Поделиться через

Новые возможности Microsoft Defender для удостоверений

Эта статья часто обновляется, чтобы узнать о новых возможностях в последних выпусках Microsoft Defender для удостоверений.

Новые область и ссылки

Выпуски Defender для удостоверений развертываются постепенно в клиентах клиента. Если здесь описана функция, которую вы еще не видите в клиенте, проверка позже для обновления.

Дополнительные сведения см. также в разделе:

Обновления о версиях и функциях, выпущенных шесть месяцев назад или ранее, см. в архиве новых возможностей для Microsoft Defender для удостоверений.

Январь 2026 г.

Усовершенствования инвентаризации удостоверений стали общедоступными

  • Вкладка Учетные записи в списке удостоверений. Новая вкладка Учетные записи предоставляет объединенное представление всех учетных записей, связанных с удостоверением, включая учетные записи Active Directory, Microsoft Entra ID и поддерживаемые поставщики удостоверений сторонних производителей. Дополнительные сведения см. в статье Управление связанными удостоверениями и учетными записями.
  • Связывание и отмена связи учетных записей вручную. Вручную свяжите учетные записи с удостоверением непосредственно на вкладке Учетные записи . Эта возможность помогает сопоставлять компоненты удостоверений из разных источников каталогов и предоставляет полный контекст идентификации во время исследований. Дополнительные сведения см. в статье Управление связанными удостоверениями и учетными записями.
  • Действия по исправлению на уровне удостоверений. Теперь можно выполнять действия по исправлению, такие как отключение учетных записей или сброс паролей для одной или нескольких учетных записей, связанных с удостоверением. Дополнительные сведения см. в разделе Действия по исправлению.
  • Новая расширенная таблица охоты. Расширенная охота в Microsoft Defender теперь включает таблицу IdentityAccountInfo. В этой таблице содержатся сведения об учетной записи из различных источников, включая Microsoft Entra ID, а также ссылки на удостоверение, которому принадлежит учетная запись.

Оповещения MDI перенесены в единый интерфейс оповещений Defender

В рамках текущего перехода к единому интерфейсу оповещений в Microsoft Defender продуктах некоторые оповещения были преобразованы из Microsoft Defender для удостоверений классического формата в формат оповещений MDI XDR. Помните, что все оповещения основаны на обнаружении с датчиков Defender для удостоверений. Полный список оповещений системы безопасности XDR см. в разделе Microsoft Defender для удостоверений оповещения системы безопасности XDR.

Новое оповещение о работоспособности: неправильно настроен аудит RPC датчика версии 3.x

Для некоторых Microsoft Defender для удостоверений расширенных обнаружения удостоверений требуется расширенный аудит RPC. Новое оповещение о работоспособности помогает определить датчики версии 3.x, где эта конфигурация отсутствует или применена неправильно. Оповещение развертывается для клиентов постепенно. Дополнительные сведения см. в разделе Настройка RPC на датчиках версии 3.x.

Настройка автоматического аудита событий Windows для датчиков Defender для удостоверений версии 3.x (предварительная версия)

Мы постепенно развертываем автоматическую конфигурацию аудита событий Windows для датчиков версии 3.x, а также соответствующие оповещения о работоспособности. Это обновление упрощает развертывание, автоматически применяя необходимые параметры аудита к новым датчикам и исправляя неправильные настройки существующих. Дополнительные сведения см. в разделе Настройка автоматического аудита окон.

Номер версии Обновления
2.254 Теперь датчик поддерживает новый целевой объект зоны DNS для *.aatp.gcc.azure.com. Убедитесь, что датчики в GCC могут получить доступ к этой зоне с помощью префикса DNS датчика.

Новая оценка состояния безопасности: определение учетных записей служб в привилегированных группах

В этой оценке состояния безопасности удостоверений перечислены учетные записи служб Active Directory с прямым или вложенным членством в привилегированных группах.

Эту оценку можно использовать для идентификации учетных записей служб с повышенными разрешениями и принятия мер, когда привилегированный доступ не требуется.

Дополнительные сведения см. в разделе Оценка состояния безопасности: определение учетных записей служб в привилегированных группах.

Новая оценка состояния безопасности: поиск учетных записей во встроенных группах операторов

В этой оценке состояния безопасности удостоверений перечислены учетные записи Active Directory, которые являются членами встроенных групп операторов, включая прямое и косвенное членство.

Эту оценку можно использовать для проверки устаревшего или ненужного доступа к оператору и принятия мер, если повышенный доступ не требуется.

Дополнительные сведения см. в разделе Оценка состояния безопасности: поиск учетных записей во встроенных группах операторов.

Декабрь 2025 г.

Новые свойства для типа ресурса sensorCandidate в Graph-API (предварительная версия)

Свойство Тип Описание
domainName String Доменное имя датчика.
senseClientVersion String Версия клиента датчика Defender для удостоверений.

Эта возможность сейчас доступна в предварительной версии и доступна в бета-версии API. Дополнительные сведения см. здесь

Поиск ADWS LDAP в расширенной охоте

Новое действие поиска ADWS LDAP теперь доступно в таблице IdentityQueryEvents в разделе Расширенная охота. Это может обеспечить видимость запросов к каталогу, выполняемых через ADWS, помогая клиентам отслеживать эти операции и создавать пользовательское обнаружение на основе этих данных.

Номер версии Обновления
2.253 Включает исправления ошибок и улучшения стабильности для датчика Microsoft Defender для удостоверений.
2.252 Включает исправления ошибок и улучшения стабильности для датчика Microsoft Defender для удостоверений.

Ноябрь 2025 г.

Номер версии Обновления
2.251 Расширенные методы запросов LDAP ADWS и устаревшие методы запросов LDAP на основе паролей теперь фиксируют более широкий диапазон уникальных событий в большом масштабе. В результате вы можете заметить увеличение записанных действий.

Усовершенствования инвентаризации удостоверений: вкладка "Учетные записи", связывание и отмена связывания учетных записей вручную, а также расширенные действия по исправлению

В Microsoft Defender для удостоверений теперь доступны следующие новые функции:

Вкладка Учетные записи в инвентаризации удостоверений:

Новая вкладка Учетные записи предоставляет объединенное представление всех учетных записей, связанных с удостоверением, включая учетные записи из Active Directory, Microsoft Entra ID и поддерживаемых поставщиков удостоверений сторонних производителей. Дополнительные сведения см. в статье Управление связанными удостоверениями и учетными записями (предварительная версия)

Ссылка вручную и отмена связи учетных записей:

Теперь вы можете вручную связать учетные записи с удостоверением непосредственно на вкладке Учетные записи. Эта возможность помогает сопоставлять компоненты удостоверений из разных источников каталогов и предоставляет полный контекст идентификации во время исследований. Дополнительные сведения см. в статье Управление связанными удостоверениями и учетными записями.

Действия по исправлению на уровне удостоверений:

Теперь можно выполнять действия по исправлению, такие как отключение учетных записей или сброс паролей для одной или нескольких учетных записей, связанных с удостоверением. Дополнительные сведения см. в разделе Действия по исправлению.

Новая оценка состояния безопасности: изменение пароля для локальной учетной записи с потенциально утечкой учетных данных (предварительная версия)

В новой оценке состояния безопасности перечислены пользователи, у которых произошла утечка допустимых учетных данных. Дополнительные сведения см. в статье Изменение пароля для локальной учетной записи с потенциально утечкой учетных данных (предварительная версия)

обновления версий датчика Microsoft Defender для удостоверений

Номер версии Обновления
2.250 Улучшенный метод запроса журнала событий захватывает более широкий диапазон уникальных событий в большом масштабе. В результате вы можете заметить увеличение количества отслеживаемых действий. Это обновление также включает улучшения безопасности и производительности.

Расширение области идентификации: поддержка подразделений (предварительная версия)

В дополнение к общедоступному выпуску области доменов Active Directory несколько месяцев назад вы можете область подразделениями в рамках Role-Based контроль доступа пользователей XDR (URBAC). Это улучшение обеспечивает еще более детальный контроль над тем, какие сущности и ресурсы включаются в анализ безопасности.

Дополнительные сведения см. в статье Настройка доступа с ограниченной областью для Microsoft Defender для удостоверений.

Октябрь 2025 г.

Мы рады сообщить, что датчик Microsoft Defender для удостоверений версии 3.x теперь общедоступен. Датчик Microsoft Defender для удостоверений версии 3.x обеспечивает расширенный охват, улучшенную производительность в вашей среде и упрощает развертывание и управление для контроллеров домена.

обновления версий датчика Microsoft Defender для удостоверений

Номер версии Обновления
2.249 Улучшенный метод запроса журнала событий теперь захватывает более широкий диапазон уникальных событий в большом масштабе. В результате вы можете заметить увеличение количества отслеживаемых действий. Это обновление также предоставляет другие улучшения безопасности и повышения производительности.

Сентябрь 2025 г.

Оповещения MDI, переведенные в единый интерфейс оповещений Defender

В рамках текущего перехода к единому интерфейсу оповещений в Microsoft Defender продуктах следующие оповещения были преобразованы из Microsoft Defender для удостоверений классического формата в формат оповещений MDI XDR. Помните, что все оповещения основаны на обнаружении с датчиков Defender для удостоверений.

Заголовок классического оповещения Внешний идентификатор Имя предупреждения XDR Идентификатор детектора
Атрибуты Active Directory: рекогносцировка с помощью LDAP 2210 Атрибуты рекогносцировки LDAP в Active Directory xdr_LdapSensitiveAttributeReconnaissance
Рекогносцировка пользователя и IP-адреса 2012 Перечисление подозрительного серверного блока сообщений (SMB) с недоверенного узла xdr_SmbSessionEnumeration
Разведывательная разведка перечисления учетных записей 2003 Перечисление подозрительных учетных записей (Kerberos, NTLM, AD FS) xdr_SuspectedAccountEnumeration
Предполагаемая атака методом подбора (LDAP) 2004 Предполагаемая атака методом подбора для проверки подлинности ldap xdr_LdapBindBruteforce
Предполагаемая атака на использование протокола LDAP xdr_LdapBindBruteforce
Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы 2416 Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы xdr_SuspiciousConnectionOverEFSRPC

Дополнительное значение безопасности в датчике Defender для удостоверений версии 3.x

Примените тег аудита RPC единого датчика к датчику Defender для удостоверений версии 3.x на странице Управление правилами активов для усиленной защиты. Подробнее здесь.

Представление рекомендаций по удостоверению на странице удостоверений (предварительная версия)

Новая вкладка на странице Профиль удостоверений содержит все активные оценки безопасности удостоверений (ISPM). На этой странице объединяются все оценки состояния безопасности, связанные с удостоверениями, в единое контекстное представление, помогая группам безопасности быстро выявлять слабые места и предпринимать целевые действия. Дополнительные сведения см. в статье Исследование пользователей в Microsoft Defender XDR.

Новая региональная доступность: Объединенные Арабские Эмираты

Центры обработки данных Defender для удостоверений теперь также развернуты в Объединенных Арабских Эмиратах, Северном и Центральном регионах. Самый актуальный список региональных развертываний см. в разделе Расположения данных Defender для удостоверений.

Новая поддержка API для датчика Defender для удостоверений версии 3.x (предварительная версия)

Мы рады сообщить о доступности нового API на основе Graph для управления действиями сервера датчика Defender для удостоверений версии 3.x. Эта возможность сейчас доступна в предварительной версии и доступна в бета-версии API.

Этот API позволяет клиентам:

  • Отслеживайте состояние серверов, развернутых с помощью датчика Defender для удостоверений версии 3.x.
  • Включите или отключите автоматическую активацию соответствующих серверов.
  • Активация или отключение датчика на подходящем сервере.

Дополнительные сведения см. в статье Управление действиями датчика Defender для удостоверений версии 3.x с помощью API Graph.

обновления версий датчика Microsoft Defender для удостоверений

Номер версии Обновления
2.249 Включает исправления ошибок и улучшения стабильности для датчика Microsoft Defender для удостоверений.

Обновления нескольких обнаружений для снижения шума и повышения точности оповещений

Несколько обнаружений Defender для удостоверений обновляются для снижения шума и повышения точности, что делает оповещения более надежными и практическими. По мере продолжения развертывания может наблюдаться уменьшение числа вывещенных оповещений.

Улучшения постепенно вступают в силу при следующих обнаружениях:

  • Подозрительная связь через DNS
  • Предполагаемая попытка повышения привилегий netlogon (CVE-2020-1472)
  • Действие проверки подлинности Honeytoken
  • Попытка удаленного выполнения кода через DNS
  • Подозрительный сброс пароля с помощью учетной записи Microsoft Entra Connect
  • Кража данных через SMB
  • Предполагаемая атака с использованием основного ключа (понижение уровня шифрования)
  • Подозрительное изменение ограниченного делегирования на основе ресурсов учетной записью компьютера
  • Попытка удаленного выполнения кода

Унифицированные соединители теперь доступны для соединителей единого входа Okta (предварительная версия)

Microsoft Defender для удостоверений поддерживает интерфейс unified connectors, начиная с соединителя единого входа Okta. Единый соединитель позволяет Defender для удостоверений собирать системные журналы Okta один раз и совместно использовать их в поддерживаемых продуктах майкрософт для обеспечения безопасности, что снижает использование API и повышает эффективность соединителя.

Дополнительные сведения см. в статье Подключение Okta к Microsoft Defender для удостоверений (предварительная версия)

Август 2025 г.

Microsoft Entra ID уровень риска теперь доступен практически в реальном времени в Microsoft Defender для удостоверений (предварительная версия)

Microsoft Entra ID уровень риска теперь доступен на странице Активов инвентаризации удостоверений, на странице сведений об удостоверениях и в таблице IdentityInfo в разделе Расширенная охота и включает Microsoft Entra ID оценку риска. Аналитики SOC могут использовать эти данные для корреляции рискованных пользователей с конфиденциальными или привилегированными пользователями, создания пользовательских обнаружений на основе текущего или исторического риска пользователей и улучшения контекста исследования.

Ранее клиенты Defender для удостоверений получали Microsoft Entra ID уровне риска в таблице IdentityInfo с помощью аналитики поведения пользователей и сущностей (UEBA). Благодаря этому обновлению уровень риска Microsoft Entra ID теперь обновляется практически в реальном времени через Microsoft Defender для удостоверений.

Для клиентов UEBA без лицензии на Microsoft Defender для удостоверений синхронизация Microsoft Entra ID уровня риска с таблицей IdentityInfo остается неизменной.

Новая оценка безопасности: удаление неактивных учетных записей служб

Microsoft Defender для удостоверений теперь включает новую оценку безопасности, которая помогает выявлять и удалять неактивные учетные записи служб в организации. В этой оценке перечислены учетные записи служб Active Directory, которые были неактивны в течение последних 90 дней, чтобы помочь снизить риски безопасности, связанные с неиспользуемых учетными записями.

Дополнительные сведения см. в статье Оценка безопасности: удаление неактивных учетных записей служб (предварительная версия).

Новый API на основе Graph для действий ответа (предварительная версия)

Мы рады объявить о новом API на основе Graph для инициации действий по исправлению и управления ими в Microsoft Defender для удостоверений.

Эта возможность сейчас доступна в предварительной версии и доступна в бета-версии API.

Дополнительные сведения см. в статье Управление действиями реагирования с помощью API Graph.

Область удостоверений теперь общедоступна

Область идентификации теперь общедоступна во всех средах. Теперь организации могут определять и уточнять область мониторинга MDI и получать детальный контроль над тем, какие сущности и ресурсы включаются в анализ безопасности.

Дополнительные сведения см. в статье Настройка доступа с ограниченной областью для Microsoft Defender для удостоверений.

Новая оценка состояния безопасности: удаление обнаруживаемых паролей в атрибутах учетной записи Active Directory (предварительная версия)

Новая оценка состояния безопасности выделяет незащищенные атрибуты Active Directory, содержащие пароли или ключи учетных данных, и рекомендует шаги по их удалению, что помогает снизить риск компрометации удостоверений.

Дополнительные сведения см. в статье Оценка безопасности: удаление обнаруживаемых паролей в атрибутах учетной записи Active Directory (предварительная версия)

обновления версий датчика Microsoft Defender для удостоверений

Номер версии Обновления
2.247 Включает исправления ошибок и улучшения стабильности для датчика Microsoft Defender для удостоверений.
2.246 Включает исправления ошибок и улучшения стабильности для датчика Microsoft Defender для удостоверений.

Обновление обнаружения: предполагаемая атака методом подбора (Kerberos, NTLM)

Улучшена логика обнаружения для включения сценариев, в которых учетные записи были заблокированы во время атак. В результате количество активированных оповещений может увеличиться.

Июль 2025 г.

Расширенный охват мини-приложения работоспособности развертывания ITDR

Мини-приложение "Обнаружение угроз идентификации и реагирование" (ITDR) теперь обеспечивает видимость состояния развертывания дополнительных типов серверов. Ранее он отражал только состояние контроллеров домена Active Directory. В этом обновлении мини-приложение также включает состояние развертывания для серверов ADFS, ADCS и Microsoft Entra Connect, что упрощает отслеживание и обеспечение полного охвата датчиками во всех поддерживаемых инфраструктурах удостоверений.

Рекомендуемая конфигурация тестового режима на странице Настройка пороговых значений оповещений теперь требует установить срок действия (до 60 дней) при ее включении. Время окончания отображается рядом с переключателем во время активности тестового режима. Для клиентов, которые уже включили рекомендуемый тестовый режим, автоматически применяется 60-дневный срок действия.

Область идентификации теперь доступна в средах управления

Определение области теперь поддерживается в средах для государственных организаций (GOV). Теперь организации могут определять и уточнять область мониторинга MDI и получать детальный контроль над тем, какие сущности и ресурсы включаются в анализ безопасности.

Дополнительные сведения см. в статье Настройка доступа с ограниченной областью для Microsoft Defender для удостоверений.

Новые оценки состояния безопасности для неуправляемых серверов удостоверений

Microsoft Defender для удостоверений три новые оценки состояния безопасности определяют наличие Microsoft Entra Connect, службы федерации Active Directory (AD FS) (ADFS) или служб сертификатов Active Directory (ADCS) в вашей среде среда, но не отслеживается.

Используйте эти оценки, чтобы улучшить охват мониторинга и укрепить состояние безопасности гибридных удостоверений.

Дополнительные сведения см. в разделе:

Оценка безопасности: неуправляемые серверы ADCS

Оценка безопасности: неуправляемые серверы ADFS

Оценка безопасности: неуправляемые серверы Microsoft Entra Connect

Июнь 2025 г.

Доступ по области домена Active Directory теперь поддерживается (предварительная версия)

Область MDI теперь доступна в рамках Role-Based контроль доступа пользователей XDR (URBAC). Теперь организации могут определять и уточнять область мониторинга MDI, обеспечивая детальный контроль над тем, какие сущности и ресурсы включаются в анализ безопасности.

Определение области доменов Active Directory помогает:

  • Оптимизация производительности. Сосредоточьтесь на мониторинге критически важных ресурсов и уменьшите уровень шума от несуществующих данных.

  • Улучшение контроля видимости. Настраивайте охват MDI для определенных доменов и групп пользователей.

  • Поддержка операционных границ: согласование доступа для аналитиков SOC, администраторов удостоверений и региональных команд.

Дополнительные сведения см. в статье Настройка доступа с ограниченной областью для Microsoft Defender для удостоверений.

Интеграция Okta теперь доступна в Microsoft Defender для удостоверений

Microsoft Defender для удостоверений теперь поддерживает интеграцию с Okta, обеспечивая обнаружение угроз на основе удостоверений в облачных и локальных средах. Эта интеграция помогает выявлять подозрительные входы, рискованные назначения ролей и потенциальное неправильное использование привилегий в среде Okta.

Предварительные требования и инструкции по настройке см. в статье Интеграция Okta с Microsoft Defender для удостоверений.

Правила классификации учетных записей службы теперь доступны

Теперь можно создавать настраиваемые правила классификации для идентификации учетных записей служб на основе конкретных критериев вашей организации. Это дополняет автоматическое обнаружение, позволяя более точно идентифицировать учетные записи служб. Дополнительные сведения см. в статье Обнаружение учетных записей службы.

Обновления модуля PowerShell Для удостоверений Defender (версия 1.0.0.4)

Новые функции и улучшения:

  • Добавлены функциональные возможности удаленного домена.
  • Добавлен параметр SensorType в Test-MDISensorApiConnection для информирования URL-адреса конечной точки.
  • Добавлена возможность получать, задавать и тестировать разрешения контейнера "Удаленные объекты".
  • Добавлен аудит для делегированных управляемых учетных записей служб (dMSA) в конфигурации DomainObjectAuditing.

Исправления ошибок:

  • Исправлены проверки аудита для операционных систем, отличных от английского языка.
  • Исправлена ошибка параметра DomainObjectAuditing с избыточностью удостоверений.
  • Исправлена логика обнаружения контроллера домена, подтверждающая, что веб-службы AD запущены на сервере.
  • Исправлена проблема, из-за которой Test-MDIDSA не анализировали разрешения удаленного объекта.
  • Другие исправления надежности.

Май 2025 г.

Улучшено представление о допустимости нового датчика Defender для удостоверений на странице активации

На странице активации теперь отображаются все серверы из инвентаризации устройств, включая те, которые в настоящее время не доступны для нового датчика Defender для удостоверений. Это улучшение повышает прозрачность при выборе датчика, помогая выявлять нерелигиозные серверы и принимать меры по их обновлению и подключению для повышения защиты идентификации.

Функция сбора локальных администраторов (с помощью запросов SAM-R) отключена

Удаленный сбор членов группы локальных администраторов из конечных точек, использующих запросы SAM-R в Microsoft Defender для удостоверений, будет отключен к середине мая 2025 г. В настоящее время эти данные используются для создания карт путей бокового смещения, которые больше не будут обновляться после этого изменения. В настоящее время изучается альтернативный метод. Изменение происходит автоматически к указанной дате, и никаких административных действий не требуется.

Новая проблема работоспособности

Новая проблема работоспособности в случаях, когда датчики, работающие в VMware, имеют несоответствие конфигурации сети.

Апрель 2025 г.

Тег привилегированного удостоверения теперь отображается в Defender для инвентаризации удостоверений

Удостоверения, перечисленные в списке удостоверений на портале Microsoft Defender, теперь включают тег привилегированной учетной записи для учетных записей, управляемых службой управление привилегированными пользователями (PIM). Привилегированные учетные записи являются основными целями для злоумышленников. Расстановка тегов в инвентаризации помогает быстро выявлять учетные записи с высоким риском или высокоценными учетными записями, определять приоритеты в исследованиях и устранении рисков, а также оптимизировать рабочие процессы реагирования на инциденты.

Дополнительные сведения о управление привилегированными пользователями.

Новая интеграция Defender для удостоверений и PAM

Microsoft Defender для удостоверений теперь поддерживает интеграцию с ведущими в отрасли платформами управления привилегированным доступом (PAM) для улучшения обнаружения привилегированных удостоверений и реагирования на нее.

Поддерживаемые поставщики PAM:

  • CyberArk
  • Delinea
  • BeyondTrust

Дополнительные сведения см. в статье Интеграция служб Defender для удостоверений и PAM.

Март 2025 г.

Страница обнаружения новой учетной записи службы

Microsoft Defender для удостоверений теперь включает возможность обнаружения учетных записей служб, которая обеспечивает централизованную видимость учетных записей служб в среде Active Directory.

Это обновление предоставляет:

  • Автоматическая идентификация групповых управляемых учетных записей служб, управляемых учетных записей служб и учетных записей пользователей, работающих как учетные записи служб.

  • Централизованный инвентаризация учетных записей служб, в котором отображаются ключевые атрибуты, такие как тип учетной записи, тип проверки подлинности, уникальные подключения, последний вход, класс службы и критичность.

  • Страница сведений об учетной записи службы, включая обзор, временная шкала действий, оповещений и вкладку "Новые подключения".

Дополнительные сведения см. в статье Исследование и защита учетных записей служб | Microsoft Defender для удостоверений.

Расширенная инвентаризация удостоверений

Страница "Удостоверения" в разделе Активы была обновлена для улучшения видимости удостоверений и управления ими в вашей среде. Обновленная страница Инвентаризация удостоверений теперь содержит следующие вкладки:

  • Удостоверения. Объединенное представление удостоверений в Active Directory Microsoft Entra ID. На этой вкладке Удостоверения выделены ключевые сведения, включая типы удостоверений и сведения о пользователе.

  • Учетные записи облачных приложений. Отображает список учетных записей облачных приложений, включая учетные записи из соединителей приложений и источников сторонних поставщиков (исходные данные доступны в предыдущей версии на основе Microsoft Defender for Cloud Apps).

Дополнительные сведения см. в разделе Сведения об инвентаризации удостоверений.

Новые события запросов LDAP добавлены в таблицу IdentityQueryEvents в расширенной охоте

Новые события запросов LDAP были добавлены в таблицу IdentityQueryEvents в разделе Расширенная охота, чтобы обеспечить большую видимость дополнительных поисковых запросов LDAP, выполняемых в клиентской среде.

Февраль 2025 г.

Обновления модуля PowerShell DefenderForIdentity (версия 1.0.0.3)

Новые функции и улучшения:

  • Поддержка получения, тестирования и настройки корзины Active Directory в конфигурации MDI Get/Set/Test.
  • Поддержка получения, тестирования и настройки конфигурации прокси-сервера на новом датчике MDI.
  • Значение реестра служб сертификатов Active Directory для фильтрации аудита теперь правильно задает тип.
  • New-MDIConfigurationReport теперь отображает имя проверенного объекта групповой политики и поддерживает аргументы server и identity.

Исправления ошибок:

  • Повышена надежность разрешений контейнера DeletedObjects в операционных системах, отличных от английского языка.
  • Исправлены лишние выходные данные для создания корневого ключа KDS.
  • Другие исправления надежности.

Вкладка "Новые пути атаки" на странице профиля удостоверений

Эта вкладка обеспечивает видимость потенциальных путей атаки, ведущих к критическому удостоверению или его вовлечения в пути, помогая оценить риски безопасности. Дополнительные сведения см. в разделе Общие сведения о пути атаки в управлении экспозицией.

Дополнительные улучшения страницы удостоверений:

  • Новая боковая панель с дополнительными сведениями для каждой записи в временная шкала пользователя.

  • Возможности фильтрации на вкладке Устройства в разделе Наблюдаемо в организации.

Рекомендация по обновлению "Защита паролей локальных администраторов и управление ими с помощью Microsoft LAPS"

Это обновление сопоставляет оценку состояния безопасности в рамках оценки безопасности с последней версией Windows LAPS, обеспечивая соответствие текущим рекомендациям по безопасности для управления паролями локальных администраторов.

Новые и обновленные события в таблице Advanced hunting IdentityDirectoryEvents

Мы добавили и обновили следующие события в таблице расширенной IdentityDirectoryEvents охоты:

  • Флаг контроля учетных записей пользователей изменен
  • Создание группы безопасности в Active Directory
  • Не удалось изменить пароль учетной записи
  • Успешное изменение пароля учетной записи
  • Изменен идентификатор основной группы учетной записи

Кроме того, справочник по встроенной схеме для расширенной охоты в Microsoft Defender XDR был обновлен, чтобы включить подробные сведения обо всех поддерживаемых типах событий (ActionTypeзначения) в таблицы, связанные с удостоверениями, обеспечивая полную видимость доступных событий. Дополнительные сведения см. в разделе Дополнительные сведения о схеме охоты.

Январь 2025 г.

Руководство по новому удостоверению

Ознакомьтесь с основными функциями MDI в новом туре по удостоверениям на портале Microsoft 365. Перейдите по инцидентам, охоте и параметрам для повышения безопасности удостоверений и анализа угроз.

Декабрь 2024 г.

Новая оценка состояния безопасности: предотвращение регистрации сертификатов с помощью произвольных политик приложений (ESC15)

Defender для удостоверений добавил новую рекомендацию Запретить регистрацию сертификатов с помощью произвольных политик приложений (ESC15) в Microsoft Secure Score.

Эта рекомендация непосредственно относится к недавно опубликованному CVE-2024-49019, в котором рассматриваются риски безопасности, связанные с уязвимыми конфигурациями AD CS. В этой оценке состояния безопасности перечислены все уязвимые шаблоны сертификатов, обнаруженные в клиентских средах из-за непатшированных серверов AD CS.

Новая рекомендация будет добавлена в другие рекомендации, связанные с AD CS. Вместе эти оценки предоставляют отчеты о состоянии безопасности, которые выявляют проблемы безопасности и серьезные ошибки конфигурации, которые представляют угрозу для всей организации, а также связанные с ними обнаружения.

Дополнительные сведения см. в разделе:

Октябрь 2024 г.

MDI расширяет охват новыми 10 рекомендациями по удостоверению (предварительная версия)

Новые оценки состояния безопасности удостоверений (ISPM) помогут клиентам отслеживать неправильную конфигурацию, наблюдая за слабыми местами и уменьшая риск потенциальной атаки на локальную инфраструктуру. Эти новые рекомендации по идентификации в рамках оценки безопасности Майкрософт представляют собой новые отчеты о состоянии безопасности, связанные с инфраструктурой Active Directory и объектами групповой политики:

Кроме того, мы обновили существующую рекомендацию "Изменение небезопасных делегирований Kerberos, чтобы предотвратить олицетворение", чтобы включить указание ограниченного делегирования Kerberos с переходом протокола в привилегированную службу.

Август 2024 г.

Новый датчик Microsoft Entra Connect:

В рамках наших текущих усилий по расширению охвата Microsoft Defender для удостоверений в средах гибридных удостоверений мы представили новый датчик для серверов Microsoft Entra Connect. Кроме того, мы выпустили новые гибридные обнаружения безопасности и новые рекомендации по удостоверению специально для Microsoft Entra Connect, помогая клиентам оставаться защищенными и снизить потенциальные риски.

Рекомендации по новым Microsoft Entra удостоверений Connect:

  • Смена пароля для учетной записи соединителя Microsoft Entra Connect
    • Скомпрометированная учетная запись соединителя Microsoft Entra Connect (учетная запись соединителя AD DS, как правило, MSOL_XXXXXXXX) может предоставить доступ к функциям с высоким уровнем привилегий, таким как репликация и сброс паролей, что позволяет злоумышленникам изменять параметры синхронизации и компрометировать безопасность в облачных и локальных средах, а также предлагает несколько путей для компрометации всего домена. В этой оценке мы рекомендуем клиентам изменить пароль учетных записей MSOL, указав пароль, который был установлен более 90 дней назад. Для получения дополнительных сведений выберите Смена пароля для учетной записи соединителя Microsoft Entra Connect.
  • Удаление ненужных разрешений на репликацию для учетной записи Microsoft Entra Connect
    • По умолчанию учетная запись соединителя Microsoft Entra Connect имеет обширные разрешения для обеспечения правильной синхронизации (даже если они не требуются). Если синхронизация хэша паролей не настроена, важно удалить ненужные разрешения, чтобы уменьшить потенциальную область атаки. Дополнительные сведения см. в статье Удаление разрешений репликации для учетной записи Microsoft Entra.
  • Изменение пароля для Microsoft Entra простой конфигурации учетной записи единого входа
    • В этом отчете перечислены все Microsoft Entra учетные записи компьютеров с простым единым входом с паролем, который был установлен более 90 дней назад. Пароль учетной записи компьютера Azure единого входа не изменяется автоматически каждые 30 дней. Если злоумышленник скомпрометирует эту учетную запись, он может создать запросы службы для учетной записи AZUREADSSOACC от имени любого пользователя и олицетворять любого пользователя в клиенте Microsoft Entra, синхронизированном из Active Directory. Злоумышленник может использовать его для бокового перемещения из Active Directory в Microsoft Entra ID. Дополнительные сведения см. в статье Изменение пароля для Microsoft Entra простой конфигурации учетной записи единого входа.

Новые обнаружения Microsoft Entra Connect:

  • Подозрительный интерактивный вход на сервер Microsoft Entra Connect
    • Прямые имена входа на серверы Microsoft Entra Connect являются весьма необычными и потенциально вредоносными. Злоумышленники часто нацеливается на эти серверы, чтобы украсть учетные данные для более широкого доступа к сети. Microsoft Defender для удостоверений теперь может обнаруживать аномальные имена входа на серверы Microsoft Entra Connect, что помогает быстрее выявлять эти потенциальные угрозы и реагировать на них. Это применимо, если сервер Microsoft Entra Connect является автономным сервером и не работает в качестве контроллера домена.
  • Сброс пароля пользователя с помощью учетной записи Microsoft Entra Connect
    • Учетная запись соединителя Microsoft Entra Connect часто обладает высокими привилегиями, включая возможность сброса паролей пользователя. Microsoft Defender для удостоверений теперь имеет видимость этих действий и обнаруживает любое использование этих разрешений, которые были определены как вредоносные и не законные. Это оповещение активируется только в том случае, если функция обратной записи паролей отключена.
  • Подозрительная обратная запись Microsoft Entra Connect для конфиденциального пользователя
    • Хотя Microsoft Entra Connect уже предотвращает обратную запись для пользователей в привилегированных группах, Microsoft Defender для удостоверений расширяет эту защиту, выявляя дополнительные типы конфиденциальных учетных записей. Это расширенное обнаружение помогает предотвратить несанкционированный сброс паролей в критически важных учетных записях, что может стать важным шагом в расширенных атаках, направленных как на облачные, так и на локальные среды.

Дополнительные улучшения и возможности:

  • Новое действие любого неудачного сброса пароля в конфиденциальной учетной записи, доступной в таблице IdentityDirectoryEvents в Расширенной охоте. Это может помочь клиентам отслеживать неудачные события сброса пароля и создавать пользовательское обнаружение на основе этих данных.
  • Повышенная точность обнаружения атак синхронизации контроллера домена .
  • Новая проблема работоспособности в случаях, когда датчику не удается получить конфигурацию из службы Microsoft Entra Connect.
  • Расширенный мониторинг оповещений системы безопасности, таких как PowerShell Remote Execution Detector, за счет включения нового датчика на серверах Microsoft Entra Connect.

Дополнительные сведения о новом датчике

Обновлен модуль PowerShell DefenderForIdentity

Модуль PowerShell DefenderForIdentity был обновлен, в него включены новые функции и исправлено несколько исправлений ошибок. К ключевым улучшениям относятся:

  • Новые функции New-MDIDSA Командлет. Упрощает создание учетных записей служб с параметром по умолчанию для групповых управляемых учетных записей служб (gMSA) и возможностью создания стандартных учетных записей.
  • Автоматическое обнаружение PDCe. Повышает надежность создания объекта групповая политика (GPO), автоматически нацелив основной эмулятор контроллера домена (PDCe) для большинства операций Active Directory.
  • Нацеливание на контроллер домена вручную. Новый параметр сервера для Get/Set/Test-MDIConfiguration командлетов, позволяющий указать контроллер домена для нацеливания вместо PDCe.

Дополнительные сведения см. в разделе:

Июль 2024 г.

В общедоступной предварительной версии появились шесть новых обнаружений:

  • Возможная атака NetSync
    • NetSync — это модуль в Mimikatz, средстве после эксплуатации, который запрашивает хэш пароля целевого устройства, притворяясь контроллером домена. Злоумышленник может выполнять вредоносные действия в сети, используя эту функцию для получения доступа к ресурсам организации.
  • Возможное поглощение учетной записи Microsoft Entra простого единого входа
    • Объект учетной записи Microsoft Entra простого единого входа (единый вход) AZUREADSSOACC был изменен подозрительно. Злоумышленник может перемещаться из локальной среды в облако с боковой стороны.
  • Подозрительный запрос LDAP
    • Обнаружен подозрительный запрос LDAP, связанный с известным средством атаки. Злоумышленник может выполнять рекогносцировку для дальнейших действий.
  • Пользователю добавлено подозрительное имя субъекта-службы
    • Подозрительное имя субъекта-службы (SPN) было добавлено для конфиденциального пользователя. Злоумышленник может попытаться получить повышенный доступ для бокового перемещения в организации
  • Подозрительное создание группы ESXi
    • В домене создана подозрительная группа VMware ESXi. Это может означать, что злоумышленник пытается получить дополнительные разрешения на последующие действия в атаке.
  • Подозрительная проверка подлинности ADFS
    • Присоединенная к домену учетная запись вошла с помощью службы федерации Active Directory (AD FS) (ADFS) с подозрительного IP-адреса. Злоумышленник может украсть учетные данные пользователя и использовать их для бокового перемещения в организации.

Defender для удостоверений, выпуск 2.238

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Июнь 2024 г.

Простой поиск сведений о пользователях на панели мониторинга ITDR

Мини-приложение Shield предоставляет краткий обзор количества пользователей в гибридных, облачных и локальных средах. Эта функция теперь включает прямые ссылки на платформу Advanced Hunting, предлагая подробные сведения о пользователе под рукой.

Мини-приложение работоспособности развертывания ITDR теперь включает условный доступ Microsoft Entra и Частный доступ Microsoft Entra

Теперь вы можете просмотреть доступность лицензий для условного доступа Microsoft Entra рабочей нагрузки, Microsoft Entra условного доступа пользователей и Частный доступ Microsoft Entra.

Defender для удостоверений, выпуск 2.237

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Май 2024

Defender для удостоверений, выпуск 2.236

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.235

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Апрель 2024 г.

Простое обнаружение уязвимости CVE-2024-21427 в Windows Kerberos

Чтобы помочь клиентам лучше выявлять и обнаруживать попытки обойти протоколы безопасности в соответствии с этой уязвимостью, мы добавили новое действие в Advanced Hunting, которое отслеживает проверку подлинности Kerberos AS.

С помощью этих данных клиенты теперь могут легко создавать собственные настраиваемые правила обнаружения в Microsoft Defender XDR и автоматически запускать оповещения для этого типа действий.

Доступ к порталу Microsoft Defender —> Охота —> Расширенная охота.

Теперь вы можете скопировать рекомендуемый запрос, как указано ниже, и выбрать "Создать правило обнаружения". Предоставленный запрос также отслеживает неудачные попытки входа, что может привести к созданию информации, не связанной с потенциальной атакой. Поэтому вы можете настроить запрос в соответствии с конкретными требованиями.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender для удостоверений, выпуск 2.234

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.233

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Март 2024 г.

Новые разрешения только для чтения для просмотра параметров Defender для удостоверений

Теперь вы можете настроить пользователей Defender для удостоверений с разрешениями только для чтения для просмотра параметров Defender для удостоверений.

Дополнительные сведения см. в разделе Необходимые разрешения Defender для удостоверений в Microsoft Defender XDR.

Новый API на основе Graph для просмотра проблем со работоспособностью и управления ими

Теперь вы можете просматривать проблемы работоспособности Microsoft Defender для удостоверений и управлять ими с помощью API Graph

Дополнительные сведения см. в статье Управление проблемами работоспособности с помощью API Graph.

Defender для удостоверений, выпуск 2.232

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.231

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Февраль 2024 г.

Defender для удостоверений, выпуск 2.230

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Новая оценка состояния безопасности для небезопасной конфигурации конечной точки IIS AD CS

Defender для удостоверений добавил новую рекомендацию Изменение небезопасных конечных точек регистрации сертификатов ADCS IIS (ESC8) в Microsoft Secure Score.

Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов с помощью различных методов и протоколов, включая регистрацию по протоколу HTTP с помощью службы регистрации сертификатов (CES) или интерфейса веб-регистрации (Certsrv). Небезопасные конфигурации конечных точек IIS CES или Certsrv могут привести к уязвимостям для атак ретранслятора (ESC8).

Новая рекомендация Изменить небезопасные конечные точки IIS для регистрации сертификатов ADCS (ESC8) добавлена в другие недавно выпущенные рекомендации, связанные с AD CS. Вместе эти оценки предоставляют отчеты о состоянии безопасности, которые выявляют проблемы безопасности и серьезные ошибки конфигурации, которые представляют угрозу для всей организации, а также связанные с ними обнаружения.

Дополнительные сведения см. в разделе:

Defender для удостоверений, выпуск 2.229

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Улучшенный пользовательский интерфейс для настройки пороговых значений оповещений (предварительная версия)

Страница Дополнительных параметров Defender для удостоверений теперь переименована в Настройка пороговых значений оповещений и предоставляет обновленный интерфейс с повышенной гибкостью для настройки пороговых значений оповещений.

Снимок экрана: новая страница

К таким изменениям относятся:

  • Мы удалили предыдущий параметр Удалить период обучения и добавили новый параметр Рекомендуемый тестовый режим . Выберите Рекомендуемый тестовый режим , чтобы задать для всех пороговых уровней значение Низкий, увеличить количество оповещений и задать для всех остальных пороговых уровней значение только для чтения.

  • Предыдущий столбец Уровень конфиденциальности теперь переименован в Пороговый уровень с новыми заданными значениями. По умолчанию для всех оповещений устанавливается высокий порог, который представляет поведение по умолчанию и стандартную конфигурацию оповещений.

    В следующей таблице перечислены сопоставления между предыдущими значениями уровня конфиденциальности и новыми значениями порогового уровня .

    Уровень конфиденциальности (предыдущее имя) Пороговый уровень (новое имя)
    Normal Высокий
    Средний Средний
    Высокий Низкая

Если на странице Дополнительные параметры определены определенные значения, мы перенесли их на новую страницу Настройка порогов оповещений следующим образом:

Настройка страницы "Дополнительные параметры" Новая настройка страницы "Настройка пороговых значений оповещений"
Удаление периода обучения , включенного Рекомендуемый тестовый режим отключен.

Параметры конфигурации пороговых значений оповещений остаются прежними.
Удалить период обучения отключен Рекомендуемый тестовый режим отключен.

Параметры конфигурации пороговых значений оповещений сбрасываются до значений по умолчанию с высоким пороговым уровнем.

Оповещения всегда активируются немедленно, если выбран параметр Рекомендуемый тестовый режим или если для порогового уровня задано значение Средний или Низкий, независимо от того, был ли уже завершен период обучения оповещения.

Дополнительные сведения см. в разделе Настройка пороговых значений оповещений.

Страницы сведений об устройстве теперь содержат описания устройств (предварительная версия)

Microsoft Defender XDR теперь включает описания устройств на панелях сведений об устройстве и страницах сведений об устройстве. Описания заполняются из атрибута Описания Active Directory устройства.

Например, на боковой панели сведений об устройстве:

Снимок экрана: новое поле описания устройства в области сведений об устройстве.

Дополнительные сведения см. в разделе Действия по расследованию подозрительных устройств.

Defender для удостоверений, выпуск 2.228

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений, а также следующие новые оповещения:

Январь 2024 г.

Defender для удостоверений, выпуск 2.227

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Вкладка "Временная шкала", добавленная для сущностей группы

Теперь вы можете просматривать действия и оповещения, связанные с сущностями группы Active Directory за последние 180 дней в Microsoft Defender XDR, такие как изменения членства в группах, запросы LDAP и т. д.

Чтобы открыть страницу временная шкала группы, выберите Открыть временная шкала в области сведений о группе.

Например, вы можете:

Снимок экрана: кнопка

Дополнительные сведения см. в разделе Действия по расследованию подозрительных групп.

Настройка и проверка среды Defender для удостоверений с помощью PowerShell

Defender для удостоверений теперь поддерживает новый модуль PowerShell DefenderForIdentity, который предназначен для настройки и проверки среды для работы с Microsoft Defender для удостоверений.

Используйте команды PowerShell, чтобы избежать неправильной конфигурации, сэкономить время и избежать ненужной нагрузки на систему.

Мы добавили следующие процедуры в документацию по Defender для удостоверений, чтобы помочь вам использовать новые команды PowerShell:

Дополнительные сведения см. в разделе:

Defender для удостоверений, выпуск 2.226

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.225

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Декабрь 2023 г.

Примечание.

Если вы видите меньшее количество оповещений о попытках удаленного выполнения кода , ознакомьтесь с нашими обновленными объявлениями за сентябрь, которые включают обновление логики обнаружения Defender для удостоверений. Defender для удостоверений продолжает записывать удаленные действия выполнения кода, как и раньше.

Новая область удостоверений и панель мониторинга в Microsoft Defender XDR (предварительная версия)

Клиенты Defender для удостоверений теперь имеют новую область удостоверений в Microsoft Defender XDR для получения сведений о безопасности удостоверений с помощью Defender для удостоверений.

В Microsoft Defender XDR выберите Удостоверения, чтобы просмотреть любую из следующих новых страниц:

Defender для удостоверений, выпуск 2.224

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Оценки состояния безопасности для датчиков AD CS (предварительная версия)

Оценки состояния безопасности Defender для удостоверений упреждающе обнаруживают и рекомендуют действия в конфигурациях локальная служба Active Directory.

Рекомендуемые действия теперь включают следующие новые оценки состояния безопасности, в частности для шаблонов сертификатов и центров сертификации.

Новые оценки доступны в Microsoft Secure Score, выявляют проблемы безопасности и серьезные ошибки конфигурации, которые представляют угрозу для всей организации, а также обнаружения. Оценка обновляется соответствующим образом.

Например, вы можете:

Снимок экрана: новые оценки состояния безопасности AD CS.

Дополнительные сведения см. в статье Оценки состояния безопасности Microsoft Defender для удостоверений.

Примечание.

Хотя оценки шаблонов сертификатов доступны всем клиентам, у которых в среде установлена служба ad CS, оценки центра сертификации доступны только для клиентов, которые установили датчик на сервере AD CS. Дополнительные сведения см. в статье Новый тип датчика для служб сертификатов Active Directory (AD CS).

Defender для удостоверений, выпуск 2.223

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.222

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.221

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Ноябрь 2023 г.

Defender для удостоверений, выпуск 2.220

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.219

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Временная шкала удостоверений включает данные более 30 дней (предварительная версия)

Defender для удостоверений постепенно развертывает расширенное хранение данных для сведений об удостоверениях более чем на 30 дней.

Вкладка "Временная шкала" страницы сведений об удостоверении, которая включает действия из Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки, в настоящее время включает не менее 150 дней и растет. В течение следующих нескольких недель могут возникнуть некоторые изменения в скорости хранения данных.

Чтобы просмотреть действия и оповещения на временная шкала удостоверения в течение определенного периода времени, выберите значение по умолчанию 30 дней, а затем выберите Настраиваемый диапазон. Отфильтрованные данные более 30 дней назад отображаются не более семи дней одновременно.

Например, вы можете:

Снимок экрана: настраиваемые параметры временных интервалов.

Дополнительные сведения см. в разделах Исследование ресурсов и Исследование пользователей в Microsoft Defender XDR.

Defender для удостоверений, выпуск 2.218

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Октябрь 2023

Defender для удостоверений, выпуск 2.217

Эта версия включает в себя следующие улучшения:

  • Сводный отчет. Сводный отчет обновляется и включает два новых столбца на вкладке Проблемы работоспособности :

  • Проблемы со работоспособностью. Переключатель "Удалить период обучения" был автоматически отключен для этой проблемы со работоспособностью клиента*.

Эта версия также включает исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.216

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Сентябрь 2023 г.

Уменьшение количества оповещений для попыток удаленного выполнения кода

Чтобы лучше согласовать оповещения Defender для удостоверений и Microsoft Defender для конечной точки, мы обновили логику обнаружения для обнаружения попыток удаленного выполнения кода Defender для удостоверений.

Хотя это изменение приводит к уменьшению количества оповещений о попытках удаленного выполнения кода , Defender для удостоверений продолжает записывать действия удаленного выполнения кода. Клиенты могут продолжать создавать собственные расширенные запросы охоты и создавать настраиваемые политики обнаружения.

Параметры конфиденциальности оповещений и улучшения периода обучения

Некоторые оповещения Defender для удостоверений ожидают периода обучения перед активацией оповещений, создавая профиль шаблонов для использования при различии между допустимыми и подозрительными действиями.

Defender для удостоверений теперь предоставляет следующие улучшения для периода обучения:

  • Теперь администраторы могут использовать параметр Удалить период обучения , чтобы настроить конфиденциальность, используемую для конкретных оповещений. Определите чувствительность как обычную , чтобы настроить для параметра Удалить период обучениязначение Выкл . для выбранного типа оповещения.

  • После развертывания нового датчика в новой рабочей области Defender для удостоверений параметр Удалить период обучения автоматически включается в течение 30 дней. По истечении 30 дней параметр Удалить период обучения автоматически отключается, а уровни конфиденциальности оповещений возвращаются к функциям по умолчанию.

    Чтобы в Defender для удостоверений использовались стандартные функции периода обучения, когда оповещения не создаются до окончания периода обучения, настройте для параметра Удалить периоды обучения значение Выкл.

Если вы ранее обновили параметр Удалить период обучения , ваш параметр останется таким, как вы его настроили.

Дополнительные сведения см. в статье Advanced settings.

Примечание.

На странице Дополнительные параметры первоначально было указано оповещениерекогносцировки перечисления учетных записей в разделе Удалить период обучения как настраиваемый для параметров конфиденциальности. Это оповещение было удалено из списка и заменено оповещением о рекогносцировки субъекта безопасности (LDAP). Эта ошибка пользовательского интерфейса была исправлена в ноябре 2023 г.

Defender для удостоверений, выпуск 2.215

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Отчеты Defender для удостоверений перемещены в основную область "Отчеты"

Теперь доступ к отчетам Defender для удостоверений можно получить из основной области отчетов Microsoft Defender XDR, а не из области Параметры. Например, вы можете:

Снимок экрана: доступ к отчету Defender для удостоверений из основной области

Дополнительные сведения см. в разделе Скачивание и планирование отчетов Defender для удостоверений в Microsoft Defender XDR (предварительная версия).

Кнопка "Перейти к поиску" для групп в Microsoft Defender XDR

Defender для удостоверений добавил кнопку Go hunt для групп в Microsoft Defender XDR. Пользователи могут использовать кнопку Go hunt для запроса действий и оповещений, связанных с группами, во время исследования.

Например, вы можете:

Снимок экрана: новая кнопка

Дополнительные сведения см. в статье Быстрый поиск сведений о сущностях или событиях с помощью go hunt.

Defender для удостоверений, выпуск 2.214

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Повышение производительности

Defender для удостоверений внес внутренние улучшения задержки, стабильности и производительности при передаче событий в режиме реального времени из служб Defender для удостоверений в Microsoft Defender XDR. Клиенты не должны ожидать задержек в данных Defender для удостоверений, отображаемых в Microsoft Defender XDR, таких как оповещения или действия для расширенной охоты.

Дополнительные сведения см. в разделе:

Август 2023 г.

Defender для удостоверений, выпуск 2.213

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.212

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.211

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Новый тип датчика для служб сертификатов Active Directory (AD CS)

Defender для удостоверений теперь поддерживает новый тип датчика ADCS для выделенного сервера с настроенными службами сертификатов Active Directory (AD CS).

Новый тип датчика отображается на странице Параметры > Датчики удостоверений > в Microsoft Defender XDR. Дополнительные сведения см. в разделе Управление и обновление датчиков Microsoft Defender для удостоверений.

Вместе с новым типом датчика Defender для удостоверений теперь также предоставляет связанные оповещения AD CS и отчеты оценки безопасности. Чтобы просмотреть новые оповещения и отчеты по оценке безопасности, убедитесь, что необходимые события собираются и регистрируются на сервере. Дополнительные сведения см. в разделе Настройка аудита для событий служб сертификатов Active Directory (AD CS).

AD CS — это Windows Server роль, которая выдает сертификаты инфраструктуры открытых ключей (PKI) и управляет ими в протоколах безопасной связи и проверки подлинности. Дополнительные сведения см. в статье Что такое службы сертификатов Active Directory?

Defender для удостоверений, выпуск 2.210

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Дальнейшие действия

  • Last updated on