Udostępnij przez

Co nowego w usłudze Microsoft Defender for Identity

Ten artykuł jest często aktualizowany, aby poinformować Cię o nowościach w najnowszych wersjach Microsoft Defender for Identity.

Co nowego w zakresie i odwołaniach

Wersje usługi Defender for Identity są wdrażane stopniowo w dzierżawach klientów. Jeśli jest tu udokumentowana funkcja, której jeszcze nie widzisz w dzierżawie, sprawdź później aktualizację.

Aby uzyskać więcej informacji, zobacz również:

Aby uzyskać aktualizacje dotyczące wersji i funkcji wydanych sześć miesięcy temu lub wcześniej, zobacz Co nowego archiwum dla Microsoft Defender for Identity.

Styczeń 2026 r.

Nowa ocena stanu zabezpieczeń: identyfikowanie kont usług w grupach uprzywilejowanych

Ta ocena stanu zabezpieczeń tożsamości zawiera listę kont usługi Active Directory z bezpośrednim lub zagnieżdżonym członkostwem w grupach uprzywilejowanych.

Ta ocena służy do identyfikowania kont usług z podwyższonym poziomem uprawnień i podejmowania działań, gdy dostęp uprzywilejowany nie jest wymagany.

Aby uzyskać więcej informacji, zobacz: Ocena stanu zabezpieczeń: Identyfikowanie kont usług w grupach uprzywilejowanych

Nowa ocena stanu zabezpieczeń: lokalizowanie kont w wbudowanych grupach operatorów

Ta ocena stanu zabezpieczeń tożsamości zawiera listę kont usługi Active Directory, które są członkami wbudowanych grup operatorów, w tym członkostwa bezpośredniego i pośredniego.

Ta ocena służy do przeglądania starszego lub niepotrzebnego dostępu operatora i podejmowania działań, gdy podwyższony poziom dostępu nie jest wymagany.

Aby uzyskać więcej informacji, zobacz: Ocena stanu zabezpieczeń: Lokalizowanie kont w wbudowanych grupach operatorów

Grudzień 2025 r.

Nowe właściwości typu zasobu "sensorCandidate" w interfejsie Graph-API (wersja zapoznawcza)

Właściwość Wpisać Opis
Nazwa_domeny Ciąg Nazwa domeny czujnika.
senseClientVersion Ciąg Wersja klienta czujnika usługi Defender for Identity.

Ta funkcja jest obecnie dostępna w wersji zapoznawczej i jest dostępna w wersji beta interfejsu API. Dowiedz się więcej tutaj

Wyszukiwanie ADWS LDAP w obszarze Zaawansowane wyszukiwanie zagrożeń

Nowe działanie wyszukiwania LDAP usług ADWS jest teraz dostępne w tabeli "IdentityQueryEvents" w obszarze Zaawansowane wyszukiwanie zagrożeń. Może to zapewnić wgląd w zapytania katalogowe wykonywane za pośrednictwem usług ADWS, pomagając klientom śledzić te operacje i tworzyć wykrywanie niestandardowe na podstawie tych danych.

Numer wersji Aktualizacje
2.252 Zawiera poprawki błędów i ulepszenia stabilności czujnika Microsoft Defender for Identity.
2.253 Zawiera poprawki błędów i ulepszenia stabilności czujnika Microsoft Defender for Identity.

Listopad 2025 r.

Numer wersji Aktualizacje
2.251 Ulepszone metody zapytań LDAP usług ADWS i starsze metody zapytań LDAP oparte na hasłach przechwytują teraz szerszy zakres unikatowych zdarzeń na dużą skalę. W rezultacie można zauważyć wzrost zarejestrowanej aktywności.

Konfiguracja automatycznego inspekcji zdarzeń systemu Windows dla czujników usługi Defender for Identity w wersji 3.x (wersja zapoznawcza)

Usługa Defender for Identity powoli wdraża automatyczne inspekcje zdarzeń systemu Windows dla czujników w wersji 3.x, usprawniając wdrażanie, stosując wymagane ustawienia inspekcji do nowych czujników i naprawiając błędy konfiguracji istniejących. W miarę dostępności będzie można włączyć automatyczną inspekcję zdarzeń systemu Windows w sekcji Ustawienia zaawansowane w portalu usługi Defender lub przy użyciu interfejs Graph API.

Ulepszenia spisu tożsamości: karta Konta, ręczne łączenie i odłączanie kont oraz rozszerzone akcje korygowania

Następujące nowe funkcje są teraz dostępne w Microsoft Defender for Identity:

Karta Konta w spisie tożsamości:

Nowa karta Konta zapewnia skonsolidowany widok wszystkich kont skojarzonych z tożsamością, w tym kont z usługi Active Directory, Tożsamość Microsoft Entra i obsługiwanych dostawców tożsamości innych firm. Aby uzyskać więcej informacji, zobacz: Łączenie lub odłączanie konta od tożsamości (wersja zapoznawcza)

Ręczne łączenie i odłączanie kont:

Teraz możesz ręcznie połączyć lub odłączyć konta od tożsamości bezpośrednio na karcie Konta. Ta funkcja ułatwia korelowanie składników tożsamości z różnych źródeł katalogów i zapewnia pełny kontekst tożsamości podczas badania. Aby uzyskać więcej informacji, zobacz: Łączenie lub odłączanie konta od tożsamości (wersja zapoznawcza).

Akcje korygowania na poziomie tożsamości:

Teraz można wykonywać akcje korygowania, takie jak wyłączanie kont lub resetowanie haseł na co najmniej jednym kontu połączonym z tożsamością. Aby uzyskać więcej informacji, zobacz: Akcje korygowania.

Nowa ocena stanu zabezpieczeń: zmiana hasła dla konta lokalnego z potencjalnie ujawnionymi poświadczeniami (wersja zapoznawcza)

Nowa ocena stanu zabezpieczeń zawiera listę użytkowników, których prawidłowe poświadczenia zostały ujawnione. Aby uzyskać więcej informacji, zobacz: Zmienianie hasła dla konta lokalnego z potencjalnie ujawnionymi poświadczeniami (wersja zapoznawcza)

aktualizacje wersji czujnika Microsoft Defender for Identity

Numer wersji Aktualizacje
2.250 Ulepszona metoda zapytania dziennika zdarzeń przechwytuje szerszy zakres unikatowych zdarzeń na dużą skalę. W rezultacie można zauważyć wzrost liczby przechwyconych działań. Ta aktualizacja obejmuje również ulepszenia zabezpieczeń i wydajności.

Rozszerzanie zakresu tożsamości: obsługa jednostek organizacyjnych (wersja zapoznawcza)

Oprócz ogólnodostępnej wersji określania zakresu według domen usługi Active Directory kilka miesięcy temu można teraz określić zakres według jednostek organizacyjnych (JEDNOSTEK ORGANIZACYJNYCH) w ramach Role-Based Access Control użytkownika XDR (URBAC). To rozszerzenie zapewnia jeszcze bardziej szczegółową kontrolę nad tym, które jednostki i zasoby są uwzględniane w analizie zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu o zakresie dla Microsoft Defender for Identity.

Październik 2025 r.

Z przyjemnością ogłaszamy, że czujnik Microsoft Defender for Identity v3.x jest teraz ogólnie dostępny (GA). Czujnik Microsoft Defender for Identity w wersji 3.x zapewnia lepsze pokrycie, lepszą wydajność w całym środowisku i oferuje łatwiejsze wdrażanie kontrolerów domeny i zarządzanie nimi.

aktualizacje wersji czujnika Microsoft Defender for Identity

Numer wersji Aktualizacje
2.249 Ulepszona metoda zapytania dziennika zdarzeń przechwytuje teraz szerszy zakres unikatowych zdarzeń na dużą skalę. W rezultacie można zauważyć wzrost liczby przechwyconych działań. Ta aktualizacja zapewnia również dodatkowe ulepszenia zabezpieczeń i wydajność.

Wrzesień 2025 r.

Alerty mdi przeniesione do ujednoliconego środowiska alertów usługi Defender

W ramach trwającego przejścia do ujednoliconego środowiska alertów w Microsoft Defender produktach następujące alerty zostały przekonwertowane z formatu klasycznego Microsoft Defender for Identity na format alertu MDI XDR. Należy pamiętać, że wszystkie alerty są oparte na wykrywaniu z czujników usługi Defender for Identity.

Tytuł alertu klasycznego Tożsamość zewnętrzna Nazwa alertu XDR Identyfikator detektora
Rekonesans atrybutów usługi Active Directory przy użyciu protokołu LDAP 2210 Rekonesans atrybutów usługi Active Directory przy użyciu protokołu LDAP xdr_LdapSensitiveAttributeRecon
Rekonesans adresów IP i użytkowników 2012 Rekonesans adresów IP i użytkownika (SMB) xdr_SmbSessionEnumeration
Rekonesans wyliczania konta 2003 Rekonesans wyliczania kont w usługach AD FS xdr_AccountEnumerationHintSecurityAlertAdfs
Rekonesans wyliczania konta w protokole Kerberos xdr_AccountEnumerationHintSecurityAlertKerberos
Rekonesans wyliczania konta w NTLM xdr_AccountEnumerationHintSecurityAlertNtlm
Podejrzenie ataku siłowego (LDAP) 2004 Podejrzenie ataku siłowego (LDAP) xdr_LdapBindBruteForce
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików 2416 Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików xdr_SuspiciousConnectionOverEFSRPC

Dodatkowa wartość zabezpieczeń w czujniku usługi Defender for Identity w wersji 3.x

Zastosuj tag inspekcji RPC ujednoliconego czujnika do czujnika usługi Defender for Identity w wersji 3.x na stronie zarządzania regułami zasobów , aby uzyskać lepszą ochronę. Dowiedz się więcej tutaj.

Widok zaleceń dotyczących stanu tożsamości na stronie tożsamości (wersja zapoznawcza)

Dodaliśmy nową kartę na stronie Profilu tożsamości, która zawiera wszystkie aktywne oceny stanu zabezpieczeń tożsamości związane z tożsamością (ISPM). Ta funkcja konsoliduje wszystkie oceny stanu zabezpieczeń specyficzne dla tożsamości w jednym widoku kontekstowym, pomagając zespołom zabezpieczeń szybko wykryć słabe strony i podjąć ukierunkowane działania. Aby uzyskać więcej informacji, zobacz Badanie użytkowników w Microsoft Defender XDR.

Nowa dostępność regionalna: Zjednoczone Emiraty Arabskie

Centra danych Usługi Defender for Identity są teraz również wdrażane w regionach Zjednoczonych Emiratów Arabskich, Północnej i Środkowej. Aby uzyskać najnowszą listę wdrożeń regionalnych, zobacz Lokalizacje danych usługi Defender for Identity.

Obsługa nowego interfejsu API dla czujnika usługi Defender for Identity w wersji 3.x (wersja zapoznawcza)

Z przyjemnością ogłaszamy dostępność nowego interfejsu API opartego na programie Graph do zarządzania akcjami serwera czujnika usługi Defender for Identity w wersji 3.x. Ta funkcja jest obecnie dostępna w wersji zapoznawczej i jest dostępna w wersji beta interfejsu API.

Ten interfejs API umożliwia klientom:

  • Monitorowanie stanu serwerów wdrożonych za pomocą czujnika usługi Defender for Identity w wersji 3.x.
  • Włącz lub wyłącz automatyczną aktywację kwalifikujących się serwerów.
  • Aktywuj lub dezaktywuj czujnik na uprawnionym serwerze.

Aby uzyskać więcej informacji, zobacz Zarządzanie akcjami czujnika usługi Defender for Identity w wersji 3.x przy użyciu interfejs Graph API.

aktualizacje wersji czujnika Microsoft Defender for Identity

Numer wersji Aktualizacje
2.249 Zawiera poprawki błędów i ulepszenia stabilności czujnika Microsoft Defender for Identity.

Aktualizacje do wielu wykrywania w celu zmniejszenia szumu i zwiększenia dokładności alertów

Kilka wykrywania tożsamości w usłudze Defender jest aktualizowanych w celu zmniejszenia szumu i zwiększenia dokładności, dzięki czemu alerty są bardziej niezawodne i możliwe do działania. W miarę kontynuowania wdrażania może wystąpić spadek liczby zgłoszonych alertów.

Ulepszenia będą stopniowo obowiązywać w następujących wykrywaniach:

  • Podejrzana komunikacja za pośrednictwem systemu DNS
  • Podejrzenie próby podniesienia uprawnień netlogonu (CVE-2020-1472)
  • Działanie uwierzytelniania w trybie honeytoken
  • Zdalna próba wykonania kodu za pośrednictwem systemu DNS
  • Podejrzane resetowanie hasła przez konto programu Microsoft Entra Connect
  • Eksfiltracja danych za pośrednictwem protokołu SMB
  • Podejrzenie ataku na klucz szkieletu (obniżenie poziomu szyfrowania)
  • Podejrzana modyfikacja ograniczonego delegowania opartego na zasobach przez konto maszyny
  • Zdalna próba wykonania kodu

Łączniki ujednolicone są teraz dostępne dla łączników Sign-On okta (wersja zapoznawcza)

Microsoft Defender for Identity obsługuje środowisko ujednolicone łączniki, począwszy od łącznika okta single Sign-On connector. Dzięki temu usługa Defender for Identity może zbierać dzienniki systemu Okta raz i udostępniać je w obsługiwanych produktach zabezpieczeń firmy Microsoft, zmniejszając użycie interfejsu API i zwiększając wydajność łączników.

Aby uzyskać więcej informacji, zobacz: Łączenie aplikacji Okta z Microsoft Defender for Identity (wersja zapoznawcza)

Sierpień 2025 r.

Tożsamość Microsoft Entra poziom ryzyka jest teraz dostępny niemal w czasie rzeczywistym w Microsoft Defender for Identity (wersja zapoznawcza)

Tożsamość Microsoft Entra poziom ryzyka jest teraz dostępny na stronie Zasoby spisu tożsamości, na stronie szczegółów tożsamości oraz w tabeli IdentityInfo w obszarze Zaawansowane wyszukiwanie zagrożeń i zawiera ocenę ryzyka Tożsamość Microsoft Entra. Analitycy SOC mogą używać tych danych do korelowania ryzykownych użytkowników z poufnymi lub wysoce uprzywilejowanymi użytkownikami, tworzenia wykrywania niestandardowego na podstawie bieżącego lub historycznego ryzyka użytkownika i ulepszania kontekstu badania.

Wcześniej dzierżawcy usługi Defender for Identity otrzymywali Tożsamość Microsoft Entra poziom ryzyka w tabeli IdentityInfo za pośrednictwem analizy zachowania użytkowników i jednostek (UEBA). Dzięki tej aktualizacji poziom ryzyka Tożsamość Microsoft Entra jest teraz aktualizowany niemal w czasie rzeczywistym za pośrednictwem Microsoft Defender for Identity.

W przypadku dzierżaw UEBA bez licencji Microsoft Defender for Identity synchronizacja Tożsamość Microsoft Entra poziomu ryzyka z tabelą IdentityInfo pozostaje niezmieniona.

Nowa ocena zabezpieczeń: usuwanie nieaktywnych kont usług

Microsoft Defender for Identity teraz zawiera nową ocenę zabezpieczeń, która ułatwia identyfikowanie i usuwanie nieaktywnych kont usług w organizacji. Ta ocena zawiera listę kont usługi Active Directory, które były nieaktywne w ciągu ostatnich 90 dni, aby pomóc w zminimalizowaniu zagrożeń bezpieczeństwa związanych z nieużywanymi kontami.

Aby uzyskać więcej informacji, zobacz: Ocena zabezpieczeń: Usuwanie nieaktywnych kont usług (wersja zapoznawcza).

Nowy interfejs API oparty na programie Graph dla akcji odpowiedzi (wersja zapoznawcza)

Z przyjemnością ogłaszamy nowy interfejs API oparty na programie Graph do inicjowania akcji korygowania i zarządzania nimi w Microsoft Defender for Identity.

Ta funkcja jest obecnie dostępna w wersji zapoznawczej i jest dostępna w wersji beta interfejsu API.

Aby uzyskać więcej informacji, zobacz Zarządzanie akcjami odpowiedzi za pośrednictwem interfejs Graph API.

Określanie zakresu tożsamości jest teraz ogólnie dostępne (GA)

Określanie zakresu tożsamości jest teraz ogólnie dostępne we wszystkich środowiskach. Organizacje mogą teraz definiować i uściślać zakres monitorowania mdi oraz uzyskać szczegółową kontrolę nad tym, które jednostki i zasoby są uwzględniane w analizie zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu o zakresie dla Microsoft Defender for Identity.

Nowa ocena stanu zabezpieczeń: usuwanie możliwych do wykrycia haseł w atrybutach konta usługi Active Directory (wersja zapoznawcza)

Nowa ocena stanu zabezpieczeń wyróżnia niezabezpieczone atrybuty usługi Active Directory zawierające hasła lub wskazówki dotyczące poświadczeń i zaleca kroki ich usunięcia, co pomaga zmniejszyć ryzyko naruszenia tożsamości.

Aby uzyskać więcej informacji, zobacz: Ocena zabezpieczeń: Usuwanie możliwych do wykrycia haseł w atrybutach konta usługi Active Directory (wersja zapoznawcza)

aktualizacje wersji czujnika Microsoft Defender for Identity

Numer wersji Aktualizacje
2.247 Zawiera poprawki błędów i ulepszenia stabilności czujnika Microsoft Defender for Identity.
2.246 Zawiera poprawki błędów i ulepszenia stabilności czujnika Microsoft Defender for Identity.

Aktualizacja wykrywania: Podejrzenie ataku siłowego (Kerberos, NTLM)

Ulepszona logika wykrywania obejmująca scenariusze, w których konta były zablokowane podczas ataków. W związku z tym liczba wyzwolonych alertów może wzrosnąć.

Lipiec 2025 r.

Rozszerzone pokrycie w widżecie kondycji wdrożenia ITDR

Widżet kondycji wdrożenia wykrywania i reagowania na zagrożenia tożsamości (ITDR) zapewnia teraz wgląd w stan wdrożenia dodatkowych typów serwerów. Wcześniej odzwierciedlał tylko stan kontrolerów domeny usługi Active Directory. Dzięki tej aktualizacji widżet obejmuje również stan wdrożenia serwerów usług ADFS, ADCS i Microsoft Entra Connect , co ułatwia śledzenie i zapewnia pełne pokrycie czujnikami we wszystkich obsługiwanych infrastrukturach tożsamości.

Zalecana konfiguracja trybu testowego na stronie Dostosowywanie progów alertów wymaga teraz ustawienia czasu wygaśnięcia (do 60 dni) podczas jego włączania. Godzina zakończenia jest wyświetlana obok przełącznika, gdy tryb testu jest aktywny. W przypadku klientów, którzy mają już włączony zalecany tryb testowy, 60-dniowe wygaśnięcie jest stosowane automatycznie.

Określanie zakresu tożsamości jest teraz dostępne w środowiskach ładu

Określanie zakresu jest teraz obsługiwane w środowiskach rządowych (GOV). Organizacje mogą teraz definiować i uściślać zakres monitorowania mdi oraz uzyskać szczegółową kontrolę nad tym, które jednostki i zasoby są uwzględniane w analizie zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu o zakresie dla Microsoft Defender for Identity.

Nowe oceny stanu zabezpieczeń dla niemonitorowanych serwerów tożsamości

Microsoft Defender for Identity trzy nowe oceny stanu zabezpieczeń wykrywają, kiedy serwery Microsoft Entra Connect, Active Directory Federation Services (ADFS) lub Active Directory Certificate Services (ADCS) są obecne w środowisku, ale nie są monitorowane.

Skorzystaj z tych ocen, aby zwiększyć pokrycie monitorowania i wzmocnić stan zabezpieczeń tożsamości hybrydowej.

Więcej informacji można znaleźć w następujących artykułach:

Ocena zabezpieczeń: niemonitorowane serwery usług ADCS

Ocena zabezpieczeń: niemonitorowane serwery usług AD FS

Ocena zabezpieczeń: niemonitorowane serwery Microsoft Entra Connect

Czerwiec 2025 r.

Dostęp o określonym zakresie przez domenę usługi Active Directory jest teraz obsługiwany (wersja zapoznawcza)

Określanie zakresu mdi jest teraz dostępne w ramach Role-Based Access Control użytkownika XDR (URBAC). Organizacje mogą teraz definiować i uściślać zakres monitorowania mdi, zapewniając szczegółową kontrolę nad tym, które jednostki i zasoby są uwzględniane w analizie zabezpieczeń.

Określanie zakresu według domen usługi Active Directory pomaga:

  • Optymalizowanie wydajności: skoncentruj się na monitorowaniu krytycznych zasobów i zmniejsz szum z danych innych niż istotne.

  • Zwiększanie kontroli widoczności: dostosuj zakres mdi do określonych domen i grup użytkowników.

  • Granice operacyjne pomocy technicznej: dopasuj dostęp dla analityków SOC, administratorów tożsamości i zespołów regionalnych.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu o zakresie dla Microsoft Defender for Identity.

Integracja z usługą Okta jest teraz dostępna w Microsoft Defender for Identity

Microsoft Defender for Identity obsługuje teraz integrację z usługą Okta, umożliwiając wykrywanie zagrożeń opartych na tożsamościach w chmurze i środowiskach lokalnych. Ta integracja pomaga zidentyfikować podejrzane logowania, ryzykowne przypisania ról i potencjalne nieprawidłowe użycie uprawnień w środowisku Okta.

Aby zapoznać się z wymaganiami wstępnymi i krokami konfiguracji, zobacz Integrowanie rozwiązania Okta z Microsoft Defender for Identity.

Reguły klasyfikacji konta usługi są teraz dostępne

Teraz można utworzyć niestandardowe reguły klasyfikacji w celu identyfikowania kont usług na podstawie określonych kryteriów organizacji. Uzupełnia to automatyczne odnajdywanie, umożliwiając dokładniejszą identyfikację kont usług. Aby uzyskać więcej informacji, zobacz Odnajdywanie konta usługi.

Aktualizacje modułu programu PowerShell usługi Defender for Identity (wersja 1.0.0.4)

Nowe funkcje i ulepszenia:

  • Dodano funkcję domeny zdalnej.
  • Dodano parametr SensorType do Test-MDISensorApiConnection w celu informowania o adresie URL punktu końcowego.
  • Dodano możliwość pobierania/ustawiania/testowania uprawnień kontenera Obiektów usuniętych.
  • Dodano inspekcję delegowanych zarządzanych kont usług (dMSA) w konfiguracji DomainObjectAuditing.

Poprawki:

  • Naprawiono kontrole weryfikacji inspekcji dla systemów operacyjnych innych niż angielski.
  • Naprawiono usterkę parametru DomainObjectAuditing identity redundant.
  • Naprawiono logikę wykrywania kontrolera domeny w celu potwierdzenia, że usługi sieci Web usługi AD są uruchomione na serwerze.
  • Rozwiązano problem polegający na tym, że test MDIDSA nie analizował uprawnień usuniętego obiektu.
  • Inne poprawki niezawodności.

Maj 2025 r.

Ulepszony wgląd w uprawnienia nowego czujnika usługi Defender for Identity na stronie aktywacji

Na stronie aktywacji są teraz wyświetlane wszystkie serwery ze spisu urządzeń, w tym te, które nie kwalifikują się obecnie do nowego czujnika usługi Defender for Identity. To ulepszenie zwiększa przejrzystość uprawnień do czujników, pomagając zidentyfikować niekwalifikowalne serwery i podjąć działania w celu zaktualizowania i dołączenia ich w celu zwiększenia ochrony tożsamości.

Funkcja zbierania lokalnych administratorów (przy użyciu zapytań SAM-R) jest wyłączona

Zdalna kolekcja członków grupy administratorów lokalnych z punktów końcowych korzystających z zapytań SAM-R w Microsoft Defender for Identity zostanie wyłączona do połowy maja 2025 r. Te dane są obecnie używane do tworzenia potencjalnych map ścieżek ruchu bocznego, które nie będą już aktualizowane po tej zmianie. Eksplorowana jest metoda alternatywna. Zmiana następuje automatycznie według określonej daty i nie jest wymagana żadna akcja administracyjna.

Nowy problem z kondycją

Nowy problem z kondycją w przypadkach, gdy czujniki działające w programie VMware mają niezgodność konfiguracji sieci.

Kwiecień 2025 r.

Tag tożsamości uprzywilejowanej jest teraz widoczny w spisie tożsamości usługi Defender for Identity

Tożsamości wymienione w spisie tożsamości w portalu Microsoft Defender zawierają teraz tag konta uprzywilejowanego dla kont zarządzanych przez usługę Privileged Identity Management (PIM). Konta uprzywilejowane są głównymi celami dla osób atakujących. Tagowanie ich w spisie ułatwia szybkie identyfikowanie kont wysokiego ryzyka lub kont o wysokiej wartości, ustalanie priorytetów działań związanych z badaniem i ograniczaniem ryzyka oraz usprawnienie przepływów pracy reagowania na zdarzenia.

Dowiedz się więcej o Privileged Identity Management.

Nowa integracja usługi Defender for Identity i PAM

Microsoft Defender for Identity obsługuje teraz integrację z wiodącymi w branży platformami usługi Privileged Access Management (PAM), aby usprawnić wykrywanie i reagowanie na tożsamości uprzywilejowane.

Obsługiwani dostawcy usługi PAM:

  • CyberArk
  • Delinea
  • BeyondTrust

Aby uzyskać więcej informacji, zobacz : Integrations Defender for Identity and PAM services (Integracje usługi Defender for Identity i USŁUGI PAM).

Marzec 2025 r.

Nowa strona odnajdywania konta usługi

Microsoft Defender for Identity teraz obejmuje funkcję odnajdywania konta usługi, która oferuje scentralizowany wgląd w konta usług w środowisku usługi Active Directory.

Ta aktualizacja zawiera następujące informacje:

  • Automatyczna identyfikacja kont usług zarządzanych przez grupę, zarządzanych kont usług i kont użytkowników działających jako konta usług.

  • Scentralizowany spis kont usług zawierający kluczowe atrybuty, takie jak typ konta, typ uwierzytelniania, unikatowe połączenia, ostatnie logowanie, klasa usługi i krytyczność.

  • Strona szczegółów konta usługi, w tym przegląd, oś czasu działań, alertów i nowa karta połączeń.

Aby uzyskać więcej informacji, zobacz: Badanie i ochrona kont usług | Microsoft Defender for Identity.

Rozszerzony spis tożsamości

Strona Tożsamości w obszarze Zasoby została zaktualizowana w celu zapewnienia lepszej widoczności tożsamości i zarządzania nimi w całym środowisku. Zaktualizowana strona Spis tożsamości zawiera teraz następujące karty:

  • Tożsamości: skonsolidowany widok tożsamości w usłudze Active Directory, Tożsamość Microsoft Entra. Ta karta Tożsamości wyróżnia kluczowe szczegóły, w tym typy tożsamości i informacje o użytkowniku.

  • Konta aplikacji w chmurze: wyświetla listę kont aplikacji w chmurze, w tym te z łączników aplikacji i źródeł innych firm (oryginalne dostępne w poprzedniej wersji na podstawie Microsoft Defender for Cloud Apps).

Aby uzyskać więcej informacji, zobacz Szczegóły spisu tożsamości.

Nowe zdarzenia zapytań LDAP dodane do tabeli IdentityQueryEvents w obszarze Zaawansowane wyszukiwanie zagrożeń

Nowe zdarzenia zapytań LDAP zostały dodane do IdentityQueryEvents tabeli w obszarze Zaawansowane wyszukiwanie zagrożeń w celu zapewnienia większego wglądu w dodatkowe zapytania wyszukiwania LDAP uruchomione w środowisku klienta.

Luty 2025 r.

Aktualizacje modułu programu PowerShell DefenderForIdentity (wersja 1.0.0.3)

Nowe funkcje i ulepszenia:

  • Obsługa pobierania, testowania i ustawiania Kosza usługi Active Directory w konfiguracji mdi get/set/test.
  • Obsługa pobierania, testowania i ustawiania konfiguracji serwera proxy w nowym czujniku MDI.
  • Wartość rejestru usług certyfikatów Active Directory na potrzeby filtrowania inspekcji teraz poprawnie ustawia typ.
  • New-MDIConfigurationReport teraz wyświetla nazwę przetestowanego obiektu zasad grupy i obsługuje argumenty serwerów i tożsamości.

Poprawki:

  • Zwiększona niezawodność uprawnień kontenera DeletedObjects w systemach operacyjnych innych niż angielski.
  • Naprawiono nadmiarowe dane wyjściowe tworzenia klucza głównego usługi KDS.
  • Inne poprawki niezawodności.

Karta Nowe ścieżki ataku na stronie profilu tożsamości

Ta karta zapewnia wgląd w potencjalne ścieżki ataku prowadzące do tożsamości krytycznej lub angażującej ją w ścieżkę, pomagając ocenić zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Omówienie ścieżki ataku w usłudze Exposure Management.

Dodatkowe ulepszenia strony tożsamości:

  • Nowy panel boczny z większą ilością informacji dla każdego wpisu na osi czasu użytkownika.

  • Możliwości filtrowania na karcie Urządzenia w obszarze Obserwowane w organizacji.

Aktualizowanie zalecenia dotyczącego ochrony haseł administratora lokalnego i zarządzania nimi za pomocą usługi Microsoft LAPS

Ta aktualizacja wyrównuje ocenę stanu zabezpieczeń w programie Secure Score do najnowszej wersji systemu Windows LAPS, zapewniając, że odzwierciedla ona bieżące najlepsze rozwiązania w zakresie zabezpieczeń dotyczące zarządzania hasłami administratora lokalnego.

Nowe i zaktualizowane zdarzenia w tabeli Advanced hunting IdentityDirectoryEvents

Dodaliśmy i zaktualizowaliśmy następujące zdarzenia w IdentityDirectoryEvents tabeli w temacie Zaawansowane wyszukiwanie zagrożeń:

  • Flaga kontroli konta użytkownika została zmieniona
  • Tworzenie grupy zabezpieczeń w usłudze Active Directory
  • Nieudana próba zmiany hasła konta
  • Pomyślna zmiana hasła konta
  • Identyfikator grupy podstawowej konta został zmieniony

Ponadto wbudowane odwołanie do schematu zaawansowanego wyszukiwania zagrożeń w Microsoft Defender XDR zostało zaktualizowane w celu uwzględnienia szczegółowych informacji na temat wszystkich obsługiwanych typów zdarzeń (ActionTypewartości) w tabelach związanych z tożsamościami, zapewniając pełny wgląd w dostępne zdarzenia. Aby uzyskać więcej informacji, zobacz Zaawansowane szczegóły schematu wyszukiwania zagrożeń.

Styczeń 2025 r.

Przewodnik po nowej tożsamości

Zapoznaj się z kluczowymi funkcjami mdi za pomocą nowego przewodnika po tożsamościach w portalu platformy Microsoft 365. Nawiguj po zdarzeniach, wyszukiwaniach zagrożeń i ustawieniach, aby zwiększyć bezpieczeństwo tożsamości i badanie zagrożeń.

Grudzień 2024 r.

Nowa ocena stanu zabezpieczeń: zapobiegaj rejestrowaniu certyfikatów przy użyciu dowolnych zasad aplikacji (ESC15)

Usługa Defender for Identity dodała nowe zalecenie Zapobiegaj rejestrowaniu certyfikatów z dowolnymi zasadami aplikacji (ESC15) w usłudze Microsoft Secure Score.

To zalecenie dotyczy bezpośrednio ostatnio opublikowanego cve-2024-49019, które podkreśla zagrożenia bezpieczeństwa związane z wrażliwymi konfiguracjami usług AD CS. Ta ocena stanu zabezpieczeń zawiera listę wszystkich narażonych szablonów certyfikatów znalezionych w środowiskach klienta z powodu nieprzypisanych serwerów cs usługi AD.

Nowe zalecenie zostanie dodane do innych zaleceń związanych z usługą AD CS. Łącznie te oceny oferują raporty dotyczące stanu zabezpieczeń, które obejmują problemy z zabezpieczeniami i poważne błędy konfiguracji, które stanowią zagrożenie dla całej organizacji, wraz z powiązanymi wykryciami.

Więcej informacji można znaleźć w następujących artykułach:

Październik 2024 r.

Mdi rozszerza zakres o nowe 10 zaleceń dotyczących stanu tożsamości (wersja zapoznawcza)

Nowe oceny stanu zabezpieczeń tożsamości (ISPM) mogą pomóc klientom monitorować błędną konfigurację, obserwując słabe punkty i zmniejszając ryzyko potencjalnego ataku na infrastrukturę lokalną. Te nowe zalecenia dotyczące tożsamości, w ramach wskaźnika bezpieczeństwa firmy Microsoft, to nowe raporty dotyczące stanu zabezpieczeń związane z infrastrukturą usługi Active Directory i obiektami zasad grupy:

Ponadto zaktualizowaliśmy istniejące zalecenie "Modyfikowanie niezabezpieczonych delegowania protokołu Kerberos, aby zapobiec personifikacji", aby uwzględnić wskazanie ograniczonego delegowania protokołu Kerberos z przejściem protokołu do usługi uprzywilejowanej.

Sierpień 2024 r.

Nowy czujnik Microsoft Entra Connect:

W ramach naszych ciągłych wysiłków na rzecz zwiększenia zasięgu Microsoft Defender for Identity w środowiskach tożsamości hybrydowych wprowadziliśmy nowy czujnik dla serwerów Microsoft Entra Connect. Ponadto opublikowaliśmy nowe hybrydowe wykrywanie zabezpieczeń i nowe zalecenia dotyczące postawy tożsamości specjalnie dla Microsoft Entra Connect, pomagając klientom zachować ochronę i ograniczyć potencjalne zagrożenia.

Nowe zalecenia dotyczące stanu tożsamości Microsoft Entra Connect:

  • Obracanie hasła dla konta łącznika Microsoft Entra Connect
    • Naruszone zabezpieczenia konta łącznika Microsoft Entra Connect (konto łącznika usług AD DS, powszechnie wyświetlane jako MSOL_XXXXXXXX) mogą udzielać dostępu do funkcji o wysokich uprawnieniach, takich jak replikacja i resetowanie haseł, umożliwiając osobom atakującym modyfikowanie ustawień synchronizacji i naruszanie zabezpieczeń zarówno w środowisku chmurowym, jak i lokalnym, a także oferując kilka ścieżek umożliwiających naruszenie całej domeny. W tej ocenie zalecamy klientom zmianę hasła kont MSOL przy użyciu hasła ostatnio ustawionego ponad 90 dni temu. Aby uzyskać więcej informacji, wybierz pozycję Obróć hasło dla konta łącznika Microsoft Entra Connect.
  • Usuwanie niepotrzebnych uprawnień replikacji dla konta Microsoft Entra Connect
    • Domyślnie konto łącznika Microsoft Entra Connect ma rozległe uprawnienia zapewniające prawidłową synchronizację (nawet jeśli nie są one wymagane). Jeśli synchronizacja skrótów haseł nie jest skonfigurowana, ważne jest usunięcie niepotrzebnych uprawnień w celu zmniejszenia potencjalnego obszaru ataków. Aby uzyskać więcej informacji, zobacz Usuwanie uprawnień replikacji dla konta Microsoft Entra.
  • Zmienianie hasła Microsoft Entra bezproblemowej konfiguracji konta logowania jednokrotnego
    • Ten raport zawiera listę wszystkich Microsoft Entra bezproblemowych kont komputerów logowania jednokrotnego z hasłem ustawionym ostatnio ponad 90 dni temu. Hasło konta Azure logowania jednokrotnego nie jest automatycznie zmieniane co 30 dni. Jeśli atakujący naruszy to konto, może wygenerować bilety usługi dla konta AZUREADSSOACC w imieniu dowolnego użytkownika i personifikować dowolnego użytkownika w dzierżawie Microsoft Entra, który jest synchronizowany z usługą Active Directory. Osoba atakująca może użyć tej funkcji do późniejszego przejścia z usługi Active Directory do Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zmienianie hasła w celu Microsoft Entra bezproblemowej konfiguracji konta logowania jednokrotnego.

Nowe wykrywanie Microsoft Entra Connect:

  • Podejrzane logowanie interakcyjne do serwera Microsoft Entra Connect
    • Bezpośrednie logowania do serwerów Microsoft Entra Connect są bardzo nietypowe i potencjalnie złośliwe. Osoby atakujące często atakują te serwery w celu kradzieży poświadczeń w celu uzyskania szerszego dostępu do sieci. Microsoft Defender for Identity może teraz wykrywać nietypowe logowania do serwerów Microsoft Entra Connect, co ułatwia szybsze identyfikowanie potencjalnych zagrożeń i reagowanie na nie. Ma to zastosowanie, gdy serwer Microsoft Entra Connect jest serwerem autonomicznym i nie działa jako kontroler domeny.
  • Resetowanie hasła użytkownika przez konto Microsoft Entra Connect
    • Konto łącznika Microsoft Entra Connect często ma wysokie uprawnienia, w tym możliwość resetowania haseł użytkownika. Microsoft Defender for Identity teraz ma wgląd w te akcje i wykrywa użycie tych uprawnień, które zostały zidentyfikowane jako złośliwe i niezgodne z prawem. Ten alert jest wyzwalany tylko wtedy, gdy funkcja zapisywania zwrotnego haseł jest wyłączona.
  • Podejrzane zapisywanie zwrotne przez Microsoft Entra Connect dla poufnego użytkownika
    • Chociaż Microsoft Entra Connect już uniemożliwia zapisywanie zwrotne dla użytkowników w grupach uprzywilejowanych, Microsoft Defender for Identity rozszerza tę ochronę, identyfikując dodatkowe typy poufnych kont. To ulepszone wykrywanie pomaga zapobiegać nieautoryzowanemu resetowaniu haseł na kontach krytycznych, co może być kluczowym krokiem w przypadku zaawansowanych ataków zarówno na środowisko chmury, jak i środowiska lokalne.

Dodatkowe ulepszenia i możliwości:

  • Nowe działanie dowolnego nieudanego resetowania hasła na poufnym koncie dostępnym w tabeli "IdentityDirectoryEvents" w obszarze Zaawansowane wyszukiwanie zagrożeń. Może to ułatwić klientom śledzenie zdarzeń niepowodzenia resetowania hasła i tworzenie wykrywania niestandardowego na podstawie tych danych.
  • Zwiększona dokładność wykrywania ataków synchronizacji kontrolera domeny .
  • Nowy problem z kondycją w przypadku, gdy czujnik nie może pobrać konfiguracji z usługi Microsoft Entra Connect.
  • Rozszerzone monitorowanie alertów zabezpieczeń, takich jak zdalne wykrywanie wykonywania programu PowerShell, przez włączenie nowego czujnika na serwerach Microsoft Entra Connect.

Dowiedz się więcej o nowym czujniku

Zaktualizowano moduł DefenderForIdentity programu PowerShell

Moduł DefenderForIdentity programu PowerShell został zaktualizowany, wprowadzając nowe funkcje i usuwając kilka poprawek błędów. Najważniejsze ulepszenia obejmują:

  • Nowy New-MDIDSA Polecenie cmdlet: upraszcza tworzenie kont usług z ustawieniem domyślnym dla kont usług zarządzanych przez grupę (gMSA) i opcją tworzenia kont standardowych.
  • Automatyczne wykrywanie PDCe: poprawia niezawodność tworzenia obiektu zasady grupy (GPO), automatycznie określając wartość docelową podstawowego emulatora kontrolera domeny (PDCe) dla większości operacji usługi Active Directory.
  • Ręczne określanie wartości docelowej kontrolera domeny: nowy parametr serwera dla Get/Set/Test-MDIConfiguration poleceń cmdlet, co pozwala określić kontroler domeny do określania wartości docelowej zamiast PDCe.

Więcej informacji można znaleźć w następujących artykułach:

Lipiec 2024 r.

Sześć nowych wykryć jest nowych w publicznej wersji zapoznawczej:

  • Możliwy atak NetSync
    • NetSync to moduł w programie Mimikatz, narzędziu po eksploatacji, który żąda skrótu hasła hasła urządzenia docelowego, udając kontrolera domeny. Osoba atakująca może wykonywać złośliwe działania w sieci przy użyciu tej funkcji w celu uzyskania dostępu do zasobów organizacji.
  • Możliwe przejęcie Microsoft Entra bezproblemowego konta logowania jednokrotnego
    • Obiekt konta Microsoft Entra bezproblemowego logowania jednokrotnego (logowanie jednokrotne), AZUREADSSOACC, został zmodyfikowany podejrzanie. Osoba atakująca może przenieść się później ze środowiska lokalnego do chmury.
  • Podejrzane zapytanie LDAP
    • Wykryto podejrzane zapytanie protokołu LDAP (Lightweight Directory Access Protocol) skojarzone ze znanym narzędziem ataku. Osoba atakująca może przeprowadzać rekonesans w kolejnych krokach.
  • Podejrzana nazwa SPN została dodana do użytkownika
    • Podejrzana nazwa główna usługi (SPN) została dodana do poufnego użytkownika. Osoba atakująca może próbować uzyskać podwyższony poziom dostępu na potrzeby przenoszenia bocznego w organizacji
  • Podejrzane tworzenie grupy ESXi
    • W domenie utworzono podejrzaną grupę VMware ESXi. Może to wskazywać, że osoba atakująca próbuje uzyskać więcej uprawnień do późniejszych kroków ataku.
  • Podejrzane uwierzytelnianie usług ADFS
    • Konto przyłączone do domeny zalogowane przy użyciu Active Directory Federation Services (ADFS) z podejrzanego adresu IP. Osoba atakująca mogła ukraść poświadczenia użytkownika i używać jej do późniejszego przenoszenia w organizacji.

Defender for Identity— wersja 2.238

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Czerwiec 2024 r.

Łatwe wyszukiwanie informacji o użytkownikach z pulpitu nawigacyjnego ITDR

Widżet tarczy zawiera szybki przegląd liczby użytkowników w środowiskach hybrydowych, chmurowych i lokalnych. Ta funkcja zawiera teraz bezpośrednie linki do platformy Zaawansowane wyszukiwanie zagrożeń, oferując szczegółowe informacje o użytkownikach w zasięgu ręki.

Widżet kondycji wdrożenia ITDR zawiera teraz Microsoft Entra dostęp warunkowy i Dostęp Prywatny Microsoft Entra

Teraz możesz wyświetlić dostępność licencji dla Microsoft Entra dostępu warunkowego obciążenia, dostępu warunkowego Microsoft Entra użytkownika i Dostęp Prywatny Microsoft Entra.

Defender for Identity— wersja 2.237

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Maj 2024

Wersja 2.236 usługi Defender for Identity

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity— wersja 2.235

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Kwiecień 2024 r.

Łatwe wykrywanie luki w zabezpieczeniach funkcji Protokołu Kerberos systemu Windows CVE-2024-21427

Aby pomóc klientom w lepszym identyfikowaniu i wykrywaniu prób obejścia protokołów zabezpieczeń zgodnie z tą luką w zabezpieczeniach, dodaliśmy nowe działanie w ramach zaawansowanego wyszukiwania zagrożeń, które monitoruje uwierzytelnianie Kerberos AS.

Dzięki tym danym klienci mogą teraz łatwo tworzyć własne niestandardowe reguły wykrywania w ramach Microsoft Defender XDR i automatycznie wyzwalać alerty dla tego typu działań.

Dostęp do portalu Microsoft Defender —> wyszukiwanie zagrożeń —> zaawansowane wyszukiwanie zagrożeń.

Teraz możesz skopiować nasze zalecane zapytanie, jak pokazano poniżej, i wybrać pozycję "Utwórz regułę wykrywania". Nasze zapytanie śledzi również nieudane próby logowania, które mogą generować informacje niezwiązane z potencjalnym atakiem. W związku z tym możesz dostosować zapytanie zgodnie z określonymi wymaganiami.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity— wersja 2.234

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity w wersji 2.233

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Marzec 2024 r.

Nowe uprawnienia tylko do odczytu do wyświetlania ustawień usługi Defender for Identity

Teraz możesz skonfigurować użytkowników usługi Defender for Identity z uprawnieniami tylko do odczytu, aby wyświetlać ustawienia usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz Wymagane uprawnienia Defender for Identity w Microsoft Defender XDR.

Nowy interfejs API oparty na programie Graph do wyświetlania problemów z kondycją i zarządzania nimi

Teraz możesz wyświetlać problemy z kondycją Microsoft Defender for Identity i zarządzać nimi za pośrednictwem interfejs Graph API

Aby uzyskać więcej informacji, zobacz Zarządzanie problemami z kondycją za pośrednictwem interfejs Graph API.

Defender for Identity— wersja 2.232

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity— wersja 2.231

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Luty 2024 r.

Defender for Identity— wersja 2.230

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Nowa ocena stanu zabezpieczeń dla niezabezpieczonej konfiguracji punktu końcowego usług AD CS IIS

Usługa Defender for Identity dodała nowe zalecenie Edytuj niezabezpieczone punkty końcowe IIS rejestracji certyfikatu usługi ADCS (ESC8) w usłudze Microsoft Secure Score.

Usługi certyfikatów Active Directory (AD CS) obsługują rejestrowanie certyfikatów za pomocą różnych metod i protokołów, w tym rejestracji za pośrednictwem protokołu HTTP przy użyciu usługi rejestrowania certyfikatów (CES) lub interfejsu rejestracji internetowej (Certsrv). Niezabezpieczone konfiguracje punktów końcowych CES lub Certsrv IIS mogą tworzyć luki w zabezpieczeniach w celu przekazywania ataków (ESC8).

Nowe zalecenie Edytowanie niezabezpieczonych punktów końcowych usług IIS (ESC8) rejestrowania certyfikatów usługi ADCS jest dodawane do innych zaleceń związanych z usługą AD CS, które zostały niedawno wydane. Łącznie te oceny oferują raporty dotyczące stanu zabezpieczeń, które obejmują problemy z zabezpieczeniami i poważne błędy konfiguracji, które stanowią zagrożenie dla całej organizacji, wraz z powiązanymi wykryciami.

Więcej informacji można znaleźć w następujących artykułach:

Defender for Identity w wersji 2.229

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Ulepszone środowisko użytkownika na potrzeby dostosowywania progów alertów (wersja zapoznawcza)

Strona Ustawienia zaawansowane usługi Defender for Identity została zmieniona na Dostosuj progi alertów i zapewnia odświeżone środowisko z większą elastycznością dostosowywania progów alertów.

Zrzut ekranu przedstawiający nową stronę Dostosowywanie progów alertów.

Zmiany obejmują:

  • Usunęliśmy poprzednią opcję Usuń okres nauki i dodaliśmy nową opcję Zalecany tryb testowy . Wybierz pozycję Zalecany tryb testowania , aby ustawić dla wszystkich poziomów progów wartość Niska, zwiększając liczbę alertów i ustawić wszystkie inne poziomy progów na tylko do odczytu.

  • Nazwa poprzedniej kolumny poziomów poufności została zmieniona na Poziom progowy z nowo zdefiniowanymi wartościami. Domyślnie wszystkie alerty są ustawione na wartość Wysoki próg, który reprezentuje zachowanie domyślne i standardową konfigurację alertu.

    W poniższej tabeli wymieniono mapowanie między poprzednimi wartościami poziomu poufności i nowymi wartościami poziomu progu :

    Poziom poufności (poprzednia nazwa) Poziom progu (nowa nazwa)
    Normalne High (Wysoki)
    Średnie Średnie
    High (Wysoki) Niskie

Jeśli na stronie Ustawienia zaawansowane zdefiniowano określone wartości, przenieśliśmy je do nowej strony Dostosuj progi alertów w następujący sposób:

Konfiguracja strony ustawień zaawansowanych Nowa konfiguracja strony Dostosowywanie progów alertów
Usuń włączony okres nauki Zalecany tryb testowy został wyłączony.

Ustawienia konfiguracji progu alertu pozostają takie same.
Wyłączono usuwanie okresu nauki Zalecany tryb testowy został wyłączony.

Ustawienia konfiguracji progu alertu są resetowane do wartości domyślnych z wysokim poziomem progu.

Alerty są zawsze wyzwalane natychmiast, jeśli wybrano opcję Zalecany tryb testowy lub jeśli poziom progowy jest ustawiony na średni lub niski, niezależnie od tego, czy okres nauki alertu został już ukończony.

Aby uzyskać więcej informacji, zobacz Dostosowywanie progów alertów.

Strony szczegółów urządzenia zawierają teraz opisy urządzeń (wersja zapoznawcza)

Microsoft Defender XDR teraz zawiera opisy urządzeń w okienkach szczegółów urządzenia i na stronach szczegółów urządzenia. Opisy są wypełniane z atrybutu Opis usługi Active Directory urządzenia.

Na przykład w okienku po stronie szczegółów urządzenia:

Zrzut ekranu przedstawiający nowe pole Opis urządzenia w okienku szczegółów urządzenia.

Aby uzyskać więcej informacji, zobacz Kroki badania dotyczące podejrzanych urządzeń.

Defender for Identity w wersji 2.228

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity oraz następujące nowe alerty:

Styczeń 2024 r.

Defender for Identity w wersji 2.227

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Karta Oś czasu dodawana dla jednostek grupy

Teraz możesz wyświetlać działania i alerty związane z jednostkami grupy usługi Active Directory z ostatnich 180 dni w Microsoft Defender XDR, takie jak zmiany członkostwa w grupach, zapytania LDAP itd.

Aby uzyskać dostęp do strony osi czasu grupy, wybierz pozycję Otwórz oś czasu w okienku szczegółów grupy.

Przykład:

Zrzut ekranu przedstawiający przycisk Otwórz oś czasu w okienku szczegółów jednostki grupy.

Aby uzyskać więcej informacji, zobacz Kroki badania podejrzanych grup.

Konfigurowanie i weryfikowanie środowiska usługi Defender for Identity za pomocą programu PowerShell

Usługa Defender for Identity obsługuje teraz nowy moduł DefenderForIdentity programu PowerShell, który ułatwia konfigurowanie i weryfikowanie środowiska do pracy z Microsoft Defender for Identity.

Użyj poleceń programu PowerShell, aby uniknąć błędnej konfiguracji i zaoszczędzić czas i uniknąć niepotrzebnego obciążenia systemu.

Dodaliśmy następujące procedury do dokumentacji usługi Defender for Identity, aby ułatwić korzystanie z nowych poleceń programu PowerShell:

Więcej informacji można znaleźć w następujących artykułach:

Defender for Identity w wersji 2.226

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity w wersji 2.225

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Grudzień 2023 r.

Uwaga

Jeśli widzisz zmniejszoną liczbę alertów prób zdalnego wykonywania kodu , zobacz nasze zaktualizowane wrześniowe ogłoszenia, które obejmują aktualizację logiki wykrywania tożsamości usługi Defender for Identity. Usługa Defender for Identity nadal rejestruje działania zdalnego wykonywania kodu tak jak poprzednio.

Nowy obszar tożsamości i pulpit nawigacyjny w Microsoft Defender XDR (wersja zapoznawcza)

Klienci usługi Defender for Identity mają teraz nowy obszar Tożsamości w Microsoft Defender XDR, aby uzyskać informacje o zabezpieczeniach tożsamości w usłudze Defender for Identity.

W Microsoft Defender XDR wybierz pozycję Tożsamości, aby wyświetlić dowolną z następujących nowych stron:

Defender for Identity — wersja 2.224

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Oceny stanu zabezpieczeń czujników usługi AD CS (wersja zapoznawcza)

Obrońcy oceny stanu zabezpieczeń tożsamości proaktywnie wykrywają i zalecają akcje w konfiguracjach lokalna usługa Active Directory.

Zalecane akcje obejmują teraz następujące nowe oceny stanu zabezpieczeń, szczególnie w przypadku szablonów certyfikatów i urzędów certyfikacji.

Nowe oceny są dostępne w usłudze Microsoft Secure Score, występują problemy z zabezpieczeniami i poważne błędy konfiguracji, które stanowią zagrożenie dla całej organizacji, wraz z wykryciami. Wynik zostanie odpowiednio zaktualizowany.

Przykład:

Zrzut ekranu przedstawiający nowe oceny stanu zabezpieczeń usługi AD CS.

Aby uzyskać więcej informacji, zobacz oceny stanu zabezpieczeń Microsoft Defender for Identity.

Uwaga

Chociaż oceny szablonów certyfikatów są dostępne dla wszystkich klientów, którzy mają zainstalowany w środowisku usług AD CS, oceny urzędu certyfikacji są dostępne tylko dla klientów, którzy zainstalowali czujnik na serwerze usług AD CS. Aby uzyskać więcej informacji, zobacz Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS).

Wersja 2.223 usługi Defender for Identity

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity w wersji 2.222

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity— wersja 2.221

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Listopad 2023 r.

Defender for Identity w wersji 2.220

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity w wersji 2.219

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Oś czasu tożsamości zawiera ponad 30 dni danych (wersja zapoznawcza)

Usługa Defender for Identity stopniowo wprowadza rozszerzone przechowywanie danych w szczegółach tożsamości do ponad 30 dni.

Karta Oś czasu strony szczegółów tożsamości, która zawiera działania usługi Defender for Identity, Microsoft Defender for Cloud Apps i Ochrona punktu końcowego w usłudze Microsoft Defender, obecnie obejmuje co najmniej 150 dni i rośnie. W ciągu najbliższych kilku tygodni mogą wystąpić pewne różnice w wskaźnikach przechowywania danych.

Aby wyświetlić działania i alerty na osi czasu tożsamości w określonym przedziale czasu, wybierz domyślne 30 dni , a następnie wybierz pozycję Zakres niestandardowy. Przefiltrowane dane sprzed ponad 30 dni są wyświetlane przez maksymalnie siedem dni jednocześnie.

Przykład:

Zrzut ekranu przedstawiający niestandardowe opcje ram czasowych.

Aby uzyskać więcej informacji, zobacz Badanie zasobów i Badanie użytkowników w Microsoft Defender XDR.

Defender for Identity w wersji 2.218

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Październik 2023

Defender for Identity, wersja 2.217

Ta wersja zawiera następujące ulepszenia:

  • Raport podsumowania: Raport podsumowania jest aktualizowany w celu uwzględnienia dwóch nowych kolumn na karcie Problemy z kondycją :

  • Problemy z kondycją: przełącznik "Usuń okres nauki" został automatycznie wyłączony dla tego problemu z kondycją dzierżawy*.

Ta wersja zawiera również poprawki usterek dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity w wersji 2.216

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Wrzesień 2023

Zmniejszona liczba alertów dla zdalnych prób wykonania kodu

Aby lepiej dopasować usługę Defender for Identity i alerty Ochrona punktu końcowego w usłudze Microsoft Defender, zaktualizowaliśmy logikę wykrywania dla wykrywania prób zdalnego wykonywania kodu w usłudze Defender for Identity.

Chociaż ta zmiana powoduje zmniejszenie liczby alertów prób zdalnego wykonywania kodu , usługa Defender for Identity nadal rejestruje działania zdalnego wykonywania kodu. Klienci mogą nadal tworzyć własne zaawansowane zapytania dotyczące wyszukiwania zagrożeń i tworzyć niestandardowe zasady wykrywania.

Ustawienia poufności alertów i ulepszenia okresu uczenia

Niektóre alerty obrońców tożsamości czekają na okres nauki , zanim alerty zostaną wyzwolone, podczas tworzenia profilu wzorców do użycia podczas rozróżniania legalnych i podejrzanych działań.

Usługa Defender for Identity udostępnia teraz następujące ulepszenia środowiska okresu nauki:

  • Administratorzy mogą teraz użyć ustawienia Usuń okres nauki , aby skonfigurować czułość używaną dla określonych alertów. Zdefiniuj czułość jako normalną , aby skonfigurować ustawienie Usuń okres nauki jako wyłączone dla wybranego typu alertu.

  • Po wdrożeniu nowego czujnika w nowym obszarze roboczym usługi Defender for Identity ustawienie Usuń okres nauki jest automatycznie włączone przez 30 dni. Po upływie 30 dni ustawienie Usuń okres nauki jest automatycznie wyłączone , a poziomy poufności alertów są zwracane do ich domyślnej funkcjonalności.

    Aby usługa Defender for Identity korzystała ze standardowej funkcjonalności okresu uczenia, w której alerty nie są generowane do czasu zakończenia okresu nauki, skonfiguruj ustawienie Usuń okresy szkoleniowe na wartość Wyłączone.

Jeśli wcześniej zaktualizowano ustawienie Usuń okres nauki , ustawienie pozostanie takie, jak zostało skonfigurowane.

Więcej informacji znajduje się w sekcji Advanced settings

Uwaga

Na stronie Ustawienia zaawansowane pierwotnie wymieniono alert rekonesansu wyliczenia konta w obszarze Usuń opcje okresu nauki jako konfigurowalne dla ustawień poufności. Ten alert został usunięty z listy i zastąpiony alertem rekonesansu jednostki zabezpieczeń (LDAP ). Ten błąd interfejsu użytkownika został naprawiony w listopadzie 2023 r.

Defender for Identity w wersji 2.215

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Raporty usługi Defender for Identity zostały przeniesione do głównego obszaru Raporty

Teraz możesz uzyskiwać dostęp do raportów usługi Defender for Identity z głównego obszaru Raporty Microsoft Defender XDR zamiast obszaru Ustawienia. Przykład:

Zrzut ekranu przedstawiający dostęp do raportu usługi Defender for Identity z głównego obszaru Raporty.

Aby uzyskać więcej informacji, zobacz Pobieranie i planowanie raportów usługi Defender for Identity w Microsoft Defender XDR (wersja zapoznawcza).

Przycisk go hunt dla grup w Microsoft Defender XDR

Usługa Defender for Identity dodała przycisk Wyszukiwania w języku Go dla grup w Microsoft Defender XDR. Użytkownicy mogą używać przycisku Go hunt do wykonywania zapytań dotyczących działań i alertów związanych z grupą podczas badania.

Przykład:

Zrzut ekranu przedstawiający nowy przycisk go hunt w okienku szczegółów grupy.

Aby uzyskać więcej informacji, zobacz Szybkie wyszukiwanie informacji o jednostce lub zdarzeniach za pomocą wyszukiwania na platformie Go.

Defender for Identity— wersja 2.214

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Ulepszenia wydajności

Usługa Defender for Identity dokonała wewnętrznych ulepszeń opóźnień, stabilności i wydajności podczas przenoszenia zdarzeń w czasie rzeczywistym z usług Defender for Identity do Microsoft Defender XDR. Klienci powinni spodziewać się żadnych opóźnień w danych usługi Defender for Identity wyświetlanych w Microsoft Defender XDR, takich jak alerty lub działania na potrzeby zaawansowanego wyszukiwania zagrożeń.

Więcej informacji można znaleźć w następujących artykułach:

Sierpień 2023

Defender for Identity— wersja 2.213

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity w wersji 2.212

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Defender for Identity— wersja 2.211

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Nowy typ czujnika dla usług certyfikatów Active Directory (AD CS)

Usługa Defender for Identity obsługuje teraz nowy typ czujnika usługi ADCS dla dedykowanego serwera ze skonfigurowanymi usługami certyfikatów Active Directory (AD CS).

Nowy typ czujnika zostanie zidentyfikowany na stronie Settings Identities Sensors (Czujniki tożsamości ustawień >>) w Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Zarządzanie czujnikami Microsoft Defender for Identity i aktualizowanie ich.

Wraz z nowym typem czujnika usługa Defender for Identity udostępnia teraz powiązane alerty usługi AD CS i raporty bezpiecznego wyniku. Aby wyświetlić nowe alerty i raporty bezpiecznego wyniku, upewnij się, że wymagane zdarzenia są zbierane i rejestrowane na serwerze. Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji zdarzeń usług certyfikatów Active Directory (AD CS).

Usługa AD CS to rola Windows Server, która wystawia certyfikaty infrastruktury kluczy publicznych (PKI) i zarządza nimi w protokołach bezpiecznej komunikacji i uwierzytelniania. Aby uzyskać więcej informacji, zobacz Co to są usługi certyfikatów Active Directory?

Defender for Identity— wersja 2.210

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze i czujnika usługi Defender for Identity.

Następne kroki

  • Last updated on