Condividi tramite


Novità di Microsoft Defender per identità

Questo articolo viene aggiornato di frequente per comunicare le novità delle versioni più recenti di Microsoft Defender per identità.

Novità dell'ambito e dei riferimenti

Le versioni di Defender per identità vengono distribuite gradualmente nei tenant dei clienti. Se c'è una funzionalità documentata qui che non è ancora esistente nel tenant, controllare di nuovo in un secondo momento per l'aggiornamento.

Per ulteriori informazioni, vedere anche:

Per aggiornamenti sulle versioni e sulle funzionalità rilasciate sei mesi fa o versioni precedenti, vedere l'archivio Novità per Microsoft Defender per identità.

Ottobre 2024

MDI sta espandendo la copertura con nuove 10 raccomandazioni sul comportamento di identità (anteprima)

Le nuove valutazioni del comportamento di sicurezza delle identità (ISPM) possono aiutare i clienti a monitorare la configurazione errata controllando i punti deboli e riducendo il rischio di potenziali attacchi all'infrastruttura locale.
Queste nuove raccomandazioni sull'identità, come parte di Microsoft Secure Score, sono i nuovi report relativi al comportamento di sicurezza correlati all'infrastruttura di Active Directory e agli oggetti Criteri di gruppo:

Inoltre, è stata aggiornata la raccomandazione esistente di "Modificare le deleghe Kerberos non sicure per impedire la rappresentazione" per includere l'indicazione della delega vincolata Kerberos con transizione del protocollo a un servizio con privilegi.

Agosto 2024

Nuovo sensore Microsoft Entra Connect:

Nell'ambito del nostro impegno continuo per migliorare la copertura Microsoft Defender per identità negli ambienti di identità ibrida, abbiamo introdotto un nuovo sensore per i server Microsoft Entra Connect. Sono stati inoltre rilasciati nuovi rilevamenti di sicurezza ibrida e nuove raccomandazioni relative al comportamento di identità per Microsoft Entra Connect, consentendo ai clienti di rimanere protetti e attenuare i potenziali rischi.

Nuove raccomandazioni per il comportamento di identità di Microsoft Entra Connect:

  • Ruotare la password per l'account connettore Microsoft Entra Connect
    • Un account connettore Microsoft Entra Connect compromesso (account connettore di Active Directory Domain Services, comunemente mostrato come MSOL_XXXXXXXX) può concedere l'accesso a funzioni con privilegi elevati come la replica e la reimpostazione della password, consentendo agli utenti malintenzionati di modificare le impostazioni di sincronizzazione e compromettere la sicurezza negli ambienti cloud e locali, oltre a offrire diversi percorsi per compromettere l'intero dominio. In questa valutazione è consigliabile che i clienti modifichino la password degli account MSOL con l'ultima password impostata più di 90 giorni fa. Per ulteriori informazioni, fare clic qui.
  • Rimuovere le autorizzazioni di replica non necessarie per l'account Microsoft Entra Connect
    • Per impostazione predefinita, l'account connettore Microsoft Entra Connect dispone di autorizzazioni complete per garantire una corretta sincronizzazione (anche se non sono effettivamente necessarie). Se la sincronizzazione dell'hash delle password non è configurata, è importante rimuovere autorizzazioni non necessarie per ridurre la potenziale superficie di attacco. Fare clic qui per altre informazioni
  • Modificare la password per la configurazione dell'account SSO facile di Microsoft Entra
    • Questo report elenca tutti gli account computer SSO facile di Microsoft Entra con password impostata più di 90 giorni fa. La password per l'account computer SSO di Azure non viene modificata automaticamente ogni 30 giorni. Se un utente malintenzionato compromette questo account, può generare ticket di servizio per l'account AZUREADSSOACC per conto di qualsiasi utente e rappresentare qualsiasi utente nel tenant di Microsoft Entra sincronizzato da Active Directory. Un utente malintenzionato può usarlo per spostarsi successivamente da Active Directory in Microsoft Entra ID. Per ulteriori informazioni, fare clic qui.

Nuovi rilevamenti di Microsoft Entra Connect:

  • Accesso interattivo sospetto al server Microsoft Entra Connect
    • Gli accessi diretti ai server Microsoft Entra Connect sono estremamente insoliti e potenzialmente dannosi. Gli utenti malintenzionati spesso usano questi server per rubare le credenziali per un accesso di rete più ampio. Microsoft Defender per identità ora può rilevare accessi anomali ai server Microsoft Entra Connect, consentendo di identificare e rispondere a queste potenziali minacce più velocemente. È applicabile in modo specifico quando il server Microsoft Entra Connect è un server autonomo e non funziona come controller di dominio.
  • Reimpostazione password utente dall'account Microsoft Entra Connect
    • L'account connettore Microsoft Entra Connect ha spesso privilegi elevati, inclusa la possibilità di reimpostare le password dell'utente. Microsoft Defender per identità ora ha visibilità su tali azioni e rileverà qualsiasi utilizzo di tali autorizzazioni identificate come dannose e non legittime. Questo avviso verrà attivato solo se la funzionalità di writeback delle password è disabilitata.
  • Writeback sospetto di Microsoft Entra Connect su un utente sensibile
    • Anche se Microsoft Entra Connect impedisce già il writeback per gli utenti in gruppi con privilegi, Microsoft Defender per identità espande questa protezione identificando altri tipi di account sensibili. Questo rilevamento avanzato consente di evitare la reimpostazione non autorizzata delle password negli account critici, che può essere un passaggio fondamentale per gli attacchi avanzati destinati sia agli ambienti cloud che locali.

Miglioramenti e funzionalità aggiuntivi:

  • Nuova attività di una reimpostazione della password non riuscita in un account sensibile disponibile nella tabella 'IdentityDirectoryEvents' in Ricerca avanzata. Ciò consente ai clienti di tenere traccia degli eventi di reimpostazione della password non riusciti e di creare il rilevamento personalizzato in base a questi dati.
  • Accuratezza migliorata per il rilevamento degli attacchi di sincronizzazione del controller di dominio.
  • Nuovo problema di integrità per i casi in cui il sensore non è in grado di recuperare la configurazione dal servizio Microsoft Entra Connect.
  • Monitoraggio esteso per gli avvisi di sicurezza, ad esempio Rilevamento esecuzione remota di PowerShell, abilitando il nuovo sensore nei server Microsoft Entra Connect.

Altre informazioni sul nuovo sensore

Aggiornamento del modulo PowerShell DefenderForIdentity

Il modulo PowerShell DefenderForIdentity è stato aggiornato, incorporando nuove funzionalità e risolvendo diverse correzioni di bug. I miglioramenti principali includono:

  • Nuovo New-MDIDSA cmdlet: semplifica la creazione di account di servizio, con un'impostazione predefinita per gli account del servizio gestito di gruppo (gMSA) e un'opzione per creare account standard.
  • Rilevamento automatico PDCe: migliora l'affidabilità della creazione di oggetti Criteri di gruppo specificando automaticamente come destinazione l'emulatore pdce (Primary Domain Controller Emulator) per la maggior parte delle operazioni di Active Directory.
  • Destinazione controller di dominio manuale: nuovo parametro del server per Get/Set/Test-MDIConfiguration i cmdlet, che consente di specificare un controller di dominio per la destinazione anziché il PDCe.

Per altre informazioni, vedi:

Luglio 2024

6 I nuovi rilevamenti sono nuovi in anteprima pubblica:

  • Possibile attacco NetSync
    • NetSync è un modulo in Mimikatz, uno strumento di post-sfruttamento, che richiede l'hash delle password della password di un dispositivo di destinazione fingendo di essere un controller di dominio. Un utente malintenzionato potrebbe eseguire attività dannose all'interno della rete usando questa funzionalità per ottenere l'accesso alle risorse dell'organizzazione.
  • Possibile acquisizione di un account SSO facile di Microsoft Entra
    • Un oggetto account Microsoft Entra seamless SSO (Single Sign-On), AZUREADSSOACC, è stato modificato in modo sospetto. Un utente malintenzionato potrebbe passare successivamente dall'ambiente locale al cloud.
  • Query LDAP sospetta
    • È stata rilevata una query LDAP (Lightweight Directory Access Protocol) sospetta associata a uno strumento di attacco noto. Un utente malintenzionato potrebbe eseguire la ricognizione per i passaggi successivi.
  • SpN sospetto aggiunto a un utente
    • Un nome dell'entità servizio sospetto (SPN) è stato aggiunto a un utente sensibile. Un utente malintenzionato potrebbe tentare di ottenere l'accesso con privilegi elevati per lo spostamento laterale all'interno dell'organizzazione
  • Creazione sospetta del gruppo ESXi
    • Nel dominio è stato creato un gruppo VMWare ESXi sospetto. Ciò potrebbe indicare che un utente malintenzionato sta tentando di ottenere altre autorizzazioni per i passaggi successivi in un attacco.
  • Autenticazione ADFS sospetta
    • Un account aggiunto a un dominio connesso tramite Active Directory Federation Services (ADFS) da un indirizzo IP sospetto. Un utente malintenzionato potrebbe aver rubato le credenziali di un utente e lo usa per spostarsi in un secondo momento nell'organizzazione.

Defender per identità versione 2.238

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Giugno 2024

Ricerca di informazioni utente facilmente disponibili nel dashboard ITDR

Il widget Shield offre una rapida panoramica del numero di utenti in ambienti ibridi, cloud e locali. Questa funzionalità include ora collegamenti diretti alla piattaforma Di ricerca avanzata, offrendo informazioni dettagliate sull'utente a portata di mano.

Il widget integrità della distribuzione ITDR include ora l'accesso condizionale di Microsoft Entra e Accesso privato Microsoft Entra

È ora possibile visualizzare la disponibilità delle licenze per l'accesso condizionale del carico di lavoro Microsoft Entra, l'accesso condizionale utente Microsoft Entra e Accesso privato Microsoft Entra.

Defender per identità versione 2.237

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Maggio 2024

Defender per identità versione 2.236

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.235

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Aprile 2024

Rilevare facilmente cve-2024-21427 vulnerabilità di bypass delle funzionalità di sicurezza Kerberos di Windows

Per aiutare i clienti a identificare e rilevare meglio i tentativi di ignorare i protocolli di sicurezza in base a questa vulnerabilità, è stata aggiunta una nuova attività all'interno di Ricerca avanzata che monitora l'autenticazione AS Kerberos.
Con questi dati i clienti possono ora creare facilmente regole di rilevamento personalizzate all'interno di Microsoft Defender XDR e attivare automaticamente gli avvisi per questo tipo di attività

Accedere al portale XDR di Defender -> Ricerca -> Ricerca avanzata.

È ora possibile copiare la query consigliata come indicato di seguito e fare clic su "Crea regola di rilevamento". Tenere presente che la query fornita tiene traccia anche dei tentativi di accesso non riusciti, che potrebbero generare informazioni non correlate a un potenziale attacco. Pertanto, è possibile personalizzare la query in base ai requisiti specifici.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender per identità versione 2.234

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.233

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Marzo 2024

Nuove autorizzazioni di sola lettura per la visualizzazione delle impostazioni di Defender per identità

È ora possibile configurare gli utenti di Defender per identità con autorizzazioni di sola lettura per visualizzare le impostazioni di Defender per identità.

Per altre informazioni, vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR.

Nuova API basata su Graph per la visualizzazione e la gestione dei problemi di integrità

È ora possibile visualizzare e gestire i problemi di integrità Microsoft Defender per identità tramite l'API Graph

Per altre informazioni, vedere Gestione dei problemi di integrità tramite l'API Graph.

Defender per identità versione 2.232

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.231

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Febbraio 2024

Defender per identità versione 2.230

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Nuova valutazione del comportamento di sicurezza per la configurazione dell'endpoint IIS DI ACTIVE Directory

Defender per identità ha aggiunto la nuova raccomandazione Edit insecure ADCS certificate enrollment IIS endpoints (ESC8) in Microsoft Secure Score.

Servizi certificati Active Directory (AD CS) supporta la registrazione dei certificati tramite vari metodi e protocolli, inclusa la registrazione tramite HTTP tramite il servizio registrazione certificati (CES) o l'interfaccia di registrazione Web (Certsrv). Le configurazioni non sicure degli endpoint IIS CES o Certsrv potrebbero creare vulnerabilità per l'inoltro degli attacchi (ESC8).

La nuova raccomandazione Edit insecure ADCS certificate enrollment IIS endpoints (ESC8) è stata aggiunta ad altre raccomandazioni correlate a Servizi certificati Active Directory rilasciate di recente. Insieme, queste valutazioni offrono report sul comportamento di sicurezza che presentano problemi di sicurezza e gravi errori di configurazione che registrano rischi per l'intera organizzazione, insieme ai rilevamenti correlati.

Per altre informazioni, vedi:

Defender per identità versione 2.229

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Esperienza utente migliorata per la modifica delle soglie di avviso (anteprima)

La pagina Impostazioni avanzate di Defender per identità è ora rinominata Modifica soglie di avviso e offre un'esperienza aggiornata con una maggiore flessibilità per la regolazione delle soglie di avviso.

Screenshot della nuova pagina Regola soglie di avviso.

Le modifiche includono:

  • È stata rimossa l'opzione Rimuovi periodo di apprendimento precedente e è stata aggiunta una nuova opzione Modalità test consigliata. Selezionare Modalità di test consigliata per impostare tutti i livelli di soglia su Basso, aumentando il numero di avvisi e impostando tutti gli altri livelli di soglia in sola lettura.

  • La colonna livello di riservatezza precedente viene ora rinominata come Livello soglia, con i valori appena definiti. Per impostazione predefinita, tutti gli avvisi vengono impostati su una soglia elevata , che rappresenta il comportamento predefinito e una configurazione di avviso standard.

La tabella seguente elenca il mapping tra i valori del livello di riservatezza precedenti e i nuovi valori del livello soglia:

Livello di riservatezza (nome precedente) Livello soglia (nuovo nome)
Normal Alto
Medium Medium
Alto Basso

Se nella pagina Impostazioni avanzate sono stati definiti valori specifici, i valori sono stati trasferiti alla nuova pagina Regola soglie di avviso come indicato di seguito:

Configurazione della pagina Impostazioni avanzate Nuova configurazione della pagina Regola soglie di avviso
Rimuovi il periodo di apprendimento attivato Modalità di test consigliata disattivata.

Le impostazioni di configurazione della soglia di avviso rimangono invariate.
Rimuovere il periodo di apprendimento disattivato Modalità di test consigliata disattivata.

Le impostazioni di configurazione della soglia di avviso vengono tutte reimpostate sui valori predefiniti, con un livello di soglia elevato .

Gli avvisi vengono sempre attivati immediatamente se è selezionata l'opzione Modalità test consigliata o se un livello di soglia è impostato su Medio o Basso, indipendentemente dal fatto che il periodo di apprendimento dell'avviso sia già stato completato.

Per altre informazioni, vedere Regolare le soglie di avviso.

Le pagine dei dettagli del dispositivo includono ora le descrizioni dei dispositivi (anteprima)

Microsoft Defender XDR include ora descrizioni dei dispositivi nei riquadri dei dettagli del dispositivo e nelle pagine dei dettagli del dispositivo. Le descrizioni vengono popolate dall'attributo Active Directory Description del dispositivo.

Ad esempio, nel riquadro laterale dei dettagli del dispositivo:

Screenshot del nuovo campo Descrizione dispositivo in un riquadro dei dettagli del dispositivo.

Per altre informazioni, vedere Passaggi di indagine per i dispositivi sospetti.

Defender per identità versione 2.228

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità e i nuovi avvisi seguenti:

Gennaio 2024

Defender per identità versione 2.227

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Scheda Sequenza temporale aggiunta per le entità di gruppo

È ora possibile visualizzare le attività e gli avvisi correlati alle entità del gruppo di Active Directory degli ultimi 180 giorni in Microsoft Defender XDR, ad esempio modifiche all'appartenenza ai gruppi, query LDAP e così via.

Per accedere alla pagina della sequenza temporale del gruppo, selezionare Apri sequenza temporale nel riquadro dei dettagli del gruppo.

Ad esempio:

Screenshot del pulsante Apri sequenza temporale in un riquadro dei dettagli dell'entità di gruppo.

Per altre informazioni, vedere Passaggi di indagine per i gruppi sospetti.

Configurare e convalidare l'ambiente Defender per identità tramite PowerShell

Defender per identità supporta ora il nuovo modulo di PowerShell DefenderForIdentity, progettato per configurare e convalidare l'ambiente per l'uso di Microsoft Defender per identità.

Uso dei comandi di PowerShell per evitare errori di configurazione e risparmiare tempo ed evitare il caricamento non necessario nel sistema.

Sono state aggiunte le procedure seguenti alla documentazione di Defender per identità per facilitare l'uso dei nuovi comandi di PowerShell:

Per altre informazioni, vedi:

Defender per identità versione 2.226

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.225

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Dicembre 2023

Nota

Se viene visualizzato un numero ridotto di avvisi di tentativi di esecuzione del codice remoto, vedere gli annunci di settembre aggiornati, che includono un aggiornamento alla logica di rilevamento di Defender per identità. Defender per identità continua a registrare le attività di esecuzione del codice remoto come prima.

Area e dashboard delle nuove identità in Microsoft 365 Defender (anteprima)

I clienti di Defender per identità hanno ora una nuova area Identità in Microsoft 365 Defender per informazioni sulla sicurezza delle identità con Defender per identità.

In Microsoft 365 Defender selezionare Identità per visualizzare una delle nuove pagine seguenti:

  • Dashboard: questa pagina mostra grafici e widget che consentono di monitorare le attività di rilevamento e risposta delle minacce per le identità.  Ad esempio:

    GIF animata che mostra una pagina del dashboard ITDR di esempio.

    Per altre informazioni, vedere Usare il dashboard ITDR di Defender per identità.

  • Problemi di integrità: questa pagina viene spostata dall'area Impostazioni > identità ed elenca eventuali problemi di integrità correnti per la distribuzione generale di Defender per identità e sensori specifici. Per altre informazioni, vedere Microsoft Defender per identità problemi di integrità del sensore.

  • Strumenti: questa pagina contiene collegamenti a informazioni e risorse utili quando si usa Defender per identità. In questa pagina sono disponibili collegamenti alla documentazione, in particolare nello strumento di pianificazione della capacità e nello script Test-MdiReadiness.ps1.

Defender per identità versione 2.224

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Valutazioni del comportamento di sicurezza per i sensori di Servizi certificati Active Directory (anteprima)

Le valutazioni del comportamento di sicurezza di Defender per identità rilevano e consigliano in modo proattivo le azioni nelle configurazioni Active Directory locale.

Le azioni consigliate includono ora le nuove valutazioni del comportamento di sicurezza seguenti, in particolare per i modelli di certificato e le autorità di certificazione.

Le nuove valutazioni sono disponibili in Microsoft Secure Score, visualizzando problemi di sicurezza e gravi errori di configurazione che comportano rischi per l'intera organizzazione, insieme ai rilevamenti. Il punteggio viene aggiornato di conseguenza.

Ad esempio:

Screenshot delle nuove valutazioni del comportamento di sicurezza di Servizi certificati Active Directory.

Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità.

Nota

Anche se le valutazioni dei modelli di certificato sono disponibili per tutti i clienti che hanno installato Servizi certificati Active Directory nel proprio ambiente, le valutazioni dell'autorità di certificazione sono disponibili solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Nuovo tipo di sensore per Servizi certificati Active Directory.For more information, see New sensor type for Active Directory Certificate Services (AD CS).

Defender per identità versione 2.223

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.222

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.221

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Novembre 2023

Defender per identità versione 2.220

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.219

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

La sequenza temporale delle identità include più di 30 giorni di dati (anteprima)

Defender per identità implementa gradualmente la conservazione dei dati estesa nei dettagli dell'identità a più di 30 giorni.

La scheda Sequenza temporale della pagina dei dettagli dell'identità, che include attività di Defender per identità, app Microsoft Defender per il cloud e Microsoft Defender per endpoint, attualmente include almeno 150 giorni e cresce. Potrebbero esserci variazioni nei tassi di conservazione dei dati nelle prossime settimane.

Per visualizzare attività e avvisi sulla sequenza temporale dell'identità entro un intervallo di tempo specifico, selezionare l'intervallo predefinito di 30 giorni e quindi selezionare Intervallo personalizzato. I dati filtrati da più di 30 giorni fa vengono visualizzati per un massimo di sette giorni alla volta.

Ad esempio:

Screenshot delle opzioni dell'intervallo di tempo personalizzato.

Per altre informazioni, vedere Analizzare gli asset e analizzare gli utenti in Microsoft Defender XDR.

Defender per identità versione 2.218

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Ottobre 2023

Defender per identità versione 2.217

Questa versione include i miglioramenti seguenti:

  • Report di riepilogo: il report di riepilogo viene aggiornato per includere due nuove colonne nella scheda Problemi di integrità :

    • Dettagli: informazioni aggiuntive sul problema, ad esempio un elenco di oggetti interessati o sensori specifici su cui si verifica il problema.
    • Raccomandazioni: elenco di azioni consigliate che è possibile eseguire per risolvere il problema o come analizzare ulteriormente il problema.

    Per altre informazioni, vedere Scaricare e pianificare i report di Defender per identità in Microsoft Defender XDR (anteprima).

  • Problemi di integrità: aggiunta l'interruttore "Rimuovi periodo di apprendimento" è stato disattivato automaticamente per questo problema di integrità del tenant

Questa versione include anche correzioni di bug per i servizi cloud e il sensore Defender per identità.

Defender per identità versione 2.216

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Settembre 2023

Numero ridotto di avvisi per i tentativi di esecuzione del codice remoto

Per allineare meglio Gli avvisi di Defender per identità e Microsoft Defender per endpoint, è stata aggiornata la logica di rilevamento dei tentativi di esecuzione del codice remoto di Defender per identità.

Anche se questa modifica comporta una diminuzione del numero di avvisi di esecuzione del codice remoto, Defender per identità continua a registrare le attività di esecuzione del codice remoto. I clienti possono continuare a creare query di ricerca avanzate e creare criteri di rilevamento personalizzati.

Impostazioni di riservatezza degli avvisi e miglioramenti del periodo di apprendimento

Alcuni avvisi di Defender per identità attendono un periodo di apprendimento prima dell'attivazione degli avvisi, durante la creazione di un profilo di modelli da usare quando si distingue tra attività legittime e sospette.

Defender per identità offre ora i miglioramenti seguenti per l'esperienza del periodo di apprendimento:

  • Gli amministratori possono ora usare l'impostazione Rimuovi periodo di apprendimento per configurare la riservatezza usata per avvisi specifici. Definire la sensibilità come Normale per configurare l'impostazione Rimuovi periodo di apprendimento come Disattivato per il tipo di avviso selezionato.

  • Dopo aver distribuito un nuovo sensore in una nuova area di lavoro di Defender per identità, l'impostazione Rimuovi periodo di apprendimento viene attivata automaticamente per 30 giorni. Al termine di 30 giorni, l'impostazione Rimuovi periodo di apprendimento viene disattivata automaticamente e i livelli di riservatezza degli avvisi vengono restituiti alla funzionalità predefinita.

    Per fare in modo che Defender per identità usi la funzionalità del periodo di apprendimento standard, in cui gli avvisi non vengono generati fino al termine del periodo di apprendimento, configurare l'impostazione Rimuovi periodi di apprendimento su Disattivato.

Se l'impostazione Rimuovi periodo di apprendimento è stata aggiornata in precedenza, l'impostazione rimane invariata durante la configurazione.

Per altre informazioni, vedere Impostazioni avanzate.

Nota

La pagina Impostazioni avanzate elencava originariamente l'avviso di ricognizione dell'enumerazione account sotto le opzioni Rimuovi periodo di apprendimento come configurabile per le impostazioni di riservatezza. Questo avviso è stato rimosso dall'elenco e viene sostituito dall'avviso di ricognizione dell'entità di sicurezza (LDAP). Questo bug dell'interfaccia utente è stato risolto a novembre 2023.

Defender per identità versione 2.215

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Report di Defender per identità spostati nell'area Report principale

È ora possibile accedere ai report di Defender per identità dall'area Report principali di Microsoft Defender XDR anziché dall'area Impostazioni. Ad esempio:

Screenshot dell'accesso al report di Defender per identità dall'area Report principale.

Per altre informazioni, vedere Scaricare e pianificare i report di Defender per identità in Microsoft Defender XDR (anteprima).

Pulsante Vai alla ricerca per i gruppi in Microsoft Defender XDR

Defender per identità ha aggiunto il pulsante Di ricerca Go per i gruppi in Microsoft Defender XDR. Gli utenti possono usare il pulsante Go hunt per eseguire una query per le attività e gli avvisi correlati al gruppo durante un'indagine.

Ad esempio:

Screenshot del nuovo pulsante Di ricerca Go in un riquadro dei dettagli del gruppo.

Per altre informazioni, vedere Ricerca rapida di informazioni sull'entità o sugli eventi con go hunt.

Defender per identità versione 2.214

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Miglioramenti delle prestazioni

Defender per identità ha apportato miglioramenti interni per latenza, stabilità e prestazioni durante il trasferimento di eventi in tempo reale da Defender per identità a Microsoft Defender XDR. I clienti non devono aspettarsi ritardi nei dati di Defender per identità visualizzati in Microsoft Defender XDR, ad esempio avvisi o attività per la ricerca avanzata.

Per altre informazioni, vedi:

Agosto 2023

Defender per identità versione 2.213

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.212

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.211

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Nuovo tipo di sensore per Servizi certificati Active Directory

Defender per identità supporta ora il nuovo tipo di sensore ADCS per un server dedicato con Servizi certificati Active Directory configurati.

Viene visualizzato il nuovo tipo di sensore identificato nella pagina Impostazioni > Sensori identità > in Microsoft Defender XDR. Per altre informazioni, vedere Gestire e aggiornare i sensori Microsoft Defender per identità.

Insieme al nuovo tipo di sensore, Defender per identità fornisce anche avvisi di Servizi certificati Active Directory correlati e report di Secure Score. Per visualizzare i nuovi avvisi e i report di Secure Score, assicurarsi che gli eventi necessari vengano raccolti e connessi al server. Per altre informazioni, vedere Configurare il controllo per gli eventi di Active Directory Certificate Services (AD CS).

Servizi certificati Active Directory è un ruolo di Windows Server che rilascia e gestisce i certificati PKI (Public Key Infrastructure) nei protocolli di comunicazione e autenticazione sicuri. Per altre informazioni, vedere Che cos'è Servizi certificati Active Directory?

Defender per identità versione 2.210

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Passaggi successivi