Co je nového v Microsoft Defender for Identity
Tento článek se často aktualizuje, abyste věděli, co je nového v nejnovějších verzích Microsoft Defenderu for Identity.
Důležité
Zákazníci, kteří používají klasický portál Defender for Identity, se teď automaticky přesměrují na XDR v programu Microsoft Defender bez možnosti vrátit se zpět na klasický portál.
Další informace najdete v našem blogovém příspěvku a v programu Microsoft Defender for Identity v XDR v programu Microsoft Defender.
Upozorňování na aktualizace
Upozorněte se, když se tato stránka aktualizuje zkopírováním a vložením následující adresy URL do čtečky informačního kanálu: https://aka.ms/mdi/rss
Co je nového rozsahu a odkazů
Verze Defenderu for Identity se nasazují postupně napříč tenanty zákazníků. Pokud je tady zdokumentovaná funkce, kterou ještě ve svém tenantovi nevidíte, vraťte se k aktualizaci později.
Další informace najdete také:
- Co je nového v XDR v programu Microsoft Defender
- Co je nového v Microsoft Defender for Endpoint
- Co je nového v Microsoft Defender for Cloud Apps
Informace o verzích a funkcích vydaných před šesti měsíci nebo dřívějšími verzemi najdete v archivu Co je nového pro Microsoft Defender for Identity.
Duben 2024
Snadné zjištění chyby zabezpečení funkce zabezpečení protokolu Kerberos systému Windows CVE-2024-21427
Abychom zákazníkům pomohli lépe identifikovat a detekovat pokusy o obejití protokolů zabezpečení podle této chyby zabezpečení, přidali jsme novou aktivitu v rámci rozšířeného vyhledávání, která monitoruje ověřování Kerberos AS.
Zákazníci s daty teď můžou snadno vytvořit vlastní pravidla detekce v rámci XDR v programu Microsoft Defender a automaticky aktivovat upozornění pro tento typ aktivity.
Portál XDR v programu Access Defender –> Proaktivní vyhledávání –> Rozšířené proaktivní vyhledávání
Teď můžete zkopírovat náš doporučený dotaz, jak je uvedeno níže, a kliknout na Vytvořit pravidlo detekce. Upozorňujeme, že náš zadaný dotaz také sleduje neúspěšné pokusy o přihlášení, které můžou generovat informace nesouvisející s potenciálním útokem. Proto si dotaz můžete přizpůsobit tak, aby vyhovoval vašim konkrétním požadavkům.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity verze 2.234
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.233
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Březen 2024
Nová oprávnění jen pro čtení pro zobrazení nastavení defenderu pro identitu
Teď můžete nakonfigurovat uživatele Defenderu for Identity s oprávněními jen pro čtení a zobrazit nastavení Defenderu pro identitu.
Další informace najdete v tématu Požadovaná oprávnění Defender for Identity v XDR v programu Microsoft Defender.
Nové rozhraní GRAPH API pro zobrazení a správu problémů se stavem
Teď můžete prostřednictvím rozhraní Graph API zobrazit a spravovat problémy se stavem identity v programu Microsoft Defender for Identity.
Další informace najdete v tématu Správa problémů se stavem prostřednictvím rozhraní Graph API.
Defender for Identity verze 2.232
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.231
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Únor 2024
Defender for Identity verze 2.230
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Nové posouzení stavu zabezpečení pro nezabezpečenou konfiguraci koncového bodu služby IIS služby AD CS
Defender for Identity přidal nové doporučení pro úpravy nezabezpečených koncových bodů služby IIS zápisu certifikátů služby ADCS (ESC8) do skóre zabezpečení Microsoftu.
Služba AD CS (Active Directory Certificate Services) podporuje zápis certifikátů prostřednictvím různých metod a protokolů, včetně registrace prostřednictvím protokolu HTTP pomocí služby zápisu certifikátů (CES) nebo rozhraní webové registrace (Certsrv). Nezabezpečené konfigurace koncových bodů SLUŽBY IIS nebo CES nebo Certsrv můžou způsobit ohrožení zabezpečení pro útoky předávací služby (ESC8).
Nové doporučení k úpravám nezabezpečených koncových bodů služby IIS zápisu certifikátů služby ADDCS (ESC8) se přidá do dalších nedávno vydaných doporučení souvisejících se službou AD CS. Tato posouzení společně nabízejí sestavy stavu zabezpečení, které ukazují problémy se zabezpečením a závažnou chybnou konfiguraci, které posílají rizika pro celou organizaci spolu s souvisejícími detekcemi.
Další informace naleznete v tématu:
- Posouzení zabezpečení: Úprava nezabezpečených koncových bodů služby IIS zápisu certifikátů služby ADCS (ESC8)
- Posouzení stavu zabezpečení pro senzory AD CS
- Posouzení stavu zabezpečení v programu Microsoft Defender for Identity
Defender for Identity verze 2.229
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Vylepšené uživatelské prostředí pro úpravu prahových hodnot upozornění (Preview)
Stránka Advanced Nastavení Defender for Identity se teď přejmenuje na Úprava prahových hodnot upozornění a poskytuje aktualizované prostředí s vylepšenou flexibilitou pro úpravu prahových hodnot upozornění.
Zahrnuté změny:
Odebrali jsme předchozí možnost Odebrat období výuky a přidali jsme novou možnost Doporučené testovací režimy . Vyberte Doporučený testovací režim , pokud chcete nastavit všechny úrovně prahových hodnot na Nízkou, zvýšit počet výstrah a nastavit všechny ostatní úrovně prahových hodnot jen pro čtení.
Předchozí sloupec úrovně citlivosti se teď přejmenuje na prahovou hodnotu s nově definovanými hodnotami. Ve výchozím nastavení jsou všechna upozornění nastavená na vysokou prahovou hodnotu, která představuje výchozí chování a standardní konfiguraci výstrah.
Následující tabulka uvádí mapování mezi předchozími hodnotami úrovně citlivosti a novými hodnotami úrovně prahové hodnoty:
| Úroveň citlivosti (předchozí název) | Prahová úroveň (nový název) |
|---|---|
| Normální | Vysoké |
| Medium | Medium |
| Vysoké | Nízké |
Pokud jste na stránce Upřesnit Nastavení definovali konkrétní hodnoty, přenesli jsme je na novou stránku Upravit prahové hodnoty upozornění následujícím způsobem:
| Konfigurace stránky Upřesňující nastavení | Nová konfigurace prahových hodnot upozornění |
|---|---|
| Zapnuto odebrání studijního období | Doporučený testovací režim se vypnul. Nastavení konfigurace prahové hodnoty upozornění zůstává stejné. |
| Vypnuto odebrání období výuky | Doporučený testovací režim se vypnul. Nastavení konfigurace prahové hodnoty upozornění se obnoví na výchozí hodnoty s vysokou prahovou hodnotou. |
Výstrahy se vždy aktivují okamžitě, pokud je vybraná možnost Doporučený testovací režim nebo pokud je úroveň prahové hodnoty nastavená na Střední nebo Nízká bez ohledu na to, jestli už bylo dokončeno výukové období výstrahy.
Další informace najdete v tématu Úprava prahových hodnot upozornění.
Stránky s podrobnostmi o zařízení teď obsahují popisy zařízení (Preview)
XDR v programu Microsoft Defender teď obsahuje popisy zařízení v podoknech podrobností zařízení a stránkách s podrobnostmi o zařízení. Popisy se vyplní z atributu Popis služby Active Directory zařízení.
Například v bočním podokně s podrobnostmi o zařízení:
Další informace najdete v tématu Postup šetření podezřelých zařízení.
Defender for Identity verze 2.228
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor identity v defenderu for Identity a následující nová upozornění:
- Rekognoskace účtu (LDAP) (externí ID 2437) (Preview)
- Změna hesla v režimu obnovení adresářových služeb (externí ID 2438) (Preview)
Leden 2024
Defender for Identity verze 2.227
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Karta Časová osa přidaná pro entity skupiny
Nyní můžete zobrazit aktivity a výstrahy související s entitami a aktivitami skupiny Active Directory za posledních 180 dnů v XDR v programu Microsoft Defender, jako jsou změny členství ve skupinách, dotazy LDAP atd.
Pokud chcete získat přístup na stránku časové osy skupiny, vyberte v podokně podrobností skupiny možnost Otevřít časovou osu .
Příklad:
Další informace najdete v části Kroky šetření pro podezřelé skupiny.
Konfigurace a ověření prostředí Defender for Identity prostřednictvím PowerShellu
Defender for Identity teď podporuje nový modul PowerShellu DefenderForIdentity , který vám pomůže nakonfigurovat a ověřit prostředí pro práci s Microsoft Defenderem for Identity.
Pomocí příkazů PowerShellu se vyhnete nesprávným konfiguracím a ušetříte čas a zabráníte zbytečnému zatížení systému.
Do dokumentace k Defenderu for Identity jsme přidali následující postupy, které vám pomůžou používat nové příkazy PowerShellu:
- Změna konfigurace proxy serveru pomocí PowerShellu
- Konfigurace, získání a testování zásad auditu pomocí PowerShellu
- Generování sestavy s aktuálními konfiguracemi prostřednictvím PowerShellu
- Testování oprávnění a delegování DSA prostřednictvím PowerShellu
- Testování připojení služby pomocí PowerShellu
Další informace naleznete v tématu:
- Modul PowerShellu DefenderForIdentity (Galerie prostředí PowerShell)
- Referenční dokumentace k PowerShellu DefenderForIdentity
Defender for Identity verze 2.226
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.225
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Prosinec 2023
Poznámka:
Pokud dochází ke snížení počtu upozornění na pokusy o vzdálené spuštění kódu, podívejte se na aktualizovaná oznámení ze září, která zahrnují aktualizaci logiky detekce identity v programu Defender for Identity. Defender for Identity nadále zaznamenává aktivity vzdáleného spouštění kódu jako předtím.
Oblast a řídicí panel Nové identity v Programu Microsoft 365 Defender (Preview)
Zákazníci programu Defender for Identity teď mají v Programu Microsoft 365 Defender novou oblast Identities , kde najdete informace o zabezpečení identit pomocí defenderu for Identity.
V programu Microsoft 365 Defender vyberte Identity a zobrazte některou z následujících nových stránek:
Řídicí panel: Tato stránka zobrazuje grafy a widgety, které vám pomůžou monitorovat aktivity detekce hrozeb a reakce na identity. Příklad:
Další informace najdete v tématu Práce s řídicím panelem ITDR v programu Defender for Identity.
Problémy se stavem: Tato stránka se přesune z oblasti Nastavení > Identities a vypíše všechny aktuální problémy se stavem pro obecné nasazení Defenderu pro identity a konkrétní senzory. Další informace najdete v tématu Problémy se stavem senzoru identity v programu Microsoft Defender for Identity.
Nástroje: Tato stránka obsahuje odkazy na užitečné informace a zdroje informací při práci s programem Defender for Identity. Na této stránce najdete odkazy na dokumentaci, konkrétně na nástroji pro plánování kapacity a skript Test-MdiReadiness.ps1.
Defender for Identity verze 2.224
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Posouzení stavu zabezpečení pro senzory AD CS (Preview)
Posouzení stavu zabezpečení v defenderu for Identity proaktivně detekují a doporučují akce napříč konfiguracemi místní Active Directory.
Mezi doporučené akce teď patří následující nová posouzení stavu zabezpečení, konkrétně pro šablony certifikátů a certifikační autority.
Doporučené akce šablon certifikátů:
- Zabránit uživatelům v vyžádání certifikátu platného pro libovolné uživatele na základě šablony certifikátu (ESC1)
- Úprava přílišné šablony certifikátu s privilegovaným kódem EKU (jakýkoli účel EKU nebo bez EKU) (ESC2)
- Chybně nakonfigurovaná šablona certifikátu agenta registrace (ESC3)
- Úprava chybně nakonfigurovaných šablon certifikátů ACL (ESC4)
- Úprava vlastníka chybně nakonfigurovaných šablon certifikátů (ESC4)
Doporučené akce certifikační autority:
Nová posouzení jsou k dispozici ve službě Microsoft Secure Score, zpřístupnění problémů se zabezpečením a závažných chybných konfigurací, které představují rizika pro celou organizaci spolu s detekcemi. Vaše skóre se odpovídajícím způsobem aktualizuje.
Příklad:
Další informace najdete v posouzení stavu zabezpečení v programu Microsoft Defender for Identity.
Poznámka:
I když jsou posouzení šablon certifikátů k dispozici všem zákazníkům, kteří mají ve svém prostředí nainstalovanou službu AD CS, jsou posouzení certifikační autority k dispozici jenom zákazníkům, kteří nainstalovali senzor na server AD CS. Další informace najdete v tématu Nový typ senzoru pro službu Active Directory Certificate Services (AD CS).
Defender for Identity verze 2.223
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.222
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.221
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Listopad 2023
Defender for Identity verze 2.220
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.219
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Časová osa identity zahrnuje více než 30 dnů dat (Preview)
Defender for Identity postupně zavádí rozšířené uchovávání dat u podrobností o identitě na více než 30 dnů.
Karta Časová osa podrobností identity, která zahrnuje aktivity z programu Defender for Identity, Microsoft Defender for Cloud Apps a Microsoft Defender for Endpoint, aktuálně zahrnuje minimálně 150 dnů a roste. Během několika příštích týdnů může dojít k určitým změnám míry uchovávání dat.
Pokud chcete zobrazit aktivity a výstrahy na časové ose identity v určitém časovém rámci, vyberte výchozí 30 dnů a pak vyberte Vlastní rozsah. Filtrovaná data před více než 30 dny se zobrazují po dobu maximálně sedmi dnů najednou.
Příklad:
Další informace najdete v tématu Zkoumání prostředků a zkoumání uživatelů v XDR v programu Microsoft Defender.
Defender for Identity verze 2.218
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Říjen 2023
Defender for Identity verze 2.217
Tato verze zahrnuje následující vylepšení:
Souhrnná sestava: Souhrnná sestava se aktualizuje tak, aby obsahovala dva nové sloupce na kartě Problémy se stavem:
- Podrobnosti: Další informace o problému, například seznam ovlivněných objektů nebo konkrétních senzorů, na kterých k problému dochází.
- Doporučení: Seznam doporučených akcí, které je možné provést k vyřešení problému, nebo postup dalšího prošetření problému.
Další informace najdete v tématu Stažení a naplánování sestav Defenderu for Identity v programu Microsoft Defender XDR (Preview).
Problémy se stavem : Pro tento problém se stavem tenanta se automaticky vypnul přepínač Odebrat období výuky.
Tato verze obsahuje také opravy chyb pro cloudové služby a senzor defenderu pro identitu.
Defender for Identity verze 2.216
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Září 2023
Snížení počtu výstrah pro pokusy o vzdálené spuštění kódu
Kvůli lepšímu sladění výstrah Defenderu for Identity a Microsoft Defenderu pro koncové body jsme aktualizovali logiku detekce pro detekci pokusů o vzdálené spuštění kódu v programu Defender for Identity.
I když tato změna vede ke snížení počtu upozornění na pokus o spuštění vzdáleného kódu, Defender for Identity bude dál zaznamenávat aktivity vzdáleného spuštění kódu. Zákazníci můžou dál vytvářet vlastní pokročilé dotazy proaktivního vyhledávání a vytvářet vlastní zásady detekce.
Nastavení citlivosti upozornění a vylepšení období výuky
Některé výstrahy Defenderu for Identity čekají na dobu učení, než se výstrahy aktivují, a při vytváření profilu vzorů, které se mají použít při rozlišování mezi legitimními a podezřelými aktivitami.
Defender for Identity teď poskytuje následující vylepšení pro výukové období:
Správa istrátory teď můžou používat Odeberte nastavení období výuky, abyste nakonfigurovali citlivost použitou pro konkrétní výstrahy. Definujte citlivost jako Normální a nakonfigurujte nastavení Odebrat období výuky jako Vypnuto pro vybraný typ výstrahy.
Po nasazení nového senzoru v novém pracovním prostoru Defenderu pro identitu se nastavení odebrat výukové období automaticky zapne po dobu 30 dnů. Po dokončení 30 dnů se nastavení Odebrat období výuky automaticky vypne a úrovně citlivosti upozornění se vrátí do výchozích funkcí.
Pokud chcete, aby Defender for Identity používal standardní funkce období výuky, kde se upozornění negenerují, dokud se nenakonfiguruje období výuky, nakonfigurujte nastavení Odebrat období výuky na Vypnuto.
Pokud jste dříve aktualizovali nastavení Odebrat výukové období , zůstane nastavení tak, jak jste ho nakonfigurovali.
Další informace naleznete v části Upřesnit nastavení.
Poznámka:
Stránka Advanced Nastavení původně vypisuje výstrahu rekognoskace účtu v části Odebrat možnosti období výuky, které je možné konfigurovat pro nastavení citlivosti. Tato výstraha byla ze seznamu odebrána a nahrazena výstrahou protokolu LDAP (Security principal rekognoskace). Tato chyba uživatelského rozhraní byla opravena v listopadu 2023.
Defender for Identity verze 2.215
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Sestavy Defender for Identity přesunuté do hlavní oblasti Sestavy
Teď můžete k sestavám Defenderu for Identity přistupovat z hlavní oblasti Sestavy v programu Microsoft Defender místo z oblasti Nastavení. Příklad:
Další informace najdete v tématu Stažení a naplánování sestav Defenderu for Identity v programu Microsoft Defender XDR (Preview).
Tlačítko Pro vyhledávání v programu Microsoft Defender pro skupiny v XDR v programu Microsoft Defender
Defender for Identity přidal tlačítko pro vyhledávání go pro skupiny v XDR v programu Microsoft Defender. Uživatelé můžou pomocí tlačítka Proaktivně vyhledávat dotazy na aktivity a upozornění související se skupinami během vyšetřování.
Příklad:
Další informace najdete v tématu Rychlé vyhledávání informací o entitách nebo událostech pomocí vyhledávání go.
Defender for Identity verze 2.214
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Vylepšení výkonu
Defender for Identity provedl interní vylepšení latence, stability a výkonu při přenosu událostí v reálném čase ze služeb Defender for Identity do XDR v programu Microsoft Defender. Zákazníci by neměli očekávat žádné zpoždění v datech Defenderu for Identity, která se zobrazují v XDR v programu Microsoft Defender, jako jsou upozornění nebo aktivity pro pokročilé proaktivní vyhledávání.
Další informace naleznete v tématu:
- Výstrahy zabezpečení v programu Microsoft Defender for Identity
- Posouzení stavu zabezpečení v programu Microsoft Defender for Identity
- Proaktivní vyhledávání hrozeb s pokročilým vyhledáváním v XDR v programu Microsoft Defender
Srpen 2023
Defender for Identity verze 2.213
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.212
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Defender for Identity verze 2.211
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Nový typ senzoru pro službu Active Directory Certificate Services (AD CS)
Defender for Identity teď podporuje nový typ senzoru ADCS pro vyhrazený server s nakonfigurovanou službou AD CS (Active Directory Certificate Services).
Nový typ snímače se zobrazí na stránce Nastavení > Identityies > Sensors v XDR v programu Microsoft Defender. Další informace najdete v tématu Správa a aktualizace senzorů Microsoft Defenderu for Identity.
Společně s novým typem senzoru teď Defender for Identity také poskytuje související výstrahy AD CS a sestavy skóre zabezpečení. Pokud chcete zobrazit nové výstrahy a sestavy skóre zabezpečení, ujistěte se, že se shromažďují a protokolují požadované události na vašem serveru. Další informace najdete v tématu Konfigurace auditování událostí služby Active Directory Certificate Services (AD CS).
SLUŽBA AD CS je role Windows Serveru, která vydává a spravuje certifikáty infrastruktury veřejných klíčů (PKI) v zabezpečených komunikačních a ověřovacích protokolech. Další informace najdete v tématu Co je služba Active Directory Certificate Services?
Defender for Identity verze 2.210
Tato verze zahrnuje vylepšení a opravy chyb pro cloudové služby a senzor služby Defender for Identity.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro