými do analýzy zabezpečení.

Další informace najdete v tématu Konfigurace přístupu s vymezeným oborem pro Microsoft Defender for Identity.

Nové posouzení stavu zabezpečení: Odebrání zjistitelných hesel v atributech účtu Active Directory (Preview)

Nové posouzení stavu zabezpečení zvýrazňuje nezabezpečené atributy služby Active Directory, které obsahují hesla nebo přihlašovací údaje, a doporučuje kroky k jejich odebrání, což pomáhá snížit riziko ohrožení identity.

Další informace najdete v tématu Posouzení zabezpečení: Odebrání zjistitelných hesel v atributech účtu Active Directory (Preview)

aktualizace verzí senzoru Microsoft Defender for Identity

Číslo verze Aktualizace
2.247 Obsahuje opravy chyb a vylepšení stability senzoru Microsoft Defender for Identity.
2.246 Obsahuje opravy chyb a vylepšení stability senzoru Microsoft Defender for Identity.

Aktualizace detekce: Podezřelý útok hrubou silou (Kerberos, NTLM)

Vylepšená logika detekce tak, aby zahrnovala scénáře, kdy byly účty během útoků uzamčeny. V důsledku toho se může zvýšit počet aktivovaných výstrah.

červenec 2025

Rozšířené pokrytí ve widgetu stavu nasazení ITDR

Widget stavu nasazení Detekce hrozeb a reakce na ně (ITDR) teď poskytuje přehled o stavu nasazení dalších typů serverů. Dříve odrážel pouze stav řadičů domény služby Active Directory. S touto aktualizací widget zahrnuje také stav nasazení pro servery ADFS, ADCS a Microsoft Entra Connect, což usnadňuje sledování a zajištění úplného pokrytí senzorů ve všech podporovaných infrastrukturách identit.

Doporučená konfigurace testovacího režimu na stránce Upravit prahové hodnoty upozornění teď vyžaduje, abyste při jeho povolení nastavili dobu vypršení platnosti (až 60 dnů). Čas ukončení se zobrazí vedle přepínače, když je testovací režim aktivní. U zákazníků, kteří už mají povolený doporučený testovací režim, se automaticky použije 60denní vypršení platnosti.

Rozsah identity je teď k dispozici v prostředích zásad správného řízení.

Rozsahy se teď podporují v prostředích pro státní správu (GOV). Organizace teď můžou definovat a upřesnit rozsah monitorování MDI a získat podrobnou kontrolu nad entitami a prostředky zahrnutými do analýzy zabezpečení.

Další informace najdete v tématu Konfigurace přístupu s vymezeným oborem pro Microsoft Defender for Identity.

Nové posouzení stavu zabezpečení pro nemonitorované servery identit

Microsoft Defender for Identity tři nová posouzení stavu zabezpečení zjistí, když se ve vašem prostředí nacházejí servery služby Microsoft Entra Connect, Active Directory Federation Services (AD FS) (ADFS) nebo ADCS (Active Directory Certificate Services). ale nejsou monitorované.

Pomocí těchto posouzení můžete zlepšit pokrytí monitorování a posílit stav zabezpečení hybridních identit.

Další informace najdete tady:

Posouzení zabezpečení: Nemonitorované servery ADCS

Posouzení zabezpečení: Nemonitorované servery AD FS

Posouzení zabezpečení: Nemonitorované servery Microsoft Entra Connect

Červen 2025

Přístup vymezený doménou Active Directory je teď podporovaný (Preview)

Rozsah mdi je teď k dispozici jako součást XDR User Role-Based Access Control (URBAC). Organizace teď můžou definovat a upřesnit rozsah monitorování MDI a poskytovat podrobnou kontrolu nad entitami a prostředky zahrnutými do analýzy zabezpečení.

Vymezení podle domén služby Active Directory pomáhá:

  • Optimalizace výkonu: Zaměřte se na monitorování důležitých prostředků a snižte šum z nepodstatných dat.

  • Vylepšení řízení viditelnosti: Přizpůsobení pokrytí MDI konkrétním doménám a skupinám uživatelů.

  • Podpora provozních hranic: Sladění přístupu pro analytiky SOC, správce identit a regionální týmy.

Další informace najdete v tématu Konfigurace přístupu s vymezeným oborem pro Microsoft Defender for Identity.

Integrace Okta je teď dostupná v Microsoft Defender for Identity

Microsoft Defender for Identity teď podporuje integraci s oktou, což umožňuje detekci hrozeb založených na identitách v cloudových i místních prostředích. Tato integrace pomáhá identifikovat podezřelá přihlášení, přiřazení rizikových rolí a potenciální zneužití oprávnění v prostředí Okta.

Požadavky a kroky konfigurace najdete v tématu Integrace Okta s Microsoft Defender for Identity.

Pravidla klasifikace účtu služby jsou teď k dispozici.

Teď můžete vytvořit vlastní pravidla klasifikace, která identifikují účty služeb na základě konkrétních kritérií vaší organizace. To doplňuje automatické zjišťování a umožňuje přesnější identifikaci účtů služeb. Další informace najdete v tématu Zjišťování účtu služby.

Aktualizace modulu PowerShellu pro Defender for Identity (verze 1.0.0.4)

Nové funkce a vylepšení:

  • Přidání funkce vzdálené domény
  • Přidání parametru SensorType do Test-MDISensorApiConnection, který informuje adresu URL koncového bodu.
  • Přidali jsme možnost získat, nastavit nebo otestovat oprávnění kontejneru Odstraněné objekty.
  • Přidání auditování pro delegovaný účet spravované služby (dMSA) v konfiguraci DomainObjectAuditing

Opravy chyb:

  • Opravili jsme kontroly ověřování auditu pro neanglické operační systémy.
  • Opravili jsme chybu redundantního parametru identity DomainObjectAuditing.
  • Oprava logiky detekce řadiče domény, která potvrzuje, že na serveru běží webová služba AD.
  • Opravili jsme problém s tím, že test-MDIDSA neanalysuje oprávnění odstraněného objektu.
  • Další opravy spolehlivosti

Květen 2025

Lepší přehled o způsobilosti nových senzorů defenderu for Identity na stránce aktivace

Na stránce aktivace se teď zobrazí všechny servery z inventáře zařízení, včetně serverů, které aktuálně nemají nárok na nový senzor Defenderu for Identity. Toto vylepšení zvyšuje transparentnost, pokud jde o způsobilost senzorů, což vám pomůže identifikovat nezpůsobilé servery a podniknout kroky k jejich aktualizaci a nasazení za účelem rozšířené ochrany identit.

Funkce kolekce místních správců (pomocí dotazů SAM-R) je zakázaná.

Vzdálené shromažďování členů skupiny místních správců z koncových bodů pomocí dotazů SAM-R v Microsoft Defender for Identity bude do poloviny května 2025 zakázané. Tato data se v současné době používají k vytváření potenciálních map cest laterálního pohybu, které se po této změně už nebudou aktualizovat. Zkoumá se alternativní metoda. Ke změně dojde automaticky k zadanému datu a nevyžaduje se žádná akce správy.

Nový problém se stavem

Nový problém se stavem pro případy, kdy senzory spuštěné ve VMware mají neshodu konfigurace sítě.

Duben 2025

Značka privilegované identity je teď viditelná v inventáři služby Defender for Identity

Identity uvedené v inventáři identit na portálu Microsoft Defender teď obsahují značku Privilegovaný účet pro účty spravované službou Privileged Identity Management (PIM). Privilegované účty jsou hlavním cílem útočníků. Jejich označení v inventáři vám pomůže rychle identifikovat vysoce rizikové účty nebo účty s vysokou hodnotou, určit prioritu úsilí o šetření a zmírnění rizik a zjednodušit pracovní postupy reakce na incidenty.

Přečtěte si další informace o Privileged Identity Management.

Nová integrace Služby Defender for Identity a PAM

Microsoft Defender for Identity teď podporuje integraci s předními platformami PAM (Privileged Access Management), které vylepšují detekci a odezvu privilegovaných identit.

Podporovaní dodavatelé PAM:

  • CyberArk
  • Delinea
  • BeyondTrust

Další informace najdete v tématu : Integrace služeb Defender for Identity a PAM.

březen 2025

Nová stránka zjišťování účtu služby

Microsoft Defender for Identity teď zahrnuje funkci zjišťování účtů služby, která vám nabízí centralizovaný přehled o účtech služby v prostředí služby Active Directory.

Tato aktualizace poskytuje:

  • Automatická identifikace skupinových účtů spravované služby, účtů spravované služby a uživatelských účtů fungujících jako účty služby

  • Centralizovaný inventář účtů služeb zobrazující klíčové atributy, jako je typ účtu, typ ověřování, jedinečná připojení, poslední přihlášení, třída služby a důležitost.

  • Stránka s podrobnostmi o účtu služby, včetně přehledu, časové osy aktivit, upozornění a nové karty připojení

Další informace najdete v tématu Prozkoumání a ochrana účtů služeb | Microsoft Defender for Identity.

Inventář rozšířených identit

Stránka Identity v části Prostředky byla aktualizována tak, aby poskytovala lepší viditelnost a správu identit ve vašem prostředí. Aktualizovaná stránka Inventář identit teď obsahuje následující karty:

  • Identity: Konsolidované zobrazení identit ve službě Active Directory Microsoft Entra ID. Tato karta Identity zvýrazňuje klíčové podrobnosti, včetně typů identit a informací o uživateli.

  • Účty cloudových aplikací: Zobrazí seznam účtů cloudových aplikací, včetně účtů z konektorů aplikací a zdrojů třetích stran (původní verze je k dispozici v předchozí verzi na základě Microsoft Defender for Cloud Apps).

Další informace najdete v tématu Podrobnosti inventáře identit.

Nové události dotazu LDAP přidané do tabulky IdentityQueryEvents v rozšířeném proaktivním vyhledávání

Do tabulky rozšířeného IdentityQueryEvents proaktivního proaktivního vyhledávání byly přidány nové události dotazů LDAP, které poskytují lepší přehled o dalších vyhledávacích dotazech LDAP spuštěných v prostředí zákazníka.

Únor 2025

Aktualizace modulu PowerShellu DefenderForIdentity (verze 1.0.0.3)

Nové funkce a vylepšení:

  • Podpora pro získání, testování a nastavení koše služby Active Directory v konfiguraci get,set/test MDI
  • Podpora získání, testování a nastavení konfigurace proxy serveru na novém senzoru MDI
  • Hodnota registru služby Active Directory Certificate Services pro filtrování auditu teď správně nastavuje typ.
  • New-MDIConfigurationReport teď zobrazuje název testovaného objektu zásad skupiny a podporuje argumenty Server a Identita.

Opravy chyb:

  • Vylepšená spolehlivost oprávnění ke kontejneru DeletedObjects v jiných než anglických operačních systémech.
  • Opravili jsme nadbytečný výstup pro vytvoření kořenového klíče KDS.
  • Další opravy spolehlivosti

Nová karta cesty útoku na stránce Profil identity

Tato karta poskytuje přehled o potenciálních způsobech útoku, které vedou ke kritické identitě nebo ji v rámci cesty zahrnují, a pomáhá tak vyhodnotit bezpečnostní rizika. Další informace najdete v tématu Přehled cesty útoku ve správě expozic.

Další vylepšení stránky identit:

  • Nový boční panel s dalšími informacemi pro každou položku na časové ose uživatele

  • Možnosti filtrování na kartě Zařízení v části Pozorované v organizaci

Aktualizace doporučení k ochraně a správě hesel místních správců pomocí Microsoft LAPS

Tato aktualizace ladí posouzení stavu zabezpečení ve skóre zabezpečení s nejnovější verzí Windows LAPS a zajišťuje, aby odráželo aktuální osvědčené postupy zabezpečení pro správu hesel místních správců.

Nové a aktualizované události v tabulce IdentityDirectoryEvents rozšířeného proaktivního vyhledávání

V tabulce rozšířeného proaktivního vyhledávání jsme přidali a aktualizovali IdentityDirectoryEvents následující události:

  • Příznak Řízení uživatelských účtů byl změněn.
  • Vytvoření skupiny zabezpečení ve službě Active Directory
  • Neúspěšný pokus o změnu hesla účtu
  • Úspěšná změna hesla účtu
  • ID primární skupiny účtu bylo změněno.

Kromě toho byly aktualizovány předdefinované referenční informace o schématu rozšířeného proaktivního vyhledávání v Microsoft Defender XDR tak, aby zahrnovaly podrobné informace o všech podporovaných typech událostí (ActionTypehodnotách) v tabulkách souvisejících s identitou, což zajišťuje úplný přehled o dostupných událostech. Další informace najdete v tématu Podrobnosti o schématu rozšířeného proaktivního vyhledávání.

Leden 2025

Prohlídka průvodce novou identitou

Prozkoumejte klíčové funkce MDI pomocí nové prohlídky identit na portálu Microsoft 365. Projděte si incidenty, proaktivní vyhledávání a nastavení, abyste zlepšili zabezpečení identit a vyšetřování hrozeb.

Prosinec 2024

Nové posouzení stavu zabezpečení: Zabránění zápisu certifikátu pomocí libovolných zásad aplikace (ESC15)

Defender for Identity přidal nové doporučení Zabránit zápisu certifikátu pomocí zásad libovolných aplikací (ESC15) ve skóre zabezpečení Microsoftu.

Toto doporučení přímo řeší nedávno publikovanou aktualizaci CVE-2024-49019, která upozorňuje na bezpečnostní rizika spojená s ohroženými konfiguracemi služby AD CS. Toto posouzení stavu zabezpečení obsahuje seznam všech ohrožených šablon certifikátů, které se v zákaznických prostředích nacházejí kvůli neopraveným serverům AD CS.

Nové doporučení se přidá do dalších doporučení souvisejících se službou AD CS. Tato hodnocení společně nabízejí sestavy stavu zabezpečení, které ukazují problémy se zabezpečením a závažné chybné konfigurace, které představují rizika pro celou organizaci, a související detekce.

Další informace najdete tady:

Říjen 2024

MDI rozšiřuje pokrytí o nových 10 doporučení stavu identit (Preview)

Nové posouzení stavu zabezpečení identit (ISPM) může zákazníkům pomoct monitorovat chybnou konfiguraci tím, že sledují slabá místa a snižují riziko potenciálního útoku na místní infrastrukturu. Tato nová doporučení pro identity, jako součást Microsoft Secure Score, představují nové sestavy stavu zabezpečení související s infrastrukturou služby Active Directory a objekty zásad skupiny:

Dále jsme aktualizovali stávající doporučení "Úprava nezabezpečených delegování protokolu Kerberos, aby se zabránilo zosobnění" tak, aby obsahovalo informace o omezeném delegování protokolu Kerberos s přechodem protokolu na privilegovanou službu.

Srpen 2024

Nový senzor Microsoft Entra Connect:

V rámci našeho trvalého úsilí o zlepšení pokrytí Microsoft Defender for Identity v prostředích s hybridní identitou jsme zavedli nový senzor pro servery Microsoft Entra Connect. Kromě toho jsme vydali nové hybridní detekce zabezpečení a nová doporučení pro stav identit speciálně pro Microsoft Entra Connect, což pomáhá zákazníkům zůstat chráněni a zmírnit potenciální rizika.

Nová doporučení pro stav identity Microsoft Entra Connect:

  • Obměna hesla pro účet konektoru Microsoft Entra Connect
    • Ohrožený účet konektoru Microsoft Entra Connect (účet konektoru služby AD DS, běžně označovaný jako MSOL_XXXXXXXX) může udělit přístup k funkcím s vysokými oprávněními, jako je replikace a resetování hesla, což útočníkům umožňuje upravit nastavení synchronizace a ohrozit zabezpečení v cloudovém i místním prostředí a nabídnout několik způsobů ohrožení celé domény. V tomto hodnocení doporučujeme zákazníkům změnit heslo účtů MSOL s heslem, které bylo naposledy nastavené před více než 90 dny. Další informace získáte výběrem možnosti Otočit heslo pro účet konektoru Microsoft Entra Connect.
  • Odebrání nepotřebných oprávnění k replikaci pro účet Microsoft Entra Connect
    • Ve výchozím nastavení má účet konektoru Microsoft Entra Connect rozsáhlá oprávnění k zajištění správné synchronizace (i když se nevyžadují). Pokud synchronizace hodnot hash hesel není nakonfigurovaná, je důležité odebrat nepotřebná oprávnění, aby se snížil potenciální prostor pro útoky. Další informace najdete v tématu Odebrání oprávnění k replikaci pro účet Microsoft Entra.
  • Změna hesla pro Microsoft Entra bezproblémovou konfiguraci účtu jednotného přihlašování

Nové detekce Microsoft Entra Connect:

  • Podezřelé interaktivní přihlášení k serveru Microsoft Entra Connect
    • Přímá přihlášení k serverům Microsoft Entra Connect jsou velmi neobvyklá a potenciálně škodlivá. Útočníci často cílí na tyto servery, aby ukradli přihlašovací údaje pro širší síťový přístup. Microsoft Defender for Identity teď dokáže detekovat neobvyklá přihlášení k serverům Microsoft Entra Connect, což vám pomůže tyto potenciální hrozby rychleji identifikovat a reagovat na ně. Dá se použít, pokud je server Microsoft Entra Connect samostatným serverem, který nefunguje jako řadič domény.
  • Resetování hesla uživatele pomocí účtu Microsoft Entra Connect
    • Účet konektoru Microsoft Entra Connect má často vysoká oprávnění, včetně možnosti resetovat hesla uživatelů. Microsoft Defender for Identity teď má o těchto akcích přehled a detekuje jakékoli použití těchto oprávnění, která byla identifikována jako škodlivá a neautoilní. Toto upozornění se aktivuje jenom v případě, že je funkce zpětného zápisu hesla zakázaná.
  • Podezřelý zpětný zápis Microsoft Entra Connect u citlivého uživatele
    • I když Microsoft Entra Connect už brání zpětnému zápisu uživatelů v privilegovaných skupinách, Microsoft Defender for Identity tuto ochranu rozšiřuje tím, že identifikuje další typy citlivých účtů. Tato rozšířená detekce pomáhá zabránit neoprávněnému resetování hesel u důležitých účtů, což může být zásadní krok při pokročilých útocích zaměřených na cloudová i místní prostředí.

Další vylepšení a možnosti:

  • Nová aktivita jakéhokoli neúspěšného resetování hesla u citlivého účtu , který je k dispozici v tabulce IdentityDirectoryEvents v rozšířeném proaktivním vyhledávání. To může zákazníkům pomoct sledovat neúspěšné události resetování hesla a na základě těchto dat vytvořit vlastní detekci.
  • Vylepšená přesnost detekce útoků synchronizace řadiče domény
  • Nový problém se stavem pro případy, kdy senzor nemůže načíst konfiguraci ze služby Microsoft Entra Connect.
  • Rozšířené monitorování výstrah zabezpečení, jako je detektor vzdáleného spuštění PowerShellu, povolením nového senzoru na serverech Microsoft Entra Connect

Další informace o novém senzoru

Aktualizace modulu PowerShellu DefenderForIdentity

Aktualizovali jsme modul PowerShellu DefenderForIdentity, který zahrnuje nové funkce a řeší několik oprav chyb. Mezi klíčová vylepšení patří:

  • Nwe New-MDIDSA Rutina: Zjednodušuje vytváření účtů služby s výchozím nastavením pro účty spravované služby skupiny (gMSA) a možností vytvořit standardní účty.
  • Automatická detekce primárního řadiče domény: Zlepšuje spolehlivost vytváření objektů Zásady skupiny tím, že automaticky cílí na emulátor primárního řadiče domény (PDCe) pro většinu operací služby Active Directory.
  • Ruční cílení na řadič domény: Nový parametr serveru pro Get/Set/Test-MDIConfiguration rutiny, který umožňuje určit řadič domény pro cílení místo primárního řadiče domény.

Další informace najdete tady:

červenec 2024

Ve verzi Public Preview je šest nových detekcí:

  • Možný útok NetSync
    • NetSync je modul mimikatz, nástroj pro následné zneužití, který vyžaduje hodnotu hash hesla cílového zařízení tím, že předstírá, že je řadičem domény. Útočník může pomocí této funkce provádět škodlivé aktivity v síti, aby získal přístup k prostředkům organizace.
  • Možné převzetí účtu Microsoft Entra bezproblémového jednotného přihlašování
    • Podezřele se změnil Microsoft Entra objekt účtu bezproblémového jednotného přihlašování (AZUREADSSOACC). Útočník se může laterálně přesouvat z místního prostředí do cloudu.
  • Podezřelý dotaz LDAP
    • Byl zjištěn podezřelý dotaz protokolu LDAP (Lightweight Directory Access Protocol) přidružený ke známému nástroji pro útok. Útočník může provádět rekognoskaci pro pozdější kroky.
  • Uživateli se přidal podezřelý hlavní název služby (SPN)
    • K citlivému uživateli se přidal podezřelý hlavní název služby (SPN). Útočník se může pokoušet získat zvýšený přístup pro laterální pohyb v rámci organizace.
  • Podezřelé vytvoření skupiny ESXi
    • V doméně byla vytvořena podezřelá skupina VMware ESXi. To může znamenat, že se útočník pokouší získat další oprávnění pro pozdější kroky útoku.
  • Podezřelé ověřování AD FS
    • Účet připojený k doméně přihlášený pomocí Active Directory Federation Services (AD FS) (ADFS) z podezřelé IP adresy. Útočník mohl ukrást přihlašovací údaje uživatele a používá je k laterálně přesunu v organizaci.

Defender for Identity verze 2.238

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Červen 2024

Snadné hledání informací o uživateli z řídicího panelu ITDR

Widget Shield poskytuje rychlý přehled o počtu uživatelů v hybridním, cloudovém a místním prostředí. Tato funkce teď obsahuje přímé odkazy na platformu Rozšířené proaktivní vyhledávání a nabízí podrobné informace o uživateli na dosah ruky.

Widget stavu nasazení ITDR teď zahrnuje Microsoft Entra podmíněný přístup a Microsoft Entra Soukromý přístup

Teď můžete zobrazit dostupnost licencí pro podmíněný přístup Microsoft Entra úloh, Microsoft Entra uživatelský podmíněný přístup a Microsoft Entra Soukromý přístup.

Defender for Identity verze 2.237

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Květen 2024

Defender for Identity verze 2.236

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.235

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Duben 2024

Snadné zjištění chyby zabezpečení spočívající v obejití funkce zabezpečení protokolu Windows Kerberos CVE-2024-21427

Abychom zákazníkům pomohli lépe identifikovat a rozpoznat pokusy o obejití protokolů zabezpečení podle této chyby zabezpečení, přidali jsme v rámci rozšířeného proaktivního vyhledávání novou aktivitu, která monitoruje ověřování Kerberos AS.

S využitím těchto dat si teď zákazníci můžou snadno vytvořit vlastní pravidla detekce v rámci Microsoft Defender XDR a automaticky aktivovat výstrahy pro tento typ aktivity.

Portál Access Microsoft Defender –> Proaktivní vyhledávání –> Rozšířené proaktivní vyhledávání.

Teď můžete zkopírovat doporučený dotaz, jak je uvedeno níže, a vybrat Vytvořit pravidlo detekce. Náš zadaný dotaz také sleduje neúspěšné pokusy o přihlášení, které můžou generovat informace nesouvisející s potenciálním útokem. Proto můžete dotaz přizpůsobit tak, aby vyhovoval vašim konkrétním požadavkům.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity verze 2.234

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.233

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Březen 2024

Nová oprávnění jen pro čtení pro zobrazení nastavení Defenderu for Identity

Teď můžete nakonfigurovat uživatele Defenderu for Identity s oprávněními jen pro čtení a zobrazit nastavení Defenderu for Identity.

Další informace najdete v tématu Požadovaná oprávnění Defender for Identity v Microsoft Defender XDR.

Nové rozhraní GRAPH API pro zobrazení a správu problémů se stavem

Teď můžete zobrazit a spravovat problémy se stavem Microsoft Defender for Identity prostřednictvím Graph API

Další informace najdete v tématu Správa problémů se stavem prostřednictvím Graph API.

Defender for Identity verze 2.232

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.231

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Únor 2024

Defender for Identity verze 2.230

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Nové posouzení stavu zabezpečení pro nezabezpečenou konfiguraci koncového bodu služby IIS služby AD CS

Defender for Identity přidal nové doporučení Upravit nezabezpečené koncové body služby IIS (ESC8) pro úpravy nezabezpečených certifikátů ADCS ve skóre zabezpečení Microsoftu.

Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů prostřednictvím různých metod a protokolů, včetně zápisu prostřednictvím protokolu HTTP pomocí služby zápisu certifikátů (CES) nebo rozhraní webového zápisu (Certsrv). Nezabezpečené konfigurace koncových bodů služby IIS CES nebo Certsrv můžou způsobovat ohrožení zabezpečení vůči útokům na přenos (ESC8).

Nové doporučení Upravit nezabezpečené koncové body služby IIS (ESC8) pro úpravy nezabezpečených certifikátů ADCS se přidalo k dalším nedávno vydaným doporučením souvisejícím se službou AD CS. Tato hodnocení společně nabízejí sestavy stavu zabezpečení, které ukazují problémy se zabezpečením a závažné chybné konfigurace, které představují rizika pro celou organizaci, a související detekce.

Další informace najdete tady:

Defender for Identity verze 2.229

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Vylepšené uživatelské prostředí pro úpravu prahových hodnot upozornění (Preview)

Stránka Rozšířené nastavení defenderu pro identitu se teď přejmenovala na Upravit prahové hodnoty upozornění a poskytuje aktualizované prostředí s vylepšenou flexibilitou pro úpravu prahových hodnot upozornění.

Snímek obrazovky s novou stránkou Upravit prahové hodnoty upozornění

Mezi změny patří:

  • Odebrali jsme předchozí možnost Odebrat výukové období a přidali jsme novou možnost Doporučený testovací režim . Výběrem možnosti Doporučený testovací režim nastavíte všechny úrovně prahových hodnot na Hodnotu Nízká, zvýšíte počet výstrah a nastavíte všechny ostatní úrovně prahových hodnot jen pro čtení.

  • Předchozí sloupec Úroveň citlivosti se teď přejmenoval na Prahová hodnota s nově definovanými hodnotami. Ve výchozím nastavení jsou všechny výstrahy nastaveny na vysokou prahovou hodnotu, která představuje výchozí chování a standardní konfiguraci výstrah.

    Následující tabulka uvádí mapování mezi předchozími hodnotami úrovně citlivosti a novými hodnotami úrovně prahové hodnoty :

    Úroveň citlivosti (předchozí název) Úroveň prahové hodnoty (nový název)
    Normální High (Vysoká)
    Střední Střední
    High (Vysoká) Nízké

Pokud jste na stránce Upřesnit nastavení definovali konkrétní hodnoty, přenesli jsme je na novou stránku Upravit prahové hodnoty upozornění následujícím způsobem:

Konfigurace stránky Upřesňující nastavení Nová konfigurace stránky Upravit prahové hodnoty upozornění
Možnost Odebrat období výuky zapnutá Doporučený testovací režim je vypnutý.

Nastavení konfigurace prahové hodnoty upozornění zůstává stejné.
Odebrání období výuky s vypnutým Doporučený testovací režim je vypnutý.

Nastavení konfigurace prahové hodnoty upozornění se všechna resetují na výchozí hodnoty s úrovní vysoké prahové hodnoty.

Upozornění se vždy aktivují okamžitě, pokud je vybraná možnost Doporučený testovací režim nebo pokud je nastavená úroveň prahové hodnoty Střední nebo Nízká, bez ohledu na to, jestli se už doba výuky výstrahy dokončila.

Další informace najdete v tématu Úprava prahových hodnot upozornění.

Stránky s podrobnostmi o zařízení teď obsahují popisy zařízení (Preview)

Microsoft Defender XDR teď obsahuje popisy zařízení v podoknech podrobností o zařízení a na stránkách podrobností o zařízení. Popisy se vyplní z atributu Active Directory Description zařízení.

Například v bočním podokně podrobností o zařízení:

Snímek obrazovky s novým polem Popis zařízení v podokně podrobností o zařízení

Další informace najdete v tématu Postup šetření podezřelých zařízení.

Defender for Identity verze 2.228

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity a následující nová upozornění:

Leden 2024

Defender for Identity verze 2.227

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Přidání karty Časová osa pro entity skupiny

Teď můžete zobrazit aktivity a výstrahy související s entitami skupiny služby Active Directory za posledních 180 dnů v Microsoft Defender XDR, jako jsou změny členství ve skupině, dotazy LDAP atd.

Pokud chcete přejít na stránku časové osy skupiny, vyberte Otevřít časovou osu v podokně podrobností skupiny.

Příklady:

Snímek obrazovky s tlačítkem Otevřít časovou osu v podokně podrobností entity skupiny

Další informace najdete v tématu Postup šetření podezřelých skupin.

Konfigurace a ověření prostředí Defenderu for Identity přes PowerShell

Defender for Identity teď podporuje nový modul PowerShellu DefenderForIdentity, který je navržený tak, aby vám pomohl nakonfigurovat a ověřit prostředí pro práci s Microsoft Defender for Identity.

Pomocí příkazů PowerShellu se vyhnete chybným konfiguracím, ušetříte čas a zabráníte zbytečnému zatížení systému.

Do dokumentace k Defenderu for Identity jsme přidali následující postupy, které vám pomůžou používat nové příkazy PowerShellu:

Další informace najdete tady:

Defender for Identity verze 2.226

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.225

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Prosinec 2023

Poznámka

Pokud se vám zobrazuje snížený počet upozornění na pokusy o vzdálené spuštění kódu , podívejte se na naše aktualizovaná zářijová oznámení, která obsahují aktualizaci logiky detekce defenderu pro identitu. Defender for Identity nadále zaznamenává aktivity vzdáleného spuštění kódu jako předtím.

Oblast a řídicí panel Nové identity v Microsoft Defender XDR (Preview)

Zákazníci služby Defender for Identity teď mají v Microsoft Defender XDR novou oblast Identity, která obsahuje informace o zabezpečení identit pomocí služby Defender for Identity.

V Microsoft Defender XDR vyberte Identity a zobrazte některou z následujících nových stránek:

Defender for Identity verze 2.224

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Posouzení stavu zabezpečení pro senzory AD CS (Preview)

Posouzení stavu zabezpečení služby Defender for Identity proaktivně detekuje a doporučuje akce napříč konfiguracemi místní Active Directory.

Mezi doporučené akce teď patří následující nová posouzení stavu zabezpečení, konkrétně pro šablony certifikátů a certifikační autority.

Nová hodnocení jsou k dispozici ve službě Microsoft Secure Score, která se týkají problémů se zabezpečením a závažných chybných konfigurací, které představují rizika pro celou organizaci, spolu s detekcí. Vaše skóre se odpovídajícím způsobem aktualizuje.

Příklady:

Snímek obrazovky s novým posouzením stavu zabezpečení služby AD CS

Další informace najdete v tématu posouzení stavu zabezpečení Microsoft Defender for Identity.

Poznámka

Hodnocení šablon certifikátů jsou sice k dispozici všem zákazníkům, kteří mají ve svém prostředí nainstalovanou službu AD CS, ale posouzení certifikační autority jsou k dispozici jenom zákazníkům, kteří nainstalovali senzor na server služby AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Ad CS (Active Directory Certificate Services).

Defender for Identity verze 2.223

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.222

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.221

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Listopad 2023

Defender for Identity verze 2.220

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.219

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Časová osa identity zahrnuje data za více než 30 dnů (Preview)

Defender for Identity postupně zavádí rozšířené uchovávání dat u podrobností o identitě na více než 30 dnů.

Karta Časová osa stránky s podrobnostmi o identitě, která zahrnuje aktivity z programu Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint, aktuálně zahrnuje minimálně 150 dnů a stále roste. Míra uchovávání dat se může v několika příštích týdnech částečně odchylovat.

Pokud chcete zobrazit aktivity a výstrahy na časové ose identity v určitém časovém rámci, vyberte výchozí 30 dnů a pak vyberte Vlastní rozsah. Filtrovaná data z doby před více než 30 dny se zobrazují maximálně sedm dní najednou.

Příklady:

Snímek obrazovky s možnostmi vlastního časového rámce

Další informace najdete v tématech Zkoumání prostředků a Zkoumání uživatelů v Microsoft Defender XDR.

Defender for Identity verze 2.218

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Říjen 2023

Defender for Identity verze 2.217

Tato verze obsahuje následující vylepšení:

  • Souhrnná sestava: Souhrnná sestava se aktualizuje tak, aby na kartě Problémy se stavem obsahovala dva nové sloupce:

  • Problémy se stavem: Přepínač Odebrat období výuky se pro tento problém se stavem tenanta* automaticky vypnul.

Tato verze obsahuje také opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.216

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Září 2023

Snížení počtu výstrah pro pokusy o vzdálené spuštění kódu

Abychom lépe sladily výstrahy služby Defender for Identity a Microsoft Defender for Endpoint, aktualizovali jsme logiku detekce pokusů o vzdálené spuštění kódu v defenderu for Identity.

I když tato změna vede ke snížení počtu upozornění na pokusy o vzdálené spuštění kódu , Defender for Identity i nadále zaznamenává aktivity vzdáleného spuštění kódu. Zákazníci můžou dál vytvářet vlastní pokročilé proaktivní dotazy a vytvářet vlastní zásady zjišťování.

Nastavení citlivosti upozornění a vylepšení období výuky

Některá upozornění služby Defender for Identity čekají na dobu výuky před aktivací upozornění a zároveň vytvářejí profil vzorů, které se mají použít při rozlišování mezi legitimními a podezřelými aktivitami.

Defender for Identity teď poskytuje následující vylepšení pro prostředí studijního období:

  • Správci teď můžou pomocí nastavení Odebrat období výuky nakonfigurovat citlivost používanou pro konkrétní výstrahy. Definujte citlivost jako Normální , abyste pro vybraný typ upozornění nakonfigurovali nastavení Odebrat výukové období na Vypnuto .

  • Po nasazení nového senzoru v novém pracovním prostoru Defenderu for Identity se nastavení Odebrat období výukypo dobu 30 dnů automaticky zapne. Po uplynutí 30 dnů se nastavení Odebrat období výukyautomaticky vypne a úrovně citlivosti upozornění se vrátí do výchozích funkcí.

    Pokud chcete, aby Defender for Identity používal funkci standardního období výuky, kdy se upozornění negenerují, dokud se neukončí doba učení, nakonfigurujte nastavení Odebrat období výuky na Vypnuto.

Pokud jste dříve aktualizovali nastavení Odebrat výukové období , zůstane nastavení tak, jak jste ho nakonfigurovali.

Další informace najdete v tématu Upřesňující nastavení.

Poznámka

Na stránce Upřesnit nastavení se původně zobrazilo upozornění na rekognoskaci výčtu účtu pod možnostmi Odebrat období učení jako konfigurovatelné pro nastavení citlivosti. Tato výstraha se ze seznamu odebrala a nahradila ji výstraha zabezpečení zabezpečení pro rekognoskaci (LDAP). Tato chyba uživatelského rozhraní byla opravena v listopadu 2023.

Defender for Identity verze 2.215

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Sestavy Defenderu for Identity přesunuté do hlavní oblasti Sestavy

K sestavám Defenderu for Identity teď můžete přistupovat z hlavní oblasti Sestavy Microsoft Defender XDR místo z oblasti Nastavení. Příklady:

Snímek obrazovky s přístupem k sestavě Defenderu for Identity z hlavní oblasti Sestavy

Další informace najdete v tématu Stažení a naplánování sestav Defenderu for Identity v Microsoft Defender XDR (Preview).

Tlačítko Přejít na lov pro skupiny v Microsoft Defender XDR

Defender for Identity přidal tlačítko Proaktivní hledání pro skupiny v Microsoft Defender XDR. Uživatelé můžou během vyšetřování dotazovat na aktivity a výstrahy související se skupinami pomocí tlačítka Přejít pro vyhledávání .

Příklady:

Snímek obrazovky s novým tlačítkem Přejít na proaktivní hledání v podokně podrobností skupiny

Další informace najdete v tématu Rychlé vyhledávání informací o entitách nebo událostech pomocí funkce Go Hunt.

Defender for Identity verze 2.214

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Vylepšení výkonu

Defender for Identity provedl interní vylepšení latence, stability a výkonu při přenosu událostí v reálném čase ze služeb Defender for Identity do Microsoft Defender XDR. Zákazníci by neměli očekávat žádné prodlevy v datech služby Defender for Identity, která se zobrazují v Microsoft Defender XDR, jako jsou výstrahy nebo aktivity pro pokročilé proaktivního vyhledávání.

Další informace najdete tady:

Srpen 2023

Defender for Identity verze 2.213

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.212

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.211

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Nový typ senzoru pro službu AD CS (Active Directory Certificate Services)

Defender for Identity teď podporuje nový typ senzoru ADCS pro vyhrazený server s nakonfigurovanou službou Active Directory Certificate Services (AD CS).

Nový typ senzoru identifikovaný na stránce Nastavení > Identities > Sensors v Microsoft Defender XDR. Další informace najdete v tématu Správa a aktualizace senzorů Microsoft Defender for Identity.

Společně s novým typem senzoru teď Defender for Identity také poskytuje související výstrahy AD CS a sestavy skóre zabezpečení. Pokud chcete zobrazit nové výstrahy a sestavy skóre zabezpečení, ujistěte se, že se na serveru shromažďují a protokolují požadované události. Další informace najdete v tématu Konfigurace auditování pro události služby Ad CS (Active Directory Certificate Services).

SLUŽBA AD CS je Windows Server role, která vydává a spravuje certifikáty infrastruktury veřejných klíčů (PKI) v zabezpečených komunikačních a ověřovacích protokolech. Další informace najdete v tématu Co je Active Directory Certificate Services?

Defender for Identity verze 2.210

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Další kroky

  • Last updated on