Novidades no Microsoft Defender para Identidade
Este artigo é atualizado com freqüência para que você saiba o que há de novo nas versões mais recentes do Microsoft Defender for Identity.
O que há de novo escopo e referências
As versões do Defender for Identity são implantadas gradualmente entre os locatários dos clientes. Se houver um recurso documentado aqui que você ainda não vê em seu locatário, verifique novamente mais tarde a atualização.
Para obter mais informações, consulte também:
- O que há de novo no Microsoft Defender XDR
- Novidades no Microsoft Defender para Endpoint
- Novidades no Microsoft Defender for Cloud Apps
Para obter atualizações sobre versões e recursos lançados há seis meses ou antes, consulte o Arquivo de novidades do Microsoft Defender for Identity.
Outubro de 2024
MDI está expandindo a cobertura com novas 10 recomendações de postura de identidade
As novas avaliações de postura de segurança de identidade (ISPMs) podem ajudar os clientes a monitorar erros de configuração, observando pontos fracos e reduzindo o risco de possíveis ataques à infraestrutura local.
Essas novas recomendações de identidade, como parte do Microsoft Secure Score, são novos relatórios de postura de segurança relacionados à infraestrutura do Ative Directory e aos Objetos de Diretiva de Grupo:
Alterar a palavra-passe antiga da conta de computador do Controlador de Domínio
O GPO atribui identidades não privilegiadas a grupos locais com privilégios elevados
A conta interna de convidado do Ative Directory está habilitada
Alterar a palavra-passe da conta de Administrador do domínio incorporado
Além disso, atualizamos a recomendação existente de "Modificar delegações Kerberos não seguras para evitar representação" para incluir a indicação de Delegação Restrita de Kerberos com transição de protocolo para um serviço privilegiado.
Agosto de 2024
Novo sensor Microsoft Entra Connect:
Como parte de nosso esforço contínuo para aprimorar a cobertura do Microsoft Defender for Identity em ambientes de identidade híbrida, introduzimos um novo sensor para servidores Microsoft Entra Connect. Além disso, lançamos 3 novas deteções de segurança híbridas e 4 novas recomendações de postura de identidade especificamente para o Microsoft Entra Connect, ajudando os clientes a permanecerem protegidos e a mitigar riscos potenciais.
Novas recomendações de postura do Microsoft Entra Connect Identity:
- Girar a senha da conta do conector do Microsoft Entra Connect
- Uma conta de conector Microsoft Entra Connect comprometida (conta de conector AD DS, geralmente mostrada como MSOL_XXXXXXXX) pode conceder acesso a funções de alto privilégio, como replicação e redefinições de senha, permitindo que invasores modifiquem as configurações de sincronização e comprometam a segurança em ambientes locais e na nuvem, além de oferecer vários caminhos para comprometer todo o domínio. Nesta avaliação, recomendamos que os clientes alterem a senha das contas MSOL com a última senha definida há mais de 90 dias. Para obter mais informações, clique aqui.
- Remover permissões de replicação desnecessárias para a Conta do Microsoft Entra Connect
- Por padrão, a conta do conector Microsoft Entra Connect tem permissões extensas para garantir a sincronização adequada (mesmo que elas não sejam realmente necessárias). Se a Sincronização de Hash de Senha não estiver configurada, é importante remover permissões desnecessárias para reduzir a superfície de ataque potencial. Para obter mais informações, clique aqui
- Alterar a senha para a configuração da conta SSO contínua do Microsoft Entra
- Este relatório lista todas as contas de computador SSO do Microsoft Entra com senha definida pela última vez há mais de 90 dias. A senha da conta de computador do SSO do Azure não é alterada automaticamente a cada 30 dias. Se um invasor comprometer essa conta, ele poderá gerar tíquetes de serviço para a conta AZUREADSSOACC em nome de qualquer usuário e representar qualquer usuário no locatário do Microsoft Entra sincronizado do Ative Directory. Um invasor pode usar isso para mover lateralmente do Ative Directory para o Microsoft Entra ID. Para obter mais informações, clique aqui.
Novas deteções do Microsoft Entra Connect:
- Logon interativo suspeito no servidor Microsoft Entra Connect
- Os logins diretos nos servidores Microsoft Entra Connect são altamente incomuns e potencialmente maliciosos. Os invasores geralmente têm como alvo esses servidores para roubar credenciais para acesso mais amplo à rede. O Microsoft Defender for Identity agora pode detetar logins anormais nos servidores do Microsoft Entra Connect, ajudando você a identificar e responder a essas ameaças potenciais mais rapidamente. É especificamente aplicável quando o servidor Microsoft Entra Connect é um servidor autónomo e não funciona como um Controlador de Domínio.
- Redefinição de senha de usuário pela conta Microsoft Entra Connect
- A conta do conector Microsoft Entra Connect geralmente possui altos privilégios, incluindo a capacidade de redefinir as senhas do usuário. O Microsoft Defender for Identity agora tem visibilidade dessas ações e detetará qualquer uso dessas permissões que foram identificadas como mal-intencionadas e não legítimas. Esse alerta será acionado somente se o recurso de write-back de senha estiver desativado.
- Write-back suspeito pelo Microsoft Entra Connect em um usuário sensível
- Embora o Microsoft Entra Connect já impeça o write-back para usuários em grupos privilegiados, o Microsoft Defender for Identity expande essa proteção identificando tipos adicionais de contas confidenciais. Essa deteção aprimorada ajuda a evitar redefinições não autorizadas de senha em contas críticas, o que pode ser uma etapa crucial em ataques avançados direcionados a ambientes locais e na nuvem.
Melhorias e capacidades adicionais:
- Nova atividade de qualquer redefinição de senha com falha em uma conta confidencial disponível na tabela 'IdentityDirectoryEvents' no Advanced Hunting. Isso pode ajudar os clientes a rastrear eventos de redefinição de senha com falha e criar deteção personalizada com base nesses dados.
- Precisão melhorada para a deteção de ataques de sincronização DC.
- Novo problema de integridade para casos em que o sensor não consegue recuperar a configuração do serviço Microsoft Entra Connect.
- Monitoramento estendido para alertas de segurança, como o Detetor de Execução Remota do PowerShell, habilitando o novo sensor nos servidores Microsoft Entra Connect.
Saiba mais sobre o novo sensor
Módulo PowerShell DefenderForIdentity atualizado
O módulo PowerShell DefenderForIdentity foi atualizado, incorporando novas funcionalidades e abordando várias correções de bugs. As principais melhorias incluem:
- Novo
New-MDIDSAcmdlet: simplifica a criação de contas de serviço, com uma configuração padrão para Contas de Serviço Gerenciado de Grupo (gMSA) e uma opção para criar contas padrão. - Deteção Automática de PDCe: Melhora a confiabilidade de criação do GPO (Objeto de Diretiva de Grupo) direcionando automaticamente o Emulador de Controlador de Domínio Primário (PDCe) para a maioria das operações do Ative Directory.
- Direcionamento Manual do Controlador de Domínio: Novo parâmetro Server para
Get/Set/Test-MDIConfigurationcmdlets, permitindo especificar um controlador de domínio para direcionamento em vez do PDCe.
Para obter mais informações, consulte:
- Módulo PowerShell DefenderForIdentity (Galeria do PowerShell)
- Documentação de referência do PowerShell DefenderForIdentity
Julho de 2024
6 Novas deteções são novas na visualização pública:
- Possível ataque NetSync
- NetSync é um módulo no Mimikatz, uma ferramenta de pós-exploração, que solicita o hash de senha da senha de um dispositivo de destino fingindo ser um controlador de domínio. Um invasor pode estar executando atividades maliciosas dentro da rede usando esse recurso para obter acesso aos recursos da organização.
- Possível aquisição de uma conta SSO contínua do Microsoft Entra
- Um objeto de conta SSO (logon único) do Microsoft Entra, AZUREADSSOACC, foi modificado de forma suspeita. Um invasor pode estar se movendo lateralmente do ambiente local para a nuvem.
- Consulta LDAP suspeita
- Foi detetada uma consulta suspeita do protocolo LDAP (Lightweight Directory Access Protocol) associada a uma ferramenta de ataque conhecida. Um invasor pode estar executando reconhecimento para etapas posteriores.
- SPN suspeito foi adicionado a um usuário
- Um SPN (nome da entidade de serviço) suspeito foi adicionado a um usuário confidencial. Um invasor pode estar tentando obter acesso elevado para movimento lateral dentro da organização
- Criação suspeita do grupo ESXi
- Um grupo VMWare ESXi suspeito foi criado no domínio. Isso pode indicar que um invasor está tentando obter mais permissões para etapas posteriores de um ataque.
- Autenticação suspeita do ADFS
- Uma conta associada a um domínio com sessão iniciada utilizando os Serviços de Federação do Ative Directory (ADFS) a partir de um endereço IP suspeito. Um invasor pode ter roubado as credenciais de um usuário e está usando-as para se mover lateralmente na organização.
Defender for Identity versão 2.238
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
junho de 2024
Vá facilmente à procura de informações do usuário a partir do painel ITDR
O Widget Shield fornece uma visão geral rápida do número de usuários em ambientes híbridos, na nuvem e locais. Este recurso agora inclui links diretos para a plataforma Advanced Hunting, oferecendo informações detalhadas do usuário na ponta dos dedos.
O widget de integridade da implantação do ITDR agora inclui o acesso condicional do Microsoft Entra e o acesso privado do Microsoft Entra
Agora você pode exibir a disponibilidade de licença para o Microsoft Entra Workload Conditional Access, Microsoft Entra User Conditional Access e Microsoft Entra Private Access.
Versão 2.237 do Defender for Identity
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
maio de 2024
Defender for Identity versão 2.236
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.235
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Abril de 2024
Detete facilmente a vulnerabilidade de desvio de recurso de segurança do Kerberos do Windows CVE-2024-21427
Para ajudar os clientes a identificar e detetar melhor as tentativas de ignorar os protocolos de segurança de acordo com esta vulnerabilidade, adicionámos uma nova atividade no Advanced Hunting que monitoriza a autenticação Kerberos AS.
Com esses dados, os clientes agora podem criar facilmente suas próprias regras de deteção personalizadas no Microsoft Defender XDR e disparar automaticamente alertas para esse tipo de atividade
Acesse o portal Defender XDR -> Caça -> Caça Avançada.
Agora, você pode copiar nossa consulta recomendada, conforme fornecido abaixo, e clicar em "Criar regra de deteção". Tenha em atenção que a nossa consulta fornecida também rastreia tentativas de início de sessão falhadas, que podem gerar informações não relacionadas com um potencial ataque. Portanto, sinta-se à vontade para personalizar a consulta para atender às suas necessidades específicas.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity versão 2.234
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.233
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Março de 2024
Novas permissões somente leitura para exibir as configurações do Defender for Identity
Agora você pode configurar os usuários do Defender for Identity com permissões somente leitura para exibir as configurações do Defender for Identity.
Para obter mais informações, consulte Permissões necessárias do Defender for Identity no Microsoft Defender XDR.
Nova API baseada em gráfico para visualização e gerenciamento de problemas de integridade
Agora você pode exibir e gerenciar problemas de integridade do Microsoft Defender for Identity por meio da API do Graph
Para obter mais informações, consulte Gerenciando problemas de integridade por meio da Graph API.
Defender for Identity versão 2.232
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.231
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Fevereiro de 2024
Defender for Identity versão 2.230
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Nova avaliação de postura de segurança para configuração de ponto de extremidade AD CS IIS insegura
O Defender for Identity adicionou a nova recomendação Editar pontos de extremidade do IIS (ESC8) de registro de certificado ADCS inseguro no Microsoft Secure Score.
Os Serviços de Certificados do Ative Directory (AD CS) dão suporte ao registro de certificados por meio de vários métodos e protocolos, incluindo o registro via HTTP usando o Serviço de Registro de Certificado (CES) ou a interface de Registro na Web (Certsrv). Configurações inseguras dos pontos de extremidade CES ou Certsrv IIS podem criar vulnerabilidades para ataques de retransmissão (ESC8).
A nova recomendação Editar pontos de extremidade do IIS (ESC8) de registro de certificado ADCS inseguro é adicionada a outras recomendações relacionadas ao AD CS lançadas recentemente. Juntas, essas avaliações oferecem relatórios de postura de segurança que revelam problemas de segurança e graves erros de configuração que geram riscos para toda a organização, juntamente com deteções relacionadas.
Para obter mais informações, consulte:
- Avaliação de segurança: Editar endpoints do IIS (ESC8) de registro de certificado ADCS inseguro
- Avaliações de postura de segurança para sensores AD CS
- Avaliações de postura de segurança do Microsoft Defender for Identity
Defender for Identity versão 2.229
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Experiência de utilizador melhorada para ajustar os limites de alerta (Pré-visualização)
A página Configurações Avançadas do Defender for Identity agora é renomeada para Ajustar limites de alerta e oferece uma experiência atualizada com flexibilidade aprimorada para ajustar os limites de alerta.
As alterações incluem:
Removemos a opção anterior Remover período de aprendizagem e adicionamos uma nova opção Modo de teste recomendado. Selecione Modo de teste recomendado para definir todos os níveis de limite como Baixo, aumentando o número de alertas e define todos os outros níveis de limite como somente leitura.
A coluna Nível de sensibilidade anterior agora é renomeada como Nível de limite, com valores recém-definidos. Por padrão, todos os alertas são definidos como um limite Alto , que representa o comportamento padrão e uma configuração de alerta padrão.
A tabela a seguir lista o mapeamento entre os valores de nível de sensibilidade anteriores e os novos valores de nível de limite:
| Nível de sensibilidade (nome anterior) | Nível de limite (novo nome) |
|---|---|
| Normal | Alto |
| Medium | Medium |
| Alto | Baixo |
Se você tinha valores específicos definidos na página Configurações avançadas , nós os transferimos para a nova página Ajustar limites de alerta da seguinte maneira:
| Configuração avançada da página de definições | Nova configuração da página Ajustar limites de alerta |
|---|---|
| Remover o período de aprendizagem ativado | Modo de teste recomendado desativado. As definições de configuração do limiar de alerta permanecem as mesmas. |
| Remover período de aprendizagem desativado | Modo de teste recomendado desativado. As definições de configuração do limite de alerta são todas redefinidas para seus valores padrão, com um nível de limite Alto . |
Os alertas são sempre acionados imediatamente se a opção Modo de teste recomendado estiver selecionada ou se um nível de limite estiver definido como Médio ou Baixo, independentemente de o período de aprendizagem do alerta já ter sido concluído.
Para obter mais informações, consulte Ajustar limites de alerta.
As páginas de detalhes do dispositivo agora incluem descrições do dispositivo (Visualização)
O Microsoft Defender XDR agora inclui descrições de dispositivos em painéis de detalhes de dispositivos e páginas de detalhes de dispositivos. As descrições são preenchidas a partir do atributo Descrição do Ative Directory do dispositivo.
Por exemplo, no painel lateral de detalhes do dispositivo:
Para obter mais informações, consulte Etapas de investigação para dispositivos suspeitos.
Defender for Identity versão 2.228
Esta versão inclui melhorias e correções de bugs para serviços de nuvem e o sensor Defender for Identity, além dos seguintes novos alertas:
- Reconhecimento de enumeração de conta (LDAP) (ID externo 2437) (Visualização)
- Alteração de senha do modo de restauração dos serviços de diretório (ID externo 2438) (visualização)
Janeiro de 2024
Defender for Identity versão 2.227
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Guia Linha do tempo adicionada para entidades de grupo
Agora você pode exibir atividades e alertas relacionados a entidades do grupo do Ative Directory dos últimos 180 dias no Microsoft Defender XDR, como alterações de associação de grupo, consultas LDAP e assim por diante.
Para acessar a página da linha do tempo do grupo, selecione Abrir linha do tempo no painel de detalhes do grupo.
Por exemplo:
Para obter mais informações, consulte Etapas de investigação para grupos suspeitos.
Configurar e validar seu ambiente do Defender for Identity via PowerShell
O Defender for Identity agora oferece suporte ao novo módulo PowerShell do DefenderForIdentity , projetado para ajudá-lo a configurar e validar seu ambiente para trabalhar com o Microsoft Defender for Identity.
Usando os comandos do PowerShell para evitar configurações incorretas e economizar tempo e evitar cargas desnecessárias em seu sistema.
Adicionamos os seguintes procedimentos à documentação do Defender for Identity para ajudá-lo a usar os novos comandos do PowerShell:
- Alterar a configuração de proxy usando o PowerShell
- Configurar, obter e testar políticas de auditoria usando o PowerShell
- Gerar um relatório com as configurações atuais via PowerShell
- Teste suas permissões e delegações DSA via PowerShell
- Testar a conectividade do serviço usando o PowerShell
Para obter mais informações, consulte:
- Módulo PowerShell DefenderForIdentity (Galeria do PowerShell)
- Documentação de referência do PowerShell DefenderForIdentity
Defender for Identity versão 2.226
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.225
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Dezembro de 2023
Nota
Se você estiver vendo um número reduzido de alertas de tentativa de execução remota de código, consulte nossos anúncios atualizados de setembro, que incluem uma atualização da lógica de deteção do Defender for Identity. O Defender for Identity continua a registrar as atividades de execução remota de código como antes.
Nova área de Identidades e painel no Microsoft 365 Defender (Visualização)
Os clientes do Defender for Identity agora têm uma nova área de Identidades no Microsoft 365 Defender para obter informações sobre segurança de identidade com o Defender for Identity.
No Microsoft 365 Defender, selecione Identidades para ver qualquer uma das seguintes novas páginas:
Painel: esta página mostra gráficos e widgets para ajudá-lo a monitorar as atividades de deteção e resposta a ameaças de identidade. Por exemplo:
Para obter mais informações, consulte Trabalhar com o painel ITDR do Defender for Identity.
Problemas de integridade: esta página é movida da área Identidades de configurações > e lista todos os problemas de integridade atuais para a implantação geral do Defender for Identity e sensores específicos. Para obter mais informações, consulte Microsoft Defender para problemas de integridade do sensor de identidade.
Ferramentas: Esta página contém links para informações e recursos úteis ao trabalhar com o Defender for Identity. Nesta página, encontre links para a documentação, especificamente sobre a ferramenta de planejamento de capacidade, e o script Test-MdiReadiness.ps1.
Defender for Identity versão 2.224
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Avaliações de postura de segurança para sensores AD CS (Pré-visualização)
As avaliações de postura de segurança do Defender for Identity detetam e recomendam ações proativamente em suas configurações locais do Ative Directory.
As ações recomendadas agora incluem as novas avaliações de postura de segurança a seguir, especificamente para modelos de certificado e autoridades de certificação.
Ações recomendadas de modelos de certificado:
- Impedir que os usuários solicitem um certificado válido para usuários arbitrários com base no modelo de certificado (ESC1)
- Edite um modelo de certificado excessivamente permissivo com EKU privilegiado (EKU de qualquer finalidade ou sem EKU) (ESC2)
- Modelo de certificado de agente de registro (ESC3) configurado incorretamente
- Editar modelos de certificado configurados incorretamente ACL (ESC4)
- Editar proprietário de modelos de certificado mal configurado (ESC4)
Ações recomendadas pela autoridade de certificação:
As novas avaliações estão disponíveis no Microsoft Secure Score, enfrentando problemas de segurança e graves erros de configuração que representam riscos para toda a organização, juntamente com as deteções. Sua pontuação é atualizada de acordo.
Por exemplo:
Para obter mais informações, consulte Avaliações de postura de segurança do Microsoft Defender for Identity.
Nota
Embora as avaliações de modelo de certificado estejam disponíveis para todos os clientes que têm o AD CS instalado em seu ambiente, as avaliações da autoridade de certificação estão disponíveis apenas para clientes que instalaram um sensor em um servidor AD CS. Para obter mais informações, consulte Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS).
Defender for Identity versão 2.223
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.222
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.221
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Novembro de 2023
Defender for Identity versão 2.220
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.219
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
A linha do tempo de identidade inclui mais de 30 dias de dados (Visualização)
O Defender for Identity está implementando gradualmente retenções de dados estendidas em detalhes de identidade para mais de 30 dias.
A guia Linha do tempo da página de detalhes de identidade, que inclui atividades do Defender for Identity, Microsoft Defender for Cloud Apps e Microsoft Defender for Endpoint, atualmente inclui um mínimo de 150 dias e está crescendo. Pode haver alguma variação nas taxas de retenção de dados nas próximas semanas.
Para exibir atividades e alertas na linha do tempo de identidade dentro de um período de tempo específico, selecione os 30 Dias padrão e, em seguida, selecione Intervalo personalizado. Os dados filtrados de mais de 30 dias atrás são mostrados por um máximo de sete dias de cada vez.
Por exemplo:
Para obter mais informações, consulte Investigar ativos e Investigar usuários no Microsoft Defender XDR.
Defender for Identity versão 2.218
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Outubro de 2023
Defender for Identity versão 2.217
Esta versão inclui as seguintes melhorias:
Relatório de resumo: o relatório de resumo é atualizado para incluir duas novas colunas na guia Problemas de saúde:
- Detalhes: informações adicionais sobre o problema, como uma lista de objetos impactados ou sensores específicos nos quais o problema ocorre.
- Recomendações: uma lista de ações recomendadas que podem ser tomadas para resolver o problema ou como investigá-lo mais a fundo.
Para obter mais informações, consulte Baixar e agendar relatórios do Defender for Identity no Microsoft Defender XDR (Visualização).
Problemas de saúde: Adicionado o botão "Remover período de aprendizagem" foi automaticamente desativado devido a este problema de integridade do locatário
Esta versão também inclui correções de bugs para serviços de nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.216
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Setembro de 2023
Diminuição do número de alertas para tentativas de execução remota de código
Para alinhar melhor os alertas do Defender for Identity e do Microsoft Defender for Endpoint, atualizamos a lógica de deteção para as deteções de tentativa de execução remota de código do Defender for Identity.
Embora essa alteração resulte em um número reduzido de alertas de tentativa de execução remota de código, o Defender for Identity continua a registrar as atividades de execução remota de código. Os clientes podem continuar a criar suas próprias consultas de caça avançadas e criar políticas de deteção personalizadas.
Configurações de sensibilidade de alerta e aprimoramentos do período de aprendizagem
Alguns alertas do Defender for Identity aguardam um período de aprendizado antes que os alertas sejam acionados, enquanto criam um perfil de padrões a serem usados ao distinguir entre atividades legítimas e suspeitas.
O Defender for Identity agora oferece os seguintes aprimoramentos para a experiência do período de aprendizagem:
Os administradores agora podem usar a configuração Remover período de aprendizado para configurar a sensibilidade usada para alertas específicos. Defina a sensibilidade como Normal para configurar a configuração Remover período de aprendizagem como Desativado para o tipo de alerta selecionado.
Depois de implantar um novo sensor em um novo espaço de trabalho do Defender for Identity, a configuração Remover período de aprendizagem é ativada automaticamente por 30 dias. Quando 30 dias estiverem concluídos, a configuração Remover período de aprendizagem será automaticamente desativada e os níveis de sensibilidade de alerta retornarão à funcionalidade padrão.
Para que o Defender for Identity use a funcionalidade de período de aprendizagem padrão, onde os alertas não são gerados até que o período de aprendizado seja concluído, configure a configuração Remover períodos de aprendizagem como Desativado.
Se tiver atualizado anteriormente a definição Remover período de aprendizagem, a definição mantém-se tal como a tinha configurado.
Para obter mais informações, consulte Configurações avançadas.
Nota
A página Configurações avançadas listava originalmente o alerta de reconhecimento de enumeração de conta nas opções Remover período de aprendizado como configurável para configurações de sensibilidade. Este alerta foi removido da lista e é substituído pelo alerta de reconhecimento da entidade de segurança (LDAP). Este bug da interface do usuário foi corrigido em novembro de 2023.
Defender for Identity versão 2.215
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Os relatórios do Defender for Identity foram movidos para a área principal de Relatórios
Agora você pode acessar os relatórios do Defender for Identity na área principal de Relatórios do Microsoft Defender XDR, em vez da área Configurações. Por exemplo:
Para obter mais informações, consulte Baixar e agendar relatórios do Defender for Identity no Microsoft Defender XDR (Visualização).
Botão Go hunt para grupos no Microsoft Defender XDR
O Defender for Identity adicionou o botão Go hunt para grupos no Microsoft Defender XDR. Os usuários podem usar o botão Go hunt para consultar atividades e alertas relacionados ao grupo durante uma investigação.
Por exemplo:
Para obter mais informações, consulte Procurar rapidamente informações de entidades ou eventos com o go hunt.
Defender for Identity versão 2.214
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Melhorias de desempenho
O Defender for Identity fez melhorias internas para latência, estabilidade e desempenho ao transferir eventos em tempo real dos serviços do Defender for Identity para o Microsoft Defender XDR. Os clientes não devem esperar atrasos nos dados do Defender for Identity que aparecem no Microsoft Defender XDR, como alertas ou atividades de busca avançada.
Para obter mais informações, consulte:
- Alertas de segurança no Microsoft Defender for Identity
- Avaliações de postura de segurança do Microsoft Defender for Identity
- Procure proativamente ameaças com caça avançada no Microsoft Defender XDR
Agosto de 2023
Defender for Identity versão 2.213
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.212
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Defender for Identity versão 2.211
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.
Novo tipo de sensor para os Serviços de Certificados do Ative Directory (AD CS)
O Defender for Identity agora suporta o novo tipo de sensor ADCS para um servidor dedicado com os Serviços de Certificados do Ative Directory (AD CS) configurados.
Você vê o novo tipo de sensor identificado na página Sensores de identidades > de configurações > no Microsoft Defender XDR. Para obter mais informações, consulte Gerenciar e atualizar sensores do Microsoft Defender for Identity.
Juntamente com o novo tipo de sensor, o Defender for Identity agora também fornece alertas relacionados do AD CS e relatórios de Pontuação Segura. Para visualizar os novos alertas e relatórios de Pontuação Segura, certifique-se de que os eventos necessários estão a ser recolhidos e registados no servidor. Para obter mais informações, consulte Configurar auditoria para eventos dos Serviços de Certificados do Ative Directory (AD CS).
O AD CS é uma função do Windows Server que emite e gerencia certificados PKI (infraestrutura de chave pública) em protocolos seguros de comunicação e autenticação. Para obter mais informações, consulte O que são os Serviços de Certificados do Ative Directory?
Defender for Identity versão 2.210
Esta versão inclui melhorias e correções de bugs para serviços em nuvem e o sensor Defender for Identity.