Neuigkeiten in Microsoft Defender for Identity

Dieser Artikel wird regelmäßig aktualisiert, um Sie über die Neuerungen in den aktuellen Releases von Microsoft Defender for Identity auf dem Laufenden zu halten.

Wichtig

Kunden, die das klassische Defender for Identity-Portal verwenden, werden jetzt automatisch an Microsoft Defender XDR umgeleitet, ohne die Option, zum klassischen Portal zurückkehren zu können.

Weitere Informationen finden Sie in unserem Blogbeitrag und Microsoft Defender for Identity in Microsoft Defender XDR.

Erhalten Sie Benachrichtigungen über Aktualisierungen

Sie können Benachrichtigungen erhalten, wenn diese Seite aktualisiert wird, indem Sie folgende URL kopieren und in Ihren Feedreader einfügen: https://aka.ms/mdi/rss

Neuigkeiten – Umfang und Verweise

Defender for Identity-Versionen werden schrittweise über Kundenmandanten hinweg bereitgestellt. Wenn hier ein Feature dokumentiert ist, das noch nicht in Ihrem Mandanten angezeigt wird, schauen Sie später noch einmal nach einem Update nach.

Weitere Informationen finden Sie auch unter:

Updates zu Versionen und Features, die vor sechs Monaten oder früher veröffentlicht wurden, finden Sie im Neuerungenarchiv für Microsoft Defender for Identity.

März 2024

Neue Nur-Lese-Berechtigungen für die Anzeige von Defender for Identity-Einstellungen

Jetzt können Sie Defender for Identity-Benutzer mit Nur-Lese-Berechtigung konfigurieren, um Defender for Identity-Einstellungen anzuzeigen.

Weitere Informationen finden Sie unter Erforderliche Berechtigungen Defender for Identity in Microsoft Defender XDR.

Defender for Identity, Release 2.232

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.231

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Februar 2024

Defender for Identity, Release 2.230

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Neue Sicherheitsstatusbewertung für unsichere IIS-Endpunktkonfiguration von AD CS

Defender for Identity hat die neue Empfehlung für das Bearbeiten von unsicheren ADCS-Zertifikat-Eintragungen an IIS-Endpunkten (ESC8) in Microsoft Secure Score hinzugefügt.

Active Directory-Zertifikatdienste (AD CS) unterstützt die Zertifikatregistrierung über verschiedene Methoden und Protokolle, einschließlich der Registrierung über HTTP mithilfe des Zertifikatregistrierungsdiensts (Certificate Enrollment Service, CES) oder der Webregistrierungsschnittstelle (Certificate Web Enrollment interface, Certsrv). Unsichere Konfigurationen der CES- oder Certsrv-IIS-Endpunkte können Sicherheitsrisiken zum Weiterleiten von Angriffen (ESC8) erzeugen.

Die neue Empfehlung für das Bearbeiten unsicherer ADCS-Zertifikate für IIS-Endpunkte (ESC8) wird anderen AD CS-bezogenen Empfehlungen hinzugefügt, die kürzlich veröffentlicht wurden. Zusammen bieten diese Bewertungen Sicherheitsstatusberichte, die Sicherheitsprobleme und schwerwiegende Fehlkonfigurationen aufzeigen, die Risiken für die gesamte Organisation bereitstellen, zusammen mit zugehörigen Erkennungen.

Weitere Informationen finden Sie unter:

Defender for Identity, Release 2.229

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Verbesserte Benutzeroberfläche zum Anpassen von Benachrichtigungsschwellenwerten (Vorschau)

Die Seite Defender für Identität Erweitert-Einstellungen wurde in Benachrichtigungsschwellenwerte anpassen umbenannt und bietet eine aktualisierte Benutzeroberfläche mit verbesserter Flexibilität zum Anpassen von Warnungsschwellenwerten.

Screenshot der neuen Seite Alarmschwellen anpassen.

Die Änderungen umfassen Folgendes:

  • Wir haben die vorherige OptionLernzeitraum entfernen entfernt und eine neue Option für Empfohlener Testmodus hinzugefügt. Wählen Sie Empfohlener Testmodus aus, um alle Schwellenwerte auf Niedrig festzulegen, die Anzahl der Warnungen zu erhöhen und alle anderen Schwellenwerte auf schreibgeschützt festzulegen.

  • Die Spalte mit der vorherigen Vertraulichkeitsstufe wurde mit neu definierten Werten als Schwellenwertebene umbenannt. Standardmäßig werden alle Warnungen auf einen Schwellenwert Hoch festgelegt, der das Standardverhalten und eine Standardbenachrichtigungskonfiguration darstellt.

In der folgenden Tabelle sind die Zuordnungen zwischen den vorherigen Vertraulichkeitsstufe-Werten und den neuen Schwellenwerten aufgeführt:

Vertraulichkeitsstufe (vorheriger Name) Schwellenwertebene (neuer Name)
Normal Hoch
Mittel Mittel
Hoch Niedrig

Wenn Sie bestimmte Werte auf der Seite Erweiterte Einstellungen definiert haben, haben wir sie wie folgt auf die neue Seite Benachrichtigungsschwellenwerte anpassen übertragen:

Konfiguration der Seite Erweiterte Einstellungen Neue Konfiguration der Warnungsschwellenwerte anpassen
Entfernen des Umschaltens des Lernzeitraums auf Der empfohlene Testmodus wurde deaktiviert.

Konfigurationseinstellungen für Warnungsschwellenwerte bleiben identisch.
Lernzeitraum entfernen ist deaktiviert Der empfohlene Testmodus wurde deaktiviert.

Die Konfigurationseinstellungen für den Alarmschwellenwert werden alle auf ihre Standardwerte mit dem Schwellenwert Hoch zurückgesetzt.

Warnungen werden immer sofort ausgelöst, wenn die Option Empfohlener Testmodus ausgewählt ist oder eine Schwellenwertstufe auf Mittel oder Niedrig festgelegt ist, unabhängig davon, ob der Lernzeitraum der Warnung bereits abgeschlossen wurde.

Weitere Informationen finden Sie unter Anpassen von Warnungsschwellenwerten.

Die Gerätedetailseiten umfassen jetzt Gerätebeschreibungen (Vorschau)

Microsoft Defender XDR umfasst jetzt Gerätebeschreibungen in den Gerätedetailbereichen und in den Gerätedetailseiten. Die Beschreibungen werden aus dem Active Directory Description-Attribut des Gerätes aufgefüllt.

Beispiel: Im Seitenbereich mit den Gerätedetails:

Screenshot des neuen Feldes Gerätebeschreibung im Detailbereich eines Geräts.

Weitere Informationen finden Sie unter Untersuchungsschritte für verdächtige Geräte.

Defender for Identity, Release 2.228

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Microsoft Defender for Identity-Sensor sowie die folgenden neuen Warnungen:

Januar 2024

Defender for Identity, Release 2.227

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Registerkarte „Zeitachse“ für Gruppenentitäten hinzugefügt

Jetzt können Sie in Microsoft Defender XDR Active Directory-Gruppenentitätsaktivitäten und Warnungen aus den letzten 180 Tagen anzeigen, wie z. B. Gruppenmitgliedschaftsänderungen, LDAP-Abfragen usw.

Um auf die Seite „Gruppen-Zeitleiste“ zuzugreifen, wählen Sie im Bereich „Gruppendetails“ Zeitleiste öffnen aus.

Zum Beispiel:

Screenshot der Schaltfläche Zeitleiste öffnen in der Detailansicht einer Gruppenentität.

Weitere Informationen finden Sie unter Untersuchungsschritte für verdächtige Gruppen.

Konfigurieren und Überprüfen Ihrer Defender for Identity-Umgebung über PowerShell

Defender for Identity unterstützt jetzt das neue PowerShell-Modul DefenderForIdentity, das entwickelt wurde, um Sie beim Konfigurieren und Überprüfen Ihrer Umgebung für die Arbeit mit Microsoft Defender for Identity zu unterstützen.

Verwenden Sie die PowerShell-Befehle, um Fehlkonfigurationen zu vermeiden, Zeit zu sparen und eine unnötige Auslastung Ihres Systems zu vermeiden.

Wir haben zur Dokumentation zu Defender for Identity die folgenden Verfahren hinzugefügt, um Ihnen bei der Verwendung der neuen PowerShell-Befehle zu helfen:

Weitere Informationen finden Sie unter:

Defender for Identity, Release 2.226

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.225

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Dezember 2023

Hinweis

Wenn eine verringerte Anzahl von Warnungen zu Remotecodeausführungsversuchen angezeigt wird, lesen Sie unsere aktualisierten September-Ankündigungen, die ein Update der Defender for Identity-Erkennungslogik enthalten. Defender for Identity zeichnet weiterhin die Remotecodeausführungsaktivitäten wie zuvor auf.

Bereich „Neue Identitäten“ und „Dashboard“ in Microsoft 365 Defender (Vorschau)

Defender for Identity-Kunden verfügen jetzt über einen neuen Identitätsbereich in Microsoft 365 Defender für Informationen zur Identitätssicherheit mit Defender for Identity.

Wählen Sie in Microsoft 365 Defender Identitäten aus, um eine der folgenden Seiten anzuzeigen:

  • Dashboard: Auf dieser Seite werden Diagramme und Widgets angezeigt, mit denen Sie die Erkennung und Reaktion auf Identitätsrisiken überwachen können.  Zum Beispiel:

    Ein animiertes GIF zeigt eine Beispielseite des ITDR-Dashboards.

    Weitere Informationen finden Sie unter Arbeiten mit dem ITDR-Dashboard von Defender for Identity.

  • Integritätsprobleme: Diese Seite wird aus dem Bereich Einstellungen >Identitäten verschoben und zeigt Integritätsprobleme sowohl für Ihre allgemeine Defender for Identity-Umgebung als auch für bestimmte Sensoren an. Weitere Informationen finden Sie unter Sensorintegritätsprobleme für Microsoft Defender for Identity.

  • Tools: Diese Seite enthält Links zu hilfreichen Informationen und Ressourcen beim Arbeiten mit Defender for Identity. Auf dieser Seite finden Sie Links zu Dokumentationen, insbesondere zum Kapazitätsplanungstool und zum Skript Test-MdiReadiness.ps1.

Defender for Identity, Release 2.224

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Sicherheitsstatusbewertungen für AD CS-Sensoren (Vorschau)

Die Defender for Identity-Sicherheitsbewertungen erkennen und empfehlen proaktiv Aktionen in Ihren lokalen Active Directory-Konfigurationen.

Die empfohlenen Maßnahmen umfassen jetzt die folgenden neuen Sicherheitsstatusbewertungen, insbesondere für Zertifikatvorlagen und Zertifizierungsstellen.

Die neuen Bewertungen sind in der Microsoft-Sicherheitsbewertung verfügbar. Sie erkennen Sicherheitsprobleme und schwerwiegende Fehlkonfigurationen, die ein Risiko für die gesamte Organisation darstellen. Ihre Bewertung wird entsprechend aktualisiert.

Zum Beispiel:

Screenshot der neuen AD CS-Sicherheitsbewertungen.

Weitere Informationen finden Sie in den Sicherheitsstatusbewertungen von Microsoft Defender for Identity.

Hinweis

Während Bewertungen von Zertifikatvorlagen für alle Kunden verfügbar sind, die AD CS in ihrer Umgebung installiert haben, sind Bewertungen von Zertifizierungsstellen nur für Kunden verfügbar, die auf einem AD CS-Server einen Sensor installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).

Defender for Identity, Release 2.223

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.222

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.221

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

November 2023

Defender for Identity, Release 2.220

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.219

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Identitäts-Zeitleiste umfasst mehr als 30 Tage Daten (Vorschau)

Defender for Identity stellt schrittweise erweiterte Datenaufbewahrungen für Identitätsdetails auf mehr als 30 Tage bereit.

Die Registerkarte „Zeitachse“ auf der Seite für Identitätsdetails, die Aktivitäten aus Defender for Identity, Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint umfasst, umfasst derzeit mindestens 150 Tage und wächst. Die Datenaufbewahrungsraten können in den nächsten Wochen variieren.

Wenn Sie Aktivitäten und Warnungen für die Identität-Zeitleiste innerhalb eines bestimmten Zeitraums anzeigen möchten, wählen Sie die Standardeinstellung 30 Tage aus, und wählen Sie dann „Benutzerdefinierter Bereich“ aus. Gefilterte Daten, die mehr als 30 Tage alt sind, werden maximal sieben Tage lang gleichzeitig angezeigt.

Zum Beispiel:

Screenshot der Optionen für benutzerdefinierte Zeitrahmen.

Weitere Informationen finden Sie unter „Untersuchen von Ressourcen“ und „Untersuchen von Benutzern in Microsoft Defender XDR“.

Defender for Identity, Release 2.218

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Oktober 2023

Defender for Identity, Release 2.217

Diese Version umfasst die folgenden Verbesserungen:

  • Zusammenfassungsbericht: Der zusammenfassende Bericht wird aktualisiert, um zwei neue Spalten auf der Registerkarte Integritätsprobleme einzuschließen:

    • Details: Zusätzliche Informationen zum Problem, z. B. eine Liste der betroffenen Objekte oder spezifische Sensoren, auf denen das Problem auftritt.
    • Empfehlungen: Eine Liste der empfohlenen Aktionen, die zur Behebung des Problems ergriffen werden können, oder wie sie das Problem weiter untersuchen können.

    Weitere Informationen finden Sie unter Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau).

  • Integritätsprobleme: Die Option Der Schalter „Lernperiode entfernen“ wurde für dieses Mandanten-Integritätsproblem automatisch deaktiviert hinzugefügt

Diese Version enthält auch Fehlerkorrekturen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.216

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

September 2023

Verringerte Anzahl von Warnungen für Remotecodeausführungsversuche

Um Defender for Identity- und Microsoft Defender für Endpunkt-Warnungen besser auszurichten, haben wir die Erkennungslogik für die Erkennung von Defender for Identity Remote-Codeausführungsversuchen aktualisiert.

Diese Änderung führt zwar zu einer verringerten Anzahl von Warnungen bei Remotecodeausführungsversuchen, Defender for Identity zeichnet jedoch weiterhin die Remotecodeausführungsaktivitäten auf. Kunden können weiterhin eigene erweiterte Suchabfragen erstellen und benutzerdefinierte Erkennungsrichtlinien erstellen.

Verbesserungen der Benachrichtigungsempfindlichkeit und des Lernzeitraums

Einige Defender for Identity-Warnungen warten auf einen Lernzeitraum, bevor Warnungen ausgelöst werden, während ein Profil von Mustern erstellt wird, die beim Unterscheiden zwischen legitimen und verdächtigen Aktivitäten verwendet werden sollen.

Defender for Identity bietet jetzt die folgenden Verbesserungen für die Erfahrung im Lernzeitraum:

  • Administratoren können jetzt die Einstellung „Lernzeitraum entfernen“ verwenden, um die Vertraulichkeit zu konfigurieren, die für bestimmte Warnungen verwendet wird. Definieren Sie die Vertraulichkeit als Normal, um die Einstellung „Lernzeitraum entfernen“ für den ausgewählten Warnungstyp als „deaktiviert“ zu konfigurieren.

  • Nachdem Sie einen neuen Sensor in einem neuen Microsoft Defender for Identity-Arbeitsbereich bereitgestellt haben, wird die Einstellung Lernzeitraum entfernen automatisch für 30 Tage aktiviert. Nach Ablauf von 30 Tagen wird die Einstellung Lernzeitraum entfernen automatisch deaktiviert und die Empfindlichkeitsstufen für Warnungen werden auf ihre Standardfunktionalität zurückgesetzt.

    Damit Defender for Identity standardmäßige Lernzeitfunktionen verwendet, bei denen Warnungen erst generiert werden, wenn der Lernzeitraum abgeschlossen ist, konfigurieren Sie die Einstellung „Lernzeiträume entfernen“ auf „deaktiviert“.

Wenn Sie die Einstellung „Lernzeitraum entfernen“ zuvor aktualisiert haben, werden die Einstellungen so bleiben, wie Sie sie konfiguriert haben.

Weitere Informationen finden Sie unter „Erweiterte Einstellungen“.

Hinweis

Die Seite „Erweiterte Einstellungen“hat ursprünglich die Warnung „Kontoaufzählungsaufklärung“ unter den Optionen „Lernzeitraum entfernen“ als konfigurierbar für Vertraulichkeitseinstellungen aufgeführt. Diese Warnung wurde aus der Liste entfernt und durch die Sicherheitsprinzipal-Aufklärungswarnung (LDAP) ersetzt. Dieser Fehler der Benutzeroberfläche wurde im November 2023 behoben.

Defender for Identity, Release 2.215

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity-Berichte in den Bereich „Standard Berichte“ verschoben

Jetzt können Sie über den Standardbereich „Berichte“ von Microsoft Defender XDR anstelle des Bereichs „Einstellungen“ auf Defender for Identity-Berichte zugreifen. Zum Beispiel:

Screenshot des Zugriffs auf den Bericht Defender for Identity im Hauptbereich Berichte.

Weitere Informationen finden Sie unter Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau).

Schaltfläche „Bedrohungssuche durchführen“ für Gruppen in Microsoft Defender XDR

Defender for Identity hat die Schaltfläche Bedrohungssuche durchführen für Gruppen in Microsoft Defender XDR hinzugefügt. Benutzer können die Schaltfläche „Bedrohungssuche durchführen“ verwenden, um gruppenbezogene Aktivitäten und Warnungen während einer Untersuchung abzufragen.

Zum Beispiel:

Screenshot der neuen Schaltfläche „Suchen“ in der Detailansicht einer Gruppe.

Weitere Informationen finden Sie unter „Schnelle Suche nach Entitäts- oder Ereignisinformationen mit „Bedrohungssuche durchführen“ (go hunt)“.

Defender for Identity, Release 2.214

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Leistungsverbesserungen

Defender for Identity hat interne Verbesserungen für Latenz, Stabilität und Leistung beim Übertragen von Echtzeitereignissen von Microsoft Defender for Identity-Diensten an Microsoft Defender XDR vorgenommen. Kunden sollten keine Verzögerungen in Defender for Identity-Daten erwarten, die in Microsoft Defender XDR angezeigt werden, z. B. Warnungen oder Aktivitäten für die erweiterte Bedrohungssuche.

Weitere Informationen finden Sie unter:

August 2023

Defender for Identity, Release 2.213

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.212

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.211

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)

Defender for Identity unterstützt jetzt den neuen ADCS-Sensortyp für einen dedizierten Server, auf dem Active Directory-Zertifikatdienste (AD CS) konfiguriert sind.

Der neue Sensortyp wird auf der Seite Einstellungen > Identitätssensoren> in Microsoft Defender XDR identifiziert. Weitere Informationen finden Sie unter „Verwalten und Aktualisieren von Microsoft Defender for Identity-Sensoren“.

Zusammen mit dem neuen Sensortyp bietet Defender for Identity nun auch verwandte AD CS-Warnungen und Sicherheitsbewertungsberichte. Um die neuen Warnungen und Sicherheitsbewertungsberichte anzuzeigen, stellen Sie sicher, dass die erforderlichen Ereignisse gesammelt und auf Ihrem Server protokolliert werden. Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienstereignisse (Active Directory Certificate Services, AD CS).

AD C) ist eine Windows Serverrolle zum Ausstellen und Verwalten von PKI-Zertifikaten (Public Key-Infrastruktur), die für sichere Kommunikations- und Authentifizierungsprotokolle verwendet werden. Weitere Informationen finden Sie unter „Was sind Active Directory-Zertifikatdienste?

Defender for Identity, Release 2.210

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Nächste Schritte