Novità di Microsoft Defender per identità
Questo articolo viene aggiornato di frequente per comunicare le novità delle versioni più recenti di Microsoft Defender per identità.
Importante
I clienti che usano il portale classico di Defender per identità vengono ora reindirizzati automaticamente a Microsoft Defender XDR, senza alcuna opzione per ripristinare il portale classico.
Per altre informazioni, vedere il post di blog e Microsoft Defender per identità in Microsoft Defender XDR.
Ricevere notifiche sugli aggiornamenti
per ricevere una notifica quando questa pagina viene aggiornata, copiare e incollare l'URL seguente nel lettore di feed: https://aka.ms/mdi/rss
Novità dell'ambito e dei riferimenti
Le versioni di Defender per identità vengono distribuite gradualmente nei tenant dei clienti. Se c'è una funzionalità documentata qui che non è ancora esistente nel tenant, controllare di nuovo in un secondo momento per l'aggiornamento.
Per ulteriori informazioni, vedere anche:
- Novità di Microsoft Defender XDR
- Novità di Microsoft Defender per endpoint
- Novità di Microsoft Defender per le app cloud
Per aggiornamenti sulle versioni e sulle funzionalità rilasciate sei mesi fa o versioni precedenti, vedere l'archivio Novità per Microsoft Defender per identità.
Aprile 2024
Defender per identità versione 2.234
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.233
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Marzo 2024
Nuove autorizzazioni di sola lettura per la visualizzazione delle impostazioni di Defender per identità
È ora possibile configurare gli utenti di Defender per identità con autorizzazioni di sola lettura per visualizzare le impostazioni di Defender per identità.
Per altre informazioni, vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR.
Nuova API basata su Graph per la visualizzazione e la gestione dei problemi di integrità
È ora possibile visualizzare e gestire i problemi di integrità Microsoft Defender per identità tramite l'API Graph
Per altre informazioni, vedere Gestione dei problemi di integrità tramite l'API Graph.
Defender per identità versione 2.232
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.231
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Febbraio 2024
Defender per identità versione 2.230
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Nuova valutazione del comportamento di sicurezza per la configurazione dell'endpoint IIS DI ACTIVE Directory
Defender per identità ha aggiunto la nuova raccomandazione Edit insecure ADCS certificate enrollment IIS endpoints (ESC8) in Microsoft Secure Score.
Servizi certificati Active Directory (AD CS) supporta la registrazione dei certificati tramite vari metodi e protocolli, inclusa la registrazione tramite HTTP tramite il servizio registrazione certificati (CES) o l'interfaccia di registrazione Web (Certsrv). Le configurazioni non sicure degli endpoint IIS CES o Certsrv potrebbero creare vulnerabilità per l'inoltro degli attacchi (ESC8).
La nuova raccomandazione Edit insecure ADCS certificate enrollment IIS endpoints (ESC8) è stata aggiunta ad altre raccomandazioni correlate a Servizi certificati Active Directory rilasciate di recente. Insieme, queste valutazioni offrono report sul comportamento di sicurezza che presentano problemi di sicurezza e gravi errori di configurazione che registrano rischi per l'intera organizzazione, insieme ai rilevamenti correlati.
Per altre informazioni, vedi:
- Valutazione della sicurezza: Modificare gli endpoint IIS di registrazione certificati ADCS non sicuri (ESC8)
- Valutazioni del comportamento di sicurezza per i sensori di Servizi certificati Active Directory
- valutazioni del comportamento di sicurezza di Microsoft Defender per identità
Defender per identità versione 2.229
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Esperienza utente migliorata per la modifica delle soglie di avviso (anteprima)
La pagina Impostazioni avanzata di Defender per identità è ora rinominata Modifica soglie di avviso e offre un'esperienza aggiornata con una maggiore flessibilità per la regolazione delle soglie di avviso.
Le modifiche includono:
È stata rimossa l'opzione Rimuovi periodo di apprendimento precedente e è stata aggiunta una nuova opzione Modalità test consigliata. Selezionare Modalità di test consigliata per impostare tutti i livelli di soglia su Basso, aumentando il numero di avvisi e impostando tutti gli altri livelli di soglia in sola lettura.
La colonna livello di riservatezza precedente viene ora rinominata come Livello soglia, con i valori appena definiti. Per impostazione predefinita, tutti gli avvisi vengono impostati su una soglia elevata , che rappresenta il comportamento predefinito e una configurazione di avviso standard.
La tabella seguente elenca il mapping tra i valori del livello di riservatezza precedenti e i nuovi valori del livello soglia:
| Livello di riservatezza (nome precedente) | Livello soglia (nuovo nome) |
|---|---|
| Normal | Alto |
| Medium | Medium |
| Alto | Basso |
Se nella pagina Advanced Impostazioni sono stati definiti valori specifici, i valori sono stati trasferiti alla nuova pagina Regola soglie di avviso come indicato di seguito:
| Configurazione della pagina Impostazioni avanzate | Nuova configurazione della pagina Regola soglie di avviso |
|---|---|
| Rimuovi il periodo di apprendimento attivato | Modalità di test consigliata disattivata. Le impostazioni di configurazione della soglia di avviso rimangono invariate. |
| Rimuovere il periodo di apprendimento disattivato | Modalità di test consigliata disattivata. Le impostazioni di configurazione della soglia di avviso vengono tutte reimpostate sui valori predefiniti, con un livello di soglia elevato . |
Gli avvisi vengono sempre attivati immediatamente se è selezionata l'opzione Modalità test consigliata o se un livello di soglia è impostato su Medio o Basso, indipendentemente dal fatto che il periodo di apprendimento dell'avviso sia già stato completato.
Per altre informazioni, vedere Regolare le soglie di avviso.
Le pagine dei dettagli del dispositivo includono ora le descrizioni dei dispositivi (anteprima)
Microsoft Defender XDR include ora descrizioni dei dispositivi nei riquadri dei dettagli del dispositivo e nelle pagine dei dettagli del dispositivo. Le descrizioni vengono popolate dall'attributo Active Directory Description del dispositivo.
Ad esempio, nel riquadro laterale dei dettagli del dispositivo:
Per altre informazioni, vedere Passaggi di indagine per i dispositivi sospetti.
Defender per identità versione 2.228
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità e i nuovi avvisi seguenti:
- Ricognizione dell'enumerazione account (LDAP) (ID esterno 2437) (anteprima)
- Modifica della password in modalità ripristino servizi directory (ID esterno 2438) (anteprima)
Gennaio 2024
Defender per identità versione 2.227
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Scheda Sequenza temporale aggiunta per le entità di gruppo
È ora possibile visualizzare le attività e gli avvisi correlati alle entità del gruppo di Active Directory degli ultimi 180 giorni in Microsoft Defender XDR, ad esempio modifiche all'appartenenza ai gruppi, query LDAP e così via.
Per accedere alla pagina della sequenza temporale del gruppo, selezionare Apri sequenza temporale nel riquadro dei dettagli del gruppo.
Ad esempio:
Per altre informazioni, vedere Passaggi di indagine per i gruppi sospetti.
Configurare e convalidare l'ambiente Defender per identità tramite PowerShell
Defender per identità supporta ora il nuovo modulo di PowerShell DefenderForIdentity, progettato per configurare e convalidare l'ambiente per l'uso di Microsoft Defender per identità.
Uso dei comandi di PowerShell per evitare errori di configurazione e risparmiare tempo ed evitare il caricamento non necessario nel sistema.
Sono state aggiunte le procedure seguenti alla documentazione di Defender per identità per facilitare l'uso dei nuovi comandi di PowerShell:
- Modificare la configurazione del proxy con PowerShell
- Configurare, ottenere e testare i criteri di controllo con PowerShell
- Generare un report con configurazioni correnti tramite PowerShell
- Testare le autorizzazioni e le deleghe DSA tramite PowerShell
- Testare la connettività del servizio con PowerShell
Per altre informazioni, vedi:
- Modulo PowerShell DefenderForIdentity (PowerShell Gallery)
- Documentazione di riferimento di PowerShell per DefenderForIdentity
Defender per identità versione 2.226
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.225
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Dicembre 2023
Nota
Se viene visualizzato un numero ridotto di avvisi di tentativi di esecuzione del codice remoto, vedere gli annunci di settembre aggiornati, che includono un aggiornamento alla logica di rilevamento di Defender per identità. Defender per identità continua a registrare le attività di esecuzione del codice remoto come prima.
Area e dashboard delle nuove identità in Microsoft 365 Defender (anteprima)
I clienti di Defender per identità hanno ora una nuova area Identità in Microsoft 365 Defender per informazioni sulla sicurezza delle identità con Defender per identità.
In Microsoft 365 Defender selezionare Identità per visualizzare una delle nuove pagine seguenti:
Dashboard: questa pagina mostra grafici e widget che consentono di monitorare le attività di rilevamento e risposta delle minacce per le identità. Ad esempio:
Per altre informazioni, vedere Usare il dashboard ITDR di Defender per identità.
Problemi di integrità: questa pagina viene spostata dall'area identità Impostazioni > ed elenca eventuali problemi di integrità correnti per la distribuzione generale di Defender per identità e sensori specifici. Per altre informazioni, vedere Microsoft Defender per identità problemi di integrità del sensore.
Strumenti: questa pagina contiene collegamenti a informazioni e risorse utili quando si usa Defender per identità. In questa pagina sono disponibili collegamenti alla documentazione, in particolare nello strumento di pianificazione della capacità e nello script Test-MdiReadiness.ps1.
Defender per identità versione 2.224
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Valutazioni del comportamento di sicurezza per i sensori di Servizi certificati Active Directory (anteprima)
Le valutazioni del comportamento di sicurezza di Defender per identità rilevano e consigliano in modo proattivo le azioni nelle configurazioni Active Directory locale.
Le azioni consigliate includono ora le nuove valutazioni del comportamento di sicurezza seguenti, in particolare per i modelli di certificato e le autorità di certificazione.
Azioni consigliate per i modelli di certificato:
- Impedire agli utenti di richiedere un certificato valido per gli utenti arbitrari in base al modello di certificato (ESC1)
- Modificare un modello di certificato eccessivamente permissivo con EKU con privilegi (Qualsiasi scopo EKU o No EKU) (ESC2)
- Modello di certificato dell'agente di registrazione non configurato correttamente (ESC3)
- Modificare modelli di certificato non configurati correttamente ACL (ESC4)
- Modificare il proprietario dei modelli di certificato non configurati correttamente (ESC4)
Azioni consigliate per l'autorità di certificazione:
Le nuove valutazioni sono disponibili in Microsoft Secure Score, visualizzando problemi di sicurezza e gravi errori di configurazione che comportano rischi per l'intera organizzazione, insieme ai rilevamenti. Il punteggio viene aggiornato di conseguenza.
Ad esempio:
Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità.
Nota
Anche se le valutazioni dei modelli di certificato sono disponibili per tutti i clienti che hanno installato Servizi certificati Active Directory nel proprio ambiente, le valutazioni dell'autorità di certificazione sono disponibili solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Nuovo tipo di sensore per Servizi certificati Active Directory.For more information, see New sensor type for Active Directory Certificate Services (AD CS).
Defender per identità versione 2.223
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.222
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.221
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Novembre 2023
Defender per identità versione 2.220
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.219
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
La sequenza temporale delle identità include più di 30 giorni di dati (anteprima)
Defender per identità implementa gradualmente la conservazione dei dati estesa nei dettagli dell'identità a più di 30 giorni.
La scheda Sequenza temporale della pagina dei dettagli dell'identità, che include attività di Defender per identità, app Microsoft Defender per il cloud e Microsoft Defender per endpoint, attualmente include almeno 150 giorni e cresce. Potrebbero esserci variazioni nei tassi di conservazione dei dati nelle prossime settimane.
Per visualizzare attività e avvisi sulla sequenza temporale dell'identità entro un intervallo di tempo specifico, selezionare l'intervallo predefinito di 30 giorni e quindi selezionare Intervallo personalizzato. I dati filtrati da più di 30 giorni fa vengono visualizzati per un massimo di sette giorni alla volta.
Ad esempio:
Per altre informazioni, vedere Analizzare gli asset e analizzare gli utenti in Microsoft Defender XDR.
Defender per identità versione 2.218
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Ottobre 2023
Defender per identità versione 2.217
Questa versione include i miglioramenti seguenti:
Report di riepilogo: il report di riepilogo viene aggiornato per includere due nuove colonne nella scheda Problemi di integrità :
- Dettagli: informazioni aggiuntive sul problema, ad esempio un elenco di oggetti interessati o sensori specifici su cui si verifica il problema.
- Consigli: elenco di azioni consigliate che è possibile eseguire per risolvere il problema o come analizzare ulteriormente il problema.
Per altre informazioni, vedere Scaricare e pianificare i report di Defender per identità in Microsoft Defender XDR (anteprima).
Problemi di integrità: aggiunta l'interruttore "Rimuovi periodo di apprendimento" è stato disattivato automaticamente per questo problema di integrità del tenant
Questa versione include anche correzioni di bug per i servizi cloud e il sensore Defender per identità.
Defender per identità versione 2.216
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Settembre 2023
Numero ridotto di avvisi per i tentativi di esecuzione del codice remoto
Per allineare meglio Gli avvisi di Defender per identità e Microsoft Defender per endpoint, è stata aggiornata la logica di rilevamento dei tentativi di esecuzione del codice remoto di Defender per identità.
Anche se questa modifica comporta una diminuzione del numero di avvisi di esecuzione del codice remoto, Defender per identità continua a registrare le attività di esecuzione del codice remoto. I clienti possono continuare a creare query di ricerca avanzate e creare criteri di rilevamento personalizzati.
Impostazioni di riservatezza degli avvisi e miglioramenti del periodo di apprendimento
Alcuni avvisi di Defender per identità attendono un periodo di apprendimento prima dell'attivazione degli avvisi, durante la creazione di un profilo di modelli da usare quando si distingue tra attività legittime e sospette.
Defender per identità offre ora i miglioramenti seguenti per l'esperienza del periodo di apprendimento:
Amministrazione istrator può ora usare Rimuovere l'impostazione del periodo di apprendimento per configurare la riservatezza usata per avvisi specifici. Definire la sensibilità come Normale per configurare l'impostazione Rimuovi periodo di apprendimento come Disattivato per il tipo di avviso selezionato.
Dopo aver distribuito un nuovo sensore in una nuova area di lavoro di Defender per identità, l'impostazione Rimuovi periodo di apprendimento viene attivata automaticamente per 30 giorni. Al termine di 30 giorni, l'impostazione Rimuovi periodo di apprendimento viene disattivata automaticamente e i livelli di riservatezza degli avvisi vengono restituiti alla funzionalità predefinita.
Per fare in modo che Defender per identità usi la funzionalità del periodo di apprendimento standard, in cui gli avvisi non vengono generati fino al termine del periodo di apprendimento, configurare l'impostazione Rimuovi periodi di apprendimento su Disattivato.
Se l'impostazione Rimuovi periodo di apprendimento è stata aggiornata in precedenza, l'impostazione rimane invariata durante la configurazione.
Per altre informazioni, vedere Impostazioni avanzate.
Nota
La pagina Advanced Impostazioni elencava originariamente l'avviso di ricognizione dell'enumerazione account nelle opzioni Rimuovi periodo di apprendimento come configurabile per le impostazioni di riservatezza. Questo avviso è stato rimosso dall'elenco e viene sostituito dall'avviso di ricognizione dell'entità di sicurezza (LDAP). Questo bug dell'interfaccia utente è stato risolto a novembre 2023.
Defender per identità versione 2.215
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Report di Defender per identità spostati nell'area Report principale
È ora possibile accedere ai report di Defender per identità dall'area Report principali di Microsoft Defender XDR anziché dall'area Impostazioni. Ad esempio:
Per altre informazioni, vedere Scaricare e pianificare i report di Defender per identità in Microsoft Defender XDR (anteprima).
Pulsante Vai alla ricerca per i gruppi in Microsoft Defender XDR
Defender per identità ha aggiunto il pulsante Di ricerca Go per i gruppi in Microsoft Defender XDR. Gli utenti possono usare il pulsante Go hunt per eseguire una query per le attività e gli avvisi correlati al gruppo durante un'indagine.
Ad esempio:
Per altre informazioni, vedere Ricerca rapida di informazioni sull'entità o sugli eventi con go hunt.
Defender per identità versione 2.214
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Miglioramenti delle prestazioni
Defender per identità ha apportato miglioramenti interni per latenza, stabilità e prestazioni durante il trasferimento di eventi in tempo reale da Defender per identità a Microsoft Defender XDR. I clienti non devono aspettarsi ritardi nei dati di Defender per identità visualizzati in Microsoft Defender XDR, ad esempio avvisi o attività per la ricerca avanzata.
Per altre informazioni, vedi:
- Avvisi di sicurezza in Microsoft Defender per identità
- valutazioni del comportamento di sicurezza di Microsoft Defender per identità
- Cercare in modo proattivo le minacce con la ricerca avanzata in Microsoft Defender XDR
Agosto 2023
Defender per identità versione 2.213
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.212
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Defender per identità versione 2.211
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Nuovo tipo di sensore per Servizi certificati Active Directory
Defender per identità supporta ora il nuovo tipo di sensore ADCS per un server dedicato con Servizi certificati Active Directory configurati.
Viene visualizzato il nuovo tipo di sensore identificato nella pagina Impostazioni > Identityes > Sensors (Sensori identità) in Microsoft Defender XDR. Per altre informazioni, vedere Gestire e aggiornare i sensori Microsoft Defender per identità.
Insieme al nuovo tipo di sensore, Defender per identità fornisce anche avvisi di Servizi certificati Active Directory correlati e report di Secure Score. Per visualizzare i nuovi avvisi e i report di Secure Score, assicurarsi che gli eventi necessari vengano raccolti e connessi al server. Per altre informazioni, vedere Configurare il controllo per gli eventi di Active Directory Certificate Services (AD CS).
Servizi certificati Active Directory è un ruolo di Windows Server che rilascia e gestisce i certificati PKI (Public Key Infrastructure) nei protocolli di comunicazione e autenticazione sicuri. Per altre informazioni, vedere Che cos'è Servizi certificati Active Directory?
Defender per identità versione 2.210
Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per