共用方式為


適用於身分識別的 Microsoft Defender 的新功能

本文會經常更新,讓您知道最新版 適用於身分識別的 Microsoft Defender 的新功能。

新功能範圍和參考

適用於身分識別的Defender版本會逐漸部署到客戶租使用者。 如果這裡記載了您尚未在租使用者中看到的功能,請稍後回來查看更新。

如需詳細資訊,請參閱:

如需六個月前或更早版本發行的版本和功能的更新,請參閱 適用於身分識別的 Microsoft Defender 的新功能封存。

2024 年 10 月

MDI 正在使用新的 10 個身分識別狀態建議來擴展涵蓋範圍(預覽)

新的身分識別安全性狀態評估(ISPM)可協助客戶監視錯誤設定,方法是監看弱點並降低內部部署基礎結構潛在攻擊的風險。
這些新的身分識別建議,作為Microsoft安全分數的一部分,是與 Active Directory 基礎結構和組策略對象相關的新安全性狀態報告:

此外,我們更新了「修改不安全的 Kerberos 委派以防止模擬」的現有建議,以包含 Kerberos 限制委派與通訊協定轉換至特殊許可權服務的指示。

2024 年 8 月

新增Microsoft Entra Connect 感測器:

為了加強混合式身分識別環境中的 適用於身分識別的 Microsoft Defender 涵蓋範圍,我們引進了適用於 Microsoft Entra Connect 伺服器的新感測器。 此外,我們已針對 Microsoft Entra Connect 特別發行新的混合式安全性偵測和新的身分識別狀態建議,協助客戶保持受保護並降低潛在風險。

新的Microsoft Entra Connect 身分識別狀態建議:

  • 輪替 Microsoft Entra Connect 連接器帳戶的密碼
    • 遭入侵的 Microsoft Entra Connect 連接器帳戶 (AD DS 連接器帳戶,通常顯示為 MSOL_XXXXXXXX) 可以授與複寫和密碼重設等高許可權功能的存取權,讓攻擊者修改同步處理設定並入侵雲端和內部部署環境中的安全性,並提供數個路徑來危害整個網域。 在此評量中,我們建議客戶變更 MSOL 帳戶的密碼,其密碼上次設定超過 90 天前。 如需詳細資訊,請點選此處
  • 拿掉Microsoft Entra Connect 帳戶不必要的復寫許可權
    • 根據預設,Microsoft Entra Connect 連接器帳戶具有廣泛的許可權,以確保適當的同步處理(即使它們實際上不需要)。 如果未設定密碼哈希同步,請務必移除不必要的許可權,以減少潛在的受攻擊面。 如需詳細資訊,請按兩下 這裡
  • 變更 Microsoft Entra 無縫 SSO 帳戶設定的密碼
    • 此報告列出所有 Microsoft Entra 無縫 SSO 計算機帳戶,其密碼上次設定超過 90 天前。 Azure SSO 電腦帳戶的密碼不會每隔 30 天自動變更一次。 如果攻擊者入侵此帳戶,他們可以代表任何用戶產生 AZUREADSSOACC 帳戶的服務票證,並模擬從 Active Directory 同步處理之 Microsoft Entra 租使用者中的任何使用者。 攻擊者可以使用此專案,從 Active Directory 橫向移至 Microsoft Entra ID。 如需詳細資訊,請點選此處

新的Microsoft Entra Connect 偵測:

  • 可疑的互動式登入Microsoft Entra Connect 伺服器
    • 直接登入 Microsoft Entra Connect 伺服器是非常不尋常的,而且可能是惡意的。 攻擊者通常會以這些伺服器為目標,以竊取認證以進行更廣泛的網路存取。 適用於身分識別的 Microsoft Defender 現在可以偵測Microsoft Entra Connect 伺服器的異常登入,協助您更快識別並回應這些潛在威脅。 當 Microsoft Entra Connect 伺服器是獨立伺服器,而不是以域控制器運作時,特別適用。
  • 依Microsoft Entra Connect 帳戶重設用戶密碼
    • Microsoft Entra Connect 連接器帳戶通常具有高許可權,包括重設用戶密碼的能力。 適用於身分識別的 Microsoft Defender 現在可檢視這些動作,並偵測已識別為惡意和非合法許可權的任何使用方式。 只有在停用密碼回寫功能時,才會觸發此警示。
  • 敏感性使用者上Microsoft Entra Connect 的可疑回寫
    • 雖然 Microsoft Entra Connect 已防止特殊許可權群組中的使用者回寫,適用於身分識別的 Microsoft Defender 藉由識別其他類型的敏感性帳戶來擴充此保護。 此增強的偵測有助於防止重要帳戶上的未經授權密碼重設,這可以是針對雲端和內部部署環境進階攻擊的重要步驟。

其他改善和功能:

  • 進階搜捕中 『IdentityDirectoryEvents』 資料表中可用敏感性帳戶上任何失敗密碼重設的新活動。 這可協助客戶追蹤失敗的密碼重設事件,並根據此數據建立自定義偵測。
  • 增強DC同步攻擊偵測的正確性
  • 感測器無法從 Microsoft Entra Connect 服務擷取組態的情況,發生新的 健康情況問題
  • 在 Entra Connect 伺服器上啟用新的 Microsoft感測器,以擴充安全性警示的監視,例如 PowerShell 遠端執行偵測器。

深入瞭解新的感測器

已更新DefenderForIdentity PowerShell模組

DefenderForIdentity PowerShell 模組已更新,並併入新功能並解決數個錯誤修正。 主要改進包括:

  • 新的 New-MDIDSA Cmdlet:簡化服務帳戶的建立,並使用群組受控服務帳戶 (gMSA) 的預設設定,以及建立標準帳戶的選項。
  • 自動 PDCe 偵測:自動將主要域控制器模擬器 (PDCe) 設為大部分 Active Directory 作業的目標,以改善組策略物件 (GPO) 建立可靠性。
  • 手動域控制器目標:Cmdlet 的新伺服器參數 Get/Set/Test-MDIConfiguration ,可讓您指定域控制器作為目標,而不是 PDCe。

如需詳細資訊,請參閱

2024 年 7 月

6 新的偵測是公開預覽版的新功能:

  • 可能的 NetSync 攻擊
    • NetSync 是惡意探索後工具Mimikatz中的模組,它藉由假裝成為域控制器來要求目標裝置密碼的密碼哈希。 攻擊者可能會使用這項功能在網路內執行惡意活動,以取得組織資源的存取權。
  • 可能接管Microsoft Entra 無縫 SSO 帳戶
    • Microsoft Entra 無縫 SSO (單一登錄) 帳戶物件 AZUREADSSOACC 已可疑地修改。 攻擊者可能會橫向從內部部署環境移至雲端。
  • 可疑LDAP查詢
    • 偵測到與已知攻擊工具相關聯的可疑輕量型目錄存取通訊協定 (LDAP) 查詢。 攻擊者可能會執行偵察,以取得後續步驟。
  • 可疑的SPN已新增至使用者
    • 可疑的服務主體名稱已新增至敏感性使用者。 攻擊者可能會嘗試取得提升許可權的存取權,以在組織內進行橫向移動
  • 可疑的ESXi群組建立
    • 已在網域中建立可疑的 VMWare ESXi 群組。 這可能表示攻擊者嘗試取得更多許可權,以取得攻擊後續步驟的許可權。
  • 可疑的ADFS驗證
    • 從可疑IP位址使用 Active Directory 同盟服務 (ADFS) 登入的已加入網域的帳戶。 攻擊者可能竊取了用戶的認證,並正使用它在組織中橫向移動。

適用於身分識別的Defender 2.238版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2024 年 6 月

從 ITDR 儀錶板輕鬆搜尋用戶資訊

Shield Widget 提供混合式、雲端和內部部署環境中用戶數目的快速概觀。 這項功能現在包含進階搜捕平臺的直接連結,提供您指尖的詳細用戶資訊。

ITDR 部署健全狀況小工具現在包含Microsoft項目條件式存取和 Microsoft Entra 私人存取

現在您可以檢視 Microsoft Entra Workload 條件式存取、Microsoft Entra User Conditional Access 和 Microsoft Entra 私人存取 的授權可用性。

適用於身分識別的Defender 2.237版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2024 年 5 月

適用於身分識別的Defender 2.236版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.235版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2024 年 4 月

輕鬆偵測 CVE-2024-21427 Windows Kerberos 安全性功能略過弱點

為了協助客戶根據此弱點更清楚地識別及偵測略過安全性通訊協議的嘗試,我們已在進階搜捕中新增活動,以監視 Kerberos AS 驗證。
有了此數據,客戶現在可以輕鬆地在 Microsoft Defender 全面偵測回應 內建立自己的自定義偵測規則,並自動觸發這種類型的活動的警示

Access Defender XDR 入口網站 -> 搜捕 -> 進階搜捕。

現在,您可以複製下列建議的查詢,然後按兩下 [建立偵測規則]。 請注意,我們提供的查詢也會追蹤失敗的登入嘗試,這可能會產生與潛在攻擊無關的資訊。 因此,您可以隨意自定義查詢,以符合您的特定需求。

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

適用於身分識別的Defender 2.234版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.233版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2024 年 3 月

檢視適用於身分識別的Defender設定的新唯讀許可權

現在,您可以使用唯讀許可權設定適用於身分識別的Defender使用者,以檢視適用於身分識別的Defender設定。

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中適用於身分識別的必要許可權 Defender。

用於檢視和管理健全狀況問題的新圖形型 API

現在您可以透過圖形 API 檢視和管理 適用於身分識別的 Microsoft Defender 健康情況問題

如需詳細資訊,請參閱 透過圖形 API 管理健康情況問題。

適用於身分識別的Defender 2.232版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.231版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2024 年 2 月

適用於身分識別的 Defender 2.230 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

不安全 AD CS IIS 端點設定的新安全性狀態評估

適用於身分識別的 Defender 已在 Microsoft安全分數中新增新的 編輯不安全 ADCS 憑證註冊 IIS 端點 (ESC8) 建議。

Active Directory 憑證服務 (AD CS) 透過各種方法和通訊協定支援憑證註冊,包括使用憑證註冊服務 (CES) 或 Web 註冊介面 (Certsrv) 透過 HTTP 註冊。 CES 或 Certsrv IIS 端點不安全的組態可能會造成轉送攻擊的弱點(ESC8)。

新的 編輯不安全 ADCS 憑證註冊 IIS 端點 (ESC8) 建議會新增至最近發行的其他 AD CS 相關建議。 這些評量一起提供安全性狀態報告,以呈現安全性問題和嚴重設定,將風險張貼到整個組織,以及相關的偵測。

如需詳細資訊,請參閱

適用於身分識別的 Defender 2.229 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

調整警示閾值的增強使用者體驗 (預覽)

[適用於身分 識別的 Defender 進階設定 ] 頁面現在已重新命名為 [調整警示閾值 ],並提供重新整理的體驗,以增強調整警示閾值的彈性。

[調整警示閾值] 頁面的螢幕快照。

變更包括:

  • 我們已移除先前 的 [移除學習期間] 選項,並新增了新的 [建議的測試模式 ] 選項。 選取 [建議的測試模式 ] 將所有閾值層級設定為 [低]、增加警示數目,並將所有其他閾值層級設定為只讀。

  • 先前的敏感度層級數據行現在會重新命名為臨界值層級,並具有新定義的值。 根據預設,所有警示都會設定為 閾值,代表預設行為和標準警示組態。

下表列出先前 敏感度層級 值與新 閾值層級 值之間的對應:

敏感度層級 (上一個名稱) 臨界值層級 (新名稱)
Normal

如果您在 [ 進階設定 ] 頁面上定義了特定值,我們已將它們傳輸到新的 [調整警示閾值 ] 頁面,如下所示:

進階設定頁面組態 新增 [調整警示閾值] 頁面設定
拿掉開啟的學習期間 建議的測試模式 已關閉。

警示閾值組態設定維持不變。
拿掉已關閉的學習期間 建議的測試模式 已關閉。

警示閾值組態設定全都會重設為其預設值,且 具有高 閾值層級。

如果 選取 [建議的測試模式 ] 選項,或閾值等級設定為 [中 ] 或 [低],不論警示的學習期間是否已完成,一律會立即觸發警示。

如需詳細資訊,請參閱 調整警示閾值

裝置詳細資料頁面現在包含裝置描述(預覽)

Microsoft Defender 全面偵測回應 現在會在裝置詳細數據窗格和裝置詳細數據頁面上包含裝置描述。 描述會從裝置的 Active Directory Description 屬性填入。

例如,在裝置詳細數據側邊窗格:

裝置詳細數據窗格上 [新裝置描述] 字段的螢幕快照。

如需詳細資訊,請參閱 可疑裝置的調查步驟。

適用於身分識別的Defender 2.228版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正,以及下列新警示:

2024 年 1 月

適用於身分識別的Defender 2.227版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

已新增群組實體的 [時程表] 索引標籤

現在,您可以在 Microsoft Defender 全面偵測回應 中檢視 Active Directory 群組實體相關活動和警示,例如群組成員資格變更、LDAP 查詢等等。

若要存取群組時程表頁面,請選取 [群組詳細數據] 窗格上的 [ 開啟時程表 ]。

例如:

群組實體詳細數據窗格上 [開啟時程表] 按鈕的螢幕快照。

如需詳細資訊,請參閱 可疑群組的調查步驟。

透過PowerShell設定及驗證適用於身分識別的Defender環境

適用於身分識別的 Defender 現在支援新的 DefenderForIdentity PowerShell 模組,其設計目的是協助您設定及驗證環境以使用 適用於身分識別的 Microsoft Defender。

使用 PowerShell 命令來避免設定錯誤並節省時間,並避免系統上不必要的負載。

我們已將下列程式新增至適用於身分識別的 Defender 檔,以協助您使用新的 PowerShell 命令:

如需詳細資訊,請參閱

適用於身分識別的Defender 2.226版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.225版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2023 年 12 月

注意

如果您看到遠端程式代碼執行嘗試警示數目減少,請參閱我們更新9 月公告,其中包括適用於身分識別的 Defender 偵測邏輯更新。 適用於身分識別的 Defender 會繼續記錄遠端程式代碼執行活動,如前所述。

Microsoft 365 Defender 中的新身分識別區域和儀錶板 (預覽)

適用於身分識別的 Defender 客戶現在在 Microsoft 365 Defender 中有新的身分識別區域,以取得適用於身分識別的 Defender 身分識別安全性的相關信息。

在 Microsoft 365 Defender 中,選取 [身分 識別] 以查看下列任何新頁面:

適用於身分識別的 Defender 2.224 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

AD CS 感測器的安全性狀態評估 (預覽)

適用於身分識別的 Defender 安全性狀態評估會主動偵測並建議跨 內部部署的 Active Directory 設定的動作。

建議的動作現在包含下列新的安全性狀態評估,特別是證書範本和證書頒發機構單位。

新的評量可在Microsoft安全分數、呈現安全性問題和嚴重設定,以及偵測給整個組織帶來風險。 您的分數會據以更新。

例如:

新 AD CS 安全性狀態評定的螢幕快照。

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估

注意

雖然 證書範本 評量適用於所有在其環境上安裝 AD CS 的客戶, 但證書頒發機構單位 評定僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請參閱 Active Directory 憑證服務的新感測器類型(AD CS)。

適用於身分識別的Defender 2.223版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.222版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.221版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2023 年 11 月

適用於身分識別的 Defender 2.220 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的 Defender 2.219 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

身分識別時程表包含超過 30 天的資料 (預覽)

適用於身分識別的 Defender 會逐漸推出身分識別詳細數據延伸至 30 天以上的延伸數據保留期。

[身分識別詳細數據] 頁面 [時程表] 索引標籤,其中包含適用於身分識別的Defender、適用於雲端的 Microsoft Defender Apps和適用於端點的 Microsoft Defender的活動,目前至少包含150天且正在成長。 在接下來的幾周內,數據保留率可能會有一些變化。

若要在特定時間範圍內檢視識別時間軸上的活動和警示,請選取預設 的 30 天 ,然後選取 [ 自定義範圍]。 從 30 天前篩選的數據一次最多會顯示七天。

例如:

自訂時間範圍選項的螢幕快照。

如需詳細資訊,請參閱調查 Microsoft Defender 全面偵測回應 中的資產和調查使用者。

適用於身分識別的Defender 2.218版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2023 年 10 月

適用於身分識別的Defender 2.217版

此版本包含下列改善:

此版本也包含雲端服務和適用於身分識別的 Defender 感測器的錯誤修正。

適用於身分識別的Defender 2.216版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

2023 年 9 月

遠端程式代碼執行嘗試的警示數目減少

為了進一步調整適用於身分識別的 Defender 和 適用於端點的 Microsoft Defender 警示,我們已更新適用於身分識別的 Defender 遠端程式代碼執行嘗試偵測的偵測邏輯。

雖然這項變更會導致遠端程式代碼執行嘗試警示數目減少,但適用於身分識別的 Defender 會繼續記錄遠端程式代碼執行活動。 客戶可以繼續建置自己的 進階搜捕查詢 ,並建立 自定義偵測原則

警示敏感度設定和學習期間增強功能

某些適用於身分識別的 Defender 警示會在觸發警示之前等候 學習期間 ,同時建置模式配置檔,以區別合法和可疑活動時使用。

適用於身分識別的 Defender 現在提供下列學習期間體驗的增強功能:

  • 系統管理員現在 可以使用 [移除學習期間 ] 設定來設定用於特定警示的敏感度。 將敏感度定義為 [一般 ],以 針對選取的警示類型,將 [移除學習期間] 設定為 [關閉 ]。

  • 在新的適用於身分識別的 Defender 工作區中部署新的感測器之後,[移除學習期間] 設定會自動開啟 30 天。 當 30 天完成時, [移除學習期間 ] 設定會自動關閉 且警示敏感度層級會傳回其預設功能。

    若要讓適用於身分識別的 Defender 使用標準學習期間功能,在完成學習期間之前不會產生警示, 請將 [移除學習期間] 設定為 [ 關閉]。

如果您先前已更新 [移除學習期間 ] 設定,您的設定會維持在您設定時的狀態。

如需詳細資訊,請參閱 進階設定

注意

[進階設定] 頁面最初列出 [移除學習期間] 選項底下的 [帳戶列舉偵察] 警示,可設定敏感度設定。 此警示已從清單中移除,並由安全性主體偵察 (LDAP) 警示取代。 此使用者介面錯誤已於 2023 年 11 月修正。

適用於身分識別的Defender 2.215版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的 Defender 報表已移至主要報表區域

現在您可以從 Microsoft Defender 全面偵測回應 的主要 [報表] 區域存取適用於身分識別的 Defender 報表,而不是 [設定] 區域。 例如:

主要報表區域中適用於身分識別的Defender報表存取的螢幕快照。

如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中下載和排程適用於身分識別的Defender報告(預覽版)。

Microsoft Defender 全面偵測回應中的群組移至搜尋按鈕

適用於身分識別的 Defender 已在 Microsoft Defender 全面偵測回應 中新增群組的 [搜尋] 按鈕。 用戶可以在調查期間,使用 [ 移至搜尋 ] 按鈕來查詢群組相關活動和警示。

例如:

群組詳細資料窗格上 [新增 Go 搜尋] 按鈕的螢幕快照。

如需詳細資訊,請參閱 使用 go hunt 快速搜尋實體或事件資訊。

適用於身分識別的Defender 2.214版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

效能增強

適用於身分識別的 Defender 在將即時事件從適用於身分識別的 Defender 服務傳輸至 Microsoft Defender 全面偵測回應 時,已針對延遲、穩定性和效能進行內部改善。 客戶應該不會預期適用於身分識別的Defender資料不會出現在Microsoft Defender 全面偵測回應中,例如進階搜捕的警示或活動。

如需詳細資訊,請參閱

2023 年 8 月

適用於身分識別的Defender 2.213版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.212版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

適用於身分識別的Defender 2.211版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

Active Directory 憑證服務的新感測器類型 (AD CS)

適用於身分識別的 Defender 現在針對已設定 Active Directory 憑證服務 (AD CS) 的專用伺服器支援新的 ADCS 感測器類型。

您會在 [設定身分>識別感測器] 頁面中看到 Microsoft Defender 全面偵測回應 中識別>的新感測器類型。 如需詳細資訊,請參閱管理及更新 適用於身分識別的 Microsoft Defender 感測器

與新的感測器類型一起,適用於身分識別的 Defender 現在也提供相關的 AD CS 警示和安全分數報告。 若要檢視新的警示和安全分數報告,請確定已收集並登入您的伺服器所需的事件。 如需詳細資訊,請參閱 設定 Active Directory 憑證服務 (AD CS) 事件的稽核。

AD CS 是 Windows Server 角色,會在安全通訊和驗證通訊協議中發行和管理公鑰基礎結構 (PKI) 憑證。 如需詳細資訊,請參閱 什麼是 Active Directory 憑證服務?

適用於身分識別的Defender 2.210版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改進和錯誤修正。

下一步