Microsoft Defender for Identity の新機能

  • [アーティクル]

この記事は、Microsoft Defender for Identity の最新リリースの新機能がわかるように頻繁に更新されます。

重要

従来の Defender for Identity ポータルを使用しているお客様は、Microsoft Defender XDR に自動的にリダイレクトされるようになりました。従来のポータルに戻すことはできません。

詳細については、「ブログ投稿」と「Microsoft Defender XDR の Microsoft Defender for Identity」を参照してください。

更新に関する通知を受け取る

次の URL をフィード リーダーにコピーして貼り付け、このページが更新されたときに通知を受け取ります: https://aka.ms/mdi/rss

新しい領域と参照情報

Defender for Identity のリリースは、お客様のテナント間で徐々にデプロイされます。 テナントでまだ表示されていない機能がここに記載されている場合は、後で更新プログラムをチェックしてください。

詳細については、次のトピックも参照してください。

6 か月前以前にリリースされたバージョンと機能に関する更新情報については、Microsoft Defender for Identity の新機能の公開履歴を参照してください。

2024 年 4 月

CVE-2024-21427 Windows Kerberos のセキュリティ機能バイパスの脆弱性を簡単に検出する

お客様がこの脆弱性に従ってセキュリティ プロトコルをバイパスしようとする試みをより適切に特定して検出できるよう、Kerberos AS 認証を監視する新しいアクティビティを Advanced Hunting 内に追加しました。
このデータを使用すると、Microsoft Defender XDR 内に独自のカスタム検出ルールを簡単に作成し、この種類のアクティビティのアラートを自動的にトリガーできるようになりました

Defender XDR ポータルにアクセスする ->ハンティング -> ハンティングの詳細。

次に示すように、推奨されるクエリをコピーし、[検出ルールの作成] をクリックします。 提供されているクエリでは、失敗したログオン試行も追跡され、潜在的な攻撃とは無関係の情報が生成される可能性があることに注意してください。 そのため、特定の要件に合わせてクエリを自由にカスタマイズすることができます。

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity リリース 2.234

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.233

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2024 年 3 月

Defender for Identity 設定を表示するための新しい読み取り専用のアクセス許可

Defender for Identity 設定を表示するための読み取り専用のアクセス許可を持つ Defender for Identity ユーザーを構成できるようになりました。

詳細については、「Microsoft Defender XDR の Microsoft Defender for Identity に要求されるアクセス許可」を参照してください。

正常性の問題を表示および管理するための新しいグラフ ベース API

Graph API を通じて、Microsoft Defender for Identity の正常性に関する問題を表示および管理できるようになりました

詳細については、Graph API を通じて正常性に関する問題を管理する方法を参照してください。

Defender for Identity リリース 2.232

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.231

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2024 年 2 月

Defender for Identity リリース 2.230

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

セキュリティで保護されていない AD CS IIS エンドポイント構成の新しいセキュリティ態勢評価

Defender for Identity では、Microsoft セキュア スコアの新しいレコメンデーションとして "セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集 (ESC8)" が追加されました。

Active Directory 証明書サービス (AD CS) では、証明書登録サービス (CES) または Web 登録インターフェイス (Certsrv) を使用した HTTP 経由の登録など、さまざまな方法とプロトコルによる証明書の登録がサポートされています。 CES または Certsrv IIS エンドポイントのセキュリティで保護されていない構成では、リレー攻撃に対する脆弱性 (ESC8) が発生する可能性があります。

最近リリースされた他の AD CS 関連のレコメンデーションには、"セキュリティで保護されていない ADCS 証明書登録 IIS エンドポイントの編集 (ESC8)" という新しいレコメンデーションが追加されています。 これらの評価の組み合わせにより、組織全体のリスクにつながるセキュリティの問題や重大な構成ミスを関連する検出事項と共に示したセキュリティ態勢レポートを得ることができます。

詳細については、以下を参照してください:

Defender for Identity リリース 2.229

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

アラートのしきい値を調整するために強化されたユーザー エクスペリエンス (プレビュー)

Defender for Identity の [詳細設定] ページの名前が [アラートのしきい値の調整] に変更され、アラートのしきい値を調整するための柔軟性が向上した更新されたエクスペリエンスが提供されます。

新しい [アラートのしきい値の調整] ページのスクリーンショット。

変更内容:

  • 以前の [学習期間の削除] オプションは削除され、新しく [推奨テスト モード] オプションが追加されました。 [推奨テスト モード] を選択して、すべてのしきい値レベルを [] に設定し、アラートの数を増やして他のすべてのしきい値レベルと読み取り専用に設定します。

  • 以前の [感度レベル] 列の名前が [しきい値レベル] に変更され、新しい値が定義されました。 既定では、すべてのアラートは、既定の動作と標準のアラート構成を表し [高い] しきい値に設定されます。

次の表は、以前の感度レベル値と新しいしきい値レベルの間のマッピングを示しています。

感度レベル (前の名前) しきい値レベル (新しい名前)
Normal
Medium Medium

[詳細設定] ページで特定の値が定義されている場合は、次のように新しい [アラートしきい値の調整] ページに値が転送されました。

詳細設定ページの構成 新しいアラートしきい値の調整ページの構成
学習期間の削除 をオンに切り替えて 推奨テスト モード をオフに切り替えます。

アラートしきい値の構成設定は変わりません。
学習期間の削除 をオフに切り替えて 推奨テスト モード をオフに切り替えます。

アラートしきい値の構成設定は、すべて高い しきい値レベルの既定値にリセットされます。

[推奨テスト モード] オプションが選択されている場合、またはしきい値レベルが [] または [] に設定されている場合、アラートの学習期間が既に完了しているかどうかに関係なく、アラートは常に直ちにトリガーされます。

詳細については、「アラートのしきい値を調整する」を参照してください。

デバイスの詳細ページに、デバイスの説明が含まれるようになりました (プレビュー)

Microsoft Defender XDR に、デバイスの詳細ペインとデバイスの詳細ページにデバイスの説明が含まれるようになりました。 説明は、デバイスの Active Directory Description の 説明 属性から設定されます。

たとえば、デバイスの詳細のサイド ペインでは次のようになります。

デバイスの詳細ウィンドウの新しい [デバイスの説明] フィールドのスクリーンショット。

詳細については、「疑わしいデバイスの調査手順」を参照してください。

Defender for Identity リリース 2.228

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正に加え、次の新しいアラートが含まれています。

2024 年 1 月

Defender for Identity リリース 2.227

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

グループ エンティティ用に追加された [タイムライン] タブ

グループ メンバーシップの変更、LDAP クエリなど、Microsoft Defender XDR で過去 180 日間の Active Directory グループ エンティティ関連のアクティビティとアラートを表示できるようになりました。

[グループ タイムライン] ページにアクセスするには、[グループの詳細] ペインで [タイムラインを開く] を選択します。

次に例を示します。

グループ エンティティの詳細ウィンドウの [タイムラインを開く] ボタンのスクリーンショット。

詳細については、「疑わしいグループの調査手順」を参照してください。

PowerShell を使用して Defender for Identity 環境を構成して検証する

Defender for Identity では、新しい DefenderForIdentity PowerShell モジュールがサポートされるようになりました。これは、Microsoft Defender for Identity と連携するための環境の構成と検証に役立ちます。

PowerShell コマンドを使用して、構成の誤りを回避し、時間を節約し、システムの不要な負荷を回避します。

新しい PowerShell コマンドの使用に役立つ次の手順を Defender for Identity ドキュメントに追加しました。

詳細については、以下を参照してください:

Defender for Identity リリース 2.226

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.225

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2023 年 12 月

Note

リモート コード実行の試行アラート数が減少している場合は、Defender for Identity 検出ロジックの更新を含む、更新された 9 月のお知らせを参照してください。 Defender for Identity は、以前と同様にリモート コード実行のアクティビティを記録し続けます。

Microsoft 365 Defender の新しい ID 領域とダッシュボード (プレビュー)

Defender for Identity のお客様は、Defender for Identity での ID セキュリティに関する情報を得るための新しい ID 領域が Microsoft 365 Defender に追加されました。

Microsoft 365 Defender で、[ID] を選択すると、次のいずれかの新しいページが表示されます:

  • ダッシュボード: このページには、ID の脅威の検出と応答アクティビティの監視に役立つグラフとウィジェットが表示されます。  次に例を示します。

    サンプルの ITDR ダッシュボード ページを示すアニメーション GIF。

    詳細については、「Defender for Identity の ITDR ダッシュボードを走操作する」を参照してください。

  • 正常性の問題: このページは 設定 > ID 領域から移動され、一般的な Defender for Identity の展開と特定のセンサーに関する現在の正常性の問題が一覧表示されます。 詳細については、「Microsoft Defender for Identity センサーの正常性の問題」を参照してください。

  • ツール: このページには、Defender for Identity を使用する際に役立つ情報とリソースへのリンクが含まれています。 このページでは、特に容量計画ツールTest-MdiReadiness.ps1 スクリプトに関するドキュメントへのリンクを見つけます。

Defender for Identity リリース 2.224

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

AD CS センサーのセキュリティ態勢評価 (プレビュー)

Defender for Identity の ID セキュリティ態勢評価では、オンプレミスの Active Directory 構成全体でアクションの事前の検出と推奨が行われます。

推奨されるアクションには、次の新しいセキュリティ態勢評価 (特に証明書のテンプレートと証明機関) が含まれるようになりました。

新しい評価は Microsoft セキュア スコアで利用でき、セキュリティの問題や、組織全体にリスクをもたらす重大な構成の誤りが検出と共に示されます。 それに応じてスコアが更新されます。

次に例を示します。

新しい AD CS セキュリティ態勢評価のスクリーンショット。

詳細については、「Microsoft Defender for Identity のセキュリティ態勢評価」を参照してください。

Note

証明書のテンプレートの評価は、AD CS が環境にインストールされているすべてのお客様が利用できます。証明機関の評価は、AD CS サーバーにセンサーをインストールしたお客様のみが利用できます。 詳しくは、「Active Directory 証明書サービス (AD CS) 用の新しいセンサー の種類」を参照してください。

Defender for Identity リリース 2.223

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.222

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.221

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2023 年 11 月

Defender for Identity リリース 2.220

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.219

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

ID タイムラインには 30 日を超えるデータが含まれています (プレビュー)

Defender for Identity では、ID の詳細に対する拡張データ保持期間が徐々に延長されており、30 日を超える予定です。

[ID の詳細] ページ の [タイムライン] タブには、Defender for Identity、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint からのアクティビティが含まれています。現在、少なくとも 150 日のアクティビティが含まれ、増加しています。 今後数週間のデータ保持率には多少の変動がある可能性があります。

特定の時間枠内の ID タイムラインのアクティビティとアラートを表示するには、デフォルトの [30 日間]を選択し、[カスタム範囲] を選択します。 過去 30 日を超えるデータをフィルター検索すると、一度に最大 7 日間表示されます。

次に例を示します。

カスタム範囲オプションのスクリーンショット。

詳細については、「Microsoft Defender XDR でのアセットの調査ユーザーの調査」を参照してください。

Defender for Identity リリース 2.218

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2023 年 10 月

Defender for Identity リリース 2.217

このバージョンには、次の機能改善が含まれています。

  • 要約レポート: 要約レポートが更新され、[正常性の問題] タブに 2 つの新しい列が追加されました。

    • 詳細: 問題発生時に影響を受けるオブジェクトや特定のセンサーの一覧など、問題に関する追加情報。
    • おすすめ: 問題を解決するために実行できるおすすめのアクションの一覧、または問題をさらに調査する方法の一覧。

    詳細については、「Microsoft Defender XDR で Defender for Identity レポートをダウンロードしてスケジュールする(プレビュー)」を参照してください。

  • 正常性の問題: このテナントの [学習期間の削除] 設定が自動的にオフになる正常性の問題を追加

このバージョンには、クラウド サービスと Defender for Identity センサーのバグ修正が含まれています。

Defender for Identity リリース 2.216

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

2023 年 9 月

リモート コード実行の試行に対するアラート数を減少

Defender for Identity と Microsoft Defender for Endpoint アラートをより適切に調整するために、Defender for Identity の [リモート コード実行の試行] の検出ロジックが更新されました。

この変更により、リモート コード実行の試行アラート数が減少しますが、Defender for Identity はリモート コード実行のアクティビティを記録し続けます。 お客様は引き続き独自の Advanced Hunting クエリを作成し、カスタム検出ポリシーを作成できます。

アラートの感度設定と学習期間に対する機能強化

一部の Defender for Identity アラートでは、アラートがトリガーされる前に学習期間が設けられ、正当なアクティビティと疑わしいアクティビティを区別するときに使用するパターンのプロファイルを構築します。

Defender for Identity では、次のような学習期間エクスペリエンスの機能が強化されています。

  • 管理リストレーターは学習期間の削除設定を使用して、特定のアラートに使用される機密度を設定できます。 機密度を標準として定義し、選択した種類のアラートに対して学習期間の削除設定をオフに設定しています。

  • 新しい Defender for Identity ワークスペースで新しいセンサーをデプロイした後、[学習期間の削除] 設定が 30 日間、自動的に [オン] になります。 30 日が過ぎると、[学習期間の削除] 設定は自動的に [オフ] になり、アラートの感度レベルはデフォルトに戻ります。

    Defender for Identity で、学習期間が完了するまでアラートが生成されない標準の学習期間機能を使用するには、学習期間の削除設定をオフに設定します。

以前に学習期間の削除設定を更新した場合、その設定は更新されたとおりに保持されます。

詳細については、「詳細設定」を参照してください。

Note

高度な設定ページには、当初、学習期間の削除オプションの下に、感度設定可能なアカウント列挙攻撃による偵察アラートが一覧表示されました。 このアラートは一覧から削除され、セキュリティ プリンシパルの偵察 (LDAP) アラートに置き換えられました。 このユーザー インターフェイスのバグは、2023 年 11 月に修正されました。

Defender for Identity リリース 2.215

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity レポートが [メイン レポート] 領域に移動しました

これで、Microsoft Defender XDR の [メイン レポート] 領域から Defender for Identity レポートにアクセスできるようになり、[設定] 領域へのアクセスは不要になりました。 次に例を示します。

メイン レポート領域からアクセスした Defender for Identity レポートのスクリーンショット。

詳細については、「Microsoft Defender XDR で Defender for Identity レポートをダウンロードしてスケジュールする(プレビュー)」を参照してください。

Microsoft Defender XDR のグループ用 [Go hunt] ボタン

Defender for Identity では、Microsoft Defender XDR のグループ用 [Go hunt] ボタンが追加されました。 [Go hunt] ボタンを使えば、調査中にグループ関連のアクティビティとアラートを照会できます。

次に例を示します。

グループ詳細ウィンドウの新しい [Go hunt] ボタンのスクリーンショット。

詳細については、「go hunt を使用してエンティティまたはイベント情報をすばやく検索する」を参照してください。

Defender for Identity リリース 2.214

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

パフォーマンスの向上

Defender for Identity では、Defender for Identity サービスから Microsoft Defender XDR にリアルタイム イベントを転送するときの待機時間、安定性、パフォーマンスに関する内部的な改善が行われました。 Advanced Hunting のアラートやアクティビティなど、Microsoft Defender XDR に表示される Defender for Identity のデータには遅延がないものとなります。

詳細については、以下を参照してください:

2023 年 8 月

Defender for Identity リリース 2.213

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.212

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Defender for Identity リリース 2.211

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

Active Directory 証明書サービス (AD CS) の新しいセンサーの種類

Defender for Identity では、Active Directory 証明書サービス (AD CS) が構成された専用サーバーの新しい ADCS センサーの種類がサポートされるようになりました。

新しいセンサーの種類は、Microsoft Defender XDR の [設定] > [ID] > [センサー] ページで確認できます。 詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。

Defender for Identity では、新しいセンサーの種類と共に、関連する AD CS アラートと Secure Score レポートも提供されるようになりました。 新しいアラートと Secure Score レポートを表示するには、必要なイベントがサーバー上で収集され、ログに記録されていることを確認してください。 詳しくは、「Active Directory 証明書サービス (AD CS) イベントの監査を構成する」を参照してください。

AD CS は、セキュアな通信プロトコルと認証プロトコルで公開鍵インフラストラクチャ (PKI) 証明書を発行および管理する Windows サーバーのロールです。 詳細については、「Active Directory 証明書サービスとは」を参照してください。

Defender for Identity リリース 2.210

このバージョンには、クラウド サービスと Defender for Identity センサーの機能強化とバグ修正が含まれています。

次のステップ