Neuigkeiten in Microsoft Defender for Identity
Dieser Artikel wird regelmäßig aktualisiert, um Sie über die Neuerungen in den aktuellen Releases von Microsoft Defender for Identity auf dem Laufenden zu halten.
Wichtig
Kunden, die das klassische Defender for Identity-Portal verwenden, werden jetzt automatisch an Microsoft Defender XDR umgeleitet, ohne die Option, zum klassischen Portal zurückkehren zu können.
Weitere Informationen finden Sie in unserem Blogbeitrag und Microsoft Defender for Identity in Microsoft Defender XDR.
Neuigkeiten – Umfang und Verweise
Defender for Identity-Versionen werden schrittweise über Kundenmandanten hinweg bereitgestellt. Wenn hier ein Feature dokumentiert ist, das noch nicht in Ihrem Mandanten angezeigt wird, schauen Sie später noch einmal nach einem Update nach.
Weitere Informationen finden Sie auch unter:
- Neuerungen in Microsoft Defender XDR
- Neuerungen in Microsoft Defender for Endpoint
- Neuerungen in Microsoft Defender für Cloud Apps
Updates zu Versionen und Features, die vor sechs Monaten oder früher veröffentlicht wurden, finden Sie im Neuerungenarchiv für Microsoft Defender for Identity.
Juli 2024
Der öffentlichen Vorschau wurden 6 neue Erkennungen hinzugefügt:
- Möglicher NetSync-Angriff
- NetSync ist ein Modul in Mimikatz – ein Post-Exploitation-Tool, das den Kennworthash eines Zielgerätkennworts anfordert, indem es vorgibt, ein Domänencontroller zu sein. Ein Angreifer nutzt möglicherweise dieses Feature, um schädliche Aktivitäten innerhalb des Netzwerks durchzuführen und um auf die Ressourcen der Organisation zuzugreifen.
- Mögliche Übernahme eines Microsoft Entra-Kontos mit nahtlosem einmaligem Anmelden (nahtloses SSO)
- Ein Microsoft Entra-Kontoobjekt mit nahtlosem einmaligem Anmelden (Single-Sign-On, SSO), AZUREADSSOACC, wurde auf verdächtige Weise geändert. Ein Angreifer bewegt sich möglicherweise lateral von lokalen Umgebungen in die Cloud.
- Verdächtige LDAP-Abfrage
- Es wurde eine verdächtige LDAP-Abfrage (Lightweight Directory Access Protocol) erkannt, die mit einem bekannten Angriffstool in Verbindung gebracht wird. Ein Angreifer führt möglicherweise Reconnaissance-Aktivitäten im Hinblick auf weitere Schritte durch.
- Einem Benutzer wurde ein verdächtiger SPN hinzugefügt
- Einem vertraulichen Benutzer wurde ein verdächtiger Dienstprinzipalname (SPN) hinzugefügt. Ein Angreifer versucht möglicherweise, erhöhte Zugriffsrechte für laterale Bewegungen innerhalb der Organisation zu erhalten.
- Verdächtige Erstellung einer ESXi-Gruppe
- In der Domäne wurde eine verdächtige VMWare ESXi-Gruppe erstellt. Dies könnte darauf hindeuten, dass ein Angreifer versucht, mehr Berechtigungen zu erhalten, um weitere Schritte im Zusammenhang mit dem Angriff durchzuführen.
- Verdächtige ADFS-Authentifizierung
- Ein mit einer Domäne verbundenes Konto hat sich von einer verdächtigen IP-Adresse aus über Active Directory-Verbunddienste (ADFS) angemeldet. Ein Angreifer hat möglicherweise die Anmeldeinformationen eines Benutzers gestohlen und verwendet sie, um sich lateral in der Organisation zu bewegen.
Defender for Identity, Release 2.238
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Juni 2024
Einfache Suche nach Benutzerinformationen über das ITDR-Dashboard
Das Shield-Widget bietet einen schnellen Überblick über die Anzahl der Benutzer in Hybrid-, Cloud- und lokalen Umgebungen. Dieses Feature enthält jetzt direkte Links zur Advanced Hunting-Plattform und bietet detaillierte Benutzerinformationen.
ITDR Deployment Health-Widget enthält jetzt Entra Conditional Access und Entra Private Access
Jetzt können Sie die Lizenzverfügbarkeit für bedingten Zugriff auf Entra-Workload, Entra User Conditional Access und Entra Private Access anzeigen.
Defender for Identity, Release 2.237
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Mai 2024
Defender for Identity, Release 2.236
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.235
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
April 2024
Einfache Erkennung des Sicherheitsrisikos CVE-2024-21427 durch Umgehung des Sicherheitsfeatures von Windows Kerberos
Um Kunden dabei zu helfen, Versuche zur Umgehung der Sicherheitsprotokolle im Zusammenhang mit diesem Sicherheitsrisiko besser zu identifizieren und zu erkennen, haben wir zum Advanced Hunting eine neue Aktivität hinzugefügt, die die Kerberos AS-Authentifizierung überwacht.
Mithilfe dieser Daten können Kunden jetzt ganz einfach eigene benutzerdefinierte Erkennungsregeln in Microsoft Defender XDR erstellen und für solche Aktivitäten Warnungen automatisch auslösen.
Navigieren Sie zum Defender XDR-Portal –> Suche –> Advanced Hunting.
Kopieren Sie nun die empfohlene Abfrage (siehe unten) und klicken Sie auf „Erkennungsregel erstellen“. Beachten Sie, dass unsere angegebene Abfrage auch fehlgeschlagene Anmeldeversuche verfolgt, wodurch Informationen generiert werden können, die in keinem Zusammenhang mit einem potenziellen Angriff zusammenhängen. Sie können die Abfrage daher an Ihre spezifischen Anforderungen anpassen.
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
Defender for Identity, Release 2.234
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.233
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
März 2024
Neue Nur-Lese-Berechtigungen für die Anzeige von Defender for Identity-Einstellungen
Jetzt können Sie Defender for Identity-Benutzer mit Nur-Lese-Berechtigung konfigurieren, um Defender for Identity-Einstellungen anzuzeigen.
Weitere Informationen finden Sie unter Erforderliche Berechtigungen Defender for Identity in Microsoft Defender XDR.
Neue Graph-basierte API zum Anzeigen und Verwalten von Integritätsproblemen
Jetzt können Sie Microsoft Defender for Identity-Integritätsprobleme über die Graph-API anzeigen und verwalten.
Weitere Informationen finden Sie unter Verwalten von Integritätsproblemen über die Graph-API.
Defender for Identity, Release 2.232
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.231
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Februar 2024
Defender for Identity, Release 2.230
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Neue Sicherheitsstatusbewertung für unsichere IIS-Endpunktkonfiguration von AD CS
Defender for Identity hat die neue Empfehlung für das Bearbeiten von unsicheren ADCS-Zertifikat-Eintragungen an IIS-Endpunkten (ESC8) in Microsoft Secure Score hinzugefügt.
Active Directory-Zertifikatdienste (AD CS) unterstützt die Zertifikatregistrierung über verschiedene Methoden und Protokolle, einschließlich der Registrierung über HTTP mithilfe des Zertifikatregistrierungsdiensts (Certificate Enrollment Service, CES) oder der Webregistrierungsschnittstelle (Certificate Web Enrollment interface, Certsrv). Unsichere Konfigurationen der CES- oder Certsrv-IIS-Endpunkte können Sicherheitsrisiken zum Weiterleiten von Angriffen (ESC8) erzeugen.
Die neue Empfehlung für das Bearbeiten unsicherer ADCS-Zertifikate für IIS-Endpunkte (ESC8) wird anderen AD CS-bezogenen Empfehlungen hinzugefügt, die kürzlich veröffentlicht wurden. Zusammen bieten diese Bewertungen Sicherheitsstatusberichte, die Sicherheitsprobleme und schwerwiegende Fehlkonfigurationen aufzeigen, die Risiken für die gesamte Organisation bereitstellen, zusammen mit zugehörigen Erkennungen.
Weitere Informationen finden Sie unter:
- Sicherheitsbewertung: Bearbeiten unsicherer ADCS-Zertifikatregistrierungs-IIS-Endpunkte (ESC8)
- Sicherheitsstatusbewertungen für AD CS-Sensoren
- Sicherheitsstatusbewertungen von Microsoft Defender for Identity
Defender for Identity, Release 2.229
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Verbesserte Benutzeroberfläche zum Anpassen von Benachrichtigungsschwellenwerten (Vorschau)
Die Seite Defender für Identität Erweitert-Einstellungen wurde in Benachrichtigungsschwellenwerte anpassen umbenannt und bietet eine aktualisierte Benutzeroberfläche mit verbesserter Flexibilität zum Anpassen von Warnungsschwellenwerten.
Die Änderungen umfassen Folgendes:
Wir haben die vorherige OptionLernzeitraum entfernen entfernt und eine neue Option für Empfohlener Testmodus hinzugefügt. Wählen Sie Empfohlener Testmodus aus, um alle Schwellenwerte auf Niedrig festzulegen, die Anzahl der Warnungen zu erhöhen und alle anderen Schwellenwerte auf schreibgeschützt festzulegen.
Die Spalte mit der vorherigen Vertraulichkeitsstufe wurde mit neu definierten Werten als Schwellenwertebene umbenannt. Standardmäßig werden alle Warnungen auf einen Schwellenwert Hoch festgelegt, der das Standardverhalten und eine Standardbenachrichtigungskonfiguration darstellt.
In der folgenden Tabelle sind die Zuordnungen zwischen den vorherigen Vertraulichkeitsstufe-Werten und den neuen Schwellenwerten aufgeführt:
Vertraulichkeitsstufe (vorheriger Name) | Schwellenwertebene (neuer Name) |
---|---|
Normal | Hoch |
Mittel | Mittel |
Hoch | Niedrig |
Wenn Sie bestimmte Werte auf der Seite Erweiterte Einstellungen definiert haben, haben wir sie wie folgt auf die neue Seite Benachrichtigungsschwellenwerte anpassen übertragen:
Konfiguration der Seite Erweiterte Einstellungen | Neue Konfiguration der Warnungsschwellenwerte anpassen |
---|---|
Entfernen des Umschaltens des Lernzeitraums auf | Der empfohlene Testmodus wurde deaktiviert. Konfigurationseinstellungen für Warnungsschwellenwerte bleiben identisch. |
Lernzeitraum entfernen ist deaktiviert | Der empfohlene Testmodus wurde deaktiviert. Die Konfigurationseinstellungen für den Alarmschwellenwert werden alle auf ihre Standardwerte mit dem Schwellenwert Hoch zurückgesetzt. |
Warnungen werden immer sofort ausgelöst, wenn die Option Empfohlener Testmodus ausgewählt ist oder eine Schwellenwertstufe auf Mittel oder Niedrig festgelegt ist, unabhängig davon, ob der Lernzeitraum der Warnung bereits abgeschlossen wurde.
Weitere Informationen finden Sie unter Anpassen von Warnungsschwellenwerten.
Die Gerätedetailseiten umfassen jetzt Gerätebeschreibungen (Vorschau)
Microsoft Defender XDR umfasst jetzt Gerätebeschreibungen in den Gerätedetailbereichen und in den Gerätedetailseiten. Die Beschreibungen werden aus dem Active Directory Description-Attribut des Gerätes aufgefüllt.
Beispiel: Im Seitenbereich mit den Gerätedetails:
Weitere Informationen finden Sie unter Untersuchungsschritte für verdächtige Geräte.
Defender for Identity, Release 2.228
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Microsoft Defender for Identity-Sensor sowie die folgenden neuen Warnungen:
- Reconnaissance mithilfe von Kontoenumeration (LDAP) (externe ID 2437) (Vorschau)
- Kennwortänderung im Verzeichnisdienst-Wiederherstellungsmodus (externe ID 2438) (Preview)
Januar 2024
Defender for Identity, Release 2.227
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Registerkarte „Zeitachse“ für Gruppenentitäten hinzugefügt
Jetzt können Sie in Microsoft Defender XDR Active Directory-Gruppenentitätsaktivitäten und Warnungen aus den letzten 180 Tagen anzeigen, wie z. B. Gruppenmitgliedschaftsänderungen, LDAP-Abfragen usw.
Um auf die Seite „Gruppen-Zeitleiste“ zuzugreifen, wählen Sie im Bereich „Gruppendetails“ Zeitleiste öffnen aus.
Zum Beispiel:
Weitere Informationen finden Sie unter Untersuchungsschritte für verdächtige Gruppen.
Konfigurieren und Überprüfen Ihrer Defender for Identity-Umgebung über PowerShell
Defender for Identity unterstützt jetzt das neue PowerShell-Modul DefenderForIdentity, das entwickelt wurde, um Sie beim Konfigurieren und Überprüfen Ihrer Umgebung für die Arbeit mit Microsoft Defender for Identity zu unterstützen.
Verwenden Sie die PowerShell-Befehle, um Fehlkonfigurationen zu vermeiden, Zeit zu sparen und eine unnötige Auslastung Ihres Systems zu vermeiden.
Wir haben zur Dokumentation zu Defender for Identity die folgenden Verfahren hinzugefügt, um Ihnen bei der Verwendung der neuen PowerShell-Befehle zu helfen:
- Ändern der Proxykonfiguration mithilfe von PowerShell
- Konfigurieren, Abrufen und Testen von Überwachungsrichtlinien mithilfe von PowerShell
- Generieren eines Berichts mit aktuellen Konfigurationen über PowerShell
- Testen Ihrer DSA-Berechtigungen und -Delegierungen über PowerShell
- Testen der Dienstkonnektivität mithilfe von PowerShell
Weitere Informationen finden Sie unter:
- DefenderForIdentity PowerShell-Modul (PowerShell-Katalog)
- Referenzdokumentation zu DefenderForIdentity PowerShell
Defender for Identity, Release 2.226
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.225
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Dezember 2023
Hinweis
Wenn eine verringerte Anzahl von Warnungen zu Remotecodeausführungsversuchen angezeigt wird, lesen Sie unsere aktualisierten September-Ankündigungen, die ein Update der Defender for Identity-Erkennungslogik enthalten. Defender for Identity zeichnet weiterhin die Remotecodeausführungsaktivitäten wie zuvor auf.
Bereich „Neue Identitäten“ und „Dashboard“ in Microsoft 365 Defender (Vorschau)
Defender for Identity-Kunden verfügen jetzt über einen neuen Identitätsbereich in Microsoft 365 Defender für Informationen zur Identitätssicherheit mit Defender for Identity.
Wählen Sie in Microsoft 365 Defender Identitäten aus, um eine der folgenden Seiten anzuzeigen:
Dashboard: Auf dieser Seite werden Diagramme und Widgets angezeigt, mit denen Sie die Erkennung und Reaktion auf Identitätsrisiken überwachen können. Zum Beispiel:
Weitere Informationen finden Sie unter Arbeiten mit dem ITDR-Dashboard von Defender for Identity.
Integritätsprobleme: Diese Seite wird aus dem Bereich Einstellungen >Identitäten verschoben und zeigt Integritätsprobleme sowohl für Ihre allgemeine Defender for Identity-Umgebung als auch für bestimmte Sensoren an. Weitere Informationen finden Sie unter Sensorintegritätsprobleme für Microsoft Defender for Identity.
Tools: Diese Seite enthält Links zu hilfreichen Informationen und Ressourcen beim Arbeiten mit Defender for Identity. Auf dieser Seite finden Sie Links zu Dokumentationen, insbesondere zum Kapazitätsplanungstool und zum Skript Test-MdiReadiness.ps1.
Defender for Identity, Release 2.224
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Sicherheitsstatusbewertungen für AD CS-Sensoren (Vorschau)
Die Defender for Identity-Sicherheitsbewertungen erkennen und empfehlen proaktiv Aktionen in Ihren lokalen Active Directory-Konfigurationen.
Die empfohlenen Maßnahmen umfassen jetzt die folgenden neuen Sicherheitsstatusbewertungen, insbesondere für Zertifikatvorlagen und Zertifizierungsstellen.
Empfohlene Maßnahmen für Zertifikatvorlagen:
- Verhindern, dass Benutzer ein Zertifikat anfordern, das für beliebige Benutzer gültig ist, basierend auf der Zertifikatvorlage (ESC1)
- Übermäßig zulässige Zertifikatvorlage mit privilegierter EKU (Any purpose EKU or No EKU) (ESC2)
- Falsch konfigurierte Registrierungs-Agent-Zertifikatvorlage (ESC3)
- Bearbeiten falsch konfigurierter Zertifikatvorlagen ACL (ESC4)
- Bearbeiten eines falsch konfigurierten Zertifikatvorlagenbesitzers (ESC4)
Von der Zertifizierungsstelle empfohlene Aktionen:
Die neuen Bewertungen sind in der Microsoft-Sicherheitsbewertung verfügbar. Sie erkennen Sicherheitsprobleme und schwerwiegende Fehlkonfigurationen, die ein Risiko für die gesamte Organisation darstellen. Ihre Bewertung wird entsprechend aktualisiert.
Zum Beispiel:
Weitere Informationen finden Sie in den Sicherheitsstatusbewertungen von Microsoft Defender for Identity.
Hinweis
Während Bewertungen von Zertifikatvorlagen für alle Kunden verfügbar sind, die AD CS in ihrer Umgebung installiert haben, sind Bewertungen von Zertifizierungsstellen nur für Kunden verfügbar, die auf einem AD CS-Server einen Sensor installiert haben. Weitere Informationen finden Sie unter Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS).
Defender for Identity, Release 2.223
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.222
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.221
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
November 2023
Defender for Identity, Release 2.220
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.219
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Identitäts-Zeitleiste umfasst mehr als 30 Tage Daten (Vorschau)
Defender for Identity stellt schrittweise erweiterte Datenaufbewahrungen für Identitätsdetails auf mehr als 30 Tage bereit.
Die Registerkarte „Zeitachse“ auf der Seite für Identitätsdetails, die Aktivitäten aus Defender for Identity, Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint umfasst, umfasst derzeit mindestens 150 Tage und wächst. Die Datenaufbewahrungsraten können in den nächsten Wochen variieren.
Wenn Sie Aktivitäten und Warnungen für die Identität-Zeitleiste innerhalb eines bestimmten Zeitraums anzeigen möchten, wählen Sie die Standardeinstellung 30 Tage aus, und wählen Sie dann „Benutzerdefinierter Bereich“ aus. Gefilterte Daten, die mehr als 30 Tage alt sind, werden maximal sieben Tage lang gleichzeitig angezeigt.
Zum Beispiel:
Weitere Informationen finden Sie unter „Untersuchen von Ressourcen“ und „Untersuchen von Benutzern in Microsoft Defender XDR“.
Defender for Identity, Release 2.218
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Oktober 2023
Defender for Identity, Release 2.217
Diese Version umfasst die folgenden Verbesserungen:
Zusammenfassungsbericht: Der zusammenfassende Bericht wird aktualisiert, um zwei neue Spalten auf der Registerkarte Integritätsprobleme einzuschließen:
- Details: Zusätzliche Informationen zum Problem, z. B. eine Liste der betroffenen Objekte oder spezifische Sensoren, auf denen das Problem auftritt.
- Empfehlungen: Eine Liste der empfohlenen Aktionen, die zur Behebung des Problems ergriffen werden können, oder wie sie das Problem weiter untersuchen können.
Weitere Informationen finden Sie unter Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau).
Integritätsprobleme: Die Option Der Schalter „Lernperiode entfernen“ wurde für dieses Mandanten-Integritätsproblem automatisch deaktiviert hinzugefügt
Diese Version enthält auch Fehlerkorrekturen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.216
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
September 2023
Verringerte Anzahl von Warnungen für Remotecodeausführungsversuche
Um Defender for Identity- und Microsoft Defender für Endpunkt-Warnungen besser auszurichten, haben wir die Erkennungslogik für die Erkennung von Defender for Identity Remote-Codeausführungsversuchen aktualisiert.
Diese Änderung führt zwar zu einer verringerten Anzahl von Warnungen bei Remotecodeausführungsversuchen, Defender for Identity zeichnet jedoch weiterhin die Remotecodeausführungsaktivitäten auf. Kunden können weiterhin eigene erweiterte Suchabfragen erstellen und benutzerdefinierte Erkennungsrichtlinien erstellen.
Verbesserungen der Benachrichtigungsempfindlichkeit und des Lernzeitraums
Einige Defender for Identity-Warnungen warten auf einen Lernzeitraum, bevor Warnungen ausgelöst werden, während ein Profil von Mustern erstellt wird, die beim Unterscheiden zwischen legitimen und verdächtigen Aktivitäten verwendet werden sollen.
Defender for Identity bietet jetzt die folgenden Verbesserungen für die Erfahrung im Lernzeitraum:
Administratoren können jetzt die Einstellung „Lernzeitraum entfernen“ verwenden, um die Vertraulichkeit zu konfigurieren, die für bestimmte Warnungen verwendet wird. Definieren Sie die Vertraulichkeit als Normal, um die Einstellung „Lernzeitraum entfernen“ für den ausgewählten Warnungstyp als „deaktiviert“ zu konfigurieren.
Nachdem Sie einen neuen Sensor in einem neuen Microsoft Defender for Identity-Arbeitsbereich bereitgestellt haben, wird die Einstellung Lernzeitraum entfernen automatisch für 30 Tage aktiviert. Nach Ablauf von 30 Tagen wird die Einstellung Lernzeitraum entfernen automatisch deaktiviert und die Empfindlichkeitsstufen für Warnungen werden auf ihre Standardfunktionalität zurückgesetzt.
Damit Defender for Identity standardmäßige Lernzeitfunktionen verwendet, bei denen Warnungen erst generiert werden, wenn der Lernzeitraum abgeschlossen ist, konfigurieren Sie die Einstellung „Lernzeiträume entfernen“ auf „deaktiviert“.
Wenn Sie die Einstellung „Lernzeitraum entfernen“ zuvor aktualisiert haben, werden die Einstellungen so bleiben, wie Sie sie konfiguriert haben.
Weitere Informationen finden Sie unter „Erweiterte Einstellungen“.
Hinweis
Die Seite „Erweiterte Einstellungen“hat ursprünglich die Warnung „Kontoaufzählungsaufklärung“ unter den Optionen „Lernzeitraum entfernen“ als konfigurierbar für Vertraulichkeitseinstellungen aufgeführt. Diese Warnung wurde aus der Liste entfernt und durch die Sicherheitsprinzipal-Aufklärungswarnung (LDAP) ersetzt. Dieser Fehler der Benutzeroberfläche wurde im November 2023 behoben.
Defender for Identity, Release 2.215
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity-Berichte in den Bereich „Standard Berichte“ verschoben
Jetzt können Sie über den Standardbereich „Berichte“ von Microsoft Defender XDR anstelle des Bereichs „Einstellungen“ auf Defender for Identity-Berichte zugreifen. Zum Beispiel:
Weitere Informationen finden Sie unter Herunterladen und Planen von Defender for Identity-Berichten in Microsoft Defender XDR (Vorschau).
Schaltfläche „Bedrohungssuche durchführen“ für Gruppen in Microsoft Defender XDR
Defender for Identity hat die Schaltfläche Bedrohungssuche durchführen für Gruppen in Microsoft Defender XDR hinzugefügt. Benutzer können die Schaltfläche „Bedrohungssuche durchführen“ verwenden, um gruppenbezogene Aktivitäten und Warnungen während einer Untersuchung abzufragen.
Zum Beispiel:
Weitere Informationen finden Sie unter „Schnelle Suche nach Entitäts- oder Ereignisinformationen mit „Bedrohungssuche durchführen“ (go hunt)“.
Defender for Identity, Release 2.214
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Leistungsverbesserungen
Defender for Identity hat interne Verbesserungen für Latenz, Stabilität und Leistung beim Übertragen von Echtzeitereignissen von Microsoft Defender for Identity-Diensten an Microsoft Defender XDR vorgenommen. Kunden sollten keine Verzögerungen in Defender for Identity-Daten erwarten, die in Microsoft Defender XDR angezeigt werden, z. B. Warnungen oder Aktivitäten für die erweiterte Bedrohungssuche.
Weitere Informationen finden Sie unter:
- Sicherheitswarnungen in Microsoft Defender for Identity
- Sicherheitsstatusbewertungen von Microsoft Defender for Identity
- Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche in Microsof Defender XDR
August 2023
Defender for Identity, Release 2.213
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.212
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Defender for Identity, Release 2.211
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.
Neuer Sensortyp für Active Directory-Zertifikatdienste (AD CS)
Defender for Identity unterstützt jetzt den neuen ADCS-Sensortyp für einen dedizierten Server, auf dem Active Directory-Zertifikatdienste (AD CS) konfiguriert sind.
Der neue Sensortyp wird auf der Seite Einstellungen > Identitätssensoren> in Microsoft Defender XDR identifiziert. Weitere Informationen finden Sie unter „Verwalten und Aktualisieren von Microsoft Defender for Identity-Sensoren“.
Zusammen mit dem neuen Sensortyp bietet Defender for Identity nun auch verwandte AD CS-Warnungen und Sicherheitsbewertungsberichte. Um die neuen Warnungen und Sicherheitsbewertungsberichte anzuzeigen, stellen Sie sicher, dass die erforderlichen Ereignisse gesammelt und auf Ihrem Server protokolliert werden. Weitere Informationen finden Sie unter Konfigurieren der Überwachung für Active Directory-Zertifikatdienstereignisse (Active Directory Certificate Services, AD CS).
AD C) ist eine Windows Serverrolle zum Ausstellen und Verwalten von PKI-Zertifikaten (Public Key-Infrastruktur), die für sichere Kommunikations- und Authentifizierungsprotokolle verwendet werden. Weitere Informationen finden Sie unter „Was sind Active Directory-Zertifikatdienste?“
Defender for Identity, Release 2.210
Diese Version enthält Verbesserungen und Fehlerbehebungen für Clouddienste und den Defender for Identity-Sensor.