Microsoft Defender for Identity の新機能
この記事は、Microsoft Defender for Identity の最新リリースの新機能がわかるように頻繁に更新されます。
新しい領域と参照情報
Defender for Identity のリリースは、お客様のテナント間で徐々にデプロイされます。 テナントでまだ表示されていない機能がここに記載されている場合は、後で更新プログラムをチェックしてください。
詳細については、次のトピックも参照してください。
- Microsoft Defender XDR の新機能
- Microsoft Defender for Endpoint の新機能
- Microsoft Defender for Cloud Apps の新機能
6 か月前以前にリリースされたバージョンと機能に関する更新情報については、Microsoft Defender for Identity の新機能の公開履歴を参照してください。
2024 年 10 月
MDI は、新しい 10 個の ID 体制に関する推奨事項 (プレビュー) で対象範囲を拡大しています
新しい ID セキュリティ体制評価 (ISPM) は、お客様が弱点を監視することで構成ミスを監視し、オンプレミス インフラストラクチャに対する潜在的な攻撃のリスクを軽減するのに役立ちます。
Microsoft Secure Score の一部としてのこれらの新しい ID のレコメンデーションは、Active Directory インフラストラクチャとグループ ポリシー オブジェクトに関連する新しいセキュリティ体制レポートです。
さらに、[偽装を防ぐためにセキュリティで保護されていない Kerberos 委任を変更する] という既存のレコメンデーションを更新し、特権サービスへのプロトコル移行による Kerberos の制約付き委任の表示を含めます。
2024 年 8 月
新しい Microsoft Entra Connect センサー:
ハイブリッド ID 環境で Microsoft Defender for Identity カバレッジを強化するための継続的な取り組みの一環として、Microsoft Entra Connect サーバー用の新しいセンサーが導入されました。 さらに、Microsoft Entra Connect 専用の新しいハイブリッド セキュリティ検出と新しい ID 体制に関する推奨事項がリリースされ、お客様の保護を維持し、潜在的なリスクを軽減できます。
新しい Microsoft Entra Connect ID ポスチャ レコメンデーション:
- Microsoft Entra Connect コネクタ アカウントのパスワードをローテーションする
- 侵害された Microsoft Entra Connect コネクター アカウント (一般的に MSOL_XXXXXXXX と表示される AD DS コネクター アカウント) は、レプリケーションやパスワード リセットなどの高特権機能へのアクセスを許可できます。これにより、攻撃者は同期設定を変更し、クラウドとオンプレミスの両方の環境でセキュリティを侵害したり、ドメイン全体を侵害するための複数のパスを提供したりできます。 この評価では、パスワードが最後に設定されてから 90 日以上経っている MSOL アカウントのパスワードを変更することをお客様にお勧めします。 詳細については、こちらをクリックしてください。
- Microsoft Entra Connect アカウントの不要なレプリケーション アクセス許可を削除する
- 既定では、Microsoft Entra Connect コネクター アカウントには、(実際には必要ない場合でも) 適切な同期を確保するための広範なアクセス許可があります。 パスワード ハッシュ同期が構成されていない場合は、潜在的な攻撃対象領域を小さくするために、不要なアクセス許可を削除することが重要です。 詳細については、こちらをクリックしてください
- Microsoft Entra シームレス SSO アカウント構成のパスワードを変更する
- このレポートには、パスワードが最後に設定されてから 90 日以上が経過しているすべての Microsoft Entra シームレス SSO コンピューター アカウントが一覧表示されます。 Azure SSO コンピューター アカウントのパスワードが 30 日ごとに自動的に変更されることはありません。 攻撃者がこのアカウントを侵害すると、ユーザーに代わって AZUREADSSOACC アカウントのサービス チケットを生成し、Active Directory から同期される Microsoft Entra テナント内のユーザーになりすますことができます。 攻撃者はこれを使用して、Active Directory から Microsoft Entra ID に横断的に移動できます。 詳細については、こちらをクリックしてください。
新しい Microsoft Entra Connect 検出:
- Microsoft Entra Connect サーバーへの疑わしい対話型ログオン
- Microsoft Entra Connect サーバーへの直接ログインは非常に珍しく、悪意がある可能性があります。 攻撃者は多くの場合、これらのサーバーを標的にして、より広範なネットワーク アクセスのために資格情報を盗みます。 Microsoft Defender for Identity では、Microsoft Entra Connect サーバーへの異常なログインを検出できるようになりました。これにより、これらの潜在的な脅威をより迅速に特定して対応できます。 これは、Microsoft Entra Connect サーバーがスタンドアロン サーバーであり、ドメイン コントローラーとして動作していない場合に特に当てはまります。
- Microsoft Entra Connect アカウントによるユーザー パスワードのリセット
- Microsoft Entra Connect コネクター アカウントは多くの場合、ユーザーのパスワードをリセットできるなど、高い特権を持っています。 Microsoft Defender for Identity では、これらのアクションを可視化し、悪意のある不当なアクセス許可として識別されたアクセス許可の使用状況を検出するようになりました。 パスワード ライトバック機能が無効になっている場合にのみこのアラートがトリガーされます。
- 機密性の高いユーザーに対する Microsoft Entra Connect による疑わしいライトバック
- Microsoft Entra Connect では特権グループ内のユーザーのライトバックが以前から禁止されていますが、Microsoft Defender for Identity では、特定する機密性の高いアカウントの種類を増やすことで、この保護機能が拡張されています。 この強化された検出は、重要なアカウントでの不正なパスワード リセットを防ぐのに役立ちます。不正なパスワード リセットは、クラウド環境とオンプレミス環境の両方を対象とする高度な攻撃の重要なステップになる可能性があります。
その他の機能改善と機能:
- 機密性の高いアカウントでのパスワード リセットの失敗に関する新しいアクティビティが高度な追求の IdentityDirectoryEvents テーブルで使用できます。 これは、お客様がパスワード リセットの失敗イベントを追跡し、このデータに基づいてカスタム検出を作成するのに役立ちます。
- DC 同期攻撃検出の精度が向上しました。
- センサーが Microsoft Entra Connect サービスから構成を取得できない場合の新しい正常性の問題。
- Microsoft Entra Connect サーバーで新しいセンサーを有効にすることで、PowerShell Remote Execution Detector などのセキュリティ アラートの監視を拡張しました。
DefenderForIdentity PowerShell モジュールを更新
DefenderForIdentity PowerShell モジュールが更新され、新機能の追加とバグ修正が行われました。 主な機能強化は次のとおりです。
- 新しい
New-MDIDSAコマンドレット: グループ管理サービス アカウント (gMSA) の既定の設定と、標準アカウントを作成するオプションにより、サービス アカウントの作成が簡素化されます。 - PDCe の自動検出: ほとんどの Active Directory 操作で自動的にプライマリ ドメイン コントローラー エミュレーター (PDCe) をターゲットにすることで、グループ ポリシー オブジェクト (GPO) の作成の信頼性を向上させています。
- ドメイン コントローラーの手動ターゲット設定:
Get/Set/Test-MDIConfigurationコマンドレットの新しいサーバー パラメーターで、PDCe の代わりにターゲットにするドメイン コントローラーを指定できるようになりました。
詳細については、以下を参照してください:
- DefenderForIdentity PowerShell モジュール (PowerShell ギャラリー)
- DefenderForIdentity PowerShell リファレンス ドキュメント
2024 年 7 月
パブリック プレビューでは、6 つの新しい検出が追加されています。
- NetSync 攻撃の可能性
- NetSync は、ポストエクスプロイト ツールである Mimikatz のモジュールです。ドメイン コントローラーを装ってターゲット デバイスに対するパスワードのパスワード ハッシュを要求します。 攻撃者は、この機能を利用してネットワーク内で悪意のある活動を実行し、組織のリソースにアクセスする可能性があります。
- Microsoft Entra シームレス SSO アカウントの乗っ取りの可能性
- Microsoft Entra シームレス SSO (シングル サインオン) アカウント オブジェクト AZUREADSSOACC に対し、不審な変更が行われた可能性を示します。 攻撃者は、オンプレミス環境からクラウドへのラテラル ムーブメントによって侵害を拡大している可能性があります。
- 不審な LDAP クエリ
- 既知の攻撃ツールに関連付けられた、不審な Lightweight Directory Access Protocol (LDAP) クエリが検出されたことを示します。 攻撃者は、後で行う行動のために偵察を行っている可能性があります。
- ユーザーに追加された不審な SPN
- 機密性の高いユーザーに不審なサービス プリンシパル名 (SPN) が追加されたことを示します。 攻撃者は組織内でラテラル ムーブメントによって侵害を拡大するために、昇格されたアクセス権を取得しようとしている可能性があります
- ESXi グループの不審な作成
- ドメインに、不審な VMWare ESXi グループが作成されたことを示します。 攻撃者は、後の段階の攻撃のために、より高い権限を取得しようとしている可能性があります。
- 不審な ADFS 認証
- ドメインに参加しているアカウントが、不審な IP アドレスから Active Directory フェデレーション サービス (ADFS) を使用してサインインしたことを示します。 攻撃者がユーザーの資格情報を不正に取得し、それを使用して組織内でラテラル ムーブメントによって侵害を拡大している可能性があります。
Defender for Identity リリース 2.238
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2024 年 6 月
ITDR ダッシュボードからユーザー情報を簡単に検索
Shield ウィジェットでは、ハイブリッド環境、クラウド環境、オンプレミス環境のユーザー数の概要をすばやく確認できます。 この機能には高度な追求プラットフォームへの直接リンクが含まれるようになったため、詳細なユーザー情報を簡単に確認できます。
ITDR デプロイ正常性ウィジェットに Microsoft Entra 条件付きアクセスと Microsoft Entra プライベート アクセスを追加
Microsoft Entra ワークロード条件付きアクセス、Microsoft Entra ユーザー条件付きアクセス、Microsoft Entra プライベート アクセスのライセンスの使用状況を確認できるようになりました。
Defender for Identity リリース 2.237
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2024 年 5 月
Defender for Identity リリース 2.236
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.235
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2024 年 4 月
CVE-2024-21427 Windows Kerberos のセキュリティ機能バイパスの脆弱性を簡単に検出する
お客様がこの脆弱性に従ってセキュリティ プロトコルをバイパスしようとする試みをより適切に特定して検出できるよう、Kerberos AS 認証を監視する新しいアクティビティを Advanced Hunting 内に追加しました。
このデータを使用すると、Microsoft Defender XDR 内に独自のカスタム検出ルールを簡単に作成し、この種類のアクティビティのアラートを自動的にトリガーできるようになりました
Defender XDR ポータルにアクセスする ->ハンティング -> ハンティングの詳細。
次に示すように、推奨されるクエリをコピーし、[検出ルールの作成] をクリックします。 提供されているクエリでは、失敗したログオン試行も追跡され、潜在的な攻撃とは無関係の情報が生成される可能性があることに注意してください。 そのため、特定の要件に合わせてクエリを自由にカスタマイズすることができます。
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity リリース 2.234
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.233
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2024 年 3 月
Defender for Identity 設定を表示するための新しい読み取り専用のアクセス許可
Defender for Identity 設定を表示するための読み取り専用のアクセス許可を持つ Defender for Identity ユーザーを構成できるようになりました。
詳細については、「Microsoft Defender XDR の Microsoft Defender for Identity に要求されるアクセス許可」を参照してください。
正常性の問題を表示および管理するための新しいグラフ ベース API
Graph API を通じて、Microsoft Defender for Identity の正常性に関する問題を表示および管理できるようになりました
詳細については、Graph API を通じて正常性に関する問題を管理する方法を参照してください。
Defender for Identity リリース 2.232
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.231
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2024 年 2 月
Defender for Identity リリース 2.230
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
セキュリティで保護されていない AD CS IIS エンドポイント構成の新しいセキュリティ態勢評価
Defender for Identity では、Microsoft セキュア スコアの新しいレコメンデーションとして "セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集 (ESC8)" が追加されました。
Active Directory 証明書サービス (AD CS) では、証明書登録サービス (CES) または Web 登録インターフェイス (Certsrv) を使用した HTTP 経由の登録など、さまざまな方法とプロトコルによる証明書の登録がサポートされています。 CES または Certsrv IIS エンドポイントのセキュリティで保護されていない構成では、リレー攻撃に対する脆弱性 (ESC8) が発生する可能性があります。
最近リリースされた他の AD CS 関連のレコメンデーションには、"セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集 (ESC8)" という新しいレコメンデーションが追加されています。 これらの評価の組み合わせにより、組織全体のリスクにつながるセキュリティの問題や重大な構成ミスを関連する検出事項と共に示したセキュリティ態勢レポートを得ることができます。
詳細については、以下を参照してください:
- セキュリティ評価: セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集 (ESC8)
- AD CS センサーのセキュリティ態勢評価
- Microsoft Defender for Identity のセキュリティ態勢評価
Defender for Identity リリース 2.229
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
アラートのしきい値を調整するために強化されたユーザー エクスペリエンス (プレビュー)
Defender for Identity の [詳細設定] ページの名前が [アラートのしきい値の調整] に変更され、アラートのしきい値を調整するための柔軟性が向上した更新されたエクスペリエンスが提供されます。
![新しい [アラートのしきい値の調整] ページのスクリーンショット。](media/whats-new/adjust-alert-thresholds.png#lightbox)
変更内容:
以前の [学習期間の削除] オプションは削除され、新しく [推奨テスト モード] オプションが追加されました。 [推奨テスト モード] を選択して、すべてのしきい値レベルを [低] に設定し、アラートの数を増やして他のすべてのしきい値レベルと読み取り専用に設定します。
以前の [感度レベル] 列の名前が [しきい値レベル] に変更され、新しい値が定義されました。 既定では、すべてのアラートは、既定の動作と標準のアラート構成を表し [高い] しきい値に設定されます。
次の表は、以前の感度レベル値と新しいしきい値レベルの間のマッピングを示しています。
| 感度レベル (前の名前) | しきい値レベル (新しい名前) |
|---|---|
| Normal | 高 |
| Medium | Medium |
| 高 | 低 |
[詳細設定] ページで特定の値が定義されている場合は、次のように新しい [アラートしきい値の調整] ページに値が転送されました。
| 詳細設定ページの構成 | 新しいアラートしきい値の調整ページの構成 |
|---|---|
| 学習期間の削除 をオンに切り替えて | 推奨テスト モード をオフに切り替えます。 アラートしきい値の構成設定は変わりません。 |
| 学習期間の削除 をオフに切り替えて | 推奨テスト モード をオフに切り替えます。 アラートしきい値の構成設定は、すべて高い しきい値レベルの既定値にリセットされます。 |
[推奨テスト モード] オプションが選択されている場合、またはしきい値レベルが [中] または [低] に設定されている場合、アラートの学習期間が既に完了しているかどうかに関係なく、アラートは常に直ちにトリガーされます。
詳細については、「アラートのしきい値を調整する」を参照してください。
デバイスの詳細ページに、デバイスの説明が含まれるようになりました (プレビュー)
Microsoft Defender XDR に、デバイスの詳細ペインとデバイスの詳細ページにデバイスの説明が含まれるようになりました。 説明は、デバイスの Active Directory Description の 説明 属性から設定されます。
たとえば、デバイスの詳細のサイド ペインでは次のようになります。
![デバイスの詳細ウィンドウの新しい [デバイスの説明] フィールドのスクリーンショット。](media/whats-new/device-description.png#lightbox)
詳細については、「疑わしいデバイスの調査手順」を参照してください。
Defender for Identity リリース 2.228
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正に加え、次の新しいアラートが含まれています。
2024 年 1 月
Defender for Identity リリース 2.227
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
グループ エンティティ用に追加された [タイムライン] タブ
グループ メンバーシップの変更、LDAP クエリなど、Microsoft Defender XDR で過去 180 日間の Active Directory グループ エンティティ関連のアクティビティとアラートを表示できるようになりました。
[グループ タイムライン] ページにアクセスするには、[グループの詳細] ペインで [タイムラインを開く] を選択します。
次に例を示します。
![グループ エンティティの詳細ウィンドウの [タイムラインを開く] ボタンのスクリーンショット。](media/whats-new/group-timeline.png#lightbox)
詳細については、「疑わしいグループの調査手順」を参照してください。
PowerShell を使用して Defender for Identity 環境を構成して検証する
Defender for Identity では、新しい DefenderForIdentity PowerShell モジュールがサポートされるようになりました。これは、Microsoft Defender for Identity と連携するための環境の構成と検証に役立ちます。
PowerShell コマンドを使用して、構成の誤りを回避し、時間を節約し、システムの不要な負荷を回避します。
新しい PowerShell コマンドの使用に役立つ次の手順を Defender for Identity ドキュメントに追加しました。
- PowerShell を使用してプロキシ構成を変更する
- PowerShell を使用して監査ポリシーを構成、取得、テストする
- PowerShell を使用して現在の構成でレポートを生成する
- PowerShell を使用して DSA のアクセス許可と委任をテストする
- PowerShell を使用してサービス接続をテストする
詳細については、以下を参照してください:
- DefenderForIdentity PowerShell モジュール (PowerShell ギャラリー)
- DefenderForIdentity PowerShell リファレンス ドキュメント
Defender for Identity リリース 2.226
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.225
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2023 年 12 月
Note
リモート コード実行の試行アラート数が減少している場合は、Defender for Identity 検出ロジックの更新を含む、更新された 9 月のお知らせを参照してください。 Defender for Identity は、以前と同様にリモート コード実行のアクティビティを記録し続けます。
Microsoft 365 Defender の新しい ID 領域とダッシュボード (プレビュー)
Defender for Identity のお客様は、Defender for Identity での ID セキュリティに関する情報を得るための新しい ID 領域が Microsoft 365 Defender に追加されました。
Microsoft 365 Defender で、[ID] を選択すると、次のいずれかの新しいページが表示されます:
ダッシュボード: このページには、ID の脅威の検出と応答アクティビティの監視に役立つグラフとウィジェットが表示されます。 次に例を示します。
詳細については、「Defender for Identity の ITDR ダッシュボードを走操作する」を参照してください。
正常性の問題: このページは 設定 > ID 領域から移動され、一般的な Defender for Identity の展開と特定のセンサーに関する現在の正常性の問題が一覧表示されます。 詳細については、「Microsoft Defender for Identity センサーの正常性の問題」を参照してください。
ツール: このページには、Defender for Identity を使用する際に役立つ情報とリソースへのリンクが含まれています。 このページでは、特に容量計画ツールと Test-MdiReadiness.ps1 スクリプトに関するドキュメントへのリンクを見つけます。
Defender for Identity リリース 2.224
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
AD CS センサーのセキュリティ態勢評価 (プレビュー)
Defender for Identity の ID セキュリティ態勢評価では、オンプレミスの Active Directory 構成全体でアクションの事前の検出と推奨が行われます。
推奨されるアクションには、次の新しいセキュリティ態勢評価 (特に証明書のテンプレートと証明機関) が含まれるようになりました。
証明書のテンプレートで推奨されるアクション:
証明機関が推奨するアクション:
新しい評価は Microsoft セキュア スコアで利用でき、セキュリティの問題や、組織全体にリスクをもたらす重大な構成の誤りが検出と共に示されます。 それに応じてスコアが更新されます。
次に例を示します。
詳細については、「Microsoft Defender for Identity のセキュリティ態勢評価」を参照してください。
Note
証明書のテンプレートの評価は、AD CS が環境にインストールされているすべてのお客様が利用できます。証明機関の評価は、AD CS サーバーにセンサーをインストールしたお客様のみが利用できます。 詳しくは、「Active Directory 証明書サービス (AD CS) 用の新しいセンサー の種類」を参照してください。
Defender for Identity リリース 2.223
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.222
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.221
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2023 年 11 月
Defender for Identity リリース 2.220
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.219
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
ID タイムラインには 30 日を超えるデータが含まれています (プレビュー)
Defender for Identity では、ID の詳細に対する拡張データ保持期間が徐々に延長されており、30 日を超える予定です。
[ID の詳細] ページ の [タイムライン] タブには、Defender for Identity、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint からのアクティビティが含まれています。現在、少なくとも 150 日のアクティビティが含まれ、増加しています。 今後数週間のデータ保持率には多少の変動がある可能性があります。
特定の時間枠内の ID タイムラインのアクティビティとアラートを表示するには、デフォルトの [30 日間]を選択し、[カスタム範囲] を選択します。 過去 30 日を超えるデータをフィルター検索すると、一度に最大 7 日間表示されます。
次に例を示します。
詳細については、「Microsoft Defender XDR でのアセットの調査とユーザーの調査」を参照してください。
Defender for Identity リリース 2.218
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2023 年 10 月
Defender for Identity リリース 2.217
このバージョンには、次の機能改善が含まれています。
要約レポート: 要約レポートが更新され、[正常性の問題] タブに 2 つの新しい列が追加されました。
- 詳細: 問題発生時に影響を受けるオブジェクトや特定のセンサーの一覧など、問題に関する追加情報。
- おすすめ: 問題を解決するために実行できるおすすめのアクションの一覧、または問題をさらに調査する方法の一覧。
詳細については、「Microsoft Defender XDR で Defender for Identity レポートをダウンロードしてスケジュールする(プレビュー)」を参照してください。
正常性の問題: このテナントの [学習期間の削除] 設定が自動的にオフになる正常性の問題を追加
このバージョンには、クラウド サービスと Defender for Identity センサーのバグ修正が含まれています。
Defender for Identity リリース 2.216
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
2023 年 9 月
リモート コード実行の試行に対するアラート数を減少
Defender for Identity と Microsoft Defender for Endpoint アラートをより適切に調整するために、Defender for Identity の [リモート コード実行の試行] の検出ロジックが更新されました。
この変更により、リモート コード実行の試行アラート数が減少しますが、Defender for Identity はリモート コード実行のアクティビティを記録し続けます。 お客様は引き続き独自の Advanced Hunting クエリを作成し、カスタム検出ポリシーを作成できます。
アラートの感度設定と学習期間に対する機能強化
一部の Defender for Identity アラートでは、アラートがトリガーされる前に学習期間が設けられ、正当なアクティビティと疑わしいアクティビティを区別するときに使用するパターンのプロファイルを構築します。
Defender for Identity では、次のような学習期間エクスペリエンスの機能が強化されています。
管理リストレーターは学習期間の削除設定を使用して、特定のアラートに使用される機密度を設定できます。 機密度を標準として定義し、選択した種類のアラートに対して学習期間の削除設定をオフに設定しています。
新しい Defender for Identity ワークスペースで新しいセンサーをデプロイした後、[学習期間の削除] 設定が 30 日間、自動的に [オン] になります。 30 日が過ぎると、[学習期間の削除] 設定は自動的に [オフ] になり、アラートの感度レベルはデフォルトに戻ります。
Defender for Identity で、学習期間が完了するまでアラートが生成されない標準の学習期間機能を使用するには、学習期間の削除設定をオフに設定します。
以前に学習期間の削除設定を更新した場合、その設定は更新されたとおりに保持されます。
詳細については、「詳細設定」を参照してください。
Note
高度な設定ページには、当初、学習期間の削除オプションの下に、感度設定可能なアカウント列挙攻撃による偵察アラートが一覧表示されました。 このアラートは一覧から削除され、セキュリティ プリンシパルの偵察 (LDAP) アラートに置き換えられました。 このユーザー インターフェイスのバグは、2023 年 11 月に修正されました。
Defender for Identity リリース 2.215
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity レポートが [メイン レポート] 領域に移動しました
これで、Microsoft Defender XDR の [メイン レポート] 領域から Defender for Identity レポートにアクセスできるようになり、[設定] 領域へのアクセスは不要になりました。 次に例を示します。
詳細については、「Microsoft Defender XDR で Defender for Identity レポートをダウンロードしてスケジュールする(プレビュー)」を参照してください。
Microsoft Defender XDR のグループ用 [Go hunt] ボタン
Defender for Identity では、Microsoft Defender XDR のグループ用 [Go hunt] ボタンが追加されました。 [Go hunt] ボタンを使えば、調査中にグループ関連のアクティビティとアラートを照会できます。
次に例を示します。
![グループ詳細ウィンドウの新しい [Go hunt] ボタンのスクリーンショット。](media/whats-new/go-hunt-groups.png)
詳細については、「go hunt を使用してエンティティまたはイベント情報をすばやく検索する」を参照してください。
Defender for Identity リリース 2.214
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
パフォーマンスの向上
Defender for Identity では、Defender for Identity サービスから Microsoft Defender XDR にリアルタイム イベントを転送するときの待機時間、安定性、パフォーマンスに関する内部的な改善が行われました。 Advanced Hunting のアラートやアクティビティなど、Microsoft Defender XDR に表示される Defender for Identity のデータには遅延がないものとなります。
詳細については、以下を参照してください:
- Microsoft Defender for Identity のセキュリティアラート
- Microsoft Defender for Identity のセキュリティ態勢評価
- Microsoft Defender XDR の高度なハンティングで脅威を事前に追求する
2023 年 8 月
Defender for Identity リリース 2.213
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.212
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Defender for Identity リリース 2.211
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。
Active Directory 証明書サービス (AD CS) の新しいセンサーの種類
Defender for Identity では、Active Directory 証明書サービス (AD CS) が構成された専用サーバーの新しい ADCS センサーの種類がサポートされるようになりました。
新しいセンサーの種類は、Microsoft Defender XDR の [設定] > [ID] > [センサー] ページで確認できます。 詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。
Defender for Identity では、新しいセンサーの種類と共に、関連する AD CS アラートと Secure Score レポートも提供されるようになりました。 新しいアラートと Secure Score レポートを表示するには、必要なイベントがサーバー上で収集され、ログに記録されていることを確認してください。 詳しくは、「Active Directory 証明書サービス (AD CS) イベントの監査を構成する」を参照してください。
AD CS は、セキュアな通信プロトコルと認証プロトコルで公開鍵インフラストラクチャ (PKI) 証明書を発行および管理する Windows サーバーのロールです。 詳細については、「Active Directory 証明書サービスとは」を参照してください。
Defender for Identity リリース 2.210
このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。