次の方法で共有


Microsoft Defender for Identity の新機能のアーカイブ

この記事では、6 か月以上前にリリースされたバージョンと機能に関する Microsoft Defender for Identity リリース ノートの一覧を示します。

最新バージョンと機能の詳細については、「Microsoft Defender for Identity の新機能」を参照してください。

Note

2022 年 6 月 15 日より、Microsoft では、Windows Server 2008 R2 を実行しているデバイスで Defender for Identity センサーをサポートしなくなります。 Windows Server 2008 R2 をオペレーティング システムとしてまだ実行している残りのドメイン コントローラー (DC) または AD FS サーバーを特定し、サポートされているオペレーティング システムに更新する計画を立てることをお勧めします。

2022 年 6 月 15 日から 2 か月間は、センサーが引き続き機能します。 この 2 か月の期間後 (2022 年 8 月 15 日以降) は、センサーが Windows Server 2008 R2 プラットフォームで機能しなくなります。 詳しくは、https://aka.ms/mdi/2008r2 をご覧ください

2023 年 7 月

Defender for Identity リリース 2.209

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Microsoft Defender XDR で Active Directory グループを検索する(プレビュー)

Microsoft Defender XDR グローバル検索では、Active Directory グループ名による検索がサポートされるようになりました。 見つかったグループは、別の [グループ] タブの結果に表示されます。検索結果から Active Directory グループを選択すると、次のような詳細が表示されます。

  • Type
  • 範囲
  • [ドメイン]
  • SAM 名
  • SID
  • グループ作成時間
  • グループによる活動が初めて観察された時期
  • 選択したグループを含むグループ
  • グループのすべてのメンバーの一覧

次に例を示します。

Microsoft Defender XDR グローバル検索の [グループ] タブのスクリーンショット。

詳細については、「Microsoft Defender XDR の Microsoft Defender for Identity」を参照してください。

新しいセキュリティ体制レポート

Defender for Identity の ID セキュリティ体制評価では、オンプレミスの Active Directory 構成全体でアクションの事前の検出と推奨が行われます。

Microsoft Secure Score では、次の新しいセキュリティ体制評価が提供されるようになりました。

詳細については、「Microsoft Defender for Identity のセキュリティ体制評価」を参照してください。

従来の Defender for Identity ポータルの自動リダイレクト

Microsoft Defender for Identity ポータルの環境と機能性は、Microsoft の拡張検出および応答 (XDR) プラットフォームである Microsoft Defender XDR に集約されました。 2023 年 7 月 6 日から、従来の Defender for Identity ポータルを使用しているお客様は、Microsoft Defender XDR に自動的にリダイレクトされるようになりました。従来のポータルに戻すことはできません。

詳細については、「ブログ投稿」と「Microsoft Defender XDR の Microsoft Defender for Identity」を参照してください。

Microsoft Defender XDR での Defender for Identity レポートのダウンロードとスケジュール設定(プレビュー)

Microsoft Defender ポータルから定期的な Defender for Identity レポートのダウンロードとスケジュール設定を行い、従来の Defender for Identity ポータルで同等のレポート機能を使用できるようになりました。

Microsoft Defender XDR のレポートのダウンロードとスケジュール設定は [設定] >[ID] >[レポート管理] ページから行えます。 次に例を示します。

[レポート管理] ページのスクリーンショット。

詳細については、「Microsoft Defender XDR での Microsoft Defender for Identity レポート」を参照してください。

Defender for Identity リリース 2.208

  • このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.207

  • このバージョンでは、新しい AccessKeyFile インストール パラメーターが提供されます。 Defender for Identity センサーのサイレント インストール中に AccessKeyFile パラメーターを使用して、指定されたテキスト パスからワークスペース アクセス キーを設定します。 詳細については、「Microsoft Defender for Identity センサーのインストール」を参照してください。

  • このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2023 年 6 月

Defender for Identity リリース 2.206

  • このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

拡張された IdentityInfo テーブルによる Advanced Hunting

  • Defender for Identity がデプロイされているテナントの場合、Microsoft 365 IdentityInfo 高度な追求テーブルには、ID ごとのさらに多くの属性と、オンプレミス環境から Defender for Identity センサーによって検出された ID が含まれるようになりました。

詳細については、「Microsoft Defender XDRに関するAdvanced Huntingのドキュメント」を参照してください。

Defender for Identity リリース 2.205

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2023 年 5 月

強化された Active Directory アカウント制御の主要部

Microsoft Defender XDR Identity> ユーザー詳細ページに、新しい Active Directory アカウント制御データが含まれるようになりました。

ユーザー詳細の [概要] タブで、新しい Active Directory アカウント制御カードが追加され、重要なセキュリティ設定と Active Directory 制御が強調表示されるようになりました。 たとえば、このカードを使えば、特定のユーザーがパスワード要件をバイパスできるか、期限切れのないパスワードを持っているかがわかります。

次に例を示します。

ユーザーの詳細ページの UAC フラグ カードのスクリーンショット。

詳細については、ユーザー アカウント制御属性のドキュメントを参照してください。

Defender for Identity リリース 2.204

リリース日: 2023 年 5 月 29 日

  • VPN (radius) 統合データ インジェスト エラーに関する新しい正常性アラート。 詳細については、「Microsoft Defender for Identity センサーの正常性アラート」を参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.203

リリース日 2023 年 5 月 15 日

Identity のタイムラインの強化

ID の [タイムライン ] タブに、新機能や強化機能が含まれるようになりました。 更新されたタイムラインでは、元のフィルターに加えて、[アクティビティ タイプ]、[プロトコル]、および [場所] フィルターが新たに追加されました。 また、タイムラインを CSV ファイルにエクスポートし、MITRE ATT&CK 手法に関連するアクティビティについての追加情報を見ることもできるようになりました。 詳細については、「Investigate users in Microsoft Defender XDR (Microsoft Defender XDR でのユーザーの調査)」を参照してください。

Microsoft Defender XDR でのアラート チューニング

Microsoft Defender XDR で利用可能になったアラート チューニングを使用すると、アラートを調整して最適化できます。 アラート チューニングにより、擬陽性が抑制され、SOC チームが優先度の高いアラートに集中でき、システム全体の脅威検出範囲が向上します。

Microsoft Defender XDR で、証拠の種類に基づいてルールの条件を作成し、条件に一致するルールの種類にルールを適用します。 詳細については、「アラートを調整する」を参照してください。

2023 年 4 月

Defender for Identity リリース 2.202

リリース日 2023 年 4 月 23 日

  • 正常性アラート」ページで説明されているように、Directory Services 構成コンテナー監査が正しく構成されていることを確認するための新しい正常性アラート。
  • ニュージーランドにマップされた AD テナントの新しいワークスペースは、オーストラリア東部リージョンで作成されます。 リージョン デプロイメントの最新の一覧については、「Defender for Identity コンポーネント」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2023 年 3 月

Defender for Identity リリース 2.201

リリース日 2023 年 3 月 27 日

  • SAM-R honeytoken アラートを無効にする処理を現在行っています。 これらの種類のアカウントにアクセスしたりクエリしたりしないでください。ただし一部のレガシ システムでは、通常の操作の一部としてこれらのアカウントを使用する場合があります。 この機能が必要な場合は、いつでも Advanced Hunting クエリを作成し、カスタム検出として使用できます。 また、今後数週間にわたって LDAP ハニートークン アラートを点検する予定ですが、現時点では引き続き機能します。

  • 英語以外のオペレーティング システム向け、および、バージョン 87 より前のディレクトリ サービス スキーマを使用する Windows 2012 向けの、ディレクトリ サービス オブジェクト監査正常性アラートにおける検出ロジック問題を修正しました。

  • センサーを開始するためのディレクトリ サービス アカウントの構成に対する前提条件が削除されました。 詳細については、「Microsoft Defender for Identity ディレクトリ サービス アカウントの推奨」を参照してください。

  • 1644 イベントのログ記録はもう不要です。 このレジストリ設定を有効にしている場合は、削除できます。 詳細については、「イベント ID 1644」を参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.200

リリース日 2023 年 3 月 16 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.199

リリース日 2023 年 3 月 5 日

  • SAM-R アラートで照会されたハニートークンの除外項目が正しく機能していませんでした。 このような場合、除外項目に対してもアラートがトリガーされていました。 この問題は修正されました。

  • Identity の Advanced Hunting テーブルの NTLM プロトコル名が更新されました: 古いプロトコル名 Ntlm は、Identity の Advanced Hunting テーブル (IdentityLogonEvents、IdentityQueryEvents、IdentityDirectoryEvents) で新しいプロトコル名 NTLM として一覧表示されるようになりました。 Identity のイベント テーブルから大文字と小文字を区別する形式で Ntlm プロトコルを現在使用している場合は、NTLM に変更する必要があります。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2023 年 2 月

Defender for Identity リリース 2.198

2023 年 2 月 15 日リリース

  • ID タイムラインは、Microsoft Defender XDR の新しい ID ページの一部として使用できるようになりました。Microsoft Defender XDR の更新されたユーザー ページには、関連する資産の拡大ビューと新しい専用のタイムライン タブが含まれる新しい外観が追加されました。タイムラインは、過去 30 日間のアクティビティとアラートを表し、使用可能なすべてのワークロード (Defender for Identity/Defender for Cloud Apps/Defender for Endpoint) にわたってユーザーの ID エントリを統合します。 タイムラインを使用すると、特定の期間にユーザーが実行したアクティビティまたはユーザーに対して実行されたアクティビティに容易に集中できます。 詳細については、「Investigate users in Microsoft Defender XDR (Microsoft Defender XDR でのユーザーの調査)」を参照してください。

  • ハニートークン アラートの機能強化: リリース 2.191 では、ハニートークン アクティビティ アラートにいくつかの新しいシナリオが導入されました。

    お客様からのフィードバックに基づいて、ハニートークン アクティビティ アラートを 5 つの個別のアラートに分割することにしました。

    • ハニートークン ユーザーに対して SAM-R を使用してクエリを実行しました。
    • ハニートークン ユーザーに対して LDAP を使用してクエリを実行しました。
    • ハニートークン ユーザー認証アクティビティ
    • ハニートークン ユーザーが属性を変更しました。
    • ハニートークン グループのメンバーシップが変更されました。

    さらに、これらのアラートの除外が追加され、環境に合わせてカスタマイズされたエクスペリエンスが提供されます。

    引き続き改善できるよう、皆様からのフィードバックをお待ちしております。

  • 新しいセキュリティ アラート - Kerberos プロトコル (PKINIT) を介した疑わしい認定資格証の使用:Active Directory 認定資格証サービス (AD CS) を悪用する手法の多くは、攻撃の一部のフェーズで認定資格証を使用する必要があります。 Microsoft Defender for Identity では、このような疑わしい認定資格証の使用状況が観察されると、ユーザーにアラートが送信されるようになりました。 この動作監視アプローチでは、AD CS 攻撃に対する包括的な保護が提供され、Defender for Identity センサーがインストールされたドメイン コントローラーに対して疑わしい認定資格証認証が試行されたときにアラートがトリガーされます。 詳細については、「Microsoft Defender for Identity が疑わしい認定資格証の使用状況を検出するようになった」を参照してください。

  • 自動攻撃の中断: Defender for Identity が Microsoft Defender XDR と連携して、自動攻撃の中断を提供できるようになりました。 この統合は、Microsoft Defender XDR からのシグナルに対して、[ユーザーの無効化] アクションをトリガーできることを意味します。 これらのアクションは、忠実度の高い XDR 信号と、マイクロソフトの調査チームによる何千ものインシデントの継続的な調査からの分析情報によってトリガーされます。 このアクションにより、Active Directory で侵害されたユーザー アカウントが中断され、この情報が Microsoft Entra ID に同期されます。 自動攻撃の中断の詳細については、「Microsoft Defender XDR のブログ記事」を参照してください。

    また、自動応答アクションから特定のユーザーを除外することもできます。 詳細については、「Defender for Identity の自動応答除外の構成」を参照してください。

  • 学習期間の削除: Defender for Identity によって生成されるアラートは、プロファイリング、決定論的検出、機械学習、ネットワークについて学習した動作アルゴリズムなどのさまざまな要因に基づいています。 Defender for Identity の完全な学習プロセスには、ドメイン コントローラーごとに最大 30 日かかります。 ただし、完全な学習プロセスが完了する前であっても、アラートを受信したい場合があります。 たとえば、ドメイン コントローラーに新しいセンサーをインストールする場合、または製品を評価する場合に、すぐにアラートを受け取ることができます。 このような場合は、ラーニング期間の削除機能を有効にすることで、影響を受けるアラートのラーニング期間をオフにすることができます。 詳細については、「詳細設定」を参照してください。

  • M365D にアラートを送信する新しい方法: 1 年前に、Microsoft Defender for Identity のすべてのエクスペリエンスが Microsoft Defender ポータルで利用できるようになったことを発表しました。 プライマリ アラート パイプラインは、Defender for Identity、> Defender for Cloud Apps、> Microsoft Defender XDR から Defender for Identity、> Microsoft Defender XDR に徐々に切り替わるようになりました。 この統合は、Defender for Cloud Apps の状態更新が Microsoft Defender XDR に反映されず、その逆も反映されないことを意味します。 この変更により、Microsoft Defender ポータルにアラートが表示されるまでの時間が大幅に短縮されます。 この移行の一環として、3 月 5 日の時点で、すべての Defender for Identity ポリシーは Defender for Cloud Apps ポータルで使用できなくなります。 常に、すべての Defender for Identity エクスペリエンスに Microsoft Defender ポータルを使用することをお勧めします。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2023 年 1 月

Defender for Identity リリース 2.197

2023 年 1 月 22 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.196

2023 年 1 月 10 日リリース

  • 正常性アラート」ページで説明されているように、Directory Services オブジェクト監査が正しく構成されていることを確認するための新しい正常性アラート。

  • センサーの電源設定が最適なパフォーマンスのために構成されていることを確認するための新しい正常性アラート (正常性アラート ページで説明)。

  • Microsoft Defender XDR Advanced Hunting の IdentityLogonEvents、IdentityDirectoryEvents、IdentityQueryEvents テーブルに MITRE ATT&CK 情報が追加されました。 AdditionalFields 列には、一部の論理的なアクティビティに関連付けられている攻撃手法と戦術 (カテゴリ) に関する詳細が表示されます。

  • Microsoft Defender ポータルでは、Microsoft Defender for Identity の主要な機能がすべて使用できるようになったため、2023 年 1 月 31 日以降、各テナントに対してポータル リダイレクト設定が自動的に有効になります。 詳細については、「Redirecting accounts from Microsoft Defender for Identity to Microsoft Defender XDR (Microsoft Defender for Cloud Apps から Microsoft Defender XDR へのアカウントのリダイレクト)」を参照してください。

2022 年 12 月

Defender for Identity リリース 2.195

2022 年 12 月 7 日リリース

  • Defender for Identity データ センターは、オーストラリア東部リージョンにも展開されるようになりました。 リージョン展開の最新の一覧については、「Defender for Identity コンポーネント」を参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 11 月

Defender for Identity リリース 2.194

2022 年 11 月 10 日リリース

  • 正常性アラート」ページで説明されているように、Directory Services の詳細監査が正しく構成されていることを確認するための新しい正常性アラート。

  • ハニートークン アラートに関する Defender for Identity リリース 2.191 で導入された変更の一部が、正しく有効になっていませんでした。 これらの問題は現在解決されています。

  • 11 月末から、Microsoft Defender for Endpoint との手動統合はサポートされなくなります。 ただし、統合が組み込まれている Microsoft Defender ポータル (https://security.microsoft.com) を使用することを強くお勧めします。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 10 月

Defender for Identity リリース 2.193

2022 年 10 月 30 日リリース

  • 新しいセキュリティ アラート: 疑わしい認定資格証を使用した異常な Active Directory フェデレーション サービス (AD FS) 認証
    この新しい手法は、悪名高い NOBELIUM アクターとリンクされ、"MagicWeb" と呼ばれていました。これにより、敵対者は侵害された AD FS サーバーにバックドアを埋め込み、偽装を可能にしドメイン ユーザーが外部リソースにアクセスできるようになります。 この攻撃について詳しくは、このブログ記事をご覧ください。

  • Defender for Identity は、ドメイン コントローラーの LocalSystem アカウントを使用して、以前に使用可能だった gMSA オプションに加えて、修復アクション (ユーザーの有効化/無効化、パスワードの強制リセット) を実行できるようになりました。 これにより、すぐに使用できる修復アクションのサポートが有効になります。 詳細については、「Microsoft Defender for Identity の統合」に関するページを参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.192

2022 年 10 月 23 日リリース

  • NTLM 監査が有効になっていることを確認するための新しい正常性アラート ([正常性アラート] ページで説明)。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 9 月

Defender for Identity リリース 2.191

リリース日: 2022 年 9 月 19 日

  • ハニートークン アラートをトリガーする新しいアクティビティ
    Microsoft Defender for Identity では、悪意のあるアクターのトラップとして使用される、ハニートークン アカウントを定義する機能が提供されています。 これらのハニートークン アカウント (通常は休止状態) に関連付けられるすべての認証は、ハニートークン アクティビティ (外部 ID 2014) アラートをトリガーします。 このバージョンでは新しく、これらのハニートークン アカウントに対する LDAP または SAMR クエリによってアラートがトリガーされます。 さらに、イベント 5136 が監査されている場合は、ハニートークンのいずれかの属性が変更されたとき、またはハニートークンのグループ メンバーシップが変更されたときにもアラートがトリガーされます。

詳細については、「Windows イベント コレクションの構成」を参照してください。

Defender for Identity リリース 2.190

リリース日: 2022 年 9 月 11 日

  • 更新された評価: セキュリティで保護されていないドメイン構成
    Microsoft セキュア スコアで利用できるセキュリティで保護されていないドメイン構成の評価では、ドメイン コントローラーの LDAP 署名ポリシー構成が評価され、セキュリティで保護されていない構成が見つかるとアラートが生成されるようになりました。 詳細については、「セキュリティ評価: セキュリティで保護されていないドメイン構成」を参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.189

リリース日: 2022 年 9 月 4 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 8 月

Defender for Identity リリース 2.188

リリース日: 2022 年 8 月 28 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.187

リリース日: 2022 年 8 月 18 日

  • DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) (外部 ID 2006) アラートをトリガーする方法の背後にあるロジックの一部を変更しました。 この検出機能は、センサーによって確認されるソース IP アドレスが NAT デバイスの可能性があるケースに対応するようになりました。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.186

リリース日: 2022 年 8 月 10 日

  • 正常性アラートに、NetBIOS 名ではなく、センサーの完全修飾ドメイン名 (FQDN) が表示されるようになりました。

  • 新しい正常性アラートは、[正常性アラート] ページで説明されているように、コンポーネントの種類と構成をキャプチャするために使用できます。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 7 月

Defender for Identity リリース 2.185

リリース日: 2022 年 7 月 18 日

  • ゴールデン チケット使用の可能性 (存在しないアカウント) (外部 ID 2027) で macOS デバイスが誤って検出される問題を修正しました。

  • ユーザー アクション: ユーザー ページの [ユーザーを無効にする] アクションを 2 つの異なるアクションに分割することにしました。

    • ユーザーを無効にする – Active Directory レベルでユーザーを無効にします
    • ユーザーの一時停止 – Microsoft Entra ID レベルでユーザーを無効にします

    Active Directory から Microsoft Entra ID への同期にかかる時間がきわめて重要になる可能性があることを私たちは理解しています。そのため、同期自体への依存関係を削除するために、ユーザーを 1 人ずつ無効にできるようになりました。 Microsoft Entra ID でのみ無効になっているユーザーは、Active Directory によって上書きされる (そこでユーザーがまだアクティブな場合) ことに注意してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.184

リリース日: 2022 年 7 月 10 日

  • 新しいセキュリティ評価
    Defender for Identity には、次の新しいセキュリティ評価が含まれるようになりました。

    • セキュリティで保護されていないドメイン構成
      Microsoft Defender for Identity は、環境を継続的に監視して、セキュリティ リスクがある構成を持つドメインを識別し、これらのドメインに関するレポートを作成して、環境を保護するのに役立ちます。 詳細については、「セキュリティ評価: セキュリティで保護されていないドメイン構成」を参照してください。
  • Defender for Identity インストール パッケージは、WinPcap ドライバーの代わりに Npcap コンポーネントをインストールするようになりました。 詳細については、「WinPcap ドライバーと Npcap ドライバー」を参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 6 月

Defender for Identity リリース 2.183.15436.10558 (修正プログラム)

リリース日: 2022 年 6 月 20 日 (更新日: 2022 年 7 月 4 日)

  • 新しいセキュリティ アラート: 分散ファイル システム プロトコルを使用した DFSCoerce 攻撃の疑い
    DFS プロトコルのフローを利用する最近の攻撃ツールの公開に応じて、Microsoft Defender for Identity は、攻撃者がこの攻撃方法を使用するたびにセキュリティ アラートをトリガーします。 この攻撃について詳しくは、ブログ記事をご覧ください。

Defender for Identity リリース 2.183

リリース日: 2022 年 6 月 20 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.182

リリース日: 2022 年 6 月 4 日

  • Defender for Identity の新しい [About]\(バージョン情報\) ページが利用できるようになりました。 Microsoft Defender ポータルにあります ([設定] ->[ID] ->[About]\(バージョン情報\))。 インスタンス名、バージョン、ID、インスタンスの位置情報など、Defender for Identity インスタンスに関するいくつかの重要な詳細を確認できます。 この情報は、問題のトラブルシューティングやサポート チケットを開く際に役立つ可能性があります。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 5 月

Defender for Identity リリース 2.181

リリース日: 2022 年 5 月 22 日

  • Microsoft Defender for Identity を使って、オンプレミス アカウントで修復アクションを直接実行できるようになりました。

    • ユーザーを無効にする – これにより、ユーザーはネットワークに一時的にログインできなくなります。 これは、侵害されたユーザーが横方向に移動したり、データを流出させたり、ネットワークをさらに侵害したりするのを防ぐのに役立ちます。
    • ユーザーのパスワードをリセットする – これにより、ユーザーは次にサインインするときにパスワードの変更を求められ、このアカウントをそれ以上偽装の試みに使用できなくなります。

    これらのアクションは、ユーザー ページ、ユーザー ページのサイド パネル、高度なハンティング、さらにはカスタム検出など、Microsoft Defender XDR 内の複数の場所から実行できます。 これには、Microsoft Defender for Identity がアクションの実行に使用する特権 gMSA アカウントを設定する必要があります。 要件について詳しくは、「Microsoft Defender for Identity のアクション アカウント」をご覧ください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.180

リリース日: 2022 年 5 月 12 日

  • 新しいセキュリティ アラート: dNSHostName 属性の疑わしい変更 (CVE-2022-26923)
    最近公開された CVE への対応として、Microsoft Defender for Identity は、攻撃者が CVE-2022-26923 を悪用しようとすると、常にセキュリティ アラートをトリガーします。 この攻撃について詳しくは、ブログ記事をご覧ください。

  • バージョン 2.177 では、Defender for Identity でカバーできる追加の LDAP アクティビティがリリースされました。 ただし、Defender for Identity ポータルでイベントが表示されず取り込まれない原因となるバグが見つかりました。 この挙動は本リリースで修正されています。 バージョン 2.180 以降では、イベント ID 1644 を有効にすると、Active Directory Web サービス経由で LDAP アクティビティが表示されるようになるだけでなく、他の LDAP アクティビティにも、ソース コンピューターで LDAP アクティビティを実行したユーザーが含まれるようになります。 これは、LDAP イベントに基づくセキュリティ アラートと論理アクティビティに適用されます。

  • 最近の KrbRelayUp の悪用に対する対応として、この悪用に対する対応を評価するのに役立つサイレント検出機能をリリースしました。 このサイレント検出機能を使うと、検出の有効性を評価し、収集されているイベントに基づいて情報を収集できます。 この検出が高品質であることが確認されたら、次のバージョンで新しいセキュリティ アラートをリリースします。

  • DNS 経由のリモート コード実行は、これらのセキュリティ アラートの背後にあるロジックをより適切に反映しているので、DNS 経由のリモート コード実行の試行という名前に変更されました。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.179

2022 年 5 月 1 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 4 月

Defender for Identity リリース 2.178

リリース日: 2022 年 4 月 10 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 3 月

Defender for Identity リリース 2.177

リリース日: 2022 年 3 月 27 日

  • Microsoft Defender for Identity でネットワーク内の追加の LDAP クエリを監視できます。 これらの LDAP アクティビティは Active Directory Web サービス プロトコルを使用して送信され、通常の LDAP クエリのように動作します。 これらのアクティビティを可視化するには、ドメイン コントローラーでイベント 1644 を有効にする必要があります。 このイベントは、ドメイン内の LDAP アクティビティを対象とします。これは主に、Active Directory ドメイン コントローラーによって処理される高コスト、非効率的、または低速のライトウェイト ディレクトリ アクセス プロトコル (LDAP) 検索を識別するために使用されます。 詳細については、「Legacy configurations (レガシ構成)」をご覧ください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.176

リリース日: 2022 年 3 月 16 日

  • このバージョン以降は、新しいパッケージからセンサーをインストールすると、[プログラムの追加と削除] の下のセンサーのバージョンが、以前に表示された静的な 2.0.0.0 ではなく、完全なバージョン番号 (例: 2.176.x.y) で表示されます。 Defender for Identity クラウド サービスからの自動更新によってバージョンが更新される場合でも、そのバージョン (パッケージを介してインストールされたもの) が引き続き表示されます。 実際のバージョンは、ポータルのセンサー設定ページ、実行可能パス、またはファイル バージョンで確認できます。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.175

リリース日: 2022 年 3 月 6 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 2 月

Defender for Identity リリース 2.174

リリース日: 2022 年 2 月 20 日

  • アラートに関係するアカウントの shost FQDN を SIEM に送信されたメッセージに追加しました。 詳細については、「Microsoft Defender for Identity の SIEM ログ リファレンス」を参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.173

リリース日: 2022 年 2 月 13 日

Defender for Identity リリース 2.172

リリース日: 2022 年 2 月 8 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2022 年 1 月

Defender for Identity リリース 2.171

リリース日: 2022 年 1 月 31 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.170

リリース日: 2022 年 1 月 24 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.169

リリース日: 2022 年 1 月 17 日

  • Microsoft Defender for Identity のアクション アカウントを構成する機能がリリースされました。 これは、製品から直接ユーザーに対してアクションを実行する機能の最初のステップです。 最初のステップとして、アクションを実行するために Microsoft Defender for Identity によって使用される gMSA アカウントを定義できます。 これらのユーザーの作成を開始し、公開されたアクション機能を利用することを強くお勧めします。 詳細については、「アクション アカウントの管理」を参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.168

リリース日: 2022 年 1 月 9 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 12 月

Defender for Identity リリース 2.167

リリース日: 2021 年 12 月 29 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.166

リリース日: 2021 年 12 月 27 日

  • バージョンには、新しいセキュリティの警告が含まれています。sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287 の悪用) (外部 ID 2419)
    最近公開された CVE への対応として、Microsoft Defender for Identity では、攻撃者が CVE-2021-42278 および CVE-2021-42287 を悪用しようとすると、常にセキュリティ アラートをトリガーします。 この攻撃について詳しくは、ブログ記事をご覧ください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.165

リリース日: 2021 年 12 月 6 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 11 月

Defender for Identity リリース 2.164

リリース日: 2021 年 11 月 17 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.163

リリース日: 2021 年 11 月 8 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.162

リリース日: 2021 年 11 月 1 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 9 月

Defender for Identity リリース 2.161

リリース日: 2021 年 9 月 12 日

  • バージョンには、監視対象の新しいアクティビティが含まれています。gMSA アカウントのパスワードがユーザーによって取得されました。 詳細については、「Microsoft Defender for Identity の監視対象アクティビティ」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 8 月

Defender for Identity リリース 2.160

2021 年 8 月 22 日リリース

  • バージョンにはさまざまな機能強化が含まれており、PetitPotam の悪用に関する最新の変更に従って、より多くのシナリオがカバーされています。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.159

2015 年 8 月 15 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。
  • バージョンには、新しく公開されたアラートの改善が含まれています: 暗号化ファイル システム リモート プロトコル (外部 ID 2416) 経由の疑わしいネットワーク接続。
    この検出のサポートを拡張し、暗号化された EFS-RPC チャネルを介して潜在的な攻撃者が通信するときにトリガーされるようになりました。 チャネルの暗号化時にトリガーされるアラートは、暗号化されていない場合の重大度である「高」ではなく、重大度が「中程度」のアラートとして扱われます。 アラートの詳細については、「暗号化ファイル システム リモート プロトコル (外部 ID 2416) 経由の疑わしいネットワーク接続」に関するページを参照してください。

Defender for Identity リリース 2.158

2021 年 8 月 8 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

  • バージョンには、新しいセキュリティ アラートが含まれています。暗号化ファイル システム リモート プロトコル (外部 ID 2416) 経由の疑わしいネットワーク接続。
    この検出では、攻撃者がドメイン コントローラーに対して EFS-RPC を悪用しようとするたびに、Microsoft Defender for Identity によってセキュリティ アラートがトリガーされます。 この攻撃ベクトルは、最近の PetitPotam 攻撃に関連付けられています。 アラートの詳細については、「暗号化ファイル システム リモート プロトコル (外部 ID 2416) 経由の疑わしいネットワーク接続」に関するページを参照してください。

  • バージョンには、次の新しいセキュリティ アラートが含まれています: Exchange Server リモート コード実行 (CVE-2021-26855) (外部 ID 2414)
    この検出では、Exchange オブジェクトの "msExchExternalHostName" 属性を変更して攻撃者がリモート コード実行しようとするたびに、Microsoft Defender for Identity によってセキュリティ アラートがトリガーされます。 このアラートの詳細については、「Exchange Server リモート コード実行 (CVE-2021-26855) (外部 ID 2414)」を参照してください。 この検出は Windows イベント 4662 に依存するため、事前に有効にしておく必要があります。 このイベントを構成して収集する方法については、「Windows イベント コレクションの構成」を参照し、「Exchange オブジェクトの監査を有効にする」の手順に従ってください。

Defender for Identity リリース 2.157

2021 年 8 月 1 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 7 月

Defender for Identity リリース 2.156

2021 年 7 月 25 日リリース

  • このバージョンから、Npcap ドライバー実行可能ファイルをセンサー インストール パッケージに追加しました。 詳細については、「WinPcap ドライバーと Npcap ドライバー」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.155

2021 年 7 月 18 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.154

2021 年 7 月 11 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。
  • このバージョンには、より多くの攻撃シナリオに対応するために、PrintNightmare 検出と呼ばれる印刷スプーラーの悪用に関する機能強化と検出が追加されています。

Defender for Identity リリース 2.153

2021 年 7 月 4 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

  • このバージョンには、次の新しいセキュリティ アラートが含まれています: Windows Print Spooler サービスの悪用の試行の可能性 (CVE-2021-34527 の悪用) (外部 ID 2415)。

    この検出では、攻撃者がドメイン コントローラーに対して Windows 印刷スプーラー サービスを悪用しようとするたびに、Defender for Identity によってセキュリティ アラートがトリガーされます。 この攻撃ベクトルは PrintNightmare と呼ばれ、印刷スプーラーの悪用に関連付けられています。 このアラートの詳細についてはこちらを参照してください。

2021 年 6 月

Defender for Identity リリース 2.152

2021 年 6 月 27 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.151

2021 年 6 月 20 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.150

2021 年 6 月 13 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 5 月

Defender for Identity リリース 2.149

2021 年 5 月 31 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.148

2021 年 5 月 23 日リリース

  • イベント ID 4662 を構成して収集すると 、Defender for Identity は更新シーケンス番号 (USN) の変更を行ったユーザーをさまざまな Active Directory オブジェクトプロパティに報告します。 たとえば、アカウント パスワードが変更され、イベント 4662 が有効になっている場合、イベントにはパスワードを変更したユーザーが記録されます。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.147

2021 年 5 月 9 日リリース

  • お客様からのフィードバックに基づいて、許可されるセンサーの既定の数を 200 から 350 に増やし、ディレクトリ サービスの資格情報を 10 から 30 に増やしました。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.146

2021 年 5 月 2 日リリース

  • 正常性の問題とセキュリティ アラートの両方に関するメール通知に、Microsoft Defender for Identity と Microsoft Defender XDR の両方の調査 URL が追加されました。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 4 月

Defender for Identity リリース 2.145

2021 年 4 月 22 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.144

2021 年 4 月 12 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 3 月

Defender for Identity リリース 2.143

2021 年 3 月 14 日リリース

  • Active Directory アクティビティに追加されたコンピューター アカウントを検出するための Windows イベント 4741 が追加されました。 Defender for Identity によって収集される新しいイベントを構成します。 構成が完了すると、収集されたイベントをアクティビティ ログと Microsoft Defender XDR Advanced Hunting で表示できるようになります。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.142

リリース日: 2021 年 3 月 7 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 2 月

Defender for Identity リリース 2.141

2021 年 2 月 21 日リリース

  • 新しいセキュリティ アラート: AS-REP Roasting 攻撃の可能性 (外部 ID 2412)
    Defender for Identity の、"AS-REP Roasting 攻撃の疑いあり (外部 ID 2412)" セキュリティ アラートが公開されました。 この検出では、Kerberos 事前認証が無効になっているアカウントを攻撃者がターゲットにし、Kerberos TGT データを取得しようとすると、Defender for Identity セキュリティ アラートがトリガーされます。 攻撃者の意図は、オフライン パスワード解読攻撃を使用してデータから資格情報を引き出すことである可能性があります。 詳細については、「 Kerberos AS-REP Roasting 露出 (外部 ID 2412)」に関するページを参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.140

2021 年 2 月 14 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2021 年 1 月

Defender for Identity リリース 2.139

2021 年 1 月 31 日リリース

  • アラートの影響をより適切に反映させるため、Kerberos SPN 露出の可能性の深刻度を「高」に更新しました。 アラートの詳細については、「Kerberos SPN 露出の可能性 (外部 ID 2410)」に関するページを参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.138

2021 年 1 月 24 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.137

2021 年 1 月 17 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.136

2021 年 1 月 3 日リリース

  • Defender for Identityでは、Active Directoryフェデレーション サービス (AD FS) サーバーへのセンサーのインストールがサポートされるようになりました。 互換性のある AD FS サーバーにセンサーをインストールすると、この重要なインフラストラクチャ コンポーネントを監視することで、Microsoft Defender for Identity の可視性がハイブリッド環境に拡張されます。 また、AD FS データに対して動作するように、既存の検出 (疑わしいサービスの作成ブルート フォース攻撃の可能性 (LDAP)アカウント列挙偵察) の一部も更新しました。 AD FS サーバー用の Microsoft Defender for Identity センサーの展開を開始するには、センサー構成ページから最新の展開パッケージをダウンロードします。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 12 月

Defender for Identity リリース 2.135

2020 年 12 月 20 日リリース

  • Active Directory 属性偵察 (LDAP) (外部 ID 2210) アラートが改善され、Solorigate キャンペーンの一部として見られるように、セキュリティ トークンを生成するために必要な情報を取得するのに使用する手法も検出されました。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.134

2020 年 12 月 13 日リリース

  • 最近リリースされた NetLogon 検出機能は、暗号化されたチャネルで Netlogon チャネル トランザクションが発生したときにも機能するように強化されています。 検出機能の詳細については、「Netlogon 特権昇格の試行の可能性」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.133

2020 年 12 月 6 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 11 月

Defender for Identity リリース 2.132

2020 年 11 月 17 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.131

2020 年 11 月 8 日リリース

  • 新しいセキュリティ アラート: Kerberos SPN の露出の可能性 (外部 ID 2410)
    Defender for Identity の "疑わしい Kerberos SPN の流出 (外部 ID 2410)" セキュリティ アラートが利用できるようになりました。 この検出では、攻撃者がサービス アカウントとそれぞれの SPN を列挙し、そのサービスに対して Kerberos TGS チケットを要求すると、Defender for Identity セキュリティ アラートがトリガーされます。 攻撃者の意図は、チケットからハッシュを抽出し、後でオフライン ブルート フォース攻撃で使用するためにそれらを保存することである可能性があります。 詳細については、「Kerberos SPN 露出」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 10 月

Defender for Identity リリース 2.130

リリース日: 2020 年 10 月 25 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.129

2020 年 10 月 18 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 9 月

Azure ATP リリース 2.128

2020 年 9 月 27 日リリース

  • 変更されたメール通知の構成
    メール通知を有効にするための [メール通知] トグルを削除しました。 メール通知を受信するには、アドレスを追加するだけです。 詳しくは、「イベント通知」をご覧ください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.127

2020 年 9 月 20 日リリース

  • 新しいセキュリティ アラート: Netlogon 特権昇格の試行の可能性 (外部 ID 2411)
    Azure ATP の "Netlogon 特権昇格の試行の可能性 (CVE-2020-1472 の悪用) (外部 ID 2411)" セキュリティ アラートが利用できるようになりました。 この検出では、攻撃者が Netlogon リモート プロトコル (MS-NRPC) (Netlogon の特権の昇格の脆弱性とも呼ばれます) を使用して、ドメイン コントローラーへの脆弱な Netlogon セキュリティ チャネル接続を確立すると、Azure ATP セキュリティ アラートがトリガーされます。 詳細については、「Netlogon 特権昇格の試行の可能性」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.126

2020 年 9 月 13 日リリース日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.125

リリース日: 2020 年 9 月 6 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 8 月

Azure ATP リリース 2.124

2020 年 8 月 30 日リリース日

  • 新しいセキュリティ アラート
    Azure ATP セキュリティ アラートには、次の新しい検出が含まれるようになりました。
    • Active Directory 属性偵察 (LDAP) (外部 ID 2210)
      この検出では、攻撃者が攻撃のキル チェーンで使用するためにドメインに関する重要な情報を正常に取得した疑いがある場合に、Azure ATP セキュリティ アラートがトリガーされます。 詳細については、「Active Directory 属性の偵察」を参照してください。
    • 不正な Kerberos 認定資格証の使用の可能性 (外部 ID 2047)
      この検出では、証明機関サーバーを侵害して組織を制御した攻撃者が、ネットワーク内で侵入を拡大するなど、将来の攻撃でバックドア アカウントとして使用できる認定資格証を生成する疑いがある場合に、Azure ATP セキュリティ アラートがトリガーされます。 詳細については、「不正な Kerberos 認定資格書使用の可能性」を参照してください。
    • ゴールデン チケット使用の可能性 (RBCD を使用したチケットの異常) (外部 ID 2040)
      ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を作成できます。
      この偽造された TGT は、攻撃者がリソース ベースの制約付き委任 (RBCD) を使用して永続的なネットワーク永続化を実現できるため、"ゴールデン チケット" と呼ばれます。 この種の偽造されたゴールデン チケットには固有の特性があり、この新しい検出機能はそれを識別するように設計されています。 詳細については、「ゴールデン チケットの使用の可能性 (RBCD を使用したチケットの異常)」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.123

2020 年 8 月 23 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.122

2020 年 8 月 16 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.121

2020 年 8 月 2 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 7 月

Azure ATP リリース 2.120

リリース日: 2020 年 7 月 26 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.119

2020 年 7 月 5 日リリース

  • 機能拡張: Excel レポートの [除外される新しいコントローラー] タブ
    ドメイン コントローラー対象範囲計算の精度を向上させることを目的として、100%カバレッジを達成するために、外部信頼を持つドメイン コントローラーを計算から除外します。 除外されたドメイン コントローラーは、ドメインの対象範囲 Excel レポートのダウンロードの新しい [除外されたドメイン コントローラー] タブに表示されます。 レポートのダウンロードの詳細については、「ドメイン コントローラーの状態」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 6 月

Azure ATP リリース 2.118

リリース日: 2020 年 6 月 28 日

  • 新しいセキュリティ評価
    Azure ATP セキュリティ評価には、次の新しい評価が含まれるようになりました。

    • 特にリスクが高い横移動パス
      この評価では、環境を継続的に監視して、セキュリティ リスクを公開する最も危険な横移動パスを持つ機密性の高いアカウントを特定し、これらのアカウントに関するレポートを作成して環境の管理を支援します。 機密性の高いアカウントが 3 つ以上存在し、悪意のあるアクターによる資格情報の盗難に機密性の高いアカウントを公開する可能性がある場合、そのパスは危険と見なされます。 詳細については、「セキュリティ評価: 特にリスクが高いラテラル ムーブメント パス (LMP)」を参照してください。
    • セキュリティで保護されていないアカウント属性
      この評価 Azure ATP は、環境を継続的に監視して、セキュリティ リスクを公開する属性値を持つアカウントを特定し、これらのアカウントに関するレポートを作成して、環境の保護に役立ちます。 詳細については、「セキュリティ評価: セキュリティで保護されていないアカウント属性」を参照してください。
  • 機密度定義の更新
    オンプレミス アカウントの秘密度定義を拡張し、Active Directory レプリケーションを使用できるエンティティを含めます。

Azure ATP リリース 2.117

リリース日: 2020 年 6 月 14 日

  • 機能拡張: 統合された SecOps エクスペリエンスで使用できる追加のアクティビティの詳細
    デバイス名、IP アドレス、アカウント UPN、使用されているポートなど、Defender for Cloud Apps に送信するデバイス情報を拡張しました。 Defender for Cloud Apps との統合の詳細については、Azure ATP と Defender for Cloud Apps の使用に関するページを参照してください。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.116

2020 年 6 月 7 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 5 月

Azure ATP リリース 2.115

リリース日: 2020 年 5 月 31 日

  • 新しいセキュリティ評価
    Azure ATP セキュリティ評価には、次の新しい評価が含まれるようになりました。

    • セキュリティ保護されていない SID 履歴属性
      この評価では、悪意のある攻撃者が顧客の環境にアクセスするために使用できる SID 履歴属性について報告します。 詳細については、「セキュリティ評価: セキュリティで保護されていない SID 履歴属性」を参照してください。
    • Microsoft LAPS の使用状況
      この評価では、パスワードを保護するためにマイクロソフトの "Local Administrator Password Solution" (LAPS) を使用していないローカル管理者アカウントについて報告します。 LAPS を使用すると、パスワード管理が簡素化されサイバー攻撃からの防御にも役立ちます。 詳細については、「セキュリティ評価: Microsoft LAPS 使用状況」を参照してください。
  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.114

リリース日: 2020 年 5 月 17 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.113

2020 年 5 月 5 日リリース

  • 機能拡張: NTLMv1 を使用したリソース アクセス アクティビティの強化
    このバージョン以降、Azure ATP は、リソースが NTLMv1 認証を使用しているかどうかを示すリソース アクセス アクティビティに関する情報を提供するようになりました。 このリソース構成は安全でなく、悪意のあるアクターがアプリケーションを強制的に利用できるリスクがあります。 リスクの詳細については、「レガシー プロトコルの使用」を参照してください。

  • 機能拡張: ブルート フォース攻撃の可能性 (Kerberos、NTLM) アラート
    ブルート フォース攻撃は、攻撃者が組織に足がかりを得るために使用され、Azure ATP での脅威とリスク検出の重要な方法です。 ユーザーにとって重要なリスクに集中できるように、この更新プログラムを使用すると、アラートの量を制限して優先順位を付けることで、リスクの分析と修復を簡単かつ迅速に行うことができます。

2020 年 3 月

Azure ATP リリース 2.112

2020 年 5 月 15 日リリース

  • 新しい Azure ATP インスタンスは Microsoft Defender for Cloud Apps と自動的に統合される
    Azure ATP インスタンス (以前のインスタンス) を作成すると、Microsoft Defender for Cloud Apps との統合が既定で有効になります。 統合の詳細については、Azure ATP と Microsoft Defender for Cloud Apps の使用に関する記事を参照してください。

  • 新しい監視対象アクティビティ
    次のアクティビティ モニターを使用できるようになりました。

  • 機能拡張: 強化されたリソース アクセス アクティビティ
    このバージョン以降、Azure ATP は、リソースが制約のない委任に対して信頼されているかどうかを示すリソース アクセス アクティビティに関する情報を提供するようになりました。 このリソース構成は安全でなく、悪意のあるアクターがアプリケーションを強制的に利用できるリスクがあります。 リスクの詳細については、「セキュリティ評価: セキュリティで保護されていない Kerberos 委任」を参照してください。

  • SMB パケット操作の可能性 (CVE-2020-0796 の悪用) - (プレビュー)
    Azure ATP の疑いのある SMB パケット操作セキュリティ アラートがパブリック プレビュー段階になりました。 この検出では、セキュリティ脆弱性 CVE-2020-0796 が悪用される疑いのある SMBv3 パケットがネットワーク内のドメイン コントローラーに対して実行されると、Azure ATP セキュリティ アラートがトリガーされます。

Azure ATP リリース 2.111

2020 年 5 月 15 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2020 年 2 月

Azure ATP リリース 2.110

2020 年 2 月 23 日リリース

  • 新しいセキュリティ評価: 監視対象外のドメイン コントローラー
    Azure ATP セキュリティ評価に、監視対象外ドメイン コントローラー、センサーを使用しないサーバーに関するレポートが含まれるようになりました。環境全体を管理するのに役立ちます。 詳細については、「監視対象外のドメイン コントローラー」を参照してください。

Azure ATP リリース 2.109

2020 年 2 月 16 日リリース

  • 機能拡張: 機密性の高いエンティティ
    このバージョン (2.109) 以降では、Azure ATP によって証明機関、DHCP、または DNS サーバーとして識別されたマシンに、自動的に [機密] タグが付けられます。

Azure ATP リリース 2.108

2020 年 2 月 9 日リリース

  • 新機能: グループの管理されたサービス アカウントのサポート
    Azure ATP では、Azure ATP センサーを Microsoft Entra フォレストに接続するときのセキュリティを強化するために、グループ管理サービス アカウント (gMSA) の使用がサポートされました。 Azure ATP センサーで gMSA を使用する方法の詳細については、「Active Directory フォレストへの接続」を参照してください。

  • 機能拡張: データが多すぎるスケジュール化されたレポート
    スケジュール化されたレポートのデータ量が多すぎる場合、メールに以下のテキストが表示され、その事実が通知されるようになりました。指定された期間にデータが多すぎたため、レポートを作成できませんでした。 これは、メール内のレポートリンクをクリックして初めて事実を発見するという以前の動作に代わるものです。

  • 機能拡張: 更新されたドメイン コントローラー対象範囲ロジック
    ドメイン コントローラーの対象範囲レポートのロジックを更新し、Microsoft Entra ID からの追加情報を含めることで、センサーのないドメイン コントローラーをより正確に表示できるようになりました。 この新しいロジックは、対応する Microsoft セキュリティ スコアにもプラスの影響を与える必要があります。

Azure ATP リリース 2.107

2020 年 2 月 3 日リリース

  • 新しい監視対象のアクティビティ: SID 履歴の変更
    SID 履歴の変更が、監視およびフィルター可能なアクティビティになりました。 Azure ATP で監視するアクティビティと、監視対象のアクティビティをポータルでフィルター処理および検索する方法について説明します。

  • 機能拡張: 終了したアラートまたは抑制されたアラートが再開されなくなりました
    Azure ATP ポータルでアラートが終了したり抑制されたりすると、短時間で同じアクティビティが再び検出されると、新しいアラートが開かれます。 以前は、同じ条件下でアラートが再開されていました。

  • ポータルへのアクセスとセンサーに必要な TLS 1.2
    Azure ATP センサーとクラウド サービスを使用するために、TLS 1.2 が必要になりました。 TLS 1.2 をサポートしていないブラウザーを使用して Azure ATP ポータルにアクセスすることはできなくなります。

2020 年 1 月

Azure ATP リリース 2.106

2020 年 1 月 19 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.105

2020 年 1 月 12 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019 年 12 月

Azure ATP リリース 2.104

2019 年 12 月 13 日リリース

  • センサー バージョンの有効期限が削除されました
    Azure ATP センサーの展開とセンサーのインストールパッケージは、バージョン数後に期限切れになることがなくなり、一度だけ更新されるようになりました。 この機能により、過去にダウンロードしたセンサー インストール パッケージが、失効したバージョンの最大数より古い場合でもインストールできるようになりました。

  • 侵害の確認
    特定の Microsoft 365 ユーザーの侵害を確認し、リスク レベルをに設定できるようになりました。 このワークフローにより、セキュリティ運用チームは、セキュリティ インシデントの解決に要する時間のしきい値を短縮するための別の対応能力を得ることができます。 Azure ATP と Defender for Cloud Apps を使用して侵害を確認する方法についての詳細をご確認ください。

  • 新しいエクスペリエンス バナー
    Defender for Cloud Apps ポータルで、新しいエクスペリエンスを利用できる Azure ATP ポータル ページ上に、利用可能なものを示す新しいバナーがアクセス リンクと共に表示されます。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.103

2019 年 12 月 15 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.102

2019 年 12 月 8 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019年 11月

Azure ATP リリース 2.101

2019年 11 月 24 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.100

2019年 11 月 17 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.99

リリース日: 20219 年 11 月 3 日

  • 機能強化: Defender for Cloud Apps ポータルの可用性に関するユーザー インターフェイス通知を Azure ATP ポータルに追加
    Defender for Cloud Apps ポータルを使って利用できる強化された機能の可用性について、すべてのユーザーが認識できるように、既存の Azure ATP アラートのタイムラインからポータルに通知が追加されました。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019 年 10 月

Azure ATP リリース 2.98

2019 年 10 月 27 日リリース

  • 機能拡張: ブルート フォース攻撃の可能性のアラート
    追加の分析を使用して、ブルート フォース攻撃の可能性 (SMB) のアラートを改善し、無害な真陽性 (B-TP)誤検知 (FP) アラートとなる結果を減らすために、検出ロジックを改善しました。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.97

リリース日: 2019 年 10 月 6 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019 年 9 月

Azure ATP リリース 2.96

2019 年 9 月 22 日リリース

  • Windows イベント 8004 を使用した強化された NTLM 認証データ
    NTLM 監査が有効で、Windows イベント 8004 がオンになっている場合、Azure ATP センサーは、アクセスされたサーバーデータで NTLM 認証アクティビティを自動的に読み取り、強化できるようになりました。 Azure ATP は、Azure ATP の脅威分析とアラートに使用する NTLM 認証データを充実させるために、NTLM 認証の Windows イベント 8004 を解析します。 この強化された機能により、NTLM データ上のリソース アクセス アクティビティに加え、ユーザがアクセスを試みたが失敗した移行先のコンピューターを含む、強化された失敗ログオン アクティビティが提供されます。

    Windows イベント 8004 を使用した NTLM 認証アクティビティ の詳細について説明します。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.95

リリース日: 2019 年 9 月 15 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.94

2019 年 9 月 8 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.93

リリース日: 2019 年 9 月 1 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019年 8月

Azure ATP リリース 2.92

2019 年 8 月 25 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.91

リリース日: 2019 年 8 月 18 日

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.90

2019 年 8 月 11 日リリース

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.89

リリース日: 2019 年 8 月 4 日

  • センサー メソッドの改善
    正確なラテラル ムーブメントパス (LMP) 評価を作成する際に NTLM トラフィックが過剰に生成されるのを回避するために、NTLM の使用にあまり依存せず、Kerberos をより重要に使用するように Azure ATP センサー メソッドが改善されました。

  • アラートの機能強化: ゴールデン チケット使用の可能性 (存在しないアカウント)
    このタイプのアラートに記載されている証拠の種類に、SAM の名前の変更が追加されました。 この種類のアクティビティを防止して修復する方法など、アラートの詳細については、「ゴールデン チケット使用の可能性 (存在しないアカウント)」を参照してください。

  • 一般提供: NTLM 認証の改ざんの可能性
    NTLM 認証の改ざんの可能性アラートはプレビュー モードではなくなり、一般提供されました。

  • バージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019 年 7 月

Azure ATP リリース 2.88

2019 年 7 月 28 日リリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.87

リリース日: 2019 年 7 月 21 日

  • 機能拡張: Azure ATP スタンドアロン センサーの自動 Syslog イベント収集
    Azure ATP スタンドアロン センサーの受信 Syslog 接続が完全に自動化され、設定画面からトグル オプションが削除されました。 これらの変更は、送信 Syslog 接続には影響しません。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.86

2019 年 7 月 14 日リリース

  • 新しいセキュリティ アラート: NTLM 認証の改ざんの可能性 (外部 ID 2039)
    Azure ATP の新しい NTLM 認証の改ざんの可能性 のセキュリティ アラートがパブリック プレビュー段階になりました。 この検出では、マイクロソフト CVE-2019-040 で詳しく説明されているセキュリティの脆弱性である、NTLM メッセージ整合性チェック (MIC) を正常にバイパスする "man-in-the-middle" 攻撃の使用が疑われる場合に、Azure ATP セキュリティ アラートがトリガーされます。 この種類の攻撃は、NTLM のセキュリティ機能をダウングレードし、認証を成功させようとするもので、最終的な目的はラテラル ムーブメントを成功させることです。

  • 機能拡張: 強化されたデバイス オペレーティング システムの識別
    これまで Azure ATP は Active Directory で使用可能な属性に基づいて、エンティティ デバイスのオペレーティング システム情報を提供していました。 以前は、Active Directory でオペレーティング システム情報を使用できなかった場合、Azure ATP エンティティ ページでも情報を使用できませんでした。 このバージョン以降 Azure ATP は、強化されたデバイス オペレーティング システムの識別方法を使用して、Active Directory に情報がないデバイス、または Active Directory に登録されていないデバイスに対して、この情報を提供するようになりました。

    強化されたデバイス オペレーティング システムの識別データを追加すると、未登録の Windows デバイスと Windows 以外のデバイスを識別しながら、調査プロセスを同時に支援できます。 Azure ATP でのネットワーク名解決の詳細については、「ネットワーク名解決 (NNR) について」を参照してください。

  • 新機能: 認証済みプロキシ - プレビュー
    Azure ATP で認証済みプロキシがサポートされるようになりました。 センサーのコマンド ラインを使用してプロキシ URL を指定し、認証を必要とするプロキシを使用するユーザー名/パスワードを指定します。 認証済みプロキシの使用方法の詳細については、「プロキシの構成」を参照してください。

  • 機能拡張: 自動ドメイン シンクロナイザー プロセス
    セットアップと継続的な構成中にドメイン コントローラーをドメイン シンクロナイザー候補として指定し、タグ付けするプロセスが完全に自動化されました。 ドメイン シンクロナイザーの候補としてドメイン コントローラーを手動で選択するトグル オプションが削除されました。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.85

リリース日: 2019 年 7 月 7 日

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.84

2019 年 7 月 1 日リリース

  • 新しい場所のサポート: Azure UK データ センター
    Azure ATP インスタンスが、Azure UK データ センターでサポートされるようになりました。 Azure ATP インスタンスとそれに対応するデータ センターの場所の作成の詳細については、Azure ATP のインストールの手順 1 を参照してください。

  • 機能拡張: 機密性の高いグループへの疑わしい追加アラートの新しい名前と機能 (外部 ID 2024)
    機密性の高いグループへの疑わしい追加」アラートは、以前は「機密性の高いグループへの疑わしい変更」という名前でした。 アラートの外部 ID (ID 2024) に変更はありません。 わかりやすい名前への変更は、機密性の高いグループへの追加に関するアラートの目的をより正確に反映しています。 この強化されたアラートには、新たな証拠と改善された説明も含まれています。 詳細については、「機密性の高いグループへの疑わしい追加」を参照してください。

  • 新しいドキュメント機能: Advanced Threat Analytics から Azure ATP への移行に関するガイド
    この新しい記事には、ATA から Azure ATP サービスに移行するための前提条件、計画ガイダンス、構成および検証手順が含まれています。 詳細については、「ATA から Azure ATP への移行」を参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

2019 年 6 月

Azure ATP リリース 2.83

リリース日: 2019 年 6 月 23 日

  • 機能拡張: 疑わしいサービスの作成アラート (外部 ID 2026)
    このアラートには追加の証拠と新しい説明が追加され、アラート ページが改善されました。 詳細については、「疑わしいサービスの作成のセキュリティ アラート」を参照してください。

  • インスタンスの名前付けのサポート: 数字のみのドメイン プレフィックスのサポート
    数字のみを含む初期ドメイン プレフィックスを使用した Azure ATP インスタンスの作成がサポートされました。 たとえば、123456.contoso.com のような、プレフィックスが数字だけの最初のドメインを使用できます。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.82

2019 年 6 月 18 日リリース

  • 新しいパブリック プレビュー
    Azure ATP の ID 脅威の調査エクスペリエンスがパブリック プレビューになり、すべての Azure ATP で保護されたテナントで使用できるようになりました。 詳細については、Azure ATP Microsoft Defender for Cloud Apps の調査エクスペリエンスに関するページを参照してください。

  • 一般提供
    信頼されていないフォレストに対する Azure ATP のサポートが一般提供されました。 詳細については、「Azure ATP マルチフォレスト」を参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.81

2019 年 6 月 10 日リリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.80

2019 年 6 月 2 日リリース

  • 機能拡張: 疑わしい VPN 接続のアラート
    このアラートでは、より使いやすいように、証拠とテキストが強化されています。 アラート機能と推奨される修復手順と防止の詳細については、「疑わしい VPN 接続のアラート」を参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

2019 年 5 月

Azure ATP リリース 2.79

リリース日: 2019 年 5 月 26 日

  • 一般提供: セキュリティ プリンシパルの偵察 (LDAP) (外部ID 2038)

    このアラートは GA (一般提供) 状態になりました。 このアラート、アラートの機能、および推奨される修復と防止方法については、セキュリティ プリンシパルによる偵察 (LDAP) アラートの説明に関するページをご覧ください

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.78

2019 年 5 月 19 日リリース

  • 機能拡張: 機密性の高いエンティティ
    Exchange Server の手動機密タグ付け

    構成中のエンティティに Exchange Server として手動でタグ付けできるようになりました。

    エンティティに Exchange Server として手動でタグ付けするには:

    1. Azure ATP ポータルで、[構成] を選択します。
    2. [検出] で [エンティティ タグ] を選択し、[機密] を選択します。
    3. Exchange Servers を選択し、タグ付けするエンティティを追加します。

    コンピューターを Exchange Server としてタグ付けすると、そのコンピューターは機密としてタグ付けされ、Exchange Server としてタグ付けされたことが表示されます。 機密タグはコンピューターのエンティティ プロファイルに表示され、コンピューターは機密アカウントおよびラテラル ムーブメントパスに基づくすべての検出で考慮されます。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.77

リリース日: 2019 年 5 月 12 日

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.76

2019 年 5 月 6 日リリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019 年 4 月

Azure ATP リリース 2.75

2019 年 4 月 28 日リリース

  • 機能拡張: 機密性の高いエンティティ
    このバージョン (2.75) 以降では、Azure ATP によって Exchange Server として識別されたマシンに、自動的に [機密] タグが付けられます。

    Exchange Serverとして機能するため、自動的に機密としてタグ付けされるエンティティには、タグが付けられる理由としてこの分類が記載されます。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.74

2019 年 4 月14 日リリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.73

2019 年 4 月 10 日リリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2019 年 3 月

Azure ATP リリース 2.72

リリース日 2019 年 3 月 31 日

  • 機能拡張: ラテラル ムーブメントパス (LMP) スコープの深さ
    ラテラル ムーブメントパス (LMP) は、Azure ATP における脅威とリスク検出の重要な方法です。 今回の更新では、最も機密性の高いユーザーに対する重大なリスクに焦点を絞るため、表示される各グラフのスコープと深さを制限することで、各 LMP の機密性の高いユーザーに対するリスクの分析と修正がより簡単かつ迅速に行えるようになりました。

    Azure ATP が LMP を使用して環境内の各エンティティへのアクセス リスクを表面化する方法の詳細については、「ラテラル ムーブメントパス」を参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.71

2019 年 3 月 24 日リリース

  • 機能拡張: ネットワーク名前解決 (NNR) の正常性アラート
    NNR に基づく Azure ATP セキュリティ アラートに関連する信頼レベルの正常性アラートが追加されました。 各正常性アラートには、低い NNR 成功率を解決するための実用的で詳細なレコメンデーションが含まれています。

    Azure ATP での NNR の使用方法と、アラートの精度にとって重要な理由の詳細については。「ネットワーク名解決とは」を参照してください。

  • サーバーのサポート: KB4487044 を使用した Server 2019 のサポートが追加されました
    パッチレベル KB4487044 で、Windows Server 2019 の使用に対するサポートが追加されました。 このパッチを適用していない Server 2019 の使用はサポートされておらず、この更新プログラム以降はブロックされます。

  • 機能拡張: ユーザー ベースのアラートの除外
    拡張されたアラート除外オプションにより、特定のユーザーを特定のアラートから除外できるようになりました。 除外は、特定の種類の内部ソフトウェアの使用や構成が良性のセキュリティ警告を繰り返しトリガーする状況を回避するのに役立ちます。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.70

リリース日: 2019 年 3 月 17 日

Azure ATP リリース 2.69

2019 年 3 月 10 日リリース

  • 機能強化: なりすましの可能性 (pass-the-ticket) アラート このアラートには、リモート デスクトップ プロトコル (RDP) を使用して確立された接続の詳細を示す機能として新しい証拠が追加されました。 証拠が追加されたことで、RDP 接続でリモート資格情報ガードを使用することで発生する (B-TP) 無害な真陽性アラートの既知の問題を簡単に修正できるようになりました。

  • 機能拡張: DNS アラート経由のリモート コード実行
    このアラートには、ドメイン コントローラーのセキュリティ更新の状態を示す新しい証拠が追加され、更新が必要な場合に通知されます。

  • 新しいドキュメント機能: Azure ATP セキュリティ アラート MITRE ATT&CK Matrix™
    Azure ATP セキュリティ アラートと使い慣れた MITRE ATT&CK Matrix とのリレーションシップを説明し、それを容易にマップできるようにするために、Azure ATP セキュリティ アラートの一覧表示に関連する MITRE 手法が追加されました。 この参照が追加されたことにより、Azure ATP セキュリティ アラートがトリガーされたときに使用されている可能性のある疑わしい攻撃手法の理解が容易になります。 「Azure ATP セキュリティ アラート ガイド」の詳細を確認してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.68

リリース日: 2019 年 3 月 3 日

  • 機能拡張: ブルート フォースの可能性 (LDAP) のアラート
    このセキュリティ アラートでは、説明の修正、追加のソース情報のプロビジョニング、迅速な対処のための推測試行の詳細など、使いやすさが大幅に改善されています。
    ブルート フォース攻撃 (LDAP) の可能性のセキュリティ アラート」の詳細を確認してください。

  • 新しいドキュメント機能: セキュリティ アラート ラボ
    作業環境に対する実際の脅威を検出する Azure ATP の機能について説明するために、このドキュメントに新しいセキュリティ アラート ラボを追加しました。 セキュリティ アラート ラボは、ラボまたはテスト環境をすばやく設定するのに役立ち、一般的な実際の脅威や攻撃に対する最善の防御姿勢について説明するものです。

    ステップ バイ ステップ ラボは、構築の時間を最小限に抑え、脅威の状況や利用可能な Azure ATP のアラートと保護について学ぶ時間を増やすことを目的としています。 ぜひフィードバックをお寄せください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

2019 年 2 月

Azure ATP リリース 2.67

2019 年 2 月 24 日のリリース

  • 新しいセキュリティ アラート: セキュリティ プリンシパルによる偵察 (LDAP) – (プレビュー)
    Azure ATP のセキュリティ プリンシパル偵察 (LDAP) - プレビュー セキュリティ アラートがパブリック プレビュー段階になりました。 この検出では、攻撃者がセキュリティ プリンシパルの偵察を使ってドメイン環境に関する重要な情報を取得すると、Azure ATP セキュリティ アラートがトリガーされます。 この情報は、攻撃者がドメイン構造をマップするのに役立ち、攻撃キル チェーンの後の手順で使用する特権アカウントを識別するのにも役立ちます。

    ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory にクエリを実行するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。 LDAP に重点を置いたセキュリティ プリンシパルの偵察は、Kerberoasting 攻撃の最初のフェーズとして一般的に使用されます。 Kerberoasting 攻撃は、セキュリティ プリンシパル名 (SPN) のターゲット リストを取得するために使用され、攻撃者はチケット許可サーバー (TGS) チケットの取得を試みます。

  • 機能拡張: アカウント列挙偵察 (NTLM) アラート
    追加の分析を使用してアカウント列挙偵察 (NTLM) アラートを改善し、B-TP および FP アラートの発生を減らすための検出ロジックを改善しました。

  • 機能拡張: ネットワーク マッピング偵察 (DNS) アラート
    ネットワーク マッピング偵察 (DNS) アラートに追加された新しい種類の検出。 疑わしい AXFR 要求の検出に加え、Azure ATP は、過剰な数の要求を使用して非 DNS サーバーから発信される疑わしい種類の要求を検出するようになりました。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.66

2019 年 2 月 17 日のリリース

  • 機能拡張: DCSync 攻撃の可能性 (ディレクトリ サービスのレプリケーション) アラート
    このセキュリティ アラートでは、説明の改訂、追加ソース情報のプロビジョニング、新しいインフォグラフィック、より多くの証拠など、使いやすさが向上しました。 DCSync 攻撃の可能性 (ディレクトリ サービスのレプリケーション) セキュリティ アラートの詳細を確認してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.65

2019 年 2 月 10 日リリース

  • 新しいセキュリティ アラート: NTLM リレー攻撃の可能性 (Exchange アカウント) – (プレビュー)
    Azure ATP の NTLM リレー攻撃の可能性 (Exchange アカウント) - プレビュー セキュリティ アラートがパブリック プレビュー段階になりました。 この検出では、疑わしいソースからの Exchange アカウント資格情報の使用が特定されたときに、Azure ATP セキュリティ アラートがトリガーされます。 これらの種類の攻撃は、NTLM リレー手法を利用して、ドメイン コントローラーの交換権限を取得しようとするもので、ExchangePriv と呼ばれます。 2019 年 1 月 31 日に最初に公開された ADV190007 アドバイザリExchangePriv の手法と Azure ATP アラート応答の詳細について説明します。

  • 一般提供: DNS 経由でのリモート コード実行
    このアラートは GA (一般提供) 状態になりました。 詳細とアラート機能については、「DNS アラートに対するリモート コード実行」の説明ページを参照してください。

  • 一般提供: SMB 経由のデータ流出
    このアラートは GA (一般提供) 状態になりました。 詳細とアラート機能については、「SMB 経由のデータ流出」の説明ページを参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.64

リリース日: 2019 年 2 月 4 日

2019 年 1 月

Azure ATP リリース 2.63

2019 年 1 月 27 日リリース

  • 新しい機能: 信頼されていないフォレストのサポート – (プレビュー)
    信頼されていないフォレストでのセンサーに対する Azure ATP のサポートがパブリック プレビュー段階になりました。 Azure ATP ポータルの [ディレクトリ サービス] ページで、Azure ATP センサーが異なる Active Directory フォレストに接続し、Azure ATP サービスに報告できるように、追加の資格情報セットを構成します。 詳細については、「Azure ATP マルチフォレスト」を参照してください。

  • 新機能: ドメインコントローラーの対象範囲
    Azure ATP で、監視対象の Azure ATP ドメイン コントローラーの対象範囲情報が提供されるようになりました。
    Azure ATP ポータルの [センサー] ページで、環境内の Azure ATP によって検出された監視対象のドメイン コントローラーと監視対象外のドメイン コントローラーの数を表示します。 監視対象のドメイン コントローラーの一覧をダウンロードして詳細な分析を行い、アクション プランを作成します。 詳細については、「ドメイン コントローラーの監視」の攻略ガイドを参照してください。

  • 機能拡張: アカウント列挙偵察
    Azure ATP のアカウント列挙偵察検出機能で、Kerberos および NTLM を使用した列挙試行が検出され、アラートが発行されるようになりました。 以前は、この検知は Kerberos を使用した試行に対してのみ機能していました。 詳細については、「Azure ATP 偵察アラート」を参照してください。

  • 機能拡張: リモート コード実行試行のアラート

    • サービスの作成、WMI 実行、新しい PowerShell 実行など、すべてのリモート実行アクティビティが、移行先マシンのプロファイル タイムラインに追加されました。 移行先マシンは、コマンドが実行されたドメイン コントローラーです。
    • PowerShell の実行が、エンティティ プロファイル アラート タイムラインに一覧表示されるリモート コード実行アクティビティの一覧に追加されました。
    • 詳細については、「リモート コード実行の試行」に関するページを参照してください。
  • Windows Server 2019 LSASS の問題と Azure ATP
    Windows Server 2019 を実行しているドメイン コントローラーでの Azure ATP の使用に関するお客様からのフィードバックを受けて、この更新には、Windows Server 2019 マシンで報告された動作のトリガーを回避するための追加ロジックが含まれています。 Windows Server 2019 での Azure ATP センサーの完全なサポートは、今後の Azure ATP 更新プログラムで予定されていますが、Windows Server 2019 での Azure ATP のインストールと実行は現在サポートされていません。 詳細については、「Azure ATP センサーの要件」に関するページを参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.62

2019 年 1 月 20 日のリリース

  • 新しいセキュリティ アラート: DNS 経由のリモート コード実行 – (プレビュー)
    AZURE ATP の DNS 経由のリモート コード実行セキュリティ アラートがパブリック プレビュー段階になりました。 この検出では、セキュリティ脆弱性 CVE-2018-8626 が悪用される疑いのある DNS クエリがネットワーク内のドメイン コントローラーに対して実行されると、Azure ATP セキュリティ アラートがトリガーされます。

  • 機能拡張: 72 時間遅延センサーの更新
    オプションを変更して、Azure ATP の各リリース更新後に、選択したセンサーのセンサー更新を (以前の 24 時間の遅延ではなく) 72 時間遅延させるようにしました。 構成手順については、「Azure ATP センサーの更新」に関するページを参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正も含まれています。

Azure ATP リリース 2.61

2019 年 1 月 13 日リリース

Azure ATP リリース 2.60

2019 年 1 月 6 日のリリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2018 年 12 月

Azure ATP リリース 2.59

2018 年 12 月 16 日リリース

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.58

リリース日: 2018 年 12 月 9 日

  • セキュリティ アラートの強化: 不審なプロトコルの実装アラートの分割
    これまで 1 つの外部 ID (2002) を共有していた Azure ATP の一連の不審なプロトコルの実装セキュリティ アラートは、対応する一意の外部 ID を持つ 4 つの独自のアラートに分割されました。

新しいアラート externalIds

新しいセキュリティ アラート名 以前のセキュリティ アラート名 一意の外部 ID
ブルート フォース攻撃の疑い (SMB) 通常とは異なるプロトコルの実装 (Hydra などの悪意のあるツールの潜在的な使用) 2033
Overpass-the-hash 攻撃疑い (Kerberos) 異常な Kerberos プロトコルの実装 (overpass-the-hash 攻撃の可能性) 2002
Metasploit ハッキング フレームワーク使用の疑い 通常とは異なるプロトコルの実装 (Metasploit ハッキング ツール使用の可能性) 2034
WannaCry ランサムウェア攻撃の疑い 通常とは異なるプロトコルの実装 (WannaCry ランサムウェア攻撃の可能性) 2035
  • 新しい監視対象アクティビティ: SMB 経由のファイル コピー
    SMB を使用したファイルのコピーが、監視対象およびフィルタリング可能なアクティビティになりました。 Azure ATP で監視するアクティビティと、監視対象のアクティビティをポータルでフィルター処理および検索する方法について説明します。

  • 大規模なラテラル ムーブメントパス イメージの強化
    大規模な侵入の拡大パスを表示するときに、Azure ATP では、他のノードをぼかす代わりに、選択したエンティティに接続しているノードだけが強調表示されるようになりました。 この変更により、LMP のレンダリング速度が大幅に向上しました。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

Azure ATP リリース 2.57

2018 年 12 月 2 日リリース

  • 新しいセキュリティ アラート: ゴールデン チケットの使用状況の可能性 - チケットの異常 (プレビュー)
    Azure ATP のゴールデン チケットの使用の可能性 - チケットの異常セキュリティ アラートがパブリック プレビュー段階になりました。 ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用すると、攻撃者は任意のリソースへの認可を提供する Kerberos チケット付与チケット (TGT) を作成することができます。

    この偽造された TGT は、攻撃者が永続的なネットワークの永続性を達成できることから、「ゴールデン チケット」と呼ばれています。 この種の偽造されたゴールデン チケットには固有の特性があり、この新しい検出機能はそれを識別するように設計されています。

  • 機能拡張: Azure ATP インスタンス (インスタンス) の自動作成
    現在から、Azure ATP インスタンスの名前は Azure ATP インスタンスに変更されます。 Azure ATP では、Azure ATP アカウントごとに 1 つの Azure ATP インスタンスがサポートされるようになりました。 新しい顧客のインスタンスは、Azure ATP ポータル のインスタンス作成ウィザードを使用して作成されます。 既存の Azure ATP インスタンスは、この更新プログラムを使用して Azure ATP インスタンスに自動的に変換されます。

    Azure ATP インスタンスの詳細については、「Azure ATP インスタンスの作成」を参照してください。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

2018 年 11 月

Azure ATP リリース 2.56

リリース日: 2018 年 11 月 25 日

  • 機能拡張: ラテラル ムーブメント パス (LMP)
    Azure ATP のラテラル ムーブメント パス (LMP) 機能を強化するために、次の 2 つの機能が追加されました。

    • LMP 履歴が保存され、エンティティごとに、および LMP レポートを使用すると検出できるようになりました。
    • アクティビティ タイムラインを介して LMP 内のエンティティに従い、潜在的な攻撃パスを検出するために提供された追加の証拠を使用して調査します。

    強化された LMP を使用して調査する方法の詳細については、「Azure ATP のラテラル ムーブメント パス」を参照してください。

  • ドキュメントの機能強化: ラテラル ムーブメント パス、セキュリティ アラート名
    ラテラル ムーブメント パスの説明と機能を説明する Azure ATP の記事に追加と更新が行われ、古いセキュリティ アラート名のすべてのインスタンスに対して、名前マッピングが新しい名前と externalId に追加されました。

  • このバージョンには、内部センサー インフラストラクチャの機能強化とバグ修正が含まれています。

リリース 2.55 より前の各 Defender for Identity リリースの詳細については、「Defender for Identity リリース リファレンス」を参照してください。

次のステップ