Microsoft Defender for Identity 新增功能

本文列出了 6 个月以前发布的 Microsoft Defender for Identity 的版本和功能发行说明。

有关最新版本和功能的信息,请参阅 Microsoft Defender for Identity 新增功能

注意

自 2022 年 6 月 15 日起,Microsoft 将不再支持运行 Windows Server 2008 R2 的设备上的 Defender for Identity 传感器。 建议确定仍在运行 Windows Server 2008 R2 操作系统的任何剩余域控制器 (DC) 或 AD FS 服务器,并制定计划以便将它们更新到受支持的操作系统。

在 2022 年 6 月 15 日之后的两个月内,该传感器将继续运行。 在这两个月的时间之后,自 2022 年 8 月 15 日起,该传感器将不再在 Windows Server 2008 R2 平台上运行。 https://aka.ms/mdi/2008r2 提供了更多详细信息

2023 年 7 月

Defender for Identity 版本 2.209

此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

在 Microsoft Defender XDR(预览版)中搜索 Active Directory 组

Microsoft Defender XDR 全局搜索现在支持按 Active Directory 组名进行搜索。 找到的任何组都会显示在单独的“组”选项卡上的结果中。从搜索结果中选择一个 Active Directory 组以查看更多详细信息,包括:

  • 类型
  • 范围
  • SAM 名称
  • SID
  • 组创建时间
  • 首次观察到该组的活动
  • 包含所选组的组
  • 所有组成员的列表

例如:

Microsoft Defender XDR 全局搜索中的“组”选项卡的屏幕截图。

有关更多信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Identity

新的安全状况报告

Defender for Identity 标识安全状态评估在本地 Active Directory 配置中主动检测并推荐操作。

Microsoft 安全功能分数中现已提供以下新的安全状况评估:

有关更多信息,请参阅 Microsoft Defender for Identity 的安全状况评估

旧版 Defender for Identity 门户的自动重定向

Microsoft Defender for Identity 门户体验和功能均已纳入 Microsoft 的扩展检测和响应 (XDR) 平台 Microsoft Defender XDR 中。 自 2023 年 7 月 6 日起,使用旧版 Defender for Identity 门户的客户会自动重定向到 Microsoft Defender XDR,并且无法返回到旧版门户。

有关更多信息,请参阅我们的博客文章Microsoft Defender XDR 中的 Microsoft Defender for Identity

Microsoft Defender XDR(预览版)中的 Defender for Identity 报告下载和计划

现在,可以从 Microsoft Defender 门户下载并计划定期 Defender for Identity 报告,使用旧版 Defender for Identity 门户在报告功能中创建奇偶校验。

设置>标识>报表管理页面下载和计划 Microsoft Defender XDR 中的报告。 例如:

“报表管理”页面的屏幕截图。

有关更多信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Identity 报告

Defender for Identity 版本 2.208

  • 此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

Defender for Identity 版本 2.207

  • 此版本提供新的 AccessKeyFile 安装参数。 在 Defender for Identity 传感器的无提示安装过程中使用 AccessKeyFile 参数,从提供的文本路径设置工作区访问密钥。 有关更多信息,请参阅安装 Microsoft Defender for Identity 传感器

  • 此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

2023 年 6 月

Defender for Identity 版本 2.206

  • 此版本包括云服务和 Defender for Identity 传感器的改进和缺陷修复。

具有增强 IdentityInfo 表的高级搜寻

  • 对于部署了 Defender for Identity 的租户,Microsoft 365 IdentityInfo 高级搜寻表现在会包含针对每个标识的更多属性,以及 Defender for Identity 传感器从本地环境检测到的标识。

有关更多信息,请参阅 Microsoft Defender XDR 高级搜寻文档

Defender for Identity 版本 2.205

  • 此版本包括内部传感器基础结构的改进和缺陷修复。

2023 年 5 月

增强的 Active Directory 帐户控制亮点

Microsoft Defender XDR“身份”>和用户详细信息页面现在包含新的 Active Directory 帐户控制数据。

在用户详细信息“概述”选项卡上,我们添加了新的“Active Directory 帐户控制”卡,以突出显示重要的安全设置和 Active Directory 控制。 例如,使用此卡可以了解特定的用户是否能够绕过密码要求或者拥有永不过期的密码。

例如:

“用户详细信息”页面上 UAC 标志卡片的屏幕截图。

有关更多信息,请参阅 User-Account-Control 属性文档。

Defender for Identity 版本 2.204

发布日期:2023 年 5 月 29 日

Defender for Identity 版本 2.203

发布日期:2023 年 5 月 15 日

身份时间线增强

身份“时间线”选项卡现在包含新增功能和增强功能! 使用更新后的时间线,除了原始筛选器以外,还可以按“活动类型”、“协议”和“位置”进行筛选。 还可以将时间线导出到 CSV 文件,并查找与 MITRE ATT&CK 技术相关联的活动的其他信息。 有关更多信息,请参阅在 Microsoft Defender XDR 中调查用户

Microsoft Defender XDR 中的警报优化

警报优化功能现已在 Microsoft Defender XDR 中提供,可用来调整警报并对它们进行优化。 警报优化功能可减少误报,以使您的 SOC 团队能够专注于高优先级警报,并增大在整个系统中的威胁检测覆盖面。

在 Microsoft Defender XDR 中,根据证据类型创建规则条件,然后将规则应用于与您的条件匹配的任何规则类型。 有关更多信息,请参阅优化警报

2023 年 4 月

Defender for Identity 版本 2.202

发布日期:2023 年 4 月 23 日

  • 用来验证已正确配置“目录服务配置容器审核”功能的新运行状况警报,如运行状况警报页面中所述。
  • 在澳大利亚东部区域,为 AD 租户创建了新的工作区,并将其映射到新西兰。 有关区域部署的最新列表,请参阅 Defender for Identity 组件
  • 版本包括内部传感器基础结构的改进和错误修复。

2023 年 3 月

Defender for Identity 版本 2.201

发布日期:2023 年 3 月 27 日

  • 我们正在禁用 SAM-R 密钥警报。 尽管不应访问或查询这些类型的帐户,但某些旧版系统可能会在它们的常规操作中使用这些帐户。 如果需要此功能,可以随时创建高级搜寻查询,并将其用作自定义检测功能。 我们还将在未来的几周内审核 LDAP 蜜标警报,但此功能目前仍可正常运行。

  • 对于非英语操作系统以及具有版本低于 87 的目录服务架构的 Windows 2012 ,我们修复了目录服务对象审核运行状况警报中的检测逻辑问题。

  • 我们移除了需要配置目录服务帐户才能启动传感器这一先决条件。 有关更多信息,请参阅 Microsoft Defender for Identity 目录服务帐户建议

  • 我们不再要求记录 1644 事件。 如果已启用此注册表设置,可以将其移除。 有关更多信息,请参阅事件 ID 1644

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.200

发布日期:2023 年 3 月 16 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.199

发布日期:2023 年 3 月 5 日

  • 通过 SAM-R 查询了蜜标的一些排除项无法正常运行。 在这些实例中,即使对于已排除的实体,也会触发警报。 此错误现已修复。

  • 更新了 Identity 高级搜寻表的 NTLM 协议名称:旧版协议名称 Ntlm 现已使用新的协议名称 NTLM 在 Identity 高级搜寻表中列出:IdentityLogonEvents、IdentityQueryEvents、IdentityDirectoryEvents。 如果当前正在以区分大小写的格式使用来自 Identity 事件表的 Ntlm 协议,则应将其更改为 NTLM

  • 版本包括内部传感器基础结构的改进和错误修复。

2023 年 2 月

Defender for Identity 版本 2.198

发布日期:2023 年 2 月 15 日

  • Identity 时间线现已在 Microsoft Defender XDR 中的新 Identity 页面中提供:在 Microsoft Defender XDR 中,更新后的“用户”页面现在具有新的外观,并提供了相关资产的扩展视图和一个新的专用时间线选项卡。时间线会显示过去 30 天内的活动和警报,并汇总所有可用工作负载中的用户身份条目 (Defender for Identity/Defender for Cloud Apps/Defender for Endpoint)。 使用时间线,可以轻松专注于用户在特定时间范围内执行的活动(或者对用户执行的活动)。 有关更多信息,请参阅在 Microsoft Defender XDR 中调查用户

  • 对蜜标警报的进一步改进:在版本 2.191 中,我们为蜜标活动警报引入了几个新场景。

    根据客户反馈,我们决定将蜜标活动警报拆分成五个单独的警报:

    • 通过 SAM-R 查询了蜜标用户。
    • 通过 LDAP 查询了蜜标用户。
    • 蜜标用户身份验证活动。
    • 修改了蜜标用户的属性。
    • 更改了蜜标组成员身份。

    此外,我们还为这些警报添加了排除项,并为你的环境提供了自定义体验。

    我们期待收到你的反馈,以使我们能够继续改进。

  • 新的安全警报 - 基于 Kerberos 协议 (PKINIT) 的可疑证书使用情况:很多滥用 Active Directory 证书服务 (AD CS) 的技术都会在攻击的某个阶段使用证书。 Microsoft Defender for Identity 现在会在观察到此类可疑证书使用情况时向用户发出警报。 此行为监控方法可以针对 AD CS 攻击提供全面防护,并在尝试对安装了 Defender for Identity 传感器的域控制器进行可疑证书身份验证时触发警报。 有关更多信息,请参阅 Microsoft Defender for Identity 现在可检测可疑证书使用情况

  • 自动中断攻击:Defender for Identity 现在与 Microsoft Defender XDR 协同工作,以提供“自动中断攻击”功能。 这一集成意味着,对于来自 Microsoft Defender XDR 的信号,我们可以触发“禁用用户”操作。 这些操作由高保真 XDR 信号触发,并与 Microsoft 研究团队持续调查数千起事件之后得出的见解相结合。 此操作会暂停 Active Directory 中被盗用的用户帐户,并将这一信息同步到 Microsoft Entra ID。 有关自动中断攻击的更多信息,请阅读 Microsoft Defender XDR 的博客文章

    还可以从自动响应操作中排除特定的用户。 有关更多信息,请参阅配置 Defender for Identity 自动响应排除项

  • 移除学习期:Defender for Identity 基于多种因素生成警报,这些因素包括分析、确定性检测、机器学习以及它针对你的网络习得的行为算法等等。 对于每个域控制器,Defender for Identity 的完整学习过程可能需要长达 30 天的时间。 不过,在某些情况下,你可能希望在整个学习过程完成之前接收警报。 例如,当在域控制器上安装新传感器或者评估该产品时,你可能希望立即收到警报。 在这样的情况下,可以启用“移除学习期”功能,以关闭受影响的警报的学习期。 有关更多信息,请参阅高级设置

  • 向 M365D 发送警报的新方法:一年前,我们宣布在 Microsoft Defender 门户中提供所有 Microsoft Defender for Identity 体验。 现在,主要警报管道正逐渐从 Defender for Identity > Defender for Cloud Apps > Microsoft Defender XDR 切换到 Defender for Identity > Microsoft Defender XDR。 这一集成意味着,Defender for Cloud Apps 中的状态更新不会反映在 Microsoft Defender XDR 中,反之亦然。 这一更改应当能够显著减少警报为了出现在 Microsoft Defender 门户中而花费的时间。 在此迁移过程中,自 3 月 5 日起,Defender for Cloud Apps 门户中不再提供所有 Defender for Identity 策略。 和往常一样,我们建议使用 Microsoft Defender 门户,以获得所有 Defender for Identity 体验。

  • 版本包括内部传感器基础结构的改进和错误修复。

2023 年 1 月

Defender for Identity 版本 2.197

发布日期:2023 年 1 月 22 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.196

发布日期:2023 年 1 月 10 日

  • 用来验证已正确配置“目录服务对象审核”功能的新运行状况警报,如运行状况警报页面中所述。

  • 用来验证传感器电源设置已配置为实现最佳性能的新运行状况警报,如运行状况警报页面中所述。

  • 我们已将 MITRE ATT&CK 信息添加到 Microsoft Defender XDR 高级搜寻中的 IdentityLogonEvents、IdentityDirectoryEvents 和 IdentityQueryEvents 表中。 在“AdditionalFields”列中,可以找到有关与某些逻辑活动相关联的攻击技术和策略(类别)的详细信息。

  • 由于 Microsoft Defender 门户中现已提供所有的主要 Microsoft Defender for Identity 功能,因此自 2023 年 1 月 31 日起,为每个租户自动启用了门户重定向设置。 有关更多信息,请参阅将帐户从 Microsoft Defender for Identity 重定向到 Microsoft Defender XDR

2022 年 12 月

Defender for Identity 版本 2.195

发布日期:2022 年 12 月 7 日

  • 澳大利亚东部区域现在也部署了 Defender for Identity 数据中心。 有关区域部署的最新列表,请参阅 Defender for Identity 组件

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 11 月

Defender for Identity 版本 2.194

发布日期:2022 年 11 月 10 日

  • 用来验证已正确配置“目录服务高级审核”功能的新运行状况警报,如运行状况警报页面中所述。

  • 未正确启用 Defender for Identity 版本 2.191 中引入的一些关于蜜标警报的更改。 这些问题现已得到解决。

  • 从十一月底开始,将不再支持与 Microsoft Defender for Endpoint 进行手动集成。 不过,我们强烈建议使用内置了此集成的 Microsoft Defender 门户 (https://security.microsoft.com)。

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 10 月

Defender for Identity 版本 2.193

发布日期:2022 年 10 月 30 日

  • 新的安全警报:使用可疑证书进行异常 Active Directory 联合身份验证服务 (AD FS) 身份验证
    这种新技术往往与臭名昭著的 NOBELIUM 行动者联系在一起,被称为“MagicWeb”,攻击者会利用该技术在遭到入侵的 AD FS 服务器上植入后门,以便能够冒充任何域用户,从而访问外部资源。 要详细了解此攻击,请阅读此博客文章

  • 除了以前可用的 gMSA 选项以外,Defender for Identity 现在还可以使用域控制器上的 LocalSystem 帐户执行修正操作(启用/禁用用户、强制用户重置密码)。 这样就可以对修正操作提供现成的支持。 有关更多信息,请参阅 Microsoft Defender for Identity 操作帐户

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.192

发布日期:2022 年 10 月 23 日

  • 用来验证已启用 NTLM 审核的新运行状况警报,如运行状况警报页面中所述。

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 9 月

Defender for Identity 版本 2.191

发布日期:2022 年 9 月 19 日

  • 触发蜜标警报的更多活动
    Microsoft Defender for Identity 提供定义蜜标帐户(用作恶意参与者的陷阱)的功能。 与这些蜜标帐户(通常为休眠状态)关联的任何身份验证都会触发蜜标活动(外部 ID 2014)警报。 此版本的新功能是,针对这些蜜标帐户的任何 LDAP 或 SAMR 查询都会触发警报。 此外,如果审核了事件 5136,则会在蜜标的某个属性或蜜标的组成员身份发生更改时触发警报。

有关更多信息,请参阅配置 Windows 事件收集

Defender for Identity 版本 2.190

发布日期:2022 年 9 月 11 日

  • 更新的评估:不安全的域配置
    通过 Microsoft 安全功能分数提供的不安全域配置评估现在可以评估域控制器 LDAP 签名策略配置,一旦发现不安全的配置,会及时发出警报。 有关详细信息,请参阅安全评估:不安全的域配置

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.189

发布日期:2022 年 9 月 4 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 8 月

Defender for Identity 版本 2.188

发布日期:2022 年 8 月 28 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.187

发布日期:2022 年 8 月 18 日

Defender for Identity 版本 2.186

发布日期:2022 年 8 月 10 日

  • 运行状况警报现在会显示传感器的完全限定的域名 (FQDN) 而不是 NetBIOS 名称。

  • 新的运行状况警报可用于捕获组件类型和配置,如运行状况警报页面中所述。

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 7 月

Defender for Identity 版本 2.185

发布日期:2022 年 7 月 18 日

  • 修复了可疑黄金票证的使用(帐户不存在)(外部 ID 2027)会不正当地检测 macOS 设备的问题。

  • 用户操作:我们已决定将用户页面上的“禁用用户”操作分为两个不同的操作:

    • 禁用用户 - 在 Active Directory 级别禁用用户
    • 挂起用户 - 将禁用 Microsoft Entra ID 级别的用户

    我们知道,从 Active Directory 同步到 Microsoft Entra ID 所需的时间可能至关重要,因此现在可以选择逐个禁用用户,以消除对同步本身的依赖性。 请注意,仅在 Microsoft Entra ID 中禁用的用户将被 Active Directory 覆盖(如果用户仍在那里处于活动状态)。

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.184

发布日期:2022 年 7 月 10 日

  • 新的安全评估
    Defender for Identity 现包括以下新安全评估:

    • 不安全的域配置
      Microsoft Defender for Identity 会持续监视你的环境,以识别具有暴露出安全风险的配置值的域,并针对这些域进行报告,以帮助你管理环境。 有关详细信息,请参阅安全评估:不安全的域配置
  • Defender for Identity 安装包现在将安装 Npcap 组件而不是 WinPcap 驱动程序。 有关更多信息,请参阅 WinPcap 和 Npcap 驱动程序

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 6 月

Defender for Identity 版本 2.183.15436.10558(修补程序)

发布日期:2022 年 6 月 20 日(更新日期:2022 年 7 月 4 日)

  • 新的安全警报:使用分布式文件系统协议的可疑 DFSCoerce 攻击
    为了响应最近发布的利用 DFS 协议中的流的攻击工具,Microsoft Defender for Identity 将在攻击者使用此攻击方法时触发安全警报。 若要详细了解此攻击,请阅读此博客文章

Defender for Identity 版本 2.183

发布日期:2022 年 6 月 20 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.182

发布日期:2022 年 6 月 4 日

  • Defender for Identity 的新“关于”页面可用。 可以在 Microsoft Defender 门户的“设置”->“标识”->“关于”下找到它。 它提供了有关 Defender for Identity 实例的几个重要详细信息,包括实例名称、版本、ID 和实例地理位置。 排查问题并打开支持票证时,此信息非常有用。
  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 5 月

Defender for Identity 版本 2.181

发布日期:2022 年 5 月 22 日

  • 现在,可以使用 Microsoft Defender for Identity 直接对本地帐户执行修正操作

    • 禁用用户 - 这会暂时阻止用户登录到网络。 它可以帮助防止遭入侵的用户横向移动并试图窃取数据或进一步入侵网络。
    • 重置用户密码 - 这会提示用户在下一次登录时更改其密码,确保无法将此帐户用于进一步模拟尝试。

    可以从 Microsoft Defender XDR 中的多个位置执行这些操作:用户页面、用户页面侧面板、高级搜寻甚至自定义检测。 这需要设置 Microsoft Defender for Identity 将用于执行操作的特权 gMSA 帐户。 有关要求的详细信息,请参阅 Microsoft Defender for Identity 操作帐户

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.180

发布日期:2022 年 5 月 12 日

  • 新的安全警报:dNSHostName 属性的可疑修改 (CVE-2022-26923)
    为了响应近期 CVE 的发布,每当攻击者试图利用 CVE-2022 -26923 时,Microsoft Defender for Identity 都会触发安全警报。 若要详细了解此攻击,请阅读此博客文章

  • 在版本 2.177 中,我们发布了 Defender for Identity 可以涵盖的其他 LDAP 活动。 但是,我们发现了一个 bug,导致事件无法在 Defender for Identity 门户中呈现和引入。 此版本中已修复该问题。 从版本 2.180 开始,当启用事件 ID 1644 时,不仅可以通过 Active Directory Web 服务了解 LDAP 活动,而且其他 LDAP 活动还将包括在源计算机上执行 LDAP 活动的用户。 这适用于基于 LDAP 事件的安全警报和逻辑活动。

  • 作为对最近的 KrbRelayUp 披露的响应,我们发布了一个静默检测器来帮助我们评估我们对此披露的响应。 静默检测器将使我们能够评估检测的有效性,并根据我们正在收集的事件收集信息。 如果此检测显示为高质量,我们将在下一版本中发布新的安全警报。

  • 我们已将“DNS 上的远程执行代码”重命名为“DNS 上的远程执行代码尝试”,因为它更好地反映了这些安全警报背后的逻辑。

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.179

发布日期:2022 年 5 月 1 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 4 月

Defender for Identity 版本 2.178

发布日期:2022 年 4 月 10 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 3 月

Defender for Identity 版本 2.177

发布日期:2022 年 3 月 27 日

  • Microsoft Defender for Identity 现在可监视网络中其他 LDAP 查询。 这些 LDAP 活动通过 Active Directory Web 服务协议发送,并充当普通的 LDAP 查询。 若要了解这些活动,需要在域控制器上启用事件 1644。 此事件涵盖域中的 LDAP 活动,主要用于识别由 Active Directory 域控制器提供服务的轻型目录访问协议 (LDAP) 搜索,这类搜索昂贵、低效或缓慢。 有关更多信息,请参阅旧配置

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.176

发布日期:2022 年 3 月 16 日

  • 自此版本开始,从新软件包安装该传感器时,“添加/删除程序”下的传感器版本将显示完整版本号(例如 2.176.x.y),而不像之前一样显示静态的 2.0.0.0。 它将继续显示该版本(通过软件包安装的版本),即使该版本将通过 Defender for Identity 云服务的自动更新进行更新。 可以在门户的传感器设置页面、可执行路径或文件版本中查看实际版本。

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.175

发布日期:2022 年 3 月 6 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 2 月

Defender for Identity 版本 2.174

发布日期:2022 年 2 月 20 日

Defender for Identity 版本 2.173

发布日期:2022 年 2 月 13 日

Defender for Identity 版本 2.172

发布日期:2022 年 2 月 8 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2022 年 1 月

Defender for Identity 版本 2.171

发布日期:2022 年 1 月 31 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.170

发布日期:2022 年 1 月 24 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.169

发布日期:2022 年 1 月 17 日

  • 我们很高兴发布了为 Microsoft Defender for Identity 配置操作帐户的功能。 这是能够直接从产品对用户执行操作的第一步。 作为第一步,可以定义 Microsoft Defender for Identity 的 gMSA 帐户,用于执行相应的操作。 我们强烈建议开始创建这些用户,以便在操作功能上线后利用该功能。 有关详细信息,请参阅管理操作帐户

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.168

发布日期:2022 年 1 月 9 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 12 月

Defender for Identity 版本 2.167

发布日期:2021 年 12 月 29 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.166

发布日期:2021 年 12 月 27 日

Defender for Identity 版本 2.165

发布日期:2021 年 12 月 6 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 11 月

Defender for Identity 版本 2.164

发布日期:2021 年 11 月 17 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.163

发布日期:2021 年 11 月 8 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.162

发布日期:2021 年 11 月 1 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 9 月

Defender for Identity 版本 2.161

发布日期:2021 年 9 月 12 日

2021 年 8 月

Defender for Identity 版本 2.160

发布日期:2021 年 8 月 22 日

  • 版本包括各种改进,并根据 PetitPotam 恶意利用中的最新更改涵盖更多场景。
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.159

发布日期:2021 年 8 月 15 日

  • 版本包括内部传感器基础结构的改进和错误修复。
  • 版本包括对新发布的警报进行的改进:基于加密文件系统远程协议的可疑网络连接(外部 ID 2416)。
    我们扩展了对此检测的支持,以便在潜在攻击者通过加密的 EFS-RPCl 通道进行通信时触发。 当通道被加密时触发的警报将被视为中等严重性警报,当没有被加密时,被视为高严重性警报。 要了解有关警报的更多信息,请参阅基于加密文件系统远程协议的可疑网络连接(外部 ID 2416)

Defender for Identity 版本 2.158

发布日期:2021 年 8 月 8 日

  • 版本包括内部传感器基础结构的改进和错误修复。

  • 版本包括一个新的安全警报:基于加密文件系统远程协议的可疑网络连接(外部 ID 2416)。
    在此检测中,每当攻击者尝试针对域控制器恶意利用 EFS-RPC 时,Microsoft Defender for Identity 都会触发安全警报。 此攻击途径与最近的 PetitPotam 攻击存在关联。 要了解有关警报的更多信息,请参阅基于加密文件系统远程协议的可疑网络连接(外部 ID 2416)

  • 版本包括一个新的安全警报:Exchange Server 远程代码执行 (CVE-2021-26855)(外部 ID 2414)
    在此检测中,每当攻击者尝试更改 Exchange 对象的“msExchExternalHostName”属性以执行远程代码时,Microsoft Defender for Identity 都会触发安全警报。 要了解有关此警报的更多信息,请参阅 Exchange Server 远程代码执行 (CVE-2021-26855)(外部 ID 2414)。 此检测依赖 Windows 事件 4662,因此必须事先启用它。 有关如何配置和收集此事件的信息,请参阅配置 Windows 事件收集,并按照有关在 Exchange 对象上启用审核的说明进行操作。

Defender for Identity 版本 2.157

发布日期:2021 年 8 月 1 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 7 月

Defender for Identity 版本 2.156

发布日期:2021 年 7 月 25 日

  • 从此版本开始,我们将 Npcap 驱动程序可执行文件添加到传感器安装包中。 有关更多信息,请参阅 WinPcap 和 Npcap 驱动程序
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.155

发布日期:2021 年 7 月 18 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.154

发布日期:2021 年 7 月 11 日

  • 版本包括内部传感器基础结构的改进和错误修复。
  • 版本包括添加了针对打印后台处理程序恶意利用行为的改进和检测(称为 PrintNightmare 检测),以涵盖更多攻击场景。

Defender for Identity 版本 2.153

发布日期:2021 年 7 月 4 日

  • 版本包括内部传感器基础结构的改进和错误修复。

  • 版本包括一个新的安全警报:可疑的 Windows 打印后台处理程序服务恶意利用尝试(CVE-2021-34527 恶意利用)(外部 ID 2415)。

    在此检测中,每当攻击者尝试针对域控制器恶意利用 Windows 打印后台处理程序服务时,Defender for Identity 都会触发安全警报。 此攻击途径与打印后台处理程序恶意利用存在关联,称为 PrintNightmare。 了解有关此警报的更多信息

2021 年 6 月

Defender for Identity 版本 2.152

发布日期:2021 年 6 月 27 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.151

发布日期:2021 年 6 月 20 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.150

发布日期:2021 年 6 月 13 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 5 月

Defender for Identity 版本 2.149

发布日期:2021 年 5 月 31 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.148

发布日期:2021 年 5 月 23 日

  • 如果配置和收集事件 ID 4662,Defender for Identity 将报告哪些用户对各种 Active Directory 对象属性进行了更新序列号 (USN) 更改。 例如,如果更改了帐户密码并启用了事件 4662,此事件将记录更改密码的人员。
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.147

发布日期:2021 年 5 月 9 日

  • 根据客户反馈,我们正在将允许的传感器的默认数量从 200 个增加到 350 个,目录服务凭证从 10 个增加到 30 个。
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.146

发布日期:2021 年 5 月 2 日

  • 运行状况问题和安全警报的电子邮件通知现在都将包含 Microsoft Defender for Identity 和 Microsoft Defender XDR 的调查 URL。

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 4 月

Defender for Identity 版本 2.145

发布日期:2021 年 4 月 22 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.144

发布日期:2021 年 4 月 12 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 3 月

Defender for Identity 版本 2.143

发布日期:2021 年 3 月 14 日

  • 我们添加了 Windows 事件 4741,以检测为 Active Directory 添加了计算机帐户活动。 配置新事件,该事件将由 Defender for Identity 收集。 配置之后,可以在活动日志和 Microsoft Defender XDR 高级搜寻功能中查看所收集的事件。
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.142

发布日期:2021 年 3 月 7 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 2 月

Defender for Identity 版本 2.141

发布日期:2021 年 2 月 21 日

  • 新的安全警报:可疑的 AS-REP Roasting 攻击(外部 ID 2412)
    Defender for Identity 的可疑的 AS-REP Roasting 攻击(外部 ID 2412)安全警报现已推出。 在此检测中,当攻击者以禁用了 Kerberos 预身份验证的帐户为目标并尝试获取 Kerberos TGT 数据时,会触发 Defender for Identity 安全警报。 攻击者的意图可能是利用脱机密码破解攻击从数据中提取凭证。 有关更多信息,请参阅 Kerberos AS-REP Roasting 风险(外部 ID 2412)
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.140

发布日期:2021 年 2 月 14 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2021 年 1 月

Defender for Identity 版本 2.139

发布日期:2021 年 1 月 31 日

  • 我们将可疑 Kerberos SPN 风险更新为高严重性,以便更好地反映此警报的影响。 有关此警报的更多信息,请参阅可疑的 Kerberos SPN 风险(外部 ID 2410)
  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.138

发布日期:2021 年 1 月 24 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.137

发布日期:2021 年 1 月 17 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.136

发布日期:2021 年 1 月 3 日

  • Defender for Identity 现在支持在 Active Directory 联合身份验证服务 (AD FS) 服务器上安装传感器。 通过在兼容的 AD FS 服务器上安装传感器,可以监控此关键基础结构组件,以扩展 Microsoft Defender for Identity 对混合环境的了解。 我们还刷新了一些现有的检测(可疑的服务创建可疑的暴力攻击 (LDAP)帐户枚举侦查),以便还能够处理 AD FS 数据。 要开始部署适用于 AD FS 服务器的 Microsoft Defender for Identity 传感器,请从传感器配置页面中下载最新的部署包
  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 12 月

Defender for Identity 版本 2.135

发布日期:2020 年 12 月 20 日

Defender for Identity 版本 2.134

发布日期:2020 年 12 月 13 日

Defender for Identity 版本 2.133

发布日期:2020 年 12 月 6 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 11 月

Defender for Identity 版本 2.132

发布日期:2020 年 11 月 17 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Defender for Identity 版本 2.131

发布日期:2020 年 11 月 8 日

  • 新的安全警报:可疑的 Kerberos SPN 风险(外部 ID 2410)
    Defender for Identity 的可疑的 Kerberos SPN 泄漏(外部 ID 2410)安全警报现已推出。 在此检测中,当攻击者枚举服务帐户及其各自的 SPN,然后为服务请求 Kerberos TGS 票证时,将触发 Defender for Identity 安全警报。 攻击者的意图可能是从票证中提取哈希,并保存这些哈希以供将来在脱机暴力攻击中使用。 有关更多信息,请参阅 Kerberos SPN 风险
  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 10 月

Defender for Identity 版本 2.130

发布日期:2020 年 10 月 25 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.129

发布日期:2020 年 10 月 18 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 9 月

Azure ATP 版本 2.128

发布日期:2020 年 9 月 27 日

  • 修改的电子邮件通知配置
    我们正在移除用来打开电子邮件通知的“邮件通知”开关。 要接收电子邮件通知,只需添加一个地址。 有关更多信息,请参阅设置通知
  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.127

发布日期:2020 年 9 月 20 日

  • 新的安全警报:可疑的 Netlogon 特权提升尝试 (外部 ID 2411)
    现已提供 Azure ATP“可疑的 Netlogon 特权提升尝试(CVE-2020-1472 漏洞)(外部 ID 2411)”安全警报。 在此检测中,当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立一个指向域控制器的易受攻击的 Netlogon 安全通道连接(也称为 Netlogon 特权提升漏洞)时,将触发 Azure ATP 安全警报。 有关更多信息,请参阅可疑的 Netlogon 特权提升尝试
  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.126

发布日期:2020 年 9 月 13 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.125

发布日期:2020 年 9 月 6 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 8 月

Azure ATP 版本 2.124

发布日期:2020 年 8 月 30 日

  • 新的安全警报
    Azure ATP 安全警报现在包括以下新检测:
    • Active Directory 属性侦查 (LDAP)(外部 ID 2210)
      在此检测中,当攻击者涉嫌成功获取有关域的重要信息以便在其攻击杀伤链中使用时,将触发 Azure ATP 安全警报。 有关更多信息,请参阅 Active Directory 属性侦查
    • 可疑的恶意 Kerberos 证书使用情况(外部 ID 2047)
      在此检测中,当攻击者通过入侵证书颁发机构服务器而获得组织控制权,并疑似生成可以在将来的攻击(例如在网络中横向移动)中用作后门帐户的证书时,将触发 Azure ATP 安全警报。 有关更多信息,请参阅可疑的恶意 Kerberos 证书使用情况
    • 可疑的黄金票证使用情况(使用 RBCD 时票证异常)(外部 ID 2040)
      拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限。
      这个伪造的 TGT 称为“黄金票证”,因为它允许攻击者利用基于资源的约束委派 (RBCD) 实现持久的网络持久性。 这种伪造的黄金票证具有这项新的检测功能可以识别的独特特征。 有关更多信息,请参阅可疑的黄金票证使用情况(使用 RBCD 时票证异常)
  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.123

发布日期:2020 年 8 月 23 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.122

发布日期:2020 年 8 月 16 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.121

发布日期:2020 年 8 月 2 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 7 月

Azure ATP 版本 2.120

发布日期:2020 年 7 月 26 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.119

发布日期:2020 年 7 月 5 日

  • 功能增强:Excel 报告中新增的“已排除的域控制器”选项卡
    为了提高域控制器覆盖范围计算的准确性,我们将从计算中排除拥有外部信任的域控制器,以实现 100% 覆盖范围。 已排除的域控制器将出现在域覆盖范围 Excel 报告下载内容中新增的“已排除的域控制器”选项卡中。 有关如何下载此报告的信息,请参阅域控制器状态
  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 6 月

Azure ATP 版本 2.118

发布日期:2020 年 6 月 28 日

  • 新的安全评估
    Azure ATP 安全评估现包括以下新评估:

    • 风险最大的横向移动路径
      此评估将持续监控环境,以识别具有风险最高的横向移动路径且构成安全风险的敏感帐户,并报告这些帐户以帮助你管理环境。 如果路径具有三个或更多的非敏感帐户,而且这些帐户可能导致敏感帐户的凭证被恶意行动者盗窃,这些路径将被视为存在风险。 有关更多信息,请参阅安全评估:风险最大的横向移动路径 (LMP)
    • 不安全的帐户属性
      此评估将使 Azure ATP 持续监控环境,以识别具有构成安全风险的属性的帐户,并报告这些帐户以帮助你保护环境。 有关更多信息,请参阅安全评估:不安全的帐户属性
  • 更新后的敏感度定义
    我们正在扩展本地帐户的敏感度定义,以包括允许使用 Active Directory 副本的实体。

Azure ATP 版本 2.117

发布日期:2020 年 6 月 14 日

  • 功能增强:统一的 SecOps 体验中提供的其他活动详细信息
    我们扩展了发送到 Defender for Cloud Apps 的设备信息,包括设备名、IP 地址、帐户 UPN 和使用的端口。 有关与 Defender for Cloud Apps 集成的详细信息,请参阅结合使用 Azure ATP 与 Defender for Cloud Apps

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.116

发布日期:2020 年 6 月 7 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 5 月

Azure ATP 版本 2.115

发布日期:2020 年 5 月 31 日

  • 新的安全评估
    Azure ATP 安全评估现包括以下新评估:

    • 不安全的 SID 历史记录属性
      此评估将报告恶意攻击者可用来访问环境的 SID 历史记录属性。 有关更多信息,请参阅安全评估:不安全的 SID 历史记录属性
    • Microsoft LAPS 使用情况
      此评估将报告未使用 Microsoft 的“本地管理员密码解决方案”(LAPS) 来保护密码的那些本地管理员帐户。 使用 LAPS 简化了密码管理,还有助于防御网络攻击。 有关更多信息,请参阅安全评估:Microsoft LAPS 使用情况
  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.114

发布日期:2020 年 5 月 17 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.113

发布日期:2020 年 5 月 5 日

  • 功能增强:使用 NTLMv1 扩充的资源访问活动
    从此版本开始,Azure ATP 现在提供有关资源访问活动的信息,并显示资源是否使用 NTLMv1 身份验证。 此资源配置并不安全,可能导致恶意行为者挟持应用程序并从中获益。 有关此风险的更多信息,请参阅旧协议使用情况

  • 功能增强:可疑的暴力攻击(Kerberos、NTLM)警报
    攻击者利用暴力攻击在组织中建立一个据点,因此暴力攻击是在 Azure ATP 中发现威胁和风险的一种关键方法。 为了帮助你专注于用户的关键风险,此更新将限制和优先考虑警报数量,以便能够更简单、更快速地分析和修正风险。

2020 年 3 月

Azure ATP 版本 2.112

发布日期:2020 年 3 月 15 日

  • 新的 Azure ATP 实例自动与 Microsoft Defender for Cloud Apps 集成
    当创建 Azure ATP 实例(以前称为实例)时,会默认启用与 Microsoft Defender for Cloud Apps 的集成。 有关集成的详细信息,请参阅结合使用 Azure ATP 与 Microsoft Defender for Cloud Apps

  • 新的受监控活动
    现已提供以下活动监控:

  • 功能增强:扩充的资源访问活动
    从此版本开始,Azure ATP 现在提供有关资源访问活动的信息,并显示是否信任对资源进行的不受约束的委派。 此资源配置并不安全,可能导致恶意行为者挟持应用程序并从中获益。 有关此风险的更多信息,请参阅安全评估:不安全的 Kerberos 委派

  • 可疑的 SMB 数据包操作(CVE-2020-0796 攻击)- 预览版
    Azure ATP 的可疑的 SMB 数据包操作安全警报现已提供公共预览版。 在此检测中,当怀疑 SMBv3 数据包针对网络中的域控制器利用 CVE-2020-0796 安全漏洞时,将触发 Azure ATP 安全警报。

Azure ATP 版本 2.111

发布日期:2020 年 3 月 1 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2020 年 2 月

Azure ATP 版本 2.110

发布日期:2020 年 2 月 23 日

  • 新的安全评估:不受监控的域控制器
    Azure ATP 安全评估现在包含有关未受监视的域控制器(即没有安装传感器的服务器)的报告,以帮助你管理环境的方方面面。 有关更多信息,请参阅不受监控的域控制器

Azure ATP 版本 2.109

发布日期:2020 年 2 月 16 日

  • 功能增强:敏感实体
    从此版本 (2.109) 开始,被 Azure ATP 视为证书颁发机构、DHCP 或 DNS 服务器的计算机现在会自动标记为“敏感”

Azure ATP 版本 2.108

发布日期:2020 年 2 月 9 日

  • 新功能:支持组托管服务帐户
    Azure ATP 现在支持在将 Azure ATP 传感器连接到 Microsoft Entra 林时,利用组托管服务帐户 (gMSA) 提高安全性。 有关如何将 gMSA 与 Azure ATP 传感器配合使用的更多信息,请参阅连接到 Active Directory 林

  • 功能增强:具有过多数据的计划报告
    当计划报告具有过多的数据时,电子邮件现在将显示如下文本,以通知你这一事实:指定的时间段内具有过多的数据,因此无法生成报告。 此行为取代了以前的行为,即在单击电子邮件中的报告链接之后只发现这一事实。

  • 功能增强:更新后的域控制器覆盖范围逻辑
    我们更新了域控制器覆盖范围报告逻辑,以包含来自 Microsoft Entra ID 的其他信息,从而更准确地查看没有任何传感器的域控制器。 这一新逻辑可能还会对相应的 Microsoft 安全功能分数产生积极的影响。

Azure ATP 版本 2.107

发布日期:2020 年 2 月 3 日

  • 新的受监控活动:SID 历史记录更改
    SID 历史记录更改现在是一项受监控和可筛选的活动。 详细了解 Azure ATP 监控哪些活动,以及如何在门户中筛选和搜索受监控的活动

  • 功能增强:不再重新打开已关闭或已抑制的警报
    在 Azure ATP 门户中关闭或抑制警报之后,如果在短时间内再次检测到同一个活动,将会打开一个新的警报。 以前在同样的条件下,会重新打开此警报。

  • 门户访问和传感器需要 TLS 1.2
    现在需要 TLS 1.2 才能使用 Azure ATP 传感器和云服务。 使用不支持 TLS 1.2 的浏览器将无法再访问 Azure ATP 门户。

2020 年 1 月

Azure ATP 版本 2.106

发布日期:2020 年 1 月 19 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.105

发布日期:2020 年 1 月 12 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2019 年 12 月

Azure ATP 版本 2.104

发布日期:2019 年 12 月 23 日

  • 消除了传感器版本过期
    落后多个版本的 Azure ATP 传感器部署和传感器安装包将不再过期,而且现在只需更新一次。 此功能的结果是,以前下载的传感器安装包现在依然能够安装,即使它们的版本早于我们规定的错过版本最大数量。

  • 确认入侵
    现在可以确认特定 Microsoft 365 用户遭到入侵,并将他们的风险级别设置为。 使用此工作流,安全运营团队可以提供另一个响应功能,以减小他们的安全事件解决时间阈值。 详细了解如何使用 Azure ATP 和 Defender for Cloud Apps 确认入侵

  • 新体验横幅
    在 Azure ATP 门户页上,Defender for Cloud Apps 门户提供了一种新体验,新横幅显示在页面上,说明哪些内容可以通过访问链接获得。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.103

发布日期:2019 年 12 月 15 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.102

发布日期:2019 年 12 月 8 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2019 年 11 月

Azure ATP 版本 2.101

发布日期:2019 年 11 月 24 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.100

发布日期:2019 年 11 月 17 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.99

发布日期:2019 年 11 月 3 日

  • 功能增强:将 Defender for Cloud Apps 门户可用性的用户界面通知添加到了 Azure ATP 门户
    使用 Defender for Cloud Apps 门户确保所有用户知道增强功能的可用性,从现有的 Azure ATP 警报时间线为门户添加了通知。

  • 版本包括内部传感器基础结构的改进和错误修复。

2019 年 10 月

Azure ATP 版本 2.98

发布日期:2019 年 10 月 27 日

Azure ATP 版本 2.97

发布日期:2019 年 10 月 6 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2019 年 9 月

Azure ATP 版本 2.96

发布日期:2019 年 9 月 22 日

  • 使用 Windows 事件 8004 扩充了 NTLM 身份验证数据
    当启用了 NTLM 审核并打开了 Windows 事件 8004 时,Azure ATP 传感器现在能够利用你访问的服务器数据自动读取和扩充 NTLM 身份验证活动。 Azure ATP 会分析 Windows 事件 8004 以进行 NTLM 身份验证,从而扩充用于 Azure ATP 威胁分析和警报的 NTLM 身份验证数据。 此增强功能基于 NTLM 数据提供资源访问活动,以及扩充的失败登录活动,包括用户尝试但未能访问目标计算机。

    利用 Windows 事件 8004 详细了解 NTLM 身份验证活动。

  • 版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.95

发布日期:2019 年 9 月 15 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.94

发布日期:2019 年 9 月 8 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.93

发布日期:2019 年 9 月 1 日

  • 版本包括内部传感器基础结构的改进和错误修复。

2019 年 8 月

Azure ATP 版本 2.92

发布日期:2019 年 8 月 25 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.91

发布日期:2019 年 8 月 18 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.90

发布日期:2019 年 8 月 11 日

  • 版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.89

发布日期:2019 年 8 月 4 日

  • 传感器方法改进
    为了避免在创建准确的横向移动路径 (LMP) 评估时产生过多的 NTLM 流量,对 Azure ATP 传感器方法进行了改进,以减少对 NTLM 使用的依赖,并更多地倚重 Kerberos。

  • 警报增强:可疑的黄金票证使用情况(不存在帐户)
    已将 SAM 名称更改添加到该类型警报中列出的支持证据类型中。 若要详细了解此警报(包括如何阻止此类活动并进行修正),请参阅可疑黄金票证使用(帐户不存在)

  • 正式发布:可疑的 NTLM 身份验证篡改
    可疑的 NTLM 身份验证篡改警报不再处于预览模式,现已正式发布。

  • 版本包括内部传感器基础结构的改进和错误修复。

2019 年 7 月

Azure ATP 版本 2.88

发布日期:2019 年 7 月 28 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.87

发布日期:2019 年 7 月 21 日

  • 功能增强:自动收集 Azure ATP 独立传感器的 Syslog 事件
    Azure ATP 独立传感器的传入 Syslog 连接现已完全自动化,同时还从配置屏幕中移除了切换选项。 这些更改对传出 Syslog 连接没有任何影响。

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.86

发布日期:2019 年 7 月 14 日

  • 新的安全警报:可疑的 NTLM 身份验证篡改(外部 ID 2039)
    Azure ATP 新增的可疑的 NTLM 身份验证篡改安全警报现已提供公共预览版。 在此检测中,当怀疑利用“中间人”攻击成功绕过 NTLM 消息完整性检查 (MIC) 时,会触发 Azure ATP 安全警报,这是 Microsoft CVE-2019-040 中详细说明的一个安全漏洞。 这些类型的攻击尝试降级 NTLM 安全功能并成功进行身份验证,最终目标是成功进行横向移动。

  • 功能增强:扩充的设备操作系统识别
    到目前为止,Azure ATP 基于 Active Directory 中的可用属性提供实体设备操作系统信息。 以前,如果 Active Directory 中的操作系统信息不可用,Azure ATP 实体页面将不会提供这些信息。 从此版本开始,Azure ATP 现在利用扩充的设备操作系统识别方法,为 Active Directory 中没有信息或未在 Active Directory 中注册的设备提供这些信息。

    添加扩充的设备操作系统识别数据有助于识别未注册的设备和非 Windows 设备,还可以帮助完成调查过程。 有关 Azure ATP 中的网络名称解析的规定信息,请参阅了解网络名称解析 (NNR)

  • 新功能:经过身份验证的代理 - 预览版
    Azure ATP 现在支持经过身份验证的代理。 利用传感器命令行指定代理 URL,并指定用户名/密码,以使用需要身份验证的代理。 有关如何使用经过身份验证的代理的规定信息,请参阅配置代理

  • 功能增强:自动化的域同步器进程
    在设置和正在进行配置的过程中,将域控制器指定并标记为域同步器候选项的过程现已完全自动化。 移除了手动选择域控制器作为域同步器候选项的切换选项。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.85

发布日期:2019 年 7 月 7 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.84

发布日期:2019 年 7 月 1 日

  • 新位置支持:Azure UK 数据中心
    Azure UK 数据中心现在支持 Azure ATP 实例。 要详细了解如何创建 Azure ATP 实例以及它们的相应数据中心位置,请参阅 Azure ATP 安装过程的步骤 1

  • 功能增强:敏感组中添加了可疑的新名称和功能警报(外部 ID 2024)
    敏感组中的可疑添加内容警报以前被命名为对敏感组的可疑修改警报。 警报的外部 ID (ID 2024) 保持不变。 描述性名称更改更准确地反映了对敏感组的添加内容发出警报的目的。 增强型警报还具有新的证据和经过改进的说明。 有关更多信息,请参阅敏感组中的可疑添加内容

  • 新文档功能:有关从高级威胁分析转向 Azure ATP 的指南
    本文包括从 ATA 转向 Azure ATP 服务的先决条件、规划指南以及配置和验证步骤。 有关更多信息,请参阅从 ATA 转向 Azure ATP

  • 此版本还包括内部传感器基础结构的改进和错误修复。

2019 年 6 月

Azure ATP 版本 2.83

发布日期:2019 年 6 月 23 日

  • 功能增强:可疑的服务创建警报(外部 ID 2026)
    此警报现在具有改进的警报页面,其中包含其他的证据和新的说明。 有关更多信息,请参阅可疑的服务创建安全警报

  • 实例命名支持:添加了对仅数字域前缀的支持
    添加了支持,允许使用只包含数字的初始域前缀创建 Azure ATP 实例。 例如,现在支持使用仅数字的初始域前缀(如 123456.contoso.com)。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.82

发布日期:2019 年 6 月 18 日

  • 新的公共预览版
    Azure ATP 的身份威胁调查体验现已提供公共预览版,可供所有受 Azure ATP 保护的租户使用。 若要了解详细信息,请参阅 Azure ATP Microsoft Defender for Cloud Apps 调查体验

  • 正式发布
    现已正式发布对不受信任的林提供的 Azure ATP 支持。 请参阅 Azure ATP 多林,以了解更多信息。

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.81

发布日期:2019 年 6 月 10 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.80

发布日期:2019 年 6 月 2 日

  • 功能增强:可疑的 VPN 连接警报
    此警报现在包含增强的证据和文本,以提高可用性。 有关警报功能以及建议的修正步骤和防护的更多信息,请参阅可疑的 VPN 连接警报说明

  • 此版本还包括内部传感器基础结构的改进和错误修复。

2019 年 5 月

Azure ATP 版本 2.79

发布日期:2019 年 5 月 26 日

  • 正式发布:安全主体侦查 (LDAP)(外部 ID 2038)

    此警报现已处于 GA(正式发布)状态。 有关警报、警报功能以及建议的修正和预防步骤的详细信息,请参阅安全主体侦查 (LDAP) 警报描述

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.78

发布日期:2019 年 5 月 19 日

  • 功能增强:敏感实体
    Exchange Server 的手动敏感标记

    现在可以在配置过程中手动将实体标记为 Exchange Server。

    要手动将实体标记为 Exchange Server:

    1. 在 Azure ATP 门户中,选择“配置”
    2. 在“检测”下方,选择“实体标记”,然后选择“敏感”
    3. 选择 Exchange Server,然后添加要标记的实体。

    将一台计算机标记为 Exchange Server 之后,会将它标记为“敏感”,并表明已将它标记为 Exchange Server。 “敏感”标记将显示在此计算机的实体配置文件中,所有基于敏感帐户和横向移动路径的检测都会考虑此计算机。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.77

发布日期:2019 年 5 月 12 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.76

发布日期:2019 年 5 月 6 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

2019 年 4 月

Azure ATP 版本 2.75

发布日期:2019 年 4 月 28 日

  • 功能增强:敏感实体
    从此版本 (2.75) 开始,被 Azure ATP 视为 Exchange Server 的计算机现在会自动标记为“敏感”

    当实体由于充当 Exchange Server 而自动被标记为“敏感”时,会将此分类作为它们被标记的原因而列出。

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.74

发布时间:2019 年 4 月 14 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.73

发布日期:2019 年 4 月 10 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

2019 年 3 月

Azure ATP 版本 2.72

发布日期:2019 年 3 月 31 日

  • 功能增强:横向移动路径 (LMP) 范围深度
    横向移动路径 (LMP) 是在 Azure ATP 中发现威胁和风险的一种关键方法。 为了帮助你专注于最敏感的用户的关键风险,此更新将限制显示的每个图表的范围和深度,以便能够更简单、更快速地分析和修正每个 LMP 上的敏感用户的风险。

    请参阅横向移动路径,以详细了解 Azure ATP 如何利用 LMP 显示环境中的每个实体的访问风险。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.71

发布日期:2019 年 3 月 24 日

  • 功能增强:网络名称解析 (NNR) 运行状况警报
    为与基于 NNR 的 Azure ATP 安全警报相关联的置信度添加了运行状况警报。 每个运行状况警报都包含可操作的详细建议,以帮助解决低 NNR 成功率。

    请参阅什么是网络名称解析,以详细了解 Azure ATP 如何利用 NNR 以及它对警报准确性为何如此重要。

  • 服务器支持:添加了对使用 KB4487044 的 Server 2019 的支持
    添加了对修补程序级别为 KB4487044 的 Windows Server 2019 的支持。 不支持使用没有修补程序的 Server 2019,并将从此更新开始阻止这一行为。

  • 功能增强:基于用户的警报排除
    扩展的警报排除选项现在允许从特定的警报中排除特定的用户。 排除有助于避免由于使用或配置某些类型的内部软件而反复触发良性安全警报的情况。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.70

发布日期:2019 年 3 月 17 日

Azure ATP 版本 2.69

发布日期:2019 年 3 月 10 日

  • 功能增强:可疑身份盗用(票证传递)警报 此警报现在具有新的证据显示通过使用远程桌面协议 (RDP) 建立连接的详细信息。 使用所添加的证据,可以轻松修正由于通过 RDP 连接使用 Remote Credential Guard 而引起的良性真阳性警报 (B-TP) 已知问题。

  • 功能增强:通过 DNS 警报执行远程代码
    此警报现在提供了新证据,以显示域控制器安全更新状态,并告知何时需要进行更新。

  • 新的文档功能:Azure ATP 安全警报 MITRE ATT&CK Matrix™
    为了解释 Azure ATP 安全警报和熟悉的 MITRE ATT&CK Matri 之间的关系并使其更容易映射,我们在 Azure ATP 安全警报列表中添加了相关 MITRE 技术。 使用此附加参考,可以更轻松地了解在触发 Azure ATP 安全警报时可能使用的可疑攻击技术。 详细了解 Azure ATP 安全警报指南

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.68

发布日期:2019 年 3 月 3 日

  • 功能增强:可疑的暴力攻击 (LDAP) 警报
    对此安全警报进行了重大可用性改进,包括修订后的说明、提供了其他源信息以及猜测尝试详细信息,以加快修正速度。
    详细了解可疑的暴力攻击 (LDAP) 安全警报。

  • 新文档功能:安全警报实验室
    为了说明 Azure ATP 在检测对工作环境的实际威胁方面的强大功能,我们为本文档添加了一个新的安全警报实验室安全警报实验室可帮助你快速设置实验室或测试环境,并说明针对常见、真实的威胁和攻击的最佳防御态势。

    分步实验室旨在确保你尽量减少在构建方面花费的时间,并将更多的时间投入到了解威胁环境以及可用的 Azure ATP 警报和保护上。 我们非常期待收到你的反馈。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

2019 年 2 月

Azure ATP 版本 2.67

发布日期:2019 年 2 月 24 日

  • 新的安全警报:安全主体侦查 (LDAP) – 预览版
    Azure ATP 的安全主体侦查 (LDAP) - 预览版安全警报现已提供公共预览版。 在此检测中,当攻击者利用安全主体侦查功能获取有关域环境的关键信息时,将触发 Azure ATP 安全警报。 此信息可帮助攻击者映射域结构以及识别特权帐户,以便在他们的攻击杀伤链中的后续步骤中使用。

    轻型目录访问协议 (LDAP) 是出于合法目的和恶意目的查询 Active Directory 的最常用方法之一。 LDAP 重点安全主体侦查功能通常用作 Kerberoasting 攻击的第一阶段。 Kerberoasting 攻击用来获取安全主体名称 (SPN) 的目标列表,随后,攻击者会尝试获取票证授予服务器 (TGS) 票证。

  • 功能增强:帐户枚举侦查 (NTLM) 警报
    利用其他分析改进了帐户枚举侦查 (NTLM) 警报,并改进了检测逻辑以减少 B-TPFP 警报结果。

  • 功能增强:网络映射侦查 (DNS) 警报
    为网络映射侦查 (DNS) 警报添加了新的检测类型。 除了检测可疑的 AXFR 请求以外,Azure ATP 现在还利用过多的请求数量检测来自非 DNS 服务器的可疑类型的请求。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.66

发布日期:2019 年 2 月 17 日

  • 功能增强:可疑的 DCSync 攻击(目录服务的副本)警报
    此安全警报的可用性改进包括修订后的说明、提供了其他源信息、新的信息图和更多的证据。 详细了解可疑的 DCSync 攻击(目录服务的副本)安全警报。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.65

发布日期:2019 年 2 月 10 日

  • 新的安全警报:可疑的 NTLM 中继攻击(Exchange 帐户)– 预览版
    Azure ATP 的可疑的 NTLM 中继攻击(Exchange 帐户)- 预览版安全警报现已提供公共预览版。 在此检测中,当发现使用了来自可疑源的 Exchange 帐户凭证时,会触发 Azure ATP 安全警报。 这些类型的攻击会尝试利用 NTLM 中继技术获取域控制器交换特权,称为 ExchangePriv。 从 2019 年 1 月 31 日首次发布的 ADV190007 公告Azure ATP 警报响应中详细了解 ExchangePriv 技术。

  • 正式发布:通过 DNS 执行远程代码
    此警报现已处于 GA(正式发布)状态。 有关更多信息和警报功能,请参阅“通过 DNS 执行远程代码”警报说明页面

  • 正式发布:SMB 上的数据外泄
    此警报现已处于 GA(正式发布)状态。 有关更多信息和警报功能,请参阅“SMB 上的数据外泄”警报说明页面

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.64

发布日期:2019 年 2 月 4 日

2019 年 1 月

Azure ATP 版本 2.63

发布日期:2019 年 1 月 27 日

  • 新功能:不受信任的林支持 – 预览版
    Azure ATP 对不受信任的林中的传感器的支持现已提供公共预览版。 从 Azure ATP 门户的“目录服务”页面中,配置另外几组其他凭证,以使 Azure ATP 传感器能够连接到不同的 Active Directory 林,并向 Azure ATP 服务发回报告。 请参阅 Azure ATP 多林,以了解更多信息。

  • 新功能:域控制器覆盖范围
    Azure ATP 现在为 Azure ATP 监控的域控制器提供覆盖范围信息。
    从 Azure ATP 门户的“传感器”页面中,查看 Azure ATP 在环境中检测到的受监控和不受监控的域控制器数量。 下载受监控的域控制器的列表以进行进一步分析,并制定行动计划。 请参阅域控制器监控操作指南,以了解更多信息。

  • 功能增强:帐户枚举侦查 (NTLM)
    Azure ATP 帐户枚举侦查检测功能现在使用 Kerberos 和 NTLM 检测枚举尝试和发出警报。 以前,此检测只适用于使用 Kerberos 进行的尝试。 请参阅 Azure ATP 侦查警报,以了解更多信息。

  • 功能增强:远程代码执行尝试警报

    • 所有远程执行活动(例如创建服务、执行 WMI 和执行新的 PowerShell)都已添加到目标计算机的配置文件时间线中。 目标计算机是在其上执行此命令的那个域控制器。
    • PowerShell 执行活动已添加到实体配置文件警报时间线中列出的远程代码执行活动列表中。
    • 请参阅远程代码执行尝试,以了解更多信息。
  • Windows Server 2019 LSASS 问题和 Azure ATP
    为了响应有关将 Azure ATP 与运行 Windows Server 2019 的域控制器配合使用的客户反馈,此更新包含额外的逻辑,以避免在 Windows Server 2019 计算机上触发所报告的行为。 计划在将来的 Azure ATP 更新中完全支持在 Windows Server 2019 上运行 Azure ATP 传感器,但目前支持在 Windows Server 2019 上安装和运行 Azure ATP。 请参阅 Azure ATP 服务器要求,以了解更多信息。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.62

发布日期:2019 年 1 月 20 日

  • 新的安全警报:DNS 上的远程代码执行 – 预览版
    Azure ATP 的 DNS 上的远程代码执行安全警报现已提供公共预览版。 在此检测中,当怀疑 DNS 查询针对网络中的域控制器利用 CVE-2018-8626 安全漏洞时,将触发 Azure ATP 安全警报。

  • 功能增强:72 小时延迟传感器更新
    更改了在 Azure ATP 的每次版本更新之后将所选传感器上的传感器更新延迟到 72 小时(而不是之前的 24 小时延迟)的方案。 请参阅 Azure ATP 传感器更新,以了解配置说明。

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.61

发布日期:2019 年 1 月 13 日

  • 新的安全警报:SMB 上的数据外泄 - 预览版
    Azure ATP 的“SMB 上的数据外泄”安全警报现已提供公共预览版。 拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,攻击者可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限。

  • 功能增强:远程代码执行尝试安全警报
    添加了新的警报说明和其他证据,以便于了解警报和提供更好的调查工作流。

  • 功能增强:DNS 查询逻辑活动
    其他查询类型已添加到 Azure ATP 监控的活动,包括:TXTMXNSSRVANYDNSKEY

  • 功能增强:可疑的黄金票证使用情况(票证异常)和可疑的黄金票证使用情况(不存在的帐户)
    改进的检测逻辑已应用于这两种警报,以减少 FP 警报的数量和提供更准确的结果。

  • 功能增强:Azure ATP 安全警报文档
    已增强和扩展 Azure ATP 安全警报文档,以包含更好的警报说明、更准确的警报分类以及有关证据、修正和预防的说明。 请使用以下链接熟悉新的安全警报文档设计:

  • 此版本还包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.60

2019 年 1 月 6 日发布

  • 此版本包括内部传感器基础结构的改进和错误修复。

2018 年 12 月

Azure ATP 版本 2.59

发布日期:2018 年 12 月 16 日

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.58

2018 年 12 月 9 日发布

  • 安全警报增强:异常协议实现警报拆分
    Azure ATP 的一系列“异常协议实现”安全警报(以前共享了 1 个外部 ID 2002)现在拆分为四种独特的警报,并具有相应的唯一外部 ID。

新的警报外部 ID

新的安全警报名称 以前的安全警报名称 唯一的外部 ID
可疑的暴力攻击 (SMB) 异常协议实现(可能使用 Hydra 等恶意工具) 2033
可疑的 Overpass-the-Hash 攻击 (Kerberos) 异常的 Kerberos 协议实现(潜在的 Overpass-the-Hash 攻击) 2002
疑似使用 Metasploit 黑客框架 异常协议实现(可能使用 Metasploit 黑客工具) 2034
可疑的 WannaCry 勒索软件攻击 异常协议实现(潜在的 WannaCry 勒索软件攻击) 2035
  • 新的受监控活动:通过 SMB 复制文件
    使用 SMB 复制文件现在是一项受监控和可筛选的活动。 详细了解 Azure ATP 监控哪些活动,以及如何在门户中筛选和搜索受监控的活动

  • 大型横向移动路径图像增强
    现在,在查看大型横向移动路径时,可以发现 Azure ATP 仅突出显示连接到选定实体的节点,而不会模糊处理其他节点。 此更改显著提高了大型 LMP 的呈现速度。

  • 此版本包括内部传感器基础结构的改进和错误修复。

Azure ATP 版本 2.57

发布日期:2018 年 12 月 2 日

  • 新的安全警报:可疑的黄金票证使用情况 - 票证异常(预览版)
    Azure ATP 的可疑的黄金票证使用情况 - 票证异常安全警报现已提供公共预览版。 拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,攻击者可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限。

    这个伪造的 TGT 称为“黄金票证”,因为它允许攻击者实现持久的网络持久性。 这种伪造的黄金票证具有这项新的检测功能可以识别的独特特征。

  • 功能增强:自动创建 Azure ATP 实例(实例)
    从今天起,Azure ATP 的实例重命名为 Azure ATP 实例。 Azure ATP 现在支持每个 Azure ATP 帐户使用一个 Azure ATP 实例。 新客户的实例是使用 Azure ATP 门户中的实例创建向导创建的。 使用此更新,现有的 Azure ATP 实例将自动转换为 Azure ATP 实例。

    要了解有关 Azure ATP 实例的详细信息,请参阅创建 Azure ATP 实例

  • 此版本包括内部传感器基础结构的改进和错误修复。

2018 年 11 月

Azure ATP 版本 2.56

发布于 2018 年 11 月 25 日

  • 功能增强:横向移动路径 (LMP)
    添加了两个额外的功能,以增强 Azure ATP 横向移动路径 (LMP) 功能:

    • 现在为每个实体以及在使用 LMP 报告时保存并发现 LMP 历史记录。
    • 通过活动时间线跟踪 LMP 中的实体,并使用所提供的其他证据发现潜在攻击路径。

    请参阅 Azure ATP 横向移动路径,以详细了解如何使用和调查增强的 LMP。

  • 文档增强功能:横向移动路径、安全警报名称
    添加并更新了对介绍横向移动路径说明和功能的 Azure ATP 文章,并添加了旧版安全警报名称的所有实例与新的名称和外部 ID 之间的名称映射。

  • 此版本包括内部传感器基础结构的改进和错误修复。

有关版本 2.55 及更早 Defender for Identity 版本的各版本详细信息,请参阅 Defender for Identity 版本参考

后续步骤