Wat is er nieuw voor Microsoft Defender for Identity
Dit artikel wordt regelmatig bijgewerkt om u te laten weten wat er nieuw is in de nieuwste versies van Microsoft Defender for Identity.
Belangrijk
Klanten die de klassieke Defender for Identity-portal gebruiken, worden nu automatisch omgeleid naar Microsoft Defender XDR, zonder de optie om terug te keren naar de klassieke portal.
Zie onze blogpost en Microsoft Defender for Identity in Microsoft Defender XDR voor meer informatie.
Ontvang een melding over updates
Ontvang een melding wanneer deze pagina wordt bijgewerkt door de volgende URL naar uw feedlezer te kopiëren en te plakken: https://aka.ms/mdi/rss
Wat is nieuw bereik en verwijzingen
Defender for Identity-releases worden geleidelijk geïmplementeerd in tenants van klanten. Als er hier een functie is beschreven die u nog niet in uw tenant ziet, kunt u later teruggaan naar de update.
Zie ook voor meer informatie:
- Wat is er nieuw in Microsoft Defender XDR?
- Wat is er nieuw in Microsoft Defender voor Eindpunt
- Wat is er nieuw in Microsoft Defender for Cloud Apps
Zie het archief Wat is er nieuw voor Microsoft Defender for Identity voor updates over versies en functies die zes maanden geleden of eerder zijn uitgebracht.
April 2024
Eenvoudig CVE-2024-21427 Windows Kerberos-beveiligingsfunctie omzeilen beveiligingsprobleem
Om klanten te helpen bij het beter identificeren en detecteren van pogingen om beveiligingsprotocollen te omzeilen op basis van dit beveiligingsprobleem, hebben we een nieuwe activiteit toegevoegd in Advanced Hunting waarmee Kerberos AS-verificatie wordt bewaakt.
Met deze gegevens kunnen klanten nu eenvoudig hun eigen aangepaste detectieregels maken in Microsoft Defender XDR en automatisch waarschuwingen activeren voor dit type activiteit
Access Defender XDR-portal -> Opsporing -> Geavanceerde opsporing.
U kunt nu onze aanbevolen query kopiëren zoals hieronder wordt weergegeven en op Detectieregel maken klikken. Houd er rekening mee dat onze opgegeven query ook mislukte aanmeldingspogingen bijhoudt, waardoor mogelijk informatie wordt gegenereerd die niet is gerelateerd aan een mogelijke aanval. Daarom kunt u de query aanpassen aan uw specifieke vereisten.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity release 2.234
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.233
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Maart 2024
Nieuwe alleen-lezenmachtigingen voor het weergeven van Defender for Identity-instellingen
U kunt nu Defender for Identity-gebruikers configureren met alleen-lezenmachtigingen om instellingen voor Defender for Identity weer te geven.
Zie Vereiste machtigingen defender voor identiteit in Microsoft Defender XDR voor meer informatie.
Nieuwe Graph-API voor het weergeven en beheren van statusproblemen
U kunt nu problemen met de status van Microsoft Defender for Identity bekijken en beheren via de Graph API
Zie Statusproblemen beheren via Graph API voor meer informatie.
Defender for Identity release 2.232
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.231
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Februari 2024
Defender for Identity release 2.230
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Nieuwe evaluatie van beveiligingspostuur voor onveilige CONFIGURATIE van AD CS IIS-eindpunten
Defender for Identity heeft de nieuwe aanbeveling voor het bewerken van onveilige ADCS-certificaatinschrijving IIS-eindpunten (ESC8) toegevoegd in Microsoft Secure Score.
Active Directory Certificate Services (AD CS) ondersteunt certificaatinschrijving via verschillende methoden en protocollen, waaronder inschrijving via HTTP met behulp van de CERTIFICATE Enrollment Service (CES) of de webinschrijvingsinterface (Certsrv). Onveilige configuraties van de CES- of Certsrv IIS-eindpunten kunnen beveiligingsproblemen creëren voor relayaanvallen (ESC8).
De nieuwe aanbeveling Voor het bewerken van onveilige ADCS-certificaatinschrijving IIS-eindpunten (ESC8) wordt toegevoegd aan andere aanbevelingen met betrekking tot AD CS die onlangs zijn uitgebracht. Samen bieden deze evaluaties beveiligingspostuurrapporten die beveiligingsproblemen en ernstige onjuiste configuraties aan de orde stellen die risico's voor de hele organisatie plaatsen, samen met gerelateerde detecties.
Zie voor meer informatie:
- Beveiligingsevaluatie: Onveilige ADCS-certificaatinschrijving IIS-eindpunten (ESC8) bewerken
- Beveiligingspostuurbeoordelingen voor AD CS-sensoren
- Beveiligingspostuurevaluaties van Microsoft Defender for Identity
Defender for Identity release 2.229
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Verbeterde gebruikerservaring voor het aanpassen van waarschuwingsdrempels (preview)
De pagina Defender for Identity Advanced Instellingen is nu gewijzigd in Waarschuwingsdrempels aanpassen en biedt een vernieuwde ervaring met verbeterde flexibiliteit voor het aanpassen van waarschuwingsdrempels.
De wijzigingen omvatten:
We hebben de vorige optie Leerperiode verwijderen verwijderd en een nieuwe optie aanbevolen testmodus toegevoegd. Selecteer de aanbevolen testmodus om alle drempelwaarden in te stellen op Laag, het aantal waarschuwingen te verhogen en alle andere drempelwaarden in te stellen op alleen-lezen.
De vorige kolom vertrouwelijkheidsniveau wordt nu gewijzigd als drempelwaardeniveau, met nieuw gedefinieerde waarden. Standaard worden alle waarschuwingen ingesteld op een hoge drempelwaarde, die het standaardgedrag en een standaardwaarschuwingsconfiguratie vertegenwoordigt.
De volgende tabel bevat de toewijzing tussen de waarden voor het vorige gevoeligheidsniveau en de nieuwe drempelwaarden :
| Vertrouwelijkheidsniveau (vorige naam) | Drempelwaardeniveau (nieuwe naam) |
|---|---|
| Normaal | Hoog |
| Gemiddeld | Gemiddeld |
| Hoog | Laag |
Als u specifieke waarden hebt gedefinieerd op de pagina Geavanceerd Instellingen, hebben we deze als volgt overgebracht naar de nieuwe pagina Waarschuwingsdrempels aanpassen:
| Paginaconfiguratie geavanceerde instellingen | Nieuwe paginaconfiguratie waarschuwingsdrempels aanpassen |
|---|---|
| Leerperiode verwijderen ingeschakeld | Aanbevolen testmodus uitgeschakeld. De configuratie-instellingen voor de drempelwaarde voor waarschuwingen blijven hetzelfde. |
| Leerperiode verwijderen uitgeschakeld | Aanbevolen testmodus uitgeschakeld. Configuratie-instellingen voor waarschuwingsdrempels worden allemaal opnieuw ingesteld op de standaardwaarden, met een hoog drempelwaardeniveau. |
Waarschuwingen worden altijd onmiddellijk geactiveerd als de optie Aanbevolen testmodus is geselecteerd of als een drempelwaarde is ingesteld op Gemiddeld of Laag, ongeacht of de leerperiode van de waarschuwing al is voltooid.
Zie Waarschuwingsdrempels aanpassen voor meer informatie.
Pagina's met apparaatdetails bevatten nu apparaatbeschrijvingen (preview)
Microsoft Defender XDR bevat nu apparaatbeschrijvingen op deelvensters met apparaatdetails en pagina's met apparaatdetails. De beschrijvingen worden ingevuld vanuit het kenmerk Active Directory Description van het apparaat.
Bijvoorbeeld in het deelvenster details van het apparaat:
Zie Onderzoeksstappen voor verdachte apparaten voor meer informatie.
Defender for Identity release 2.228
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor en de volgende nieuwe waarschuwingen:
- Verkenning van accounts (LDAP) (externe id 2437) (preview)
- Wachtwoordwijziging in directory services-herstelmodus (externe id 2438) (preview)
Januari 2024
Defender for Identity release 2.227
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Tabblad Tijdlijn toegevoegd voor groepsentiteiten
U kunt nu activiteiten en waarschuwingen van de afgelopen 180 dagen in Microsoft Defender XDR bekijken, zoals wijzigingen in groepslidmaatschappen, LDAP-query's enzovoort.
Als u de pagina voor de groepstijdlijn wilt openen, selecteert u Tijdlijn openen in het deelvenster met groepsdetails.
Voorbeeld:
Zie Onderzoeksstappen voor verdachte groepen voor meer informatie.
Uw Defender for Identity-omgeving configureren en valideren via PowerShell
Defender for Identity ondersteunt nu de nieuwe DefenderForIdentity PowerShell-module, die is ontworpen om u te helpen bij het configureren en valideren van uw omgeving voor het werken met Microsoft Defender for Identity.
Gebruik de PowerShell-opdrachten om onjuiste configuraties te voorkomen en tijd te besparen en onnodige belasting van uw systeem te voorkomen.
We hebben de volgende procedures toegevoegd aan de Defender for Identity-documentatie om u te helpen bij het gebruik van de nieuwe PowerShell-opdrachten:
- Proxyconfiguratie wijzigen met behulp van PowerShell
- Controlebeleid configureren, ophalen en testen met behulp van PowerShell
- Een rapport genereren met huidige configuraties via PowerShell
- Uw DSA-machtigingen en -delegaties testen via PowerShell
- Serviceconnectiviteit testen met Behulp van PowerShell
Zie voor meer informatie:
- DefenderForIdentity PowerShell-module (PowerShell Gallery)
- Referentiedocumentatie voor DefenderForIdentity PowerShell
Defender for Identity release 2.226
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.225
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
December 2023
Notitie
Als u een verminderd aantal waarschuwingen voor het uitvoeren van externe code ziet, raadpleegt u de bijgewerkte aankondigingen van september, waaronder een update van de defender voor identiteitsdetectielogica. Defender for Identity blijft de externe activiteiten voor het uitvoeren van code vastleggen zoals voorheen.
Nieuw identiteitengebied en dashboard in Microsoft 365 Defender (preview)
Defender for Identity-klanten hebben nu een nieuw gebied identiteiten in Microsoft 365 Defender voor informatie over identiteitsbeveiliging met Defender for Identity.
Selecteer identiteiten in Microsoft 365 Defender om een van de volgende nieuwe pagina's weer te geven:
Dashboard: op deze pagina ziet u grafieken en widgets om u te helpen bij het bewaken van identiteitsrisicodetectie en -reactieactiviteiten. Voorbeeld:
Zie Het ITDR-dashboard van Defender for Identity gebruiken voor meer informatie.
Statusproblemen: deze pagina wordt verplaatst van het gebied Instellingen > Identiteiten en geeft een lijst van eventuele huidige statusproblemen voor uw algemene Defender for Identity-implementatie en specifieke sensoren. Zie Problemen met de status van microsoft Defender for Identity Sensor voor meer informatie.
Hulpprogramma's: Deze pagina bevat koppelingen naar nuttige informatie en bronnen bij het werken met Defender for Identity. Op deze pagina vindt u koppelingen naar documentatie, met name over het hulpprogramma voor capaciteitsplanning en het script Test-MdiReadiness.ps1.
Defender for Identity release 2.224
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Evaluaties van beveiligingspostuur voor AD CS-sensoren (preview)
Evaluaties van de beveiligingspostuur van Defender for Identity detecteren en aanbevelen proactief acties in uw on-premises Active Directory-configuraties.
Aanbevolen acties omvatten nu de volgende nieuwe evaluaties van de beveiligingspostuur, met name voor certificaatsjablonen en certificeringsinstanties.
Aanbevolen acties voor certificaatsjablonen:
- Voorkomen dat gebruikers een certificaat aanvragen dat geldig is voor willekeurige gebruikers op basis van de certificaatsjabloon (ESC1)
- Te veel toegestane certificaatsjabloon bewerken met bevoegde EKU (Elk doel-EKU of Geen EKU) (ESC2)
- Certificaatsjabloon voor onjuist geconfigureerde inschrijvingsagent (ESC3)
- Onjuist geconfigureerde certificaatsjablonen bewerken ACL (ESC4)
- De eigenaar van onjuist geconfigureerde certificaatsjablonen bewerken (ESC4)
Aanbevolen acties van certificeringsinstantie:
De nieuwe evaluaties zijn beschikbaar in Microsoft Secure Score, het opsporen van beveiligingsproblemen en ernstige onjuiste configuraties die risico's vormen voor de hele organisatie, naast detecties. Uw score wordt dienovereenkomstig bijgewerkt.
Voorbeeld:
Zie de beveiligingspostuurevaluaties van Microsoft Defender for Identity voor meer informatie.
Notitie
Hoewel certificaatsjabloonbeoordelingen beschikbaar zijn voor alle klanten die AD CS in hun omgeving hebben geïnstalleerd, zijn evaluaties van certificeringsinstanties alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.
Defender for Identity release 2.223
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.222
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.221
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
November 2023
Defender for Identity release 2.220
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.219
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
De tijdlijn voor identiteit bevat meer dan 30 dagen aan gegevens (preview)
Defender for Identity implementeert geleidelijk uitgebreide gegevensretenties voor identiteitsgegevens tot meer dan 30 dagen.
Het tabblad Tijdlijn met identiteitsgegevens, waaronder activiteiten van Defender for Identity, Microsoft Defender voor Cloud Apps en Microsoft Defender voor Eindpunt, omvat momenteel minimaal 150 dagen en groeit. De komende weken kan er sprake zijn van een aantal verschillen in gegevensretentiepercentages.
Als u activiteiten en waarschuwingen op de tijdlijn van de identiteit binnen een bepaald tijdsbestek wilt weergeven, selecteert u de standaardperiode van 30 dagen en selecteert u vervolgens Aangepast bereik. Gefilterde gegevens van meer dan 30 dagen geleden worden maximaal zeven dagen tegelijk weergegeven.
Voorbeeld:
Zie Assets onderzoeken en Gebruikers onderzoeken in Microsoft Defender XDR voor meer informatie.
Defender for Identity release 2.218
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Oktober 2023
Defender for Identity release 2.217
Deze versie bevat de volgende verbeteringen:
Overzichtsrapport: het overzichtsrapport wordt bijgewerkt met twee nieuwe kolommen op het tabblad Statusproblemen :
- Details: Aanvullende informatie over het probleem, zoals een lijst met betrokken objecten of specifieke sensoren waarop het probleem zich voordoet.
- Aanbevelingen: Een lijst met aanbevolen acties die kunnen worden uitgevoerd om het probleem op te lossen of hoe u het probleem verder kunt onderzoeken.
Zie Defender for Identity-rapporten downloaden en plannen in Microsoft Defender XDR (preview) voor meer informatie.
Statusproblemen: De wisselknop 'Leerperiode verwijderen' is automatisch uitgeschakeld voor dit probleem met de tenantstatus
Deze versie bevat ook bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.216
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
September 2023
Verminderd aantal waarschuwingen voor uitvoeringspogingen van externe code
Om Defender for Identity en Microsoft Defender voor Eindpunt-waarschuwingen beter uit te lijnen, hebben we de detectielogica voor de detecties van uitvoeringspogingen voor externe code van Defender for Identity bijgewerkt.
Hoewel deze wijziging resulteert in een verminderd aantal waarschuwingen voor uitvoering van externe code, blijft Defender for Identity de externe activiteiten voor het uitvoeren van code vastleggen. Klanten kunnen hun eigen geavanceerde opsporingsquery's blijven bouwen en aangepast detectiebeleid maken.
Gevoeligheidsinstellingen voor waarschuwingen en verbeteringen van leerperioden
Sommige Defender for Identity-waarschuwingen wachten op een leerperiode voordat waarschuwingen worden geactiveerd, terwijl er een profiel wordt gemaakt van patronen die moeten worden gebruikt bij het onderscheiden van legitieme en verdachte activiteiten.
Defender for Identity biedt nu de volgende verbeteringen voor de leerperiode:
Beheer istrators kunnen nu de Leerperiode-instelling verwijderen om de gevoeligheid te configureren die wordt gebruikt voor specifieke waarschuwingen. Definieer de gevoeligheid als Normaal om de instelling Leerperiode verwijderen als Uit te configureren voor het geselecteerde type waarschuwing.
Nadat u een nieuwe sensor in een nieuwe Defender for Identity-werkruimte hebt geïmplementeerd, wordt de instelling Leerperiode verwijderen automatisch gedurende 30 dagen ingeschakeld. Wanneer 30 dagen zijn voltooid, wordt de instelling Leerperiode verwijderen automatisch uitgeschakeld en worden de gevoeligheidsniveaus voor waarschuwingen teruggezet naar hun standaardfunctionaliteit.
Als u Defender for Identity de standaardfunctionaliteit voor leerperioden wilt laten gebruiken, waarbij waarschuwingen pas worden gegenereerd als de leerperiode is voltooid, configureert u de instelling Leerperioden verwijderen op Uit.
Als u de instelling Leerperiode verwijderen eerder hebt bijgewerkt, blijft uw instelling behouden zoals u deze hebt geconfigureerd.
Zie Geavanceerde instellingen voor meer informatie.
Notitie
Op de pagina Geavanceerd Instellingen is de waarschuwing voor verkenning van accountverkenning oorspronkelijk vermeld onder de opties leerperiode verwijderen als configureerbaar voor gevoeligheidsinstellingen. Deze waarschuwing is verwijderd uit de lijst en wordt vervangen door de LDAP-waarschuwing (Security Principal Reconnaissance). Deze fout in de gebruikersinterface is opgelost in november 2023.
Defender for Identity release 2.215
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity-rapporten zijn verplaatst naar het hoofdgebied Rapporten
U hebt nu toegang tot Defender for Identity-rapporten vanuit het hoofdgebied Rapporten van Microsoft Defender XDR in plaats van het gebied Instellingen. Voorbeeld:
Zie Defender for Identity-rapporten downloaden en plannen in Microsoft Defender XDR (preview) voor meer informatie.
Knop Zoeken naar groepen in Microsoft Defender XDR
Defender for Identity heeft de go-jachtknop toegevoegd voor groepen in Microsoft Defender XDR. Gebruikers kunnen de knop Go hunt gebruiken om tijdens een onderzoek een query uit te voeren op groepsgerelateerde activiteiten en waarschuwingen.
Voorbeeld:
Zie Snel zoeken naar entiteits- of gebeurtenisgegevens met go hunt voor meer informatie.
Defender for Identity release 2.214
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Prestatieverbeteringen
Defender for Identity heeft interne verbeteringen aangebracht voor latentie, stabiliteit en prestaties bij het overdragen van realtimegebeurtenissen van Defender for Identity-services naar Microsoft Defender XDR. Klanten mogen geen vertragingen verwachten in Defender for Identity-gegevens die worden weergegeven in Microsoft Defender XDR, zoals waarschuwingen of activiteiten voor geavanceerde opsporing.
Zie voor meer informatie:
- Beveiligingswaarschuwingen in Microsoft Defender for Identity
- Beveiligingspostuurevaluaties van Microsoft Defender for Identity
- Proactief bedreigingen opsporen met geavanceerde opsporing in Microsoft Defender XDR
Augustus 2023
Defender for Identity release 2.213
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.212
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Defender for Identity release 2.211
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Nieuw sensortype voor Active Directory Certificate Services (AD CS)
Defender for Identity ondersteunt nu het nieuwe ADCS-sensortype voor een toegewezen server waarop Active Directory Certificate Services (AD CS) is geconfigureerd.
U ziet het nieuwe sensortype dat is geïdentificeerd op de pagina Instellingen > Identities > Sensors in Microsoft Defender XDR. Zie Microsoft Defender for Identity-sensoren beheren en bijwerken voor meer informatie.
Samen met het nieuwe sensortype biedt Defender for Identity nu ook gerelateerde AD CS-waarschuwingen en beveiligingsscorerapporten. Als u de nieuwe waarschuwingen en beveiligingsscorerapporten wilt bekijken, moet u ervoor zorgen dat de vereiste gebeurtenissen worden verzameld en aangemeld op uw server. Zie Controle configureren voor AD CS-gebeurtenissen (Active Directory Certificate Services) voor meer informatie.
AD CS is een Windows Server-functie die PKI-certificaten (Public Key Infrastructure) in veilige communicatie- en verificatieprotocollen uitgeeft en beheert. Zie Wat is Active Directory Certificate Services?
Defender for Identity release 2.210
Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor