Microsoft Defender for Identity 中的新增功能

本文经常更新,以让你了解Microsoft Defender for Identity的最新版本中的新增功能。

新增功能范围和参考

Defender for Identity 版本逐步跨客户租户部署。 如果此处记录的某个功能尚未在租户中看到,检查稍后返回更新。

有关详细信息,另请参阅:

有关六个月前或更早发布的版本和功能的更新,请参阅Microsoft Defender for Identity的新增功能存档

2024 年 12 月

新的安全状况评估:使用任意应用程序策略阻止证书注册 (ESC15)

Defender for Identity 在 Microsoft 安全功能分数中添加了新的 “使用任意应用程序策略阻止证书注册” (ESC15) 建议。

此建议直接解决最近发布的 CVE-2024-49019,其中突出显示了与易受攻击的 AD CS 配置相关的安全风险。 此安全状况评估列出了由于未修补的 AD CS 服务器在客户环境中发现的所有易受攻击的证书模板。

新建议将添加到其他 AD CS 相关建议中。 这些评估共同提供安全态势报告,这些报告显示安全问题和严重错误配置,将风险发布到整个组织,以及相关的检测。

有关更多信息,请参阅:

2024 年 10 月

MDI 正在通过新的 10 种标识态势建议 (预览版)

新的标识安全态势评估 (ISPM) 可以帮助客户监视错误配置,方法是监视薄弱环节,并降低本地基础结构受到潜在攻击的风险。
这些新标识建议作为Microsoft安全功能分数的一部分,是与 Active Directory 基础结构和组策略对象相关的新安全态势报告:

此外,我们更新了现有建议“修改不安全的 Kerberos 委派以防止模拟”,以包括使用协议转换到特权服务的 Kerberos 约束委派的指示。

2024 年 8 月

新的 Microsoft Entra Connect 传感器:

作为我们在混合标识环境中增强Microsoft Defender for Identity覆盖范围的持续努力的一部分,我们为 Microsoft Entra Connect 服务器引入了新的传感器。 此外,我们还针对 Microsoft Entra Connect 发布了新的混合安全检测和新的标识态势建议,帮助客户保持受保护状态并缓解潜在风险。

新的 Microsoft Entra Connect 标识态势建议:

  • 轮换 Microsoft Entra Connect 连接器帐户的密码
    • 已泄露的 Microsoft Entra Connect 连接器帐户 (AD DS 连接器帐户,通常显示为MSOL_XXXXXXXX) 可以授予对复制和密码重置等高特权功能的访问权限,使攻击者能够在云和本地环境中修改同步设置并损害安全性,并提供多个路径来破坏整个域。 在此评估中,我们建议客户更改上次设置的密码超过 90 天前的 MSOL 帐户的密码。 有关详细信息, 请单击此处
  • 删除 Microsoft Entra Connect 帐户的不必要的复制权限
    • 默认情况下,Microsoft Entra Connect 连接器帐户具有广泛的权限,以确保正确同步 (,即使) 实际上不需要它们。 如果未配置密码哈希同步,请务必删除不必要的权限,以减少潜在的攻击面。 有关详细信息, 请单击此处
  • 更改Microsoft Entra无缝 SSO 帐户配置的密码
    • 此报告列出了所有Microsoft Entra无缝 SSO 计算机帐户,其密码上次设置时间超过 90 天。 Azure SSO 计算机帐户的密码不会每 30 天自动更改一次。 如果攻击者入侵此帐户,他们可以代表任何用户为 AZUREADSSOACC 帐户生成服务票证,并模拟从 Active Directory 同步的Microsoft Entra租户中的任何用户。 攻击者可以使用它从 Active Directory 横向移动到Microsoft Entra ID。 有关详细信息, 请单击此处

新的 Microsoft Entra Connect 检测:

  • 可疑的交互式登录Microsoft Entra连接服务器
    • 直接登录到 Microsoft Entra Connect 服务器是非常不寻常的,并且可能是恶意的。 攻击者通常以这些服务器为目标来窃取凭据,以便进行更广泛的网络访问。 Microsoft Defender for Identity现在可以检测Microsoft Entra Connect 服务器的异常登录,从而帮助你更快地识别和响应这些潜在威胁。 当 Microsoft Entra Connect 服务器是独立服务器且不作为域控制器运行时,它特别适用。
  • Microsoft Entra Connect 帐户重置用户密码
    • Microsoft Entra Connect 连接器帐户通常拥有高权限,包括重置用户密码的功能。 Microsoft Defender for Identity现在可查看这些操作,并检测这些权限的任何使用情况,这些权限被标识为恶意和非合法。 仅当 禁用密码写回功能 时,才会触发此警报。
  • Microsoft Entra连接敏感用户的可疑写回
    • 虽然 Microsoft Entra Connect 已阻止特权组中的用户写回,但Microsoft Defender for Identity通过标识其他敏感帐户类型来扩展此保护。 这种增强的检测有助于防止对关键帐户进行未经授权的密码重置,这可以是针对云和本地环境的高级攻击的关键一步。

其他改进和功能:

  • 高级搜寻的“IdentityDirectoryEvents”表中提供的 敏感帐户上任何密码重置失败 的新活动。 这可以帮助客户跟踪失败的密码重置事件,并基于此数据创建自定义检测。
  • 提高了 DC 同步攻击 检测的准确性。
  • 传感器无法从 Microsoft Entra Connect 服务检索配置时出现新的运行状况问题
  • 通过在 Microsoft Entra Connect 服务器上启用新传感器,对安全警报(例如 PowerShell 远程执行检测器)进行扩展监视。

详细了解新传感器

更新了 DefenderForIdentity PowerShell 模块

DefenderForIdentity PowerShell 模块已更新,包含新功能并修复了多个 bug。 主要改进包括:

  • 新增功能 New-MDIDSA Cmdlet:简化了服务帐户的创建, (gMSA) 组托管服务帐户的默认设置和用于创建标准帐户的选项。
  • 自动 PDCe 检测:通过自动将主域控制器模拟器 (PDCe) 用于大多数 Active Directory 操作,提高了组策略对象 (GPO) 创建的可靠性。
  • 手动域控制器目标:cmdlet Get/Set/Test-MDIConfiguration 的新服务器参数,允许你指定用于目标的域控制器,而不是 PDCe。

有关更多信息,请参阅:

2024 年 7 月

6 公共预览版中新增了新的检测:

  • 可能的 NetSync 攻击
    • NetSync 是 Mimikatz(一种攻击后工具)中的一个模块,它通过假装为域控制器来请求目标设备密码的密码哈希。 攻击者可能会使用此功能在网络内执行恶意活动,以获取对组织资源的访问权限。
  • 可能接管Microsoft Entra无缝 SSO 帐户
    • Microsoft Entra无缝 SSO (单一登录) 帐户对象 AZUREADSSOACC 进行了可疑修改。 攻击者可能正在从本地环境横向移动到云。
  • 可疑 LDAP 查询
    • 检测到与已知攻击工具关联的可疑轻型目录访问协议 (LDAP) 查询。 攻击者可能正在执行侦查以执行后续步骤。
  • 向用户添加了可疑 SPN
    • 向敏感用户添加了可疑的服务主体名称 (SPN) 。 攻击者可能试图获取提升的访问权限,以便在组织内进行横向移动
  • 可疑的 ESXi 组创建
    • 在域中创建了可疑的 VMWare ESXi 组。 这可能表明攻击者正在尝试为攻击的后续步骤获取更多权限。
  • 可疑的 ADFS 身份验证
    • 使用 Active Directory 联合身份验证服务 (ADFS 登录的已加入域的帐户,) 来自可疑 IP 地址。 攻击者可能窃取了用户的凭据,并正在使用该凭据在组织中横向移动。

Defender for Identity 版本 2.238

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2024 年 6 月

从 ITDR 仪表板轻松搜寻用户信息

Shield 小组件提供混合、云和本地环境中用户数的快速概述。 此功能现在包括高级搜寻平台的直接链接,提供触手可及的详细用户信息。

ITDR 部署运行状况小组件现在包括Microsoft Entra条件访问和Microsoft Entra 专用访问

现在,可以查看Microsoft Entra工作负载条件访问、Microsoft Entra用户条件访问和Microsoft Entra 专用访问的许可证可用性。

Defender for Identity 版本 2.237

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2024 年 5 月

Defender for Identity 版本 2.236

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.235

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2024 年 4 月

轻松检测 CVE-2024-21427 Windows Kerberos 安全功能绕过漏洞

为了帮助客户根据 此漏洞更好地识别和检测绕过安全协议的尝试,我们在高级搜寻中添加了一个新活动,用于监视 Kerberos AS 身份验证。
借助此数据,客户现在可以在Microsoft Defender XDR内轻松创建自己的自定义检测规则,并自动触发此类活动的警报

访问Defender XDR门户 -> 搜寻 -> 高级搜寻。

现在,可以复制下面提供的推荐查询,然后单击“创建检测规则”。 请注意,我们提供的查询还会跟踪失败的登录尝试,这些尝试可能会生成与潜在攻击无关的信息。 因此,可以随意自定义查询以满足你的特定要求。

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity 版本 2.234

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.233

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2024 年 3 月

用于查看 Defender for Identity 设置的新只读权限

现在,你可以为 Defender for Identity 用户配置具有只读权限以查看 Defender for Identity 设置。

有关详细信息,请参阅 Microsoft Defender XDR 中所需的权限 Defender for Identity

用于查看和管理运行状况问题的新基于图形的 API

现在,可以通过图形 API查看和管理Microsoft Defender for Identity运行状况问题

有关详细信息,请参阅通过图形 API管理运行状况问题

Defender for Identity 版本 2.232

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.231

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2024 年 2 月

Defender for Identity 版本 2.230

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

针对不安全的 AD CS IIS 终结点配置的新安全态势评估

Defender for Identity 添加了新的 编辑不安全 ADCS 证书注册 IIS 终结点 (ESC8) 安全分数Microsoft建议。

Active Directory 证书服务 (AD CS) 支持通过各种方法和协议进行证书注册,包括使用证书注册服务 (CES) 的 HTTP 注册,或者使用 Certsrv) (Web 注册接口进行注册。 CES 或 Certsrv IIS 终结点的不安全配置可能会造成漏洞,以 (ESC8) 中继攻击。

编辑不安全的 ADCS 证书注册 IIS 终结点 (ESC8) 建议已添加到最近发布的其他 AD CS 相关建议中。 这些评估共同提供安全态势报告,这些报告显示安全问题和严重错误配置,将风险发布到整个组织,以及相关的检测。

有关更多信息,请参阅:

Defender for Identity 版本 2.229

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

增强的用户体验,用于 (预览) 调整警报阈值

Defender for Identity Advanced Settings 页面现已重命名为 “调整警报阈值 ”,并提供刷新体验,并增强了调整警报阈值的灵活性。

新的“调整警报阈值”页的屏幕截图。

这些更改包括:

  • 我们删除了以前的 “删除学习期 ”选项,并添加了新的 “推荐测试模式 ”选项。 选择“ 建议的测试模式 ”将所有阈值级别设置为 “低”,增加警报数,并将所有其他阈值级别设置为只读。

  • 以前的 “敏感度级别 ”列现在重命名为 “阈值级别”,并具有新定义的值。 默认情况下,所有警报都设置为 “高 ”阈值,表示默认行为和标准警报配置。

下表列出了以前的 敏感度级别 值和新 阈值级别 值之间的映射:

(以前名称) 的敏感度级别 新名称) (阈值级别
Normal High
Medium Medium
High

如果在 “高级设置” 页上定义了特定值,我们已将它们转移到新的 “调整警报阈值 ”页,如下所示:

高级设置页面配置 新建“调整警报阈值”页配置
删除已打开的学习期 建议的测试模式 已关闭。

警报阈值配置设置保持不变。
删除已关闭的学习期 建议的测试模式 已关闭。

警报阈值配置设置全部重置为默认值,阈值级别 较高

如果选择了 “建议的测试模式 ”选项,或者阈值级别设置为 “中等 ”或“ ”,则始终会立即触发警报,而不管警报的学习周期是否已完成。

有关详细信息,请参阅 调整警报阈值

设备详细信息页现在包括设备说明 (预览)

Microsoft Defender XDR现在包括设备详细信息窗格和设备详细信息页上的设备说明。 说明是从设备的 Active Directory Description 属性填充的。

例如,在设备详细信息侧窗格上:

设备详细信息窗格中新的“设备说明”字段的屏幕截图。

有关详细信息,请参阅 可疑设备的调查步骤

Defender for Identity 版本 2.228

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复,以及以下新警报:

2024 年 1 月

Defender for Identity 版本 2.227

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

为组实体添加了时间线选项卡

现在可以在Microsoft Defender XDR中查看过去 180 天内与 Active Directory 组实体相关的活动和警报,例如组成员身份更改、LDAP 查询等。

若要访问组时间线页,请在组详细信息窗格中选择“打开时间线”。

例如:

组实体详细信息窗格上的“打开时间线”按钮的屏幕截图。

有关详细信息,请参阅 可疑组的调查步骤

通过 PowerShell 配置和验证 Defender for Identity 环境

Defender for Identity 现在支持新的 DefenderForIdentity PowerShell 模块,该模块旨在帮助配置和验证环境以使用Microsoft Defender for Identity。

使用 PowerShell 命令可避免错误配置、节省时间并避免不必要的系统负载。

我们在 Defender for Identity 文档中添加了以下过程,以帮助你使用新的 PowerShell 命令:

有关更多信息,请参阅:

Defender for Identity 版本 2.226

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.225

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2023 年 12 月

注意

如果看到 远程代码执行尝试 警报的数量减少,请参阅我们更新的 9 月公告,其中包括 Defender for Identity 检测逻辑的更新。 Defender for Identity 继续像以前一样记录远程代码执行活动。

Microsoft 365 Defender (预览版中的新标识区域和仪表板)

Defender for Identity 客户现在在 Microsoft 365 Defender 中有一个新的 “标识 ”区域,用于了解 Defender for Identity 的标识安全性。

在 Microsoft 365 Defender 中,选择“ 标识” 以查看以下任何新页面:

Defender for Identity 版本 2.224

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

AD CS 传感器的安全态势评估 (预览版)

Defender for Identity 的安全态势评估可跨本地 Active Directory配置主动检测并推荐操作。

建议的操作现在包括以下新的安全状况评估,特别是针对证书模板和证书颁发机构。

新的评估在Microsoft安全功能分数中提供,包括安全问题和严重错误配置,这些错误会对整个组织造成风险,以及检测。 你的分数会相应地更新。

例如:

新的 AD CS 安全态势评估的屏幕截图。

有关详细信息,请参阅Microsoft Defender for Identity的安全状况评估

注意

虽然 证书模板 评估适用于在其环境中安装了 AD CS 的所有客户,但 证书颁发机构 评估仅适用于在 AD CS 服务器上安装了传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务的新传感器类型 (AD CS)

Defender for Identity 版本 2.223

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.222

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.221

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2023 年 11 月

Defender for Identity 版本 2.220

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.219

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

标识时间线包括超过 30 天的数据 (预览版)

Defender for Identity 正在逐步推出对标识详细信息的数据保留期延长到 30 天以上。

标识详细信息页“时间线”选项卡,其中包括来自 Defender for Identity、Microsoft Defender for Cloud Apps和Microsoft Defender for Endpoint的活动,目前至少包含 150 天,并且正在增长。 在接下来的几周内,数据保留率可能会有所变化。

若要查看特定时间范围内标识时间线的活动和警报,请选择默认的“30 天”,然后选择“自定义范围”。 超过 30 天的筛选数据一次最多显示 7 天。

例如:

自定义时间范围选项的屏幕截图。

有关详细信息,请参阅调查资产调查Microsoft Defender XDR中的用户

Defender for Identity 版本 2.218

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2023 年 10 月

Defender for Identity 版本 2.217

此版本包括以下改进:

  • 摘要报告:更新摘要报告,以在 “运行状况问题 ”选项卡中包含两个新列:

    • 详细信息:有关此问题的其他信息,例如受影响的对象列表或发生该问题的特定传感器的列表。
    • 建议:可采取的建议操作列表,可解决问题,或如何进一步调查问题。

    有关详细信息,请参阅在 Microsoft Defender XDR (Preview) 中下载和计划 Defender for Identity 报表

  • 运行状况问题:添加了针对此租户运行状况问题自动关闭的“删除学习期”开关

此版本还包括云服务和 Defender for Identity 传感器的 bug 修复。

Defender for Identity 版本 2.216

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

2023 年 9 月

减少了远程执行代码尝试的警报数

为了更好地使 Defender for Identity 和Microsoft Defender for Endpoint警报保持一致,我们更新了 Defender for Identity 远程代码执行尝试检测的检测逻辑。

虽然此更改会导致 远程代码执行尝试 警报数减少,但 Defender for Identity 会继续记录远程代码执行活动。 客户可以继续构建自己的 高级搜寻查询创建自定义检测策略

警报敏感度设置和学习期间增强功能

某些 Defender for Identity 警报在触发警报之前等待 学习期 ,同时生成在区分合法和可疑活动时要使用的模式配置文件。

Defender for Identity 现在为学习期间体验提供以下增强功能:

  • 管理员现在可以使用 “删除学习期” 设置来配置用于特定警报的敏感度。 将敏感度定义为 “普通 ”,以将所选警报类型的 “删除学习期 ”设置为 “关闭 ”。

  • 在新的 Defender for Identity 工作区中部署新传感器后,“删除学习期”设置将自动打开 30 天。 完成 30 天后, “删除学习期 ”设置将自动关闭 警报敏感度级别将返回到其默认功能。

    若要让 Defender for Identity 使用标准学习期功能(在学习期完成之前不会生成警报),请将 “删除学习期” 设置配置为 “关闭”。

如果你之前更新了 “删除学习期” 设置,则你的设置将保持你配置的原样。

有关详细信息,请参阅Advanced settings

注意

高级设置”页最初在“删除学习期”选项下列出了“帐户枚举侦查警报”,该选项可配置为敏感度设置。 此警报已从列表中删除,并替换为 安全主体侦查 (LDAP) 警报。 此用户界面 bug 已在 2023 年 11 月修复。

Defender for Identity 版本 2.215

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 报表已移至“main报表”区域

现在,可以从Microsoft Defender XDR的“main报表”区域而不是“设置”区域访问 Defender for Identity 报表。 例如:

从“main报表”区域访问 Defender for Identity 报表的屏幕截图。

有关详细信息,请参阅在 Microsoft Defender XDR (Preview) 中下载和计划 Defender for Identity 报表

Microsoft Defender XDR中组的“搜索”按钮

Defender for Identity 为Microsoft Defender XDR中的组添加了“搜索”按钮。 用户可以在调查期间使用 “搜索 ”按钮查询与组相关的活动和警报。

例如:

组详细信息窗格上新的“Go 搜寻”按钮的屏幕截图。

有关详细信息,请参阅 使用 go 搜寻快速搜寻实体或事件信息

Defender for Identity 版本 2.214

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

性能增强

Defender for Identity 在将实时事件从 Defender for Identity 服务传输到Microsoft Defender XDR时,对延迟、稳定性和性能进行了内部改进。 客户预期 Defender for Identity 数据不会出现在Microsoft Defender XDR中出现延迟,例如高级搜寻的警报或活动。

有关更多信息,请参阅:

2023 年 8 月

Defender for Identity 版本 2.213

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.212

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Defender for Identity 版本 2.211

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

Active Directory 证书服务的新传感器类型 (AD CS)

Defender for Identity 现在支持配置 Active Directory 证书服务 (AD CS) 专用服务器的新 ADCS 传感器类型。

可以在 Microsoft Defender XDR 的“设置标识>传感器”>页中看到标识的新传感器类型。 有关详细信息,请参阅管理和更新Microsoft Defender for Identity传感器

与新的传感器类型一起,Defender for Identity 现在还提供相关的 AD CS 警报和安全分数报告。 若要查看新的警报和安全功能分数报告,请确保在服务器上收集并记录所需的事件。 有关详细信息,请参阅 配置 Active Directory 证书服务的审核 (AD CS) 事件

AD CS 是一个Windows Server角色,在安全通信和身份验证协议中颁发和管理 PKI) 证书 (公钥基础结构。 有关详细信息,请参阅 什么是 Active Directory 证书服务?

Defender for Identity 版本 2.210

此版本包括云服务和 Defender for Identity 传感器的改进和 bug 修复。

后续步骤