Megosztás a következőn keresztül:

Melyek a Microsoft Defender for Identity újdonságai

  • Cikk

Ez a cikk gyakran frissül, hogy megismerje a Microsoft Defender for Identity legújabb kiadásainak újdonságait.

Az új hatókörök és hivatkozások

A Defender for Identity kiadásai fokozatosan kerülnek üzembe az ügyfélbérlőkben. Ha van itt dokumentált funkció, amelyet még nem lát a bérlőben, látogasson vissza később a frissítéshez.

További információ:

A hat hónappal ezelőtt vagy korábban kiadott verziókkal és funkciókkal kapcsolatos frissítésekért tekintse meg a Microsoft Defender for Identity új archívumát.

2025. március

Új LDAP-lekérdezési események hozzáadva az IdentityQueryEvents táblához a speciális veszélyforrás-keresésben

Új LDAP-lekérdezési események lettek hozzáadva a IdentityQueryEvents speciális veszélyforrás-keresés táblához, hogy jobban átláthassák az ügyfélkörnyezetben futó további LDAP-keresési lekérdezéseket.

2025. február

A DefenderForIdentity PowerShell-modul frissítései (1.0.0.3-as verzió)

Új funkciók és fejlesztések:

  • Támogatás az Active Directory Lomtár lekéréséhez, teszteléséhez és beállításához a Get/Set/Test MDIConfiguration területen.
  • Támogatás a proxykonfiguráció lekéréséhez, teszteléséhez és beállításához az új MDI-érzékelőn.
  • Az Active Directory tanúsítványszolgáltatások beállításjegyzék-értéke a naplózási szűréshez most már helyesen állítja be a típust.
  • New-MDIConfigurationReport most a tesztelt csoportházirend-objektum nevét jeleníti meg, és támogatja a Kiszolgáló és identitás argumentumokat.

Hibajavítások:

  • Javítottuk a DeletedObjects tárolóengedélyeinek megbízhatóságát a nem angol nyelvű operációs rendszereken.
  • Kijavítottuk a KDS gyökérkulcsának létrehozásához szükséges felesleges kimenetet.
  • Egyéb megbízhatósági javítások.

Új támadási útvonalak lap az Identitásprofil lapon

Ez a lap betekintést nyújt a kritikus identitáshoz vezető vagy az útvonalon belüli lehetséges támadási útvonalakba, így segít felmérni a biztonsági kockázatokat. További információ: Az expozíciókezelésen belüli támadási útvonal áttekintése.

Az identitáslap további fejlesztései:

  • Új oldalpanel a felhasználói idősor egyes bejegyzéseivel kapcsolatos további információkkal.

  • Szűrési képességek a Szervezeten belül megfigyelt eszközök lapon.

A "Helyi rendszergazdai jelszavak védelme és kezelése a Microsoft LAPS használatával" állapotjavaslat frissítése

Ez a frissítés a biztonsági pontszámon belüli biztonsági állapotfelmérést a Windows LAPS legújabb verziójához igazítja, biztosítva, hogy az megfeleljen a helyi rendszergazdai jelszavak kezelésének jelenlegi ajánlott biztonsági eljárásainak.

Új és frissített események az Advanced hunting IdentityDirectoryEvents táblában

A Speciális veszélyforrás-keresés táblában a IdentityDirectoryEvents következő eseményeket adtuk hozzá és frissítettük:

  • A felhasználói fiókok vezérlőjelölője megváltozott

  • Biztonsági csoport létrehozása az Active Directoryban

  • Nem sikerült módosítani a fiók jelszavát

  • Sikeres fiókjelszó-módosítás

  • A fiók elsődleges csoportazonosítója megváltozott

Emellett frissült a speciális veszélyforrás-keresés beépített sémareferenciája a Microsoft Defender XDR-ben, hogy részletes információkat tartalmazzon az identitással kapcsolatos táblákban az összes támogatott eseménytípusról (ActionType értékről), így teljes mértékben láthatóvá válik az elérhető események. További információ: Speciális veszélyforrás-keresési séma részletei.

2025. január

Útmutató az új identitások használatához

Fedezze fel az MDI főbb funkcióit az új Identityes Tour segítségével az M365 portálon. Navigáljon az Incidensek, a Veszélyforrás-keresés és a Beállítások között az identitásbiztonság és a fenyegetésvizsgálat javításához.

2024. december

Új biztonsági helyzetértékelés: Tanúsítványregisztráció megakadályozása tetszőleges alkalmazásszabályzatokkal (ESC15)

A Defender for Identity hozzáadta az új Tanúsítványregisztráció megakadályozása tetszőleges alkalmazásszabályzatokkal (ESC15) javaslatot a Microsoft biztonsági pontszámában.

Ez a javaslat közvetlenül foglalkozik a nemrég közzétett CVE-2024-49019-zel, amely kiemeli a sebezhető AD CS-konfigurációkkal kapcsolatos biztonsági kockázatokat. Ez a biztonsági helyzetértékelés felsorolja az összes olyan sebezhető tanúsítványsablont, amelyet az ügyfélkörnyezetekben találtak a nem kicsomagolt AD CS-kiszolgálók miatt.

Az új javaslat hozzá lesz adva az AD CS-hez kapcsolódó egyéb javaslatokhoz. Ezek az értékelések együttesen biztonsági helyzetjelentéseket nyújtanak, amelyek biztonsági problémákat és súlyos helytelen konfigurációkat jeleznek, amelyek a teljes szervezetet érintő kockázatokat jelentenek, valamint a kapcsolódó észleléseket.

További információ:

2024. október

Az MDI bővíti a lefedettséget az új 10 identitáskezelési javaslattal (előzetes verzió)

Az új identitásbiztonsági állapotfelmérések (ISPM-ek) segíthetnek az ügyfeleknek a helytelen konfiguráció monitorozásában azáltal, hogy figyelik a gyenge helyeket, és csökkentik a helyszíni infrastruktúra esetleges támadásainak kockázatát.
Ezek az új identitásjavaslatok a Microsoft biztonsági pontszámának részeként az Active Directory-infrastruktúrához és a csoportházirend-objektumokhoz kapcsolódó új biztonsági helyzetjelentések:

Emellett frissítettük a "Nem biztonságos Kerberos-delegálások módosítása a megszemélyesítés megakadályozása érdekében" című meglévő javaslatot, hogy tartalmazza a Kerberos által korlátozott delegálást protokoll-áttűnéssel egy emelt szintű szolgáltatásra.

2024. augusztus

Új Microsoft Entra Connect-érzékelő:

A hibrid identitáskezelési környezetek Microsoft Defender for Identity lefedettségének növelésére irányuló folyamatos erőfeszítésünk részeként bevezettünk egy új érzékelőt Microsoft Entra Connect-kiszolgálókhoz. Emellett új hibrid biztonsági észleléseket és új identitáskezelési javaslatokat adtunk ki kifejezetten a Microsoft Entra Connecthez, így segítve az ügyfeleket a védelem megőrzésében és a lehetséges kockázatok csökkentésében.

Új Microsoft Entra Connect Identity-állapotra vonatkozó javaslatok:

  • Jelszó rotálása Microsoft Entra Connect-összekötő fiókjához
    • A feltört Microsoft Entra Connect-összekötőfiók (AD DS-összekötőfiók, általában MSOL_XXXXXXXX) hozzáférést biztosíthat a magas jogosultsági szintű funkciókhoz, például a replikációhoz és a jelszó-visszaállításhoz, lehetővé téve a támadók számára a szinkronizálási beállítások módosítását és a biztonság sérülését a felhőbeli és a helyszíni környezetekben, valamint számos útvonalat kínálnak a teljes tartomány veszélyeztetéséhez. Ebben az értékelésben azt javasoljuk, hogy az ügyfelek változtassák meg az MSOL-fiókok jelszavát úgy, hogy a jelszó legutóbb 90 nappal ezelőtt van beállítva. További információért kattintson ide.
  • A Microsoft Entra Connect-fiók szükségtelen replikációs engedélyeinek eltávolítása
    • Alapértelmezés szerint a Microsoft Entra Connect-összekötő fiókja kiterjedt engedélyekkel rendelkezik a megfelelő szinkronizálás biztosításához (még akkor is, ha valójában nincs rájuk szükség). Ha a jelszókivonat-szinkronizálás nincs konfigurálva, fontos eltávolítani a szükségtelen engedélyeket a lehetséges támadási felület csökkentése érdekében. További információért kattintson ide
  • Jelszó módosítása Microsoft Entra közvetlen egyszeri bejelentkezéses fiók konfigurációja esetén
    • Ez a jelentés felsorolja az összes Microsoft Entra közvetlen SSO-s számítógépfiókot, amelynek jelszava legutóbb 90 nappal ezelőtt volt beállítva. Az Azure SSO-s számítógépfiók jelszava nem módosul automatikusan 30 naponta. Ha egy támadó feltöri ezt a fiókot, szolgáltatásjegyeket hozhat létre az AZUREADSSOACC-fiókhoz bármely felhasználó nevében, és megszemélyesítheti az Active Directoryból szinkronizált Microsoft Entra bérlő bármely felhasználóját. A támadók ezzel oldalirányban léphetnek át az Active Directoryból a Microsoft Entra ID. További információért kattintson ide.

Új Microsoft Entra Connect-észlelések:

  • Gyanús interaktív bejelentkezés a Microsoft Entra Connect-kiszolgálóra
    • A közvetlen bejelentkezések Microsoft Entra Connect-kiszolgálókra rendkívül szokatlanok és potenciálisan rosszindulatúak. A támadók gyakran arra célzják ezeket a kiszolgálókat, hogy ellopják a hitelesítő adatokat a szélesebb körű hálózati hozzáférés érdekében. Microsoft Defender for Identity mostantól észlelni tudja az Microsoft Entra Connect-kiszolgálók rendellenes bejelentkezéseit, így gyorsabban azonosíthatja ezeket a lehetséges fenyegetéseket, és reagálhat rájuk. Ez különösen akkor alkalmazható, ha a Microsoft Entra Connect-kiszolgáló önálló kiszolgáló, és nem tartományvezérlőként működik.
  • Felhasználói jelszó alaphelyzetbe állítása Microsoft Entra Connect-fiók alapján
    • A Microsoft Entra Connect-összekötő fiókja gyakran rendelkezik magas szintű jogosultságokkal, beleértve a felhasználó jelszavának alaphelyzetbe állításának lehetőségét. Microsoft Defender for Identity most már betekintést nyújt ezekbe a műveletekbe, és észleli a rosszindulatúként és nem jogszerűként azonosított engedélyek használatát. Ez a riasztás csak akkor aktiválódik, ha a jelszóvisszaíró funkció le van tiltva.
  • Gyanús visszaírás Microsoft Entra Connect által bizalmas felhasználón
    • Bár a Microsoft Entra Connect már megakadályozza a visszaírást a kiemelt csoportok felhasználói számára, Microsoft Defender for Identity további bizalmas fiókok azonosításával kiterjeszti ezt a védelmet. Ez a továbbfejlesztett észlelés segít megelőzni a kritikus fiókok jelszó-alaphelyzetbe állítását, ami kulcsfontosságú lépés lehet a felhőalapú és a helyszíni környezeteket célzó speciális támadásokban.

További fejlesztések és képességek:

  • A sikertelen jelszó-visszaállítás új tevékenysége egy bizalmas fiókon , amely a Speciális veszélyforrás-keresés "IdentityDirectoryEvents" táblájában érhető el. Ez segíthet az ügyfeleknek nyomon követni a sikertelen jelszó-visszaállítási eseményeket, és egyéni észlelést hozhatnak létre ezen adatok alapján.
  • Nagyobb pontosság a tartományvezérlő-szinkronizálási támadások észleléséhez.
  • Új állapotbeli probléma olyan esetekben, amikor az érzékelő nem tudja lekérni a konfigurációt a Microsoft Entra Connect szolgáltatásból.
  • A biztonsági riasztások, például a PowerShell távoli végrehajtási detektor kiterjesztett figyelése az új érzékelő engedélyezésével Microsoft Entra Connect-kiszolgálókon.

További információ az új érzékelőről

Frissített DefenderForIdentity PowerShell-modul

Frissült a DefenderForIdentity PowerShell-modul, amely új funkciókat tartalmaz, és számos hibajavítást tartalmaz. A legfontosabb fejlesztések a következők:

  • Új New-MDIDSA Parancsmag: Leegyszerűsíti a szolgáltatásfiókok létrehozását a csoportosan felügyelt szolgáltatásfiókok (gMSA) alapértelmezett beállításával és a standard fiókok létrehozásának lehetőségével.
  • Automatikus PDCe-észlelés: Javítja Csoportházirend objektumok (GPO) létrehozásának megbízhatóságát azáltal, hogy automatikusan az elsődleges tartományvezérlő emulátorát (PDCe) célozza a legtöbb Active Directory-művelethez.
  • Manuális tartományvezérlő-célzás: Új kiszolgálóparaméter Get/Set/Test-MDIConfiguration parancsmagokhoz, amely lehetővé teszi, hogy a PDCe helyett tartományvezérlőt adjon meg a célzáshoz.

További információ:

2024. július

6 Az új észlelések újak a nyilvános előzetes verzióban:

  • Lehetséges NetSync-támadás
    • A NetSync egy mimikatz-modul, amely egy utólagosan használható eszköz, amely egy céleszköz jelszavának jelszókivonatát kéri le úgy, mintha tartományvezérlő lenne. Előfordulhat, hogy egy támadó rosszindulatú tevékenységeket végez a hálózaton ezzel a funkcióval, hogy hozzáférjen a szervezet erőforrásaihoz.
  • Microsoft Entra közvetlen SSO-fiók lehetséges átvétele
    • Gyanúsan módosult egy Microsoft Entra közvetlen egyszeri bejelentkezéses fiókobjektum (AZUREADSSOACC). Előfordulhat, hogy egy támadó oldalirányban halad át a helyszíni környezetből a felhőbe.
  • Gyanús LDAP-lekérdezés
    • Egy ismert támadási eszközhöz társított, gyanús Lightweight Directory Access Protocol- (LDAP-) lekérdezést észleltünk. Előfordulhat, hogy egy támadó felderítést hajt végre a későbbi lépésekhez.
  • Gyanús egyszerű szolgáltatásnév lett hozzáadva egy felhasználóhoz
    • Gyanús egyszerű szolgáltatásnév (SPN) lett hozzáadva egy bizalmas felhasználóhoz. Előfordulhat, hogy egy támadó emelt szintű hozzáférést próbál szerezni a szervezeten belüli oldalirányú mozgáshoz
  • ESXi-csoport gyanús létrehozása
    • Gyanús VMWare ESXi-csoport jött létre a tartományban. Ez azt jelezheti, hogy egy támadó további engedélyeket próbál beszerezni egy támadás későbbi lépéseihez.
  • Gyanús ADFS-hitelesítés
    • Egy tartományhoz csatlakoztatott fiók, amely gyanús IP-címről Active Directory összevonási szolgáltatások (AD FS) (ADFS) használatával jelentkezett be. Előfordulhat, hogy egy támadó ellopta egy felhasználó hitelesítő adatait, és azt használja a szervezet oldalirányú áthelyezéséhez.

A Defender for Identity 2.238-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2024. június

Egyszerűen keresse meg a felhasználói adatokat az ITDR-irányítópulton

A Pajzs widget gyors áttekintést nyújt a hibrid, felhőbeli és helyszíni környezetekben lévő felhasználók számáról. Ez a funkció mostantól közvetlen hivatkozásokat tartalmaz az Advanced Hunting platformra, amelyek részletes felhasználói információkat tartalmaznak.

Az ITDR üzembehelyezési állapot widgetje mostantól tartalmazza Microsoft Entra feltételes hozzáférést és Microsoft Entra privát hozzáférés

Most megtekintheti Microsoft Entra számítási feladatok feltételes hozzáférésének, Microsoft Entra felhasználói feltételes hozzáférésének és Microsoft Entra privát hozzáférés licenceinek elérhetőségét.

A Defender for Identity 2.237-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2024. május

A Defender for Identity 2.236-os kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.235-ös kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2024. április

A CVE-2024-21427 Windows Kerberos biztonsági funkció megkerülő biztonsági résének egyszerű észlelése

Annak érdekében, hogy az ügyfelek jobban felismerjék és észleljék a biztonsági protokollok megkerülésére tett kísérleteket ennek a biztonsági résnek megfelelően, új tevékenységet adtunk hozzá az Advanced Hunting szolgáltatásban, amely a Kerberos AS-hitelesítést figyeli.
Ezekkel az adatokkal az ügyfelek mostantól egyszerűen létrehozhatják saját egyéni észlelési szabályaikat Microsoft Defender XDR és automatikusan aktiválhatnak riasztásokat az ilyen típusú tevékenységekhez

Access Defender XDR portal –> Veszélyforrás-keresés –> Speciális veszélyforrás-keresés.

Most másolhatja az alábbi módon az ajánlott lekérdezést, és kattintson az "Észlelési szabály létrehozása" elemre. Vegye figyelembe, hogy a megadott lekérdezés a sikertelen bejelentkezési kísérleteket is nyomon követi, ami potenciális támadáshoz nem kapcsolódó információkat eredményezhet. Ezért nyugodtan testre szabhatja a lekérdezést az adott követelményeknek megfelelően.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

A Defender for Identity 2.234-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.233-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2024. március

Új írásvédett engedélyek a Defender for Identity beállításainak megtekintéséhez

Most már konfigurálhatja a Defender for Identity felhasználóit írásvédett engedélyekkel a Defender for Identity beállításainak megtekintéséhez.

További információ: A Defender for Identity szükséges engedélyei Microsoft Defender XDR.

Új Graph-alapú API állapotproblémák megtekintéséhez és kezeléséhez

Most már megtekintheti és kezelheti Microsoft Defender for Identity állapotproblémákat a Graph API

További információ: Állapotproblémák kezelése Graph API keresztül.

A Defender for Identity 2.232-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.231-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2024. február

A Defender for Identity 2.230-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Új biztonsági helyzetértékelés a nem biztonságos AD CS IIS-végpontkonfigurációhoz

A Defender for Identity új, nem biztonságos ADCS-tanúsítványregisztrációs IIS-végpontokra (ESC8) vonatkozó javaslatot adott hozzá a Microsoft biztonsági pontszámához.

Az Active Directory tanúsítványszolgáltatások (AD CS) különböző módszerekkel és protokollokkal támogatja a tanúsítványregisztrációt, beleértve a HTTP-n keresztüli regisztrációt a tanúsítványigénylési szolgáltatás (CES) vagy a webes beléptetési felület (Certsrv) használatával. A CES- vagy Certsrv IIS-végpontok nem biztonságos konfigurációi biztonsági réseket hozhatnak létre a továbbítási támadásokhoz (ESC8).

A nem biztonságos ADCS-tanúsítványregisztráció IIS-végpontok (ESC8) szerkesztésére vonatkozó új javaslat a közelmúltban kiadott más AD CS-hez kapcsolódó javaslatokhoz is hozzá lett adva. Ezek az értékelések együttesen biztonsági helyzetjelentéseket nyújtanak, amelyek biztonsági problémákat és súlyos helytelen konfigurációkat jeleznek, amelyek a teljes szervezetet érintő kockázatokat jelentenek, valamint a kapcsolódó észleléseket.

További információ:

A Defender for Identity 2.229-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Továbbfejlesztett felhasználói élmény a riasztási küszöbértékek módosításához (előzetes verzió)

A Defender for Identity Speciális beállítások lapja mostantól át lett nevezve a Riasztási küszöbértékek módosítása névre, és továbbfejlesztett rugalmasságot biztosít a riasztási küszöbértékek módosításához.

Képernyőkép az új Riasztási küszöbértékek módosítása oldalról.

A módosítások közé tartoznak a következők:

  • Eltávolítottuk az előző Tanulási időszak eltávolítása lehetőséget, és hozzáadtunk egy új Ajánlott tesztelési módot . Válassza az Ajánlott tesztelési mód lehetőséget , ha az összes küszöbértéket Alacsony értékre állítja, növeli a riasztások számát, és az összes többi küszöbértéket írásvédettre állítja.

  • Az előző Bizalmassági szint oszlop mostantól Küszöbérték szint néven lett átnevezve, újonnan definiált értékekkel. Alapértelmezés szerint az összes riasztás magas küszöbértékre van állítva, amely az alapértelmezett viselkedést és egy szabványos riasztási konfigurációt jelöl.

Az alábbi táblázat a korábbi Bizalmassági szint értékek és az új küszöbértékek közötti megfeleltetést sorolja fel:

Bizalmassági szint (előző név) Küszöbérték (új név)
Normális Magas
Közepes Közepes
Magas Alacsony

Ha meghatározott értékeket definiált a Speciális beállítások lapon, az alábbi módon helyeztük át őket az új Riasztási küszöbértékek módosítása lapra:

Speciális beállítások lapkonfigurációja Riasztási küszöbértékek új beállításának lapkonfigurációja
A tanulási időszak eltávolítása bekapcsolva Az ajánlott tesztelési mód ki van kapcsolva.

A riasztási küszöbérték konfigurációs beállításai változatlanok maradnak.
Kikapcsolva a tanulási időszak eltávolítása Az ajánlott tesztelési mód ki van kapcsolva.

A riasztási küszöbértékek konfigurációs beállításai mind alaphelyzetbe állnak az alapértelmezett értékükre, magas küszöbértékkel.

A riasztások mindig azonnal aktiválódnak, ha az Ajánlott tesztelési mód lehetőség van kiválasztva, vagy ha a küszöbérték Közepes vagy Alacsony értékre van állítva, függetlenül attól, hogy a riasztás tanulási időszaka már befejeződött-e.

További információ: Riasztási küszöbértékek módosítása.

Az eszköz részleteinek lapjai mostantól tartalmazzák az eszközleírásokat (előzetes verzió)

Microsoft Defender XDR mostantól eszközleírásokat is tartalmaz az eszközadatok ablaktábláin és az eszközadatok lapjain. A leírások az eszköz Active Directory Description attribútumából vannak feltöltve.

Az eszközadatok oldalpaneljén például:

Képernyőkép az eszközadatok panel új Eszközleírás mezőjéről.

További információ: Gyanús eszközök vizsgálati lépései.

A Defender for Identity 2.228-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását, valamint a következő új riasztásokat tartalmazza:

2024. január

A Defender for Identity 2.227-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Idősor lap hozzáadva a csoportentitásokhoz

Mostantól megtekintheti az Active Directory-csoport entitásokkal kapcsolatos tevékenységeit és riasztásokat az elmúlt 180 napból Microsoft Defender XDR, például csoporttagság-módosításokat, LDAP-lekérdezéseket stb.

A csoport idősorlapjának eléréséhez válassza az Ütemterv megnyitása lehetőséget a csoport részleteit tartalmazó panelen.

Például:

Képernyőkép az Ütemterv megnyitása gombról egy csoportentitás részleteit tartalmazó panelen.

További információ: Gyanús csoportok vizsgálati lépései.

A Defender for Identity-környezet konfigurálása és ellenőrzése a PowerShell-lel

A Defender for Identity mostantól támogatja az új DefenderForIdentity PowerShell-modult, amely a környezet konfigurálásához és ellenőrzéséhez nyújt segítséget a Microsoft Defender for Identity használatához.

A PowerShell-parancsokkal elkerülheti a helytelen konfigurációkat, időt takaríthat meg, és elkerülheti a rendszer felesleges terhelését.

Az új PowerShell-parancsok használatához a következő eljárásokat adtuk hozzá a Defender for Identity dokumentációhoz:

További információ:

A Defender for Identity 2.226-os kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.225-ös kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2023. december

Megjegyzés:

Ha csökkent a távoli kódvégrehajtási kísérletekre vonatkozó riasztások száma, tekintse meg a frissített szeptemberi közleményeket, amelyek tartalmazzák a Defender for Identity észlelési logikájának frissítését. A Defender for Identity továbbra is rögzíti a távoli kódvégrehajtási tevékenységeket a korábbiakhoz hasonlóan.

Új identitások terület és irányítópult a Microsoft 365 Defenderben (előzetes verzió)

A Defender for Identity ügyfeleinek új Identitások területe van a Microsoft 365 Defenderben, amely a Defender for Identity identitásbiztonsági funkcióival kapcsolatos információkat nyújt.

A Microsoft 365 Defenderben válassza az Identitások lehetőséget az alábbi új lapok megtekintéséhez:

  • Irányítópult: Ezen az oldalon grafikonok és widgetek láthatók, amelyek segítenek monitorozni az identitás fenyegetésészlelési és reagálási tevékenységeit.  Például:

    Animált GIF, amelyen egy ITDR-irányítópult-mintalap látható.

    További információ: A Defender for Identity ITDR-irányítópultjának használata.

  • Állapotproblémák: Ez a lap a Beállítások > Identitások területről kerül át, és felsorolja az általános Defender for Identity üzembe helyezésével és adott érzékelőkkel kapcsolatos aktuális állapotproblémákat. További információ: Microsoft Defender for Identity érzékelő állapotproblémái.

  • Eszközök: Ez a lap a Defender for Identity használatakor hasznos információkra és erőforrásokra mutató hivatkozásokat tartalmaz. Ezen az oldalon a dokumentációra mutató hivatkozásokat talál, különösen a kapacitástervező eszközről és a Test-MdiReadiness.ps1 szkriptről.

A Defender for Identity 2.224-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Biztonsági állapotértékelések AD CS-érzékelőkhöz (előzetes verzió)

A Defender for Identity biztonsági helyzetértékelései proaktívan észlelik és javasolják a helyi Active Directory konfigurációkon végrehajtott műveleteket.

Az ajánlott műveletek közé tartoznak a következő új biztonsági helyzetértékelések, különösen a tanúsítványsablonokhoz és a hitelesítésszolgáltatókhoz.

Az új értékelések elérhetők a Microsoft biztonsági pontszámában, a biztonsági problémák feltárásával és a súlyos helytelen konfigurációkkal, amelyek az észlelések mellett a teljes szervezetre nézve kockázatot jelentenek. A pontszám ennek megfelelően frissül.

Például:

Képernyőkép az AD CS új biztonsági helyzetértékeléséről.

További információ: Microsoft Defender for Identity biztonsági helyzetértékelései.

Megjegyzés:

Bár a tanúsítványsablonok értékelései minden olyan ügyfél számára elérhetők, akik az AD CS-t telepítették a környezetükre, a hitelesítésszolgáltatói értékelések csak azoknak az ügyfeleknek érhetők el, akik érzékelőt telepítettek egy AD CS-kiszolgálóra. További információ: Új érzékelőtípus az Active Directory tanúsítványszolgáltatásokhoz (AD CS).

A Defender for Identity 2.223-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.222-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.221-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2023. november

A Defender for Identity 2.220-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.219-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Az identitás idővonala több mint 30 napnyi adatot tartalmaz (előzetes verzió)

A Defender for Identity fokozatosan bővített adatmegőrzést vezet be az identitásadatokon több mint 30 napig.

Az Identitás részletei lap Idővonal lapja, amely a Defender for Identity, Microsoft Defender for Cloud Apps és Végponthoz készült Microsoft Defender tevékenységeit tartalmazza, jelenleg legalább 150 napot tartalmaz, és egyre nő. Az adatmegőrzési arányok a következő néhány hétben változhatnak.

Ha egy adott időkereten belül szeretné megtekinteni a tevékenységeket és a riasztásokat az identitás idővonalán, jelölje ki az alapértelmezett 30 napot , majd válassza az Egyéni tartomány lehetőséget. A több mint 30 nappal ezelőtti szűrt adatok egyszerre legfeljebb hét napig jelennek meg.

Például:

Képernyőkép az egyéni időkeret-beállításokról.

További információ: Objektumok vizsgálata és Felhasználók vizsgálata Microsoft Defender XDR.

A Defender for Identity 2.218-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2023. október

A Defender for Identity 2.217-es kiadása

Ez a verzió a következő fejlesztéseket tartalmazza:

  • Összefoglaló jelentés: Az összegző jelentés úgy frissül, hogy két új oszlopot tartalmazzon az Állapottal kapcsolatos problémák lapon:

    • Részletek: A problémával kapcsolatos további információk, például az érintett objektumok listája vagy azoknak az érzékelőknek a listája, amelyeken a probléma előfordul.
    • Javaslatok: A probléma megoldásához javasolt műveletek listája, illetve a probléma további kivizsgálásának menete.

    További információ: Defender for Identity-jelentések letöltése és ütemezése Microsoft Defender XDR (előzetes verzió).

  • Állapotproblémák: A "Tanulási időszak eltávolítása" kapcsoló automatikusan ki lett kapcsolva a bérlő* állapotproblémája esetén.

Ez a verzió a felhőszolgáltatásokhoz és a Defender for Identity érzékelőhöz is tartalmaz hibajavításokat.

A Defender for Identity 2.216-os kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2023. szeptember

A távoli kódvégrehajtási kísérletekre vonatkozó riasztások számának csökkentése

A Defender for Identity és Végponthoz készült Microsoft Defender riasztások jobb összehangolása érdekében frissítettük a Defender for Identity távoli kódvégrehajtási kísérletészlelési logikáját.

Bár ez a változás csökkenti a távoli kódvégrehajtási kísérletek riasztásainak számát, a Defender for Identity továbbra is rögzíti a távoli kódvégrehajtási tevékenységeket. Az ügyfelek továbbra is létrehozhatják saját speciális veszélyforrás-keresési lekérdezéseiket , és egyéni észlelési szabályzatokat hozhatnak létre.

A riasztás bizalmassági beállításai és a tanulási időszak fejlesztései

Egyes Defender for Identity-riasztások a riasztások aktiválása előtt egy tanulási időszakot várnak, miközben létrehoznak egy profilt a szabályos és gyanús tevékenységek megkülönböztetéséhez használandó mintákról.

A Defender for Identity mostantól a következő fejlesztéseket biztosítja a tanulási időszakhoz:

  • A rendszergazdák mostantól a Tanulási időszak eltávolítása beállítással konfigurálhatják az adott riasztásokhoz használt érzékenységet. A bizalmassági beállítást a Normál értékre állítva állítsa a Tanulási időszak eltávolítása beállítást Ki értékre a kiválasztott riasztástípushoz.

  • Miután üzembe helyez egy új érzékelőt egy új Defender for Identity-munkaterületen, a Tanulási időszak eltávolítása beállítás 30 napig automatikusan be van kapcsolva. 30 nap elteltével a Tanulási időszak eltávolítása beállítás automatikusan ki van kapcsolva, és a riasztás bizalmassági szintjei visszakerülnek az alapértelmezett funkciójukba.

    Ha azt szeretné, hogy a Defender for Identity standard tanulási időszak funkciót használjon, ahol a rendszer a tanulási időszak végéig nem hoz létre riasztásokat, állítsa a Tanulási időszakok eltávolítása beállítást Ki értékre.

Ha korábban frissítette volna a Tanulási időszak eltávolítása beállítást, a beállítás a konfiguráláskor marad.

További információ: Speciális beállítások.

Megjegyzés:

A Speciális beállítások lap eredetileg a Fiók enumerálási felderítési riasztást sorolta fel a Tanulási időszak eltávolítása beállítás alatt a bizalmassági beállításokhoz konfigurálhatóként. Ez a riasztás el lett távolítva a listából, és a rendszerbiztonsági tag felderítési (LDAP) riasztása váltotta fel. Ezt a felhasználói felületi hibát 2023 novemberében javítottuk.

A Defender for Identity 2.215-ös kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity jelentései átkerültek a fő Jelentések területre

Mostantól a Beállítások terület helyett Microsoft Defender XDR fő Jelentések területén érheti el a Defender for Identity jelentéseit. Például:

Képernyőkép a Defender for Identity jelentéshozzáféréséről a fő Jelentések területen.

További információ: Defender for Identity-jelentések letöltése és ütemezése Microsoft Defender XDR (előzetes verzió).

Go hunt button for groups in Microsoft Defender XDR

A Defender for Identity hozzáadta a Go hunt gombot a csoportokhoz Microsoft Defender XDR. A felhasználók a Go hunt gombbal kérdezhetik le a csoporthoz kapcsolódó tevékenységeket és riasztásokat a vizsgálat során.

Például:

Képernyőkép az új Go hunt gombról egy csoport részleteit tartalmazó panelen.

További információ: Entitás- vagy eseményinformációk gyors keresése a go hunt használatával.

A Defender for Identity 2.214-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Teljesítménybeli fejlesztések

A Defender for Identity belső fejlesztéseket végzett a késés, a stabilitás és a teljesítmény terén, amikor valós idejű eseményeket továbbít a Defender for Identity servicesből a Microsoft Defender XDR. Az ügyfelek nem számíthatnak késésre a Defender for Identity adataiban a Microsoft Defender XDR, például a riasztásokban vagy a speciális veszélyforrás-kereséssel kapcsolatos tevékenységekben.

További információ:

2023. augusztus

A Defender for Identity 2.213-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.212-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.211-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Új érzékelőtípus az Active Directory tanúsítványszolgáltatásokhoz (AD CS)

A Defender for Identity mostantól támogatja az új ADCS-érzékelőtípust egy olyan dedikált kiszolgálóhoz, amelyen konfigurálva van az Active Directory tanúsítványszolgáltatás (AD CS).

Az új érzékelőtípust az Microsoft Defender XDR Beállítások > Identitásérzékelők > lapján tekintheti meg. További információ: Microsoft Defender for Identity érzékelők kezelése és frissítése.

Az új érzékelőtípussal együtt a Defender for Identity mostantól kapcsolódó AD CS-riasztásokat és biztonsági pontszámjelentéseket is biztosít. Az új riasztások és a biztonsági pontszám jelentéseinek megtekintéséhez győződjön meg arról, hogy a szükséges események gyűjtése és naplózása a kiszolgálón történik. További információ: Az Active Directory tanúsítványszolgáltatás (AD CS) eseményeinek naplózásának konfigurálása.

Az AD CS egy Windows Server szerepkör, amely nyilvános kulcsú infrastruktúra-(PKI-) tanúsítványokat ad ki és kezel biztonságos kommunikációs és hitelesítési protokollokban. További információ: Mi az Az Active Directory tanúsítványszolgáltatás?

A Defender for Identity 2.210-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Következő lépések