適用於身分識別的 Microsoft Defender 的新封存功能

發行項
01/07/2025

本文列出 6 個月前發行的版本和功能適用於身分識別的 Microsoft Defender 版本資訊。

如需最新版本和功能的相關信息，請參閱適用於身分識別的 Microsoft Defender 的新功能。

注意事項

從 2022 年 6 月 15 日開始，Microsoft 將不再支援執行 2008 R2 Windows Server 裝置上的適用於身分識別的 Defender 感測器。建議您識別 (2008 R2 Windows Server DC) 或 AD FS 伺服器 (剩餘的域控制器，並計劃將它們更新為支援的作業系統。

在 2022 年 6 月 15 日之後的兩個月內，感測器將繼續運作。在這兩個月的期間之後，從 2022 年 8 月 15 日開始，感測器將不再在 Windows Server 2008 R2 平台上運作。如需詳細數據，請參閱： https://aka.ms/mdi/2008r2

2023 年 7 月

適用於身分識別的 Defender 2.209 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。

在 Microsoft Defender 全面偵測回應 (Preview) 中搜尋 Active Directory 群組

Microsoft Defender 全面偵測回應全域搜尋現在支援依Active Directory組名進行搜尋。找到的任何群組都會顯示在個別群組索引標籤上的結果中。從您的搜尋結果中選取 Active Directory 群組，以查看更多詳細數據，包括：

類型
範圍
網域
SAM 名稱
SID

群組建立時間
第一次觀察到群組的活動
包含所選群組的群組
所有群組成員的清單

例如：

如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應中的適用於身分識別的 Microsoft Defender。

新的安全性狀態報告

適用於身分識別的Defender身分識別安全性狀態評估會在您的內部部署的 Active Directory 組態中主動偵測並建議動作。

下列新的安全性狀態評估現在可在Microsoft安全分數中取得：

如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 的安全性狀態評估。

適用於身分識別的傳統Defender入口網站自動重新導向

適用於身分識別的 Microsoft Defender 入口網站體驗和功能會彙集至Microsoft的擴充偵測和回應 (XDR) 平臺，Microsoft Defender 全面偵測回應。自 2023 年 7 月 6 日起，使用傳統適用於身分識別的 Defender 入口網站的客戶會自動重新導向至 Microsoft Defender 全面偵測回應，而無須還原回傳統入口網站的選項。

如需詳細資訊，請參閱我們的部落格文章和 Microsoft Defender 全面偵測回應中的適用於身分識別的 Microsoft Defender。

適用於身分識別的 Defender 報告會在 Microsoft Defender 全面偵測回應 (Preview) 中下載和排程

現在您可以從 Microsoft Defender 入口網站下載並排程適用於身分識別的Defender定期報告，使用舊版適用於身分識別的Defender入口網站建立報表功能的同位。

從 [設定>>身分識別報表管理] 頁面下載並排程 Microsoft Defender 全面偵測回應中的報表。例如：

如需詳細資訊，請參閱在 Microsoft Defender 全面偵測回應中適用於身分識別的 Microsoft Defender 報表。

適用於身分識別的 Defender 2.208 版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。

適用於身分識別的 Defender 2.207 版

此版本提供新的 AccessKeyFile 安裝參數。在適用於身分識別的 Defender 感測器的無訊息安裝期間使用 AccessKeyFile 參數，從提供的文字路徑設定工作區存取密鑰。如需詳細資訊，請參閱安裝適用於身分識別的 Microsoft Defender 感測器。
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。

2023 年 6 月

適用於身分識別的Defender 2.206版

此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。

使用增強的 IdentityInfo 數據表進行進階搜捕

針對已部署適用於身分識別的Defender的租使用者，Microsoft 365 IdentityInfo 進階搜捕數據表現在包含每個身分識別的更多屬性，以及適用於身分識別的Defender感測器從內部部署環境中偵測到的身分識別。

如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應進階搜捕檔。

適用於身分識別的Defender 2.205版

此版本包含內部感測器基礎結構的改善和錯誤修正。

2023 年 5 月

增強的 Active Directory 帳戶控制醒目提示

[Microsoft Defender 全面偵測回應身>分識別使用者詳細數據] 頁面現在包含新的Active Directory 帳戶控制數據。

在 [使用者詳細數據 概觀] 索引 標籤上，我們新增了新的 Active Directory 帳戶控制 件卡片，以醒目提示重要的安全性設定和 Active Directory 控制件。例如，使用此卡片來瞭解特定使用者是否能夠略過密碼需求，或擁有永不過期的密碼。

例如：

使用者詳細數據頁面上 UAC 旗標卡片的螢幕快照。

如需詳細資訊，請參閱 User-Account-Control屬性檔。

適用於身分識別的 Defender 2.204 版

發行於 2023 年 5 月 29 日

整合數據擷取失敗) VPN (半徑的新健康情況警示。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 感測器健康情況警示。
此版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.203版

發行於 2023 年 5 月 15 日

確認ADFS容器稽核已正確設定的新健康情況警示。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 感測器健康情況警示。
[Microsoft Defender 365 身分識別] 頁面包含橫向動作路徑體驗的 UI 更新。未變更任何功能。如需詳細資訊，請參閱瞭解及調查使用適用於身分識別的 Microsoft Defender (LMP) 的橫向動作路徑。
此版本包含內部感測器基礎結構的改善和錯誤修正。

身分識別時程表增強功能

[身分識別 時程表] 索引標籤 現在包含全新且增強的功能！使用更新的時間軸，您現在除了原始篩選之外，還可以依 活動類型、通訊協定和位置進行篩選。您也可以將時間軸匯出至 CSV 檔案，並尋找與 MITRE ATT 相關聯活動的其他資訊&CK 技術。如需詳細資訊，請參閱調查 Microsoft Defender 全面偵測回應中的使用者。

Microsoft Defender 全面偵測回應中的警示微調

警示微調現已在 Microsoft Defender 全面偵測回應中提供，可讓您調整警示並加以優化。警示微調可減少誤判，讓您的SOC小組專注於高優先順序的警示，並改善整個系統的威脅偵測涵蓋範圍。

在 Microsoft Defender 全面偵測回應中，根據辨識項類型建立規則條件，然後在符合條件的任何規則類型上套用您的規則。如需詳細資訊，請參閱微調警示。

2023 年 4 月

適用於身分識別的 Defender 2.202 版

發行於 2023 年 4 月 23 日

新的健康情況警示，用於確認已正確設定目錄服務組態容器稽核，如健康情況警示頁面中所述。
對應至紐西蘭的AD租使用者新工作區會建立於澳大利亞東部區域。如需最新的區域部署清單，請參閱適用於身分識別的Defender元件。
版本包含內部感測器基礎結構的改善和錯誤修正。

2023 年 3 月

適用於身分識別的Defender 2.201版

發行於 2023 年 3 月 27 日

我們正在停用 SAM-R honeytoken 警示。雖然絕對不應該存取或查詢這些類型的帳戶，但某些舊版系統可能會使用這些帳戶作為其一般作業的一部分。如果您需要這項功能，您一律可以建立進階搜捕查詢，並使用它作為自定義偵測。我們也會檢閱未來幾周的LDAP Honeytoken警示，但目前仍可正常運作。
我們已修正非英文操作系統的目錄服務物件稽核健康情況警示，以及87版之前目錄服務架構的Windows 2012偵測邏輯問題。
我們已移除設定目錄服務帳戶以啟動感測器的必要條件。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 目錄服務帳戶建議。
我們不再需要記錄 1644 事件。如果您已啟用此登入設定，您可以將它移除。如需詳細資訊，請參閱事件標識碼 1644。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.200 版

發行於 2023 年 3 月 16 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.199 版

發行於 2023 年 3 月 5 日

透過 SAM-R 警示查詢 Honeytoken 的某些排除專案無法正常運作。在這些情況下，即使針對排除的實體也會觸發警示。此錯誤現已修正。
已更新 Identity Advanced Hunting 數據表的 NTLM 通訊協定名稱：舊的通訊協定名稱 Ntlm 現在會列為進階搜捕識別數據表中的新通訊協定名稱 NTLM ：IdentityLogonEvents、IdentityQueryEvents、IdentityDirectoryEvents。如果您目前使用 Ntlm Identity 事件資料表中區分大小寫的通訊協定，您應該將它變更為 NTLM。
版本包含內部感測器基礎結構的改善和錯誤修正。

2023 年 2 月

適用於身分識別的Defender 2.198版

發行於 2023 年 2 月 15 日

身分識別時間軸現在可作為 Microsoft Defender 全面偵測回應中新 [身分識別] 頁面的一部分：Microsoft Defender 全面偵測回應中更新的 [使用者] 頁面現在具有新的外觀和風格，並具有相關資產的展開檢視和新的專用時程表索引標籤。時間軸代表過去 30 天的活動和警示，並會在適用於身分識別的 Defender/Defender for Cloud Apps/適用於端點的 Defender) (所有可用工作負載中，將使用者的身分識別專案一致。藉由使用時程表，您可以輕鬆地將焦點放在使用者在特定時間範圍內執行 (或在) 上執行的活動。如需詳細資訊，請參閱調查 Microsoft Defender 全面偵測回應中的使用者
honeytoken 警示的進一步改善：在 2.191 版中，我們針對 honeytoken 活動警示引進了數個新案例。

根據客戶的意見反應，我們決定將 honeytoken 活動警示分割成五個不同的警示：
- Honeytoken 使用者已透過 SAM-R 進行查詢。
- Honeytoken 使用者已透過LDAP進行查詢。
- Honeytoken 使用者驗證活動
- Honeytoken 使用者已修改屬性。
- Honeytoken 群組成員資格已變更。
此外，我們已新增這些警示的排除專案，為您的環境提供自定義體驗。

我們期待聽到您的意見反應，以便繼續改善。
新的安全性警示 - 透過 Kerberos 通訊協定使用可疑的憑證 (PKINIT) 。：許多濫用 Active Directory 憑證服務 (AD CS) 的技術都牽涉到在攻擊的某個階段使用憑證。適用於身分識別的 Microsoft Defender 現在會在用戶觀察到這類可疑的憑證使用方式時發出警示。此行為監視方法可針對 AD CS 攻擊提供全面的保護，在嘗試對已安裝適用於身分識別的 Defender 感測器的域控制器進行可疑憑證驗證時觸發警示。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 現在偵測到可疑的憑證使用量。
自動攻擊中斷：適用於身分識別的Defender現在會與 Microsoft Defender 全面偵測回應一起運作，以提供自動攻擊中斷。此整合表示，對於來自 Microsoft Defender 全面偵測回應的訊號，我們可以觸發 [停用使用者] 動作。這些動作是由高精確度 XDR 訊號所觸發，並結合Microsoft研究小組持續調查數千個事件的深入解析。動作會暫停 Active Directory 中遭入侵的用戶帳戶，並將此資訊同步至 Microsoft Entra ID。如需自動攻擊中斷的詳細資訊，請閱讀 Microsoft Defender 全面偵測回應的部落格文章。

您也可以從自動化回應動作中排除特定使用者。如需詳細資訊，請參閱設定適用於身分識別的Defender自動回應排除專案。
移除學習期間：適用於身分識別的Defender所產生的警示是以各種因素為基礎，例如分析、決定性偵測、機器學習，以及它已瞭解您網路的行為演算法。適用於身分識別的 Defender 的完整學習程式，每個域控制器最多可能需要 30 天。不過，在完成完整學習程式之前，您可能會想要收到警示。例如，當您在域控制器上安裝新的感測器，或在評估產品時，您可能會想要立即收到警示。在這種情況下，您可以啟用 移除學習期間 功能，以關閉受影響警示的學習期間。如需詳細資訊，請參閱進階設定。
將警示傳送至 M365D 的新方式：一年前，我們宣佈 Microsoft Defender 入口網站中提供所有適用於身分識別的 Microsoft Defender 體驗。我們的主要警示管線現在正逐漸從適用於身>分識別的Defender Defender for Cloud Apps > Microsoft Defender 全面偵測回應 切換至適用於身>分識別的Defender Microsoft Defender 全面偵測回應。此整合表示 Defender for Cloud Apps 中的狀態更新不會反映在 Microsoft Defender 全面偵測回應，反之亦然。這項變更應該會大幅減少警示出現在 Microsoft Defender 入口網站所需的時間。在此移轉過程中，自 3 月 5 日起，Defender for Cloud Apps 入口網站中將不再提供所有適用於身分識別的 Defender 原則。一如往常，建議您針對所有適用於身分識別的Defender體驗使用 Microsoft Defender入口網站。
版本包含內部感測器基礎結構的改善和錯誤修正。

2023 年 1 月

適用於身分識別的 Defender 2.197 版

發行於 2023 年 1 月 22 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.196版

發行於 2023 年 1 月 10 日

新的健康情況警示，用於確認已正確設定目錄服務物件稽核，如健康情況警示頁面中所述。
新的健康情況警示，用於確認感測器的電源設定已設定為最佳效能，如健康情況警示頁面中所述。
我們已將 MITRE ATT&CK 資訊新增至 Microsoft Defender 全面偵測回應進階搜捕中的 IdentityLogonEvents、IdentityDirectoryEvents 和 IdentityQueryEvents 數據表。在 [AdditionalFields] 數據行中，您可以找到與部分邏輯活動相關聯的 [攻擊技巧] 和 [策略 (類別) 的詳細數據。
由於所有主要適用於身分識別的 Microsoft Defender 功能現在都可在 Microsoft Defender 入口網站中使用，因此自 2023 年 1 月 31 日起，每個租用戶都會自動啟用入口網站重新導向設定。如需詳細資訊，請參閱將帳戶從適用於身分識別的 Microsoft Defender 重新導向至 Microsoft Defender 全面偵測回應。

2022 年 12 月

適用於身分識別的Defender 2.195版

發行於 2022 年 12 月 7 日

適用於身分識別的Defender資料中心現在也會部署於澳大利亞東部區域。如需最新的區域部署清單，請參閱適用於身分識別的Defender元件。
版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 11 月

適用於身分識別的 Defender 2.194 版

發行於 2022 年 11 月 10 日

新的健康情況警示，用於確認已正確設定目錄服務進階稽核，如健康情況警示頁面中所述。
適用於身分識別的 Defender 2.191 版中針對 Honeytoken 警示所導入的一些變更並未正確啟用。這些問題現已解決。
自 11 月底起，不再支援手動與適用於端點的 Microsoft Defender 整合。不過，強烈建議使用 Microsoft Defender 入口網站 (https://security.microsoft.com 內建整合的) 。
版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 10 月

適用於身分識別的 Defender 2.193 版

發行於 2022 年 10 月 30 日

新的安全性警示：使用可疑的憑證 (AD FS) 驗證 (異常 Active Directory 同盟服務
這項新技術會與信賴的而且被封裝為「MagicWeb」的身分，這項新技術可讓敵人在遭入侵的 AD FS 伺服器上植入後門檔，進而讓攻擊者以任何網域使用者的身分進行模擬，進而存取外部資源。若要深入瞭解此攻擊，請閱讀此部落格文章。
適用於身分識別的 Defender 現在可以在域控制器上使用 LocalSystem 帳戶來執行補救動作， (啟用/停用使用者、強制使用者重設密碼) ，以及之前可用的 gMSA 選項。這可讓您立即支援補救動作。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 動作帳戶。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.192版

發行於 2022 年 10 月 23 日

新的健康情況警示，用於確認已啟用NTLM稽核，如健康情況警示頁面中所述。
版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 9 月

適用於身分識別的Defender 2.191版

發行於 2022 年 9 月 19 日

觸發 honeytoken 警示的更多活動
適用於身分識別的 Microsoft Defender 提供定義 honeytoken 帳戶的能力，這些帳戶會作為惡意執行者的陷阱。與這些 honeytoken 帳戶相關聯的任何驗證 (通常休眠) ，會觸發 honeytoken 活動 (外部標識碼 2014) 警示。此版本的新功能是針對這些 honeytoken 帳戶進行的任何 LDAP 或 SAMR 查詢都會觸發警示。此外，如果稽核事件 5136，當 honeytoken 的其中一個屬性變更或 honeytoken 的群組成員資格已變更時，就會觸發警示。

如需詳細資訊，請參閱設定 Windows 事件集合。

適用於身分識別的 Defender 2.190 版

發行於 2022 年 9 月 11 日

更新的評量：不安全的網域設定
透過 Microsoft 安全分數提供的不安全網域設定評估現在會評估域控制器 LDAP 簽署原則設定，並在找到不安全的設定時發出警示。如需詳細資訊，請參閱安全性評估：不安全的網域設定。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.189 版

發行於 2022 年 9 月 4 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 8 月

適用於身分識別的Defender 2.188版

發行於 2022 年 8 月 28 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.187版

發行於 2022 年 8 月 18 日

我們已變更在外部標識碼 2006) 警示) (觸發可疑 DCSync 攻擊 (複寫目錄服務的一些邏輯。此偵測器現在涵蓋感測器看到的來源IP位址似乎為NAT裝置的情況。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.186版

發行於 2022 年 8 月 10 日

健康情況警示現在會顯示感測器的完整功能變數名稱 (FQDN) ，而不是 NetBIOS 名稱。
新的健康情況警示可用於擷取元件類型和設定，如健康情況警示頁面中所述。
版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 7 月

適用於身分識別的Defender 2.185版

發行於 2022 年 7 月 18 日

已修正可疑的黃金票證使用 (不存在的帳戶) (外部標識碼 2027) 會錯誤地偵測到 macOS 裝置的問題。
使用者動作：我們決定將用戶頁面上的 [ 停用使用者 ] 動作分成兩個不同的動作：
- 停用使用者 – 停用 Active Directory 層級上的使用者
- 暫停使用者 – 停用 Microsoft Entra ID 層級上的使用者
我們瞭解從 Active Directory 同步至 Microsoft Entra ID 所需的時間非常重要，因此現在您可以選擇逐一停用使用者，以移除同步處理本身的相依性。請注意，如果使用者仍在該處使用中，則 Active Directory 會覆寫僅在 Microsoft Entra ID 中停用的使用者。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.184 版

發行於 2022 年 7 月 10 日

新的安全性評估
適用於身分識別的Defender現在包含下列新的安全性評估：
- 不安全的網域設定
  適用於身分識別的 Microsoft Defender 持續監視您的環境，以識別具有公開安全性風險之設定值的網域，以及這些網域的報告，以協助您保護環境。如需詳細資訊，請參閱安全性評估：不安全的網域設定。
適用於身分識別的 Defender 安裝套件現在會安裝項，而不是 WinPcap 驅動程式。如需詳細資訊，請參閱 WinPcap 和 Analyticap 驅動程式。
版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 6 月

適用於身分識別的 Defender 版本 2.183.15436.10558 (Hotfix)

發行於 2022 年 6 月 20 日， (於 2022 年 7 月 4 日更新)

新的安全性警示：使用分散式文件系統通訊協定的可疑 DFSCoerce 攻擊
為了回應發佈利用 DFS 通訊協定中流程的最新攻擊工具，適用於身分識別的 Microsoft Defender 會在攻擊者使用此攻擊方法時觸發安全性警示。若要深入瞭解此攻擊，請閱讀部落格文章。

適用於身分識別的Defender 2.183版

發行於 2022 年 6 月 20 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.182版

發行於 2022 年 6 月 4 日

適用於身分識別的 Defender 有新的 [關於 ] 頁面可供使用。您可以在 Microsoft Defender 入口網站的 [設定- 身分識別 ->>關於] 底下找到它。它提供適用於身分識別的 Defender 實例的數個重要詳細數據，包括實例的實例名稱、版本、標識碼和地理位置。針對問題進行疑難解答並開啟支援票證時，這項資訊會很有説明。
版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 5 月

適用於身分識別的Defender 2.181版

發行於 2022 年 5 月 22 日

您現在可以使用適用於身分識別的 Microsoft Defender，直接在內部部署帳戶上採取補救動作。
- 停用使用者 – 這會暫時防止使用者登入網路。這有助於防止遭入侵的使用者橫向移動，並嘗試外泄數據或進一步危害網路。
- 重設使用者密碼 – 這會提示使用者在下次登入時變更其密碼，確保此帳戶無法用於進一步的模擬嘗試。
這些動作可以從 Microsoft Defender 全面偵測回應中的數個位置執行：用戶頁面、用戶頁面側邊面板、進階搜捕，甚至是自定義偵測。這需要設定特殊許可權的 gMSA 帳戶，適用於身分識別的 Microsoft Defender 將用來執行動作。如需需求的詳細資訊，請參閱適用於身分識別的 Microsoft Defender 動作帳戶。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.180 版

發行於 2022 年 5 月 12 日

新的安全性警示：可疑的 dNSHostName 屬性修改 (CVE-2022-26923)
為了回應最近 CVE 的發佈，每當攻擊者嘗試惡意探索 CVE-2022 -26923 時，適用於身分識別的 Microsoft Defender 就會觸發安全性警示。若要深入瞭解此攻擊，請閱讀部落格文章。
在 2.177 版中，我們發行了可由適用於身分識別的 Defender 涵蓋的其他 LDAP 活動。不過，我們發現錯誤導致事件不會在適用於身分識別的 Defender 入口網站中呈現和內嵌。此版本已修正此問題。從 2.180 版開始，當您啟用事件識別碼 1644 時，您不只會透過 Active Directory Web 服務看到 LDAP 活動，其他 LDAP 活動也會包含在來源計算機上執行 LDAP 活動的使用者。這適用於以LDAP事件為基礎的安全性警示和邏輯活動。
為了回應最近的 KrbRelayUp 惡意探索，我們發行了無訊息偵測器，以協助我們評估對此惡意探索的回應。無訊息偵測器可讓我們評估偵測的有效性，並根據所收集的事件收集資訊。如果此偵測顯示為高品質，我們將在下一個版本中發行新的安全性警示。
我們已將透過 DNS 的遠端程式代碼執行 重新命名為 透過 DNS 的遠端程式代碼執行嘗試，因為它更能反映這些安全性警示背後的邏輯。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.179 版

發行於 2022 年 5 月 1 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 4 月

適用於身分識別的 Defender 2.178 版

發行於 2022 年 4 月 10 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 3 月

適用於身分識別的 Defender 2.177 版

發行於 2022 年 3 月 27 日

適用於身分識別的 Microsoft Defender 現在可以監視網路中的其他LDAP查詢。這些LDAP活動會透過Active Directory Web服務通訊協定傳送，並像一般LDAP查詢一樣。若要查看這些活動，您必須在域控制器上啟用事件 1644。此事件涵蓋您網域中的LDAP活動，主要用來識別由Active Directory域控制器服務的昂貴、效率不佳或緩慢的輕量型目錄存取通訊協定 (LDAP) 搜尋。如需詳細資訊，請參閱舊版設定。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.176版

發行於 2022 年 3 月 16 日

從這個版本開始，從新套件安裝感測器時，[ 新增/移除程式 ] 底下的感測器版本會顯示完整版本號碼 (例如 2.176.x.y) ，而不是先前顯示的靜態 2.0.0.0。它會繼續顯示該版本 (透過套件) 安裝的版本，即使版本將會透過適用於身分識別的 Defender 雲端服務的自動更新來更新。實際版本可以在入口網站的感測器設定頁面、可執行檔路徑或檔案版本中看到。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.175版

發行於 2022 年 3 月 6 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 2 月

適用於身分識別的Defender 2.174版

發行於 2022 年 2 月 20 日

我們已將警示中所涉及之帳戶的最少 FQDN 新增至傳送至 SIEM 的訊息。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender SIEM 記錄參考。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.173版

發行於 2022 年 2 月 13 日

所有適用於身分識別的 Microsoft Defender 功能現在都可在 Microsoft Defender 入口網站中使用。如需詳細資訊，請參閱此部落格文章。
此版本修正了在已安裝KB5009557的 Windows Server 2019 或具有強化 EventLog 許可權的伺服器上安裝感測器時的問題。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.172 版

發行於 2022 年 2 月 8 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2022 年 1 月

適用於身分識別的Defender 2.171版

發行於 2022 年 1 月 31 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.170 版

發行於 2022 年 1 月 24 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.169 版

發行於 2022 年 1 月 17 日

我們很高興能夠為適用於身分識別的 Microsoft Defender 設定動作帳戶。這是能夠直接從產品對用戶採取動作的第一個步驟。在第一個步驟中，您可以定義 gMSA 帳戶適用於身分識別的 Microsoft Defender 用來採取動作。強烈建議您開始建立這些使用者，以在動作功能上線後享有此功能。如需詳細資訊，請參閱管理動作帳戶。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.168版

發行於 2022 年 1 月 9 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 12 月

適用於身分識別的Defender 2.167版

發行於 2021 年 12 月 29 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.166版

發行於 2021 年 12 月 27 日

版本包含新的安全性警示：可疑修改 sAMNameAccount 屬性 (CVE-2021-42278 和 CVE-2021-42287 惡意探索) (外部標識符 2419) 。
為了回應最近 CVE 的發佈，每當攻擊者嘗試入侵 CVE-2021-42278 和 CVE-2021-42287 時，適用於身分識別的 Microsoft Defender 就會觸發安全性警示。若要深入瞭解此攻擊，請閱讀部落格文章。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.165版

發行於 2021 年 12 月 6 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 11 月

適用於身分識別的Defender 2.164版

發行於 2021 年 11 月 17 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.163版

發行於 2021 年 11 月 8 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.162 版

發行於 2021 年 11 月 1 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 9 月

適用於身分識別的Defender 2.161版

發行於 2021 年 9 月 12 日

版本包含新的受監視活動：使用者已擷取 gMSA 帳戶密碼。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 監視的活動
版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 8 月

適用於身分識別的Defender 2.160版

發行於 2021 年 8 月 22 日

版本包含各種改良功能，並根據 PetitPotam 惡意探索的最新變更涵蓋更多案例。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.159 版

發行於 2021 年 8 月 15 日

版本包含內部感測器基礎結構的改善和錯誤修正。
版本包含新發佈的警示改進：透過加密文件系統遠端通訊協定的可疑網路連線 (外部標識碼 2416) 。
我們已擴充這項偵測的支援，以在潛在攻擊者透過加密的 EFS-RPCchannel 進行通訊時觸發。當通道加密時觸發的警示會被視為中度嚴重性警示，而非未加密時為 High。若要深入瞭解警示，請參閱透過加密文件系統遠端通訊協定的可疑網路連線 (外部標識碼 2416) 。

適用於身分識別的Defender 2.158版

發行於 2021 年 8 月 8 日

版本包含內部感測器基礎結構的改善和錯誤修正。
版本包含新的安全性警示：透過加密文件系統遠端通訊協定 (外部標識碼 2416) 的可疑網路連線。
在此偵測中，適用於身分識別的 Microsoft Defender 會在攻擊者嘗試對域控制器惡意探索 EFS-RPC 時觸發安全性警示。此攻擊媒介與最近的 PetitPotam 攻擊相關聯。若要深入瞭解警示，請參閱透過加密文件系統遠端通訊協定的可疑網路連線 (外部標識碼 2416) 。
版本包含新的安全性警示：Exchange Server 遠端程式代碼執行 (CVE-2021-26855) (外部標識碼 2414)
在此偵測中，每當攻擊者嘗試變更 Exchange 物件上的「msExchExternalHostName」屬性以執行遠端程式代碼時，適用於身分識別的 Microsoft Defender 就會觸發安全性警示。若要深入瞭解此警示，請參閱 Exchange Server 遠端程式代碼執行 (CVE-2021-26855) (外部標識碼 2414) 。此偵測依賴 Windows 事件 4662，因此必須事先啟用。如需如何設定和收集此事件的詳細資訊，請參閱設定 Windows 事件集合，並遵循在 Exchange 對象上啟用稽核的指示。

適用於身分識別的Defender 2.157版

發行於 2021 年 8 月 1 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 7 月

適用於身分識別的Defender 2.156版

發行於 2021 年 7 月 25 日

從這個版本開始，我們會將[市/區驅動程式可執行檔] 新增至感測器安裝套件。如需詳細資訊，請參閱 WinPcap 和 Analyticap 驅動程式。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.155版

發行於 2021 年 7 月 18 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.154版

發行於 2021 年 7 月 11 日

版本包含內部感測器基礎結構的改善和錯誤修正。
版本包括針對稱為 PrintNightmare 偵測的列印後台處理程式惡意探索新增改進和偵測，以涵蓋更多攻擊案例。

適用於身分識別的 Defender 2.153 版

發行於 2021 年 7 月 4 日

版本包含內部感測器基礎結構的改善和錯誤修正。
版本包含新的安全性警示：可疑的 Windows 列印後台處理程式服務惡意探索嘗試 (CVE-2021-34527 惡意探索) (外部標識符 2415) 。

在此偵測中，每當攻擊者嘗試對域控制器入侵 Windows 列印後台處理程式服務時，適用於身分識別的 Defender 就會觸發安全性警示。此攻擊媒介與列印多任務緩衝處理器惡意探索相關聯，稱為 PrintNightmare。深入瞭解此警示。

2021 年 6 月

適用於身分識別的Defender 2.152版

發行於 2021 年 6 月 27 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.151版

發行於 2021 年 6 月 20 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.150版

發行於 2021 年 6 月 13 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 5 月

適用於身分識別的 Defender 2.149 版

發行於 2021 年 5 月 31 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.148版

發行於 2021 年 5 月 23 日

如果您設定並收集事件標識碼 4662，適用於身分識別的 Defender 會報告哪些使用者將更新序號 (USN，) 變更為各種 Active Directory 物件屬性。例如，如果帳戶密碼已變更，且事件 4662 已啟用，則事件會記錄變更密碼的人員。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.147版

發行於 2021 年 5 月 9 日

根據客戶的意見反應，我們將允許的感測器預設數目從 200 個增加到 350 個，並將 [目錄服務] 認證從 10 個增加到 30 個。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.146版

發行於 2021 年 5 月 2 日

Email 健康情況問題和安全性警示的通知現在會有適用於身分識別的 Microsoft Defender 和 Microsoft Defender 全面偵測回應的調查 URL。
版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 4 月

適用於身分識別的Defender 2.145版

發行於 2021 年 4 月 22 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.144 版

發行於 2021 年 4 月 12 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 3 月

適用於身分識別的 Defender 2.143 版

發行於 2021 年 3 月 14 日

我們已新增 Windows 事件 4741 來偵測 新增至 Active Directory 活動的電腦帳戶 。設定適用於身分識別的Defender要收集的新事件。設定之後，收集的事件將可在活動記錄檔以及 Microsoft Defender 全面偵測回應進階搜捕中檢視。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.142版

發行於 2021 年 3 月 7 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 2 月

適用於身分識別的Defender 2.141版

發行於 2021 年 2 月 21 日

新的安全性警示：可疑的 AS-REP 烘焙攻擊 (外部標識碼 2412)
適用於身分識別的 Defender 可疑的 AS-REP 烘焙攻擊 (外部標識碼 2412) 安全性 警示現已推出。在此偵測中，當攻擊者以已停用 Kerberos 預先驗證的帳戶為目標，並嘗試取得 Kerberos TGT 數據時，就會觸發適用於身分識別的 Defender 安全性警示。攻擊者的意圖可能是使用離線密碼破解攻擊，從數據中擷取認證。如需詳細資訊，請參閱外部標識碼 2412) (Kerberos AS-REP 烘焙暴露。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的 Defender 2.140 版

發行於 2021 年 2 月 14 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2021 年 1 月

適用於身分識別的 Defender 2.139 版

發行於 2021 年 1 月 31 日

我們已將可疑 Kerberos SPN 暴露的嚴重性更新為高，以更清楚地反映警示的影響。如需警示的詳細資訊，請參閱可疑的 Kerberos SPN 暴露 (外部識別碼 2410)
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.138版

發行於 2021 年 1 月 24 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.137版

發行於 2021 年 1 月 17 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.136版

發行於 2021 年 1 月 3 日

適用於身分識別的 Defender 現在支援在 Active Directory 同盟服務 (AD FS) 伺服器上安裝感測器。在相容的 AD FS 伺服器上安裝感測器，可藉由監視這個重要的基礎結構元件，來擴充混合式環境的適用於身分識別的 Microsoft Defender 可見度。我們也重新整理了一些現有的偵測， (可疑的服務建立、可疑的暴力密碼破解攻擊 (LDAP) 、帳戶列舉偵察) 以處理 AD FS 數據。若要開始部署AD FS 伺服器的適用於身分識別的 Microsoft Defender感測器，請從感測器組態頁面下載最新的部署套件。
版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 12 月

適用於身分識別的Defender 2.135版

發行於 2020 年 12 月 20 日

我們已改善 Active Directory 屬性偵察 (LDAP) (外部標識碼 2210) 警示，以偵測用來取得產生安全性令牌所需信息的技術，例如，被視為 Solorigate 活動的一部分。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.134版

發行於 2020 年 12 月 13 日

我們最近發行的 NetLogon 偵測器已增強，可在 Netlogon 通道交易透過加密通道時運作。如需偵測器的詳細資訊，請參閱可疑的 Netlogon 許可權提升嘗試。
版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.133版

發行於 2020 年 12 月 6 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 11 月

適用於身分識別的Defender 2.132版

發行於 2020 年 11 月 17 日

版本包含內部感測器基礎結構的改善和錯誤修正。

適用於身分識別的Defender 2.131版

發行於 2020 年 11 月 8 日

新的安全性警示：可疑的 Kerberos SPN 暴露 (外部標識碼 2410)
適用於身分識別的 Defender 可疑 Kerberos SPN 暴露 (外部識別碼 2410) 安全性 警示現已推出。在此偵測中，當攻擊者列舉服務帳戶及其各自的SPN，然後要求服務的 Kerberos TGS 票證時，就會觸發適用於身分識別的Defender安全性警示。攻擊者的意圖可能是從票證擷取哈希，並儲存這些哈希以供稍後在離線暴力密碼破解攻擊中使用。如需詳細資訊，請參閱 Kerberos SPN 曝光。
版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 10 月

適用於身分識別的Defender 2.130版

發行於 2020 年 10 月 25 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.129 版

發行於 2020 年 10 月 18 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 9 月

Azure ATP 2.128 版

發行於 2020 年 9 月 27 日

修改的電子郵件通知設定
我們正在移除開啟電子郵件 通知的郵件通知 切換。若要接收電子郵件通知，只要新增位址即可。如需詳細資訊，請參閱設定通知。
版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.127 版

發行於 2020 年 9 月 20 日

新的安全性警示：可疑的 Netlogon 許可權提升嘗試 (外部標識碼 2411)
Azure ATP 的可疑 Netlogon 許可權提升嘗試 (CVE-2020-1472 惡意探索) (外部標識碼 2411) 安全性 警示現已可供使用。在此偵測中，當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 建立易受攻擊的 Netlogon 安全通道連線至域控制器，也稱為 Netlogon 特權提升弱點時，就會觸發 Azure ATP 安全性警示。如需詳細資訊，請參閱可疑的 Netlogon 許可權提升嘗試。
版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.126 版

發行於 2020 年 9 月 13 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.125 版

發行於 2020 年 9 月 6 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2020年 8月

Azure ATP 2.124 版

發行於 2020 年 8 月 30 日

新的安全性警示
Azure ATP 安全性警示現在包含下列新的偵測：
- Active Directory 屬性偵察 (LDAP) (外部標識碼 2210)
  在此偵測中，當攻擊者懷疑成功取得網域的重要資訊以用於其攻擊終止鏈結時，就會觸發 Azure ATP 安全性警示。如需詳細資訊，請參閱 Active Directory 屬性偵察。
- 可疑的惡意 Kerberos 憑證使用 (外部標識碼 2047)
  在此偵測中，當攻擊者藉由危害證書頒發機構單位伺服器而取得組織控制權時，會觸發 Azure ATP 安全性警示，以產生在未來攻擊中可作為後門帳戶的憑證，例如在網路中橫向移動。如需詳細資訊，請參閱可疑的 Rogue Kerberos 憑證使用方式。
- 可疑的黃金票證使用 (使用 RBCD) (外部標識碼 2040) 的票證異常
  具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。使用 KRBTGT 帳戶，他們可以建立 Kerberos 票證授與票證 (TGT) ，以提供任何資源的授權。
  這個偽造的 TGT 稱為「黃金票證」，因為它可讓攻擊者使用資源型限制委派 (RBCD) 來達到持久的網路持續性。此類型偽造的黃金票證具有此新偵測設計來識別的獨特特性。如需詳細資訊，請參閱使用 RBCD) 的可疑黃金票證使用 (票證異常。
版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.123 版

發行於 2020 年 8 月 23 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.122 版

發行於 2020 年 8 月 16 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.121 版

發行於 2020 年 8 月 2 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 7 月

Azure ATP 2.120 版

發行於 2020 年 7 月 26 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.119 版

發行於 2020 年 7 月 5 日

功能增強：Excel 報表中新的排除域控制器索引標籤
為了改善域控制器涵蓋範圍計算的精確度，我們將從計算中排除具有外部信任的域控制器，以達到100%涵蓋範圍。排除的域控制器會顯示在網域涵蓋範圍 Excel 報表下載的新 排除域控制器 索引標籤中。如需下載報表的相關信息，請參閱域控制器狀態。
版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 6 月

Azure ATP 2.118 版

發行於 2020 年 6 月 28 日

新的安全性評估
Azure ATP 安全性評估現在包含下列新的評定：
- 風險最高的橫向動作路徑
  此評量會持續監視您的環境，以找出具有風險最高風險橫向動作路徑的敏感性帳戶，這些帳戶會顯示安全性風險，並報告這些帳戶以協助您管理環境。如果路徑有三個或多個非敏感性帳戶，而這些帳戶可能會將敏感性帳戶公開給惡意執行者的認證竊取，則路徑會被視為有風險。如需詳細資訊，請參閱安全性評估： (LMP) 最有風險的橫向動作路徑。
- 不安全的帳戶屬性
  此評定 Azure ATP 會持續監視您的環境，以識別具有公開安全性風險之屬性值的帳戶，並報告這些帳戶以協助您保護環境。如需詳細資訊，請參閱安全性評估：不安全的帳戶屬性。
已更新敏感度定義
我們正在擴充內部部署帳戶的敏感度定義，以包含允許使用 Active Directory 複寫的實體。

Azure ATP 2.117 版

發行於 2020 年 6 月 14 日

功能增強：整合 SecOps 體驗中可用的其他活動詳細數據
我們已將傳送至 Defender for Cloud Apps的裝置資訊擴充，包括裝置名稱、IP 位址、帳戶 UPN 和已使用的埠。如需與 Defender for Cloud Apps 整合的詳細資訊，請參閱搭配使用 Azure ATP 與 Defender for Cloud Apps。
版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.116 版

發行於 2020 年 6 月 7 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 5 月

Azure ATP 2.115 版

發行於 2020 年 5 月 31 日

新的安全性評估
Azure ATP 安全性評估現在包含下列新的評定：
- 不安全的 SID 記錄屬性
  此評量會報告惡意攻擊者可用來存取您環境的 SID 歷程記錄屬性。如需詳細資訊，請參閱安全性評量：不安全的 SID 歷程記錄屬性。
- Microsoft LAPS 使用量
  此評量報告本機系統管理員帳戶未使用Microsoft的「本機系統管理員密碼解決方案」 (LAPS) 來保護其密碼。使用LAPS可簡化密碼管理，也有助於防範網路攻擊。如需詳細資訊，請參閱安全性評估：Microsoft LAPS 使用量。
版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.114 版

發行於 2020 年 5 月 17 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.113 版

發行於 2020 年 5 月 5 日

功能增強：使用 NTLMv1 擴充的資源存取活動
從這個版本開始，Azure ATP 現在提供資源存取活動的信息，顯示資源是否使用NTLMv1驗證。此資源組態不安全，而且會造成惡意執行者可能強制應用程式取得其優點的風險。如需風險的詳細資訊，請參閱舊版通訊協定使用方式。
功能增強：可疑的暴力密碼破解攻擊 (Kerberos、NTLM) 警示
暴力密碼破解攻擊可供攻擊者用來取得貴組織的據點，並且是 Azure ATP 中威脅和風險探索的重要方法。為了協助您專注於使用者的重大風險，這項更新可藉由限制和排定警示數量的優先順序，讓分析和補救風險變得更容易且更快速。

2020 年 3 月

Azure ATP 2.112 版

發行日期：2020 年 3 月 15 日

新的 Azure ATP 實例會自動與 Microsoft Defender for Cloud Apps 整合
在先前的實例) (建立 Azure ATP 實例時，預設會啟用與 Microsoft Defender for Cloud Apps 的整合。如需整合的詳細資訊，請參閱搭配使用 Azure ATP 與 Microsoft Defender for Cloud Apps。
新的受監視活動
現在可以使用下列活動監視器：
- 使用憑證進行互動式登錄
- 使用憑證登入失敗
- 委派的資源存取
  
  深入瞭解 Azure ATP 監視哪些活動，以及如何在入口網站中篩選和搜尋受監視的活動。
功能增強：擴充的資源存取活動
從這個版本開始，Azure ATP 現在會提供資源存取活動的資訊，以顯示資源是否受到不受限制的委派信任。此資源組態不安全，而且會造成惡意執行者可能強制應用程式取得其優點的風險。如需風險的詳細資訊，請參閱安全性評估：不安全的 Kerberos 委派。
可疑的 SMB 封包操作 (CVE-2020-0796 惡意探索) - (預覽)
Azure ATP 的可疑 SMB 封包操作安全性警示現在處於公開預覽狀態。在此偵測中，當可疑惡意探索 CVE-2020-0796 安全性弱點的 SMBv3 封包對網路中的域控制器發出時，就會觸發 Azure ATP 安全性警示。

Azure ATP 2.111 版

發行於 2020 年 3 月 1 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2020 年 2 月

Azure ATP 2.110 版

發行於 2020 年 2 月 23 日

新的安全性評估：未受監視的域控制器
Azure ATP 安全性評估現在包含未受監視域控制器的報告、沒有感測器的伺服器，可協助您管理環境的完整涵蓋範圍。如需詳細資訊，請參閱未受監視的域控制器。

Azure ATP 2.109 版

發行於 2020 年 2 月 16 日

功能增強：敏感性實體
從此版本 (2.109) 開始，由 Azure ATP 識別為證書頒發機構單位、DHCP 或 DNS 伺服器的電腦現在會自動標記為機密。

Azure ATP 2.108 版

發行於 2020 年 2 月 9 日

新功能：支援群組受控服務帳戶
Azure ATP 現在支援使用群組受控服務帳戶 (gMSA) ，以在將 Azure ATP 感測器連線到 Microsoft Entra 樹系時改善安全性。如需搭配 Azure ATP 感測器使用 gMSA 的詳細資訊，請參閱連線到您的 Active Directory 樹系。
功能增強：具有太多數據的排程報表
當排程的報表有太多數據時，電子郵件現在會顯示下列文字來通知您事實：指定期間內的數據太多，無法產生報表。這會取代在單擊電子郵件中的報表連結之後，只探索事實的先前行為。
功能增強：更新的域控制器涵蓋範圍邏輯
我們已更新域控制器涵蓋範圍報告邏輯，以包含來自 Microsoft Entra ID 的其他資訊，進而更精確地檢視域控制器，而不需要感測器。這個新邏輯也應該對相對應的Microsoft安全分數產生正面影響。

Azure ATP 2.107 版

發行於 2020 年 2 月 3 日

新的受監視活動：SID 歷程記錄變更
SID 歷程記錄變更現在是受監視且可篩選的活動。深入瞭解 Azure ATP 監視哪些活動，以及如何在入口網站中篩選和搜尋受監視的活動。
功能增強：已關閉或隱藏的警示不再重新開啟
在 Azure ATP 入口網站中關閉或隱藏警示之後，如果在短時間內再次偵測到相同的活動，就會開啟新的警示。先前，在相同情況下，警示已重新開啟。
入口網站存取和感測器需要 TLS 1.2
現在需要 TLS 1.2 才能使用 Azure ATP 感測器和雲端服務。使用不支援TLS 1.2 的瀏覽器將無法再存取 Azure ATP 入口網站。

2020 年 1 月

Azure ATP 2.106 版

發行於 2020 年 1 月 19 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.105 版

發行於 2020 年 1 月 12 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 12 月

Azure ATP 2.104 版

發行於 2019 年 12 月 23 日

已消除感測器版本到期
Azure ATP 感測器部署和感測器安裝套件在許多版本之後不會再過期，現在只會自行更新一次。這項功能的結果是，先前下載的感測器安裝套件現在可以安裝，即使它們比我們已失效版本的最大數目還要舊。
確認入侵
您現在可以確認特定Microsoft 365 使用者遭到入侵，並將其風險層級設定為高。此工作流程可讓您的安全性作業小組有另一個回應功能，以降低其安全性事件的解決時間閾值。深入瞭解如何使用 Azure ATP 和 Defender for Cloud Apps 來確認入侵。
新增體驗橫幅
在 Azure ATP 入口網站頁面上，Defender for Cloud Apps 入口網站中提供新體驗，會顯示新的橫幅，說明存取連結可用的內容。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.103 版

發行於 2019 年 12 月 15 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.102 版

發行於 2019 年 12 月 8 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 11 月

Azure ATP 2.101 版

發行於 2019 年 11 月 24 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.100 版

發行於 2019 年 11 月 17 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.99 版

發行於 2019 年 11 月 3 日

功能增強：已將 Defender for Cloud Apps 入口網站可用性的使用者介面通知新增至 Azure ATP 入口網站
確保所有使用者都知道使用 Defender for Cloud Apps 入口網站提供的增強功能可用性，已從現有的 Azure ATP 警示時間軸為入口網站新增通知。
版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 10 月

Azure ATP 2.98 版

發行於 2019 年 10 月 27 日

功能增強：可疑的暴力密碼破解攻擊警示
使用其他分析改善可疑暴力密碼破解攻擊 (SMB) 警示，並改善偵測邏輯，以減少 (B-TP) 和誤判為真 (FP) 警示結果的良性真肯定。
版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.97 版

發行於 2019 年 10 月 6 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 9 月

Azure ATP 2.96 版

發行於 2019 年 9 月 22 日

使用 Windows 事件 8004 擴充 NTLM 驗證數據
啟用NTLM稽核並開啟Windows事件8004時，Azure ATP 感測器現在可以使用存取的伺服器數據自動讀取及擴充NTLM驗證活動。 Azure ATP 會剖析適用於 NTLM 驗證的 Windows 事件 8004，以擴充用於 Azure ATP 威脅分析和警示的 NTLM 驗證數據。此增強功能可透過NTLM資料提供資源存取活動，以及擴充失敗的登入活動，包括用戶嘗試但無法存取的目的地電腦。

深入瞭解使用 Windows 事件 8004 的 NTLM 驗證活動。
版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.95 版

發行於 2019 年 9 月 15 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.94 版

發行於 2019 年 9 月 8 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.93 版

發行於 2019 年 9 月 1 日

版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 8 月

Azure ATP 2.92 版

發行於 2019 年 8 月 25 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.91 版

發行於 2019 年 8 月 18 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.90 版

發行於 2019 年 8 月 11 日

版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.89 版

發行於 2019 年 8 月 4 日

感測器方法改善
為了避免在建立正確的橫向動作路徑 (LMP) 評量時產生過多的 NTLM 流量，已改善 Azure ATP 感測器方法，以減少對 NTLM 使用量的依賴，並更顯著地使用 Kerberos。
警示增強：可疑的黃金票證使用 (不存在的帳戶)
SAM 名稱變更已新增至此警示類型中所列的支持辨識項類型。若要深入瞭解警示，包括如何防止這種類型的活動和補救，請參閱可疑的黃金票證使用 (不存在的帳戶) 。
正式運作：可疑的NTLM驗證竄改
可疑的 NTLM 驗證竄改警示已不再處於預覽模式，現在已正式推出。
版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 7 月

Azure ATP 2.88 版

發行於 2019 年 7 月 28 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.87 版

發行於 2019 年 7 月 21 日

功能增強：Azure ATP 獨立感測器的自動化 Syslog 事件收集
Azure ATP 獨立感測器的連入 Syslog 連線現在已完全自動化，同時從設定畫面中移除切換選項。這些變更不會影響傳出的 Syslog 連線。
此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.86 版

發行於 2019 年 7 月 14 日

新的安全性警示：可疑的NTLM驗證竄改 (外部標識碼 2039)
Azure ATP 的新可疑 NTLM 驗證竄改安全性警示現在處於公開預覽狀態。在此偵測中，當「攔截式」攻擊被懷疑成功略過NTLM訊息完整性檢查 (MIC) 時，會觸發 Azure ATP 安全性警示，這是 CVE-2019-040 Microsoft中詳述的安全性弱點。這些類型的攻擊會嘗試降級 NTLM 安全性功能並成功驗證，最終目標是成功進行橫向移動。
功能增強：擴充的裝置操作系統識別
到目前為止，Azure ATP 已根據 Active Directory 中的可用屬性提供實體裝置操作系統資訊。先前，如果 Active Directory 中無法使用作業系統資訊，Azure ATP 實體頁面上也無法使用該資訊。從這個版本開始，Azure ATP 現在會使用擴充的裝置操作系統識別方法，為 Active Directory 沒有資訊或未在 Active Directory 中註冊的裝置提供這項資訊。

新增擴充的裝置操作系統識別數據可協助識別未註冊和非 Windows 裝置，同時協助您的調查程式。如需深入瞭解 Azure ATP 中的網路名稱解析，請參閱瞭解網路名稱解析 (NNR) 。
新功能：已驗證的 Proxy - 預覽
Azure ATP 現在支援已驗證的 Proxy。使用感測器命令行指定 Proxy URL，並指定 Username/Password 以使用需要驗證的 Proxy。如需如何使用已驗證 Proxy 的詳細資訊，請參閱設定 Proxy。
功能增強：自動化網域同步器程式
在安裝和進行中的設定期間，將域控制器指定和標記為網域同步器候選專案的程式現在已完全自動化。拿掉手動選取域控制器作為網域同步器候選的切換選項。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.85 版

發行於 2019 年 7 月 7 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.84 版

發行於 2019 年 7 月 1 日

新位置支援：Azure UK 數據中心
Azure UK 資料中心現在支援 Azure ATP 實例。若要深入瞭解如何建立 Azure ATP 實例及其對應的數據中心位置，請參閱 Azure ATP 安裝的步驟 1。
功能增強：敏感性群組可疑新增警示的新名稱和功能 (外部標識碼 2024)
敏感性群組的可疑新增警示先前已命名為敏感性群組的可疑修改警示。警示的外部標識碼 (標識碼 2024) 維持不變。描述性名稱變更會更精確地反映警示敏感性群組的用途。增強的警示也提供新的辨識項和改良的描述。如需詳細資訊，請參閱敏感性群組的可疑新增專案。
新檔功能：從進階威脅分析移至 Azure ATP 的指南
此新文章包含必要條件、規劃指引，以及從 ATA 移至 Azure ATP 服務的設定和驗證步驟。如需詳細資訊，請參閱從 ATA 移至 Azure ATP。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

2019 年 6 月

Azure ATP 2.83 版

發行於 2019 年 6 月 23 日

功能增強：外部標識碼 2026 (可疑的服務建立警示)
此警示現在具有改良的警示頁面，其中包含其他辨識項和新的描述。如需詳細資訊，請參閱可疑的服務建立安全性警示。
實例命名支援：已新增僅限數位網域前置詞的支援
已新增支援使用只包含數位的初始網域前置詞來建立 Azure ATP 實例。例如，現在只支援使用數位初始網域前置詞，例如 123456.contoso.com。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.82 版

發行於 2019 年 6 月 18 日

新的公開預覽
Azure ATP 的身分識別威脅調查體驗現已處於 公開預覽狀態，可供所有受 Azure ATP 保護的租使用者使用。若要深入瞭解，請參閱 Azure ATP Microsoft Defender for Cloud Apps 調查體驗。
一般可用性
不受信任樹系的 Azure ATP 支援現已正式運作。若要深入瞭解，請參閱 Azure ATP 多樹系。
此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.81 版

發行於 2019 年 6 月 10 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.80 版

發行於 2019 年 6 月 2 日

功能增強：可疑的 VPN 連線警示
此警示現在包含增強的辨識項和文字，以提升可用性。如需警示功能的詳細資訊，以及建議的補救步驟和預防，請參閱可疑的 VPN 連線警示描述。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

2019 年 5 月

Azure ATP 2.79 版

發行於 2019 年 5 月 26 日

正式運作：安全性主體偵察 (LDAP) (外部標識碼 2038)

此警示現已正式運作 (正式運作) 。如需警示、警示功能和建議補救和預防的詳細資訊，請參閱安全性主體偵察 (LDAP) 警示描述
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.78 版

發行於 2019 年 5 月 19 日

功能增強：敏感性實體
Exchange Server 的手動敏感性標記

您現在可以在設定期間手動將實體標記為 Exchange Server。

若要手動將實體標記為 Exchange Server：
1. 在 Azure ATP 入口網站中，選取 [ 設定]。
2. 在 [ 偵測] 底下，選取 [實體卷標]，然後選取 [ 敏感性]。
3. 選 取 [Exchange Server] ，然後新增您想要標記的實體。
將計算機標記為 Exchange Server 之後，系統會將其標記為 [機密]，並顯示其已標記為 Exchange Server。敏感性標籤上會出現在電腦的實體配置檔中，而且根據敏感性帳戶和橫向動作路徑的所有偵測都會考慮電腦。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.77 版

發行於 2019 年 5 月 12 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.76 版

發行於 2019 年 5 月 6 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 4 月

Azure ATP 2.75 版

發行於 2019 年 4 月 28 日

功能增強：敏感性實體
從此版本 (2.75) 開始，由 Azure ATP 識別為 Exchange Server 的機器現在會自動標記為 [機密]。

自動標記為機密的實體，因為其運作方式為 Exchange Server，因此會將此分類列為標記的原因。
此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.74 版

發行於 2019 年 4 月 14 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.73 版

發行於 2019 年 4 月 10 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

2019 年 3 月

Azure ATP 2.72 版

發行於 2019 年 3 月 31 日

功能增強：範圍深度 (LMP) 橫向動作路徑
LMP) (橫向動作路徑是 Azure ATP 中威脅和風險探索的重要方法。為了協助您專注於最敏感使用者的重大風險，這項更新會限制每個顯示圖表的範圍和深度，讓您更輕鬆且更快速地分析和補救每個 LMP 上敏感性用戶的風險。

若要深入瞭解 Azure ATP 如何使用 LMP 來呈現環境中每個實體的存取風險，請參閱橫向動作路徑。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.71 版

發行於 2019 年 3 月 24 日

功能增強：網路名稱解析 (NNR) 健康情況警示
已針對與以 NNR 為基礎的 Azure ATP 安全性警示相關聯的信賴等級新增健康情況警示。每個健康情況警示都包含可採取動作的詳細建議，以協助解決低 NNR 成功率。

請參閱什麼是網路名稱解析，以深入瞭解 Azure ATP 如何使用 NNR，以及為何其對於警示精確度很重要。
伺服器支援：已新增 Server 2019 的支援，並使用 KB4487044
已新增支援使用 Windows Server 2019，且修補程式層級為 KB4487044。不支援使用不含修補程式的 Server 2019，而且會從此更新開始封鎖。
功能增強：使用者型警示排除
延伸警示排除選項現在允許從特定警示中排除特定使用者。排除專案有助於避免使用或設定某些類型的內部軟體重複觸發良性安全性警示的情況。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.70 版

發行於 2019 年 3 月 17 日

功能增強：網路名稱解析 (NNR) 信賴等級新增至多個警示 網路名稱解析或 (NNR) 可用來協助正面識別可疑攻擊的來源實體身分識別。藉由將 NNR 信賴等級新增至 Azure ATP 警示辨識項清單，您現在可以立即評估並瞭解與所識別的可能來源相關的 NNR 信賴等級，並適當地進行補救。

NNR 信賴等級辨識項已新增至下列警示：
其他健康情況警示案例：Azure ATP 感測器服務無法啟動
在 Azure ATP 感測器因網路擷取驅動程式問題而無法啟動的情況下，現在會觸發感測器健康情況警示。針對使用 Azure ATP 記錄的 Azure ATP 感測器進行疑難解答，以取得 Azure ATP 記錄及其使用方式的詳細資訊。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.69 版

發行於 2019 年 3 月 10 日

功能增強：可疑的身分識別竊取 (傳遞票證) 警示 此警示現在提供新的辨識項，其中顯示使用遠端桌面通訊協定 (RDP) 所建立連線的詳細數據。新增的辨識項可讓您輕鬆地補救透過 RDP 連線使用遠端 Credential Guard 所造成的已知問題 (B-TP) Benign-True 正警示。
功能增強：透過 DNS 警示執行遠端程式代碼
此警示現在會顯示域控制器安全性更新狀態的新辨識項，通知您何時需要更新。
新檔功能：Azure ATP 安全性警示 MITRE ATT&CK 矩陣 ™
為了說明 Azure ATP 安全性警示與熟悉的 MITRE ATT&CK 矩陣之間的關聯性，我們已將相關的 MITRE 技術新增至 Azure ATP 安全性警示清單。此額外參考可讓您更輕鬆地了解觸發 Azure ATP 安全性警示時可能使用的可疑攻擊技術。深入瞭解 Azure ATP 安全性警示指南。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.68 版

發行於 2019 年 3 月 3 日

功能增強：可疑的暴力密碼破解攻擊 (LDAP) 警示
已大幅改善此安全性警示的可用性，包括已修訂的描述、布建其他來源資訊，以及猜測嘗試詳細數據，以加快補救速度。
深入瞭解可疑的暴力密碼破解攻擊 (LDAP) 安全性警示。
新檔功能：安全性警示實驗室
為了說明 Azure ATP 偵測工作環境真正威脅的能力，我們已在此檔中新增新的 安全性警示實驗室 。 安全性警示實驗室可協助您快速設定實驗室或測試環境，並說明抵禦常見、真實世界威脅和攻擊的最佳防禦性假設。

逐步實驗室的設計旨在確保您花費最少的時間進行建置，並花更多時間瞭解威脅環境和可用的 Azure ATP 警示和保護。我們很高興聽到您的意見反應。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

2019 年 2 月

Azure ATP 2.67 版

發行於 2019 年 2 月 24 日

新的安全性警示：安全性主體偵察 (LDAP) – (預覽)
Azure ATP 的安全性主體偵察 (LDAP) - 預覽安全性警示現在處於公開預覽狀態。在此偵測中，當攻擊者使用安全性主體偵察來取得網域環境的重要資訊時，就會觸發 Azure ATP 安全性警示。這項資訊可協助攻擊者對應網域結構，以及識別特殊許可權帳戶，以便在攻擊終止鏈結的後續步驟中使用。

輕量型目錄存取通訊協定 (LDAP) 是用於合法和惡意用途來查詢 Active Directory 的最熱門方法之一。以LDAP為主的安全性主體偵察通常用來作為 Kerberoasting 攻擊的第一個階段。 Kerberoasting 攻擊可用來取得 SPN) (安全性主體名稱的目標清單，然後攻擊者會嘗試取得票證授權伺服器 (TGS) 票證。
功能增強：帳戶列舉偵察 (NTLM) 警示
改善 帳戶列舉偵察 (NTLM) 警示使用其他分析，並改善偵測邏輯以減少 B-TP 和 FP 警示結果。
功能增強：網路對應偵察 (DNS) 警示
新類型的偵測已新增至網路對應偵察 (DNS) 警示。除了偵測可疑的AXFR要求之外，Azure ATP 現在也會使用過多的要求來偵測源自非 DNS 伺服器的可疑要求類型。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.66 版

發行於 2019 年 2 月 17 日

功能增強：可疑的 DCSync 攻擊 (目錄服務複寫) 警示
已改善此安全性警示的可用性，包括已修訂的描述、布建其他來源資訊、新的資訊圖，以及更多辨識項。深入瞭解可疑的 DCSync 攻擊 (目錄服務複寫) 安全性警示。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.65 版

發行於 2019 年 2 月 10 日

新的安全性警示：可疑的NTLM轉送攻擊 (Exchange帳戶) – (預覽)
Azure ATP 的可疑 NTLM 轉送攻擊 (Exchange 帳戶) - 預覽安全性警示現在處於公開預覽狀態。在此偵測中，識別出來自可疑來源的 Exchange 帳戶認證使用時，會觸發 Azure ATP 安全性警示。這些類型的攻擊會嘗試利用NTLM轉送技術來取得域控制器交換許可權，並稱為 ExchangePriv。從 2019 年 1 月 31 日首次發佈的 ADV190007 諮詢和 Azure ATP 警示回應深入瞭解 ExchangePriv 技術。
正式運作：透過 DNS 執行遠端程式代碼
此警示現已正式運作 (正式運作) 。如需詳細資訊和警示功能，請參閱透過 DNS 的遠端程式代碼執行警示描述頁面。
正式運作：透過SMB的數據外流
此警示現已正式運作 (正式運作) 。如需詳細資訊和警示功能，請參閱透過SMB的數據外洩警示描述頁面。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.64 版

發行於 2019 年 2 月 4 日

正式運作：可疑的黃金票證使用 (票證異常)
此警示現已正式運作 (正式運作) 。如需詳細資訊和警示功能，請參閱可疑的黃金票證使用 (票證異常) 警示描述頁面。
功能增強：網路對應偵察 (DNS)
已改善針對此警示部署的警示偵測邏輯，以將誤判和警示雜訊降至最低。此警示現在已有八天的學習期間，警示可能會第一次觸發。如需此警示的詳細資訊，請參閱網路對應偵察 (DNS) 警示描述頁面。

由於此警示的增強功能，您不應再使用 nslookup 方法來測試初始設定期間的 Azure ATP 連線能力。
功能增強：
此版本包含重新設計的警示頁面和新辨識項，可提供更好的警示調查。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

2019 年 1 月

Azure ATP 2.63 版

發行於 2019 年 1 月 27 日

新功能：不受信任的樹系支援 – (預覽)
Azure ATP 對不受信任樹系中感測器的支援現在處於公開預覽狀態。從 Azure ATP 入口網站的 [目錄服務 ] 頁面，設定額外的認證集，讓 Azure ATP 感測器連線到不同的 Active Directory 樹系，並回報給 Azure ATP 服務。若要深入瞭解，請參閱 Azure ATP 多樹系。
新功能：域控制器涵蓋範圍
Azure ATP 現在提供 Azure ATP 受監視域控制器的涵蓋範圍資訊。
從 Azure ATP 入口網站的 [感測器 ] 頁面，檢視 Azure ATP 在環境中偵測到的受監視和未受監視域控制器數目。下載受監視的域控制器清單以進行進一步分析，並建置行動計劃。若要深入瞭解，請參閱域控制器監視操作指南。
功能增強：帳戶列舉偵察
Azure ATP 帳戶列舉偵察偵測現在會偵測併發出使用 Kerberos 和 NTLM 的列舉嘗試警示。先前，偵測僅適用於使用 Kerberos 的嘗試。若要深入瞭解，請參閱 Azure ATP 偵察警示。
功能增強：遠端程式代碼執行嘗試警示
- 所有遠端執行活動，例如服務建立、WMI 執行和新的 PowerShell 執行，都已新增至目的地電腦的配置文件時間軸。目的地電腦是執行命令所在的域控制器。
- PowerShell 執行已新增至實體配置檔警示時間軸中所列的遠端程式代碼執行活動清單。
- 若要深入瞭解，請參閱遠端程式代碼執行嘗試。
Windows Server 2019 LSASS 問題和 Azure ATP
為了回應客戶對於執行 Windows Server 2019 之域控制器使用 Azure ATP 的意見反應，此更新包含額外的邏輯，以避免在 Windows Server 2019 計算機上觸發報告的行為。 Windows Server 2019 上的 Azure ATP 感測器已規劃在未來的 Azure ATP 更新中獲得完整支援，但目前不支援在 Windows Server 2019 上安裝和執行 Azure ATP。若要深入瞭解，請參閱 Azure ATP 感測器需求。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.62 版

發行於 2019 年 1 月 20 日

新的安全性警示：透過 DNS 執行遠端程式代碼 – (預覽)
Azure ATP 透過 DNS 的遠端程式代碼執行安全性警示現在處於公開預覽狀態。在此偵測中，當對網路中的域控制器發出可疑惡意探索安全性弱點 CVE-2018-8626 的 DNS 查詢時，就會觸發 Azure ATP 安全性警示。
功能增強：延遲 72 小時的感測器更新
已變更選項，將所選感測器上的感測器更新延遲為72小時 (，而不是在 Azure ATP 的每個發行更新之後) 先前的24小時延遲。如需設定指示，請參閱 Azure ATP 感測器更新。
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.61 版

發行於 2019 年 1 月 13 日

新的安全性警示：透過SMB的數據外流 - (預覽)
Azure ATP 透過 SMB的數據外洩安全性警示現在處於公開預覽狀態。具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。使用 KRBTGT 帳戶，攻擊者可以建立 Kerberos 票證授與票證 (TGT) ，以提供任何資源的授權。
功能增強：遠端程式代碼執行嘗試 安全性警示
已新增新的警示描述和其他辨識項，以協助讓警示更容易瞭解，並提供更好的調查工作流程。
功能增強：DNS 查詢邏輯活動
其他查詢類型已新增至 Azure ATP 監視的活動，包括： TXT、 MX、 NS、 SRV、 ANY、 DNSKEY。
功能增強：可疑的黃金票證使用 (票證異常) 和可疑的黃金票證使用 (不存在的帳戶)
改善的偵測邏輯已套用至這兩個警示，以減少 FP 警示的數目，並提供更精確的結果。
功能增強：Azure ATP 安全性警示檔
Azure ATP 安全性警示檔已增強並擴充，以包含更好的警示描述、更精確的警示分類，以及辨識項、補救和預防的說明。使用下列連結熟悉新的安全性警示文件設計：
此版本也包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.60 版

發行於 2019 年 1 月 6 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

2018 年 12 月

Azure ATP 2.59 版

發行於 2018 年 12 月 16 日

此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.58 版

發行於 2018 年 12 月 9 日

安全性警示增強：異常通訊協議實作警示分割
Azure ATP 先前共用 1 個 externalId (2002) 的一系列異常通訊協定實作安全性警示，現在會分割成四個特別的警示，並具有對應的唯一外部標識符。

新的警示 externalIds

新的安全性警示名稱先前的安全性警示名稱唯一外部標識碼

可疑的暴力密碼破解攻擊 (SMB) 不尋常的通訊協議實作 (可能使用惡意工具，例如 Hydra) 2033

Kerberos) (可疑的 overpass-the-hash 攻擊不尋常的 Kerberos 通訊協定實作 (潛在的 overpass-the-hash 攻擊) 2002

可疑使用 Metasploit 入侵架構不尋常的通訊協議實作 (可能使用Metasploit入侵工具) 2034

可疑的 WannaCry 勒索軟體攻擊不尋常的通訊協議實作 (潛在的 WannaCry 勒索軟體攻擊) 2035

新的安全性警示名稱	先前的安全性警示名稱	唯一外部標識碼
可疑的暴力密碼破解攻擊 (SMB)	不尋常的通訊協議實作 (可能使用惡意工具，例如 Hydra)	2033
Kerberos) (可疑的 overpass-the-hash 攻擊	不尋常的 Kerberos 通訊協定實作 (潛在的 overpass-the-hash 攻擊)	2002
可疑使用 Metasploit 入侵架構	不尋常的通訊協議實作 (可能使用Metasploit入侵工具)	2034
可疑的 WannaCry 勒索軟體攻擊	不尋常的通訊協議實作 (潛在的 WannaCry 勒索軟體攻擊)	2035

新的受監視活動：透過SMB複製檔案
使用SMB複製檔案現在是受監視且可篩選的活動。深入瞭解 Azure ATP 監視哪些活動，以及如何在入口網站中篩選和搜尋受監視的活動。
大型橫向動作路徑影像增強功能
檢視大型橫向動作路徑時，Azure ATP 現在只會醒目提示連線到所選實體的節點，而不是模糊其他節點。這項變更大幅改善了大型 LMP 轉譯速度。
此版本包含內部感測器基礎結構的改善和錯誤修正。

Azure ATP 2.57 版

發行於 2018 年 12 月 2 日

新的安全性警示：可疑的黃金票證使用方式 - 票證異常 (預覽)
Azure ATP 的可疑黃金票證使用方式 - 票證異常安全性警示現在處於公開預覽狀態。具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。攻擊者可以使用 KRBTGT 帳戶，建立 Kerberos 票證授與票證 (TGT) ，以提供任何資源的授權。

這個偽造的 TGT 稱為「黃金票證」，因為它可讓攻擊者達到持續的網路持續性。此類型偽造的黃金票證具有此新偵測設計來識別的獨特特性。
功能增強：自動建立 Azure ATP 實例 (實例)
從今天起，Azure ATP 實例已重新命名為 Azure ATP 實例。 Azure ATP 現在支援每個 Azure ATP 帳戶一個 Azure ATP 實例。新客戶的實例會使用 Azure ATP 入口網站中的實例建立精靈來建立。現有的 Azure ATP 實例會使用此更新自動轉換成 Azure ATP 實例。
- 簡化實例建立，以使用建立 Azure ATP 實例來更快速地部署和保護。
- 所有數據隱私權與合規性都維持不變。
若要深入瞭解 Azure ATP 實例，請參閱建立 Azure ATP 實例。
此版本包含內部感測器基礎結構的改善和錯誤修正。

2018 年 11 月

Azure ATP 2.56 版

發行於 2018 年 11 月 25 日

功能增強：橫向動作路徑 (LMP)
新增兩個額外功能，以增強 Azure ATP 橫向動作路徑 (LMP) 功能：
- LMP 歷程記錄現在會在每個實體以及使用 LMP 報表時儲存和探索。
- 透過啟用時間軸追蹤 LMP 中的實體，並使用提供來探索潛在攻擊路徑的其他辨識項進行調查。
若要深入瞭解如何使用及調查增強的 LMP，請參閱 Azure ATP 橫向動作路徑。
檔增強功能：橫向動作路徑、安全性警示名稱
已新增和更新 Azure ATP 文章，這些文章描述橫向動作路徑描述和功能、已針對新名稱和 externalId 的所有舊安全性警示名稱實例新增名稱對應。
- 若要深入瞭解，請參閱 Azure ATP 橫向動作路徑、調查橫向動作路徑和安全性警示指南。
此版本包含內部感測器基礎結構的改善和錯誤修正。

如需 (之前每個適用於身分識別的 Defender 版本的詳細資訊，並包含) 2.55 版，請參閱適用於身分識別的 Defender 版本參考。

後續步驟

適用於身分識別的 Microsoft Defender 的新功能

共用方式為