Microsoft Defender for Identity 中的新增功能
本文会经常更新,以便用户了解最新版 Microsoft Defender for Identity 中的新增功能。
重要
使用旧版 Defender for Identity 门户的客户现在会自动重定向到 Microsoft Defender XDR,并且无法恢复到旧版门户。
有关更多信息,请参阅我们的博客文章和 Microsoft Defender XDR 中的 Microsoft Defender for Identity。
获取有关更新的通知
在通过将以下 URL 复制粘贴到源阅读器中更新此页面时获得通知:https://aka.ms/mdi/rss
新增功能范围和参考
Defender for Identity 版本逐步在客户租户中部署。 如果尚未在租户中看到此处记录的功能,请稍后检查更新。
有关详细信息,请参阅:
- Microsoft Defender XDR 中的新增功能
- Microsoft Defender for Endpoint 中的新增功能
- Microsoft Defender for Cloud Apps 中的新增功能
有关六个月前或更早发布的版本和功能的更新,请参阅 Microsoft Defender for Identity 的新增功能存档。
2024 年 4 月
Defender for Identity 版本 2.234
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.233
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
2024 年 3 月
查看 Defender for Identity 设置的新只读权限
现在,可以配置具有只读权限的 Defender for Identity 用户查看 Defender for Identity 设置。
有关更多信息,请参阅 Microsoft Defender XDR 中 Defender for Identity 的必要权限。
用于查看和管理运行状况问题的基于图形的新 API
现在,可以通过图形 API 来查看和管理 Microsoft Defender for Identity 运行状况问题
有关详细信息,请参阅通过图形 API 管理运行状况问题。
Defender for Identity 版本 2.232
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.231
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
2024 年 2 月
Defender for Identity 版本 2.230
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
针对不安全 AD CS IIS 终结点配置的新安全状况评估
Defender for Identity 已在 Microsoft 安全功能分数中添加新的编辑不安全 ADCS 证书注册 IIS 终结点 (ESC8) 建议。
Active Directory 证书服务 (AD CS) 支持通过各种方法和协议来注册证书,其中包括使用证书注册服务 (CES) 或 Web 注册界面 (Certsrv) 以通过 HTTP 进行注册。 CES 或 Certsrv IIS 终结点的不安全配置可能会造成中继攻击 (ESC8) 漏洞。
新的编辑不安全 ADCS 证书注册 IIS 终结点 (ESC8) 建议已添加到最近发布的与 AD CS 相关的其他建议中。 这些评估可共同提供安全状况报告,而这些报告揭示了会给整个组织带来风险的安全问题和严重错误配置,同时还提供了相关检测。
有关详细信息,请参阅:
Defender for Identity 版本 2.229
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
用于调整警报阈值的增强用户体验(预览版)
Defender for Identity 高级设置页面现已重命名为调整警报阈值,并提供全新体验以提高调整警报阈值的灵活性。
更改包括:
我们已删除以前的删除学习期选项,并添加新的推荐测试模式选项。 选择推荐测试模式以将所有阈值级别设为低从而增加警报数,并将所有其他阈值级别设为只读。
以前的敏感度级别列现已重命名为阈值级别,其中包含新定义的值。 默认情况下,所有警报均会设为高阈值,而它表示默认行为和标准警报配置。
下表列出了以前的敏感度级别值与新的阈值级别值之间的映射关系:
| 敏感度级别(上一名称) | 阈值级别(新名称) |
|---|---|
| 正常 | 高 |
| 中等 | 中等 |
| 高 | 低 |
如果之前已在高级设置页面上定义特定值,我们则会将其传输到新的调整警报阈值页面,如下所示:
| “高级设置”页面配置 | 新的“调整警报阈值”页面配置 |
|---|---|
| 打开删除学习期 | 关闭推荐测试模式。 警报阈值配置设置保持不变。 |
| 关闭删除学习期 | 关闭推荐测试模式。 警报阈值配置设置均重置为其默认值,并具有高阈值级别。 |
如果选择推荐测试模式选项,或将阈值级别设为中或低,则无论警报的学习期是否已完成,始终会立即触发警报。
有关详细信息,请参阅调整警报阈值。
设备详细信息页面现在包括设备说明(预览版)
Microsoft Defender XDR 现在在设备详细信息窗格和设备详细信息页上包括设备说明。 这些说明是从设备的 Active Directory 说明属性填充的。
例如,在设备详细信息侧窗格中:
有关详细信息,请参阅可疑设备的调查步骤。
Defender for Identity 版本 2.228
此版本包括对云服务和 Defender for Identity 传感器的改进和 bug 修复,以及以下新警报:
2024 年 1 月
Defender for Identity 版本 2.227
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
为组实体新增时间线选项卡
现在,可在 Microsoft Defender XDR 中查看过去 180 天内与 Active Directory 组实体相关的活动和警报,例如组成员身份更改、LDAP 查询等。
若要访问组时间线页面,请在组详细信息窗格中选择打开时间线。
例如:
有关详细信息,请参阅可疑组的调查步骤。
通过 PowerShell 配置和验证 Defender for Identity 环境
Defender for Identity 现在支持新的 DefenderForIdentity PowerShell 模块,而该模块旨在帮助配置和验证环境以便使用 Microsoft Defender for Identity。
使用 PowerShell 命令可避免出现错误配置并节省时间,同时还可避免对系统施加不必要的负载。
我们已将以下过程添加到 Defender for Identity 文档,以帮助你使用新的 PowerShell 命令:
- 使用 PowerShell 更改代理配置
- 使用 PowerShell 配置、获取和测试审核策略
- 通过 PowerShell 生成附带当前配置的报表
- 通过 PowerShell 测试 DSA 权限和委派
- 使用 PowerShell 测试服务连接
有关详细信息,请参阅:
Defender for Identity 版本 2.226
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.225
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
2023 年12 月
注意
如果看到“远程代码执行尝试”警报数量减少,请参阅我们更新的 9 月公告,其中包括对 Defender for Identity 检测逻辑的更新。 Defender for Identity 继续像以前一样记录远程代码执行活动。
Microsoft 365 Defender 中的新“标识”区域和仪表板(预览版)
Defender for Identity 客户现在可在 Microsoft 365 Defender 中使用一个新的标识区域,以便了解 Defender for Identity 的标识安全性。
在 Microsoft 365 Defender 中,选择标识可查看以下任意新页面:
仪表板:此页面将显示多个图形和小组件,以帮助监视标识威胁检测与响应活动。 例如:
有关详细信息,请参阅使用 Defender for Identity 的 ITDR 仪表板。
运行状况问题:此页面先前源自设置>标识区域,且会列出常规 Defender for Identity 部署和特定传感器的所有当前运行状况问题。 有关详细信息,请参阅 Microsoft Defender for Identity 传感器运行状况问题。
工具:此页面包含使用 Defender for Identity 时实用信息与资源的链接。 在此页面上,查找文档的链接,尤其是有关容量规划工具和和 Test-MdiReadiness.ps1 脚本的链接。
Defender for Identity 版本 2.224
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
针对 AD CS 传感器的安全状况评估(预览版)
Defender for Identity 的安全状况评估会主动检测并推荐跨本地 Active Directory 配置的操作。
建议的操作现在包括以下新的安全状况评估项目,尤其是针对证书模板和证书颁发机构的评估。
证书模板建议操作:
证书颁发机构建议操作:
这些新的评估项目将在 Microsoft 安全功能分数中提供,从而揭示安全问题和严重配置错误,而这些错误会对整个组织和检测构成风险。 分数会相应更新。
例如:
有关更多信息,请参阅 Microsoft Defender for Identity 的安全状况评估。
注意
虽然证书模板评估适用于已在其环境中安装 AD CS 的所有客户,但证书颁发机构评估仅适用于已在 AD CS 服务器上安装传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务 (AD CS) 的新传感器类型。
Defender for Identity 版本 2.223
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.222
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.221
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
2023 年 11 月
Defender for Identity 版本 2.220
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.219
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
标识时间线包含超过 30 天的数据(预览版)
Defender for Identity 正在逐步将标识详细信息的扩展数据保留期限延长至 30 天以上。
标识详细信息页的“时间线”选项卡包括来自 Defender for Identity、Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint 的活动,目前至少包含 150 天,并且还在增长。 在接下来的几周内,数据保留率可能会出现一些变化。
要查看特定时间范围内标识时间线的活动和警报,请选择默认的“30 天”,然后选择“自定义范围”。 超过 30 天前的筛选数据一次最多只显示 7 天的数据。
例如:
有关更多信息,请参阅调查资产和在 Microsoft Defender XDR 中调查用户。
Defender for Identity 版本 2.218
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
2023 年 10 月
Defender for Identity 版本 2.217
此版本包括以下改进:
摘要报告:摘要报告已更新,以便在运行状况问题选项卡中包含新的两列:
- 详细信息:有关此问题的其他信息,例如受影响对象列表或发生问题的特定传感器。
- 推荐:可用于解决问题或如何进一步调查问题的建议操作列表。
有关更多信息,请参阅在 Microsoft Defender XDR(预览版)中下载并计划 Defender for Identity 报告。
运行状况问题:新增此租户的“删除学习期”开关自动关闭运行状况问题
此版本还包括云服务和 Defender for Identity 传感器的缺陷修复。
Defender for Identity 版本 2.216
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
2023 年 9 月
“远程代码执行尝试”的警报数量减少
为使 Defender for Identity 与 Microsoft Defender for Endpoint 警报更趋一致,我们更新了 Defender for Identity 远程代码执行尝试检测的检测逻辑。
虽然此更改导致“远程代码执行尝试”警报的数量减少,但 Defender for Identity 将继续记录远程代码执行活动。 客户可以继续构建自己的高级搜寻查询并创建自定义检测策略。
警报敏感度设置和学习期增强功能
某些 Defender for Identity 警报在触发警报之前会等待一个学习期,同时创建一个模式配置文件,以便在区分合法活动和可疑活动时使用。
Defender for Identity 现在为学习期体验提供了以下增强功能:
管理员现在可以使用“删除学习期”设置以配置用于特定警报的敏感度。 将敏感度定义为“标准”,以将所选警报类型的“删除学习期”设置配置为“关闭”。
在新的 Defender for Identity 工作区中部署新传感器后,删除学习期设置会自动打开 30 天。 30 天结束后,删除学习期设置会自动关闭,而警报敏感度级别也会恢复为其默认功能。
要让 Defender for Identity 使用标准学习期功能(在学习期结束之前不会生成警报),请将“删除学习期”设置配置为“关闭”。
如果之前更新了“删除学习期”设置,则设置将保持与配置时一致。
有关更多信息,请参阅高级设置。
注意
“高级设置”页面最初在“删除学习期”选项下列出了“帐户枚举侦查”警报,作为灵敏度设置的可配置项。 此警报已从列表中删除,并替换为“安全主体侦查 (LDAP)”警报。 此用户界面缺陷已于 2023 年 11 月修复。
Defender for Identity 版本 2.215
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 报告已移至主要“报告”区域
现在,可以从 Microsoft Defender XDR 的主要“报告”区域而非“设置”区域来访问 Defender for Identity 报告。 例如:
有关更多信息,请参阅在 Microsoft Defender XDR(预览版)中下载并计划 Defender for Identity 报告。
Microsoft Defender XDR 中针对组的“开始搜寻”按钮
Defender for Identity 为 Microsoft Defender XDR 中的组新增了执行搜寻按钮。 用户可以使用“开始搜寻”按钮在调查期间查询与组相关的活动和警报。
例如:
有关更多信息,请参阅使用“开始搜寻”快速搜寻实体或事件信息。
Defender for Identity 版本 2.214
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
性能增强功能
在将实时事件从 Defender for Identity 服务传输到 Microsoft Defender XDR 时,Defender for Identity 对延迟、稳定性和性能进行了内部改进。 客户应该期望 Microsoft Defender XDR 中显示的 Defender for Identity 数据不会出现任何延迟,例如用于高级搜寻的警报或活动。
有关详细信息,请参阅:
- Microsoft Defender for Identity 中的安全警报
- Microsoft Defender for Identity 的安全状况评估
- 使用 Microsoft Defender XDR 中的高级搜寻功能主动搜寻威胁
2023 年 8 月
Defender for Identity 版本 2.213
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.212
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Defender for Identity 版本 2.211
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
Active Directory 证书服务 (AD CS)的新传感器类型
对于配置了 Active Directory 证书服务(AD CS) 的专用服务器,Defender for Identity 现在支持新的 ADCS 传感器类型。
Microsoft Defender XDR 中的设置>标识>传感器页面将显示新的传感器类型。 有关更多信息,请参阅管理和更新 Microsoft Defender for Identity 传感器。
除了新的传感器类型之外,Defender for Identity 现在还提供相关的 AD CS 警报和安全功能分数报告。 要查看新的警报和安全功能分数报告,请确保收集所需的事件并将其记录在服务器上。 有关详细信息,请参阅配置 Active Directory 证书服务 (AD CS) 事件审核。
AD CS 是一个 Windows Server 角色,负责颁发和管理安全通信和身份验证协议中的公钥基础结构 (PKI) 证书。 有关更多信息,请参阅什么是 Active Directory 证书服务?
Defender for Identity 版本 2.210
此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈