適用於身分識別的 Microsoft Defender 的新功能
本文會經常更新,讓您知道最新版本 適用於身分識別的 Microsoft Defender 的新功能。
重要
使用傳統適用於身分識別的 Defender 入口網站的客戶現在會自動重新導向至 Microsoft Defender 全面偵測回應,而沒有選項可還原回傳統入口網站。
如需詳細資訊,請參閱我們的部落格文章和 適用於身分識別的 Microsoft Defender Microsoft Defender 全面偵測回應。
取得更新的通知
複製以下 URL 並在您的摘要讀取程式中貼上,以在此頁面更新時接收通知:https://aka.ms/mdi/rss
新功能範圍和參考
適用於身分識別的Defender版本會逐漸部署到客戶租使用者。 如果這裡記載了您尚未在租使用者中看到的功能,請稍後回來查看更新。
如需詳細資訊,請參閱:
- Microsoft Defender 全面偵測回應 的新功能
- 適用於端點的 Microsoft Defender 的新功能
- Microsoft Defender for Cloud Apps 有什麼新功能
如需六個月前或更早版本發行的版本和功能更新,請參閱 適用於身分識別的 Microsoft Defender 的新功能封存。
2024 年 4 月
適用於身分識別的Defender 2.234版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.233版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
2024 年 3 月
檢視適用於身分識別的Defender設定的新唯讀許可權
現在,您可以使用唯讀許可權設定適用於身分識別的Defender使用者,以檢視適用於身分識別的Defender設定。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中適用於身分識別的必要許可權 Defender。
用於檢視和管理健全狀況問題的新圖形型 API
現在您可以透過圖形 API 檢視和管理 適用於身分識別的 Microsoft Defender 健康情況問題
如需詳細資訊,請參閱 透過圖形 API 管理健康情況問題。
適用於身分識別的Defender 2.232版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.231版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
2024 年 2 月
適用於身分識別的 Defender 2.230 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
不安全 AD CS IIS 端點設定的新安全性狀態評估
適用於身分識別的 Defender 已在 Microsoft 安全分數中新增新的 編輯不安全 ADCS 憑證註冊 IIS 端點 (ESC8) 建議。
Active Directory 憑證服務 (AD CS) 透過各種方法和通訊協定支援憑證註冊,包括使用憑證註冊服務 (CES) 或 Web 註冊介面 (Certsrv) 透過 HTTP 註冊。 CES 或 Certsrv IIS 端點不安全的組態可能會造成轉送攻擊的弱點(ESC8)。
新的 編輯不安全 ADCS 憑證註冊 IIS 端點 (ESC8) 建議會新增至最近發行的其他 AD CS 相關建議。 這些評量一起提供安全性狀態報告,以呈現安全性問題和嚴重設定,將風險張貼到整個組織,以及相關的偵測。
如需詳細資訊,請參閱
適用於身分識別的 Defender 2.229 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
調整警示閾值的增強使用者體驗 (預覽)
適用於身分識別的 Defender 進階 設定 頁面現在已重新命名為 [調整警示閾值],並提供重新整理的體驗,以增強調整警示閾值的彈性。
變更包括:
我們已移除先前 的 [移除學習期間] 選項,並新增了新的 [建議的測試模式 ] 選項。 選取 [建議的測試模式 ] 將所有閾值層級設定為 [低]、增加警示數目,並將所有其他閾值層級設定為只讀。
先前的敏感度層級數據行現在會重新命名為臨界值層級,並具有新定義的值。 根據預設,所有警示都會設定為 高 閾值,代表預設行為和標準警示組態。
下表列出先前 敏感度層級 值與新 閾值層級 值之間的對應:
敏感度層級 (上一個名稱) | 臨界值層級 (新名稱) |
---|---|
Normal | 高 |
中 | 中 |
高 | 低 |
如果您在 [進階 設定] 頁面上定義了特定值,我們已將它們傳輸至新的 [調整警示閾值] 頁面,如下所示:
進階設定頁面組態 | 新增 [調整警示閾值] 頁面設定 |
---|---|
拿掉開啟的學習期間 | 建議的測試模式 已關閉。 警示閾值組態設定維持不變。 |
拿掉已關閉的學習期間 | 建議的測試模式 已關閉。 警示閾值組態設定全都會重設為其預設值,且 具有高 閾值層級。 |
如果 選取 [建議的測試模式 ] 選項,或閾值等級設定為 [中 ] 或 [低],不論警示的學習期間是否已完成,一律會立即觸發警示。
如需詳細資訊,請參閱 調整警示閾值。
裝置詳細資料頁面現在包含裝置描述(預覽)
Microsoft Defender 全面偵測回應 現在包含裝置詳細數據窗格和裝置詳細數據頁面上的裝置描述。 描述會從裝置的 Active Directory Description 屬性填入。
例如,在裝置詳細數據側邊窗格:
如需詳細資訊,請參閱 可疑裝置的調查步驟。
適用於身分識別的Defender 2.228版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正,以及下列新警示:
2024 年一月
適用於身分識別的Defender 2.227版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
已新增群組實體的 [時程表] 索引標籤
現在,您可以在 Microsoft Defender 全面偵測回應 中檢視 Active Directory 群組實體相關活動和警示,例如群組成員資格變更、LDAP 查詢等等。
若要存取群組時程表頁面,請選取 [群組詳細數據] 窗格上的 [ 開啟時程表 ]。
例如:
如需詳細資訊,請參閱 可疑群組的調查步驟。
透過PowerShell設定及驗證適用於身分識別的Defender環境
適用於身分識別的 Defender 現在支援新的 DefenderForIdentity PowerShell 模組,其設計目的是協助您設定及驗證環境以使用 適用於身分識別的 Microsoft Defender。
使用 PowerShell 命令來避免設定錯誤並節省時間,並避免系統上不必要的負載。
我們已將下列程式新增至適用於身分識別的 Defender 檔,以協助您使用新的 PowerShell 命令:
- 使用 PowerShell 變更 Proxy 設定
- 使用 PowerShell 設定、取得及測試審核策略
- 透過PowerShell產生具有目前組態的報告
- 透過PowerShell測試 DSA 許可權和委派
- 使用 PowerShell 測試服務連線能力
如需詳細資訊,請參閱
適用於身分識別的Defender 2.226版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.225版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
2023 年 12 月
注意
如果您看到遠端程式代碼執行嘗試警示數目減少,請參閱我們更新的 9 月公告,其中包括適用於身分識別的 Defender 偵測邏輯更新。 適用於身分識別的 Defender 會繼續記錄遠端程式代碼執行活動,如前所述。
Microsoft 365 Defender 中的新身分識別區域和儀錶板 (預覽版)
適用於身分識別的 Defender 客戶現在在 Microsoft 365 Defender 中有新的身分識別區域,以取得適用於身分識別的 Defender 身分識別安全性的相關信息。
在 Microsoft 365 Defender 中,選取 [ 身分 識別] 以查看下列任何新頁面:
儀錶板:此頁面會顯示圖表和小工具,以協助您監視身分識別威脅偵測和響應活動。 例如:
如需詳細資訊,請參閱 使用適用於身分識別的DefenderITDR儀錶板。
健康情況問題:此頁面會從 [設定 > 身分識別] 區域移動,並列出適用於身分識別的一般 Defender 部署和特定感測器的任何目前健康情況問題。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 感測器健康情況問題。
工具:此頁面包含使用適用於身分識別的 Defender 時,實用資訊和資源的連結。 在此頁面上,尋找文件的連結,特別是容量規劃工具和 Test-MdiReadiness.ps1 腳本。
適用於身分識別的 Defender 2.224 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
AD CS 感測器的安全性狀態評估 (預覽)
適用於身分識別的 Defender 安全性狀態評估會主動偵測並建議跨 內部部署的 Active Directory 組態的動作。
建議的動作現在包含下列新的安全性狀態評估,特別是證書範本和證書頒發機構單位。
憑證範本建議的動作:
證書頒發機構單位建議的動作:
新的評量可在 Microsoft 安全分數中取得,並顯示安全性問題和嚴重設定,這些設定會對整個組織造成風險,以及偵測。 您的分數會據以更新。
例如:
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估。
注意
雖然 證書範本 評量適用於所有在其環境上安裝 AD CS 的客戶, 但證書頒發機構單位 評定僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請參閱 Active Directory 憑證服務的新感測器類型(AD CS)。
適用於身分識別的Defender 2.223版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.222版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.221版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
2023 年 11 月
適用於身分識別的 Defender 2.220 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的 Defender 2.219 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
身分識別時程表包含超過 30 天的資料 (預覽)
適用於身分識別的 Defender 會逐漸推出身分識別詳細數據延伸至 30 天以上的延伸數據保留期。
[身分識別詳細數據] 頁面 [時程表] 索引標籤,其中包含適用於身分識別的Defender、適用於雲端的 Microsoft Defender Apps和適用於端點的 Microsoft Defender的活動,目前至少包含150天且正在成長。 在接下來的幾周內,數據保留率可能會有一些變化。
若要在特定時間範圍內檢視識別時間軸上的活動和警示,請選取預設 的 30 天 ,然後選取 [ 自定義範圍]。 從 30 天前篩選的數據一次最多會顯示七天。
例如:
如需詳細資訊,請參閱調查 Microsoft Defender 全面偵測回應 中的資產和調查使用者。
適用於身分識別的Defender 2.218版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
2023 年 10 月
適用於身分識別的Defender 2.217版
此版本包含下列改善:
摘要報告:摘要報告會更新為在 [健康情況問題] 索引標籤中包含兩個新的數據行:
- 詳細數據:問題的其他資訊,例如發生問題之受影響物件或特定感測器的清單。
- 建議:可採取以解決問題的建議動作清單,或如何進一步調查問題。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中下載及排程適用於身分識別的Defender報告(預覽版)。
健康情況問題:已針對此租使用者健康情況問題自動關閉 [移除學習期間] 切換
此版本也包含雲端服務和適用於身分識別的 Defender 感測器的錯誤修正。
適用於身分識別的Defender 2.216版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
2023 年 9 月
遠端程式代碼執行嘗試的警示數目減少
為了更好地配合適用於身分識別的 Defender 和 適用於端點的 Microsoft Defender 警示,我們已更新適用於身分識別的 Defender 遠端程式代碼執行嘗試偵測的偵測邏輯。
雖然這項變更會導致遠端程式代碼執行嘗試警示數目減少,但適用於身分識別的 Defender 會繼續記錄遠端程式代碼執行活動。 客戶可以繼續建置自己的 進階搜捕查詢 ,並建立 自定義偵測原則。
警示敏感度設定和學習期間增強功能
某些適用於身分識別的 Defender 警示會在觸發警示之前等候 學習期間 ,同時建置模式配置檔,以區別合法和可疑活動時使用。
適用於身分識別的 Defender 現在提供下列學習期間體驗的增強功能:
管理員 istrators 現在可以使用拿掉學習期間設定,以設定用於特定警示的敏感度。 將敏感度定義為 [一般 ],以 針對選取的警示類型,將 [移除學習期間] 設定為 [關閉 ]。
在新的適用於身分識別的 Defender 工作區中部署新的感測器之後,[移除學習期間] 設定會自動開啟 30 天。 當 30 天完成時, [移除學習期間 ] 設定會自動關閉 , 且警示敏感度層級會傳回其預設功能。
若要讓適用於身分識別的 Defender 使用標準學習期間功能,在完成學習期間之前不會產生警示, 請將 [移除學習期間] 設定為 [ 關閉]。
如果您先前已更新 [移除學習期間 ] 設定,您的設定會維持在您設定時的狀態。
如需詳細資訊,請參閱 進階設定。
注意
[進階 設定] 頁面最初列出 [移除學習期間] 選項底下的 [帳戶] 列舉偵察警示,可設定敏感度設定。 此警示已從清單中移除,並由安全性主體偵察 (LDAP) 警示取代。 此使用者介面錯誤已於 2023 年 11 月修正。
適用於身分識別的Defender 2.215版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的 Defender 報表已移至主要報表區域
現在,您可以從 Microsoft Defender 全面偵測回應 的主要報表區域存取適用於身分識別的 Defender 報表,而不是 設定 區域。 例如:
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中下載和排程適用於身分識別的Defender報告(預覽版)。
在 Microsoft Defender 全面偵測回應 中搜尋群組的 [搜尋] 按鈕
適用於身分識別的 Defender 已在 Microsoft Defender 全面偵測回應 中新增群組的 [移至搜尋] 按鈕。 用戶可以在調查期間,使用 [ 移至搜尋 ] 按鈕來查詢群組相關活動和警示。
例如:
如需詳細資訊,請參閱 使用 go hunt 快速搜尋實體或事件資訊。
適用於身分識別的Defender 2.214版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
效能增強
適用於身分識別的 Defender 在將即時事件從適用於身分識別的 Defender 服務傳輸至 Microsoft Defender 全面偵測回應 時,已針對延遲、穩定性和效能進行內部改善。 客戶應該不會預期適用於身分識別的Defender資料不會出現在Microsoft Defender 全面偵測回應中,例如進階搜捕的警示或活動。
如需詳細資訊,請參閱
- 適用於身分識別的 Microsoft Defender 中的安全性警示
- 適用於身分識別的 Microsoft Defender的安全性狀態評估
- 在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅
2023 年 8 月
適用於身分識別的Defender 2.213版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.212版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
適用於身分識別的Defender 2.211版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
Active Directory 憑證服務的新感測器類型 (AD CS)
適用於身分識別的 Defender 現在針對已設定 Active Directory 憑證服務 (AD CS) 的專用伺服器支援新的 ADCS 感測器類型。
您會在 Microsoft Defender 全面偵測回應 的 [設定 > 身分>識別感測器] 頁面中看到識別的新感測器類型。 如需詳細資訊,請參閱管理及更新 適用於身分識別的 Microsoft Defender 感測器。
與新的感測器類型一起,適用於身分識別的 Defender 現在也提供相關的 AD CS 警示和安全分數報告。 若要檢視新的警示和安全分數報告,請確定已收集並登入您的伺服器所需的事件。 如需詳細資訊,請參閱 設定 Active Directory 憑證服務 (AD CS) 事件的稽核。
AD CS 是 Windows Server 角色,會在安全通訊和驗證通訊協議中發行和管理公鑰基礎結構 (PKI) 憑證。 如需詳細資訊,請參閱 什麼是 Active Directory 憑證服務?
適用於身分識別的Defender 2.210版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。
下一步
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: