Microsoft Defender for Identity 中的新增功能

本文会经常更新,以便用户了解最新版 Microsoft Defender for Identity 中的新增功能。

新增功能范围和参考

Defender for Identity 版本逐步在客户租户中部署。 如果尚未在租户中看到此处记录的功能,请稍后检查更新。

有关详细信息,请参阅:

有关六个月前或更早发布的版本和功能的更新,请参阅 Microsoft Defender for Identity 的新增功能存档

2024 年 10 月

MDI 正在通过新的 10 个标识状况建议扩展覆盖范围(预览版)

新的标识安全状况评估 (ISPM) 可以帮助客户通过观察弱点来监视错误配置,并降低对内部部署基础结构的潜在攻击风险。
作为 Microsoft 安全功能分数的一部分,这些新的标识建议是与 Active Directory 基础结构和组策略对象相关的新安全状况报告:

此外,我们更新了“修改不安全的 Kerberos 委托以防止冒充”的现有建议,以包括对特权服务使用协议转换的 Kerberos 约束委派服务的指示。

2024 年 8 月

新 Microsoft Entra Connect 传感器:

作为我们在混合标识环境中增强 Microsoft Defender for Identity 覆盖范围的持续努力的一部分,我们为 Microsoft Entra Connect 服务器推出了一种新的传感器。 此外,我们还发布了新的混合安全检测和针对 Microsoft Entra Connect 的新标识状况建议,帮助客户保持受保护并缓解潜在风险。

新的 Microsoft Entra Connect 身份状态建议:

  • 轮换 Microsoft Entra Connect 连接器帐户的密码
    • 遭到攻击的 Microsoft Entra Connect 连接器帐户(AD DS 连接器帐户(通常显示为 MSOL_XXXXXXXX))可以授予对复制和密码重置等高特权功能的访问权限,使攻击者能够修改同步设置,危害云和本地环境中的安全性,并为危害整个域提供多种路径。 在此评估中,我们建议客户更改上次设置的密码已超过 90 天的 MSOL 帐户的密码。 有关更多信息,请单击此处
  • 删除 Microsoft Entra Connect 帐户的不必要的复制权限
    • 默认情况下,Microsoft Entra Connect 连接器帐户具有广泛的权限,以确保正确同步(即使实际上并不需要)。 如果未配置密码哈希同步,请务必删除不必要的权限,以尽量减少潜在的攻击面。 有关详细信息,请单击此处
  • 更改 Microsoft Entra 无缝 SSO 帐户配置的密码
    • 此报表列出了所有 Microsoft Entra 无缝 SSO 计算机帐户,该帐户上次设置的密码已超过 90 天。 Azure SSO 计算机帐户的密码不会每隔 30 天自动更改一次。 如果攻击者破坏了此帐户,他们可以代表任何用户为 AZUREADSSOACC 帐户生成服务票证,并模拟从 Active Directory 同步的 Microsoft Entra 租户中的任何用户。 攻击者可以利用此功能从 Active Directory 横向移到 Microsoft Entra ID。 有关更多信息,请单击此处

新的 Microsoft Entra Connect 检测:

  • 可疑的交互式登录 Microsoft Entra Connect 服务器
    • 直接登录到 Microsoft Entra Connect 服务器是非常不寻常的,并且可能是恶意的。 攻击者经常将这些服务器作为目标,窃取凭据以进行更广泛的网络访问。 Microsoft Defender for Identity 现在可以检测 Microsoft Entra Connect 服务器的异常登录,从而帮助你更快地识别和应对这些潜在威胁。 当 Microsoft Entra Connect 服务器是独立服务器且不作为域控制器运行时,它特别适用。
  • 通过 Microsoft Entra Connect 帐户重置用户密码
    • Microsoft Entra Connect 连接器帐户通常拥有高特权,包括重置用户密码的能力。 Microsoft Defender for Identity 现在可以查看这些操作,并将检测被识别为恶意和非法的权限的任何使用情况。 仅当禁用密码写回功能时,才会触发此警报。
  • Microsoft Entra Connect 对敏感用户的可疑写回
    • 虽然 Microsoft Entra Connect 已阻止特权组中的用户写回,而 Microsoft Defender for Identity 通过识别其他类型的敏感帐户扩展了这种保护。 这种增强的检测有助于防止对关键帐户进行未经授权的密码重置,这是针对云和本地环境的高级攻击的关键步骤。

其他改进和功能:

  • 在高级搜寻中的“IdentityDirectoryEvents”表中可以找到敏感帐户上任何密码重置失败的新活动。 这有助于客户跟踪失败的密码重置事件,并基于此数据创建自定义检测。
  • 提高 DC 同步攻击检测的准确性。
  • 如果传感器无法从 Microsoft Entra Connect 服务检索配置,则会出现新的运行状况问题
  • 通过在 Microsoft Entra Connect 服务器上启用新传感器,对安全警报(如 PowerShell 远程执行检测器)进行扩展监视。

详细了解新的传感器

更新了 DefenderForIdentity PowerShell 模块

DefenderForIdentity PowerShell 模块已经更新,引入了新功能,并修复了几个错误。 重要改进包括:

  • New-MDIDSA Cmdlet:简化服务帐户的创建,为组托管服务帐户 (gMSA) 提供默认设置,并提供创建标准帐户的选项。
  • 自动 PDCe 检测:通过自动针对大多数 Active Directory 操作的主域控制器模拟器 (PDCe),提高了组策略对象 (GPO) 创建的可靠性。
  • 手动域控制器目标Get/Set/Test-MDIConfiguration cmdlet 的新服务器参数,允许指定要定位的域控制器而不是 PDCe。

有关详细信息,请参阅:

2024 年 7 月

公共预览版中新增了 6 项新的检测:

  • 可能的 NetSync 攻击
    • NetSync 是 Mimikatz 中的一个模块,也是一款后渗透攻击工具,它通过假装成为域控制器来请求目标设备密码的密码哈希。 攻击者可能会使用此功能在网络内执行恶意活动,以获取对组织资源的访问权限。
  • 可能的 Microsoft Entra 无缝 SSO 帐户接管
    • Microsoft Entra 无缝 SSO(单一登录)帐户对象 AZUREADSSOACC 遭到了可疑修改。 攻击者可能会从本地环境横向迁移到云。
  • 可疑的 LDAP 查询
    • 系统检测到与已知攻击工具关联的可疑轻型目录访问协议 (LDAP) 查询。 攻击者可能正在执行侦察,以便执行后续步骤。
  • 可疑的 SPN 已添加到用户
    • 可疑的服务主体名称 (SPN) 添加到了敏感用户。 攻击者可能正在试图获取提升的访问权限,以便在组织内部进行横向移动
  • 可疑的 ESXi 组创建
    • 域中创建了可疑的 VMWare ESXi 组。 这可能表明攻击者正在尝试获取更多权限,以便在攻击中执行后续步骤。
  • 可疑的 ADFS 身份验证
    • 从可疑 IP 地址使用 Active Directory 联合身份验证服务 (ADFS) 登录的已加入域的帐户。 攻击者可能窃取了用户的凭据,并使用它在组织中横向移动。

Defender for Identity 版本 2.238

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2024 年 6 月

方便地从 ITDR 仪表板搜索用户信息

Shield 小组件提供混合、云和本地环境中用户数量的快速概览。 此功能现在包括指向高级搜寻平台的直接链接,提供触手可及的详细用户信息。

ITDR 部署运行状况小组件现在包括 Microsoft Entra 条件访问和 Microsoft Entra 专用访问

现在可以查看 Microsoft Entra 工作负荷条件访问、Microsoft Entra 用户条件访问和 Microsoft Entra 专用访问的许可证可用性。

Defender for Identity 版本 2.237

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2024 年 5 月

Defender for Identity 版本 2.236

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.235

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2024 年 4 月

轻松检测 CVE-2024-21427 Windows Kerberos 安全功能绕过漏洞

为了帮助客户根据此漏洞更好地识别和检测绕过安全协议的尝试,我们在高级搜寻中添加了一个新活动,用于监视 Kerberos AS 身份验证。
借助此数据,客户现在可以在 Microsoft Defender XDR 中轻松创建自己的自定义检测规则,并自动触发此类活动的警报。

Access Defender XDR 门户 -> 搜寻 -> 高级搜寻。

现在,你可以复制下面提供的我们推荐的查询,然后单击“创建检测规则”。 请注意:我们提供的查询还会跟踪失败的登录尝试,这可能会生成与潜在攻击无关的信息。 因此,你可以随意自定义查询以满足特定要求。

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity 版本 2.234

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.233

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2024 年 3 月

查看 Defender for Identity 设置的新只读权限

现在,可以配置具有只读权限的 Defender for Identity 用户查看 Defender for Identity 设置。

有关更多信息,请参阅 Microsoft Defender XDR 中 Defender for Identity 的必要权限

用于查看和管理运行状况问题的基于图形的新 API

现在,可以通过图形 API 来查看和管理 Microsoft Defender for Identity 运行状况问题

有关详细信息,请参阅通过图形 API 管理运行状况问题

Defender for Identity 版本 2.232

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.231

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2024 年 2 月

Defender for Identity 版本 2.230

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

针对不安全 AD CS IIS 终结点配置的新安全状况评估

Defender for Identity 已在 Microsoft 安全功能分数中添加新的编辑不安全 ADCS 证书注册 IIS 终结点 (ESC8) 建议。

Active Directory 证书服务 (AD CS) 支持通过各种方法和协议来注册证书,其中包括使用证书注册服务 (CES) 或 Web 注册界面 (Certsrv) 以通过 HTTP 进行注册。 CES 或 Certsrv IIS 终结点的不安全配置可能会造成中继攻击 (ESC8) 漏洞。

新的编辑不安全 ADCS 证书注册 IIS 终结点 (ESC8) 建议已添加到最近发布的与 AD CS 相关的其他建议中。 这些评估可共同提供安全状况报告,而这些报告揭示了会给整个组织带来风险的安全问题和严重错误配置,同时还提供了相关检测。

有关详细信息,请参阅:

Defender for Identity 版本 2.229

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

用于调整警报阈值的增强用户体验(预览版)

Defender for Identity 高级设置页面现已重命名为调整警报阈值,并提供全新体验以提高调整警报阈值的灵活性。

新的“调整警报阈值”页面屏幕截图。

更改包括:

  • 我们已删除以前的删除学习期选项,并添加新的推荐测试模式选项。 选择推荐测试模式以将所有阈值级别设为从而增加警报数,并将所有其他阈值级别设为只读。

  • 以前的敏感度级别列现已重命名为阈值级别,其中包含新定义的值。 默认情况下,所有警报均会设为阈值,而它表示默认行为和标准警报配置。

下表列出了以前的敏感度级别值与新的阈值级别值之间的映射关系:

敏感度级别(上一名称) 阈值级别(新名称)
正常
中等 中等

如果之前已在高级设置页面上定义特定值,我们则会将其传输到新的调整警报阈值页面,如下所示:

“高级设置”页面配置 新的“调整警报阈值”页面配置
打开删除学习期 关闭推荐测试模式

警报阈值配置设置保持不变。
关闭删除学习期 关闭推荐测试模式

警报阈值配置设置均重置为其默认值,并具有阈值级别。

如果选择推荐测试模式选项,或将阈值级别设为,则无论警报的学习期是否已完成,始终会立即触发警报。

有关详细信息,请参阅调整警报阈值

设备详细信息页面现在包括设备说明(预览版)

Microsoft Defender XDR 现在在设备详细信息窗格和设备详细信息页上包括设备说明。 这些说明是从设备的 Active Directory 说明属性填充的。

例如,在设备详细信息侧窗格中:

设备详细信息窗格中“新建设备说明”字段的屏幕截图。

有关详细信息,请参阅可疑设备的调查步骤

Defender for Identity 版本 2.228

此版本包括对云服务和 Defender for Identity 传感器的改进和 bug 修复,以及以下新警报:

2024 年 1 月

Defender for Identity 版本 2.227

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

为组实体新增时间线选项卡

现在,可在 Microsoft Defender XDR 中查看过去 180 天内与 Active Directory 组实体相关的活动和警报,例如组成员身份更改、LDAP 查询等。

若要访问组时间线页面,请在组详细信息窗格中选择打开时间线

例如:

组实体详细信息窗格中的“打开时间线”按钮的屏幕截图。

有关详细信息,请参阅可疑组的调查步骤

通过 PowerShell 配置和验证 Defender for Identity 环境

Defender for Identity 现在支持新的 DefenderForIdentity PowerShell 模块,而该模块旨在帮助配置和验证环境以便使用 Microsoft Defender for Identity。

使用 PowerShell 命令可避免出现错误配置并节省时间,同时还可避免对系统施加不必要的负载。

我们已将以下过程添加到 Defender for Identity 文档,以帮助你使用新的 PowerShell 命令:

有关详细信息,请参阅:

Defender for Identity 版本 2.226

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.225

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2023 年12 月

注意

如果看到“远程代码执行尝试”警报数量减少,请参阅我们更新的 9 月公告,其中包括对 Defender for Identity 检测逻辑的更新。 Defender for Identity 继续像以前一样记录远程代码执行活动。

Microsoft 365 Defender 中的新“标识”区域和仪表板(预览版)

Defender for Identity 客户现在可在 Microsoft 365 Defender 中使用一个新的标识区域,以便了解 Defender for Identity 的标识安全性。

在 Microsoft 365 Defender 中,选择标识可查看以下任意新页面:

Defender for Identity 版本 2.224

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

针对 AD CS 传感器的安全状况评估(预览版)

Defender for Identity 的安全状况评估会主动检测并推荐跨本地 Active Directory 配置的操作。

建议的操作现在包括以下新的安全状况评估项目,尤其是针对证书模板和证书颁发机构的评估。

这些新的评估项目将在 Microsoft 安全功能分数中提供,从而揭示安全问题和严重配置错误,而这些错误会对整个组织和检测构成风险。 分数会相应更新。

例如:

新的 AD CS 安全性状况评估的屏幕截图。

有关更多信息,请参阅 Microsoft Defender for Identity 的安全状况评估

注意

虽然证书模板评估适用于已在其环境中安装 AD CS 的所有客户,但证书颁发机构评估仅适用于已在 AD CS 服务器上安装传感器的客户。 有关详细信息,请参阅 Active Directory 证书服务 (AD CS) 的新传感器类型

Defender for Identity 版本 2.223

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.222

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.221

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2023 年 11 月

Defender for Identity 版本 2.220

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.219

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

标识时间线包含超过 30 天的数据(预览版)

Defender for Identity 正在逐步将标识详细信息的扩展数据保留期限延长至 30 天以上。

标识详细信息页的“时间线”选项卡包括来自 Defender for Identity、Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint 的活动,目前至少包含 150 天,并且还在增长。 在接下来的几周内,数据保留率可能会出现一些变化。

要查看特定时间范围内标识时间线的活动和警报,请选择默认的“30 天”,然后选择“自定义范围”。 超过 30 天前的筛选数据一次最多只显示 7 天的数据。

例如:

“自定义期限”选项的屏幕截图。

有关更多信息,请参阅调查资产在 Microsoft Defender XDR 中调查用户

Defender for Identity 版本 2.218

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2023 年 10 月

Defender for Identity 版本 2.217

此版本包括以下改进:

  • 摘要报告:摘要报告已更新,以便在运行状况问题选项卡中包含新的两列:

    • 详细信息:有关此问题的其他信息,例如受影响对象列表或发生问题的特定传感器。
    • 推荐:可用于解决问题或如何进一步调查问题的建议操作列表。

    有关更多信息,请参阅在 Microsoft Defender XDR(预览版)中下载并计划 Defender for Identity 报告

  • 运行状况问题:新增此租户的“删除学习期”开关自动关闭运行状况问题

此版本还包括云服务和 Defender for Identity 传感器的缺陷修复。

Defender for Identity 版本 2.216

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2023 年 9 月

“远程代码执行尝试”的警报数量减少

为使 Defender for Identity 与 Microsoft Defender for Endpoint 警报更趋一致,我们更新了 Defender for Identity 远程代码执行尝试检测的检测逻辑。

虽然此更改导致“远程代码执行尝试”警报的数量减少,但 Defender for Identity 将继续记录远程代码执行活动。 客户可以继续构建自己的高级搜寻查询并创建自定义检测策略

警报敏感度设置和学习期增强功能

某些 Defender for Identity 警报在触发警报之前会等待一个学习期,同时创建一个模式配置文件,以便在区分合法活动和可疑活动时使用。

Defender for Identity 现在为学习期体验提供了以下增强功能:

  • 管理员现在可以使用“删除学习期”设置以配置用于特定警报的敏感度。 将敏感度定义为“标准”,以将所选警报类型的“删除学习期”设置配置为“关闭”

  • 在新的 Defender for Identity 工作区中部署新传感器后,删除学习期设置会自动打开 30 天。 30 天结束后,删除学习期设置会自动关闭,而警报敏感度级别也会恢复为其默认功能。

    要让 Defender for Identity 使用标准学习期功能(在学习期结束之前不会生成警报),请将“删除学习期”设置配置为“关闭”

如果之前更新了“删除学习期”设置,则设置将保持与配置时一致。

有关更多信息,请参阅高级设置

注意

“高级设置”页面最初在“删除学习期”选项下列出了“帐户枚举侦查”警报,作为灵敏度设置的可配置项。 此警报已从列表中删除,并替换为“安全主体侦查 (LDAP)”警报。 此用户界面缺陷已于 2023 年 11 月修复。

Defender for Identity 版本 2.215

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 报告已移至主要“报告”区域

现在,可以从 Microsoft Defender XDR 的主要“报告”区域而非“设置”区域来访问 Defender for Identity 报告。 例如:

主报告区域中 Defender for Identity 报告访问权限的屏幕截图。

有关更多信息,请参阅在 Microsoft Defender XDR(预览版)中下载并计划 Defender for Identity 报告

Microsoft Defender XDR 中针对组的“开始搜寻”按钮

Defender for Identity 为 Microsoft Defender XDR 中的组新增了执行搜寻按钮。 用户可以使用“开始搜寻”按钮在调查期间查询与组相关的活动和警报。

例如:

组详细信息窗格上的“新建执行搜寻”按钮的屏幕截图。

有关更多信息,请参阅使用“开始搜寻”快速搜寻实体或事件信息

Defender for Identity 版本 2.214

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

性能增强功能

在将实时事件从 Defender for Identity 服务传输到 Microsoft Defender XDR 时,Defender for Identity 对延迟、稳定性和性能进行了内部改进。 客户应该期望 Microsoft Defender XDR 中显示的 Defender for Identity 数据不会出现任何延迟,例如用于高级搜寻的警报或活动。

有关详细信息,请参阅:

2023 年 8 月

Defender for Identity 版本 2.213

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.212

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.211

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Active Directory 证书服务 (AD CS)的新传感器类型

对于配置了 Active Directory 证书服务(AD CS) 的专用服务器,Defender for Identity 现在支持新的 ADCS 传感器类型。

Microsoft Defender XDR 中的设置>标识>传感器页面将显示新的传感器类型。 有关更多信息,请参阅管理和更新 Microsoft Defender for Identity 传感器

除了新的传感器类型之外,Defender for Identity 现在还提供相关的 AD CS 警报和安全功能分数报告。 要查看新的警报和安全功能分数报告,请确保收集所需的事件并将其记录在服务器上。 有关详细信息,请参阅配置 Active Directory 证书服务 (AD CS) 事件审核

AD CS 是一个 Windows Server 角色,负责颁发和管理安全通信和身份验证协议中的公钥基础结构 (PKI) 证书。 有关更多信息,请参阅什么是 Active Directory 证书服务?

Defender for Identity 版本 2.210

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

后续步骤