Novedades de Microsoft Defender for Identity
Este artículo se actualiza con frecuencia para informarle de las novedades de la última versión de Microsoft Defender for Identity.
Novedades del ámbito y las referencias
Las versiones de Defender for Identity se implementan gradualmente en los inquilinos del cliente. Si hay una característica documentada aquí que aún no ve en el inquilino, vuelva a comprobarla más adelante para la actualización.
Para obtener más información, vea también:
- Novedades de Microsoft Defender XDR
- Novedades de Microsoft Defender para punto de conexión
- Novedades de Microsoft Defender for Cloud Apps
Para obtener actualizaciones sobre las versiones y características publicadas hace seis meses o versiones anteriores, consulte el archivo Novedades de Microsoft Defender for Identity.
Octubre de 2024
MDI está ampliando la cobertura con nuevas recomendaciones de posición de identidad (versión preliminar)
Las nuevas evaluaciones de la posición de seguridad de identidad (ISPM) pueden ayudar a los clientes a supervisar la configuración incorrecta mediante la observación de puntos débiles y reducir el riesgo de posibles ataques en la infraestructura local.
Estas nuevas recomendaciones de identidad, como parte de la puntuación de seguridad de Microsoft, son nuevos informes de posición de seguridad relacionados con la infraestructura de Active Directory y los objetos de directiva de grupo:
Cuentas con identificador de grupo principal no predeterminado
Cambio de la contraseña antigua de la cuenta de equipo del controlador de dominio
GPO asigna identidades sin privilegios a grupos locales con privilegios elevados
La cuenta de invitado integrada de Active Directory está habilitada
Cambio de la contraseña de la cuenta de administrador de dominio integrada
Además, hemos actualizado la recomendación existente de "Modificar delegaciones kerberos no seguras para evitar la suplantación" para incluir la indicación de delegación restringida de Kerberos con transición de protocolo a un servicio con privilegios.
Agosto de 2024
Nuevo sensor de Microsoft Entra Connect:
Como parte de nuestro esfuerzo continuo por mejorar la cobertura de Microsoft Defender for Identity en entornos de identidad híbrida, hemos introducido un nuevo sensor para los servidores Microsoft Entra Connect. Además, hemos publicado nuevas detecciones de seguridad híbridas y nuevas recomendaciones de postura de identidad específicamente para Microsoft Entra Connect, lo que ayuda a los clientes a mantenerse protegidos y mitigar los posibles riesgos.
Nuevas recomendaciones de posición de identidad de Microsoft Entra Connect:
- Rotación de la contraseña de la cuenta del conector de Microsoft Entra Connect
- Una cuenta de conector de Microsoft Entra Connect en peligro (cuenta del conector de AD DS, que se suele mostrar como MSOL_XXXXXXXX) puede conceder acceso a funciones con privilegios elevados, como la replicación y los restablecimientos de contraseña, lo que permite a los atacantes modificar la configuración de sincronización y poner en peligro la seguridad tanto en entornos locales como en la nube, así como ofrecer varias rutas de acceso para poner en peligro todo el dominio. En esta evaluación se recomienda que los clientes cambien la contraseña de las cuentas de MSOL con la contraseña establecida hace más de 90 días. Para más información, haga clic aquí.
- Eliminación de permisos de replicación innecesarios para la cuenta de Microsoft Entra Connect
- De forma predeterminada, la cuenta del conector de Microsoft Entra Connect tiene permisos amplios para garantizar una sincronización adecuada (incluso si no son realmente necesarios). Si la sincronización de hash de contraseñas no está configurada, es importante quitar permisos innecesarios para reducir la posible superficie expuesta a ataques. Haga clic aquí para más información.
- Cambio de contraseña para la configuración de la cuenta de SSO de conexión directa de Microsoft Entra
- En este informe se enumeran todas las cuentas de equipo de SSO de conexión directa de Microsoft Entra con la contraseña establecida hace más de 90 días. La contraseña de esta cuenta de equipo de SSO de Azure no se cambia automáticamente cada 30 días. Si un atacante pone en peligro esta cuenta, puede generar vales de servicio para la cuenta AZUREADSSOACC en nombre de cualquier usuario y suplantar a cualquier usuario dentro del inquilino de Microsoft Entra que se ha sincronizado desde Active Directory. Un atacante podría utilizarlo para moverse lateralmente de Active Directory a Microsoft Entra ID. Para más información, haga clic aquí.
Nuevas detecciones de Microsoft Entra Connect:
- Inicio de sesión interactivo sospechoso en el servidor de Microsoft Entra Connect
- Los inicios de sesión directos a los servidores de Microsoft Entra Connect son muy inusuales y potencialmente malintencionados. A menudo, los atacantes tienen como destino estos servidores para robar credenciales para un acceso a la red más amplio. Microsoft Defender for Identity ahora puede detectar inicios de sesión anómalos en los servidores de Microsoft Entra Connect, lo que le ayuda a identificar y responder a estas posibles amenazas más rápido. Se aplica específicamente cuando el servidor de Microsoft Entra Connect es un servidor independiente y no funciona como controlador de dominio.
- Restablecimiento de contraseña de usuario mediante la cuenta de Microsoft Entra Connect
- La cuenta del conector de Microsoft Entra Connect suele contener privilegios elevados, incluida la capacidad de restablecer las contraseñas del usuario. Microsoft Defender for Identity ahora tiene visibilidad sobre esas acciones y detectará cualquier uso de esos permisos identificados como malintencionados y no legítimos. Esta alerta solo se desencadenará si la característica de escritura diferida de contraseñas está deshabilitada.
- Reescritura sospechosa de Microsoft Entra Connect en un usuario confidencial
- Aunque Microsoft Entra Connect ya impide la reescritura para los usuarios de grupos con privilegios, Microsoft Defender for Identity amplía esta protección mediante la identificación de tipos adicionales de cuentas confidenciales. Esta detección mejorada ayuda a evitar restablecimientos de contraseña no autorizados en cuentas críticas, lo que puede ser un paso fundamental en los ataques avanzados destinados a entornos locales y en la nube.
Mejoras y funcionalidades adicionales:
- Nueva actividad de cualquier restablecimiento de contraseña con errores en una cuenta confidencial disponible en la tabla 'IdentityDirectoryEvents' en Búsqueda avanzada. Esto puede ayudar a los clientes a realizar un seguimiento de los eventos de restablecimiento de contraseña con errores y a crear una detección personalizada basada en estos datos.
- Precisión mejorada para la detección de ataques de sincronización de controlador de dominio.
- Nuevo problema de mantenimiento en los casos en los que el sensor no puede recuperar la configuración del servicio de Microsoft Entra Connect.
- Supervisión ampliada de alertas de seguridad, como Detector de ejecución remota de PowerShell, habilitando el nuevo sensor en servidores de Microsoft Entra Connect.
Más información sobre el nuevo sensor
Se ha actualizado el módulo de PowerShell DefenderForIdentity
Se ha actualizado el módulo de PowerShell DefenderForIdentity, incorporando nuevas funciones y corrigiendo varios errores. Las mejoras clave incluyen:
- Nuevo Cmdlet
New-MDIDSA
: simplifica la creación de cuentas de servicio, con una configuración predeterminada para cuentas de servicio administradas de grupo (gMSA) y una opción para crear cuentas estándar. - Detección automática de PDCe: mejora la confiabilidad de la creación de objetos de directiva de grupo (GPO) al dirigirse automáticamente al emulador de controlador de dominio principal (PDCe) para la mayoría de las operaciones de Active Directory.
- Destino manual del controlador de dominio: nuevo parámetro de servidor para cmdlets
Get/Set/Test-MDIConfiguration
, lo que le permite especificar un controlador de dominio para el destino en lugar del PDCe.
Para más información, vea:
- Módulo de PowerShell DefenderForIdentity (Galería de PowerShell)
- Documentación de referencia de PowerShell de DefenderForIdentity
Julio de 2024
Hay 6 nuevas detecciones en la versión preliminar pública:
- Posible ataque de NetSync
- NetSync es un módulo de Mimikatz, una herramienta posterior a la vulneración, que solicita el hash de la contraseña de un dispositivo de destino fingiendo ser un controlador de dominio. Un atacante podría realizar actividades malintencionadas dentro de la red mediante esta característica para obtener acceso a los recursos de la organización.
- Posible adquisición de una cuenta de SSO de conexión directa de Microsoft Entra
- Un objeto de cuenta SSO (inicio de sesión único) de conexión directa de Microsoft Entra, AZUREADSSOACC, se modificó sospechosamente. Es posible que un atacante se mueva lateralmente del entorno local a la nube.
- Consulta LDAP sospechosa
- Se detectó una consulta sospechosa del Protocolo ligero de acceso a directorios (LDAP) asociada a una herramienta de ataque conocida. Un atacante podría realizar el reconocimiento para los pasos posteriores.
- Se agregó un SPN sospechoso a un usuario
- Se agregó un nombre de entidad de seguridad de servicio (SPN) sospechoso a un usuario confidencial. Un atacante podría intentar obtener acceso elevado para el movimiento lateral dentro de la organización.
- Creación sospechosa del grupo ESXi
- Se creó un grupo ESXi de VMWare sospechoso en el dominio. Esto podría indicar que un atacante está intentando obtener más permisos para los pasos posteriores de un ataque.
- Autenticación de ADFS sospechosa
- Una cuenta unida a un dominio que inició sesión con Servicios de federación de Active Directory (AD FS) (ADFS) desde una dirección IP sospechosa. Es posible que un atacante haya robado las credenciales de un usuario y las esté usando para moverse lateralmente en la organización.
Defender for Identity, versión 2.238
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Junio de 2024
Búsqueda fácil de información sobre el usuario desde el panel de ITDR
El widget Shield proporciona una visión general rápida del número de usuarios en entornos híbridos, en la nube y locales. Esta función incluye ahora vínculos directos a la plataforma de búsqueda avanzada, que ofrece información detallada del usuario al alcance de su mano.
El widget de estado de implementación de ITDR ahora incluye el acceso condicional de Microsoft Entra y el acceso privado de Microsoft Entra
Ahora puede ver la disponibilidad de la licencia para el acceso condicional de carga de trabajo de Microsoft Entra, el acceso condicional de usuario de Microsoft Entra y el acceso privado de Microsoft Entra.
Defender for Identity, versión 2.237
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Mayo de 2024
Defender for Identity, versión 2.236
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.235
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Abril de 2024
Detectar fácilmente la vulnerabilidad de eludir la función de seguridad de Kerberos de Windows CVE-2024-21427
Para ayudar a los clientes a identificar y detectar mejor los intentos de eludir los protocolos de seguridad según esta vulnerabilidad, hemos agregado una nueva actividad dentro de la búsqueda avanzada que supervisa la autenticación de AS de Kerberos.
Con estos datos, ahora los clientes pueden crear fácilmente sus propias reglas de detección personalizadas en Microsoft Defender XDR y desencadenar automáticamente alertas para este tipo de actividad.
Acceda al portal de Defender XDR -> Búsqueda -> Búsqueda avanzada.
Ahora, puede copiar nuestra consulta recomendada como se proporciona a continuación y hacer clic en "Crear regla de detección". Tenga en cuenta que la consulta que proporcionamos también realiza un seguimiento de los intentos de inicio de sesión erróneos, que pueden generar información no relacionada con un posible ataque. Por lo tanto, no dude en personalizar la consulta para adaptarla a sus requisitos específicos.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity, versión 2.234
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.233
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Marzo de 2024
Nuevos permisos de solo lectura para ver la configuración de Defender for Identity
Ahora puede configurar usuarios de Defender for Identity con permisos de solo lectura para ver la configuración de Defender for Identity.
Para obtener más información, consulte Permisos requeridos de Defender for Identity en Microsoft Defender XDR.
Nueva API basada en Graph para ver y administrar problemas de mantenimiento
Ahora puede ver y administrar problemas de mantenimiento de Microsoft Defender for Identity a través de la API de Graph.
Para obtener más información, consulte Administración de problemas de mantenimiento con la API de Graph.
Defender for Identity, versión 2.232
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.231
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Febrero de 2024
Defender for Identity, versión 2.230
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Nueva evaluación de la posición de seguridad para la configuración no segura de puntos de conexión de IIS de AD CS
Defender for Identity ha agregado la nueva recomendación Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8) en Puntuación de seguridad de Microsoft.
Active Directory Certificate Services (AD CS) admite la inscripción de certificados a través de varios métodos y protocolos, incluida la inscripción a través de HTTP mediante el Servicio de inscripción de certificados (CES) o la Interfaz de inscripción web (Certsrv). Las configuraciones no seguras de los puntos de conexión de CES o Certsrv IIS podrían crear vulnerabilidades para retransmitir ataques (ESC8).
La nueva recomendación Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8) se agrega a otras recomendaciones relacionadas con AD CS publicadas recientemente. En conjunto, estas evaluaciones ofrecen informes sobre la posición de seguridad que sacan a la luz los problemas de seguridad y los errores graves de configuración que suponen un riesgo para toda la organización, junto con las detecciones relacionadas.
Para más información, vea:
- Evaluación de seguridad: Editar puntos de conexión de IIS de inscripción de certificados de ADCS no seguros (ESC8)
- Evaluaciones de posición de seguridad para sensores de AD CS
- Evaluaciones de la posición de seguridad de Microsoft Defender for Identity
Defender for Identity, versión 2.229
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Experiencia de usuario mejorada para ajustar los umbrales de alerta (versión preliminar)
La página Configuración avanzada de Defender for Identity ha cambiado de nombre a Ajustar umbrales de alerta y ofrece una experiencia renovada con más flexibilidad para ajustar los umbrales de alerta.
Los cambios incluyen:
Hemos eliminado la opción anterior Quitar período de aprendizaje y hemos añadido una nueva opción llamada Modo de prueba recomendado. Seleccione Modo de prueba recomendado para establecer todos los niveles de umbral en Bajo, lo que aumentará el número de alertas y establecerá todos los demás niveles de umbral en solo lectura.
La columna anterior Nivel de confidencialidad pasa a llamarse Nivel de umbral, con valores recién definidos. De forma predeterminada, todas las alertas se establecen en un umbral Alto, que representa el comportamiento predeterminado y una configuración de alerta estándar.
En la tabla siguiente se muestra la asignación entre los valores de Nivel de confidencialidad anteriores y los nuevos valores de Nivel de umbral:
Nivel de confidencialidad (nombre anterior) | Nivel de umbral (nombre nuevo) |
---|---|
Normal | Alta |
media | media |
Alta | Baja |
Si tenía valores específicos definidos en la página Configuración avanzada, los hemos transferido a la nueva página Ajustar umbrales de alerta de la siguiente manera:
Configuración de la página Configuración avanzada | Configuración de la nueva página Ajustar umbrales de alerta |
---|---|
Quitar período de aprendizaje activado. | Modo de prueba recomendado desactivado. Las opciones de configuración del umbral de alerta siguen siendo las mismas. |
Quitar período de aprendizaje desactivado. | Modo de prueba recomendado desactivado. Las opciones de configuración del umbral de alerta se restablecen a sus valores predeterminados, con un nivel de umbral Alto. |
Las alertas siempre se desencadenan inmediatamente si se selecciona la opción Modo de prueba recomendado o si se establece un nivel de umbral en Medio o Bajo, independientemente de si el período de aprendizaje de la alerta ya se ha completado.
Para obtener más información, consulte Ajuste de los umbrales de alerta.
Las páginas de detalles del dispositivo ahora incluyen descripciones del dispositivo (versión preliminar)
Microsoft Defender XDR ahora incluye descripciones de dispositivos en los paneles y páginas de detalles del dispositivo. Las descripciones se rellenan desde el atributo Description de Active Directory del dispositivo.
Por ejemplo, en el panel lateral detalles del dispositivo:
Para obtener más información, consulte Pasos de investigación para dispositivos sospechosos.
Defender for Identity, versión 2.228
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity, así como las siguientes alertas nuevas:
- Reconocimiento de enumeración de cuentas (LDAP) (ID externo 2437) (Versión preliminar)
- Cambio de contraseña del modo de restauración de Directory Services (ID externo 2438) (Versión preliminar)
Enero de 2024
Defender for Identity, versión 2.227
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Pestaña Escala de tiempo añadida para entidades de grupo
Ahora puede ver las actividades y alertas relacionadas con la entidad del grupo de Active Directory de los últimos 180 días en Microsoft Defender XDR, como los cambios de pertenencia a grupos, las consultas LDAP, etc.
Para acceder a la página de escala de tiempo del grupo, seleccione Abrir escala de tiempo en el panel de detalles del grupo.
Por ejemplo:
Para obtener más información, consulte Pasos de investigación para grupos sospechosos.
Configuración y validación del entorno de Defender for Identity mediante PowerShell
Defender for Identity ahora admite el nuevo módulo de PowerShell DefenderForIdentity, que está diseñado para ayudarle a configurar y validar el entorno para trabajar con Microsoft Defender for Identity.
Use los comandos de PowerShell para evitar configuraciones incorrectas, ahorrar tiempo y evitar la carga innecesaria en el sistema.
Hemos añadido los procedimientos siguientes a la documentación de Defender for Identity para ayudarle a usar los nuevos comandos de PowerShell:
- Cambio de la configuración del proxy mediante PowerShell
- Configuración, obtención y prueba de directivas de auditoría mediante PowerShell
- Generación de un informe con las configuraciones actuales mediante PowerShell
- Prueba de los permisos y delegaciones de DSA a través de PowerShell
- Prueba de la conectividad del servicio mediante PowerShell
Para más información, vea:
- Módulo de PowerShell DefenderForIdentity (Galería de PowerShell)
- Documentación de referencia de PowerShell de DefenderForIdentity
Defender for Identity, versión 2.226
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.225
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Diciembre de 2023
Nota:
Si ve un número reducido de alertas de intentos de ejecución de código remoto, consulte nuestros anuncios de septiembre actualizados, que incluyen una actualización de la lógica de detección de Defender for Identity. Defender for Identity sigue registrando las actividades de ejecución remota de código como antes.
Nueva área de Identidades y panel en Microsoft 365 Defender (versión preliminar)
Los clientes de Defender for Identity ahora tienen una nueva área de Identidades en Microsoft 365 Defender para obtener información sobre la seguridad de identidad con Defender for Identity.
En Microsoft 365 Defender, seleccione Identidades para ver cualquiera de las páginas nuevas siguientes:
Panel: en esta página se muestran gráficos y widgets para ayudarle a supervisar las actividades de detección y respuesta antes amenazas de identidad. Por ejemplo:
Para obtener más información, consulte Trabajo con el panel de ITDR de Defender for Identity.
Problemas de estado: esta página se ha movido del área Configuración > Identidades y enumera los problemas de estado actuales de la implementación general de Defender for Identity y sensores específicos. Consulte Problemas de estado del sensor de Microsoft Defender for Identity para obtener más información.
Herramientas: esta página contiene vínculos a información útil y recursos al trabajar con Defender for Identity. En esta página encontrará vínculos a documentación, específicamente en la herramienta de planeamiento de capacidad y el script Test-MdiReadiness.ps1.
Defender for Identity, versión 2.224
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Evaluaciones de posición de seguridad para sensores de AD CS (versión preliminar)
Las evaluaciones de la posición de seguridad de Defender for Identity detectan y recomiendan acciones de forma proactiva en las configuraciones locales de Active Directory.
Las acciones recomendadas ahora incluyen las siguientes evaluaciones de posición de seguridad nuevas, específicamente para las plantillas de certificado y las entidades de certificación.
Acciones recomendadas de plantillas de certificado:
- Impedir que los usuarios soliciten un certificado válido para usuarios arbitrarios basándose en la plantilla de certificado (ESC1)
- Editar una plantilla de certificado excesivamente permisiva con EKU con privilegios (cualquier EKU de propósito o sin EKU) (ESC2)
- Plantilla de certificado del agente de inscripción mal configurada (ESC3)
- Editar plantillas de certificado mal configuradas ACL (ESC4)
- Editar el propietario de plantillas de certificado mal configuradas (ESC4)
Acciones recomendadas por la entidad de certificación:
Las nuevas evaluaciones están disponibles en Microsoft Secure Score, y sacan a la luz, junto con las detecciones, los problemas de seguridad y los errores graves de configuración que suponen un riesgo para toda la organización. La puntuación se actualiza según corresponda.
Por ejemplo:
Para obtener más información, consulte Evaluaciones de la posición de seguridad de Microsoft Defender for Identity.
Nota:
Aunque las evaluaciones de plantillas de certificado están disponibles para todos los clientes que tienen AD CS instalado en su entorno, las evaluaciones de la entidad de certificación solo están disponibles para los clientes que han instalado un sensor en un servidor de AD CS. Para obtener más información, consulte Nuevo tipo de sensor para Active Directory Certificate Services (AD CS).
Defender for Identity, versión 2.223
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.222
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.221
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Noviembre de 2023
Defender for Identity, versión 2.220
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.219
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
La escala de tiempo de identidad incluye más de 30 días de datos (versión preliminar)
Defender for Identity implementa gradualmente las retenciones de datos extendidas en los detalles de identidad en más de 30 días.
La pestaña Escala de tiempo de la página de detalles de identidad, que incluye actividades de Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión, incluye actualmente un mínimo de 150 días y está creciendo. Puede haber alguna variación en las tasas de retención de datos en las próximas semanas.
Para ver las actividades y las alertas en la escala de tiempo de identidad dentro de un período de tiempo específico, seleccione el valor predeterminado 30 Días y, a continuación, seleccione Intervalo personalizado. Los datos filtrados de hace más de 30 días se muestran durante un máximo de siete días cada vez.
Por ejemplo:
Para obtener más información, consulte Investigar recursos e Investigar usuarios en Microsoft Defender XDR.
Defender for Identity, versión 2.218
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Octubre de 2023
Defender for Identity, versión 2.217
Esta versión incluye las siguientes mejoras:
Informe de resumen: el informe de resumen se actualiza para incluir dos nuevas columnas en la pestaña Problemas de estado:
- Detalles: información adicional sobre el problema, como una lista de objetos afectados o sensores específicos en los que se produce el problema.
- Recomendaciones: una lista de las acciones recomendadas que se pueden realizar para resolver el problema o cómo investigar el problema más adelante.
Para obtener más información, vea Descargar y programar informes de Defender for Identity en Microsoft Defender XDR (versión preliminar).
Problemas de mantenimiento: se ha agregado el botón de alternancia "Quitar período de aprendizaje" automáticamente para este problema de mantenimiento de inquilino.
Esta versión también incluye correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.216
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Septiembre de 2023
Número reducido de alertas para intentos de ejecución remota de código
Para alinear mejor las alertas de Defender for Identity y Microsoft Defender para punto de conexión, hemos actualizado la lógica de detección de las detecciones de intentos de ejecución remota de código de Defender for Identity.
Aunque este cambio produce un número reducido de alertas de intentos de ejecución de código remoto, Defender for Identity continúa registrando las actividades de ejecución remota de código. Los clientes pueden seguir creando sus propias consultas de búsqueda avanzadas y crear directivas de detección personalizadas.
Configuración de confidencialidad de alertas y mejoras del período de aprendizaje
Algunas alertas de Defender for Identity esperan un período de aprendizaje antes de que se desencadenen las alertas, al crear un perfil de patrones que se usarán al distinguir entre actividades legítimas y sospechosas.
Defender for Identity ahora proporciona las siguientes mejoras para la experiencia del período de aprendizaje:
Los administradores pueden utilizar ahora el ajuste Quitar periodo de aprendizaje para configurar la sensibilidad utilizada para alertas específicas. Defina la sensibilidad como Normal para configurar el valor Quitar período de aprendizaje como Desactivado para el tipo de alerta seleccionado.
Después de implementar un nuevo sensor en una nueva área de trabajo de Defender for Identity, la opción Quitar período de aprendizaje se activa automáticamente durante 30 días. Transcurridos los 30 días, la configuración Eliminar período de aprendizaje se desactiva automáticamente y los niveles de sensibilidad de alerta vuelven a su funcionalidad predeterminada.
Para que Defender for Identity use la funcionalidad del período de aprendizaje estándar, donde las alertas no se generan hasta que se realice el período de aprendizaje, configure la opción Quitar períodos de aprendizaje en Desactivado.
Si ha actualizado previamente la configuración Quitar período de aprendizaje, la configuración permanece como lo ha configurado.
Para obtener más información, consulte la Configuración avanzada.
Nota:
La página Configuración avanzada aparece originalmente en la alerta de reconocimiento de enumeración de cuentas en las opciones Quitar período de aprendizaje como configurables para la configuración de confidencialidad. Esta alerta se quitó de la lista y se reemplaza por la alerta de reconocimiento de la entidad de seguridad (LDAP). Este error de interfaz de usuario se corrigió en noviembre de 2023.
Defender for Identity, versión 2.215
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Los informes de Defender for Identity se mueven al área de informes principal
Ahora puede acceder a los informes de Defender for Identity desde el área informes principales de Microsoft Defender XDR en lugar del área de Configuración. Por ejemplo:
Para obtener más información, vea Descargar y programar informes de Defender for Identity en Microsoft Defender XDR (versión preliminar).
Botón Ir a la búsqueda de grupos en Microsoft Defender XDR
Defender for Identity añadió el botón Ir a la búsqueda para grupos de Microsoft Defender XDR. Los usuarios pueden usar el botón Ir a la búsqueda para consultar las actividades y alertas relacionadas con grupos durante una investigación.
Por ejemplo:
Para obtener más información, consulte Búsqueda rápida de información de entidades o eventos con Ir a la búsqueda.
Defender for Identity, versión 2.214
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Mejoras de rendimiento
Defender for Identity ha realizado mejoras internas de latencia, estabilidad y rendimiento al transferir eventos en tiempo real desde los servicios de Defender for Identity a Microsoft Defender XDR. Los clientes no deben esperar retrasos en los datos de Defender for Identity que aparecen en Microsoft Defender XDR, como alertas o actividades para la búsqueda avanzada.
Para más información, vea:
- Alertas de seguridad en Microsoft Defender for Identity
- Evaluaciones de la posición de seguridad de Microsoft Defender for Identity
- Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft 365 Defender
Agosto de 2023
Defender for Identity, versión 2.213
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.212
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.211
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Nuevo tipo de sensor para Servicios de certificados de Active Directory (AD CS)
Defender for Identity ahora admite el nuevo tipo de sensor ADCS para un servidor dedicado con Servicios de certificados de Active Directory (AD CS) configurado.
Verá el nuevo tipo de sensor identificado en la página Configuración > Identidades > Sensores de Microsoft Defender XDR. Para obtener más información, consulte Administración y actualización de sensores de Microsoft Defender for Identity.
Junto con el nuevo tipo de sensor, Defender for Identity también proporciona alertas de AD CS relacionadas e informes de puntuación segura. Para ver las nuevas alertas y los informes de puntuación de seguridad, asegúrese de que los eventos necesarios se recopilan e inician sesión en el servidor. Para obtener más información, consulte Configuración de la auditoría para eventos de Active Directory Certificate Services (AD CS).
AD CS es una función de Windows Server que emite y gestiona certificados de infraestructura de clave pública (PKI) en protocolos seguros de comunicación y autenticación. Para obtener más información, consulte ¿Qué son los servicios de certificación de Active Directory?
Defender for Identity, versión 2.210
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.