Co je nového v Microsoft Defender for Identity

Tento článek se často aktualizuje, abyste věděli, co je nového v nejnovějších verzích Microsoft Defender for Identity.

Co je nového– obor a odkazy

Verze Defenderu for Identity se nasazují postupně napříč tenanty zákazníků. Pokud je tady zdokumentovaná funkce, kterou ještě ve svém tenantovi nevidíte, zkuste se k aktualizaci vrátit později.

Další informace najdete také v tématu:

• Co je nového v Microsoft Defender XDR
• Co je nového v Microsoft Defender for Endpoint
• Co je nového v Microsoft Defender for Cloud Apps

Informace o verzích a funkcích vydaných před šesti měsíci nebo dříve najdete v archivu Co je nového pro Microsoft Defender for Identity.

Prosinec 2024

Nové posouzení stavu zabezpečení: Zabránění zápisu certifikátu pomocí libovolných zásad aplikace (ESC15)

Defender for Identity přidal nové doporučení Zabránit zápisu certifikátu pomocí zásad libovolných aplikací (ESC15) ve skóre zabezpečení Microsoftu.

Toto doporučení přímo řeší nedávno publikovanou aktualizaci CVE-2024-49019, která upozorňuje na bezpečnostní rizika spojená s ohroženými konfiguracemi služby AD CS. Toto posouzení stavu zabezpečení obsahuje seznam všech ohrožených šablon certifikátů, které se v zákaznických prostředích nacházejí kvůli neopraveným serverům AD CS.

Nové doporučení se přidá do dalších doporučení souvisejících se službou AD CS. Tato hodnocení společně nabízejí sestavy stavu zabezpečení, které ukazují problémy se zabezpečením a závažné chybné konfigurace, které představují rizika pro celou organizaci, a související detekce.

Další informace najdete tady:

• Posouzení zabezpečení: Zabránění zápisu certifikátu pomocí libovolných zásad aplikací (ESC15)

• Posouzení stavu zabezpečení Microsoft Defender for Identity

Říjen 2024

MDI rozšiřuje pokrytí o nových 10 doporučení stavu identit (Preview)

Nové posouzení stavu zabezpečení identit (ISPM) může zákazníkům pomoct monitorovat chybnou konfiguraci tím, že sledují slabá místa a snižují riziko potenciálního útoku na místní infrastrukturu.
Tato nová doporučení pro identity, jako součást Microsoft Secure Score, představují nové sestavy stavu zabezpečení související s infrastrukturou služby Active Directory a objekty zásad skupiny:

• Účty s id jiné než výchozí primární skupiny

• Změna starého hesla účtu počítače řadiče domény

• Objekt zásad skupiny přiřazuje neprivilegované identity místním skupinám se zvýšenými oprávněními.

• Objekt zásad skupiny můžou upravovat neprivilegované účty.

• Reverzibilní hesla nalezená v objektech zásad skupiny

• Je povolený integrovaný účet hosta služby Active Directory.

• Nebezpečná oprávnění ve skupině DnsAdmins

• Ujistěte se, že všechny privilegované účty mají příznak konfigurace "Tento účet je citlivý a nedá se delegovat".

• Změna hesla účtu krbtgt

• Změna hesla předdefinovaného účtu správce domény

Dále jsme aktualizovali stávající doporučení "Úprava nezabezpečených delegování protokolu Kerberos, aby se zabránilo zosobnění" tak, aby obsahovalo informace o omezeném delegování protokolu Kerberos s přechodem protokolu na privilegovanou službu.

Srpen 2024

Nový senzor Microsoft Entra Connect:

V rámci našeho trvalého úsilí o zlepšení pokrytí Microsoft Defender for Identity v prostředích s hybridní identitou jsme zavedli nový senzor pro servery Microsoft Entra Connect. Kromě toho jsme vydali nové hybridní detekce zabezpečení a nová doporučení pro stav identit speciálně pro Microsoft Entra Connect, což pomáhá zákazníkům zůstat chráněni a zmírnit potenciální rizika.

Nová doporučení pro stav identity Microsoft Entra Connect:

• Obměna hesla pro účet konektoru Microsoft Entra Connect
  • Ohrožený účet konektoru Microsoft Entra Connect (účet konektoru služby AD DS, běžně označovaný jako MSOL_XXXXXXXX) může udělit přístup k funkcím s vysokými oprávněními, jako je replikace a resetování hesla, což útočníkům umožňuje upravit nastavení synchronizace a ohrozit zabezpečení v cloudovém i místním prostředí a nabídnout několik způsobů ohrožení celé domény. V tomto hodnocení doporučujeme zákazníkům změnit heslo účtů MSOL s heslem, které bylo naposledy nastavené před více než 90 dny. Další informace získáte kliknutím sem.
• Odebrání nepotřebných oprávnění k replikaci pro účet Microsoft Entra Connect
  • Ve výchozím nastavení má účet konektoru Microsoft Entra Connect rozsáhlá oprávnění k zajištění správné synchronizace (i když se ve skutečnosti nevyžadují). Pokud synchronizace hodnot hash hesel není nakonfigurovaná, je důležité odebrat nepotřebná oprávnění, aby se snížil potenciální prostor pro útoky. Další informace získáte kliknutím sem.
• Změna hesla pro Microsoft Entra bezproblémovou konfiguraci účtu jednotného přihlašování
  • Tato sestava obsahuje seznam všech Microsoft Entra účtů počítačů s bezproblémovým jednotným přihlašováním s heslem, které bylo naposledy nastaveno před více než 90 dny. Heslo pro účet počítače s jednotným přihlašováním v Azure se nemění automaticky každých 30 dnů. Pokud útočník zneužije tento účet, může vygenerovat lístky služby pro účet AZUREADSSOACC jménem libovolného uživatele a zosobnit libovolného uživatele v tenantovi Microsoft Entra, který je synchronizovaný ze služby Active Directory. Útočník ho může použít k laterálně přesunu ze služby Active Directory do Microsoft Entra ID. Další informace získáte kliknutím sem.

Nové detekce Microsoft Entra Connect:

• Podezřelé interaktivní přihlášení k serveru Microsoft Entra Connect
  • Přímá přihlášení k serverům Microsoft Entra Connect jsou velmi neobvyklá a potenciálně škodlivá. Útočníci často cílí na tyto servery, aby ukradli přihlašovací údaje pro širší síťový přístup. Microsoft Defender for Identity teď dokáže detekovat neobvyklá přihlášení k serverům Microsoft Entra Connect, což vám pomůže tyto potenciální hrozby rychleji identifikovat a reagovat na ně. Platí konkrétně v případě, že je server Microsoft Entra Connect samostatným serverem, který nefunguje jako řadič domény.
• Resetování hesla uživatele pomocí účtu Microsoft Entra Connect
  • Účet konektoru Microsoft Entra Connect má často vysoká oprávnění, včetně možnosti resetovat hesla uživatelů. Microsoft Defender for Identity teď má o těchto akcích přehled a rozpozná veškeré použití těchto oprávnění, která byla identifikována jako škodlivá a neprávná. Toto upozornění se aktivuje jenom v případě, že je funkce zpětného zápisu hesla zakázaná.
• Podezřelý zpětný zápis Microsoft Entra Connect u citlivého uživatele
  • I když Microsoft Entra Connect už brání zpětnému zápisu uživatelů v privilegovaných skupinách, Microsoft Defender for Identity tuto ochranu rozšiřuje tím, že identifikuje další typy citlivých účtů. Tato rozšířená detekce pomáhá zabránit neoprávněnému resetování hesel u důležitých účtů, což může být zásadní krok při pokročilých útocích zaměřených na cloudová i místní prostředí.

Další vylepšení a možnosti:

• Nová aktivita jakéhokoli neúspěšného resetování hesla u citlivého účtu , který je k dispozici v tabulce IdentityDirectoryEvents v rozšířeném proaktivním vyhledávání. To může zákazníkům pomoct sledovat neúspěšné události resetování hesla a na základě těchto dat vytvořit vlastní detekci.
• Vylepšená přesnost detekce útoků synchronizace řadiče domény
• Nový problém se stavem pro případy, kdy senzor nemůže načíst konfiguraci ze služby Microsoft Entra Connect.
• Rozšířené monitorování výstrah zabezpečení, jako je detektor vzdáleného spuštění PowerShellu, povolením nového senzoru na serverech Microsoft Entra Connect

Další informace o novém senzoru

Aktualizace modulu PowerShellu DefenderForIdentity

Aktualizovali jsme modul PowerShellu DefenderForIdentity, který zahrnuje nové funkce a řeší několik oprav chyb. Mezi klíčová vylepšení patří:

• Nový New-MDIDSA Rutina: Zjednodušuje vytváření účtů služby s výchozím nastavením pro účty spravované služby skupiny (gMSA) a možností vytvořit standardní účty.
• Automatická detekce primárního řadiče domény: Zlepšuje spolehlivost vytváření objektů Zásady skupiny tím, že automaticky cílí na emulátor primárního řadiče domény (PDCe) pro většinu operací služby Active Directory.
• Ruční cílení na řadič domény: Nový parametr serveru pro Get/Set/Test-MDIConfiguration rutiny, který umožňuje určit řadič domény pro cílení místo primárního řadiče domény.

Další informace najdete tady:

• Modul PowerShellu DefenderForIdentity (Galerie prostředí PowerShell)
• Referenční dokumentace k PowerShellu DefenderForIdentity

červenec 2024

6 Nové detekce jsou ve verzi Public Preview nové:

• Možný útok NetSync
  • NetSync je modul mimikatz, nástroj pro následné zneužití, který vyžaduje hodnotu hash hesla cílového zařízení tím, že předstírá, že je řadičem domény. Útočník může pomocí této funkce provádět škodlivé aktivity v síti, aby získal přístup k prostředkům organizace.
• Možné převzetí účtu Microsoft Entra bezproblémového jednotného přihlašování
  • Podezřele se změnil Microsoft Entra objekt účtu bezproblémového jednotného přihlašování (AZUREADSSOACC). Útočník se může laterálně přesouvat z místního prostředí do cloudu.
• Podezřelý dotaz LDAP
  • Byl zjištěn podezřelý dotaz protokolu LDAP (Lightweight Directory Access Protocol) přidružený ke známému nástroji pro útok. Útočník může provádět rekognoskaci pro pozdější kroky.
• Uživateli se přidal podezřelý hlavní název služby (SPN)
  • K citlivému uživateli se přidal podezřelý hlavní název služby (SPN). Útočník se může pokoušet získat zvýšený přístup pro laterální pohyb v rámci organizace.
• Podezřelé vytvoření skupiny ESXi
  • V doméně byla vytvořena podezřelá skupina VMWare ESXi. To může znamenat, že se útočník pokouší získat další oprávnění pro pozdější kroky útoku.
• Podezřelé ověřování AD FS
  • Účet připojený k doméně přihlášený pomocí Active Directory Federation Services (AD FS) (ADFS) z podezřelé IP adresy. Útočník mohl ukrást přihlašovací údaje uživatele a používá je k laterálně přesunu v organizaci.

Defender for Identity verze 2.238

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Červen 2024

Snadné hledání informací o uživateli z řídicího panelu ITDR

Widget Shield poskytuje rychlý přehled o počtu uživatelů v hybridním, cloudovém a místním prostředí. Tato funkce teď obsahuje přímé odkazy na platformu Rozšířené proaktivní vyhledávání a nabízí podrobné informace o uživateli na dosah ruky.

Widget stavu nasazení ITDR teď zahrnuje Microsoft Entra podmíněný přístup a Microsoft Entra Soukromý přístup

Teď můžete zobrazit dostupnost licencí pro podmíněný přístup Microsoft Entra úloh, Microsoft Entra uživatelský podmíněný přístup a Microsoft Entra Soukromý přístup.

Defender for Identity verze 2.237

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Květen 2024

Defender for Identity verze 2.236

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.235

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Duben 2024

Snadné zjištění chyby zabezpečení spočívající v obejití funkce zabezpečení protokolu Windows Kerberos CVE-2024-21427

Abychom zákazníkům pomohli lépe identifikovat a rozpoznat pokusy o obejití protokolů zabezpečení v důsledku této chyby zabezpečení, přidali jsme v rámci rozšířeného proaktivního vyhledávání novou aktivitu, která monitoruje ověřování Kerberos AS.
S využitím těchto dat teď zákazníci můžou snadno vytvářet vlastní pravidla detekce v rámci Microsoft Defender XDR a automaticky spouštět výstrahy pro tento typ aktivity.

Portál Defender XDR Accessu –> Proaktivní vyhledávání –> Rozšířené proaktivní vyhledávání.

Teď můžete zkopírovat náš doporučený dotaz, jak je uvedeno níže, a kliknout na Vytvořit pravidlo detekce. Upozorňujeme, že náš zadaný dotaz také sleduje neúspěšné pokusy o přihlášení, které můžou generovat informace nesouvisející s potenciálním útokem. Proto můžete dotaz přizpůsobit tak, aby vyhovoval vašim konkrétním požadavkům.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity verze 2.234

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.233

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Březen 2024

Nová oprávnění jen pro čtení pro zobrazení nastavení Defenderu for Identity

Teď můžete nakonfigurovat uživatele Defenderu for Identity s oprávněními jen pro čtení a zobrazit nastavení Defenderu for Identity.

Další informace najdete v tématu Požadovaná oprávnění Defender for Identity v Microsoft Defender XDR.

Nové rozhraní GRAPH API pro zobrazení a správu problémů se stavem

Teď můžete zobrazit a spravovat problémy se stavem Microsoft Defender for Identity prostřednictvím Graph API

Další informace najdete v tématu Správa problémů se stavem prostřednictvím Graph API.

Defender for Identity verze 2.232

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.231

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Únor 2024

Defender for Identity verze 2.230

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Nové posouzení stavu zabezpečení pro nezabezpečenou konfiguraci koncového bodu služby IIS služby AD CS

Defender for Identity přidal nové doporučení Upravit nezabezpečené koncové body služby IIS (ESC8) pro úpravy nezabezpečených certifikátů ADCS ve skóre zabezpečení Microsoftu.

Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů prostřednictvím různých metod a protokolů, včetně zápisu prostřednictvím protokolu HTTP pomocí služby zápisu certifikátů (CES) nebo rozhraní webového zápisu (Certsrv). Nezabezpečené konfigurace koncových bodů služby IIS CES nebo Certsrv můžou způsobovat ohrožení zabezpečení vůči útokům na přenos (ESC8).

Nové doporučení Upravit nezabezpečené koncové body služby IIS (ESC8) pro úpravy nezabezpečených certifikátů ADCS se přidalo k dalším nedávno vydaným doporučením souvisejícím se službou AD CS. Tato hodnocení společně nabízejí sestavy stavu zabezpečení, které ukazují problémy se zabezpečením a závažné chybné konfigurace, které představují rizika pro celou organizaci, a související detekce.

Další informace najdete tady:

• Posouzení zabezpečení: Úprava nezabezpečených koncových bodů služby IIS pro zápis certifikátů ADCS (ESC8)
• Posouzení stavu zabezpečení pro senzory AD CS
• Posouzení stavu zabezpečení Microsoft Defender for Identity

Defender for Identity verze 2.229

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Vylepšené uživatelské prostředí pro úpravu prahových hodnot upozornění (Preview)

Stránka Rozšířené nastavení defenderu pro identitu se teď přejmenovala na Upravit prahové hodnoty upozornění a poskytuje aktualizované prostředí s vylepšenou flexibilitou pro úpravu prahových hodnot upozornění.

Mezi změny patří:

• Odebrali jsme předchozí možnost Odebrat výukové období a přidali jsme novou možnost Doporučený testovací režim . Výběrem možnosti Doporučený testovací režim nastavíte všechny úrovně prahových hodnot na Hodnotu Nízká, zvýšíte počet výstrah a nastavíte všechny ostatní úrovně prahových hodnot jen pro čtení.

• Předchozí sloupec Úroveň citlivosti se teď přejmenoval na Prahová hodnota s nově definovanými hodnotami. Ve výchozím nastavení jsou všechny výstrahy nastaveny na vysokou prahovou hodnotu, která představuje výchozí chování a standardní konfiguraci výstrah.

Následující tabulka uvádí mapování mezi předchozími hodnotami úrovně citlivosti a novými hodnotami úrovně prahové hodnoty :

Úroveň citlivosti (předchozí název)	Úroveň prahové hodnoty (nový název)
Normální	High (Vysoká)
Střední	Střední
High (Vysoká)	Nízký

Pokud jste na stránce Upřesnit nastavení definovali konkrétní hodnoty, převedli jsme je na novou stránku Upravit prahové hodnoty upozornění následujícím způsobem:

Konfigurace stránky Upřesňující nastavení	Nová konfigurace stránky Upravit prahové hodnoty upozornění
Možnost Odebrat období výuky zapnutá	Doporučený testovací režim je vypnutý. Nastavení konfigurace prahové hodnoty upozornění zůstává stejné.
Odebrání období výuky s vypnutým	Doporučený testovací režim je vypnutý. Nastavení konfigurace prahové hodnoty upozornění se všechna resetují na výchozí hodnoty s úrovní vysoké prahové hodnoty.

Upozornění se vždy aktivují okamžitě, pokud je vybraná možnost Doporučený testovací režim nebo pokud je prahová hodnota nastavená na Střední nebo Nízká, bez ohledu na to, jestli se už doba výuky výstrahy dokončila.

Další informace najdete v tématu Úprava prahových hodnot upozornění.

Stránky s podrobnostmi o zařízení teď obsahují popisy zařízení (Preview)

Microsoft Defender XDR teď obsahuje popisy zařízení v podoknech podrobností o zařízení a na stránkách podrobností o zařízení. Popisy se vyplní z atributu Active Directory Description zařízení.

Například v bočním podokně podrobností o zařízení:

Další informace najdete v tématu Postup šetření podezřelých zařízení.

Defender for Identity verze 2.228

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity a následující nová upozornění:

• Rekognoskace výčtu účtů (LDAP) (externí ID 2437) (Preview)
• Změna hesla v režimu obnovení adresářových služeb (externí ID 2438) (Preview)

Leden 2024

Defender for Identity verze 2.227

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Přidání karty Časová osa pro entity skupiny

Teď můžete zobrazit aktivity a výstrahy související s entitami skupiny služby Active Directory za posledních 180 dnů v Microsoft Defender XDR, jako jsou změny členství ve skupině, dotazy LDAP atd.

Pokud chcete přejít na stránku časové osy skupiny, vyberte Otevřít časovou osu v podokně podrobností skupiny.

Příklady:

Další informace najdete v tématu Postup šetření podezřelých skupin.

Konfigurace a ověření prostředí Defenderu for Identity přes PowerShell

Defender for Identity teď podporuje nový modul PowerShellu DefenderForIdentity, který je navržený tak, aby vám pomohl nakonfigurovat a ověřit prostředí pro práci s Microsoft Defender for Identity.

Pomocí příkazů PowerShellu se vyhnete chybným konfiguracím, ušetříte čas a zabráníte zbytečnému zatížení systému.

Do dokumentace k Defenderu for Identity jsme přidali následující postupy, které vám pomůžou používat nové příkazy PowerShellu:

• Změna konfigurace proxy serveru pomocí PowerShellu
• Konfigurace, získání a testování zásad auditu pomocí PowerShellu
• Generování sestavy s aktuálními konfiguracemi prostřednictvím PowerShellu
• Testování oprávnění a delegování DSA prostřednictvím PowerShellu
• Testování připojení služby pomocí PowerShellu

Další informace najdete tady:

• Modul PowerShellu DefenderForIdentity (Galerie prostředí PowerShell)
• Referenční dokumentace k PowerShellu DefenderForIdentity

Defender for Identity verze 2.226

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.225

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Prosinec 2023

Poznámka

Pokud se vám zobrazuje snížený počet upozornění na pokusy o vzdálené spuštění kódu , podívejte se na naše aktualizovaná zářijová oznámení, která obsahují aktualizaci logiky detekce defenderu pro identitu. Defender for Identity nadále zaznamenává aktivity vzdáleného spuštění kódu jako předtím.

Oblast a řídicí panel Nové identity v Microsoft 365 Defenderu (Preview)

Zákazníci programu Defender for Identity teď mají v Microsoft 365 Defenderu novou oblast Identit pro informace o zabezpečení identit pomocí Defenderu for Identity.

V Microsoft 365 Defenderu vyberte Identity a podívejte se na některou z následujících nových stránek:

• Řídicí panel: Tato stránka zobrazuje grafy a widgety, které vám pomůžou monitorovat aktivity detekce hrozeb identity a reakce na ně.  Příklady:

  

  Další informace najdete v tématu Práce s řídicím panelem ITDR služby Defender for Identity.

• Problémy se stavem: Tato stránka se přesunula z oblasti Identity nastavení > a obsahuje seznam všech aktuálních problémů se stavem pro obecné nasazení Defenderu for Identity a konkrétní senzory. Další informace najdete v tématu Microsoft Defender for Identity problémy se stavem senzoru.

• Nástroje: Tato stránka obsahuje odkazy na užitečné informace a zdroje informací při práci s Defenderem for Identity. Na této stránce najdete odkazy na dokumentaci, konkrétně na nástroj pro plánování kapacity, a skriptTest-MdiReadiness.ps1 .

Defender for Identity verze 2.224

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Posouzení stavu zabezpečení pro senzory AD CS (Preview)

Posouzení stavu zabezpečení služby Defender for Identity proaktivně detekují a doporučují akce napříč konfiguracemi místní Active Directory.

Mezi doporučené akce teď patří následující nová posouzení stavu zabezpečení, konkrétně pro šablony certifikátů a certifikační autority.

• Doporučené akce šablon certifikátů:

  • Zabránit uživatelům v vyžádání certifikátu platného pro libovolné uživatele na základě šablony certifikátu (ESC1)
  • Úprava příliš oprávněné šablony certifikátu pomocí privilegovaných EKU (EKU pro libovolný účel nebo bez EKU) (ESC2)
  • Chybně nakonfigurovaná šablona certifikátu agenta zápisu (ESC3)
  • Upravit chybně nakonfigurovaný seznam ACL šablon certifikátů (ESC4)
  • Upravit vlastníka chybně nakonfigurovaných šablon certifikátů (ESC4)

• Doporučené akce certifikační autority:

  • Úprava nastavení ohrožené certifikační autority (ESC6)
  • Upravit chybně nakonfigurovaný seznam ACL certifikační autority (ESC7)
  • Vynucení šifrování pro rozhraní pro zápis certifikátů RPC (ESC11)

Nová hodnocení jsou k dispozici ve službě Microsoft Secure Score, kde se zobrazují problémy se zabezpečením a závažné chybné konfigurace, které představují rizika pro celou organizaci, spolu s detekcemi. Vaše skóre se odpovídajícím způsobem aktualizuje.

Příklady:

Další informace najdete v tématu posouzení stavu zabezpečení Microsoft Defender for Identity.

Poznámka

Hodnocení šablon certifikátů jsou sice k dispozici pro všechny zákazníky, kteří mají ve svém prostředí nainstalovanou službu AD CS, ale posouzení certifikační autority jsou k dispozici jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Ad CS (Active Directory Certificate Services).

Defender for Identity verze 2.223

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.222

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.221

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Listopad 2023

Defender for Identity verze 2.220

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.219

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Časová osa identity zahrnuje data za více než 30 dnů (Preview)

Defender for Identity postupně zavádí rozšířené uchovávání dat u podrobností o identitě na více než 30 dnů.

Karta Časová osa stránky s podrobnostmi o identitě, která zahrnuje aktivity z programu Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint, aktuálně zahrnuje minimálně 150 dnů a stále roste. Míra uchovávání dat se může v několika příštích týdnech částečně odchylovat.

Pokud chcete zobrazit aktivity a výstrahy na časové ose identity v určitém časovém rámci, vyberte výchozí 30 dnů a pak vyberte Vlastní rozsah. Filtrovaná data z doby před více než 30 dny se zobrazují maximálně sedm dní najednou.

Příklady:

Další informace najdete v tématech Zkoumání prostředků a Zkoumání uživatelů v Microsoft Defender XDR.

Defender for Identity verze 2.218

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Říjen 2023

Defender for Identity verze 2.217

Tato verze obsahuje následující vylepšení:

• Souhrnná sestava: Souhrnná sestava se aktualizuje tak, aby na kartě Problémy se stavem obsahovala dva nové sloupce:

  • Podrobnosti: Další informace o problému, například seznam ovlivněných objektů nebo konkrétní senzory, u kterých k problému dochází.
  • Doporučení: Seznam doporučených akcí, které je možné provést k vyřešení problému, nebo postup, jak problém podrobněji prozkoumat.

  Další informace najdete v tématu Stažení a naplánování sestav Defenderu for Identity v Microsoft Defender XDR (Preview).

• Problémy se stavem: Přidání přepínače Odebrat období výuky se pro tento problém se stavem tenanta automaticky vypnul .

Tato verze obsahuje také opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.216

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Září 2023

Snížení počtu výstrah pro pokusy o vzdálené spuštění kódu

Abychom lépe sladily výstrahy služby Defender for Identity a Microsoft Defender for Endpoint, aktualizovali jsme logiku detekce pokusů o vzdálené spuštění kódu v defenderu for Identity.

I když tato změna vede ke snížení počtu upozornění na pokusy o vzdálené spuštění kódu , Defender for Identity i nadále zaznamenává aktivity vzdáleného spuštění kódu. Zákazníci můžou dál vytvářet vlastní pokročilé proaktivní dotazy a vytvářet vlastní zásady zjišťování.

Nastavení citlivosti upozornění a vylepšení období výuky

Některá upozornění Defenderu for Identity čekají před aktivací upozornění na dobu výuky a zároveň vytvářejí profil vzorů, které se mají použít při rozlišování mezi legitimními a podezřelými aktivitami.

Defender for Identity teď poskytuje následující vylepšení pro prostředí studijního období:

• Správci teď můžou pomocí nastavení Odebrat období výuky nakonfigurovat citlivost používanou pro konkrétní výstrahy. Definujte citlivost jako Normální , abyste pro vybraný typ upozornění nakonfigurovali nastavení Odebrat výukové období na Vypnuto .

• Po nasazení nového senzoru v novém pracovním prostoru Defenderu for Identity se nastavení Odebrat období výukypo dobu 30 dnů automaticky zapne. Po uplynutí 30 dnů se nastavení Odebrat období výukyautomaticky vypne a úrovně citlivosti upozornění se vrátí do výchozích funkcí.

  Pokud chcete, aby Defender for Identity používal funkci standardního období výuky, kdy se upozornění negenerují, dokud se neukončí doba učení, nakonfigurujte nastavení Odebrat období výuky na Vypnuto.

Pokud jste dříve aktualizovali nastavení Odebrat výukové období , zůstane nastavení tak, jak jste ho nakonfigurovali.

Další informace najdete v tématu Upřesňující nastavení.

Poznámka

Na stránce Upřesnit nastavení se původně zobrazilo upozornění na rekognoskaci výčtu účtu pod možnostmi Odebrat období učení jako konfigurovatelné pro nastavení citlivosti. Tato výstraha byla odebrána ze seznamu a je nahrazena upozorněním zabezpečení objektu zabezpečení (LDAP). Tato chyba uživatelského rozhraní byla opravena v listopadu 2023.

Defender for Identity verze 2.215

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Sestavy Defenderu for Identity přesunuté do hlavní oblasti Sestavy

K sestavám Defenderu for Identity teď můžete přistupovat z hlavní oblasti Sestavy Microsoft Defender XDR místo z oblasti Nastavení. Příklady:

Další informace najdete v tématu Stažení a naplánování sestav Defenderu for Identity v Microsoft Defender XDR (Preview).

Tlačítko Přejít na lov pro skupiny v Microsoft Defender XDR

Defender for Identity přidal tlačítko Proaktivní hledání pro skupiny v Microsoft Defender XDR. Uživatelé můžou během vyšetřování dotazovat na aktivity a výstrahy související se skupinami pomocí tlačítka Přejít pro vyhledávání .

Příklady:

Další informace najdete v tématu Rychlé vyhledávání informací o entitách nebo událostech pomocí funkce Go Hunt.

Defender for Identity verze 2.214

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Vylepšení výkonu

Defender for Identity provedl interní vylepšení latence, stability a výkonu při přenosu událostí v reálném čase ze služeb Defender for Identity do Microsoft Defender XDR. Zákazníci by neměli očekávat žádné prodlevy v datech služby Defender for Identity, která se zobrazují v Microsoft Defender XDR, jako jsou výstrahy nebo aktivity pro pokročilé proaktivního vyhledávání.

Další informace najdete tady:

• Výstrahy zabezpečení v Microsoft Defender for Identity
• Posouzení stavu zabezpečení Microsoft Defender for Identity
• Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním v Microsoft Defender XDR

Srpen 2023

Defender for Identity verze 2.213

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.212

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.211

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Nový typ senzoru pro službu AD CS (Active Directory Certificate Services)

Defender for Identity teď podporuje nový typ senzoru ADCS pro vyhrazený server s nakonfigurovanou službou Active Directory Certificate Services (AD CS).

Nový typ senzoru identifikovaný na stránce Nastavení > Identities > Sensors v Microsoft Defender XDR. Další informace najdete v tématu Správa a aktualizace senzorů Microsoft Defender for Identity.

Společně s novým typem senzoru teď Defender for Identity také poskytuje související výstrahy AD CS a sestavy skóre zabezpečení. Pokud chcete zobrazit nové výstrahy a sestavy skóre zabezpečení, ujistěte se, že se na serveru shromažďují a protokolují požadované události. Další informace najdete v tématu Konfigurace auditování pro události služby Ad CS (Active Directory Certificate Services).

SLUŽBA AD CS je Windows Server role, která vydává a spravuje certifikáty infrastruktury veřejných klíčů (PKI) v zabezpečených komunikačních a ověřovacích protokolech. Další informace najdete v tématu Co je Active Directory Certificate Services?

Defender for Identity verze 2.210

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Další kroky

• Co je Microsoft Defender for Identity?

• Časté otázky

• Požadavky na Defender for Identity

• Plánování kapacity služby Defender for Identity

• Podívejte se na fórum Defender for Identity!