A Microsoft Defender for Identity újdonságai
Ez a cikk gyakran frissül, hogy megismerje a Microsoft Defender for Identity legújabb kiadásainak újdonságait.
Újdonságok hatóköre és hivatkozásai
A Defender for Identity kiadásai fokozatosan kerülnek üzembe az ügyfélbérlőkre. Ha itt dokumentált egy olyan funkciót, amelyet még nem lát a bérlőjében, később térjen vissza a frissítéshez.
További információkért lásd még:
- A Microsoft Defender XDR újdonságai
- Melyek a Végponthoz készült Microsoft Defender újdonságai
- Melyek a Microsoft Defender for Cloud Apps újdonságai
A hat hónappal ezelőtt vagy korábban kiadott verziókkal és funkciókkal kapcsolatos frissítésekért tekintse meg a Microsoft Defender for Identity új archívumát.
2024. augusztus
Új Entra Connect-érzékelő:
A Microsoft Defender for Identity hibrid identitáskezelési környezetekben való javítása érdekében tett folyamatos erőfeszítésünk részeként bevezettünk egy új érzékelőt az Entra Connect-kiszolgálókhoz. Emellett 3 új hibrid biztonsági észlelést és 4 új identitáskezelési javaslatot adtunk ki kifejezetten az Entra Connecthez, így segítve az ügyfeleket a védelem megőrzésében és a lehetséges kockázatok csökkentésében.
Új Entra Connect-identitáskezelési javaslatok:
- Az Entra Connect-összekötő fiók jelszavának elforgatása
- A feltört Entra Connect-összekötőfiók (AD DS-összekötőfiók, gyakran MSOL_XXXXXXXX) hozzáférést biztosíthat a magas jogosultsági szintű funkciókhoz, például a replikációhoz és a jelszó-visszaállításhoz, lehetővé téve a támadók számára a szinkronizálási beállítások módosítását és a biztonságot a felhőbeli és helyszíni környezetekben, valamint számos útvonalat kínálnak a teljes tartomány veszélyeztetéséhez. Ebben az értékelésben azt javasoljuk, hogy az ügyfelek módosítják az MSOL-fiókok jelszavát, és a jelszó utoljára 90 nappal ezelőtt van beállítva. További információkért kattintson ide.
- Az Entra Connect-fiók szükségtelen replikációs engedélyeinek eltávolítása
- Alapértelmezés szerint az Entra Connect-összekötő fiók kiterjedt engedélyekkel rendelkezik a megfelelő szinkronizálás biztosításához (még akkor is, ha valójában nincs szükség rájuk). Ha a jelszókivonat-szinkronizálás nincs konfigurálva, fontos eltávolítani a szükségtelen engedélyeket a lehetséges támadási felület csökkentése érdekében. További információért kattintson ide
- Az Entra közvetlen SSO-fiók konfigurációjának jelszavának módosítása
- Ez a jelentés felsorolja az Összes Entra közvetlen egyszeri bejelentkezésű számítógépfiókot, amelynek jelszava legutóbb 90 nappal ezelőtt van beállítva. Az Azure SSO-számítógépfiók jelszava nem változik automatikusan 30 naponta. Ha egy támadó feltöri ezt a fiókot, bármely felhasználó nevében létrehozhat szolgáltatásjegyeket az AZUREADSSOACC-fiókhoz, és megszemélyesíthet minden olyan felhasználót az Entra-bérlőben, aki szinkronizálva van az Active Directoryból. A támadók ezzel oldalirányban léphetnek át az Active Directoryból az Entra-azonosítóba. További információkért kattintson ide.
Új Entra Connect-észlelések:
- Gyanús interaktív bejelentkezés az Entra Connect-kiszolgálóra
- Az Entra Connect-kiszolgálókra való közvetlen bejelentkezések rendkívül szokatlanok és potenciálisan rosszindulatúak. A támadók gyakran arra célzják ezeket a kiszolgálókat, hogy ellopják a hitelesítő adatokat a szélesebb körű hálózati hozzáférés érdekében. A Microsoft Defender for Identity mostantól képes észlelni az Entra Connect-kiszolgálókon abnormális bejelentkezéseket, így gyorsabban azonosíthatja és megválaszolhatja ezeket a lehetséges fenyegetéseket. Kifejezetten akkor alkalmazható, ha az Entra Connect-kiszolgáló önálló kiszolgáló, és nem tartományvezérlőként működik.
- Felhasználói jelszó alaphelyzetbe állítása Entra Connect-fiók szerint
- Az Entra Connect-összekötő fiók gyakran rendelkezik magas jogosultságokkal, beleértve a felhasználó jelszavának visszaállítását is. A Microsoft Defender for Identity mostantól áttekinti ezeket a műveleteket, és észleli azoknak az engedélyeknek a használatát, amelyeket rosszindulatúként és nem jogszerűként azonosítottak. Ez a riasztás csak akkor aktiválódik, ha a jelszóvisszaíró funkció le van tiltva.
- Gyanús visszaírás az Entra Connect által egy bizalmas felhasználón
- Bár az Entra Connect már megakadályozza a kiemelt csoportokban lévő felhasználók visszaírását, a Microsoft Defender for Identity további bizalmas fiókok azonosításával bővíti ezt a védelmet. Ez a továbbfejlesztett észlelés segít megelőzni a kritikus fiókok jogosulatlan jelszó-alaphelyzetbe állítását, ami kulcsfontosságú lépés lehet a felhőalapú és a helyszíni környezeteket célzó speciális támadásokban.
További fejlesztések és képességek:
- A sikertelen jelszó-visszaállítás új tevékenysége egy bizalmas fiókon , amely az Advanced Hunting "IdentityDirectoryEvents" táblájában érhető el. Ez segíthet az ügyfeleknek nyomon követni a sikertelen jelszó-visszaállítási eseményeket, és egyéni észlelést hozhatnak létre ezen adatok alapján.
- Nagyobb pontosság a DC-szinkronizálási támadások észleléséhez.
- Új állapotproblémák olyan esetekben, amikor az érzékelő nem tudja lekérni a konfigurációt az Entra Connect szolgáltatásból.
- A biztonsági riasztások, például a PowerShell távoli végrehajtási érzékelő kiterjesztett monitorozása az új érzékelő Entra Connect-kiszolgálókon való engedélyezésével.
További információ az új érzékelőről
Frissített DefenderForIdentity PowerShell-modul
Frissítettük a DefenderForIdentity PowerShell modult, amely új funkciókat tartalmaz, és számos hibajavítást kezel. A legfontosabb fejlesztések a következők:
- Új
New-MDIDSA
parancsmag: Leegyszerűsíti a szolgáltatásfiókok létrehozását a csoportos felügyelt szolgáltatásfiókok (gMSA) alapértelmezett beállításával és a standard fiókok létrehozásának lehetőségével. - Automatikus PDCe-észlelés: Javítja a csoportházirend-objektum (GPO) létrehozásának megbízhatóságát azáltal, hogy a legtöbb Active Directory-művelethez automatikusan megcélozza az elsődleges tartományvezérlő emulátorát (PDCe).
- Manuális tartományvezérlő-célzás: Parancsmagok új kiszolgálóparamétere
Get/Set/Test-MDIConfiguration
, amely lehetővé teszi, hogy a PDCe helyett tartományvezérlőt adjon meg a célzáshoz.
További információk:
- DefenderForIdentity PowerShell-modul (PowerShell-galéria)
- DefenderForIdentity PowerShell-referenciadokumentáció
2024. július
6 Az új észlelések újak a nyilvános előzetes verzióban:
- Lehetséges NetSync-támadás
- A NetSync egy mimikatz-modul, amely egy kihasználtság utáni eszköz, amely a céleszköz jelszavának jelszókivonatát kéri le úgy, mintha tartományvezérlő lenne. Előfordulhat, hogy a támadó rosszindulatú tevékenységeket végez a hálózaton ezzel a funkcióval, hogy hozzáférjen a szervezet erőforrásaihoz.
- Microsoft Entra közvetlen SSO-fiók lehetséges átvétele
- Gyanúsan módosult egy Microsoft Entra közvetlen egyszeri bejelentkezéses fiókobjektum (AZUREADSSOACC). Előfordulhat, hogy a támadó oldalirányban halad a helyszíni környezetből a felhőbe.
- Gyanús LDAP-lekérdezés
- Egy ismert támadási eszközhöz társított gyanús Lightweight Directory Access Protocol -lekérdezés (LDAP) észlelhető. Előfordulhat, hogy a támadó felderítést végez a későbbi lépésekhez.
- Gyanús egyszerű szolgáltatásnév lett hozzáadva egy felhasználóhoz
- Gyanús szolgáltatásnév (SPN) lett hozzáadva egy bizalmas felhasználóhoz. Előfordulhat, hogy egy támadó emelt szintű hozzáférést próbál szerezni a szervezeten belüli oldalirányú mozgáshoz
- ESXi-csoport gyanús létrehozása
- Gyanús VMWare ESXi-csoport jött létre a tartományban. Ez azt jelezheti, hogy a támadó további engedélyeket próbál beszerezni a támadás későbbi lépéseihez.
- Gyanús ADFS-hitelesítés
- Egy tartományhoz csatlakoztatott fiók, amely Active Directory összevonási szolgáltatások (AD FS) (ADFS) használatával jelentkezett be egy gyanús IP-címről. Előfordulhat, hogy egy támadó ellopta egy felhasználó hitelesítő adatait, és azt használja a szervezet oldalirányú áthelyezéséhez.
Defender for Identity release 2.238
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2024. június
Egyszerűen keresse meg a felhasználói adatokat az ITDR-irányítópultról
A Shield widget gyors áttekintést nyújt a hibrid, felhőbeli és helyszíni környezetekben lévő felhasználók számáról. Ez a funkció mostantól közvetlen hivatkozásokat is tartalmaz az Advanced Hunting platformra, amelyek részletes felhasználói információkat tartalmaznak.
Az ITDR üzembehelyezési állapot widgete mostantól tartalmazza az Entra feltételes hozzáférését és az Entra privát hozzáférését
Most már megtekintheti az Entra számítási feladatok feltételes hozzáférésének, az Entra felhasználói feltételes hozzáférésének és az Entra Private Accessnek a licenc rendelkezésre állását.
A Defender for Identity 2.237-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2024. május
A Defender for Identity 2.236-os kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.235-ös kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2024. április
A CVE-2024-21427 Windows Kerberos biztonsági funkció megkerülő biztonsági résének egyszerű észlelése
Annak érdekében, hogy az ügyfelek jobban felismerjék és észleljék a biztonsági protokollok megkerülésére tett kísérleteket a biztonsági résnek megfelelően, hozzáadtunk egy új tevékenységet az Advanced Hunting szolgáltatásban, amely figyeli a Kerberos AS-hitelesítést.
Ezekkel az adatokkal az ügyfelek mostantól egyszerűen létrehozhatják saját egyéni észlelési szabályaikat a Microsoft Defender XDR-ben , és automatikusan riasztásokat aktiválhatnak az ilyen típusú tevékenységekhez
Access Defender XDR portál –> Vadászat –> Speciális vadászat.
Most az alábbi módon másolhatja az ajánlott lekérdezést, és kattintson az "Észlelési szabály létrehozása" elemre. Vegye figyelembe, hogy a megadott lekérdezés a sikertelen bejelentkezési kísérleteket is nyomon követi, ami potenciális támadástól független információkat eredményezhet. Ezért nyugodtan testre szabhatja a lekérdezést az adott követelményeknek megfelelően.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
A Defender for Identity 2.234-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Defender for Identity release 2.233
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2024. március
Új írásvédett engedélyek a Defender for Identity beállításainak megtekintéséhez
Most már konfigurálhatja a Defender for Identity felhasználóit írásvédett engedélyekkel a Defender for Identity beállításainak megtekintéséhez.
További információ: A Microsoft Defender XDR identitáshoz szükséges engedélyei.
Új Graph-alapú API az állapotproblémák megtekintéséhez és kezeléséhez
Most már megtekintheti és kezelheti a Microsoft Defender for Identity állapotával kapcsolatos problémákat a Graph API-n keresztül
További információ: Állapotproblémák kezelése a Graph API-n keresztül.
A Defender for Identity 2.232-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.231-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2024. február
Defender for Identity release 2.230
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Új biztonsági helyzetértékelés a nem biztonságos AD CS IIS-végpontkonfigurációhoz
A Defender for Identity hozzáadta az új , nem biztonságos ADCS-tanúsítványregisztráció IIS-végpontokra (ESC8) vonatkozó javaslatát a Microsoft biztonságos pontszámában.
Az Active Directory Tanúsítványszolgáltatások (AD CS) különböző módszerekkel és protokollokkal támogatja a tanúsítványregisztrációt, beleértve a HTTP-n keresztüli regisztrációt a Tanúsítványregisztrációs szolgáltatás (CES) vagy a webes regisztrációs felület (Certsrv) használatával. A CES vagy a Certsrv IIS-végpontok nem biztonságos konfigurációi biztonsági réseket hozhatnak létre a továbbítási támadásokhoz (ESC8).
Az új , nem biztonságos ADCS-tanúsítványregisztrációs IIS-végpontokra (ESC8) vonatkozó javaslat hozzáadódik a nemrég kiadott AD CS-hez kapcsolódó egyéb javaslatokhoz. Ezek az értékelések együttesen olyan biztonsági helyzetjelentéseket nyújtanak, amelyek biztonsági problémákat és súlyos téves konfigurációkat jelentenek, amelyek a teljes szervezetre veszélyt jelentenek, valamint a kapcsolódó észleléseket.
További információk:
- Biztonsági értékelés: Nem biztonságos ADCS-tanúsítványregisztráció IIS-végpontok (ESC8) szerkesztése
- Biztonsági helyzetértékelések AD CS-érzékelőkhöz
- A Microsoft Defender for Identity biztonsági helyzetértékelései
A Defender for Identity 2.229-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Továbbfejlesztett felhasználói élmény a riasztási küszöbértékek módosításához (előzetes verzió)
A Defender for Identity Speciális beállítások lapja mostantól átnevezve a riasztási küszöbértékek módosítására , és a riasztási küszöbértékek módosításához nagyobb rugalmasságot biztosít.
A változások a következők:
Eltávolítottuk az előző Tanulási időszak eltávolítása lehetőséget, és hozzáadtunk egy új ajánlott tesztmódot . Válassza az Ajánlott tesztelési módot az összes küszöbérték alacsony értékre való beállításához, a riasztások számának növeléséhez, és az összes többi küszöbérték írásvédettre történő beállításához.
Az előző Bizalmassági szint oszlop mostantól küszöbértékszintként van átnevezve, újonnan definiált értékekkel. Alapértelmezés szerint az összes riasztás magas küszöbértékre van beállítva, amely az alapértelmezett viselkedést és a szabványos riasztási konfigurációt jelöli.
Az alábbi táblázat az előző bizalmassági szint értékei és az új küszöbértékszint-értékek közötti megfeleltetést sorolja fel:
Bizalmassági szint (előző név) | Küszöbérték szintje (új név) |
---|---|
Normális | Magas |
Medium | Medium |
Magas | Alacsony |
Ha a Speciális beállítások lapon meghatározott értékeket definiált, azokat átvittük az új Riasztási küszöbértékek módosítása lapra az alábbiak szerint:
Speciális beállítások lapkonfigurációja | Riasztási küszöbértékek új beállításának lapkonfigurációja |
---|---|
A bekapcsolva lévő képzési időszak eltávolítása | Az ajánlott tesztmód ki van kapcsolva. A riasztási küszöbérték konfigurációs beállításai változatlanok maradnak. |
Kikapcsolva a képzési időszak eltávolítása | Az ajánlott tesztmód ki van kapcsolva. A riasztási küszöbérték konfigurációs beállításai mind alaphelyzetbe állnak az alapértelmezett értékükre, magas küszöbértékkel. |
A riasztások mindig azonnal aktiválódnak, ha az Ajánlott tesztelési mód lehetőség van kiválasztva, vagy ha egy küszöbérték közepes vagy alacsony értékre van állítva, függetlenül attól, hogy a riasztás tanulási időszaka már befejeződött-e.
További információ: Riasztási küszöbértékek módosítása.
Az eszköz részleteinek lapjai mostantól tartalmazzák az eszköz leírását (előzetes verzió)
A Microsoft Defender XDR mostantól eszközleírásokat is tartalmaz az eszköz részleteinek ablaktábláin és az eszköz részleteinek lapjain. A leírások az eszköz Active Directory Description attribútumából vannak feltöltve.
Például az eszköz adatai oldalpanelen:
További információ: Gyanús eszközök vizsgálati lépései.
Defender for Identity release 2.228
Ez a verzió a felhőszolgáltatások és a Defender identitásérzékelő fejlesztéseit és hibajavítását, valamint az alábbi új riasztásokat tartalmazza:
- Fiók számbavételi felderítése (LDAP) (külső azonosító: 2437) (előzetes verzió)
- Címtárszolgáltatások visszaállítási módjának jelszómódosítása (külső azonosító: 2438) (előzetes verzió)
2024. január
A Defender for Identity 2.227-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Idősor lap hozzáadva a csoportentitásokhoz
Mostantól megtekintheti az Active Directory-csoport entitásokkal kapcsolatos tevékenységeit és riasztásokat az elmúlt 180 napból a Microsoft Defender XDR-ben, például csoporttagság-módosításokat, LDAP-lekérdezéseket stb.
A csoport ütemtervlapjának eléréséhez válassza az Ütemterv megnyitása lehetőséget a csoport részletei panelen.
Példa:
További információ: Gyanús csoportok vizsgálati lépései.
A Defender for Identity-környezet konfigurálása és ellenőrzése a PowerShell használatával
A Defender for Identity mostantól támogatja az új DefenderForIdentity PowerShell-modult, amelynek célja, hogy segítsen konfigurálni és ellenőrizni a környezetet a Microsoft Defender for Identity használatához.
A PowerShell-parancsokkal elkerülheti a helytelen konfigurációkat, időt takaríthat meg, és elkerülheti a rendszer szükségtelen terhelését.
Az új PowerShell-parancsok használatához a következő eljárásokat adtuk hozzá a Defender for Identity dokumentációhoz:
- Proxykonfiguráció módosítása a PowerShell használatával
- Naplózási szabályzatok konfigurálása, lekérése és tesztelése a PowerShell használatával
- Jelentés létrehozása az aktuális konfigurációkkal a PowerShell használatával
- DSA-engedélyek és delegálások tesztelése a PowerShell használatával
- Szolgáltatáskapcsolat tesztelése a PowerShell használatával
További információk:
- DefenderForIdentity PowerShell-modul (PowerShell-galéria)
- DefenderForIdentity PowerShell-referenciadokumentáció
A Defender for Identity 2.226-os kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.225-ös kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2023. december
Feljegyzés
Ha csökkent a távoli kódvégrehajtási kísérletek riasztásainak száma, tekintse meg a frissített szeptemberi közleményeket, amelyek tartalmazzák a Defender identitásészlelési logikájának frissítését. A Defender for Identity a korábbiakhoz hasonlóan továbbra is rögzíti a távoli kódvégrehajtási tevékenységeket.
Új identitások terület és irányítópult a Microsoft 365 Defenderben (előzetes verzió)
A Defender for Identity ügyfelei mostantól új Identitások területtel rendelkeznek a Microsoft 365 Defenderben az identitásbiztonságról a Defender for Identity szolgáltatással.
A Microsoft 365 Defenderben válassza az Identitások lehetőséget az alábbi új lapok megjelenítéséhez:
Irányítópult: Ez az oldal grafikonokat és widgeteket jelenít meg az identitásfenyegetések észlelésének és a reagálási tevékenységek figyeléséhez. Példa:
További információ: A Defender for Identity ITDR-irányítópultjának használata.
Állapotproblémák: Ezt a lapot áthelyezi a Beállítási > identitások területről, és felsorolja az általános Defender for Identity üzembe helyezésével és adott érzékelőkkel kapcsolatos aktuális állapotproblémákat. További információ: Microsoft Defender for Identity sensor health issues.
Eszközök: Ez a lap a Defender for Identity használatakor hasznos információkra és erőforrásokra mutató hivatkozásokat tartalmaz. Ezen a lapon megtalálhatja a dokumentációra mutató hivatkozásokat, különösen a kapacitástervező eszközről és a Test-MdiReadiness.ps1 szkriptről.
A Defender for Identity 2.224-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Biztonsági helyzetértékelések AD CS-érzékelőkhöz (előzetes verzió)
A Defender for Identity biztonsági helyzetértékelései proaktívan észlelik és javasolják a helyi Active Directory konfigurációk műveleteit.
Az ajánlott műveletek közé tartoznak a következő új biztonsági helyzetértékelések, különösen a tanúsítványsablonok és a hitelesítésszolgáltatók számára.
Ajánlott tanúsítványsablonok:
- Annak megakadályozása, hogy a felhasználók a tanúsítványsablon (ESC1) alapján érvényes tanúsítványt kérjenek tetszőleges felhasználók számára
- Túlzottan megengedő tanúsítványsablon szerkesztése emelt szintű termékváltozattal (bármilyen célú EKU vagy EKU nélkül) (ESC2)
- Helytelenül konfigurált regisztrációs ügynök tanúsítványsablonja (ESC3)
- Helytelenül konfigurált tanúsítványsablonok szerkesztése ACL (ESC4)
- Helytelenül konfigurált tanúsítványsablonok tulajdonosának szerkesztése (ESC4)
A hitelesítésszolgáltató által javasolt műveletek:
Az új értékelések elérhetők a Microsoft Biztonságos pontszámban, a biztonsági problémák feltárásával és a teljes szervezetre nézve kockázatot jelentő súlyos konfigurációkkal, valamint az észlelésekkel. A pontszám ennek megfelelően frissül.
Példa:
További információ: Microsoft Defender for Identity biztonsági helyzetértékelései.
Feljegyzés
Bár a tanúsítványsablon-értékelések minden olyan ügyfél számára elérhetők, akik AD CS-t telepítettek a környezetükre, a hitelesítésszolgáltatói értékelések csak azoknak az ügyfeleknek érhetők el, akik egy érzékelőt telepítettek egy AD CS-kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) új érzékelőtípusa.
Defender for Identity release 2.223
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.222-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.221-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2023. november
Defender for Identity release 2.220
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.219-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Az identitás idővonala több mint 30 napnyi adatot tartalmaz (előzetes verzió)
A Defender for Identity fokozatosan bővíti az identitásadatok adatmegőrzési idejét több mint 30 napig.
Az Identitás részletei lap Idővonal lapja, amely magában foglalja a Defender for Identity, Felhőhöz készült Microsoft Defender Apps és Végponthoz készült Microsoft Defender tevékenységeit, jelenleg legalább 150 napot tartalmaz, és növekszik. A következő hetekben az adatmegőrzési arányok némi eltérést mutathatnak.
Ha egy adott időkereten belül szeretné megtekinteni az identitás idővonalán lévő tevékenységeket és riasztásokat, jelölje ki az alapértelmezett 30 napot , majd válassza az Egyéni tartomány lehetőséget. A több mint 30 nappal ezelőtti szűrt adatok egyszerre legfeljebb hét napig jelennek meg.
Példa:
További információ: Objektumok vizsgálata és felhasználók vizsgálata a Microsoft Defender XDR-ben.
Defender for Identity release 2.218
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Október 2023.
A Defender for Identity 2.217-es kiadása
Ez a verzió a következő fejlesztéseket tartalmazza:
Összefoglaló jelentés: Az összefoglaló jelentés úgy frissül, hogy két új oszlopot tartalmazzon az Állapotproblémák lapon:
- Részletek: További információk a problémáról, például az érintett objektumok vagy a probléma által érintett érzékelők listája.
- Javaslatok: A probléma megoldásához javasolt műveletek listája, illetve a probléma további kivizsgálása.
További információ: Defender for Identity-jelentések letöltése és ütemezése a Microsoft Defender XDR-ben (előzetes verzió).
Állapotproblémák: A "Tanulási időszak eltávolítása" kapcsoló automatikusan ki lett kapcsolva ebben a bérlői állapotproblémában
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő hibajavítását is tartalmazza.
A Defender for Identity 2.216-os kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
2023. szeptember
A távoli kódvégrehajtási kísérletekre vonatkozó riasztások számának csökkentése
A Defender for Identity és Végponthoz készült Microsoft Defender riasztások jobb összehangolása érdekében frissítettük a Defender for Identity távoli kódvégrehajtási kísérletészlelési kísérletészlelési logikáját.
Bár ez a változás csökkenti a távoli kódvégrehajtási kísérletek riasztásainak számát, a Defender for Identity továbbra is rögzíti a távoli kódvégrehajtási tevékenységeket. Az ügyfelek továbbra is létrehozhatják saját speciális keresési lekérdezéseiket, és egyéni észlelési szabályzatokat hozhatnak létre.
Riasztás bizalmassági beállításai és a tanulási időszak fejlesztései
Egyes Defender for Identity-riasztások a riasztások aktiválása előtt egy tanulási időszakot várnak, miközben létrehoznak egy profilt, amelyet a megbízható és gyanús tevékenységek megkülönböztetésekor használnak.
A Defender for Identity mostantól a következő fejlesztéseket biztosítja a tanulási időszak élményéhez:
A rendszergazdák mostantól a Remove learning period (Tanulási időszak eltávolítása) beállítással konfigurálhatják az adott riasztásokhoz használt bizalmassági beállításokat. Adja meg a bizalmassági beállítást Normál értékként, hogy a Tanulási időszak eltávolítása beállítást kikapcsolva állapotban konfigurálja a kiválasztott riasztástípushoz.
Miután üzembe helyez egy új érzékelőt egy új Defender for Identity-munkaterületen, a Rendszer automatikusan bekapcsolja a tanulási időszak eltávolítása beállítást 30 napig. Ha 30 nap letelt, a rendszer automatikusan kikapcsolja a tanulási időszak eltávolítása beállítást, és a riasztás érzékenységi szintjei visszakerülnek az alapértelmezett funkciójukba.
Ha azt szeretné, hogy a Defender for Identity standard tanulási időszak funkciót használjon, ahol a riasztások a tanulási időszak végéig nem jönnek létre, konfigurálja a Tanulási időszakok eltávolítása beállítást kikapcsolva értékre.
Ha korábban frissítette volna a Tanulási időszak eltávolítása beállítást, a beállítás a konfiguráláskor marad.
További információ: Speciális beállítások.
Feljegyzés
A Speciális beállítások lap eredetileg a Fiókok számbavétele felderítési riasztást sorolta fel a Remove learning period options for configury for sensitivity settings (A tanidőszak eltávolítása) lehetőség alatt a bizalmassági beállításokhoz konfigurálhatóként. Ez a riasztás el lett távolítva a listából, és helyébe a security principal reconnaissance (LDAP) riasztás lép. Ezt a felhasználói felületi hibát 2023 novemberében javítottuk.
A Defender for Identity 2.215-ös kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity jelentései átkerültek a fő jelentések területére
Mostantól a Beállítások terület helyett a Microsoft Defender XDR fő jelentések területéről érheti el a Defender for Identity-jelentéseket. Példa:
További információ: Defender for Identity-jelentések letöltése és ütemezése a Microsoft Defender XDR-ben (előzetes verzió).
A Csoportok keresése gomb a Microsoft Defender XDR-ben
A Defender for Identity hozzáadta a Go hunt gombot a Csoportokhoz a Microsoft Defender XDR-ben. A felhasználók a Go hunt gombbal kérdezhetik le a csoporthoz kapcsolódó tevékenységeket és riasztásokat a vizsgálat során.
Példa:
További információ: Entitás- vagy eseményinformációk gyors keresése go hunt használatával.
A Defender for Identity 2.214-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Teljesítménybeli fejlesztések
A Defender for Identity belső fejlesztéseket végzett a késés, a stabilitás és a teljesítmény terén, amikor valós idejű eseményeket továbbít a Defender for Identity servicesből a Microsoft Defender XDR-be. Az ügyfelek nem számíthatnak késésre a Microsoft Defender XDR-ben megjelenő Defender for Identity-adatokban, például a riasztásokban vagy a speciális vadászati tevékenységekben.
További információk:
- Biztonsági riasztások a Microsoft Defender for Identity szolgáltatásban
- A Microsoft Defender for Identity biztonsági helyzetértékelései
- A Microsoft Defender XDR speciális vadászatával kapcsolatos fenyegetések proaktív keresése
2023. augusztus
Defender for Identity release 2.213
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.212-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
A Defender for Identity 2.211-es kiadása
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.
Új érzékelőtípus az Active Directory Tanúsítványszolgáltatásokhoz (AD CS)
A Defender for Identity mostantól támogatja az új ADCS-érzékelőtípust egy dedikált kiszolgálóhoz, amelyen konfigurálva van az Active Directory Tanúsítványszolgáltatások (AD CS).
Az új érzékelőtípust a Microsoft Defender XDR Beállítások > identitásérzékelők > lapján láthatja. További információ: Microsoft Defender for Identity érzékelők kezelése és frissítése.
Az új érzékelőtípussal együtt a Defender for Identity mostantól kapcsolódó AD CS-riasztásokat és biztonságos pontszám-jelentéseket is biztosít. Az új riasztások és a Biztonsági pontszám jelentések megtekintéséhez győződjön meg arról, hogy a szükséges eseményeket összegyűjti és naplózza a kiszolgálón. További információ: Az Active Directory Tanúsítványszolgáltatások (AD CS) eseményeinek naplózásának konfigurálása.
Az AD CS egy Olyan Windows Server-szerepkör, amely a nyilvános kulcsú infrastruktúra (PKI) tanúsítványait ad ki és kezeli biztonságos kommunikációs és hitelesítési protokollokban. További információ: Mi az Active Directory tanúsítványszolgáltatás?
Defender for Identity release 2.210
Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.