Neues Archiv für Microsoft Defender for Identity

In diesem Artikel werden Microsoft Defender for Identity Versionshinweise für Versionen und Features aufgeführt, die vor über 6 Monaten veröffentlicht wurden.

Informationen zu den neuesten Versionen und Features finden Sie unter Neuerungen in Microsoft Defender for Identity.

Juli 2023

Defender for Identity, Release 2.209

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Suchen nach Active Directory-Gruppen in Microsoft Defender XDR (Vorschau)

Die Microsoft Defender XDR globale Suche unterstützt jetzt die Suche nach Active Directory-Gruppennamen. Alle gefundenen Gruppen werden in den Ergebnissen auf einer separaten Gruppen Registerkarte angezeigt. Wählen Sie eine Active Directory-Gruppe aus Ihren Suchergebnissen aus, um weitere Details anzuzeigen, einschließlich:

• Typ
• Bereich
• Domäne
• SAM-Name
• SID

• Erstellungszeit der Gruppe
• Das erste Mal, dass eine Aktivität der Gruppe beobachtet wurde
• Gruppen, die die ausgewählte Gruppe enthalten
• Eine Liste aller Gruppenmitglieder

Zum Beispiel:

Weitere Informationen finden Sie unter Microsoft Defender for Identity in Microsoft Defender XDR.

Berichte zu neuen Sicherheitsstatus

Die Bewertungen des Identitätssicherheitsstatus von Defender for Identity erkennen und empfehlen proaktiv Aktionen in Ihren lokales Active Directory Konfigurationen.

Die folgenden neuen Sicherheitsstatusbewertungen sind jetzt in der Microsoft-Sicherheitsbewertung verfügbar:

• Entfernen von Zugriffsrechten für verdächtige Konten mit der Berechtigung Admin SDHolder
• Entfernen von Nicht-Administratorkonten mit DCSync-Berechtigungen
• Entfernen lokaler Administratoren für Identitätsressourcen
• Starten der Defender for Identity-Bereitstellung

Weitere Informationen finden Sie unter Sicherheitsstatusbewertungen von Microsoft Defender for Identity.

Automatische Umleitung für das klassische Defender for Identity-Portal

Die Microsoft Defender for Identity Portalerfahrung und -funktionalität werden in der erweiterten Erkennungs- und Reaktionsplattform (XDR) von Microsoft zusammengeführt, Microsoft Defender XDR. Ab dem 6. Juli 2023 werden Kunden, die das klassische Defender for Identity-Portal verwenden, automatisch an Microsoft Defender XDR umgeleitet, ohne dass die Möglichkeit besteht, zurück zum klassischen Portal zu rückgängig machen.

Weitere Informationen finden Sie in unserem Blogbeitrag und Microsoft Defender for Identity in Microsoft Defender XDR.

Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau)

Jetzt können Sie regelmäßige Defender for Identity-Berichte aus dem Microsoft Defender-Portal herunterladen und planen, um eine Parität der Berichtsfunktionen mit dem klassischen Defender for Identity-Legacyportal zu schaffen.

Laden Sie Berichte in Microsoft Defender XDR von der Seite Einstellungen > Identitäten > Berichtsverwaltung herunter, und planen Sie sie. Zum Beispiel:

Weitere Informationen finden Sie unter Microsoft Defender for Identity-Berichte in Microsoft Defender XDR.

Defender for Identity Release 2.208

• Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.207

• Diese Version stellt den neuen AccessKeyFile-Installationsparameter bereit. Verwenden Sie den AccessKeyFile-Parameter während einer automatischen Installation eines Defender for Identity-Sensors, um den Zugriffsschlüssel des Arbeitsbereichs aus einem angegebenen Textpfad festzulegen. Weitere Informationen finden Sie unter Installieren des Microsoft Defender for Identity-Sensors.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Juni 2023

Defender for Identity, Release 2.206

• Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Erweiterte Suche mit einer erweiterten IdentityInfo-Tabelle

• Für Mandanten, für die Defender for Identity bereitgestellt wurde, enthält die erweiterte Microsoft 365 IdentityInfo-Tabelle jetzt mehr Attribute pro Identität und Identitäten, die vom Defender for Identity-Sensor aus Ihrer lokalen Umgebung erkannt werden.

Weitere Informationen finden Sie in der Dokumentation zur Microsoft Defender XDR erweiterten Suche.

Defender for Identity, Release 2.205

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Mai 2023

Erweiterte Active Directory-Kontosteuerungshighlights

Die Seite Microsoft Defender XDR Identitätsbenutzerdetails> enthält jetzt neue Active Directory-Kontosteuerungsdaten.

Auf der Registerkarte Übersicht der Benutzerdetails haben wir die neuen Active Directory-Kontosteuerelemente Karte hinzugefügt, um wichtige Sicherheitseinstellungen und Active Directory-Steuerelemente hervorzuheben. Verwenden Sie beispielsweise diese Karte, um zu erfahren, ob ein bestimmter Benutzer Kennwortanforderungen umgehen kann oder über ein Kennwort verfügt, das nie abläuft.

Zum Beispiel:

Weitere Informationen finden Sie in der Dokumentation zum User-Account-Control-Attribut .

Defender for Identity, Release 2.204

Veröffentlichung: 29. Mai 2023

• Neue Integritätswarnung für Fehler bei der VPN-Integration (Radius) bei der Datenerfassung. Weitere Informationen finden Sie unter Microsoft Defender for Identity Sensorintegritätswarnungen.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.203

Veröffentlichung: 15. Mai 2023

• Neue Integritätswarnung zum Überprüfen, ob die AD FS-Containerüberwachung ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Microsoft Defender for Identity Sensorintegritätswarnungen.

• Die Seite Microsoft Defender 365 Identität enthält Ui-Updates für die Benutzeroberfläche des Lateral Movement-Pfads. Es wurde keine Funktionalität geändert. Weitere Informationen finden Sie unter Grundlegendes und Untersuchen von Lateral Movement-Pfaden (LMPs) mit Microsoft Defender for Identity.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Verbesserungen bei identitäts Zeitleiste

Die Registerkarte "Identitätszeitachse " enthält jetzt neue und erweiterte Features! Mit dem aktualisierten Zeitleiste können Sie jetzt zusätzlich zu den ursprünglichen Filtern nach Aktivitätstyp, Protokoll und Standort filtern. Sie können die Zeitleiste auch in eine CSV-Datei exportieren und zusätzliche Informationen zu Aktivitäten im Zusammenhang mit MITRE ATT&CK-Techniken finden. Weitere Informationen finden Sie unter Untersuchen von Benutzern in Microsoft Defender XDR.

Warnungsoptimierung in Microsoft Defender XDR

Mit der Warnungsoptimierung, die jetzt in Microsoft Defender XDR verfügbar ist, können Sie Ihre Warnungen anpassen und optimieren. Die Warnungsoptimierung reduziert falsch positive Ergebnisse, ermöglicht es Ihren SOC-Teams, sich auf Warnungen mit hoher Priorität zu konzentrieren, und verbessert die Abdeckung der Bedrohungserkennung im gesamten System.

Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Beweistypen, und wenden Sie ihre Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht. Weitere Informationen finden Sie unter Optimieren einer Warnung.

April 2023

Defender for Identity, Release 2.202

Veröffentlichung: 23. April 2023

• Neue Integritätswarnung zum Überprüfen, ob die Containerüberwachung für die Verzeichnisdienstekonfiguration ordnungsgemäß konfiguriert ist, wie auf der Seite "Integritätswarnungen" beschrieben.
• Neue Arbeitsbereiche für AD-Mandanten, die Neuseeland zugeordnet sind, werden in der Region Australien, Osten erstellt. Die aktuellste Liste der regionalen Bereitstellungen finden Sie unter Defender for Identity-Komponenten.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

März 2023

Defender for Identity, Release 2.201

Veröffentlichung: 27. März 2023

• Wir sind dabei, die SAM-R-Honeytokenwarnung zu deaktivieren. Obwohl auf diese Arten von Konten niemals zugegriffen oder abgefragt werden sollte, können bestimmte Legacysysteme diese Konten als Teil ihres regulären Betriebs verwenden. Wenn diese Funktionalität für Sie erforderlich ist, können Sie jederzeit eine erweiterte Huntingabfrage erstellen und als benutzerdefinierte Erkennung verwenden. Wir überprüfen auch die LDAP-Honeytoken-Warnung in den kommenden Wochen, bleibt aber vorerst funktionsfähig.

• Wir haben Probleme mit der Erkennungslogik in der Integritätswarnung der Verzeichnisdiensteobjektüberwachung für nicht englische Betriebssysteme und für Windows 2012 mit Verzeichnisdienstschemas vor Version 87 behoben.

• Wir haben die Voraussetzung für die Konfiguration eines Verzeichnisdienstekontos für den Start der Sensoren entfernt. Weitere Informationen finden Sie unter Empfehlungen Microsoft Defender for Identity Verzeichnisdienstkontos.

• Die Protokollierung von 1644-Ereignissen ist nicht mehr erforderlich. Wenn Sie diese Registrierungseinstellung aktiviert haben, können Sie sie entfernen. Weitere Informationen finden Sie unter Ereignis-ID 1644.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.200

Veröffentlichung: 16. März 2023

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity- Release 2.199

Veröffentlichung: 5. März 2023

• Einige Ausschlüsse für das Honeytoken, die über die SAM-R-Warnung abgefragt wurden , funktionierten nicht ordnungsgemäß. In diesen Fällen wurden Warnungen auch für ausgeschlossene Entitäten ausgelöst. Dieser Fehler wurde nun behoben.

• Aktualisierter NTLM-Protokollname für die Tabellen der erweiterten Identitätssuche: Der alte Protokollname Ntlm wird jetzt als neuer Protokollname NTLM in den Tabellen der erweiterten Suche identity aufgeführt: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Wenn Sie das Protokoll derzeit in einem Format verwenden, in dem Ntlm die Groß-/Kleinschreibung aus den Identity-Ereignistabellen beachtet wird, sollten Sie es in NTLMändern.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Februar 2023

Defender for Identity Release 2.198

Veröffentlichung: 15. Februar 2023

• Identity Zeitleiste ist jetzt als Teil der neuen Identitätsseite in Microsoft Defender XDR verfügbar: Die aktualisierte Seite Benutzer in Microsoft Defender XDR hat jetzt ein neues Erscheinungsbild, mit einer erweiterten Ansicht verwandter Ressourcen und einer neuen dedizierten Zeitleiste Registerkarte. Die Zeitleiste stellt Aktivitäten und Warnungen der letzten 30 Tage dar und vereint die Identitätseinträge des Benutzers in allen verfügbaren Workloads (Defender for Identity/Defender for Cloud Apps/Defender für Endpunkt). Mithilfe der Zeitleiste können Sie sich ganz einfach auf Aktivitäten konzentrieren, die der Benutzer in bestimmten Zeitrahmen ausgeführt hat (oder für die er ausgeführt wurde). Weitere Informationen finden Sie unter Untersuchen von Benutzern in Microsoft Defender XDR

• Weitere Verbesserungen für Honeytokenwarnungen: In Release 2.191 haben wir mehrere neue Szenarien für die Honeytoken-Aktivitätswarnung eingeführt.

  Basierend auf Kundenfeedback haben wir beschlossen, die Honeytoken-Aktivitätswarnung in fünf separate Warnungen aufzuteilen:

  • Honeytoken-Benutzer wurde über SAM-R abgefragt.
  • Der Honeytoken-Benutzer wurde über LDAP abgefragt.
  • Honeytoken-Benutzerauthentifizierungsaktivität
  • Der Honeytoken-Benutzer hatte Attribute geändert.
  • Die Honeytoken-Gruppenmitgliedschaft wurde geändert.

  Darüber hinaus haben wir Ausschlüsse für diese Warnungen hinzugefügt, die eine angepasste Umgebung bieten.

  Wir freuen uns auf Ihr Feedback, damit wir uns weiter verbessern können.

• Neue Sicherheitswarnung – Verdächtige Zertifikatverwendung über das Kerberos-Protokoll (PKINIT): Viele der Techniken zum Missbrauch von Active Directory-Zertifikatdiensten (AD CS) beinhalten die Verwendung eines Zertifikats in einer bestimmten Phase des Angriffs. Microsoft Defender for Identity benutzer werden jetzt benachrichtigt, wenn eine solche verdächtige Zertifikatverwendung beobachtet wird. Dieser Ansatz zur Verhaltensüberwachung bietet umfassenden Schutz vor AD CS-Angriffen und löst eine Warnung aus, wenn eine verdächtige Zertifikatauthentifizierung für einen Domänencontroller mit einem installierten Defender for Identity-Sensor versucht wird. Weitere Informationen finden Sie unter Microsoft Defender for Identity jetzt verdächtige Zertifikatverwendung erkennt.

• Automatische Angriffsunterbrechung: Defender for Identity arbeitet jetzt mit Microsoft Defender XDR zusammen, um automatisierte Angriffsunterbrechungen anzubieten. Diese Integration bedeutet, dass wir für Signale, die von Microsoft Defender XDR kommen, die Aktion Benutzer deaktivieren auslösen können. Diese Aktionen werden durch XDR-Signale mit hoher Genauigkeit ausgelöst, kombiniert mit Erkenntnissen aus der kontinuierlichen Untersuchung von Tausenden von Vorfällen durch die Forschungsteams von Microsoft. Die Aktion hält das kompromittierte Benutzerkonto in Active Directory an und synchronisiert diese Informationen mit Microsoft Entra ID. Weitere Informationen zur automatischen Angriffsunterbrechung finden Sie im Blogbeitrag von Microsoft Defender XDR.

  Sie können auch bestimmte Benutzer von den automatisierten Antwortaktionen ausschließen. Weitere Informationen finden Sie unter Konfigurieren von Ausschlüssen für automatisierte Antworten in Defender for Identity.

• Lernzeitraum entfernen: Die von Defender for Identity generierten Warnungen basieren auf verschiedenen Faktoren wie Profilerstellung, deterministische Erkennung, maschinellem Lernen und Verhaltensalgorithmen, die das Unternehmen über Ihr Netzwerk gelernt hat. Der vollständige Lernprozess für Defender for Identity kann bis zu 30 Tage pro Domänencontroller dauern. Es kann jedoch Vorkommen geben, in denen Sie Warnungen erhalten möchten, noch bevor der vollständige Lernprozess abgeschlossen ist. Wenn Sie beispielsweise einen neuen Sensor auf einem Domänencontroller installieren oder das Produkt auswerten, sollten Sie sofort Warnungen erhalten. In solchen Fällen können Sie den Lernzeitraum für die betroffenen Warnungen deaktivieren, indem Sie das Feature Lernzeitraum entfernen aktivieren. Weitere Informationen finden Sie unter Erweiterte Einstellungen.

• Neue Möglichkeit zum Senden von Warnungen an M365D: Vor einem Jahr haben wir angekündigt, dass alle Microsoft Defender for Identity Erfahrungen im Microsoft Defender-Portal verfügbar sind. Unsere primäre Warnungspipeline wechselt nun schrittweise von Defender for Identity > Defender for Cloud Apps > Microsoft Defender XDR zu Defender for Identity > Microsoft Defender XDR. Diese Integration bedeutet, dass sich status Updates in Defender for Cloud Apps nicht in Microsoft Defender XDR widerspiegeln und umgekehrt. Diese Änderung sollte die Zeit erheblich verkürzen, die benötigt wird, bis Warnungen im Microsoft Defender-Portal angezeigt werden. Im Rahmen dieser Migration sind ab dem 5. März nicht mehr alle Defender for Identity-Richtlinien im Defender for Cloud Apps-Portal verfügbar. Wie immer empfehlen wir die Verwendung des Microsoft Defender-Portals für alle Defender for Identity-Umgebungen.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Januar 2023

Defender for Identity, Release 2.197

Veröffentlichung: 22. Januar 2023

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity Release 2.196

Veröffentlichung: 10. Januar 2023

• Neue Integritätswarnung zum Überprüfen, ob die Verzeichnisdienste-Objektüberwachung ordnungsgemäß konfiguriert ist, wie auf der Seite "Integritätswarnungen" beschrieben.

• Neue Integritätswarnung zum Überprüfen, ob die Energieeinstellungen des Sensors für eine optimale Leistung konfiguriert sind, wie auf der Seite mit Den Integritätswarnungen beschrieben.

• Wir haben MITRE ATT&CK-Informationen zu den Tabellen IdentityLogonEvents, IdentityDirectoryEvents und IdentityQueryEvents in Microsoft Defender XDR Erweiterten Suche hinzugefügt. In der Spalte AdditionalFields finden Sie Details zu den Angriffstechniken und der Taktik (Kategorie), die einigen unserer logischen Aktivitäten zugeordnet sind.

• Da alle wichtigen Microsoft Defender for Identity Features jetzt im Microsoft Defender-Portal verfügbar sind, wird die Einstellung für die Portalumleitung ab dem 31. Januar 2023 automatisch für jeden Mandanten aktiviert. Weitere Informationen finden Sie unter Umleiten von Konten von Microsoft Defender for Identity zu Microsoft Defender XDR.

Dezember 2022

Defender for Identity, Release 2.195

Veröffentlichung: 7. Dezember 2022

• Defender for Identity-Rechenzentren werden jetzt auch in der Region "Australien, Osten" bereitgestellt. Die aktuellste Liste der regionalen Bereitstellungen finden Sie unter Defender for Identity-Komponenten.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

November 2022

Defender for Identity, Release 2.194

Veröffentlichung: 10. November 2022

• Neue Integritätswarnung zum Überprüfen, ob die erweiterte Überwachung der Verzeichnisdienste ordnungsgemäß konfiguriert ist, wie auf der Seite "Integritätswarnungen" beschrieben.

• Einige der änderungen, die in Defender for Identity Release 2.191 bezüglich Honeytokenwarnungen eingeführt wurden, wurden nicht ordnungsgemäß aktiviert. Diese Probleme wurden jetzt behoben.

• Ab Ende November wird die manuelle Integration in Microsoft Defender for Endpoint nicht mehr unterstützt. Es wird jedoch dringend empfohlen, das Microsoft Defender-Portal (https://security.microsoft.com) zu verwenden, in dem die Integration integriert ist.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Oktober 2022

Defender for Identity Release 2.193

Veröffentlichung: 30. Oktober 2022

• Neue Sicherheitswarnung: Authentifizierung mit ungewöhnlichem Active Directory-Verbunddienste (AD FS) (AD FS) mithilfe eines verdächtigen Zertifikats
  Diese neue Technik ist mit dem berüchtigten NOBELIUM-Akteur verknüpft und wurde "MagicWeb" genannt – sie ermöglicht es einem Angreifer, eine Hintertür auf kompromittierten AD FS-Servern zu implantieren, was den Identitätswechsel als jeder Domänenbenutzer und somit den Zugriff auf externe Ressourcen ermöglicht. Weitere Informationen zu diesem Angriff finden Sie in diesem Blogbeitrag.

• Defender for Identity kann jetzt das LocalSystem-Konto auf dem Domänencontroller verwenden, um Korrekturaktionen (Benutzer aktivieren/deaktivieren, Kennwort für Benutzer erzwingen) zusätzlich zur gMSA-Option auszuführen, die zuvor verfügbar war. Dadurch wird die sofort einsatzbereite Unterstützung für Wartungsaktionen aktiviert. Weitere Informationen finden Sie unter Microsoft Defender for Identity Aktionskonten.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.192

Veröffentlichung: 23. Oktober 2022

• Neue Integritätswarnung zum Überprüfen, ob die NTLM-Überwachung aktiviert ist, wie auf der Seite "Integritätswarnungen" beschrieben.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

September 2022

Defender for Identity, Release 2.191

Veröffentlichung: 19. September 2022

• Weitere Aktivitäten zum Auslösen von Honeytokenwarnungen
  Microsoft Defender for Identity bietet die Möglichkeit, Honeytoken-Konten zu definieren, die als Fallen für böswillige Akteure verwendet werden. Jede Authentifizierung, die diesen Honeytokenkonten zugeordnet ist (normalerweise ruhend), löst eine Honeytoken-Aktivitätswarnung (externe ID 2014) aus. Neu für diese Version: Jede LDAP- oder SAMR-Abfrage für diese Honeytoken-Konten löst eine Warnung aus. Wenn das Ereignis 5136 überwacht wird, wird außerdem eine Warnung ausgelöst, wenn eines der Attribute des Honeytokens geändert wurde oder wenn die Gruppenmitgliedschaft des Honeytokens geändert wurde.

Weitere Informationen finden Sie unter Konfigurieren der Windows-Ereignissammlung.

Defender for Identity, Release 2.190

Veröffentlichung: 11. September 2022

• Aktualisierte Bewertung: Unsichere Domänenkonfigurationen
  Die bewertung der unsicheren Domänenkonfiguration, die über die Microsoft-Sicherheitsbewertung verfügbar ist, bewertet jetzt die Konfiguration der LDAP-Signaturrichtlinie des Domänencontrollers und warnt, wenn eine unsichere Konfiguration gefunden wird. Weitere Informationen finden Sie unter Sicherheitsbewertung: Unsichere Domänenkonfigurationen.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.189

Veröffentlichung: 4. September 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

August 2022

Defender for Identity, Release 2.188

Veröffentlichung: 28. August 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.187

Veröffentlichung: 18. August 2022

• Wir haben einen Teil der Logik hinter der Auslösung der Warnung Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten) (externe ID 2006) geändert. Dieser Detektor deckt jetzt Fälle ab, in denen die vom Sensor angezeigte Quell-IP-Adresse ein NAT-Gerät zu sein scheint.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.186

Veröffentlichung: 10. August 2022

• Integritätswarnungen zeigen jetzt den vollqualifizierten Domänennamen (FQDN) des Sensors anstelle des NetBIOS-Namens an.

• Neue Integritätswarnungen sind für die Erfassung von Komponententyp und -konfiguration verfügbar, wie auf der Seite "Integritätswarnungen" beschrieben.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juli 2022

Defender for Identity, Release 2.185

Veröffentlichung: 18. Juli 2022

• Ein Problem wurde behoben, bei dem Suspected Golden Ticket usage (nonexistent account) (externe ID 2027) macOS-Geräte fälschlicherweise erkannt hat.

• Benutzeraktionen: Wir haben beschlossen, die Aktion Benutzer deaktivieren auf der Benutzerseite in zwei verschiedene Aktionen aufzuteilen:

  • Benutzer deaktivieren: Deaktiviert den Benutzer auf Active Directory-Ebene.
  • Benutzer anhalten – deaktiviert den Benutzer auf der Microsoft Entra ID Ebene

  Wir wissen, dass die Zeit, die für die Synchronisierung von Active Directory mit Microsoft Entra ID benötigt wird, von entscheidender Bedeutung sein kann. Jetzt können Sie benutzer nacheinander deaktivieren, um die Abhängigkeit von der Synchronisierung selbst zu entfernen. Beachten Sie, dass ein Benutzer, der nur in Microsoft Entra ID deaktiviert ist, von Active Directory überschrieben wird, wenn der Benutzer dort noch aktiv ist.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.184

Veröffentlichung: 10. Juli 2022

• Neue Sicherheitsbewertungen
  Defender for Identity umfasst jetzt die folgende neue Sicherheitsbewertung:

  • Unsichere Domänenkonfigurationen
    Microsoft Defender for Identity überwacht Kontinuierlich Ihre Umgebung, um Domänen mit Konfigurationswerten zu identifizieren, die ein Sicherheitsrisiko darstellen, und meldet diese Domänen, um Sie beim Schutz Ihrer Umgebung zu unterstützen. Weitere Informationen finden Sie unter Sicherheitsbewertung: Unsichere Domänenkonfigurationen.

• Das Defender for Identity-Installationspaket installiert jetzt die Npcap-Komponente anstelle der WinPcap-Treiber. Weitere Informationen finden Sie unter WinPcap- und Npcap-Treiber.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juni 2022

Defender for Identity-Release 2.183.15436.10558 (Hotfix)

Veröffentlicht: 20. Juni 2022 (aktualisiert am 4. Juli 2022)

• Neue Sicherheitswarnung: Verdacht auf DFSCoerce-Angriff mithilfe des Distributed File System Protocol
  Als Reaktion auf die Veröffentlichung eines aktuellen Angriffstools, das einen Flow im DFS-Protokoll nutzt, löst Microsoft Defender for Identity eine Sicherheitswarnung aus, wenn ein Angreifer diese Angriffsmethode verwendet. Weitere Informationen zu diesem Angriff finden Sie im Blogbeitrag.

Defender for Identity, Release 2.183

Veröffentlichung: 20. Juni 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.182

Veröffentlichung: 4. Juni 2022

• Eine neue Infoseite für Defender for Identity ist verfügbar. Sie finden sie im Microsoft Defender-Portal unter EinstellungenIdentitäten> ->Info. Es enthält mehrere wichtige Details zu Ihrer Defender for Identity-instance, einschließlich des instance Namens, der Version, der ID und der Geolocation Ihrer instance. Diese Informationen können hilfreich sein, wenn Sie Probleme beheben und Supporttickets öffnen.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Mai 2022

Defender for Identity, Release 2.181

Veröffentlichung: 22. Mai 2022

• Sie können jetzt Mithilfe von Microsoft Defender for Identity Korrekturmaßnahmen direkt für Ihre lokalen Konten ausführen.

  • Benutzer deaktivieren : Dies verhindert vorübergehend, dass sich ein Benutzer beim Netzwerk anmeldet. Dadurch kann verhindert werden, dass sich kompromittierte Benutzer seitlich bewegen und versuchen, Daten zu exfiltrieren oder das Netzwerk weiter zu kompromittieren.
  • Zurücksetzen des Benutzerkennworts : Dadurch wird der Benutzer aufgefordert, sein Kennwort bei der nächsten Anmeldung zu ändern, um sicherzustellen, dass dieses Konto nicht für weitere Identitätswechselversuche verwendet werden kann.

  Diese Aktionen können von verschiedenen Stellen in Microsoft Defender XDR ausgeführt werden: der Benutzerseite, dem Seitenbereich der Benutzerseite, der erweiterten Suche und sogar benutzerdefinierten Erkennungen. Dies erfordert die Einrichtung eines privilegierten gMSA-Kontos, das Microsoft Defender for Identity zum Ausführen der Aktionen verwendet. Weitere Informationen zu den Anforderungen finden Sie unter Microsoft Defender for Identity Aktionskonten.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.180

Veröffentlichung: 12. Mai 2022

• Neue Sicherheitswarnung: Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923)
  Als Reaktion auf die Veröffentlichung einer kürzlich veröffentlichten CVE löst Microsoft Defender for Identity eine Sicherheitswarnung aus, wenn ein Angreifer versucht, CVE-2022 -26923 auszunutzen. Weitere Informationen zu diesem Angriff finden Sie im Blogbeitrag.

• In Version 2.177 haben wir zusätzliche LDAP-Aktivitäten veröffentlicht, die von Defender for Identity abgedeckt werden können. Wir haben jedoch einen Fehler gefunden, der dazu führt, dass die Ereignisse nicht im Defender for Identity-Portal angezeigt und erfasst werden. Dies wurde in diesem Release behoben. Ab Version 2.180 erhalten Sie beim Aktivieren der Ereignis-ID 1644 nicht nur Einblick in LDAP-Aktivitäten über Active Directory-Webdienste, sondern auch andere LDAP-Aktivitäten umfassen den Benutzer, der die LDAP-Aktivität auf dem Quellcomputer ausgeführt hat. Dies gilt für Sicherheitswarnungen und logische Aktivitäten, die auf LDAP-Ereignissen basieren.

• Als Reaktion auf die jüngste KrbRelayUp-Ausnutzung haben wir einen stillen Detektor veröffentlicht, der uns hilft, unsere Reaktion auf diese Ausnutzung zu bewerten. Der silent-Detektor ermöglicht es uns, die Effektivität der Erkennung zu bewerten und Informationen basierend auf ereignissen zu sammeln, die wir sammeln. Wenn diese Erkennung in hoher Qualität angezeigt wird, wird in der nächsten Version eine neue Sicherheitswarnung veröffentlicht.

• Wir haben Remotecodeausführung über DNS in Remotecodeausführungsversuch über DNS umbenannt, da dies die Logik hinter diesen Sicherheitswarnungen besser widerspiegelt.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.179

Veröffentlichung: 1. Mai 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

April 2022

Defender for Identity, Release 2.178

Veröffentlichung: 10. April 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

März 2022

Defender for Identity, Release 2.177

Veröffentlichung: 27. März 2022

• Microsoft Defender for Identity können jetzt zusätzliche LDAP-Abfragen in Ihrem Netzwerk überwachen. Diese LDAP-Aktivitäten werden über das Active Directory-Webdienstprotokoll gesendet und verhalten sich wie normale LDAP-Abfragen. Um Einblick in diese Aktivitäten zu erhalten, müssen Sie Ereignis 1644 auf Ihren Domänencontrollern aktivieren. Dieses Ereignis behandelt LDAP-Aktivitäten in Ihrer Domäne und wird hauptsächlich verwendet, um teure, ineffiziente oder langsame LDAP-Suchen (Lightweight Directory Access Protocol) zu identifizieren, die von Active Directory-Domänencontrollern verwaltet werden. Weitere Informationen finden Sie unter Legacykonfigurationen.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.176

Veröffentlichung: 16. März 2022

• Ab dieser Version wird bei der Installation des Sensors aus einem neuen Paket die Version des Sensors unter Software hinzufügen/entfernen mit der vollständigen Versionsnummer angezeigt (z. B. 2.176.x.y), im Gegensatz zur statischen Version 2.0.0.0, die zuvor gezeigt wurde. Es wird weiterhin diese Version (die über das Paket installiert) angezeigt, obwohl die Version über die automatischen Updates der Defender for Identity-Clouddienste aktualisiert wird. Die tatsächliche Version kann auf der Seite mit den Sensoreinstellungen im Portal, im pfad der ausführbaren Datei oder in der Dateiversion angezeigt werden.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.175

Veröffentlicht: 6. März 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Februar 2022

Defender for Identity, Release 2.174

Veröffentlichung: 20. Februar 2022

• Wir haben den Shost-FQDN des Kontos , das an die Warnung beteiligt ist, der nachricht hinzugefügt, die an die SIEM gesendet wird. Weitere Informationen finden Sie unter Microsoft Defender for Identity SIEM-Protokollreferenz.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.173

Veröffentlichung: 13. Februar 2022

• Alle Microsoft Defender for Identity Features sind jetzt im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie in diesem Blogbeitrag.

• Dieses Release behebt Probleme bei der Installation des Sensors auf Windows Server 2019 mit installierten KB5009557 oder auf einem Server mit gehärteten EventLog-Berechtigungen.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.172

Veröffentlichung: 8. Februar 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Januar 2022

Defender for Identity Release 2.171

Veröffentlichung: 31. Januar 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity Release 2.170

Veröffentlichung: 24. Januar 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity- Release 2.169

Veröffentlichung: 17. Januar 2022

• Wir freuen uns, die Möglichkeit zum Konfigurieren eines Aktionskontos für Microsoft Defender for Identity freigeben zu können. Dies ist der erste Schritt bei der Möglichkeit, Aktionen für Benutzer direkt vom Produkt aus zu ergreifen. Im ersten Schritt können Sie das gMSA-Konto definieren, das Microsoft Defender for Identity verwenden, um die Aktionen auszuführen. Es wird dringend empfohlen, mit der Erstellung dieser Benutzer zu beginnen, um das Feature Aktionen zu nutzen, sobald es live ist. Weitere Informationen finden Sie unter Verwalten von Aktionskonten.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity Release 2.168

Veröffentlichung: 9. Januar 2022

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Dezember 2021

Defender for Identity, Release 2.167

Veröffentlichung: 29. Dezember 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.166

Veröffentlichung: 27. Dezember 2021

• Version enthält eine neue Sicherheitswarnung: Verdächtige Änderung eines sAMNameAccount-Attributs (CVE-2021-42278 und CVE-2021-42287 Exploit) (externe ID 2419).
  Als Reaktion auf die Veröffentlichung aktueller CVEs löst Microsoft Defender for Identity eine Sicherheitswarnung aus, wenn ein Angreifer CVE-2021-42278 und CVE-2021-42287 ausnutzen möchte. Weitere Informationen zu diesem Angriff finden Sie im Blogbeitrag.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.165

Veröffentlichung: 6. Dezember 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

November 2021

Defender for Identity, Release 2.164

Veröffentlichung: 17. November 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.163

Veröffentlichung: 8. November 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.162

Veröffentlichung: 1. November 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

September 2021

Defender for Identity, Release 2.161

Veröffentlichung: 12. September 2021

• Version enthält neue überwachte Aktivität: Das gMSA-Kontokennwort wurde von einem Benutzer abgerufen. Weitere Informationen finden Sie unter Microsoft Defender for Identity überwachten Aktivitäten.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

August 2021

Defender for Identity, Release 2.160

Veröffentlichung: 22. August 2021

• Version enthält verschiedene Verbesserungen und deckt weitere Szenarien entsprechend den neuesten Änderungen in der PetitPotam-Nutzung ab.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.159

Veröffentlichung: 15. August 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.
• Version enthält eine Verbesserung der neu veröffentlichten Warnung: Verdächtige Netzwerkverbindung über Encrypting File System Remote Protocol (externe ID 2416).
  Wir haben die Unterstützung für diese Erkennung erweitert, um auszulösen, wenn ein potenzieller Angreifer über einen verschlüsselten EFS-RPCchannel kommuniziert. Warnungen, die ausgelöst werden, wenn der Kanal verschlüsselt ist, werden als Mittlerer Schweregrad behandelt, im Gegensatz zu Hoch, wenn sie nicht verschlüsselt ist. Weitere Informationen zur Warnung finden Sie unter Verdächtige Netzwerkverbindung über das Encrypting File System Remote Protocol (externe ID 2416).

Defender for Identity Release 2.158

Veröffentlichung: 8. August 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

• Version enthält eine neue Sicherheitswarnung: Verdächtige Netzwerkverbindung über Encrypting File System Remote Protocol (externe ID 2416).
  Bei dieser Erkennung löst Microsoft Defender for Identity eine Sicherheitswarnung aus, wenn ein Angreifer versucht, efS-RPC gegen den Domänencontroller auszunutzen. Dieser Angriffsvektor ist mit dem jüngsten PetitPotam-Angriff verbunden. Weitere Informationen zur Warnung finden Sie unter Verdächtige Netzwerkverbindung über das Encrypting File System Remote Protocol (externe ID 2416).

• Version enthält eine neue Sicherheitswarnung: Exchange Server Remotecodeausführung (CVE-2021-26855) (externe ID 2414)
  Bei dieser Erkennung löst Microsoft Defender for Identity eine Sicherheitswarnung aus, wenn ein Angreifer versucht, das Attribut "msExchExternalHostName" für das Exchange-Objekt für die Remotecodeausführung zu ändern. Weitere Informationen zu dieser Warnung finden Sie unter Exchange Server Remotecodeausführung (CVE-2021-26855) (externe ID 2414). Diese Erkennung basiert auf dem Windows-Ereignis 4662, sodass sie vorher aktiviert werden muss. Informationen zum Konfigurieren und Sammeln dieses Ereignisses finden Sie unter Konfigurieren der Windows-Ereignissammlung, und befolgen Sie die Anweisungen unter Aktivieren der Überwachung für ein Exchange-Objekt.

Defender for Identity- Release 2.157

Veröffentlichung: 1. August 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juli 2021

Defender for Identity, Release 2.156

Veröffentlichung: 25. Juli 2021

• Ab dieser Version fügen wir die ausführbare Npcap-Treiberdatei zum Sensorinstallationspaket hinzu. Weitere Informationen finden Sie unter WinPcap- und Npcap-Treiber.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity Release 2.155

Veröffentlichung: 18. Juli 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.154

Veröffentlichung: 11. Juli 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.
• Version enthält zusätzliche Verbesserungen und Erkennungen für die Druckspoolerausnutzung, die als PrintNightmare-Erkennung bekannt ist, um weitere Angriffsszenarien abzudecken.

Defender for Identity, Release 2.153

Veröffentlichung: 4. Juli 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

• Die Version enthält eine neue Sicherheitswarnung: Suspected Windows Print Spooler service exploit attempt (CVE-2021-34527 exploitation) (Suspected Windows Print Spooler service exploit attempt (CVE-2021-34527 exploitation) (externe ID 2415).

  Bei dieser Erkennung löst Defender for Identity eine Sicherheitswarnung aus, wenn ein Angreifer versucht, den Windows-Druckspoolerdienst gegen den Domänencontroller auszunutzen. Dieser Angriffsvektor ist der Druckspoolerausnutzung zugeordnet und wird als PrintNightmare bezeichnet. Erfahren Sie mehr über diese Warnung.

Juni 2021

Defender for Identity Release 2.152

Veröffentlichung: 27. Juni 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.151

Veröffentlichung: 20. Juni 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.150

Veröffentlichung: 13. Juni 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Mai 2021

Defender for Identity, Release 2.149

Veröffentlichung: 31. Mai 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.148

Veröffentlichung: 23. Mai 2021

• Wenn Sie die Ereignis-ID 4662 konfigurieren und erfassen , meldet Defender for Identity, welcher Benutzer die Änderung der Updatesequenznummer (Update Sequence Number, USN) an verschiedene Active Directory-Objekteigenschaften vorgenommen hat. Wenn beispielsweise ein Kontokennwort geändert wird und ereignis 4662 aktiviert ist, zeichnet das Ereignis auf, wer das Kennwort geändert hat.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.147

Veröffentlichung: 9. Mai 2021

• Basierend auf Kundenfeedback erhöhen wir die Standardanzahl zulässiger Sensoren von 200 auf 350 und die Anmeldeinformationen für Verzeichnisdienste von 10 auf 30.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.146

Veröffentlichung: 2. Mai 2021

• Email Benachrichtigungen für Integritätsprobleme und Sicherheitswarnungen verfügen jetzt über die Url der Untersuchung für Microsoft Defender for Identity und Microsoft Defender XDR.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

April 2021

Defender for Identity, Release 2.145

Veröffentlichung: 22. April 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.144

Veröffentlichung: 12. April 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

März 2021

Defender for Identity, Release 2.143

Veröffentlichung: 14. März 2021

• Wir haben Windows-Ereignis 4741 hinzugefügt, um Computerkonten zu erkennen, die Zu Active Directory-Aktivitäten hinzugefügt wurden . Konfigurieren Sie das neue Ereignis , das von Defender for Identity erfasst wird. Nach der Konfiguration können gesammelte Ereignisse sowohl im Aktivitätsprotokoll als auch im Microsoft Defender XDR Erweiterten Hunting angezeigt werden.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.142

Veröffentlichung: 7. März 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Februar 2021

Defender for Identity, Release 2.141

Veröffentlichung: 21. Februar 2021

• Neue Sicherheitswarnung: Verdacht auf AS-REP Roasting-Angriff (externe ID 2412)
  Die Sicherheitswarnung Suspected AS-REP Roasting attack (external ID 2412) von Defender for Identity ist jetzt verfügbar. Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn ein Angreifer auf Konten mit deaktivierter Kerberos-Vorauthentifizierung abzielt und versucht, Kerberos-TGT-Daten abzurufen. Die Absicht des Angreifers könnte sein, die Anmeldeinformationen mithilfe von Offline-Kennwort-Cracking-Angriffen aus den Daten zu extrahieren. Weitere Informationen finden Sie unter Kerberos AS-REP Roasting Exposure (externe ID 2412).
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.140

Veröffentlichung: 14. Februar 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Januar 2021

Defender for Identity- Release 2.139

Veröffentlichung: 31. Januar 2021

• Wir haben den Schweregrad für die Suspected Kerberos SPN exposure (Suspected Kerberos SPN Exposure) auf hoch aktualisiert, um die Auswirkungen der Warnung besser widerzuspiegeln. Weitere Informationen zur Warnung finden Sie unter Suspected Kerberos SPN exposure (externe ID 2410)
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity- Release 2.138

Veröffentlichung: 24. Januar 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity- Release 2.137

Veröffentlichung: 17. Januar 2021

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.136

Veröffentlichung: 3. Januar 2021

• Defender for Identity unterstützt jetzt die Installation von Sensoren auf Active Directory-Verbunddienste (AD FS)(AD FS)-Servern. Durch die Installation des Sensors auf kompatiblen AD FS-Servern wird Microsoft Defender for Identity Einblick in die Hybridumgebung erweitert, indem diese kritische Infrastrukturkomponente überwacht wird. Wir haben auch einige unserer vorhandenen Erkennungen aktualisiert (Erstellung verdächtiger Dienste, Vermuteter Brute-Force-Angriff (LDAP) und Reconnaissance der Kontoenumeration), um auch mit AD FS-Daten zu arbeiten. Um die Bereitstellung des Microsoft Defender for Identity-Sensors für den AD FS-Server zu starten, laden Sie das neueste Bereitstellungspaket von der Sensorkonfigurationsseite herunter.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Dezember 2020

Defender for Identity, Release 2.135

Veröffentlichung: 20. Dezember 2020

• Wir haben unsere Warnung zur Reconnaissance von Active Directory-Attributen (LDAP) (externe ID 2210) verbessert, um auch Techniken zu erkennen, die zum Abrufen der zum Generieren von Sicherheitstoken erforderlichen Informationen verwendet werden, z. B. als Teil der Solorigate-Kampagne.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity, Release 2.134

Veröffentlichung: 13. Dezember 2020

• Unsere kürzlich veröffentlichte NetLogon-Erkennung wurde so erweitert, dass sie auch funktioniert, wenn die Netlogon-Kanaltransaktion über einen verschlüsselten Kanal erfolgt. Weitere Informationen zur Erkennung finden Sie unter Suspected Netlogon privilege elevation attempt(Suspected Netlogon privilege elevation attempt).
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity- Release 2.133

Veröffentlichung: 6. Dezember 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

November 2020

Defender for Identity, Release 2.132

Veröffentlichung: 17. November 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Defender for Identity- Release 2.131

Veröffentlichung: 8. November 2020

• Neue Sicherheitswarnung: Suspected Kerberos SPN exposure (externe ID 2410)
  Die Sicherheitswarnung Suspected Kerberos SPN exposure (external ID 2410) von Defender for Identity ist jetzt verfügbar. Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn ein Angreifer Dienstkonten und die entsprechenden SPNs aufzählt und dann Kerberos-TGS-Tickets für die Dienste anfordert. Die Absicht des Angreifers könnte darin sein, die Hashes aus den Tickets zu extrahieren und zur späteren Verwendung bei Offline-Brute-Force-Angriffen zu speichern. Weitere Informationen finden Sie unter Kerberos-SPN-Offenlegung.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Oktober 2020

Defender for Identity, Release 2.130

Veröffentlichung: 25. Oktober 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.129

Veröffentlichung: 18. Oktober 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

September 2020

Azure ATP Release 2.128

Veröffentlichung: 27. September 2020

• Geänderte Konfiguration von E-Mail-Benachrichtigungen
  Wir entfernen die Umschaltflächen für E-Mail-Benachrichtigungen zum Aktivieren von E-Mail-Benachrichtigungen. Um E-Mail-Benachrichtigungen zu erhalten, fügen Sie einfach eine Adresse hinzu. Weitere Informationen finden Sie unter Festlegen von Benachrichtigungen.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.127

Veröffentlichung: 20. September 2020

• Neue Sicherheitswarnung: Verdacht auf Erhöhung der Netlogon-Rechte (externe ID 2411)
  Die Sicherheitswarnung Suspected Netlogon privilege elevation attempt (CVE-2020-1472 exploitation) (externe ID 2411) von Azure ATP ist jetzt verfügbar. Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn ein Angreifer eine anfällige sichere Netlogon-Kanalverbindung mit einem Domänencontroller unter Verwendung des Netlogon Remote Protocol (MS-NRPC) herstellt, auch bekannt als Netlogon-Sicherheitsrisiko durch Rechteerweiterungen. Weitere Informationen finden Sie unter Suspected Netlogon privilege elevation attempt(Suspected Netlogon privilege elevation attempt).
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.126

Veröffentlichung: 13. September 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.125

Veröffentlichung: 6. September 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

August 2020

Azure ATP Release 2.124

Veröffentlichung: 30. August 2020

• Neue Sicherheitswarnungen
  Azure ATP-Sicherheitswarnungen enthalten jetzt die folgenden neuen Erkennungen:
  • Reconnaissance für Active Directory-Attribute (LDAP) (externe ID 2210)
    Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn ein Angreifer verdächtigt wird, wichtige Informationen über die Domäne zur Verwendung in seiner Angriffs-Kill Chain zu erhalten. Weitere Informationen finden Sie unter Reconnaissance von Active Directory-Attributen.
  • Vermutete Verwendung eines nicht autorisierten Kerberos-Zertifikats (externe ID 2047)
    Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn ein Angreifer, der die Kontrolle über die organization erlangt hat, durch Kompromittieren des Zertifizierungsstellenservers im Verdacht steht, Zertifikate zu generieren, die als Backdoor-Konten bei zukünftigen Angriffen verwendet werden können, z. B. seitlich in Ihrem Netzwerk. Weitere Informationen finden Sie unter Vermutete Verwendung eines nicht autorisierten Kerberos-Zertifikats.
  • Vermutete Verwendung von Golden Ticket (Ticketanomalie mit RBCD) (externe ID 2040)
    Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können sie ein Kerberos-Ticket zum Erteilen eines Tickets (TGT) erstellen, das die Autorisierung für jede Ressource bereitstellt.
    Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet, da es Angreifern ermöglicht, eine dauerhafte Netzwerkpersistenz mithilfe der ressourcenbasierten eingeschränkten Delegierung (Resource Based Constrained Delegation, RBCD) zu erreichen. Gefälschte Golden Tickets dieses Typs haben einzigartige Merkmale, die diese neue Erkennung identifizieren soll. Weitere Informationen finden Sie unter Suspected golden ticket usage (ticket anomaly using RBCD).
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.123

Veröffentlichung: 23. August 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.122

Veröffentlichung: 16. August 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.121

Veröffentlichung: 2. August 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juli 2020

Azure ATP Release 2.120

Veröffentlichung: 26. Juli 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP-Release 2.119

Veröffentlichung: 5. Juli 2020

• Featureerweiterung: Neue Registerkarte "Ausgeschlossene Domänencontroller " im Excel-Bericht
  Um die Genauigkeit unserer Domänencontrollerabdeckungsberechnung zu verbessern, schließen wir Domänencontroller mit externen Vertrauensstellungen aus der Berechnung aus, um eine Abdeckung von 100 % zu erzielen. Ausgeschlossene Domänencontroller werden auf der neuen Registerkarte ausgeschlossene Domänencontroller im Download des Excel-Berichts zur Domänenabdeckung angezeigt. Informationen zum Herunterladen des Berichts finden Sie unter Domänencontroller status.
• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juni 2020

Azure ATP-Release 2.118

Veröffentlichung: 28. Juni 2020

• Neue Sicherheitsbewertungen
  Azure ATP-Sicherheitsbewertungen umfassen jetzt die folgenden neuen Bewertungen:

  • Riskanteste Lateral Movement-Pfade
    Diese Bewertung überwacht Kontinuierlich Ihre Umgebung, um vertrauliche Konten mit den riskantesten Lateral Movement-Pfaden zu identifizieren, die ein Sicherheitsrisiko darstellen, und meldet diese Konten, um Sie bei der Verwaltung Ihrer Umgebung zu unterstützen. Pfade gelten als riskant, wenn sie über drei oder mehr nicht sensible Konten verfügen, die das sensible Konto dem Diebstahl von Anmeldeinformationen durch böswillige Akteure aussetzen können. Weitere Informationen finden Sie unter Sicherheitsbewertung: Riskanteste Lateral Movement-Pfade (LMP).
  • Unsichere Kontoattribute
    Bei dieser Bewertung überwacht Azure ATP kontinuierlich Ihre Umgebung, um Konten mit Attributwerten zu identifizieren, die ein Sicherheitsrisiko darstellen, und meldet diese Konten, um Sie beim Schutz Ihrer Umgebung zu unterstützen. Weitere Informationen finden Sie unter Sicherheitsbewertung: Unsichere Kontoattribute.

• Aktualisierte Vertraulichkeitsdefinition
  Wir erweitern unsere Vertraulichkeitsdefinition für lokale Konten um Entitäten, die die Active Directory-Replikation verwenden dürfen.

Azure ATP Release 2.117

Veröffentlichung: 14. Juni 2020

• Featureerweiterung: Zusätzliche Aktivitätsdetails, die in der einheitlichen SecOps-Benutzeroberfläche verfügbar sind
  Wir haben die Geräteinformationen, die wir senden, an Defender for Cloud Apps erweitert, einschließlich Gerätenamen, IP-Adressen, Konto-UPNs und verwendeter Port. Weitere Informationen zur Integration mit Defender for Cloud Apps finden Sie unter Verwenden von Azure ATP mit Defender for Cloud Apps.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.116

Veröffentlichung: 7. Juni 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Mai 2020

Azure ATP Release 2.115

Veröffentlichung: 31. Mai 2020

• Neue Sicherheitsbewertungen
  Azure ATP-Sicherheitsbewertungen umfassen jetzt die folgenden neuen Bewertungen:

  • Unsichere SID-Verlaufsattribute
    Diese Bewertung meldet SID-Verlaufsattribute, die von böswilligen Angreifern verwendet werden können, um Zugriff auf Ihre Umgebung zu erhalten. Weitere Informationen finden Sie unter Sicherheitsbewertung: Unsichere SID-Verlaufsattribute.
  • Microsoft LAPS-Nutzung
    Diese Bewertung meldet lokale Administratorkonten, die nicht die "Lokale Administratorkennwortlösung" (LAPS) von Microsoft verwenden, um ihre Kennwörter zu schützen. Die Verwendung von LAPS vereinfacht die Kennwortverwaltung und hilft auch beim Schutz vor Cyberangriffen. Weitere Informationen finden Sie unter Sicherheitsbewertung: Microsoft LAPS-Nutzung.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.114

Veröffentlichung: 17. Mai 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.113

Veröffentlichung: 5. Mai 2020

• Featureerweiterung: Angereicherte Ressourcenzugriffsaktivität mit NTLMv1
  Ab dieser Version stellt Azure ATP jetzt Informationen für Ressourcenzugriffsaktivitäten bereit, die zeigen, ob die Ressource die NTLMv1-Authentifizierung verwendet. Diese Ressourcenkonfiguration ist unsicher und birgt das Risiko, dass böswillige Akteure die Anwendung zu ihrem Vorteil erzwingen können. Weitere Informationen zum Risiko finden Sie unter Verwendung von Legacyprotokollen.

• Featureerweiterung: Warnung mit vermutetem Brute-Force-Angriff (Kerberos, NTLM)
  Brute-Force-Angriffe werden von Angreifern verwendet, um Fuß in Ihre organization zu bekommen, und ist eine wichtige Methode für die Bedrohungs- und Risikoermittlung in Azure ATP. Damit Sie sich auf die kritischen Risiken für Ihre Benutzer konzentrieren können, können Sie mit diesem Update Risiken einfacher und schneller analysieren und beheben, indem die Anzahl der Warnungen begrenzt und priorisiert wird.

März 2020

Azure ATP Release 2.112

Veröffentlicht: 15. März 2020

• Neue Azure ATP-Instanzen werden automatisch in Microsoft Defender for Cloud Apps integriert
  Beim Erstellen einer Azure ATP-instance (früher instance) ist die Integration mit Microsoft Defender for Cloud Apps standardmäßig aktiviert. Weitere Informationen zur Integration finden Sie unter Verwenden von Azure ATP mit Microsoft Defender for Cloud Apps.

• Neue überwachte Aktivitäten
  Die folgenden Aktivitätsmonitore sind jetzt verfügbar:

  • Interaktive Anmeldung mit Zertifikat

  • Fehler bei der Anmeldung mit Zertifikat

  • Delegierter Ressourcenzugriff

    Erfahren Sie mehr darüber, welche Aktivitäten Azure ATP überwacht und wie Sie überwachte Aktivitäten im Portal filtern und durchsuchen .

• Featureerweiterung: Angereicherte Ressourcenzugriffsaktivität
  Ab dieser Version stellt Azure ATP jetzt Informationen für Ressourcenzugriffsaktivitäten bereit, die zeigen, ob die Ressource für die uneingeschränkte Delegierung vertrauenswürdig ist. Diese Ressourcenkonfiguration ist unsicher und birgt das Risiko, dass böswillige Akteure die Anwendung zu ihrem Vorteil erzwingen können. Weitere Informationen zum Risiko finden Sie unter Sicherheitsbewertung: Unsichere Kerberos-Delegierung.

• Mutmaßliche SMB-Paketbearbeitung (CVE-2020-0796-Ausnutzung) – (Vorschau)
  Die Sicherheitswarnung Suspected SMB packet manipulation (Verdacht auf SMB-Paketbearbeitung ) von Azure ATP befindet sich jetzt in der öffentlichen Vorschau. Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn ein SMBv3-Paket, das verdächtigt wird, das Sicherheitsrisiko CVE-2020-0796 auszunutzen, auf einen Domänencontroller im Netzwerk angewendet wird.

Azure ATP Release 2.111

Veröffentlicht: 1. März 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Februar 2020

Azure ATP Release 2.110

Veröffentlicht: 23. Februar 2020

• Neue Sicherheitsbewertung: Nicht überwachte Domänencontroller
  Azure ATP-Sicherheitsbewertungen enthalten jetzt einen Bericht zu nicht überwachten Domänencontrollern (Servern ohne Sensor), der Ihnen bei der Verwaltung der vollständigen Abdeckung Ihrer Umgebung hilft. Weitere Informationen finden Sie unter Nicht überwachte Domänencontroller.

Azure ATP-Release 2.109

Veröffentlicht: 16. Februar 2020

• Featureerweiterung: Vertrauliche Entitäten
  Ab dieser Version (2.109) werden Computer, die von Azure ATP als Zertifizierungsstelle, DHCP oder DNS-Server identifiziert werden, automatisch als Vertraulich gekennzeichnet.

Azure ATP Release 2.108

Veröffentlicht: 9. Februar 2020

• Neues Feature: Unterstützung für gruppenverwaltete Dienstkonten
  Azure ATP unterstützt jetzt die Verwendung von gruppenverwalteten Dienstkonten (Group Managed Service Accounts, gMSA), um die Sicherheit beim Verbinden von Azure ATP-Sensoren mit Ihren Microsoft Entra Gesamtstrukturen zu verbessern. Weitere Informationen zur Verwendung von gMSA mit Azure ATP-Sensoren finden Sie unter Herstellen einer Verbindung mit Ihrer Active Directory-Gesamtstruktur.

• Featureerweiterung: Geplanter Bericht mit zu vielen Daten
  Wenn ein geplanter Bericht zu viele Daten enthält, informiert Sie die E-Mail jetzt über die Tatsache, indem der folgende Text angezeigt wird: Während des angegebenen Zeitraums waren zu viele Daten vorhanden, um einen Bericht zu generieren. Dadurch wird das vorherige Verhalten ersetzt, dass die Tatsache erst nach dem Klicken auf den Berichtslink in der E-Mail ermittelt wird.

• Featureerweiterung: Aktualisierte Domänencontrollerabdeckungslogik
  Wir haben die Berichtslogik für die Domänencontrollerabdeckung aktualisiert, sodass sie zusätzliche Informationen aus Microsoft Entra ID enthält, was zu einer genaueren Ansicht der Domänencontroller ohne Sensoren führt. Diese neue Logik sollte sich auch positiv auf die entsprechende Microsoft-Sicherheitsbewertung auswirken.

Azure ATP Release 2.107

Veröffentlicht: 3. Februar 2020

• Neue überwachte Aktivität: Änderung des SID-Verlaufs
  Sid-Verlaufsänderung ist jetzt eine überwachte und filterbare Aktivität. Erfahren Sie mehr darüber, welche Aktivitäten Azure ATP überwacht und wie Sie überwachte Aktivitäten im Portal filtern und durchsuchen .

• Featureerweiterung: Geschlossene oder unterdrückte Warnungen werden nicht mehr geöffnet
  Sobald eine Warnung im Azure ATP-Portal geschlossen oder unterdrückt wurde, wird eine neue Warnung geöffnet, wenn dieselbe Aktivität innerhalb eines kurzen Zeitraums wieder erkannt wird. Zuvor wurde die Warnung unter den gleichen Bedingungen erneut geöffnet.

• TLS 1.2 für Portalzugriff und Sensoren erforderlich
  TLS 1.2 ist jetzt erforderlich, um Azure ATP-Sensoren und den Clouddienst zu verwenden. Der Zugriff auf das Azure ATP-Portal ist nicht mehr über Browser möglich, die TLS 1.2 nicht unterstützen.

Januar 2020

Azure ATP Release 2.106

Veröffentlicht: 19. Januar 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.105

Veröffentlicht am 12. Januar 2020

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Dezember 2019

Azure ATP Release 2.104

Veröffentlicht: 23. Dezember 2019

• Ablauf der Sensorversion beseitigt
  Azure ATP-Sensorbereitstellungs- und Sensorinstallationspakete laufen nach einer Reihe von Versionen nicht mehr ab und aktualisieren sich nur einmal selbst. Das Ergebnis dieser Funktion ist, dass zuvor heruntergeladene Sensorinstallationspakete jetzt auch dann installiert werden können, wenn sie älter als die maximale Anzahl abgelaufener Versionen sind.

• Bestätigen der Kompromittierung
  Sie können jetzt die Kompromittierung bestimmter Microsoft 365-Benutzer bestätigen und deren Risikostufe auf "Hoch" festlegen. Dieser Workflow ermöglicht Ihren Sicherheitsteams eine weitere Reaktionsfunktion, um die Schwellenwerte für die Behebung von Sicherheitsvorfällen zu reduzieren. Erfahren Sie mehr darüber, wie Sie die Kompromittierung mithilfe von Azure ATP und Defender for Cloud Apps bestätigen.

• Banner "Neue Benutzeroberfläche"
  Auf Azure ATP-Portalseiten, auf denen eine neue Benutzeroberfläche im Defender for Cloud Apps-Portal verfügbar ist, werden neue Banner angezeigt, die beschreiben, was mit Zugriffslinks verfügbar ist.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.103

Veröffentlicht: 15. Dezember 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP-Release 2.102

Veröffentlichung: 8. Dezember 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

November 2019

Azure ATP Release 2.101

Veröffentlichung: 24. November 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.100

Veröffentlichung: 17. November 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.99

Veröffentlichung: 3. November 2019

• Featureerweiterung: Benachrichtigung der Benutzeroberfläche über Defender for Cloud Apps Portalverfügbarkeit für das Azure ATP-Portal hinzugefügt
  Um sicherzustellen, dass alle Benutzer über die Verfügbarkeit der erweiterten Features informiert sind, die über das Defender for Cloud Apps-Portal verfügbar sind, wurde eine Benachrichtigung für das Portal aus dem vorhandenen Azure ATP-Warnungs-Zeitleiste hinzugefügt.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Oktober 2019

Azure ATP Release 2.98

Veröffentlichung: 27. Oktober 2019

• Featureerweiterung: Warnung zu mutmaßlichen Brute-Force-Angriffen
  Die Warnung Suspected brute force attack (SMB) wurde mithilfe zusätzlicher Analyse verbessert, und die Erkennungslogik wurde verbessert, um die Warnungsergebnisse für gutartige true positive (B-TP) und false positive (FP) zu reduzieren.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.97

Veröffentlichung: 6. Oktober 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

September 2019

Azure ATP Release 2.96

Veröffentlichung: 22. September 2019

• Angereicherte NTLM-Authentifizierungsdaten mit Windows-Ereignis 8004
  Azure ATP-Sensoren können jetzt die NTLM-Authentifizierungsaktivitäten automatisch lesen und mit Ihren serverzugriffen Daten anreichern, wenn die NTLM-Überwachung aktiviert und Windows-Ereignis 8004 aktiviert ist. Azure ATP analysiert Windows Event 8004 für NTLM-Authentifizierungen, um die NTLM-Authentifizierungsdaten zu erweitern, die für die Azure ATP-Bedrohungsanalyse und -Warnungen verwendet werden. Diese erweiterte Funktion bietet Ressourcenzugriffsaktivitäten über NTLM-Daten sowie angereicherte fehlerhafte Anmeldeaktivitäten, einschließlich des Zielcomputers, auf den der Benutzer versucht hat, aber nicht darauf zuzugreifen.

  Erfahren Sie mehr über NTLM-Authentifizierungsaktivitäten mit Windows-Ereignis 8004.

• Die Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.95

Veröffentlichung: 15. September 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.94

Veröffentlichung: 8. September 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.93

Veröffentlichung: 1. September 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

August 2019

Azure ATP Release 2.92

Veröffentlichung: 25. August 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.91

Veröffentlichung: 18. August 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.90

Veröffentlichung: 11. August 2019

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.89

Veröffentlichung: 4. August 2019

• Verbesserungen bei Sensormethoden
  Um eine übermäßige NTLM-Datenverkehrsgenerierung bei der Erstellung genauer Lateral Movement Path -Bewertungen (Lateral Movement Path, LMP) zu vermeiden, wurden Verbesserungen an Den Azure ATP-Sensormethoden vorgenommen, um weniger auf die NTLM-Nutzung angewiesen zu sein und Kerberos in größerem Maße zu nutzen.

• Warnungserweiterung: Vermutete Golden Ticket-Nutzung (nicht vorhandenes Konto)
  Sam-Namensänderungen wurden den unterstützenden Beweistypen hinzugefügt, die in diesem Warnungstyp aufgeführt sind. Weitere Informationen zur Warnung, einschließlich der Vorgehensweise zum Verhindern dieser Art von Aktivität und Zur Behebung, finden Sie unter Suspected Golden Ticket usage (nonexistent account) (Suspected Golden Ticket usage (nonexistent account).

• Allgemeine Verfügbarkeit: Verdacht auf Manipulation der NTLM-Authentifizierung
  Die Warnung mutmaßliche NTLM-Authentifizierungsmanipulation befindet sich nicht mehr im Vorschaumodus und ist jetzt allgemein verfügbar.

• Die Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juli 2019

Azure ATP Release 2.88

Veröffentlichung: 28. Juli 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.87

Veröffentlichung: 21. Juli 2019

• Featureerweiterung: Automatisierte Syslog-Ereignissammlung für eigenständige Azure ATP-Sensoren
  Eingehende Syslog-Verbindungen für eigenständige Azure ATP-Sensoren sind jetzt vollständig automatisiert, während die Umschaltoption aus dem Konfigurationsbildschirm entfernt wird. Diese Änderungen haben keine Auswirkungen auf ausgehende Syslog-Verbindungen.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.86

Veröffentlichung: 14. Juli 2019

• Neue Sicherheitswarnung: Verdacht auf Manipulation der NTLM-Authentifizierung (externe ID 2039)
  Die neue Sicherheitswarnung Suspected NTLM authentication manipulationing (Vermutete Manipulation der NTLM-Authentifizierung ) von Azure ATP befindet sich jetzt in der öffentlichen Vorschau. Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn die Verwendung eines "Man-in-the-Middle"-Angriffs verdächtigt wird, die NTLM Message Integrity Check (MIC) erfolgreich zu umgehen, ein sicherheitsrelevantes Sicherheitsrisiko, das in Microsoft CVE-2019-040 beschrieben wird. Diese Arten von Angriffen versuchen, NTLM-Sicherheitsfeatures herabzustufen und erfolgreich zu authentifizieren, mit dem ultimativen Ziel, erfolgreiche Lateral Movements zu erzielen.

• Featureerweiterung: Erweiterte Gerätebetriebssystemidentifikation
  Bisher hat Azure ATP Informationen zum Betriebssystem des Entitätsgeräts basierend auf dem verfügbaren Attribut in Active Directory bereitgestellt. Wenn zuvor Betriebssysteminformationen in Active Directory nicht verfügbar waren, waren die Informationen auch auf Azure ATP-Entitätsseiten nicht verfügbar. Ab dieser Version stellt Azure ATP diese Informationen nun mithilfe angereicherter Methoden zur Gerätebetriebssystemidentifikation für Geräte bereit, auf denen Active Directory nicht über die Informationen verfügt oder nicht in Active Directory registriert sind.

  Das Hinzufügen angereicherter Gerätebetriebssystem-Identifikationsdaten hilft dabei, nicht registrierte und Nicht-Windows-Geräte zu identifizieren und gleichzeitig Ihren Untersuchungsprozess zu unterstützen. Weitere Informationen zur Netzwerknamensauflösung in Azure ATP finden Sie unter Grundlegendes zur Netzwerknamensauflösung (Network Name Resolution, NNR).

• Neues Feature: Authentifizierter Proxy – Vorschau
  Azure ATP unterstützt jetzt einen authentifizierten Proxy. Geben Sie die Proxy-URL über die Befehlszeile des Sensors an, und geben Sie Benutzername/Kennwort an, um Proxys zu verwenden, die eine Authentifizierung erfordern. Weitere Informationen zur Verwendung eines authentifizierten Proxys finden Sie unter Konfigurieren des Proxys.

• Featureerweiterung: Automatisierter Domänensynchronisierungsprozess
  Der Prozess, Domänencontroller während des Setups und der laufenden Konfiguration als Kandidaten für Domänensynchronisierungen zu kennzeichnen und zu markieren, ist jetzt vollständig automatisiert. Die Umschaltoption zum manuellen Auswählen von Domänencontrollern als Domänensynchronisierungskandidaten wurde entfernt.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.85

Veröffentlichung: 7. Juli 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.84

Veröffentlichung: 1. Juli 2019

• Unterstützung für neue Standorte: Azure-Rechenzentrum in Großbritannien
  Azure ATP-Instanzen werden jetzt im Rechenzentrum von Azure UK unterstützt. Weitere Informationen zum Erstellen von Azure ATP-Instanzen und deren entsprechenden Rechenzentrumsstandorten finden Sie unter Schritt 1 der Azure ATP-Installation.

• Featureerweiterung: Neuer Name und neue Features für die Warnung Verdächtige Ergänzungen zu vertraulichen Gruppen (externe ID 2024)
  Die Warnung Verdächtige Ergänzungen zu vertraulichen Gruppen wurde zuvor als Warnung Verdächtige Änderungen an sensiblen Gruppen bezeichnet. Die externe ID der Warnung (ID 2024) bleibt unverändert. Die beschreibende Namensänderung spiegelt den Zweck der Warnung bei Ergänzungen zu Ihren sensiblen Gruppen genauer wider. Die erweiterte Warnung enthält auch neue Beweise und verbesserte Beschreibungen. Weitere Informationen finden Sie unter Verdächtige Ergänzungen zu vertraulichen Gruppen.

• Neues Dokumentationsfeature: Leitfaden für den Wechsel von Advanced Threat Analytics zu Azure ATP
  Dieser neue Artikel enthält Voraussetzungen, Planungsleitfäden sowie Konfigurations- und Überprüfungsschritte für den Wechsel von ATA zum Azure ATP-Dienst. Weitere Informationen finden Sie unter Verschieben von ATA zu Azure ATP.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Juni 2019

Azure ATP Release 2.83

Veröffentlichung: 23. Juni 2019

• Featureerweiterung: Warnung zur Erstellung verdächtiger Dienste (externe ID 2026)
  Diese Warnung bietet jetzt eine verbesserte Warnungsseite mit zusätzlichen Beweisen und einer neuen Beschreibung. Weitere Informationen finden Sie unter Sicherheitswarnung zur Erstellung verdächtiger Dienste.

• Unterstützung der Instanzbenennung: Unterstützung für Domänenpräfixe nur für Ziffern hinzugefügt
  Unterstützung für die Erstellung von Azure ATP-instance mit anfänglichen Domänenpräfixen hinzugefügt, die nur Ziffern enthalten. Die Verwendung von Domänenpräfixen, z. B. 123456.contoso.com, wird jetzt beispielsweise unterstützt.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP-Release 2.82

Veröffentlichung: 18. Juni 2019

• Neue öffentliche Vorschau
  Die Untersuchung von Identitätsrisiken von Azure ATP befindet sich jetzt in der öffentlichen Vorschau und ist für alle durch Azure ATP geschützten Mandanten verfügbar. Weitere Informationen finden Sie unter Azure ATP Microsoft Defender for Cloud Apps Untersuchungserfahrung.

• Allgemeine Verfügbarkeit
  Die Azure ATP-Unterstützung für nicht vertrauenswürdige Gesamtstrukturen ist jetzt allgemein verfügbar. Weitere Informationen finden Sie unter Azure ATP mit mehreren Gesamtstrukturen.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.81

Veröffentlichung: 10. Juni 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.80

Veröffentlichung: 2. Juni 2019

• Featureerweiterung: Warnung zu verdächtigen VPN-Verbindungen
  Diese Warnung enthält jetzt erweiterte Beweise und Texte für eine bessere Benutzerfreundlichkeit. Weitere Informationen zu Warnungsfeatures und empfohlenen Korrekturschritten und Präventionsmaßnahmen finden Sie in der Beschreibung der Warnung zu verdächtigen VPN-Verbindungen.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Mai 2019

Azure ATP Release 2.79

Veröffentlichung: 26. Mai 2019

• Allgemeine Verfügbarkeit: Reconnaissance für Sicherheitsprinzipale (LDAP) (externe ID 2038)

  Diese Warnung ist jetzt allgemein verfügbar (allgemeine Verfügbarkeit). Weitere Informationen zu warnungen, Warnungsfeatures und empfohlenen Korrektur- und Präventionsvorschlägen finden Sie in der Warnungsbeschreibung sicherheitsprinzipal reconnaissance (LDAP)

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.78

Veröffentlichung: 19. Mai 2019

• Featureerweiterung: Vertrauliche Entitäten
  Manuelles Sensibles Tagging für Exchange-Server

  Sie können Entitäten jetzt während der Konfiguration manuell als Exchange-Server kennzeichnen.

  So markieren Sie eine Entität manuell als Exchange Server

  1. Wählen Sie im Azure ATP-Portal die Option Konfiguration aus.
  2. Wählen Sie unter Erkennungdie Option Entitätstags und dann Vertraulich aus.
  3. Wählen Sie Exchange-Server aus, und fügen Sie dann die Entität hinzu, die Sie markieren möchten.

  Nachdem ein Computer als Exchange Server gekennzeichnet wurde, wird er als Vertraulich gekennzeichnet und zeigt an, dass er als Exchange Server gekennzeichnet wurde. Das Tag Vertraulich wird im Entitätsprofil des Computers angezeigt, und der Computer wird bei allen Erkennungen berücksichtigt, die auf sensiblen Konten und Lateral Movement-Pfaden basieren.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.77

Veröffentlichung: 12. Mai 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.76

Veröffentlichung: 6. Mai 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

April 2019

Azure ATP Release 2.75

Veröffentlichung: 28. April 2019

• Featureerweiterung: Vertrauliche Entitäten
  Ab dieser Version (2.75) werden Computer, die von Azure ATP als Exchange-Server identifiziert werden, automatisch als Vertraulich gekennzeichnet.

  Entitäten, die automatisch als Vertraulich gekennzeichnet werden, da sie als Exchange-Server fungieren, führen diese Klassifizierung als Grund für ihre Markierung auf.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.74

Veröffentlichung: 14. April 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.73

Veröffentlichung: 10. April 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

März 2019

Azure ATP Release 2.72

Veröffentlichung: 31. März 2019

• Featureerweiterung: Lateral Movement Path (LMP) bereichsbezogene Tiefe
  Lateral Movement Paths (LMPs) sind eine wichtige Methode für die Bedrohungs- und Risikoermittlung in Azure ATP. Um den Fokus auf die kritischen Risiken für Ihre sensibelsten Benutzer zu behalten, ermöglicht dieses Update es einfacher und schneller, Risiken für die sensiblen Benutzer auf jedem LMP zu analysieren und zu beheben, indem der Umfang und die Tiefe jedes angezeigten Diagramms eingeschränkt werden.

  Unter Lateral Movement Paths (Lateral Movement-Pfade ) erfahren Sie mehr darüber, wie Azure ATP LMPs verwendet, um Zugriffsrisiken für jede Entität in Ihrer Umgebung anzuzeigen.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.71

Veröffentlicht: 24. März 2019

• Featureerweiterung: NNR-Integritätswarnungen (Network Name Resolution, Netzwerknamenauflösung)
  Integritätswarnungen wurden für Zuverlässigkeitsstufen hinzugefügt, die Azure ATP-Sicherheitswarnungen zugeordnet sind, die auf NNR basieren. Jede Integritätswarnung enthält umsetzbare und detaillierte Empfehlungen, um niedrige NNR-Erfolgsraten zu beheben.

  Weitere Informationen dazu, wie Azure ATP NNR verwendet und warum die Warnungsgenauigkeit wichtig ist, finden Sie unter Was ist die Netzwerknamensauflösung ?

• Serverunterstützung: Unterstützung für Server 2019 mit Verwendung von KB4487044 hinzugefügt
  Unterstützung für die Verwendung von Windows Server 2019 mit einer Patchebene von KB4487044 hinzugefügt. Die Verwendung von Server 2019 ohne den Patch wird nicht unterstützt und ab diesem Update blockiert.

• Featureerweiterung: Benutzerbasierter Warnungsausschluss
  Erweiterte Warnungsausschlussoptionen ermöglichen jetzt das Ausschließen bestimmter Benutzer von bestimmten Warnungen. Ausschlüsse können dazu beitragen, Situationen zu vermeiden, in denen die Verwendung oder Konfiguration bestimmter Arten von interner Software wiederholt harmlose Sicherheitswarnungen ausgelöst hat.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.70

Veröffentlichung: 17. März 2019

• Featureerweiterung: NNR-Konfidenzstufe (Network Name Resolution) zu mehreren Warnungen hinzugefügt Die Netzwerknamensauflösung oder (NNR) wird verwendet, um die Identität der Quellentität von mutmaßlichen Angriffen positiv zu identifizieren. Indem Sie die NNR-Konfidenzstufen zu Azure ATP-Warnungsbeweislisten hinzufügen, können Sie jetzt sofort das Niveau der NNR-Zuverlässigkeit im Zusammenhang mit den identifizierten möglichen Quellen bewerten und verstehen und entsprechend korrigieren.

  Den folgenden Warnungen wurde ein NNR-Konfidenzlevel-Beweis hinzugefügt:

  • Netzwerkzuordnungs-Reconnaissance (DNS)
  • Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket)
  • Vermuteter NTLM-Relayangriff (Exchange-Konto)-Vorschau
  • Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten)

• Zusätzliches Integritätswarnungsszenario: Fehler beim Starten des Azure ATP-Sensordiensts
  In Fällen, in denen der Azure ATP-Sensor aufgrund eines Problems mit dem Treiber für die Netzwerkerfassung nicht gestartet werden konnte, wird jetzt eine Warnung zur Sensorintegrität ausgelöst. Weitere Informationen zu Azure ATP-Protokollen und deren Verwendung finden Sie unter Problembehandlung für den Azure ATP-Sensor mit Azure ATP-Protokollen.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.69

Veröffentlichung: 10. März 2019

• Featureerweiterung: Warnung zu mutmaßlichem Identitätsdiebstahl (Pass-the-Ticket) Diese Warnung enthält jetzt neue Beweise, die die Details der Verbindungen zeigen, die mithilfe des Remotedesktopprotokolls (RDP) hergestellt wurden. Die hinzugefügten Beweise erleichtern die Behebung des bekannten Problems von (B-TP) Benign-True Positiven Warnungen, die durch die Verwendung von Remote Credential Guard über RDP-Verbindungen verursacht werden.

• Featureerweiterung: Remotecodeausführung über DNS-Warnung
  Diese Warnung enthält jetzt neue Beweise für Ihr Domänencontroller-Sicherheitsupdate status, die Sie darüber informieren, wenn Updates erforderlich sind.

• Neues Dokumentationsfeature: Azure ATP-Sicherheitswarnung MITRE ATT&CK Matrix™
  Um die Beziehung zwischen Azure ATP-Sicherheitswarnungen und der vertrauten MITRE ATT&CK-Matrix zu erläutern und zu vereinfachen, haben wir die relevanten MITRE-Techniken zu Azure ATP-Sicherheitswarnungslisten hinzugefügt. Dieser zusätzliche Verweis erleichtert das Verständnis der vermuteten Angriffstechnik, die möglicherweise verwendet wird, wenn eine Azure ATP-Sicherheitswarnung ausgelöst wird. Erfahren Sie mehr über den Leitfaden zu Azure ATP-Sicherheitswarnungen.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.68

Veröffentlichung: 3. März 2019

• Featureerweiterung: Warnung zu einem vermuteten Brute-Force-Angriff (LDAP)
  Für diese Sicherheitswarnung wurden erhebliche Verbesserungen an der Benutzerfreundlichkeit vorgenommen, einschließlich einer überarbeiteten Beschreibung, der Bereitstellung zusätzlicher Quellinformationen und Details zu Schätzversuchen für eine schnellere Korrektur.
  Erfahren Sie mehr über Suspected Brute Force Attack (LDAP)- Sicherheitswarnungen.

• Neues Dokumentationsfeature: Sicherheitswarnungslab
  Um die Leistungsfähigkeit von Azure ATP bei der Erkennung der tatsächlichen Bedrohungen für Ihre Arbeitsumgebung zu erläutern, haben wir dieser Dokumentation ein neues Sicherheitswarnungslab hinzugefügt. Das Sicherheitswarnungs-Lab unterstützt Sie beim schnellen Einrichten einer Lab- oder Testumgebung und erläutert die besten defensiven Angriffe gegen gängige, reale Bedrohungen und Angriffe.

  Das Schritt-für-Schritt-Lab wurde entwickelt, um sicherzustellen, dass Sie nur wenig Zeit mit der Erstellung verbringen und mehr Zeit mit dem Erlernen Ihrer Bedrohungslandschaft und verfügbaren Azure ATP-Warnungen und des Schutzes verbringen. Wir freuen uns auf Ihr Feedback.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Februar 2019

Azure ATP Release 2.67

Veröffentlichung: 24. Februar 2019

• Neue Sicherheitswarnung: Sicherheitsprinzipal-Reconnaissance (LDAP) – (Vorschau)
  Die Sicherheitswarnung " Sicherheitsprinzipal reconnaissance" (LDAP) von Azure ATP– Vorschauversion befindet sich jetzt in der öffentlichen Vorschauphase. Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn Sicherheitsprinzipal-Reconnaissance von Angreifern verwendet wird, um kritische Informationen über die Domänenumgebung zu erhalten. Diese Informationen helfen Angreifern dabei, die Domänenstruktur zuzuordnen und privilegierte Konten für spätere Schritte in ihrer Angriffs-Kill Chain zu identifizieren.

  Lightweight Directory Access Protocol (LDAP) ist eine der beliebtesten Methoden, die sowohl für legitime als auch für böswillige Zwecke zum Abfragen von Active Directory verwendet werden. Ldap-fokussierte Sicherheitsprinzipal-Reconnaissance wird häufig als erste Phase eines Kerberoasting-Angriffs verwendet. Kerberoasting-Angriffe werden verwendet, um eine Zielliste von Sicherheitsprinzipalnamen (SPNs) abzurufen, für die Angreifer dann versuchen, Ticket Granting Server (TGS)-Tickets zu erhalten.

• Featureerweiterung: Warnung zur Kontoaufzählung (Account Enumeration Reconnaissance, NTLM)
  Verbesserte NtLM-Warnung (Account Enumeration Reconnaissance) mit zusätzlicher Analyse und verbesserter Erkennungslogik, um B-TP- und FP-Warnungsergebnisse zu reduzieren.

• Featureerweiterung: Warnung zur Netzwerkzuordnungs reconnaissance (DNS)
  Neue Typen von Erkennungen, die zu DNS-Warnungen (Network Mapping Reconnaissance) hinzugefügt wurden. Zusätzlich zur Erkennung verdächtiger AXFR-Anforderungen erkennt Azure ATP jetzt verdächtige Typen von Anforderungen, die von Nicht-DNS-Servern stammen, indem eine übermäßige Anzahl von Anforderungen verwendet wird.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.66

Veröffentlichung: 17. Februar 2019

• Featureerweiterung: Warnung zum vermuteten DCSync-Angriff (Replikation von Verzeichnisdiensten)
  Die Benutzerfreundlichkeit dieser Sicherheitswarnung wurde verbessert, einschließlich einer überarbeiteten Beschreibung, der Bereitstellung zusätzlicher Quellinformationen, neuer Infografiken und weiterer Beweise. Weitere Informationen finden Sie unter Suspected DCSync attack (replikation of directory services) security alerts (Suspected DCSync attack (replikation of directory services) (Suspected DCSync attack (Replikation of Directory Services) (Vermuteter DCSync-Angriff (

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.65

Veröffentlichung: 10. Februar 2019

• Neue Sicherheitswarnung: Vermuteter NTLM-Relayangriff (Exchange-Konto) – (Vorschau)
  Vermuteter NTLM-Relayangriff von Azure ATP (Exchange-Konto): Sicherheitswarnung in der Vorschauversion befindet sich jetzt in der öffentlichen Vorschau. Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn die Verwendung von Exchange-Kontoanmeldeinformationen aus einer verdächtigen Quelle identifiziert wird. Diese Arten von Angriffen versuchen, NTLM-Relaytechniken zu nutzen, um Domänencontroller-Austauschberechtigungen zu erlangen, und werden als ExchangePriv bezeichnet. Erfahren Sie mehr über die ExchangePriv-Technik in der am 31. Januar 2019 veröffentlichten ADV190007 Empfehlung und der Azure ATP-Warnungsantwort.

• Allgemeine Verfügbarkeit: Remotecodeausführung über DNS
  Diese Warnung ist jetzt allgemein verfügbar (allgemeine Verfügbarkeit). Weitere Informationen und Warnungsfeatures finden Sie auf der Seite Remotecodeausführung über DNS- Warnungsbeschreibung.

• Allgemeine Verfügbarkeit: Datenexfiltration über SMB
  Diese Warnung ist jetzt allgemein verfügbar (allgemeine Verfügbarkeit). Weitere Informationen und Warnungsfeatures finden Sie auf der Seite Zur Beschreibung der Warnung Datenexfiltration über SMB.

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.64

Veröffentlichung: 4. Februar 2019

• Allgemeine Verfügbarkeit: Vermutete Golden Ticket-Nutzung (Ticketanomalie)
  Diese Warnung ist jetzt allgemein verfügbar (allgemeine Verfügbarkeit). Weitere Informationen und Warnungsfeatures finden Sie auf der Seite Mit der Beschreibung der Warnung "Suspected Golden Ticket usage (ticket anomaly)" (Suspected Golden Ticket usage (Ticket anomaly) (Suspected Golden Ticket usage (Ticket anomaly)) warnungsbeschreibung.

• Featureerweiterung: Netzwerkzuordnungs-Reconnaissance (DNS)
  Verbesserte Warnungserkennungslogik, die für diese Warnung bereitgestellt wurde, um falsch positive Ergebnisse und Warnungsgeräusche zu minimieren. Diese Warnung hat jetzt einen Lernzeitraum von acht Tagen, bevor die Warnung möglicherweise zum ersten Mal ausgelöst wird. Weitere Informationen zu dieser Warnung finden Sie auf der Seite mit der Beschreibung der Warnung zur Netzwerkzuordnungsreconnaissance (DNS).

  Aufgrund der Verbesserung dieser Warnung sollte die nslookup-Methode nicht mehr zum Testen der Azure ATP-Konnektivität während der Erstkonfiguration verwendet werden.

• Featureerweiterung:
  Diese Version enthält neu gestaltete Warnungsseiten und neue Beweise, die eine bessere Untersuchung von Warnungen ermöglichen.

  • Verdacht auf Brute-Force-Angriff (SMB)
  • Beschreibungsseite für warnungsverdächtige Golden Ticket-Nutzung (Zeitanomalie)
  • Vermuteter Overpass-the-Hash-Angriff (Kerberos)
  • Verdacht auf Verwendung des Metasploit-Hacking-Frameworks
  • Verdacht auf WannaCry-Ransomware-Angriff

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Januar 2019

Azure ATP Release 2.63

Veröffentlichung: 27. Januar 2019

• Neues Feature: Unterstützung für nicht vertrauenswürdige Gesamtstrukturen (Vorschau)
  Die Azure ATP-Unterstützung für Sensoren in nicht vertrauenswürdigen Gesamtstrukturen befindet sich jetzt in der öffentlichen Vorschau. Konfigurieren Sie auf der Seite Verzeichnisdienste im Azure ATP-Portal zusätzliche Anmeldeinformationen, damit Azure ATP-Sensoren eine Verbindung mit verschiedenen Active Directory-Gesamtstrukturen herstellen und berichte an den Azure ATP-Dienst zurück. Weitere Informationen finden Sie unter Azure ATP mit mehreren Gesamtstrukturen.

• Neues Feature: Domänencontrollerabdeckung
  Azure ATP bietet jetzt Abdeckungsinformationen für von Azure ATP überwachte Domänencontroller.
  Zeigen Sie auf der Seite Sensoren im Azure ATP-Portal die Anzahl der überwachten und nicht überwachten Domänencontroller an, die von Azure ATP in Ihrer Umgebung erkannt wurden. Laden Sie die Liste der überwachten Domänencontroller zur weiteren Analyse und zum Erstellen eines Aktionsplans herunter. Weitere Informationen finden Sie in der Anleitung zur Domänencontrollerüberwachung .

• Featureerweiterung: Reconnaissance für Kontoenumeration
  Die Erkennung der Azure ATP-Kontoenumeration erkennt jetzt Warnungen für Enumerationsversuche mithilfe von Kerberos und NTLM. Bisher funktionierte die Erkennung nur bei Versuchen, Kerberos zu verwenden. Weitere Informationen finden Sie unter Azure ATP-Reconnaissancewarnungen .

• Featureerweiterung: Warnung zum Remotecodeausführungsversuch

  • Alle Remoteausführungsaktivitäten, z. B. Diensterstellung, WMI-Ausführung und die neue PowerShell-Ausführung, wurden dem Profil Zeitleiste des Zielcomputers hinzugefügt. Der Zielcomputer ist der Domänencontroller, auf dem der Befehl ausgeführt wurde.
  • Die PowerShell-Ausführung wurde der Liste der Remotecodeausführungsaktivitäten hinzugefügt, die in der Entitätsprofilwarnung Zeitleiste aufgeführt sind.
  • Weitere Informationen finden Sie unter Remotecodeausführungsversuch .

• Windows Server LSASS-Problem 2019 und Azure ATP
  Als Reaktion auf Kundenfeedback zur Verwendung von Azure ATP mit Domänencontrollern, die Windows Server 2019 ausgeführt werden, enthält dieses Update zusätzliche Logik, um das gemeldete Verhalten auf Windows Server 2019-Computern zu vermeiden. Vollständige Unterstützung für den Azure ATP-Sensor auf Windows Server 2019 ist für ein zukünftiges Azure ATP-Update geplant. Die Installation und Ausführung von Azure ATP unter Windows Server 2019 wird jedoch derzeit nicht unterstützt. Weitere Informationen finden Sie unter Azure ATP-Sensoranforderungen .

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.62

Veröffentlichung: 20. Januar 2019

• Neue Sicherheitswarnung: Remotecodeausführung über DNS – (Vorschau)
  Die Azure ATP-Warnung "Remotecodeausführung über DNS-Sicherheitswarnung " befindet sich jetzt in der öffentlichen Vorschau. Bei dieser Erkennung wird eine Azure ATP-Sicherheitswarnung ausgelöst, wenn DNS-Abfragen, die im Verdacht stehen, das Sicherheitsrisiko CVE-2018-8626 auszunutzen, für einen Domänencontroller im Netzwerk durchgeführt werden.

• Featureerweiterung: Verzögertes Sensorupdate um 72 Stunden
  Die Option wurde geändert, um Sensorupdates auf ausgewählten Sensoren nach jedem Releaseupdate von Azure ATP auf 72 Stunden (anstelle der vorherigen 24-Stunden-Verzögerung) zu verzögern. Konfigurationsanweisungen finden Sie unter Azure ATP-Sensorupdate .

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.61

Veröffentlichung: 13. Januar 2019

• Neue Sicherheitswarnung: Datenexfiltration über SMB – (Vorschau)
  Die Azure ATP-Sicherheitswarnung "Datenexfiltration über SMB " befindet sich jetzt in der öffentlichen Vorschau. Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können Angreifer ein Kerberos Ticket Granting Ticket (TGT) erstellen, das eine Autorisierung für jede Ressource bereitstellt.

• Featureerweiterung: Sicherheitswarnung bei Remotecodeausführungsversuchen
  Eine neue Warnungsbeschreibung und zusätzliche Beweise wurden hinzugefügt, um das Verständnis der Warnung zu erleichtern und bessere Untersuchungsworkflows bereitzustellen.

• Featureerweiterung: Logische DNS-Abfrageaktivitäten
  Zu von Azure ATP überwachten Aktivitäten wurden zusätzliche Abfragetypen hinzugefügt, z. B.: TXT, MX, NS, SRV, ANY, DNSKEY.

• Featureerweiterung: Suspected Golden Ticket usage (ticket anomaly) and Suspected Golden Ticket usage (nonexistent account)
  Eine verbesserte Erkennungslogik wurde auf beide Warnungen angewendet, um die Anzahl von FP-Warnungen zu reduzieren und genauere Ergebnisse zu liefern.

• Featureerweiterung: Dokumentation zu Azure ATP-Sicherheitswarnungen
  Die Dokumentation zu Azure ATP-Sicherheitswarnungen wurde verbessert und erweitert, um bessere Warnungsbeschreibungen, genauere Warnungsklassifizierungen und Erklärungen von Beweisen, Korrekturen und Präventionen zu enthalten. Machen Sie sich mit dem neuen Dokumentationsentwurf für Sicherheitswarnungen vertraut, indem Sie die folgenden Links verwenden:

  • Azure ATP-Sicherheitswarnungen
  • Grundlegendes zu Sicherheitswarnungen
    • Warnungen der Phase "Reconnaissance"
    • Warnungen der Phase "Kompromittierte Anmeldeinformationen"
    • Warnungen der Phase "Laterale Bewegung"
    • Warnungen der Phase "Domänendominanz"
    • Warnungen der Phase "Exfiltration"
  • Untersuchen eines Computers
  • Untersuchen eines Benutzers

• Diese Version enthält auch Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.60

Veröffentlichung: 6. Januar 2019

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Dezember 2018

Azure ATP Release 2.59

Veröffentlichung: 16. Dezember 2018

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.58

Veröffentlichung: 9. Dezember 2018

• Verbesserung von Sicherheitswarnungen: Warnungsaufteilung bei ungewöhnlicher Protokollimplementierung
  Die Azure ATP-Reihe von Sicherheitswarnungen für ungewöhnliche Protokollimplementierungen, die zuvor 1 externalId (2002) gemeinsam genutzt haben, sind jetzt in vier unterschiedliche Warnungen mit einer entsprechenden eindeutigen externen ID unterteilt.

Neue warnungs-externalIds

Neuer Name der Sicherheitswarnung	Name der vorherigen Sicherheitswarnung	Eindeutige externe ID
Verdacht auf Brute-Force-Angriff (SMB)	Ungewöhnliche Protokollimplementierung (potenzielle Verwendung bösartiger Tools wie Hydra)	2033
Vermuteter Overpass-the-Hash-Angriff (Kerberos)	Ungewöhnliche Kerberos-Protokollimplementierung (potenzieller Overpass-the-Hash-Angriff)	2002
Verdacht auf Verwendung des Metasploit-Hacking-Frameworks	Ungewöhnliche Protokollimplementierung (potenzielle Verwendung von Metasploit-Hacking-Tools)	2034
Verdacht auf WannaCry-Ransomware-Angriff	Ungewöhnliche Protokollimplementierung (potenzieller WannaCry-Ransomware-Angriff)	2035

• Neue überwachte Aktivität: Kopieren von Dateien über SMB
  Das Kopieren von Dateien mit SMB ist jetzt eine überwachte und filterbare Aktivität. Erfahren Sie mehr darüber, welche Aktivitäten Azure ATP überwacht und wie Sie überwachte Aktivitäten im Portal filtern und durchsuchen .

• Bilderweiterung für den großen Lateral Movement-Pfad
  Beim Anzeigen großer Lateral Movement-Pfade hebt Azure ATP jetzt nur die Knoten hervor, die mit einer ausgewählten Entität verbunden sind, anstatt die anderen Knoten zu verwischen. Diese Änderung führt zu einer erheblichen Verbesserung der großen LMP-Renderinggeschwindigkeit.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Azure ATP Release 2.57

Veröffentlichung: 2. Dezember 2018

• Neue Sicherheitswarnung: Suspected Golden ticket usage - ticket anomaly (Vorschau)
  Azure ATP: Suspected Golden Ticket usage – Ticket anomaly security alert is now in public preview. Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können Angreifer ein Kerberos Ticket Granting Ticket (TGT) erstellen, das die Autorisierung für jede Ressource bereitstellt.

  Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet, da es Angreifern ermöglicht, eine dauerhafte Netzwerkpersistenz zu erreichen. Gefälschte Golden Tickets dieses Typs haben einzigartige Merkmale, die diese neue Erkennung identifizieren soll.

• Featureerweiterung: Automatisierte Erstellung von Azure ATP-instance (instance)
  Ab heute werden Azure ATP-Instanzen in Azure ATP-Instanzen umbenannt. Azure ATP unterstützt jetzt eine Azure ATP-instance pro Azure ATP-Konto. Instanzen für neue Kunden werden mithilfe des Assistenten zum Erstellen von instance im Azure ATP-Portal erstellt. Vorhandene Azure ATP-Instanzen werden mit diesem Update automatisch in Azure ATP-Instanzen konvertiert.

  • Vereinfachte instance Erstellung für eine schnellere Bereitstellung und schnelleren Schutz mithilfe der Erstellung Ihrer Azure ATP-instance.
  • Datenschutz und Compliance bleiben unverändert.

  Weitere Informationen zu Azure ATP-Instanzen finden Sie unter Erstellen Ihrer Azure ATP-instance.

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

November 2018

Azure ATP Release 2.56

Veröffentlichung: 25. November 2018

• Featureerweiterung: Lateral Movement Paths (LMPs)
  Zwei zusätzliche Features werden hinzugefügt, um die LMP-Funktionen (Lateral Movement Path) von Azure ATP zu verbessern:

  • Der LMP-Verlauf wird jetzt gespeichert und kann pro Entität und bei Verwendung von LMP-Berichten ermittelt werden.
  • Folgen Sie einer Entität in einem LMP über die Aktivität Zeitleiste, und untersuchen Sie anhand zusätzlicher Beweise, die für die Ermittlung potenzieller Angriffspfade bereitgestellt werden.

  Weitere Informationen zur Verwendung und Untersuchung mit erweiterten LMPs finden Sie unter Azure ATP-Lateral Movement-Pfade .

• Dokumentationserweiterungen: Lateral Movement-Pfade, Namen von Sicherheitswarnungen
  Zu Azure ATP-Artikeln, die Beschreibungen und Features des Lateral Movement-Pfads beschreiben, wurden Ergänzungen und Updates vorgenommen. Die Namenszuordnung wurde für alle Instanzen alter Sicherheitswarnungsnamen zu neuen Namen und externalIds hinzugefügt.

  • Weitere Informationen finden Sie unter Azure ATP-Lateral Movement-Pfade, Untersuchen von Lateral Movement-Pfaden und Leitfaden zu Sicherheitswarnungen .

• Diese Version enthält Verbesserungen und Fehlerbehebungen für die interne Sensorinfrastruktur.

Ausführliche Informationen zu jedem Defender for Identity-Release vor (und einschließlich) Release 2.55 finden Sie in der Defender for Identity-Releasereferenz.

Nächste Schritte