Nyheter i Microsoft Defender for identitet

Denne artikkelen oppdateres jevnlig for å fortelle deg hva som er nytt i de nyeste versjonene av Microsoft Defender for identitet.

Hva er nytt omfang og referanser

Defender for identitetsutgivelser distribueres gradvis på tvers av kundeleietakere. Hvis det er en funksjon som er dokumentert her som du ikke ser ennå i leieren, kan du komme tilbake senere for å se oppdateringen.

Hvis du vil ha mer informasjon, kan du også se:

• Nyheter i Microsoft Defender XDR
• Hva er nytt i Microsoft Defender for endepunkt
• Nyheter i Microsoft Defender for Cloud Apps

Hvis du vil ha oppdateringer om versjoner og funksjoner som ble utgitt for seks måneder siden eller tidligere, kan du se hva som er nytt arkiv for Microsoft Defender for identitet.

Februar 2025

Fanen Nye angrepsbaner på identitetsprofilsiden

Denne fanen gir innsyn i potensielle angrepsbaner som fører til en kritisk identitet eller involverer den i banen, noe som bidrar til å vurdere sikkerhetsrisikoer. Hvis du vil ha mer informasjon, kan du se Oversikt over angrepsbanen i Exposure Management.

Flere forbedringer for identitetssider:

• Nytt sidepanel med mer informasjon for hver oppføring på brukertidslinjen.

• Filtreringsfunksjoner på Enheter-fanen under Observert i organisasjonen.

Oppdaterer stillingsanbefalingen Beskytt og administrer lokale administratorpassord med Microsoft LAPS

Denne oppdateringen justerer sikkerhetsstillingsvurderingen i Secure Score med den nyeste versjonen av Windows LAPS, slik at den gjenspeiler gjeldende anbefalte fremgangsmåter for sikkerhet for administrasjon av lokale administratorpassord.

Nye og oppdaterte hendelser i tabellen IdentityDirectoryEvents for avansert jakt

Vi har lagt til og oppdatert følgende hendelser i IdentityDirectoryEvents tabellen i Avansert jakt:

• Kontrollflagget for brukerkontoen er endret

• Opprettelse av sikkerhetsgruppe i Active Directory

• Kan ikke prøve å endre et kontopassord

• Vellykket passordendring for konto

• Primær gruppe-ID for konto er endret

I tillegg har den innebygde skjemareferansen for Avansert jakt i Microsoft Defender XDR blitt oppdatert for å inkludere detaljert informasjon om alle støttede hendelsestyper (ActionTypeverdier) i identitetsrelaterte tabeller, noe som sikrer fullstendig innsyn i tilgjengelige hendelser. Hvis du vil ha mer informasjon, kan du se Detaljer om avansert jaktskjema.

Desember 2024

Ny vurdering av sikkerhetsstilling: Forhindre sertifikatregistrering med vilkårlige programpolicyer (ESC15)

Defender for Identity har lagt til den nye anbefalingen Forhindre sertifikatregistrering med tilfeldige programpolicyer (ESC15) i Microsoft Secure Score.

Denne anbefalingen tar direkte for seg den nylig publiserte CVE-2024-49019, som fremhever sikkerhetsrisikoer knyttet til sårbare AD CS-konfigurasjoner. Denne vurderingen av sikkerhetsstilling lister opp alle sårbare sertifikatmaler som finnes i kundemiljøer på grunn av ikke-oppdaterte AD CS-servere.

Den nye anbefalingen legges til i andre AD CS-relaterte anbefalinger. Sammen tilbyr disse vurderingene sikkerhetsstillingsrapporter som viser sikkerhetsproblemer og alvorlige feilkonfigureringer som legger inn risikoer for hele organisasjonen, sammen med relaterte oppdagelser.

Hvis du vil ha mer informasjon, kan du se:

• Sikkerhetsvurdering: Forhindre sertifikatregistrering med vilkårlige programpolicyer (ESC15)

• Microsoft Defender for identitet sin sikkerhet holdning vurderinger

Oktober 2024

MDI utvider dekningen med nye anbefalinger for identitetsstilling (forhåndsversjon)

De nye identitetssikkerhetsvurderingene (ISPM-er) kan hjelpe kundene med å overvåke feilkonfigurering ved å se etter svake punkter og redusere risikoen for potensielle angrep på lokal infrastruktur.
Disse nye identitetsanbefalingene, som en del av Microsoft Secure Score, er nye rapporter om sikkerhetsstillinger relatert til Active Directory-infrastruktur og gruppepolicyobjekter:

• Kontoer med ikke-standard primær gruppe-ID

• Endre passordet for datamaskinkontoen for domenekontrolleren

• GPO tilordner ikke-privilegerte identiteter til lokale grupper med utvidede rettigheter

• GPO kan endres av ikke-privilegerte kontoer

• Reversible passord funnet i gpoer

• Innebygd Active Directory-gjestekonto er aktivert

• Usikre tillatelser for DnsAdmins-gruppen

• Kontroller at alle privilegerte kontoer har konfigurasjonsflagget «denne kontoen er sensitiv og kan ikke delegeres»

• Endre passord for krbtgt-konto

• Endre passord for den innebygde administratorkontoen for domenet

I tillegg oppdaterte vi den eksisterende anbefalingen av «Endre usikre Kerberos-delegeringer for å forhindre representasjon» for å inkludere indikasjon på Kerberos-avgrenset delegering med protokollovergang til en privilegert tjeneste.

30. august 2024

Ny Microsoft Entra Tilkoblingssensor:

Som en del av vår kontinuerlige innsats for å forbedre Microsoft Defender for identitet dekning i hybrididentitetsmiljøer, har vi innført en ny sensor for Microsoft Entra Connect-servere. I tillegg har vi lansert nye hybride sikkerhetsgjenkjenninger og anbefalinger for ny identitetsstilling spesielt for Microsoft Entra Connect, slik at kundene kan holde seg beskyttet og redusere potensielle risikoer.

Nye Microsoft Entra Connect Identity-anbefalinger:

• Roter passord for Microsoft Entra Koble til kobling-konto
  • En kompromittert Microsoft Entra Connect-tilkoblingskonto (AD DS-koblingskonto, vanligvis vist som MSOL_XXXXXXXX), kan gi tilgang til funksjoner med høy tilgang, som replikering og tilbakestilling av passord, slik at angripere kan endre synkroniseringsinnstillinger og kompromittere sikkerheten i både skymiljøer og lokale miljøer, samt tilby flere baner for å kompromittere hele domenet. I denne vurderingen anbefaler vi at kunder endrer passordet for MSOL-kontoer med passordet som sist ble angitt for over 90 dager siden. Hvis du vil ha mer informasjon, kan du klikke her.
• Fjern unødvendige replikeringstillatelser for Microsoft Entra Koble til konto
  • Som standard har Microsoft Entra Connect-koblingskontoen omfattende tillatelser for å sikre riktig synkronisering (selv om de faktisk ikke er nødvendige). Hvis synkronisering av hash for passord ikke er konfigurert, er det viktig å fjerne unødvendige tillatelser for å redusere den potensielle angrepsoverflaten. Hvis du vil ha mer informasjon, kan du klikke her
• Endre passord for Microsoft Entra sømløs konfigurasjon av SSO-konto
  • Denne rapporten viser alle Microsoft Entra sømløse SSO-datamaskinkontoer med passord for siste angitt for over 90 dager siden. Passordet for Azure SSO-datamaskinkontoen endres ikke automatisk hver 30. dag. Hvis en angriper kompromitterer denne kontoen, kan de generere tjenesteforespørsler for AZUREADSSOACC-kontoen på vegne av en bruker og representere alle brukere i den Microsoft Entra leieren som er synkronisert fra Active Directory. En angriper kan bruke dette til å flytte sidelengs fra Active Directory til Microsoft Entra ID. Hvis du vil ha mer informasjon, kan du klikke her.

Nye Microsoft Entra Tilkoblingsregistreringer:

• Mistenkelig interaktiv pålogging på Microsoft Entra Connect Server
  • Direkte pålogginger til Microsoft Entra Connect-servere er svært uvanlige og potensielt skadelige. Angripere retter seg ofte mot disse serverne for å stjele legitimasjon for bredere nettverkstilgang. Microsoft Defender for identitet kan nå oppdage unormale pålogginger for å Microsoft Entra Connect-servere, slik at du kan identifisere og reagere raskere på disse potensielle truslene. Det gjelder spesielt når Microsoft Entra Connect-serveren er en frittstående server og ikke fungerer som en domenekontroller.
• Tilbakestilling av brukerpassord ved Microsoft Entra Koble til konto
  • Kontoen Microsoft Entra Connect Connector har ofte høye rettigheter, inkludert muligheten til å tilbakestille brukerens passord. Microsoft Defender for identitet har nå innsyn i disse handlingene og vil oppdage all bruk av tillatelsene som ble identifisert som ondsinnede og ikke-legitime. Dette varselet utløses bare hvis funksjonen for tilbakeskriving av passord er deaktivert.
• Mistenkelig tilbakeskriving av Microsoft Entra Koble til en sensitiv bruker
  • Selv om Microsoft Entra Connect allerede hindrer tilbakeskriving for brukere i privilegerte grupper, utvider Microsoft Defender for identitet denne beskyttelsen ved å identifisere flere typer sensitive kontoer. Denne forbedrede gjenkjenningen bidrar til å forhindre uautoriserte tilbakestilling av passord på kritiske kontoer, noe som kan være et avgjørende skritt i avanserte angrep rettet mot både skymiljøer og lokale miljøer.

Flere forbedringer og funksjoner:

• Ny aktivitet for eventuelle mislykkede tilbakestilling av passord på en sensitiv konto som er tilgjengelig i IdentityDirectoryEvents-tabellen i Avansert jakt. Dette kan hjelpe kunder med å spore mislykkede hendelser for tilbakestilling av passord og opprette egendefinert gjenkjenning basert på disse dataene.
• Forbedret nøyaktighet for gjenkjenning av DC-synkroniseringsangrep .
• Nytt helseproblem for tilfeller der sensoren ikke kan hente konfigurasjonen fra Microsoft Entra Connect-tjenesten.
• Utvidet overvåking for sikkerhetsvarsler, for eksempel PowerShell Remote Execution Detector, ved å aktivere den nye sensoren på Microsoft Entra Connect-servere.

Mer informasjon om den nye sensoren

Oppdatert DefenderForIdentity PowerShell-modul

DefenderForIdentity PowerShell-modulen er oppdatert, med ny funksjonalitet og adressering av flere feilrettinger. Viktige forbedringer inkluderer:

• Ny New-MDIDSA Cmdlet: Forenkler oppretting av tjenestekontoer, med en standardinnstilling for gruppeadministrerte tjenestekontoer (gMSA) og et alternativ for å opprette standardkontoer.
• Automatisk PDCe-gjenkjenning: Forbedrer påliteligheten for oppretting av gruppepolicy objekt (GPO) ved automatisk å målrette mot Emulator (Primary Domain Controller Emulator) for de fleste Active Directory-operasjoner.
• Manuell domenekontrollerangivelse: Ny serverparameter for Get/Set/Test-MDIConfiguration cmdleter, slik at du kan angi en domenekontroller for målretting i stedet for PDCe.

Hvis du vil ha mer informasjon, kan du se:

• DefenderForIdentity PowerShell-modul (PowerShell-galleri)
• Referansedokumentasjon for DefenderForIdentity PowerShell

Juli 2024

6 Nye oppdagelser er nye i offentlig forhåndsversjon:

• Mulig NetSync-angrep
  • NetSync er en modul i Mimikatz, et verktøy etter utnyttelse, som ber om passord-hash for passordet til en målenhets passord ved å utgi seg for å være en domenekontroller. En angriper kan utføre ondsinnede aktiviteter i nettverket ved hjelp av denne funksjonen for å få tilgang til organisasjonens ressurser.
• Mulig overtakelse av en Microsoft Entra sømløs SSO-konto
  • Et Microsoft Entra sømløst SSO-kontoobjekt (enkel pålogging), AZUREADSSOACC, ble endret mistenkelig. En angriper kan flytte sidelengs fra det lokale miljøet til skyen.
• Mistenkelig LDAP-spørring
  • En mistenkelig LDAP-spørring (Lightweight Directory Access Protocol) som er knyttet til et kjent angrepsverktøy, ble oppdaget. En angriper kan utføre rekognosering for senere trinn.
• Mistenkelig SPN ble lagt til en bruker
  • Et mistenkelig tjenestehovednavn (SPN) ble lagt til en sensitiv bruker. En angriper kan forsøke å få forhøyet tilgang for sidebevegelse i organisasjonen
• Mistenkelig opprettelse av ESXi-gruppe
  • En mistenkelig VMWare ESXi-gruppe ble opprettet i domenet. Dette kan indikere at en angriper prøver å få flere tillatelser for senere trinn i et angrep.
• Mistenkelig ADFS-godkjenning
  • En domenetilkoblet konto logget på ved hjelp av Active Directory Federation Services (ADFS) fra en mistenkelig IP-adresse. En angriper kan ha stjålet legitimasjonen til en bruker og bruker den til å flytte senere i organisasjonen.

Defender for identity release 2.238

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Juni 2024

Søk enkelt etter brukerinformasjon fra ITDR-instrumentbordet

Skjold-kontrollprogrammet gir en rask oversikt over antall brukere i hybrid-, sky- og lokale miljøer. Denne funksjonen inneholder nå direkte koblinger til Avansert jakt-plattformen, som gir detaljert brukerinformasjon lett tilgjengelig.

Kontrollprogrammet for ITDR-distribusjonstilstand inkluderer nå Microsoft Entra betinget tilgang og Microsoft Entra-privattilgang

Nå kan du vise lisenstilgjengeligheten for Microsoft Entra betinget tilgang for arbeidsbelastning, Microsoft Entra bruker betinget tilgang og Microsoft Entra-privattilgang.

Defender for identity release 2.237

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Mai 2024

Defender for identity release 2.236

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.235

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

April 2024

Finn enkelt sikkerhetsproblemet cve-2024-21427 Windows Kerberos sikkerhetsfunksjon forbikobling

For å hjelpe kundene med å identifisere og oppdage forsøk på å omgå sikkerhetsprotokoller i henhold til dette sikkerhetsproblemet, har vi lagt til en ny aktivitet i Avansert jakt som overvåker Kerberos AS-godkjenning.
Med disse dataene kan kunder nå enkelt opprette sine egne gjenkjenningsregler i Microsoft Defender XDR og automatisk utløse varsler for denne typen aktivitet

Tilgang Defender XDR portal -> Jakt -> Avansert jakt.

Nå kan du kopiere vår anbefalte spørring som angitt nedenfor, og klikke på «Opprett gjenkjenningsregel». Vær oppmerksom på at den angitte spørringen også sporer mislykkede påloggingsforsøk, noe som kan generere informasjon som ikke er relatert til et potensielt angrep. Du kan derfor tilpasse spørringen etter dine spesifikke krav.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for identity release 2.234

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.233

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Mars 2024

Nye skrivebeskyttede tillatelser for visning av Defender for identitetsinnstillinger

Nå kan du konfigurere Defender for identitetsbrukere med skrivebeskyttede tillatelser til å vise defender for identitetsinnstillinger.

Hvis du vil ha mer informasjon, kan du se Nødvendige tillatelser Defender for identitet i Microsoft Defender XDR.

Ny Graph-basert API for visning og administrasjon av helseproblemer

Nå kan du vise og administrere Microsoft Defender for identitet helseproblemer gjennom Graph API

Hvis du vil ha mer informasjon, kan du se Administrere problemer med tilstand gjennom Graph API.

Defender for identity release 2.232

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.231

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Februar 2024

Defender for Identity versjon 2.230

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Ny vurdering av sikkerhetsstilling for usikker AD CS IIS-endepunktkonfigurasjon

Defender for Identity har lagt til den nye rediger usikre ADCS-sertifikatregistrerings-IIS-endepunktene (ESC8) i Microsoft Secure Score.

Active Directory Certificate Services (AD CS) støtter sertifikatregistrering gjennom ulike metoder og protokoller, inkludert registrering via HTTP ved hjelp av Certificate Enrollment Service (CES) eller grensesnittet for webregistrering (Certsrv). Usikre konfigurasjoner av CES- eller Certsrv IIS-endepunktene kan skape sårbarheter for å videresende angrep (ESC8).

Den nye rediger usikre ADCS-sertifikatregistrerings-IIS-endepunktene (ESC8) legges til i andre AD CS-relaterte anbefalinger som nylig ble utgitt. Sammen tilbyr disse vurderingene sikkerhetsstillingsrapporter som viser sikkerhetsproblemer og alvorlige feilkonfigureringer som legger inn risikoer for hele organisasjonen, sammen med relaterte oppdagelser.

Hvis du vil ha mer informasjon, kan du se:

• Sikkerhetsvurdering: Rediger usikre ADCS-sertifikatregistrerings-IIS-endepunkter (ESC8)
• Vurderinger av sikkerhetsstillinger for AD CS-sensorer
• Microsoft Defender for identitet sin sikkerhet holdning vurderinger

Defender for identity release 2.229

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Forbedret brukeropplevelse for justering av varslingsterskler (forhåndsversjon)

Siden Avanserte innstillinger for Defender for identitet har nå fått nytt navn for å justere terskler for varsler og gir en oppdatert opplevelse med forbedret fleksibilitet for justering av varslingsterskler.

Endringene omfatter:

• Vi har fjernet det forrige alternativet fjern læringsperiode , og lagt til et nytt alternativ for anbefalt testmodus . Velg Anbefalt testmodus for å angi alle terskelnivåer til Lav, øke antall varsler og angi alle andre terskelnivåer til skrivebeskyttet.

• Den forrige kolonnen på følsomhetsnivå har nå fått nytt navn som terskelnivå, med nylig definerte verdier. Som standard er alle varsler satt til en høy terskel, som representerer standard virkemåte og en standard varslingskonfigurasjon.

Tabellen nedenfor viser tilordningen mellom de forrige verdiene for følsomhetsnivå og de nye terskelnivåverdiene :

Følsomhetsnivå (tidligere navn)	Terskelnivå (nytt navn)
Normal	Høy
Middels	Middels
Høy	Lav

Hvis du hadde bestemte verdier definert på siden Avanserte innstillinger , har vi overført dem til den nye siden Juster terskelverdier for varsel på følgende måte:

Konfigurasjon av avanserte innstillinger-siden	Ny konfigurasjon av sidekonfigurasjon for terskelverdi for nytt varsel
Fjern veksleprogram for læringsperiode	Anbefalt testmodus er slått av. Konfigurasjonsinnstillinger for varslingsterskel forblir de samme.
Fjern veksleprogram for læringsperiode	Anbefalt testmodus er slått av. Konfigurasjonsinnstillinger for varslingsterskel tilbakestilles til standardverdiene, med et høyt terskelnivå.

Varsler utløses alltid umiddelbart hvis alternativet Anbefalt testmodus er valgt, eller hvis et terskelnivå er satt til Middels eller Lav, uavhengig av om varselets læringsperiode allerede er fullført.

Hvis du vil ha mer informasjon, kan du se Juster varslingsterskler.

Sider for enhetsdetaljer inkluderer nå enhetsbeskrivelser (forhåndsvisning)

Microsoft Defender XDR inneholder nå enhetsbeskrivelser på enhetsdetaljerruter og enhetsdetaljersider. Beskrivelsene fylles ut fra enhetens Active Directory Description-attributt.

For eksempel i sideruten for enhetsdetaljer:

Hvis du vil ha mer informasjon, kan du se Undersøkelsestrinn for mistenkelige enheter.

Defender for identity release 2.228

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren og følgende nye varsler:

• Rekognosering av kontoopplisting (LDAP) (ekstern ID 2437) (forhåndsversjon)
• Endring av passord for gjenopprettingsmodus for katalogtjenester (ekstern ID 2438) (forhåndsvisning)

Januar 2024

Defender for identity release 2.227

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Tidslinjefanen er lagt til for gruppeenheter

Nå kan du vise enhetsrelaterte aktiviteter og varsler for Active Directory-grupper fra de siste 180 dagene i Microsoft Defender XDR, for eksempel endringer i gruppemedlemskap, LDAP-spørringer og så videre.

Hvis du vil ha tilgang til gruppetidslinjesiden, velger du Åpne tidslinje i detaljruten for gruppen.

Eksempel:

Hvis du vil ha mer informasjon, kan du se Undersøkelsestrinn for mistenkelige grupper.

Konfigurer og valider Defender for Identity-miljøet via PowerShell

Defender for Identity støtter nå den nye DefenderForIdentity PowerShell-modulen, som er utformet for å hjelpe deg med å konfigurere og validere miljøet for å arbeide med Microsoft Defender for identitet.

Bruk PowerShell-kommandoene til å unngå feilkonfigureringer og spare tid og unngå unødvendig belastning på systemet.

Vi har lagt til følgende prosedyrer i dokumentasjonen for Defender for Identity for å hjelpe deg med å bruke de nye PowerShell-kommandoene:

• Endre proxy-konfigurasjon ved hjelp av PowerShell
• Konfigurere, hente og teste overvåkingspolicyer ved hjelp av PowerShell
• Generer en rapport med gjeldende konfigurasjoner via PowerShell
• Test DSA-tillatelser og delegeringer via PowerShell
• Test tjenestetilkobling ved hjelp av PowerShell

Hvis du vil ha mer informasjon, kan du se:

• DefenderForIdentity PowerShell-modul (PowerShell-galleri)
• Referansedokumentasjon for DefenderForIdentity PowerShell

Defender for identity release 2.226

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.225

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Desember 2023

Obs!

Hvis du ser et redusert antall varsler om ekstern kjøring av kode , kan du se de oppdaterte septemberkunngjøringene, som inkluderer en oppdatering av Defender for identitetsgjenkjenningslogikk. Defender for Identity fortsetter å registrere aktivitetene for ekstern kjøring av kode som før.

Nytt identitetsområde og instrumentbord i Microsoft 365 Defender (forhåndsvisning)

Defender for Identity-kunder har nå et nytt identitetsområde i Microsoft 365 Defender for informasjon om identitetssikkerhet med Defender for identitet.

Velg Identiteter i Microsoft 365 Defender for å se følgende nye sider:

• Instrumentbord: Denne siden viser grafer og kontrollprogrammer for å hjelpe deg med å overvåke gjenkjenning av identitetstrusler og responsaktiviteter.  Eksempel:

  

  Hvis du vil ha mer informasjon, kan du se Arbeide med Defender for identitetens ITDR-instrumentbord.

• Helseproblemer: Denne siden flyttes fra innstillingeridentiteter-området>, og viser eventuelle aktuelle helseproblemer for den generelle Defender for Identity-distribusjonen og spesifikke sensorer. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet sensorhelseproblemer.

• Verktøy: Denne siden inneholder koblinger til nyttig informasjon og ressurser når du arbeider med Defender for Identity. På denne siden finner du koblinger til dokumentasjon, spesielt på verktøyet for kapasitetsplanlegging og Test-MdiReadiness.ps1 skript.

Defender for identity release 2.224

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Vurderinger av sikkerhetsstillinger for AD CS-sensorer (forhåndsversjon)

Defender for Identitys vurderinger av sikkerhetsstilling oppdager og anbefaler proaktivt handlinger på tvers av lokal Active Directory konfigurasjoner.

Anbefalte tiltak omfatter nå følgende nye vurderinger av sikkerhetsstillinger, spesielt for sertifikatmaler og sertifiseringsinstanser.

• Anbefalte handlinger for sertifikatmaler:

  • Hindre brukere i å be om et sertifikat som er gyldig for tilfeldige brukere basert på sertifikatmalen (ESC1)
  • Rediger altfor tillatt sertifikatmal med privilegert EKU (Any purpose EKU eller No EKU) (ESC2)
  • Feilkonfigurert mal for sertifikat for registreringsagent (ESC3)
  • Rediger feilkonfigurerte sertifikatmaler ACL (ESC4)
  • Rediger feilkonfigurert eier av sertifikatmaler (ESC4)

• Anbefalte handlinger for sertifiseringsinstans:

  • Rediger innstilling for sårbar sertifiseringsinstans (ESC6)
  • Rediger feilkonfigurert ACL for sertifiseringsinstans (ESC7)
  • Fremtving kryptering for RPC-sertifikatregistreringsgrensesnitt (ESC11)

De nye vurderingene er tilgjengelige i Microsoft Secure Score, som viser sikkerhetsproblemer og alvorlige feilkonfigureringer som utgjør risiko for hele organisasjonen, sammen med oppdagelser. Poengsummen din oppdateres tilsvarende.

Eksempel:

For mer informasjon, se Microsoft Defender for identitet sikkerhetsstillingsvurderinger.

Obs!

Selv om vurderinger av sertifikatmaler er tilgjengelige for alle kunder som har AD CS installert på miljøet, er sertifiseringsinstansvurderinger bare tilgjengelige for kunder som har installert en sensor på en AD CS-server. Hvis du vil ha mer informasjon, kan du se Ny sensortype for Active Directory Certificate Services (AD CS).

Defender for identity release 2.223

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.222

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.221

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

November 2023

Defender for identity release 2.220

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.219

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Tidslinje for identitet inneholder mer enn 30 dager med data (forhåndsvisning)

Defender for Identity ruller gradvis ut utvidede dataoppbevaringer på identitetsdetaljer til mer enn 30 dager.

Tidslinje-fanen for identitetsdetaljene, som inkluderer aktiviteter fra Defender for Identitet, Microsoft Defender for Cloud Apps og Microsoft Defender for endepunkt, inneholder for øyeblikket minst 150 dager og vokser. Det kan være en viss variasjon i dataoppbevaringsratene i løpet av de neste ukene.

Hvis du vil vise aktiviteter og varsler på tidslinjen for identitet innen en bestemt tidsramme, velger du standard 30 dager og velger deretter Egendefinert område. Filtrerte data fra mer enn 30 dager siden vises i maksimalt sju dager om gangen.

Eksempel:

Hvis du vil ha mer informasjon, kan du se Undersøke aktiva og undersøke brukere i Microsoft Defender XDR.

Defender for identity release 2.218

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Oktober 2023

Defender for identity release 2.217

Denne versjonen inneholder følgende forbedringer:

• Sammendragsrapport: Sammendragsrapporten oppdateres til å inkludere to nye kolonner i kategorien Helseproblemer :

  • Detaljer: Tilleggsinformasjon om problemet, for eksempel en liste over berørte objekter eller bestemte sensorer som problemet oppstår på.
  • Anbefalinger: En liste over anbefalte handlinger som kan utføres for å løse problemet, eller hvordan du undersøker problemet ytterligere.

  Hvis du vil ha mer informasjon, kan du se Laste ned og planlegge Defender for identitetsrapporter i Microsoft Defender XDR (forhåndsvisning).

• Helseproblemer: Veksleknappen Fjern læringsperiode ble automatisk slått av for dette problemet med leier*.

Denne versjonen inneholder også feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.216

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

September 2023

Redusert antall varsler for forsøk på ekstern kjøring av kode

For bedre å justere Defender for identitets- og Microsoft Defender for endepunkt varsler oppdaterte vi gjenkjenningslogikken for forsøksregistreringen av Defender for Identity Remote-kodekjøring.

Selv om denne endringen resulterer i et redusert antall varsler om ekstern kjøring av kode , fortsetter Defender for Identity å registrere aktivitetene for ekstern kjøring av kode. Kunder kan fortsette å bygge sine egne avanserte jaktspørringer og opprette egendefinerte gjenkjenningspolicyer.

Innstillinger for varslingsfølsomhet og forbedringer for læringsperioder

Noen Defender for Identity-varsler venter på en læringsperiode før varsler utløses, mens du bygger en profil av mønstre som skal brukes når du skiller mellom legitime og mistenkelige aktiviteter.

Defender for Identity gir nå følgende forbedringer for læringsperioden:

• Administratorer kan nå bruke innstillingen Fjern læringsperiode til å konfigurere følsomheten som brukes for bestemte varsler. Definer følsomheten som normal for å konfigurere innstillingen Fjern læringsperiode som Av for den valgte varseltypen.

• Når du distribuerer en ny sensor i et nytt Defender for Identity-arbeidsområde, aktiveres innstillingen Fjern læringsperiode automatisk i 30 dager. Når 30 dager er fullført, deaktiveres innstillingen Fjern læringsperiode automatisk , og nivåene for varslingsfølsomhet returneres til standardfunksjonaliteten.

  Hvis du vil at Defender for Identity skal bruke standard funksjonalitet for læringsperioder, der varsler ikke genereres før læringsperioden er fullført, konfigurerer du innstillingen Fjern læringsperioder til Av.

Hvis du tidligere har oppdatert innstillingen Fjern læringsperiode , forblir innstillingen slik du hadde konfigurert den.

Hvis du vil ha mer informasjon, kan du se Advanced settings.

Obs!

Siden Avanserte innstillinger listet opprinnelig opp varselet om rekognosering av kontoopplisting under alternativene for Fjern læringsperiode, som kan konfigureres for følsomhetsinnstillinger. Dette varselet ble fjernet fra listen og erstattes av LDAP-varselet (Security Principal Rekognosering ). Denne brukergrensesnittfeilen ble løst i november 2023.

Defender for identity release 2.215

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for Identity-rapporter flyttet til hovedområdet for rapporter

Nå kan du få tilgang til Defender for identitetsrapporter fra Microsoft Defender XDR hovedområdet for rapporter i stedet for Innstillinger-området. Eksempel:

Hvis du vil ha mer informasjon, kan du se Laste ned og planlegge Defender for identitetsrapporter i Microsoft Defender XDR (forhåndsvisning).

Gå på jakt-knappen for grupper i Microsoft Defender XDR

Defender for Identity la til Søk-knappen for grupper i Microsoft Defender XDR. Brukere kan bruke Gå til jakt-knappen til å spørre etter grupperelaterte aktiviteter og varsler under en undersøkelse.

Eksempel:

Hvis du vil ha mer informasjon, kan du se Raskt jakt etter enhets- eller hendelsesinformasjon med søk.

Defender for identity release 2.214

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Ytelsesforbedringer

Defender for Identity gjorde interne forbedringer for ventetid, stabilitet og ytelse ved overføring av sanntidshendelser fra Defender for Identity-tjenester til Microsoft Defender XDR. Kunder bør forvente ingen forsinkelser i Defender for identitetsdata som vises i Microsoft Defender XDR, for eksempel varsler eller aktiviteter for avansert jakt.

Hvis du vil ha mer informasjon, kan du se:

• Sikkerhetsvarsler i Microsoft Defender for identitet
• Microsoft Defender for identitet sin sikkerhet holdning vurderinger
• Proaktivt jakten på trusler med avansert jakt i Microsoft Defender XDR

August 2023

Defender for identity release 2.213

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.212

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Defender for identity release 2.211

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Ny sensortype for Active Directory Certificate Services (AD CS)

Defender for Identity støtter nå den nye ADCS-sensortypen for en dedikert server med Active Directory Certificate Services (AD CS) konfigurert.

Du ser den nye sensortypen som identifiseres på innstillingeridentitetssensorsiden >> i Microsoft Defender XDR. Hvis du vil ha mer informasjon, kan du se Administrere og oppdatere Microsoft Defender for identitet sensorer.

Sammen med den nye sensortypen tilbyr Defender for Identity også relaterte AD CS-varsler og rapporter for sikker poengsum. Hvis du vil vise de nye varslene og rapportene for sikker poengsum, må du kontrollere at de nødvendige hendelsene samles inn og logges på serveren. Hvis du vil ha mer informasjon, kan du se Konfigurere overvåking for Active Directory Certificate Services -hendelser (AD CS).

AD CS er en Windows Server rolle som utsteder og administrerer PKI-sertifikater (public key infrastructure) i sikre kommunikasjons- og godkjenningsprotokoller. Hvis du vil ha mer informasjon, kan du se Hva er Active Directory Certificate Services?

Defender for identity release 2.210

Denne versjonen inneholder forbedringer og feilrettinger for skytjenester og Defender for Identity-sensoren.

Neste trinn

• Hva er Microsoft Defender for identitet?

• Vanlige spørsmål

• Forutsetninger for Defender for identitet

• Defender for identitetskapasitetsplanlegging

• Ta en titt på Defender for Identity-forumet!