Freigeben über


Neuigkeiten in Microsoft Defender for Identity

Dieser Artikel wird regelmäßig aktualisiert, um Sie über die Neuerungen in den aktuellen Releases von Microsoft Defender for Identity auf dem Laufenden zu halten.

Neuigkeiten – Umfang und Verweise

Defender for Identity-Versionen werden schrittweise über Kundenmandanten hinweg bereitgestellt. Wenn hier ein Feature dokumentiert ist, das noch nicht in Ihrem Mandanten angezeigt wird, schauen Sie später noch einmal nach einem Update nach.

Weitere Informationen finden Sie auch unter:

Updates zu Versionen und Features, die vor sechs Monaten oder früher veröffentlicht wurden, finden Sie im Neuerungenarchiv für Microsoft Defender for Identity.

Oktober 2024

MDI erweitert die Abdeckung mit neuen 10 Identitätsstatusempfehlungen (Vorschau)

Die neuen Bewertungen des Status der Identitätssicherheit (Identity Security Posture Assessments, ISPMs) können Kunden dabei helfen, Fehlkonfigurationen durch die Identifizierung von Schwachstellen zu überwachen, und das Risiko möglicher Angriffe auf die lokale Infrastruktur zu reduzieren.
Diese neuen Identitätsempfehlungen, die Teil der Microsoft-Sicherheitsbewertung sind, entsprechen neuen Berichten zum Sicherheitsstatus in Bezug auf die Active Directory-Infrastruktur und Gruppenrichtlinienobjekte:

Darüber hinaus haben wir die vorhandene Empfehlung „Unsichere Kerberos-Delegierungen ändern, um Identitätswechsel zu verhindern“ aktualisiert, um die Angabe der eingeschränkten Kerberos-Delegierung mit Protokollübergang zu einem privilegierten Dienst einzuschließen.

August 2024

Neuer Microsoft Entra Connect-Sensor:

Im Rahmen unserer andauernden Initiative, die Microsoft Defender for Identity-Abdeckung in Umgebungen mit hybriden Identitäten zu verbessern, haben wir einen neuen Sensor für Microsoft Entra Connect-Server eingeführt. Darüber hinaus haben wir neue Hybridsicherheitserkennungen und neue Identitätsstatusempfehlungen speziell für Microsoft Entra Connect veröffentlicht und kunden helfen, geschützt zu bleiben und potenzielle Risiken zu mindern.

Neue Identitätsstatusempfehlungen für Microsoft Entra Connect:

  • Rotieren des Kennworts für das Microsoft Entra Connect-Connector-Konto
    • Ein kompromittiertes Microsoft Entra Connect-Connector-Konto (AD DS-Connector-Konto, in der Regel als MSOL_XXXXXXXX angezeigt) kann Zugriff auf Funktionen mit erhöhten Berechtigungen gewähren, z. B. Replikation und Kennwortzurücksetzung. Auf diese Weise können Angreifer Synchronisierungseinstellungen ändern und die Sicherheit von Cloud- und lokalen Umgebungen kompromittieren. Darüber hinaus gibt es verschiedene Möglichkeiten für die Kompromittierung der gesamten Domäne. In dieser Bewertung empfehlen wir Kunden, das Kennwort von MSOL-Konten zu ändern, wenn das Kennwort zuletzt vor mehr als 90 Tagen festgelegt wurde. Für weitere Informationen klicken Sie hier.
  • Entfernen unnötiger Replikationsberechtigungen für das Microsoft Entra Connect-Konto
    • Standardmäßig besitzt das Microsoft Entra Connect-Connector-Konto umfangreiche Berechtigungen, um die ordnungsgemäße Synchronisierung sicherzustellen (auch wenn sie tatsächlich nicht erforderlich sind). Wenn die Kennwort-Hashsynchronisierung nicht konfiguriert ist, ist es wichtig, unnötige Berechtigungen zu entfernen, um die potenzielle Angriffsfläche zu minimieren. Klicken Sie hier, um weitere Informationen zu erhalten.
  • Ändern des Kennworts für die Konfiguration von Microsoft Entra-Konten mit nahtlosem SSO
    • Dieser Bericht listet alle Microsoft Entra-Computerkonten für nahtloses SSO auf, deren Kennwort zuletzt vor mehr als 90 Tagen festgelegt wurde. Das Kennwort für das Azure-SSO-Computerkonto wird nicht automatisch alle 30 Tage geändert. Wenn Angreifer dieses Konto kompromittieren, können sie im Namen beliebiger Benutzer*innen Diensttickets für das AZUREADSSOACC-Konto erstellen und sich im Microsoft Entra-Mandanten als Benutzer*innen ausgeben, die mit Active Directory synchronisiert wurden. Angreifer können dies ausnutzen, um sich lateral von Active Directory zu Microsoft Entra ID zu bewegen. Für weitere Informationen klicken Sie hier.

Neue Microsoft Entra Connect-Erkennungen:

  • Verdächtige interaktive Anmeldung beim Microsoft Entra Connect-Server
    • Direkte Anmeldungen bei Microsoft Entra Connect-Servern sind sehr ungewöhnlich und potenziell böswillig. Angreifer zielen häufig auf diese Server ab, um Anmeldeinformationen für einen umfassenderen Netzwerkzugriff zu stehlen. Microsoft Defender for Identity kann jetzt anomale Anmeldungen bei Microsoft Entra Connect-Servern erkennen. Dies hilft Ihnen, diese potenziellen Bedrohungen schneller zu identifizieren und schneller auf sie zu reagieren. Dies gilt insbesondere, wenn der Microsoft Entra Connect-Server ein eigenständiger Server ist und nicht als Domänencontroller ausgeführt wird.
  • Zurücksetzen von Benutzerkennwörtern nach Microsoft Entra Connect-Konto
    • Das Microsoft Entra Connect-Connector-Konto besitzt häufig erhöhte Berechtigungen, einschließlich der Zurücksetzung von Benutzerkennwörtern. Microsoft Defender for Identity hat jetzt Einsicht in diese Aktionen und erkennt jede Verwendung dieser Berechtigungen, die als böswillig und nicht legitim identifiziert wurde. Diese Warnung wird nur ausgelöst, wenn die Funktion Kennwortrückschreiben deaktiviert ist.
  • Verdächtiges Rückschreiben von Microsoft Entra Connect für sensible Benutzer*innen
    • Auch wenn Microsoft Entra Connect das Rückschreiben für Benutzer*innen in Gruppen mit erhöhten Berechtigungen bereits verhindert, erweitert Microsoft Defender for Identity diesen Schutz durch die Identifizierung zusätzlicher Typen sensibler Konten. Diese erweiterte Erkennung trägt zur Verhinderung nicht autorisierter Kennwortzurücksetzungen für kritische Konten bei, was ein wichtiger Schritt bei erweiterten Angriffen sein kann, die sowohl auf Cloud- als auch auf lokale Umgebungen abzielen.

Zusätzliche Verbesserungen und Funktionen:

  • In der Tabelle „IdentityDirectoryEvents“ in „Erweiterte Suche“ ist eine neue Aktivität in Bezug auf fehlgeschlagene Kennwortzurücksetzungen für sensible Konten verfügbar. Dies kann Kunden helfen, fehlgeschlagene Kennwortzurücksetzungen nachzuverfolgen und basierend auf diesen Daten eine benutzerdefinierte Erkennung zu erstellen.
  • Verbesserte Genauigkeit bei der Erkennung von Angriffen auf die DC-Synchronisierung.
  • Neues Integritätsproblem für Fälle, in denen der Sensor die Konfiguration nicht aus dem Microsoft Entra Connect-Dienst abrufen kann.
  • Erweiterte Überwachung auf Sicherheitswarnungen, z. B. PowerShell Remote Execution Detector, durch Aktivieren des neuen Sensors auf Microsoft Entra Connect-Servern.

Weitere Informationen zum neuen Sensor

Aktualisierung des DefenderForIdentity-PowerShell-Moduls

Das PowerShell-Modul „DefenderForIdentity“ wurde aktualisiert, wobei neue Funktionen integriert und mehrere Fehler behoben werden. Zu den wichtigsten Verbesserungen gehören:

  • Neues New-MDIDSA-Cmdlet: Vereinfacht die Erstellung von Dienstkonten mit einer Standardeinstellung für gruppenverwaltete Dienstkonten (gMSA) und einer Option zum Erstellen von Standardkonten.
  • Automatische PDCe-Erkennung: Verbessert die Zuverlässigkeit der Gruppenrichtlinienobjekterstellung (Group Policy Object, GPO), indem sie automatisch auf den Primären Domänencontroller-Emulator (PDCe) für die meisten Active Directory-Vorgänge ausgerichtet ist.
  • Manuelle Domänencontrolleradressierung: Neuer Serverparameter für Get/Set/Test-MDIConfiguration-Cmdlets, sodass Sie anstelle der PDCe einen Domänencontroller für die Zielbestimmung angeben können.

Weitere Informationen finden Sie unter:

Juli 2024

Der öffentlichen Vorschau wurden 6 neue Erkennungen hinzugefügt:

  • Möglicher NetSync-Angriff
    • NetSync ist ein Modul in Mimikatz – ein Post-Exploitation-Tool, das den Kennworthash eines Zielgerätkennworts anfordert, indem es vorgibt, ein Domänencontroller zu sein. Ein Angreifer nutzt möglicherweise dieses Feature, um schädliche Aktivitäten innerhalb des Netzwerks durchzuführen und um auf die Ressourcen der Organisation zuzugreifen.
  • Mögliche Übernahme eines Microsoft Entra-Kontos mit nahtlosem einmaligem Anmelden (nahtloses SSO)
    • Ein Microsoft Entra-Kontoobjekt mit nahtlosem einmaligem Anmelden (Single-Sign-On, SSO), AZUREADSSOACC, wurde auf verdächtige Weise geändert. Ein Angreifer bewegt sich möglicherweise lateral von lokalen Umgebungen in die Cloud.
  • Verdächtige LDAP-Abfrage
    • Es wurde eine verdächtige LDAP-Abfrage (Lightweight Directory Access Protocol) erkannt, die mit einem bekannten Angriffstool in Verbindung gebracht wird. Ein Angreifer führt möglicherweise Reconnaissance-Aktivitäten im Hinblick auf weitere Schritte durch.
  • Einem Benutzer wurde ein verdächtiger SPN hinzugefügt
    • Einem vertraulichen Benutzer wurde ein verdächtiger Dienstprinzipalname (SPN) hinzugefügt. Ein Angreifer versucht möglicherweise, erhöhte Zugriffsrechte für laterale Bewegungen innerhalb der Organisation zu erhalten.
  • Verdächtige Erstellung einer ESXi-Gruppe
    • In der Domäne wurde eine verdächtige VMWare ESXi-Gruppe erstellt. Dies könnte darauf hindeuten, dass ein Angreifer versucht, mehr Berechtigungen zu erhalten, um weitere Schritte im Zusammenhang mit dem Angriff durchzuführen.
  • Verdächtige ADFS-Authentifizierung
    • Ein mit einer Domäne verbundenes Konto hat sich von einer verdächtigen IP-Adresse aus über Active Directory-Verbunddienste (ADFS) angemeldet. Ein Angreifer hat möglicherweise die Anmeldeinformationen eines Benutzers gestohlen und verwendet sie, um sich lateral in der Organisation zu bewegen.

Defender for Identity, Release 2.238

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Juni 2024

Einfache Suche nach Benutzerinformationen über das ITDR-Dashboard

Das Shield-Widget bietet einen schnellen Überblick über die Anzahl der Benutzer in Hybrid-, Cloud- und lokalen Umgebungen. Dieses Feature enthält jetzt direkte Links zur Advanced Hunting-Plattform und bietet detaillierte Benutzerinformationen.

ITDR Deployment Health-Widget enthält jetzt Microsoft Entra Conditional Access und Microsoft Entra Private Access

Jetzt können Sie die Lizenzverfügbarkeit für bedingten Zugriff auf Microsoft Entra-Workload, Microsoft Entra User Conditional Access und Microsoft Entra Private Access anzeigen.

Defender for Identity, Release 2.237

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Mai 2024

Defender for Identity, Release 2.236

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.235

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

April 2024

Einfache Erkennung des Sicherheitsrisikos CVE-2024-21427 durch Umgehung des Sicherheitsfeatures von Windows Kerberos

Um Kunden dabei zu helfen, Versuche zur Umgehung der Sicherheitsprotokolle im Zusammenhang mit diesem Sicherheitsrisiko besser zu identifizieren und zu erkennen, haben wir zum Advanced Hunting eine neue Aktivität hinzugefügt, die die Kerberos AS-Authentifizierung überwacht.
Mithilfe dieser Daten können Kunden jetzt ganz einfach eigene benutzerdefinierte Erkennungsregeln in Microsoft Defender XDR erstellen und für solche Aktivitäten Warnungen automatisch auslösen.

Navigieren Sie zum Defender XDR-Portal –> Suche –> Advanced Hunting.

Kopieren Sie nun die empfohlene Abfrage (siehe unten) und klicken Sie auf „Erkennungsregel erstellen“. Beachten Sie, dass unsere angegebene Abfrage auch fehlgeschlagene Anmeldeversuche verfolgt, wodurch Informationen generiert werden können, die in keinem Zusammenhang mit einem potenziellen Angriff zusammenhängen. Sie können die Abfrage daher an Ihre spezifischen Anforderungen anpassen.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity, Release 2.234

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.233

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

März 2024

Neue Nur-Lese-Berechtigungen für die Anzeige von Defender for Identity-Einstellungen

Jetzt können Sie Defender for Identity-Benutzer mit Nur-Lese-Berechtigung konfigurieren, um Defender for Identity-Einstellungen anzuzeigen.

Weitere Informationen finden Sie unter Erforderliche Berechtigungen Defender for Identity in Microsoft Defender XDR.

Neue Graph-basierte API zum Anzeigen und Verwalten von Integritätsproblemen

Jetzt können Sie Microsoft Defender for Identity-Integritätsprobleme über die Graph-API anzeigen und verwalten.

Weitere Informationen finden Sie unter Verwalten von Integritätsproblemen über die Graph-API.

Defender for Identity, Release 2.232

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.231

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Februar 2024

Defender for Identity, Release 2.230

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Neue Sicherheitsstatusbewertung für unsichere IIS-Endpunktkonfiguration von AD CS

Defender for Identity hat die neue Empfehlung für das Bearbeiten von unsicheren ADCS-Zertifikat-Eintragungen an IIS-Endpunkten (ESC8) in Microsoft Secure Score hinzugefügt.

Active Directory-Zertifikatdienste (AD CS) unterstützt die Zertifikatregistrierung über verschiedene Methoden und Protokolle, einschließlich der Registrierung über HTTP mithilfe des Zertifikatregistrierungsdiensts (Certificate Enrollment Service, CES) oder der Webregistrierungsschnittstelle (Certificate Web Enrollment interface, Certsrv). Unsichere Konfigurationen der CES- oder Certsrv-IIS-Endpunkte können Sicherheitsrisiken zum Weiterleiten von Angriffen (ESC8) erzeugen.

Die neue Empfehlung für das Bearbeiten unsicherer ADCS-Zertifikate für IIS-Endpunkte (ESC8) wird anderen AD CS-bezogenen Empfehlungen hinzugefügt, die kürzlich veröffentlicht wurden. Zusammen bieten diese Bewertungen Sicherheitsstatusberichte, die Sicherheitsprobleme und schwerwiegende Fehlkonfigurationen aufzeigen, die Risiken für die gesamte Organisation bereitstellen, zusammen mit zugehörigen Erkennungen.

Weitere Informationen finden Sie unter:

Defender for Identity, Release 2.229

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Verbesserte Benutzeroberfläche zum Anpassen von Benachrichtigungsschwellenwerten (Vorschau)

Die Seite Defender für Identität Erweitert-Einstellungen wurde in Benachrichtigungsschwellenwerte anpassen umbenannt und bietet eine aktualisierte Benutzeroberfläche mit verbesserter Flexibilität zum Anpassen von Warnungsschwellenwerten.

Screenshot der neuen Seite Alarmschwellen anpassen.

Die Änderungen umfassen Folgendes:

  • Wir haben die vorherige OptionLernzeitraum entfernen entfernt und eine neue Option für Empfohlener Testmodus hinzugefügt. Wählen Sie Empfohlener Testmodus aus, um alle Schwellenwerte auf Niedrig festzulegen, die Anzahl der Warnungen zu erhöhen und alle anderen Schwellenwerte auf schreibgeschützt festzulegen.

  • Die Spalte mit der vorherigen Vertraulichkeitsstufe wurde mit neu definierten Werten als Schwellenwertebene umbenannt. Standardmäßig werden alle Warnungen auf einen Schwellenwert Hoch festgelegt, der das Standardverhalten und eine Standardbenachrichtigungskonfiguration darstellt.

In der folgenden Tabelle sind die Zuordnungen zwischen den vorherigen Vertraulichkeitsstufe-Werten und den neuen Schwellenwerten aufgeführt:

Vertraulichkeitsstufe (vorheriger Name) Schwellenwertebene (neuer Name)
Normal Hoch
Mittel Mittel
Hoch Niedrig

Wenn Sie bestimmte Werte auf der Seite Erweiterte Einstellungen definiert haben, haben wir sie wie folgt auf die neue Seite Benachrichtigungsschwellenwerte anpassen übertragen:

Konfiguration der Seite Erweiterte Einstellungen Neue Konfiguration der Warnungsschwellenwerte anpassen
Entfernen des Umschaltens des Lernzeitraums auf Der empfohlene Testmodus wurde deaktiviert.

Konfigurationseinstellungen für Warnungsschwellenwerte bleiben identisch.
Lernzeitraum entfernen ist deaktiviert Der empfohlene Testmodus wurde deaktiviert.

Die Konfigurationseinstellungen für den Alarmschwellenwert werden alle auf ihre Standardwerte mit dem Schwellenwert Hoch zurückgesetzt.

Warnungen werden immer sofort ausgelöst, wenn die Option Empfohlener Testmodus ausgewählt ist oder eine Schwellenwertstufe auf Mittel oder Niedrig festgelegt ist, unabhängig davon, ob der Lernzeitraum der Warnung bereits abgeschlossen wurde.

Weitere Informationen finden Sie unter Anpassen von Warnungsschwellenwerten.

Die Gerätedetailseiten umfassen jetzt Gerätebeschreibungen (Vorschau)

Microsoft Defender XDR umfasst jetzt Gerätebeschreibungen in den Gerätedetailbereichen und in den Gerätedetailseiten. Die Beschreibungen werden aus dem Active Directory Description-Attribut des Gerätes aufgefüllt.

Beispiel: Im Seitenbereich mit den Gerätedetails:

Screenshot des neuen Feldes Gerätebeschreibung im Detailbereich eines Geräts.

Weitere Informationen finden Sie unter Untersuchungsschritte für verdächtige Geräte.

Defender for Identity, Release 2.228

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Microsoft Defender for Identity-Sensor sowie die folgenden neuen Warnungen:

Januar 2024

Defender for Identity, Release 2.227

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Registerkarte „Zeitachse“ für Gruppenentitäten hinzugefügt

Jetzt können Sie in Microsoft Defender XDR Active Directory-Gruppenentitätsaktivitäten und Warnungen aus den letzten 180 Tagen anzeigen, wie z. B. Gruppenmitgliedschaftsänderungen, LDAP-Abfragen usw.

Um auf die Seite „Gruppen-Zeitleiste“ zuzugreifen, wählen Sie im Bereich „Gruppendetails“ Zeitleiste öffnen aus.

Zum Beispiel:

Screenshot der Schaltfläche Zeitleiste öffnen in der Detailansicht einer Gruppenentität.

Weitere Informationen finden Sie unter Untersuchungsschritte für verdächtige Gruppen.

Konfigurieren und Überprüfen Ihrer Defender for Identity-Umgebung über PowerShell

Defender for Identity unterstützt jetzt das neue PowerShell-Modul DefenderForIdentity, das entwickelt wurde, um Sie beim Konfigurieren und Überprüfen Ihrer Umgebung für die Arbeit mit Microsoft Defender for Identity zu unterstützen.

Verwenden Sie die PowerShell-Befehle, um Fehlkonfigurationen zu vermeiden, Zeit zu sparen und eine unnötige Auslastung Ihres Systems zu vermeiden.

Wir haben zur Dokumentation zu Defender for Identity die folgenden Verfahren hinzugefügt, um Ihnen bei der Verwendung der neuen PowerShell-Befehle zu helfen:

Weitere Informationen finden Sie unter:

Defender for Identity, Release 2.226

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.225

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Dezember 2023

Hinweis

Wenn eine verringerte Anzahl von Warnungen zu Remotecodeausführungsversuchen angezeigt wird, lesen Sie unsere aktualisierten September-Ankündigungen, die ein Update der Defender for Identity-Erkennungslogik enthalten. Defender for Identity zeichnet weiterhin die Remotecodeausführungsaktivitäten wie zuvor auf.

Bereich „Neue Identitäten“ und „Dashboard“ in Microsoft 365 Defender (Vorschau)

Defender for Identity-Kunden verfügen jetzt über einen neuen Identitätsbereich in Microsoft 365 Defender für Informationen zur Identitätssicherheit mit Defender for Identity.

Wählen Sie in Microsoft 365 Defender Identitäten aus, um eine der folgenden Seiten anzuzeigen:

  • Dashboard: Auf dieser Seite werden Diagramme und Widgets angezeigt, mit denen Sie die Erkennung und Reaktion auf Identitätsrisiken überwachen können.  Zum Beispiel:

    Ein animiertes GIF zeigt eine Beispielseite des ITDR-Dashboards.

    Weitere Informationen finden Sie unter Arbeiten mit dem ITDR-Dashboard von Defender for Identity.

  • Integritätsprobleme: Diese Seite wird aus dem Bereich Einstellungen >Identitäten verschoben und zeigt Integritätsprobleme sowohl für Ihre allgemeine Defender for Identity-Umgebung als auch für bestimmte Sensoren an. Weitere Informationen finden Sie unter Sensorintegritätsprobleme für Microsoft Defender for Identity.

  • Tools: Diese Seite enthält Links zu hilfreichen Informationen und Ressourcen beim Arbeiten mit Defender for Identity. Auf dieser Seite finden Sie Links zu Dokumentationen, insbesondere zum Kapazitätsplanungstool und zum Skript Test-MdiReadiness.ps1.

Defender for Identity, Release 2.224

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Sicherheitsstatusbewertungen für AD CS-Sensoren (Vorschau)

Die Defender for Identity-Sicherheitsbewertungen erkennen und empfehlen proaktiv Aktionen in Ihren lokalen Active Directory-Konfigurationen.

Die empfohlenen Maßnahmen umfassen jetzt die folgenden neuen Sicherheitsstatusbewertungen, insbesondere für Zertifikatvorlagen und Zertifizierungsstellen.

Die neuen Bewertungen sind in der Microsoft-Sicherheitsbewertung verfügbar. Sie erkennen Sicherheitsprobleme und schwerwiegende Fehlkonfigurationen, die ein Risiko für die gesamte Organisation darstellen. Ihre Bewertung wird entsprechend aktualisiert.

Zum Beispiel:

Screenshot der neuen AD CS-Sicherheitsbewertungen.

Weitere Informationen finden Sie in den Sicherheitsstatusbewertungen von Microsoft Defender for Identity.

Hinweis

Während Bewertungen von Zertifikatvorlagen für alle Kunden verfügbar sind, die AD CS in ihrer Umgebung installiert haben, sind Bewertungen von Zertifizierungsstellen nur für Kunden verfügbar, die auf einem AD CS-Server einen Sensor installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).

Defender for Identity, Release 2.223

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.222

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.221

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

November 2023

Defender for Identity, Release 2.220

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.219

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Identitäts-Zeitleiste umfasst mehr als 30 Tage Daten (Vorschau)

Defender for Identity stellt schrittweise erweiterte Datenaufbewahrungen für Identitätsdetails auf mehr als 30 Tage bereit.

Die Registerkarte „Zeitachse“ auf der Seite für Identitätsdetails, die Aktivitäten aus Defender for Identity, Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint umfasst, umfasst derzeit mindestens 150 Tage und wächst. Die Datenaufbewahrungsraten können in den nächsten Wochen variieren.

Wenn Sie Aktivitäten und Warnungen für die Identität-Zeitleiste innerhalb eines bestimmten Zeitraums anzeigen möchten, wählen Sie die Standardeinstellung 30 Tage aus, und wählen Sie dann „Benutzerdefinierter Bereich“ aus. Gefilterte Daten, die mehr als 30 Tage alt sind, werden maximal sieben Tage lang gleichzeitig angezeigt.

Zum Beispiel:

Screenshot der Optionen für benutzerdefinierte Zeitrahmen.

Weitere Informationen finden Sie unter „Untersuchen von Ressourcen“ und „Untersuchen von Benutzern in Microsoft Defender XDR“.

Defender for Identity, Release 2.218

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Oktober 2023

Defender for Identity, Release 2.217

Diese Version umfasst die folgenden Verbesserungen:

  • Zusammenfassungsbericht: Der zusammenfassende Bericht wird aktualisiert, um zwei neue Spalten auf der Registerkarte Integritätsprobleme einzuschließen:

    • Details: Zusätzliche Informationen zum Problem, z. B. eine Liste der betroffenen Objekte oder spezifische Sensoren, auf denen das Problem auftritt.
    • Empfehlungen: Eine Liste der empfohlenen Aktionen, die zur Behebung des Problems ergriffen werden können, oder wie sie das Problem weiter untersuchen können.

    Weitere Informationen finden Sie unter Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau).

  • Integritätsprobleme: Die Option Der Schalter „Lernperiode entfernen“ wurde für dieses Mandanten-Integritätsproblem automatisch deaktiviert hinzugefügt

Diese Version enthält auch Fehlerkorrekturen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.216

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

September 2023

Verringerte Anzahl von Warnungen für Remotecodeausführungsversuche

Um Defender for Identity- und Microsoft Defender für Endpunkt-Warnungen besser auszurichten, haben wir die Erkennungslogik für die Erkennung von Defender for Identity Remote-Codeausführungsversuchen aktualisiert.

Diese Änderung führt zwar zu einer verringerten Anzahl von Warnungen bei Remotecodeausführungsversuchen, Defender for Identity zeichnet jedoch weiterhin die Remotecodeausführungsaktivitäten auf. Kunden können weiterhin eigene erweiterte Suchabfragen erstellen und benutzerdefinierte Erkennungsrichtlinien erstellen.

Verbesserungen der Benachrichtigungsempfindlichkeit und des Lernzeitraums

Einige Defender for Identity-Warnungen warten auf einen Lernzeitraum, bevor Warnungen ausgelöst werden, während ein Profil von Mustern erstellt wird, die beim Unterscheiden zwischen legitimen und verdächtigen Aktivitäten verwendet werden sollen.

Defender for Identity bietet jetzt die folgenden Verbesserungen für die Erfahrung im Lernzeitraum:

  • Administratoren können jetzt die Einstellung „Lernzeitraum entfernen“ verwenden, um die Vertraulichkeit zu konfigurieren, die für bestimmte Warnungen verwendet wird. Definieren Sie die Vertraulichkeit als Normal, um die Einstellung „Lernzeitraum entfernen“ für den ausgewählten Warnungstyp als „deaktiviert“ zu konfigurieren.

  • Nachdem Sie einen neuen Sensor in einem neuen Microsoft Defender for Identity-Arbeitsbereich bereitgestellt haben, wird die Einstellung Lernzeitraum entfernen automatisch für 30 Tage aktiviert. Nach Ablauf von 30 Tagen wird die Einstellung Lernzeitraum entfernen automatisch deaktiviert und die Empfindlichkeitsstufen für Warnungen werden auf ihre Standardfunktionalität zurückgesetzt.

    Damit Defender for Identity standardmäßige Lernzeitfunktionen verwendet, bei denen Warnungen erst generiert werden, wenn der Lernzeitraum abgeschlossen ist, konfigurieren Sie die Einstellung „Lernzeiträume entfernen“ auf „deaktiviert“.

Wenn Sie die Einstellung „Lernzeitraum entfernen“ zuvor aktualisiert haben, werden die Einstellungen so bleiben, wie Sie sie konfiguriert haben.

Weitere Informationen finden Sie unter „Erweiterte Einstellungen“.

Hinweis

Die Seite „Erweiterte Einstellungen“hat ursprünglich die Warnung „Kontoaufzählungsaufklärung“ unter den Optionen „Lernzeitraum entfernen“ als konfigurierbar für Vertraulichkeitseinstellungen aufgeführt. Diese Warnung wurde aus der Liste entfernt und durch die Sicherheitsprinzipal-Aufklärungswarnung (LDAP) ersetzt. Dieser Fehler der Benutzeroberfläche wurde im November 2023 behoben.

Defender for Identity, Release 2.215

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity-Berichte in den Bereich „Standard Berichte“ verschoben

Jetzt können Sie über den Standardbereich „Berichte“ von Microsoft Defender XDR anstelle des Bereichs „Einstellungen“ auf Defender for Identity-Berichte zugreifen. Zum Beispiel:

Screenshot des Zugriffs auf den Bericht Defender for Identity im Hauptbereich Berichte.

Weitere Informationen finden Sie unter Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau).

Schaltfläche „Bedrohungssuche durchführen“ für Gruppen in Microsoft Defender XDR

Defender for Identity hat die Schaltfläche Bedrohungssuche durchführen für Gruppen in Microsoft Defender XDR hinzugefügt. Benutzer können die Schaltfläche „Bedrohungssuche durchführen“ verwenden, um gruppenbezogene Aktivitäten und Warnungen während einer Untersuchung abzufragen.

Zum Beispiel:

Screenshot der neuen Schaltfläche „Suchen“ in der Detailansicht einer Gruppe.

Weitere Informationen finden Sie unter „Schnelle Suche nach Entitäts- oder Ereignisinformationen mit „Bedrohungssuche durchführen“ (go hunt)“.

Defender for Identity, Release 2.214

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Leistungsverbesserungen

Defender for Identity hat interne Verbesserungen für Latenz, Stabilität und Leistung beim Übertragen von Echtzeitereignissen von Microsoft Defender for Identity-Diensten an Microsoft Defender XDR vorgenommen. Kunden sollten keine Verzögerungen in Defender for Identity-Daten erwarten, die in Microsoft Defender XDR angezeigt werden, z. B. Warnungen oder Aktivitäten für die erweiterte Bedrohungssuche.

Weitere Informationen finden Sie unter:

August 2023

Defender for Identity, Release 2.213

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.212

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Defender for Identity, Release 2.211

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)

Defender for Identity unterstützt jetzt den neuen ADCS-Sensortyp für einen dedizierten Server, auf dem Active Directory-Zertifikatdienste (AD CS) konfiguriert sind.

Der neue Sensortyp wird auf der Seite Einstellungen > Identitätssensoren> in Microsoft Defender XDR identifiziert. Weitere Informationen finden Sie unter „Verwalten und Aktualisieren von Microsoft Defender for Identity-Sensoren“.

Zusammen mit dem neuen Sensortyp bietet Defender for Identity nun auch verwandte AD CS-Warnungen und Sicherheitsbewertungsberichte. Um die neuen Warnungen und Sicherheitsbewertungsberichte anzuzeigen, stellen Sie sicher, dass die erforderlichen Ereignisse gesammelt und auf Ihrem Server protokolliert werden. Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienstereignisse (Active Directory Certificate Services, AD CS).

AD C) ist eine Windows Serverrolle zum Ausstellen und Verwalten von PKI-Zertifikaten (Public Key-Infrastruktur), die für sichere Kommunikations- und Authentifizierungsprotokolle verwendet werden. Weitere Informationen finden Sie unter „Was sind Active Directory-Zertifikatdienste?

Defender for Identity, Release 2.210

Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.

Nächste Schritte