Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tätä artikkelia päivitetään usein, jotta saat tietää, mitä uutta Microsoft Defender for Identity uusimmissa versioissa on.
Uudet ominaisuudet ja viittaukset
Defender for Identity -julkaisut otetaan käyttöön asteittain kaikissa asiakasvuokraajissa. Jos tässä on dokumentoitu ominaisuus, jota et vielä näe vuokraajassasi, tarkista päivitys myöhemmin.
Lisätietoja on myös seuraavissa tiedoissa:
- Microsoft Defender XDR:n uudet ominaisuudet
- Microsoft Defender for Endpointin uudet ominaisuudet
- Microsoft Defender for Cloud Appsin uudet ominaisuudet
Lisätietoja puoli vuotta sitten julkaistuista versioista ja ominaisuuksista on Microsoft Defender for Identity Uudet ominaisuudet -arkistossa.
Helmikuu 2026
Defender for Identity -tunnistimen päivitykset
| Versionumero | Päivitykset |
|---|---|
| 2.255 | Tämä tunnistimen päivitys sisältää virheenkorjauksia. |
Uusi Defender for Identity -suojaushälytykset
Nämä uudet ilmoitukset lisättiin Defender for Identity -suojaushälytyksiin:
Entra-tunnukseen liittyvät uudet ilmoitukset:
- Epäilyttävä käyttäjän määrityksen muutostoiminto Entra ID -synkronointisovelluksesta
- Anomalous OAuth-laitekoodin todennustoiminto
- Entra ID -synkronointisovelluksesta tehty epäilyttävä Graph-ohjelmointirajapintapyyntö
- Entra ID -synkronointisovelluksesta havaittu epäilyttävä sisäänkirjautuminen
- Epäilyttävä sisäänkirjautuminen CSRF speedbump -käynnistimellä
Uudet Active Directoryyn liittyvät ilmoitukset:
Tammikuu 2026
Uusi Defender for Identity -suojaushälytykset
Nämä uudet ilmoitukset lisättiin Defender for Identity -suojaushälytyksiin:
Entra-tunnukseen liittyvät uudet ilmoitukset:
- Entra ID -synkronointisovelluksesta havaittu epäilyttävä sisäänkirjautuminen epätavalliseen resurssisovellukseen
- Entra ID -synkronointisovelluksessa havaittu epäilyttävä sisäänkirjautuminen epätavallisella käyttäjäagentilla
- Mahdollinen OAuth-koodivarkaus havaittu suostumuksen väärinkäytön kautta
- Mahdollinen vastustaja keskeltä (AiTM) -hyökkäys havaittu (ConsentFix)
- MFA ohitettiin muistetussa laitteessa epätavallisesta IsP-kirjautumisesta
Uudet Active Directoryyn liittyvät ilmoitukset:
- Lippujen välitys (PtT) -hyökkäys (esikatselu)
- Mahdollinen Active Directory -varmennepalveluiden luettelointi
- Mahdollinen Active Directory -luettelointi ADWS:n kautta
- Epäilyttävä NTLM-todennus
- Mahdollinen Kerberoasting-hyökkäys käyttämällä salamyhkäistä LDAP-hakua
- Epäilyttävä Kerberos-todennus (TGT-pyyntö TGS-REQ:n avulla)
Käyttäjätietojen varaston parannukset ovat nyt yleisesti saatavilla
- Käyttäjätietojen varaston Tilit-välilehti: Uusi **Tilit*- -välilehti tarjoaa yhdistetyn näkymän kaikista käyttäjätietoihin liittyvistä tileistä, mukaan lukien Active Directoryn tilit, Microsoft Entra ID ja tuetut muut kuin Microsoftin tunnistetietopalvelut. Lisätietoja on kohdassa Liittyvien käyttäjätietojen ja tilien hallinta.
- Tilien manuaalinen linkittäminen ja linkityksen poistaminen: Linkitä tai poista tilien linkitys käyttäjätietoihin manuaalisesti suoraan **Tilit*-välilehdessä. Tämän ominaisuuden avulla voit korreloida käyttäjätieto-osia eri hakemistolähteistä ja antaa täydellisen käyttäjätietokontekstin tutkimusten aikana. Lisätietoja on kohdassa Liittyvien käyttäjätietojen ja tilien hallinta.
- Käyttäjätietotason korjaustoiminnot: Voit nyt suorittaa korjaustoimintoja, kuten poistaa tilit käytöstä tai palauttaa salasanoja vähintään yhdessä käyttäjätietoon linkitetyssä tilissä. Lisätietoja on kohdassa Korjaustoiminnot.
- Uusi kehittynyt metsästystaulukko: kehittynyt metsästys Microsoft Defender sisältää nyt **IdentityAccountInfo*-taulukon. Tämä taulukko sisältää tilitietoja eri lähteistä, kuten Microsoft Entra ID, sekä linkkejä käyttäjätiedoilla, jotka omistavat tilin.
Uudet suojausasenteiden arvioinnit
- Poista vanhentuneet Active Directory -tilit (esikatselu) luettelo kaikista Active Directoryn käyttäjätileistä, jotka ovat vanhentuneet, mikä tarkoittaa, että ne eivät ole kirjautuneet lainkaan viimeisten 90 päivän aikana.
- Microsoft Entra ID etuoikeutetut käyttäjätilit, joilla on oikeudet myös Active Directory (esikatselu) -luetteloissa, Microsoft Entra ID etuoikeutetut käyttäjätilit, joilla on myös etuoikeutettuja rooleja Active Directoryssa.
Uusi kuntohälytys: Tunnistin v3.x RPC-valvonta väärin määritetty
Parannettu RPC-valvonta vaaditaan joissakin Microsoft Defender for Identity tarkennetuissa käyttäjätietojen tunnistuksissa. Uusi kuntohälytys auttaa tunnistamaan v3.x-tunnistimet, joissa tämä määritys puuttuu tai on otettu väärin käyttöön. Ilmoitus otetaan vähitellen käyttöön asiakkaille. Lisätietoja on kohdassa RPC:n määrittäminen tunnistimille v3.x.
Defender for Identity Sensors v3.x:n automaattinen Windows-tapahtumien valvonnan määritys (esikatselu)
™Järjestelmä ottaa vähitellen käyttöön automaattisen Windowsin tapahtumienvalvontamäärityksen tunnistimien v3.x osalta sekä niihin liittyvät kuntoilmoitukset. Automaattinen Windowsin tapahtumienvalvonta tehostaa käyttöönottoa ottamalla tarvittavat valvonta-asetukset automaattisesti käyttöön uusissa antureissa ja korjaamalla nykyisten tunnistimien virheelliset määritykset. Tämä päivitys saattaa tunnistaa olemassa olevia valvonnan määrityspuutteita, joita ei ole havaittu aiemmin. Yhtenäisen suojauksen varmistamiseksi suosittelemme, että varmistat, että kaikki palvelimet, joissa on v3-tunnistimet, on määritetty:
- Uusin Kumulatiivinen Windows-päivitys
- Automaattinen Windows-tapahtumien valvonta käytössä Lisätietoja on kohdassa Windowsin automaattisen valvonnan määrittäminen.
Tunnistimen päivitykset
| Versionumero | Päivitykset |
|---|---|
| 2.254 | Tunnistin tukee nyt uutta DNS-vyöhykkeen kohdetta kohteelle *.atp.gcc.azure.com. Varmista, että GCC:n anturit pääsevät tälle vyöhykkeelle anturin DNS-etuliitteellä. |
Uusi suojausasennon arviointi: Palvelutilien tunnistaminen etuoikeutetuissa ryhmissä
Tässä käyttäjätietojen suojausasennon arvioinnissa luetellaan Active Directory -palvelutilit, joilla on suora tai sisäkkäinen jäsenyys etuoikeutetuissa ryhmissä.
Tämän arvioinnin avulla voit tunnistaa palvelutilejä, joilla on laajennetut käyttöoikeudet, ja ryhtyä toimiin, kun erityisoikeudet vaaditaan ™.
Lisätietoja on kohdassa Suojausasennon arviointi: Palvelutilien tunnistaminen etuoikeutetuissa ryhmissä
Uusi suojausasennon arviointi: Etsi tilit sisäisistä operaattoriryhmistä
Tässä käyttäjätietojen suojausasennon arvioinnissa luetellaan Active Directory -tilit, jotka ovat sisäisiä operaattoriryhmiä, mukaan lukien suora ja epäsuora jäsenyys.
Tämän arvioinnin avulla voit tarkastella vanhoja tai tarpeettomia operaattoreiden käyttöoikeuksia ja ryhtyä toimiin, kun laajennettu käyttöoikeus vaaditaan ™.
Lisätietoja on artikkelissa: Suojausasennon arviointi: Tilien paikantaminen sisäisistä operaattoriryhmistä
Joulukuu 2025
SensorCandidate-resurssityypin uudet ominaisuudet Graph-ohjelmointirajapinnassa (esikatselu)
| Ominaisuus | Kirjoita | Kuvaus |
|---|---|---|
| toimialueen nimi | Merkkijono | Tunnistimen toimialuenimi. |
| senseClientVersion | Merkkijono | Defender for Identity -tunnistinasiakkaan versio. |
Tämä ominaisuus on tällä hetkellä esikatselutilassa ja käytettävissä ohjelmointirajapinnan esikatseluversiossa. Lisätietoja on täällä
ADWS LDAP -haku kehittyneessä metsästyksessä
Uusi ADWS LDAP -hakutoiminto on nyt saatavilla IdentityQueryEvents-taulukossa kehittyneessä metsästyksessä. Tämä voi antaa näkyvyyden ADWS:n kautta suoritettuihin hakemistokyselyihin, mikä auttaa asiakkaita seuraamaan näitä toimintoja ja luomaan mukautettua tunnistusta näiden tietojen perusteella.
| Versionumero | Päivitykset |
|---|---|
| 2.253 | Sisältää Microsoft Defender for Identity tunnistimen virheenkorjauksia ja vakautta parantavat parannukset. |
| 2.252 | Sisältää Microsoft Defender for Identity tunnistimen virheenkorjauksia ja vakautta parantavat parannukset. |
Marraskuu 2025
| Versionumero | Päivitykset |
|---|---|
| 2.251 | Parannetut ADWS LDAP- ja vanhat salasanapohjaiset LDAP-kyselymenetelmät vangitsevat nyt laajemman valikoiman ainutlaatuisia tapahtumia suuressa mittakaavassa. Tämän seurauksena kirjatun toiminnan määrä saattaa kasvaa. |
Käyttäjätietojen varaston parannukset: Tilit-välilehti, manuaalinen tilin linkitys ja linkityksen poistaminen sekä laajennetut korjaustoiminnot
Seuraavat uudet ominaisuudet ovat nyt käytettävissä Microsoft Defender for Identity:
Käyttäjätietovaraston Tilit-välilehti:
Uusi Tilit-välilehti tarjoaa yhdistetyn näkymän kaikista käyttäjätietoihin liittyvistä tileistä, mukaan lukien Active Directoryn tilit, Microsoft Entra ID ja tuetut muut kuin Microsoftin tunnistetietopalvelut. Lisätietoja on kohdassa Liittyvien käyttäjätietojen ja tilien hallinta (esikatselu)
Manuaalinen linkki ja tilien linkityksen poistaminen:
Voit nyt linkittää tai poistaa tilien linkin käyttäjätiedoista manuaalisesti suoraan Tilit-välilehdessä. Tämän ominaisuuden avulla voit korreloida käyttäjätieto-osia eri hakemistolähteistä ja antaa täydellisen käyttäjätietokontekstin tutkimusten aikana. Lisätietoja on kohdassa Liittyvien käyttäjätietojen ja tilien hallinta.
Käyttäjätietotason korjaustoiminnot:
Voit nyt suorittaa korjaustoimintoja, kuten poistaa tilit käytöstä tai palauttaa salasanoja vähintään yhdessä käyttäjätietoon linkitetyssä tilissä. Lisätietoja on ohjeaiheessa: Korjaustoiminnot.
Uusi suojaustilan arviointi: Vaihda paikallisen tilin salasana mahdollisesti vuotaneilla tunnistetiedoilla (esikatselu)
Uudessa suojausasennon arvioinnissa luetellaan käyttäjät, joiden kelvolliset tunnistetiedot vuotivat. Lisätietoja on artikkelissa: Salasanan vaihtaminen paikalliselle tilille mahdollisesti vuotaneilla tunnistetiedoilla (esikatselu)
Microsoft Defender for Identity tunnistimen versiopäivitykset
| Versionumero | Päivitykset |
|---|---|
| 2.250 | Parannettu tapahtumalokin kyselymenetelmä tallentaa laajemman valikoiman yksilöllisiä tapahtumia mittakaavassa. Tämän seurauksena saatat huomata siepattujen toimintojen lisääntyneen. Tämä päivitys sisältää myös suojaus- ja suorituskykyparannuksia. |
Käyttäjätietojen tunnistuksen laajentaminen: organisaation yksiköiden tuki (esikatselu)
Active Directory -toimialueiden muutama kuukausi sitten julkaiseman määrityksen ga-julkaisun lisäksi voit nyt käyttää vaikutusaluetta **Organisaatioyksiköt (OU)*- osana XDR-käyttäjäroolipohjaista käytönvalvontaa (URBAC). Tämä parannus tarjoaa entistä yksityiskohtaisemman hallinnan siihen, mitkä entiteetit ja resurssit sisältyvät suojausanalyysiin.
Lisätietoja on kohdassa Microsoft Defender for Identity käyttöoikeuksien määrittäminen.
Lokakuu 2025
Voimme iloksemme ilmoittaa, että Microsoft Defender for Identity tunnistin v3.x on nyt yleisesti saatavilla (GA). Microsoft Defender for Identity tunnistin v3.x tarjoaa parannetun kattavuuden, paremman suorituskyvyn ympäristössäsi ja helpottaa toimialueen ohjauskoneiden käyttöönottoa ja hallintaa.
Microsoft Defender for Identity tunnistimen versiopäivitykset
| Versionumero | Päivitykset |
|---|---|
| 2.249 | Parannettu tapahtumalokin kyselymenetelmä tallentaa nyt laajemman valikoiman yksilöllisiä tapahtumia mittakaavassa. Tämän seurauksena saatat huomata siepattujen toimintojen lisääntyneen. Tämä päivitys tarjoaa myös muita suojauksen parannuksia ja suorituskyvyn parannuksia. |
Syyskuu 2025
Defender for Identity -hälytykset siirtyivät yhtenäiseen Defenderin ilmoituskokemukseen
Osana jatkuvaa siirtymistä yhtenäiseen ilmoituskokemukseen eri Microsoft Defender tuotteissa seuraavat ilmoitukset muunnettiin perinteisestä Microsoft Defender for Identity yhtenäiseksi Defenderin ilmoitusmuodoksi. Muista, että kaikki hälytykset perustuvat Defender for Identity -tunnistimien havaitsemisiin.
| Perinteisen ilmoituksen otsikko | Ulkoinen tunnus | XDR-ilmoituksen nimi | Ilmaisimen tunnus |
|---|---|---|---|
| Active Directory -määritteet Reconnaissance LDAP:tä käyttämällä | 2210 | Active Directoryn LDAP-reconnaissance-määritteet | xdr_LdapSensitiveAttributeReconnaissance |
| Käyttäjän ja IP-osoitteen tiedustelu | 2012 | Epäilyttävä palvelimen viestilohko (SMB) -luettelointi ei-luotetusta isännästä | xdr_SmbSessionEnumeration |
| Tilin luetteloinnin tiedustelu | 2003 | Epäilty tilien luettelointi (Kerberos, NTLM, AD FS) | xdr_SuspectedAccountEnumeration |
| Epäilty raaka voimahyökkäys (LDAP) | 2004 | Epäilty raaka hyökkäys Lightweight Directory Access Protocol (LDAP) -todennukseen | xdr_LdapBindBruteforce |
| Epäilty salasanasumutehyökkäys Lightweight Directory Access Protocol (LDAP) -todennukseen | xdr_LdapBindBruteforce | ||
| Epäilyttävä verkkoyhteys tiedostojärjestelmän etäprotokollan salauksen aikana | 2416 | Epäilyttävä verkkoyhteys tiedostojärjestelmän etäprotokollan salauksen aikana | xdr_SuspiciousConnectionOverEFSRPC |
Lisäsuojausarvo Defender for Identity sensor v3.x:ssä
Käytä **Unified Sensor RPC audit - -tunnistetta Defender for Identity sensor v3.x:ssä **Resurssisääntöjen hallinta- sivulla parannetun suojauksen takaamiseksi. Lue lisätietoja täältä.
Käyttäjätietojen tilan suositusten näkymä käyttäjätietosivulla (esikatselu)
Käyttäjätietoprofiili-sivun uusi välilehti sisältää kaikki aktiiviset käyttäjätietoihin liittyvät käyttäjätietojen suojausasenteiden arvioinnit. Tämä sivu kokoaa kaikki käyttäjätietokohtaiset suojaustilan arvioinnit yhteen tilannekohtaiseen näkymään, mikä auttaa suojausryhmiä havaitsemaan heikkoudet nopeasti ja ryhtymään kohdennettuihin toimiin. Lisätietoja on artikkelissa Käyttäjien tutkiminen Microsoft Defender XDR.
Uusi alueellinen saatavuus: Yhdistyneet arabiemiirikunnat
Defender for Identity -palvelinkeskuksia käytetään nyt myös Yhdistyneiden arabiemiirikuntien, pohjoisten ja keskisten alueiden alueella. Katso ajantasaisin luettelo alueellisista käyttöönotoista kohdasta Defender for Identity -tietojen sijainnit.
Uusi ohjelmointirajapinnan tuki Defender for Identity sensor v3.x:lle (esikatselu)
Olemme innoissamme voidessamme ilmoittaa uuden Graph-pohjaisen ohjelmointirajapinnan saatavuudesta Defender for Identity sensor v3.x -palvelintoimintojen hallintaan. Tämä ominaisuus on tällä hetkellä esikatseluvaiheessa ja käytettävissä ohjelmointirajapinnan beetaversiossa.
Tämän ohjelmointirajapinnan avulla asiakkaat voivat:
- Valvo Palvelinten tilaa, jotka on otettu käyttöön Defender for Identity sensor v3.x:llä.
- Ota käyttöön tai poista käytöstä kelvollisten palvelimien automaattinen aktivointi.
- Aktivoi tunnistin tai poista sen aktivointi hyväksyttävässä palvelimessa.
Lisätietoja on artikkelissa Defender for Identity sensor v3.x -toimintojen hallinta Graph-ohjelmointirajapinnan avulla.
Microsoft Defender for Identity tunnistimen versiopäivitykset
| Versionumero | Päivitykset |
|---|---|
| 2.249 | Sisältää Microsoft Defender for Identity tunnistimen virheenkorjauksia ja vakautta parantavat parannukset. |
Päivitykset useisiin tunnistyksiin melun vähentämiseksi ja hälytysten tarkkuuden parantamiseksi
Useita Defender for Identity -tunnistuksia päivitetään melun vähentämiseksi ja tarkkuuden parantamiseksi, mikä tekee hälytyksistä luotettavampia ja toiminnallisempia. Käyttöönoton jatkuessa annettujen ilmoitusten määrä saattaa vähentyä.
Parannukset tulevat vähitellen voimaan seuraavissa tunnistuksia:
- Epäilyttävä viestintä DNS:n avulla
- Epäiltiin Netlogon-oikeuksien korotusta (CVE-2020-1472)
- Honeytoken-todennustoiminta
- Etäkoodin suoritusyritys DNS:n kautta
- Microsoft Entra Yhdistä tili epäilyttävä salasanan vaihtaminen
- Tietojen suodatus yli SMB:n
- Epäilty luurankoavainhyökkäys (salauksen alentaminen)
- Tietokonetilin määrittämä resurssipohjaisen rajoitetun delegoinnin epäilyttävä muutos
- Etäkoodin suoritusyritys
Yhtenäiset liittimet ovat nyt käytettävissä Okta-kertakirjautumisyhdistimille (esikatselu)
Microsoft Defender for Identity tukee Unified-liittimiä, alkaen Okta-kertakirjausliittimestä. Yhtenäisen liittimen avulla Defender for Identity voi kerätä Okta-järjestelmälokeja kerran ja jakaa ne tuetuissa Microsoftin suojaustuotteissa, mikä vähentää ohjelmointirajapinnan käyttöä ja parantaa liittimen tehokkuutta.
Lisätietoja on ohjeaiheessa Oktan yhdistäminen Microsoft Defender for Identity (esikatselu)