Microsoft Defender for Identityn uudet ominaisuudet

Tätä artikkelia päivitetään usein, jotta saat tietää, mitä uutta Microsoft Defender for Identity uusimmissa versioissa on.

Uudet ominaisuudet ja viittaukset

Defender for Identity -julkaisut otetaan käyttöön asteittain kaikissa asiakasvuokraajissa. Jos tässä on dokumentoitu ominaisuus, jota et vielä näe vuokraajassasi, tarkista päivitys myöhemmin.

Lisätietoja on myös seuraavissa tiedoissa:

• Microsoft Defender XDR:n uudet ominaisuudet
• Microsoft Defender for Endpointin uudet ominaisuudet
• Microsoft Defender for Cloud Appsin uudet ominaisuudet

Lisätietoja puoli vuotta sitten julkaistuista versioista ja ominaisuuksista on Microsoft Defender for Identity Uudet ominaisuudet -arkistossa.

Joulukuu 2024

Uusi suojausasennon arviointi: Estä varmenteen rekisteröinti mielivaltaisilla sovelluskäytännöillä (ESC15)

Defender for Identity on lisännyt uuden Estä varmenteiden rekisteröinti mielivaltaisten sovelluskäytäntöjen (ESC15) suosituksen kohtaan Microsoft Secure Score.

Tämä suositus koskee suoraan äskettäin julkaistua CVE-2024-49019-standardia, jossa korostetaan haavoittuvassa asemassa oleviin AD CS -määrityksiin liittyviä suojausriskejä. Tässä suojaustilan arvioinnissa luetellaan kaikki asiakasympäristöistä löytyneet haavoittuvassa asemassa olevat varmennemallit, jotka johtuvat käsittelemättömistä AD CS -palvelimista.

Uusi suositus lisätään muihin AD CS:hen liittyviin suosituksiin. Yhdessä nämä arvioinnit tarjoavat suojausasenteisia raportteja, jotka näyttävät suojausongelmia ja vakavia virheellisiä määrityksiä, jotka lähettävät riskejä koko organisaatiolle, sekä liittyviä tunnistuksia.

Lisätietoja on seuraavissa artikkeleissa:

• Suojauksen arviointi: Estä varmenteiden rekisteröinti mielivaltaisilla sovelluskäytännöillä (ESC15)

• Microsoft Defender for Identity suojausasennon arvioinnit

Lokakuu 2024

MDI laajentaa kattavuutta uusilla 10 käyttäjätietojen asentosuosituksilla (esikatselu)

Uudet IsPM-arvioinnit voivat auttaa asiakkaita seuraamaan virheellistä määritystä tarkkailemalla heikkoja kohtia ja pienentämällä mahdollisen hyökkäyksen riskiä paikalliseen infrastruktuuriin.
Nämä uudet käyttäjätietosuositukset osana Microsoftin suojattua pistemäärää ovat uusia suojausasenteen raportteja, jotka liittyvät Active Directory -infrastruktuuriin ja ryhmäkäytäntöobjekteihin:

• Tilit, joilla on muu kuin oletusarvoinen ensisijainen ryhmätunnus

• Vaihda toimialueen ohjauskoneen tietokonetilin vanha salasana

• Ryhmäkäytäntöobjekti määrittää ei-delegoidut käyttäjätiedot paikallisille ryhmille laajennetuilla oikeuksilla

• Ryhmäkäytäntöobjektia voidaan muokata ei-valtuutettujen tilien avulla

• Kumottavissa olevia salasanoja gpO:ssa

• Sisäinen Active Directory -vierastili on käytössä

• DnsAdmins-ryhmän turvattomat käyttöoikeudet

• Varmista, että kaikilla etuoikeutetuilla tileillä on määritysmerkintä "tämä tili on arkaluonteinen eikä sitä voi delegoida"

• Krbtgt-tilin salasanan muuttaminen

• Vaihda sisäänrakennetun toimialueen järjestelmänvalvojan tilin salasana

Lisäksi päivitimme olemassa olevan suosituksen "Muokkaa suojaamattomia Kerberos-delegointeja tekeytymisen estämiseksi" siten, että se sisältää viitteitä rajoitetusta Kerberos-delegoinnista, joka sisältää protokollan siirron etuoikeutettuun palveluun.

Elokuu 2024

Uusi Microsoft Entra Yhdistä tunnistin:

Osana jatkuvaa pyrkimystämme parantaa Microsoft Defender for Identity kattavuutta hybridi-identiteettiympäristöissä olemme ottaneet käyttöön uuden tunnistimen Microsoft Entra Connect-palvelimille. Lisäksi olemme julkaisseet uusia hybridisuojaustunnuksia ja uusia käyttäjätietojen tilan suosituksia erityisesti Microsoft Entra Connectille, mikä auttaa asiakkaita pysymään suojattuina ja pienentämään mahdollisia riskejä.

Uudet Microsoft Entra Yhdistä käyttäjätietojen tilan suositukset:

• Microsoft Entra Yhdistä liitintili -tilin salasanan vaihtaminen
  • Vaarantunut Microsoft Entra Connect -liitintili (AD DS -liitintili, joka näytetään yleisesti MSOL_XXXXXXXX) voi myöntää käyttöoikeuden suuriin oikeuksiin, kuten replikointiin ja salasanan palauttamiseen, jolloin hyökkääjät voivat muokata synkronointiasetuksia ja vaarantaa suojauksen sekä pilviympäristöissä että paikallisissa ympäristöissä sekä tarjota useita polkuja koko toimialueen vaarantamiseksi. Tässä arvioinnissa suosittelemme asiakkaita vaihtamaan MSOL-tilien salasanan salasanalla, joka on viimeksi määritetty yli 90 päivää sitten. Saat lisätietoja napsauttamalla tätä.
• Poista tarpeettomat replikointioikeudet tilin Microsoft Entra
  • Oletusarvoisesti Microsoft Entra Connect -liitintilillä on laajat käyttöoikeudet asianmukaisen synkronoinnin varmistamiseksi (vaikka niitä ei todellisuudessa vaadita). Jos salasanan hajautusarvon synkronointia ei ole määritetty, on tärkeää poistaa tarpeettomat käyttöoikeudet mahdollisen hyökkäyspinnan pienentämiseksi. Saat lisätietoja napsauttamalla tätä
• Vaihda saumattoman kertakirjautumistilin määrityksen salasana Microsoft Entra
  • Tässä raportissa luetellaan kaikki Microsoft Entra saumattomat kertakirjautumistilit, joiden salasana on viimeksi määritetty yli 90 päivää sitten. Azuren kertakirjautumistilin salasanaa ei vaihdeta automaattisesti 30 päivän välein. Jos hyökkääjä vaarantaa tämän tilin, hän voi luoda palvelupyyntöjä AZUREADSSOACC-tilille minkä tahansa käyttäjän puolesta ja tekeytyä käyttäjäksi Microsoft Entra vuokraajassa, joka synkronoidaan Active Directorysta. Hyökkääjä voi tämän avulla siirtyä sivuttain Active Directorysta Microsoft Entra ID. Saat lisätietoja napsauttamalla tätä.

Uudet Microsoft Entra Yhteyden tunnistuksia:

• Epäilyttävä vuorovaikutteinen kirjautuminen connect Microsoft Entra palvelimeen
  • Suorat kirjautumiset Connect Microsoft Entra palvelimiin ovat erittäin epätavallisia ja mahdollisesti haitallisia. Hyökkääjät kohdistavat usein nämä palvelimet varastaakseen tunnistetiedot laajempaa verkkoyhteyksiä varten. Microsoft Defender for Identity tunnistavat nyt epänormaalit kirjautumiset Microsoft Entra Connect -palvelimiin, mikä nopeuttaa näiden mahdollisten uhkien tunnistamista ja niihin vastaamista. Se soveltuu erityisesti silloin, kun Microsoft Entra Connect -palvelin on erillinen palvelin, joka ei toimi toimialueen ohjauskoneena.
• Käyttäjän salasanan vaihtaminen Microsoft Entra yhdistä tili
  • Microsoft Entra Connect -liitintilillä on usein suuret oikeudet, kuten mahdollisuus palauttaa käyttäjän salasanat. Microsoft Defender for Identity on nyt näkyvyys näihin toimintoihin ja havaitsee niiden käyttöoikeuksien käytön, jotka on tunnistettu haitallisiksi ja ei-laillisiksi. Tämä ilmoitus käynnistyy vain, jos salasanan takaisinkirjoitusominaisuus on poistettu käytöstä.
• Epäilyttävä takaisinkirjoitus Microsoft Entra Muodosta yhteys arkaluontoiseen käyttäjään
  • Vaikka yhdistäminen Microsoft Entra estää jo takaisinkirjoituksen etuoikeutettujen ryhmien käyttäjille, Microsoft Defender for Identity laajentaa tätä suojausta tunnistamalla muita arkaluonteisten tilien tyyppejä. Tämä parannettu tunnistus auttaa estämään salasanojen luvattoman palauttamisen kriittisillä tileillä, mikä voi olla ratkaiseva vaihe kehittyneissä hyökkäyksissä, jotka kohdistuvat sekä pilviympäristöihin että paikallisiin ympäristöihin.

Muita parannuksia ja ominaisuuksia:

• Epäonnistuneen salasanan palauttamisen uusi toiminto luottamuksellisessa tilissä , joka on saatavilla IdentityDirectoryEvents-taulukossa Advanced Hunting -kohteessa. Tämä voi auttaa asiakkaita seuraamaan epäonnistuneita salasanan palautustapahtumia ja luomaan mukautettua tunnistusta näiden tietojen perusteella.
• Dc-synkronointihyökkäyksen tunnistamisen parannettu tarkkuus.
• Uusi kunto-ongelma tapauksissa, joissa tunnistin ei pysty noutamaan määritystä Microsoft Entra Connect -palvelusta.
• Tietoturvahälytysten, kuten PowerShellin etäsuorittamisen ilmaisimen, laajennettu valvonta ottamalla uusi tunnistin käyttöön Microsoft Entra Connect-palvelimiin.

Lisätietoja uudesta tunnistimen käytöstä

Päivitetty DefenderForIdentity PowerShell -moduuli

DefenderForIdentity PowerShell -moduuli on päivitetty, ja se sisältää uusia toimintoja ja korjaa useita virheenkorjauksia. Tärkeimpiä parannuksia ovat seuraavat:

• Uusi New-MDIDSA Cmdlet: yksinkertaistaa palvelutilien luomista käyttämällä ryhmän hallittujen palvelutilien (gMSA) oletusasetusta ja vakiotilien luontivaihtoehtoa.
• Automaattinen PDCe-tunnistus: parantaa ryhmäkäytäntö objektin (GPO) luotettavuutta kohdistamalla automaattisesti ensisijaisen toimialueen ohjauskoneen emulaattorin (PDCe) useimpiin Active Directory -toimintoihin.
• Manuaalinen toimialueen ohjauskoneen kohdistaminen: Cmdlet-komentojen uusi palvelinparametri Get/Set/Test-MDIConfiguration , jonka avulla voit määrittää toimialueen ohjauskoneen kohdistamista varten PDCe-kohteen sijaan.

Lisätietoja on seuraavissa artikkeleissa:

• DefenderForIdentity PowerShell -moduuli (PowerShell-valikoima)
• DefenderForIdentity PowerShell -viitedokumentaatio

heinäkuu 2024

6 Uudet tunnistamiset ovat uusia julkisessa esikatselussa:

• Mahdollinen NetSync-hyökkäys
  • NetSync on moduuli Mimikatzissa, joka on hyväksikäytön jälkeinen työkalu, joka pyytää kohdelaitteen salasanan salasanan hajautusarvoa teeskentelemällä toimialueen ohjauskonetta. Hyökkääjä saattaa suorittaa haitallisia toimia verkossa tämän ominaisuuden avulla, jotta hän voi käyttää organisaation resursseja.
• Saumattoman kertakirjautumistilin Microsoft Entra mahdollinen haltuunotto
  • Saumattoman kertakirjautumistilin objektia, AZUREADSSOACC Microsoft Entra muokattiin epäilyttävästi. Hyökkääjä saattaa siirtyä sivuttain paikallisesta ympäristöstä pilvipalveluun.
• Epäilyttävä LDAP-kysely
  • Havaittiin epäilyttävä Lightweight Directory Access Protocol (LDAP) -kysely, joka liittyy tunnettuun hyökkäystyökaluun. Hyökkääjä saattaa suorittaa tiedustelua myöhempää vaihetta varten.
• Käyttäjälle lisättiin epäilyttävä palvelun päänimi
  • Arkaluontoiseen käyttäjään lisättiin epäilyttävä palvelun päänimi (SPN). Hyökkääjä saattaa yrittää saada laajennetun pääsyn sivuttaisten siirtojen käyttöön organisaatiossa
• Epäilyttävä ESXi-ryhmän luominen
  • Toimialueelle luotiin epäilyttävä VMWare ESXi -ryhmä. Tämä saattaa tarkoittaa sitä, että hyökkääjä yrittää saada lisää käyttöoikeuksia hyökkäyksen myöhempiin vaiheisiin.
• Epäilyttävä ADFS-todennus
  • Toimialueeseen liitetty tili, joka on kirjautunut sisään käyttämällä Active Directory -liittoutumispalvelut (ADFS) epäilyttävästä IP-osoitteesta. Hyökkääjä on saattanut varastaa käyttäjän tunnistetiedot ja käyttää sitä organisaatiossa sivuttain siirtymiseen.

Defender for Identityn julkaisu 2.238

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Kesäkuu 2024

Siirry helposti etsimään käyttäjätietoja ITDR-koontinäytöstä

Shield-pienoissovellus tarjoaa nopean yleiskatsauksen hybridi-, pilvi- ja paikallisympäristöjen käyttäjien määrästä. Tämä ominaisuus sisältää nyt suoria linkkejä kehittyneen metsästyksen ympäristöön ja tarjoaa yksityiskohtaisia käyttäjätietoja käden ulottuvilla.

ITDR-käyttöönoton kunto-pienoissovellus sisältää nyt Microsoft Entra ehdollisen käyttöoikeuden ja Microsoft Entra -yksityiskäyttö

Nyt voit tarkastella Microsoft Entra kuormituksen ehdollisen käyttöoikeuden käytettävyyttä, Microsoft Entra käyttäjän ehdollista käyttöoikeutta ja Microsoft Entra -yksityiskäyttö.

Defender for Identityn julkaisu 2.237

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Toukokuu 2024

Defender for Identityn julkaisu 2.236

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.235

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Huhtikuu 2024

Tunnista helposti CVE-2024-21427 Windows Kerberos -suojausominaisuus Ohita haavoittuvuus

Jotta asiakkaat tunnistavat ja tunnistavat paremmin yritykset ohittaa suojausprotokollat tämän haavoittuvuuden mukaan, olemme lisänneet Lisämetsästys-kohtaan uuden toiminnan, joka valvoo Kerberos AS -todennusta.
Näiden tietojen avulla asiakkaat voivat nyt helposti luoda omia mukautettuja tunnistussääntöjään Microsoft Defender XDR ja käynnistää automaattisesti hälytyksiä tämäntyyppisestä toiminnasta

Access Defender XDR portaali -> Metsästys -> Kehittynyt metsästys.

Nyt voit kopioida suositellun kyselyn alla kuvatulla tavalla ja napsauttaa "Luo tunnistussääntö". Huomaa, että annettu kyselymme seuraa myös epäonnistuneita kirjautumisyrityksiä, jotka saattavat tuottaa tietoja, jotka eivät liity mahdolliseen hyökkäykseen. Siksi voit mukauttaa kyselyä omien tarpeidesi mukaan.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identityn julkaisu 2.234

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.233

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Maaliskuu 2024

Uudet vain luku -oikeudet Defender for Identity -asetusten tarkastelemiseen

Nyt voit määrittää Defenderin käyttäjätietokäyttäjille, joilla on vain luku -oikeudet, jotta he voivat tarkastella Defender for Identityn asetuksia.

Lisätietoja on artikkelissa Defender for Identityn pakolliset käyttöoikeudet Microsoft Defender XDR.

Uusi kaaviopohjainen ohjelmointirajapinta kunto-ongelmien tarkastelemiseen ja hallintaan

Nyt voit tarkastella ja hallita Microsoft Defender for Identity kunto-ongelmia Graph-ohjelmointirajapinnan kautta

Lisätietoja on artikkelissa Kunto-ongelmien hallinta Graph-ohjelmointirajapinnan kautta.

Defender for Identityn julkaisu 2.232

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.231

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

helmikuu 2024

Defender for Identityn julkaisu 2.230

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Uusi suojausasentoarviointi suojaamattoman AD CS IIS -päätepisteen määritykselle

Defender for Identity on lisännyt uuden Suojaamattoman ADCS-varmenteen rekisteröinnin IIS-päätepisteiden (ESC8) suosituksen Microsoft Secure Score -kohtaan.

Active Directory -varmennepalvelut (AD CS) tukevat varmenteen rekisteröintiä erilaisilla menetelmillä ja protokollilla, mukaan lukien rekisteröityminen HTTP:n kautta Certificate Enrollment Servicen (CES) tai Certsrv-liittymän (Web Enrollment Interface) avulla. CES- tai Certsrv IIS -päätepisteiden epävarmat määritykset saattavat aiheuttaa haavoittuvuuksia välityshyökkäyksille (ESC8).

Uusi Muokkaa suojaamattoman ADCS-varmenteen rekisteröinnin IIS-päätepisteitä (ESC8) -suositus lisätään muihin äskettäin julkaistuihin AD CS :hen liittyviin suosituksiin. Yhdessä nämä arvioinnit tarjoavat suojausasenteisia raportteja, jotka näyttävät suojausongelmia ja vakavia virheellisiä määrityksiä, jotka lähettävät riskejä koko organisaatiolle, sekä liittyviä tunnistuksia.

Lisätietoja on seuraavissa artikkeleissa:

• Suojauksen arviointi: Muokkaa suojaamattomia ADCS-varmenteen rekisteröinnin IIS-päätepisteitä (ESC8)
• AD CS -tunnistimien suojausasenteiden arvioinnit
• Microsoft Defender for Identity suojausasennon arvioinnit

Defender for Identityn julkaisu 2.229

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Parannettu käyttökokemus ilmoitusten raja-arvojen säätämistä varten (esikatselu)

Defender for Identityn Lisäasetukset-sivu on nyt nimetty uudelleen muokkaamaan ilmoitusten raja-arvoja . Se tarjoaa päivitetyn käyttökokemuksen ja entistä joustavamman ilmoituksen raja-arvojen säätämiseen.

Muutoksia ovat muun muassa seuraavat:

• Olemme poistaneet edellisen Poista oppimisjakso - vaihtoehdon ja lisänneet uuden Suositellut testitila - vaihtoehdon. Valitse Suositeltu testitila , jos haluat määrittää kaikille raja-arvoille Pieni, suurenna ilmoitusten määrää ja määritä kaikki muut raja-arvot vain luku -tasoksi.

• Edellinen Luottamuksellisuustaso-sarake nimetään nyt uudelleen Kynnysarvo-tasoksi, jossa on äskettäin määritetyt arvot. Oletusarvon mukaan kaikkien ilmoitusten kynnysarvoksi määritetään Suuri , mikä edustaa oletustoimintaa ja vakioilmoitusmäärityksiä.

Seuraavassa taulukossa on lueteltu edellisten Luottamuksellisuustaso-arvojen ja uusien Raja-arvotasojen väliset yhdistämismääritykset:

Luottamuksellisuustaso (aiempi nimi)	Raja-arvotaso (uusi nimi)
Normaali	Korkea
Normaali	Normaali
Korkea	Matala

Jos lisäasetukset-sivulla on määritetty tietyt arvot, ne on siirretty uudelle Säädä ilmoituksen raja-arvoja -sivulle seuraavasti:

Lisäasetusten sivun määritykset	Uusi Säädä ilmoituksen raja-arvoja -sivun määritys
Poista oppimisjakso käytössä	Suositeltu testitila poistettiin käytöstä. Ilmoituksen raja-arvon määritysasetukset pysyvät samoina.
Pois käytöstä poistettu oppimisjakso	Suositeltu testitila poistettiin käytöstä. Ilmoituksen raja-arvon määritysasetukset palautetaan oletusarvoihinsa , ja niiden kynnysarvo on suuri.

Ilmoitukset käynnistetään aina heti, jos Suositeltu testitila -asetus on valittuna tai raja-arvoksi on määritetty Keskikoko tai Pieni riippumatta siitä, onko hälytyksen oppimisjakso jo suoritettu.

Lisätietoja on kohdassa Ilmoitusten raja-arvojen säätäminen.

Laitteen tietosivut sisältävät nyt laitteen kuvaukset (esikatselu)

Microsoft Defender XDR sisältää nyt laitteen kuvaukset laitteen tietoruuduissa ja laitteen tietosivuilla. Kuvaukset täytetään laitteen Active Directory Description -määritteestä.

Esimerkiksi laitteen tietojen sivuruudussa:

Lisätietoja on kohdassa Epäilyttävien laitteiden tutkintavaiheet.

Defender for Identityn julkaisu 2.228

Tämä versio sisältää pilvipalveluiden sekä Defender for Identity -tunnistimen parannukset ja virheenkorjaukset sekä seuraavat uudet hälytykset:

• Tilin luettelointitietotieto (LDAP) (ulkoinen tunnus 2437) (esikatselu)
• Hakemistopalvelujen palautustilan salasanan vaihtaminen (ulkoinen tunnus 2438) (esikatselu)

Tammikuu 2024

Defender for Identityn julkaisu 2.227

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Aikajana-välilehti lisätty ryhmän entiteeteille

Nyt voit tarkastella Active Directory -ryhmän entiteettiin liittyviä toimintoja ja ilmoituksia viimeisten 180 päivän ajalta Microsoft Defender XDR, kuten ryhmän jäsenyyden muutoksia, LDAP-kyselyitä ja niin edelleen.

Voit käyttää ryhmän aikajanasivua valitsemalla Avaa aikajana ryhmän tiedot -ruudussa.

Esimerkki:

Lisätietoja on kohdassa Epäilyttävien ryhmien tutkintavaiheet.

Defender for Identity -ympäristön määrittäminen ja vahvistaminen PowerShellin kautta

Defender for Identity tukee nyt uutta DefenderForIdentity PowerShell -moduulia, jonka avulla voit määrittää ja vahvistaa ympäristösi Microsoft Defender for Identity kanssa työskentelyä varten.

PowerShell-komentojen avulla vältät virheelliset määritykset ja säästät aikaa ja vältät tarpeettoman kuormituksen järjestelmässäsi.

Seuraavat menettelyt on lisätty Defender for Identity -dokumentaatioon, jotta voit käyttää uusia PowerShell-komentoja:

• Muuta välityspalvelimen määrityksiä PowerShellin avulla
• Valvontakäytäntöjen määrittäminen, hakeminen ja testaaminen PowerShellin avulla
• Nykyisiä määrityksiä sisältävän raportin luominen PowerShellin kautta
• DSA-käyttöoikeuksien ja -delegoinnien testaaminen PowerShellin kautta
• Palveluyhteyden testaaminen PowerShellin avulla

Lisätietoja on seuraavissa artikkeleissa:

• DefenderForIdentity PowerShell -moduuli (PowerShell-valikoima)
• DefenderForIdentity PowerShell -viitedokumentaatio

Defender for Identityn julkaisu 2.226

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.225

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Joulukuu 2023

Huomautus

Jos näet pienemmän määrän etäkoodin suoritusyritysten ilmoituksia, tutustu päivitettyihin syyskuun ilmoituksiin, jotka sisältävät päivityksen Defender for Identity Detection -logiikkaan. Defender for Identity jatkaa koodin etäsuorittamisen toimien tallentamista aiempaan tapaan.

Microsoft 365 Defenderin uusi Käyttäjätiedot-alue ja koontinäyttö (esikatselu)

Defender for Identity -asiakkailla on nyt uusi Käyttäjätiedot-alue Microsoft 365 Defenderissä, jossa on tietoja käyttäjätietojen suojauksesta Defender for Identityn avulla.

Valitse Microsoft 365 Defenderissä Käyttäjätiedot , jotta näet kaikki seuraavista uusista sivuista:

• Koontinäyttö: Tällä sivulla näkyvät kaaviot ja pienoissovellukset, joiden avulla voit valvoa käyttäjätietojen uhkien tunnistamista ja reagointia.  Esimerkki:

  

  Lisätietoja on artikkelissa Defender for Identityn ITDR-koontinäytön käyttö.

• Kunto-ongelmat: Tämä sivu siirretään Asetukset-käyttäjätiedot-alueelta>, ja siinä luetellaan yleisen Defender for Identity -käyttöönoton nykyiset kunto-ongelmat ja tietyt tunnistimet. Lisätietoja on artikkelissa Microsoft Defender for Identity tunnistimen kunto-ongelmat.

• Työkalut: Tämä sivu sisältää linkkejä hyödyllisiin tietoihin ja resursseihin, kun työskentelet Defender for Identityn kanssa. Tältä sivulta löydät linkkejä dokumentaatioon, erityisesti kapasiteetin suunnittelutyökaluun ja Test-MdiReadiness.ps1 komentosarjaan.

Defender for Identityn julkaisu 2.224

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

AD CS -tunnistimien suojausasenteiden arvioinnit (esikatselu)

Defender for Identityn suojausasenteiden arvioinnit tunnistavat ja suosittelevat ennakoivasti toimintoja koko paikallinen Active Directory kokoonpanossasi.

Suositeltuihin toimiin kuuluvat nyt seuraavat uudet suojausasenteiden arvioinnit erityisesti varmennemalleille ja varmenneviranomaisille.

• Varmennemallien suositellut toiminnot:

  • Estä käyttäjiä pyytämästä varmennetta, joka on kelvollinen mielivaltaisille käyttäjille varmennemallin (ESC1) perusteella
  • Muokkaa liikaa sallivaa varmennemallia etuoikeutetulla EKU:lla (mikä tahansa käyttötarkoitus EKU tai ei EKU:ta) (ESC2)
  • Väärin määritetty rekisteröintiagentin varmennemalli (ESC3)
  • Väärin määritettyjen varmennemallien käyttöoikeussopimuksen muokkaaminen (ESC4)
  • Muokkaa väärin määritettyjen varmennemallien omistajaa (ESC4)

• Varmenteen myöntäjän suosittelemat toimet:

  • Muokkaa haavoittuvassa asemassa olevaa varmenteiden myöntäjän asetusta (ESC6)
  • Muokkaa väärin määritettyä varmenteiden myöntäjän käyttöoikeusaluetta (ESC7)
  • Pakota RPC-varmenteen rekisteröintiliittymän salaus (ESC11)

Uudet arvioinnit ovat saatavilla Microsoftin suojatuissa pisteissä, joissa on suojausongelmia ja vakavia virheellisiä määrityksiä, jotka aiheuttavat riskejä koko organisaatiolle tunnistusten lisäksi. Pisteytyksesi päivittyy vastaavasti.

Esimerkki:

Lisätietoja on Microsoft Defender for Identity suojausasennon arvioinneissa.

Huomautus

Vaikka varmennemallien arvioinnit ovat kaikkien niiden asiakkaiden käytettävissä, joiden ympäristöön on asennettu AD CS, varmenneviranomaisen arvioinnit ovat vain niiden asiakkaiden käytettävissä, jotka ovat asentaneet tunnistimen AD CS -palvelimeen. Lisätietoja on artikkelissa Active Directory -varmennepalvelujen (AD CS) uusi tunnistintyyppi.

Defender for Identityn julkaisu 2.223

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.222

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.221

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Marraskuu 2023

Defender for Identityn julkaisu 2.220

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.219

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Käyttäjätietojen aikajana sisältää yli 30 päivän tiedot (esikatselu)

Defender for Identity on vähitellen ottamassa käyttöön laajennettuja tietojen säilytystietoja käyttäjätietojen osalta yli 30 päivään.

Käyttäjätietojen tiedot -sivun Aikajana-välilehti, joka sisältää Defender for Identityn, Microsoft Defender for Cloud Apps ja Microsoft Defender for Endpoint toimintoja, sisältää tällä hetkellä vähintään 150 päivää ja kasvaa. Tietojen säilytysasteet voivat olla jonkin verran erilaisia seuraavien viikkojen aikana.

Jos haluat tarkastella toimintoja ja ilmoituksia käyttäjätietojen aikajanalla tietyllä aikavälillä, valitse oletusarvoinen 30 päivää ja valitse sitten Mukautettu alue. Yli 30 päivää sitten suodatetut tiedot näytetään enintään seitsemän päivää kerrallaan.

Esimerkki:

Lisätietoja on kohdassa Resurssien tutkiminen ja Käyttäjien tutkiminen Microsoft Defender XDR.

Defender for Identityn julkaisu 2.218

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Lokakuu 2023

Defender for Identityn julkaisu 2.217

Tämä versio sisältää seuraavat parannukset:

• Yhteenvetoraportti: Yhteenvetoraportti on päivitetty sisältämään kaksi uutta saraketta Kunto-ongelmat-välilehdessä :

  • Tiedot: Lisätietoja ongelmasta, kuten luettelo kohteista, joihin ongelma vaikuttaa, tai tietyt tunnistimet, joissa ongelma ilmenee.
  • Suositukset: Luettelo suositelluista toimista, joihin voidaan ryhtyä ongelman ratkaisemiseksi tai ongelman tutkimiseksi tarkemmin.

  Lisätietoja on artikkelissa Defenderin lataaminen ja ajoittaminen käyttäjätietoraporteille Microsoft Defender XDR (esikatselu) -versiossa.

• Kunto-ongelmat: Lisätty Poista oppimisjakso -valitsin poistettiin automaattisesti käytöstä tässä vuokraajan kunto-ongelmassa

Tämä versio sisältää myös pilvipalvelujen virheenkorjauksia ja Defender for Identity -tunnistimen.

Defender for Identityn julkaisu 2.216

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Syyskuu 2023

Etäkoodin suoritusyritysten ilmoitusten määrä on pienentynyt

Jotta Defenderin tiedot voidaan tasata paremmin käyttäjätietojen ja Microsoft Defender for Endpoint ilmoitusten osalta, päivitimme Defender for Identity Remote -koodin suoritusyrityksen tunnistuslogiikan.

Vaikka tämä muutos johtaa pienentyneeseen määrään etäkoodin suoritusyritysten ilmoituksia, Defender for Identity tallentaa edelleen koodin etäsuorittamisen toimintoja. Asiakkaat voivat edelleen luoda omia kehittyneitä metsästyskyselyitä ja luoda mukautettuja tunnistuskäytäntöjä.

Ilmoitusten luottamuksellisuusasetukset ja oppimisjakson parannukset

Jotkin Defender for Identity -hälytykset odottavat oppimisjaksoa ennen ilmoitusten käynnistämistä ja samalla rakentavat malliprofiilin, jota käytetään, kun tehdään ero laillisen ja epäilyttävän toiminnan välillä.

Defender for Identity tarjoaa nyt seuraavia parannuksia oppimisjaksokokemukseen:

• Järjestelmänvalvojat voivat nyt käyttää Poista oppimisjakso -asetusta tiettyjen ilmoitusten luottamuksellisuusasetusten määrittämiseen. Määritä luottamuksellisuus normaaliksi , jos haluat määrittää Poista oppimisjakso - asetukseksi Ei käytössä valitulle ilmoitustyypille.

• Kun otat uuden tunnistimen käyttöön uudessa Defender for Identity -työtilassa, Poista oppimisaika - asetus otetaan automaattisesti käyttöön 30 päivän ajan. Kun 30 päivää on valmis, Poista oppimisjakso -asetus poistetaan automaattisesti käytöstä ja ilmoitusten luottamuksellisuustasot palautetaan niiden oletustoimintoon.

  Jos haluat Defender for Identityn käyttävän normaalia oppimisjaksotoimintoa, jossa ilmoituksia ei luoda ennen kuin oppimisjakso on valmis, määritä Poista oppimisjaksot -asetukseksi Ei käytössä.

Jos olet aiemmin päivittänyt Poista oppimisjakso -asetuksen, asetus pysyy sellaisena kuin olet määrittänyt sen.

Lisätietoja on aiheessa Advanced settings.

Huomautus

Lisäasetukset-sivu alun perin luetteli Tilin luettelointi -tietopyyntöilmoituksenPoista oppimisaika -asetuksissa luottamuksellisuusasetusten määrityksessä. Tämä ilmoitus poistettiin luettelosta, ja se korvataan suojauspäänimitietoilmoituksella (LDAP ). Tämä käyttöliittymävirhe korjattiin marraskuussa 2023.

Defender for Identityn julkaisu 2.215

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identity -raportit siirretty Raportit-pääalueelle

Nyt voit käyttää Defender for Identity -raportteja Microsoft Defender XDR Pääraportit-alueeltaAsetukset-alueen sijaan. Esimerkki:

Lisätietoja on artikkelissa Defenderin lataaminen ja ajoittaminen käyttäjätietoraporteille Microsoft Defender XDR (esikatselu) -versiossa.

Ryhmien metsästyspainike Microsoft Defender XDR

Defender for Identity lisäsi Ryhmien Go hunt -painikkeen Microsoft Defender XDR. Käyttäjät voivat käyttää Go hunt -painiketta kyselyyn ryhmään liittyvistä toiminnoista ja hälytyksistä tutkinnan aikana.

Esimerkki:

Lisätietoja on kohdassa Entiteettien tai tapahtumien tietojen nopea etsiminen go huntilla.

Defender for Identityn julkaisu 2.214

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Suorituskyvyn parannukset

Defender for Identity teki sisäisiä parannuksia viivettä, vakautta ja suorituskykyä varten siirtäessään reaaliaikaisia tapahtumia Defender for Identity -palveluista Microsoft Defender XDR. Asiakkaiden ei pitäisi odottaa viiveitä Defender for Identity -tiedoissa, jotka näkyvät Microsoft Defender XDR, kuten hälytyksiä tai lisämetsästyksen toimintoja.

Lisätietoja on seuraavissa artikkeleissa:

• suojaushälytykset Microsoft Defender for Identity
• Microsoft Defender for Identity suojausasennon arvioinnit
• Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR

Elokuu 2023

Defender for Identityn julkaisu 2.213

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.212

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Defender for Identityn julkaisu 2.211

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Uusi anturityyppi Active Directory -varmennepalveluille (AD CS)

Defender for Identity tukee nyt uutta ADCS-tunnistintyyppiä erilliselle palvelimelle, jolle on määritetty Active Directory Certificate Services (AD CS).

Näet uuden tunnistintyypin, joka tunnistetaan Microsoft Defender XDR Asetusten > käyttäjätietojen > tunnistimet -sivulla. Lisätietoja on kohdassa Microsoft Defender for Identity tunnistimien hallinta ja päivittäminen.

Yhdessä uuden anturityypin kanssa Defender for Identity tarjoaa nyt myös aiheeseen liittyviä AD CS -hälytyksiä ja secure score -raportteja. Jos haluat tarkastella uusia ilmoituksia ja suojauspisteytysraportteja, varmista, että pakolliset tapahtumat kerätään ja kirjataan palvelimeen. Lisätietoja on kohdassa Active Directory Certificate Services (AD CS) -tapahtumien valvonnan määrittäminen.

AD CS on Windows Server rooli, joka antaa yleisen avaimen infrastruktuurin (PKI) varmenteita suojatussa viestintä- ja todennusprotokollassa ja hallitsee sitä. Lisätietoja on artikkelissa Mikä on Active Directory -varmennepalvelut?

Defender for Identityn julkaisu 2.210

Tämä versio sisältää parannuksia ja virheenkorjauksia pilvipalveluihin ja Defender for Identity -tunnistimeen.

Seuraavat vaiheet

• Mikä on Microsoft Defender for Identity?

• Usein kysytyt kysymykset

• Defender for Identityn edellytykset

• Defender for Identityn kapasiteetin suunnittelu

• Tutustu Defender for Identity -keskustelupalstalle!