Поделиться через

Новые возможности Microsoft Defender для удостоверений

  • Статья

Эта статья часто обновляется, чтобы узнать о новых возможностях в последних выпусках Microsoft Defender для удостоверений.

Новые область и ссылки

Выпуски Defender для удостоверений развертываются постепенно в клиентах клиента. Если здесь описана функция, которую вы еще не видите в клиенте, проверка позже для обновления.

Дополнительные сведения см. также в разделе:

Обновления о версиях и функциях, выпущенных шесть месяцев назад или ранее, см. в архиве новых возможностей для Microsoft Defender для удостоверений.

Декабрь 2024 г.

Новая оценка состояния безопасности: предотвращение регистрации сертификатов с помощью произвольных политик приложений (ESC15)

Defender для удостоверений добавил новую рекомендацию Запретить регистрацию сертификатов с помощью произвольных политик приложений (ESC15) в Microsoft Secure Score.

Эта рекомендация непосредственно относится к недавно опубликованному CVE-2024-49019, в котором рассматриваются риски безопасности, связанные с уязвимыми конфигурациями AD CS. В этой оценке состояния безопасности перечислены все уязвимые шаблоны сертификатов, обнаруженные в клиентских средах из-за непатшированных серверов AD CS.

Новая рекомендация будет добавлена в другие рекомендации, связанные с AD CS. Вместе эти оценки предоставляют отчеты о состоянии безопасности, которые выявляют проблемы безопасности и серьезные ошибки конфигурации, которые повысят риски для всей организации, а также связанные с ними обнаружения.

Дополнительные сведения см. в разделе:

Октябрь 2024 г.

MDI расширяет охват новыми 10 рекомендациями по удостоверению (предварительная версия)

Новые оценки состояния безопасности удостоверений (ISPM) помогут клиентам отслеживать неправильную конфигурацию, наблюдая за слабыми местами и уменьшая риск потенциальной атаки на локальную инфраструктуру.
Эти новые рекомендации по идентификации в рамках оценки безопасности Майкрософт представляют собой новые отчеты о состоянии безопасности, связанные с инфраструктурой Active Directory и объектами групповой политики:

Кроме того, мы обновили существующую рекомендацию "Изменение небезопасных делегирований Kerberos, чтобы предотвратить олицетворение", чтобы включить указание ограниченного делегирования Kerberos с переходом протокола в привилегированную службу.

Август 2024 г.

Новый датчик Microsoft Entra Connect:

В рамках наших текущих усилий по расширению охвата Microsoft Defender для удостоверений в средах гибридных удостоверений мы представили новый датчик для серверов Microsoft Entra Connect. Кроме того, мы выпустили новые гибридные обнаружения безопасности и новые рекомендации по удостоверению специально для Microsoft Entra Connect, помогая клиентам оставаться защищенными и снизить потенциальные риски.

Рекомендации по новым Microsoft Entra удостоверений Connect:

  • Смена пароля для учетной записи соединителя Microsoft Entra Connect
    • Скомпрометированная учетная запись соединителя Microsoft Entra Connect (учетная запись соединителя AD DS, как правило, MSOL_XXXXXXXX) может предоставить доступ к функциям с высоким уровнем привилегий, таким как репликация и сброс паролей, что позволяет злоумышленникам изменять параметры синхронизации и компрометировать безопасность в облачных и локальных средах, а также предлагает несколько путей для компрометации всего домена. В этой оценке мы рекомендуем клиентам изменить пароль учетных записей MSOL с паролем, который последний раз был задан более 90 дней назад. Дополнительные сведения см. здесь.
  • Удаление ненужных разрешений на репликацию для учетной записи Microsoft Entra Connect
    • По умолчанию учетная запись соединителя Microsoft Entra Connect имеет обширные разрешения для обеспечения правильной синхронизации (даже если они на самом деле не требуются). Если синхронизация хэша паролей не настроена, важно удалить ненужные разрешения, чтобы уменьшить потенциальную область атаки. Дополнительные сведения см. здесь.
  • Изменение пароля для Microsoft Entra простой конфигурации учетной записи единого входа
    • В этом отчете перечислены все Microsoft Entra учетные записи компьютеров с простым единым входом с паролем, который был установлен более 90 дней назад. Пароль для учетной записи компьютера единого входа Azure не изменяется автоматически каждые 30 дней. Если злоумышленник скомпрометирует эту учетную запись, он может создать запросы службы для учетной записи AZUREADSSOACC от имени любого пользователя и олицетворять любого пользователя в клиенте Microsoft Entra, синхронизированном из Active Directory. Злоумышленник может использовать его для бокового перемещения из Active Directory в Microsoft Entra ID. Дополнительные сведения см. здесь.

Новые обнаружения Microsoft Entra Connect:

  • Подозрительный интерактивный вход на сервер Microsoft Entra Connect
    • Прямые имена входа на серверы Microsoft Entra Connect являются весьма необычными и потенциально вредоносными. Злоумышленники часто нацеливается на эти серверы, чтобы украсть учетные данные для более широкого доступа к сети. Microsoft Defender для удостоверений теперь может обнаруживать аномальные имена входа на серверы Microsoft Entra Connect, что помогает быстрее выявлять эти потенциальные угрозы и реагировать на них. Это особенно применимо, если сервер Microsoft Entra Connect является автономным сервером и не работает в качестве контроллера домена.
  • Сброс пароля пользователя с помощью учетной записи Microsoft Entra Connect
    • Учетная запись соединителя Microsoft Entra Connect часто обладает высокими привилегиями, включая возможность сброса паролей пользователя. Microsoft Defender для удостоверений теперь имеет видимость этих действий и будет обнаруживать любое использование этих разрешений, которые были определены как вредоносные и не законные. Это оповещение будет активировано только в том случае, если функция обратной записи паролей отключена.
  • Подозрительная обратная запись Microsoft Entra Connect для конфиденциального пользователя
    • Хотя Microsoft Entra Connect уже предотвращает обратную запись для пользователей в привилегированных группах, Microsoft Defender для удостоверений расширяет эту защиту, выявляя дополнительные типы конфиденциальных учетных записей. Это расширенное обнаружение помогает предотвратить несанкционированный сброс паролей в критически важных учетных записях, что может стать важным шагом в расширенных атаках, направленных как на облачные, так и на локальные среды.

Дополнительные улучшения и возможности:

  • Новое действие любого неудачного сброса пароля в конфиденциальной учетной записи, доступной в таблице IdentityDirectoryEvents в Расширенной охоте. Это может помочь клиентам отслеживать неудачные события сброса пароля и создавать пользовательское обнаружение на основе этих данных.
  • Повышенная точность обнаружения атак синхронизации контроллера домена .
  • Новая проблема работоспособности в случаях, когда датчику не удается получить конфигурацию из службы Microsoft Entra Connect.
  • Расширенный мониторинг оповещений системы безопасности, таких как PowerShell Remote Execution Detector, за счет включения нового датчика на серверах Microsoft Entra Connect.

Дополнительные сведения о новом датчике

Обновлен модуль PowerShell DefenderForIdentity

Модуль PowerShell DefenderForIdentity был обновлен, в него включены новые функции и исправлено несколько исправлений ошибок. К ключевым улучшениям относятся:

  • Новые функции New-MDIDSA Командлет. Упрощает создание учетных записей служб с параметром по умолчанию для групповых управляемых учетных записей служб (gMSA) и возможностью создания стандартных учетных записей.
  • Автоматическое обнаружение PDCe. Повышает надежность создания объекта групповая политика (GPO), автоматически нацелив основной эмулятор контроллера домена (PDCe) для большинства операций Active Directory.
  • Нацеливание на контроллер домена вручную. Новый параметр сервера для Get/Set/Test-MDIConfiguration командлетов, позволяющий указать контроллер домена для нацеливания вместо PDCe.

Дополнительные сведения см. в разделе:

Июль 2024 г.

6 Новые обнаружения появились в общедоступной предварительной версии:

  • Возможная атака NetSync
    • NetSync — это модуль в Mimikatz, средстве после эксплуатации, который запрашивает хэш пароля целевого устройства, притворяясь контроллером домена. Злоумышленник может выполнять вредоносные действия в сети, используя эту функцию для получения доступа к ресурсам организации.
  • Возможное поглощение учетной записи Microsoft Entra простого единого входа
    • Объект учетной записи Microsoft Entra простого единого входа (единый вход) AZUREADSSOACC был изменен подозрительно. Злоумышленник может перемещаться из локальной среды в облако с боковой стороны.
  • Подозрительный запрос LDAP
    • Обнаружен подозрительный запрос LDAP, связанный с известным средством атаки. Злоумышленник может выполнять рекогносцировку для дальнейших действий.
  • Пользователю добавлено подозрительное имя субъекта-службы
    • Подозрительное имя субъекта-службы (SPN) было добавлено для конфиденциального пользователя. Злоумышленник может попытаться получить повышенный доступ для бокового перемещения в организации
  • Подозрительное создание группы ESXi
    • В домене создана подозрительная группа VMWare ESXi. Это может означать, что злоумышленник пытается получить дополнительные разрешения на последующие действия в атаке.
  • Подозрительная проверка подлинности ADFS
    • Присоединенная к домену учетная запись вошла с помощью службы федерации Active Directory (AD FS) (ADFS) с подозрительного IP-адреса. Злоумышленник может украсть учетные данные пользователя и использовать их для бокового перемещения в организации.

Defender для удостоверений, выпуск 2.238

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Июнь 2024 г.

Простой поиск сведений о пользователях на панели мониторинга ITDR

Мини-приложение Shield предоставляет краткий обзор количества пользователей в гибридных, облачных и локальных средах. Эта функция теперь включает прямые ссылки на платформу Advanced Hunting, предлагая подробные сведения о пользователе под рукой.

Мини-приложение работоспособности развертывания ITDR теперь включает условный доступ Microsoft Entra и Частный доступ Microsoft Entra

Теперь вы можете просмотреть доступность лицензий для условного доступа Microsoft Entra рабочей нагрузки, Microsoft Entra условного доступа пользователей и Частный доступ Microsoft Entra.

Defender для удостоверений, выпуск 2.237

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Май 2024

Defender для удостоверений, выпуск 2.236

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.235

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Апрель 2024 г.

Простое обнаружение уязвимости CVE-2024-21427 в Windows Kerberos

Чтобы помочь клиентам лучше выявлять и обнаруживать попытки обхода протоколов безопасности в соответствии с этой уязвимостью, мы добавили новое действие в Advanced Hunting, которое отслеживает проверку подлинности Kerberos AS.
С помощью этих данных клиенты теперь могут легко создавать собственные настраиваемые правила обнаружения в Microsoft Defender XDR и автоматически запускать оповещения для этого типа действий.

Доступ к порталу Defender XDR —> Охота —> Расширенная охота.

Теперь вы можете скопировать наш рекомендуемый запрос, как указано ниже, и щелкнуть "Создать правило обнаружения". Имейте в виду, что предоставленный запрос также отслеживает неудачные попытки входа, которые могут привести к возникновению информации, не связанной с потенциальной атакой. Поэтому вы можете настроить запрос в соответствии с конкретными требованиями.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender для удостоверений, выпуск 2.234

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.233

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Март 2024 г.

Новые разрешения только для чтения для просмотра параметров Defender для удостоверений

Теперь вы можете настроить пользователей Defender для удостоверений с разрешениями только для чтения для просмотра параметров Defender для удостоверений.

Дополнительные сведения см. в разделе Необходимые разрешения Defender для удостоверений в Microsoft Defender XDR.

Новый API на основе Graph для просмотра проблем со работоспособностью и управления ими

Теперь вы можете просматривать проблемы работоспособности Microsoft Defender для удостоверений и управлять ими с помощью API Graph

Дополнительные сведения см. в статье Управление проблемами работоспособности с помощью API Graph.

Defender для удостоверений, выпуск 2.232

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.231

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Февраль 2024 г.

Defender для удостоверений, выпуск 2.230

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Новая оценка состояния безопасности для небезопасной конфигурации конечной точки IIS AD CS

Defender для удостоверений добавил новую рекомендацию Изменение небезопасных конечных точек регистрации сертификатов ADCS IIS (ESC8) в Microsoft Secure Score.

Службы сертификатов Active Directory (AD CS) поддерживают регистрацию сертификатов с помощью различных методов и протоколов, включая регистрацию по протоколу HTTP с помощью службы регистрации сертификатов (CES) или интерфейса веб-регистрации (Certsrv). Небезопасные конфигурации конечных точек IIS CES или Certsrv могут привести к уязвимостям для атак ретранслятора (ESC8).

Новая рекомендация Изменить небезопасные конечные точки IIS для регистрации сертификатов ADCS (ESC8) добавлена в другие недавно выпущенные рекомендации, связанные с AD CS. Вместе эти оценки предоставляют отчеты о состоянии безопасности, которые выявляют проблемы безопасности и серьезные ошибки конфигурации, которые повысят риски для всей организации, а также связанные с ними обнаружения.

Дополнительные сведения см. в разделе:

Defender для удостоверений, выпуск 2.229

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Улучшенный пользовательский интерфейс для настройки пороговых значений оповещений (предварительная версия)

Страница Дополнительных параметров Defender для удостоверений теперь переименована в Настройка пороговых значений оповещений и предоставляет обновленный интерфейс с повышенной гибкостью для настройки пороговых значений оповещений.

Снимок экрана: новая страница

К таким изменениям относятся:

  • Мы удалили предыдущий параметр Удалить период обучения и добавили новый параметр Рекомендуемый тестовый режим . Выберите Рекомендуемый тестовый режим , чтобы задать для всех пороговых уровней значение Низкий, увеличить количество оповещений и задать для всех остальных пороговых уровней значение только для чтения.

  • Предыдущий столбец Уровень конфиденциальности теперь переименован в Пороговый уровень с новыми заданными значениями. По умолчанию для всех оповещений устанавливается высокий порог, который представляет поведение по умолчанию и стандартную конфигурацию оповещений.

В следующей таблице перечислены сопоставления между предыдущими значениями уровня конфиденциальности и новыми значениями порогового уровня .

Уровень конфиденциальности (предыдущее имя) Пороговый уровень (новое имя)
Normal Высокий
Средний Средний
Высокий Низкая

Если на странице Дополнительные параметры определены определенные значения, мы перенесли их на новую страницу Настройка порогов оповещений следующим образом:

Настройка страницы "Дополнительные параметры" Новая настройка страницы "Настройка пороговых значений оповещений"
Удаление периода обучения , включенного Рекомендуемый тестовый режим отключен.

Параметры конфигурации пороговых значений оповещений остаются прежними.
Удалить период обучения отключен Рекомендуемый тестовый режим отключен.

Параметры конфигурации пороговых значений оповещений сбрасываются до значений по умолчанию с высоким пороговым уровнем.

Оповещения всегда активируются немедленно, если выбран параметр Рекомендуемый тестовый режим или если для порогового уровня задано значение Средний или Низкий, независимо от того, завершен ли период обучения оповещения.

Дополнительные сведения см. в разделе Настройка пороговых значений оповещений.

Страницы сведений об устройстве теперь содержат описания устройств (предварительная версия)

Microsoft Defender XDR теперь включает описания устройств на панелях сведений об устройстве и страницах сведений об устройстве. Описания заполняются из атрибута Описания Active Directory устройства.

Например, на боковой панели сведений об устройстве:

Снимок экрана: новое поле описания устройства в области сведений об устройстве.

Дополнительные сведения см. в разделе Действия по расследованию подозрительных устройств.

Defender для удостоверений, выпуск 2.228

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений, а также следующие новые оповещения:

Январь 2024 г.

Defender для удостоверений, выпуск 2.227

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Вкладка "Временная шкала", добавленная для сущностей группы

Теперь вы можете просматривать действия и оповещения, связанные с сущностями группы Active Directory за последние 180 дней в Microsoft Defender XDR, такие как изменения членства в группах, запросы LDAP и т. д.

Чтобы открыть страницу временная шкала группы, выберите Открыть временная шкала в области сведений о группе.

Например:

Снимок экрана: кнопка

Дополнительные сведения см. в разделе Действия по расследованию подозрительных групп.

Настройка и проверка среды Defender для удостоверений с помощью PowerShell

Defender для удостоверений теперь поддерживает новый модуль PowerShell DefenderForIdentity, который предназначен для настройки и проверки среды для работы с Microsoft Defender для удостоверений.

Используйте команды PowerShell, чтобы избежать неправильной конфигурации, сэкономить время и избежать ненужной нагрузки на систему.

Мы добавили следующие процедуры в документацию по Defender для удостоверений, чтобы помочь вам использовать новые команды PowerShell:

Дополнительные сведения см. в разделе:

Defender для удостоверений, выпуск 2.226

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.225

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Декабрь 2023 г.

Примечание.

Если вы видите меньшее количество оповещений о попытках удаленного выполнения кода , ознакомьтесь с нашими обновленными объявлениями за сентябрь, которые включают обновление логики обнаружения Defender для удостоверений. Defender для удостоверений продолжает записывать удаленные действия выполнения кода, как и раньше.

Новая область удостоверений и панель мониторинга в Microsoft 365 Defender (предварительная версия)

Клиенты Defender для удостоверений теперь имеют новую область удостоверений в Microsoft 365 Defender для получения сведений о безопасности удостоверений с помощью Defender для удостоверений.

В Microsoft 365 Defender выберите Удостоверения , чтобы просмотреть любую из следующих новых страниц:

Defender для удостоверений, выпуск 2.224

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Оценки состояния безопасности для датчиков AD CS (предварительная версия)

Оценки состояния безопасности Defender для удостоверений позволяют заблаговременно обнаруживать и рекомендовать действия в конфигурациях локальная служба Active Directory.

Рекомендуемые действия теперь включают следующие новые оценки состояния безопасности, в частности для шаблонов сертификатов и центров сертификации.

Новые оценки доступны в Microsoft Secure Score, что наряду с обнаружением проблем безопасности и серьезных ошибок в настройке, представляющих риск для всей организации. Оценка обновляется соответствующим образом.

Например:

Снимок экрана: новые оценки состояния безопасности AD CS.

Дополнительные сведения см. в статье Оценки состояния безопасности Microsoft Defender для удостоверений.

Примечание.

Хотя оценки шаблонов сертификатов доступны всем клиентам, у которых в среде установлена служба ad CS, оценки центра сертификации доступны только для клиентов, которые установили датчик на сервере AD CS. Дополнительные сведения см. в статье Новый тип датчика для служб сертификатов Active Directory (AD CS).

Defender для удостоверений, выпуск 2.223

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.222

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.221

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Ноябрь 2023 г.

Defender для удостоверений, выпуск 2.220

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.219

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Временная шкала удостоверений включает данные более 30 дней (предварительная версия)

Defender для удостоверений постепенно развертывает расширенное хранение данных для сведений об удостоверениях более чем на 30 дней.

Вкладка "Временная шкала" страницы сведений об удостоверении, которая включает действия из Defender для удостоверений, Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки, в настоящее время включает не менее 150 дней и растет. В течение следующих нескольких недель могут возникнуть некоторые изменения в скорости хранения данных.

Чтобы просмотреть действия и оповещения на временная шкала удостоверения в течение определенного периода времени, выберите значение по умолчанию 30 дней, а затем выберите Настраиваемый диапазон. Отфильтрованные данные более 30 дней назад отображаются не более семи дней одновременно.

Например:

Снимок экрана: настраиваемые параметры временных интервалов.

Дополнительные сведения см. в разделах Исследование ресурсов и Исследование пользователей в Microsoft Defender XDR.

Defender для удостоверений, выпуск 2.218

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Октябрь 2023

Defender для удостоверений, выпуск 2.217

Эта версия включает в себя следующие улучшения:

  • Сводный отчет. Сводный отчет обновляется и включает два новых столбца на вкладке Проблемы работоспособности :

    • Сведения: дополнительные сведения о проблеме, например список затронутых объектов или определенных датчиков, на которых возникла проблема.
    • Рекомендации. Список рекомендуемых действий, которые можно предпринять для устранения проблемы, или способов дальнейшего изучения проблемы.

    Дополнительные сведения см. в разделе Скачивание и планирование отчетов Defender для удостоверений в Microsoft Defender XDR (предварительная версия).

  • Проблемы со работоспособностью. Добавлен переключатель "Удалить период обучения" был автоматически отключен для этой проблемы со работоспособностью клиента.

Эта версия также включает исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.216

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Сентябрь 2023 г.

Уменьшение количества оповещений для попыток удаленного выполнения кода

Чтобы лучше согласовать оповещения Defender для удостоверений и Microsoft Defender для конечной точки, мы обновили логику обнаружения для обнаружения попыток удаленного выполнения кода Defender для удостоверений.

Хотя это изменение приводит к уменьшению количества оповещений о попытках удаленного выполнения кода , Defender для удостоверений продолжает записывать действия удаленного выполнения кода. Клиенты могут продолжать создавать собственные расширенные запросы охоты и создавать настраиваемые политики обнаружения.

Параметры конфиденциальности оповещений и улучшения периода обучения

Некоторые оповещения Defender для удостоверений ожидают учебного периода перед активацией оповещений, создавая профиль шаблонов для использования при различии между допустимыми и подозрительными действиями.

Defender для удостоверений теперь предоставляет следующие улучшения для периода обучения:

  • Теперь администраторы могут использовать параметр Удалить период обучения , чтобы настроить конфиденциальность, используемую для конкретных оповещений. Определите чувствительность как обычную , чтобы настроить для параметра Удалить период обучениязначение Выкл . для выбранного типа оповещения.

  • После развертывания нового датчика в новой рабочей области Defender для удостоверений параметр Удалить период обучения автоматически включается в течение 30 дней. По истечении 30 дней параметр Удалить период обучения автоматически отключается, а уровни конфиденциальности оповещений возвращаются к функциям по умолчанию.

    Чтобы в Defender для удостоверений использовались стандартные функции периода обучения, когда оповещения не создаются до окончания периода обучения, настройте для параметра Удалить периоды обучения значение Выкл.

Если вы ранее обновили параметр Удалить период обучения , ваш параметр останется так, как вы его настроили.

Дополнительные сведения см. в статье Advanced settings.

Примечание.

На странице Дополнительные параметры первоначально было указано оповещениерекогносцировки перечисления учетных записей в разделе Удалить период обучения как настраиваемый для параметров конфиденциальности. Это оповещение было удалено из списка и заменено предупреждением о рекогносцировки субъекта безопасности (LDAP). Эта ошибка пользовательского интерфейса была исправлена в ноябре 2023 г.

Defender для удостоверений, выпуск 2.215

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Отчеты Defender для удостоверений перемещены в область отчетов main

Теперь доступ к отчетам Defender для удостоверений можно получить из области main Отчеты Microsoft Defender XDR, а не из области Параметры. Например:

Снимок экрана: доступ к отчету Defender для удостоверений из области

Дополнительные сведения см. в разделе Скачивание и планирование отчетов Defender для удостоверений в Microsoft Defender XDR (предварительная версия).

Кнопка "Перейти к поиску" для групп в Microsoft Defender XDR

Defender для удостоверений добавил кнопку Go hunt для групп в Microsoft Defender XDR. Пользователи могут использовать кнопку Go hunt для запроса действий и оповещений, связанных с группами, во время исследования.

Например:

Снимок экрана: новая кнопка

Дополнительные сведения см. в статье Быстрый поиск сведений о сущностях или событиях с помощью go hunt.

Defender для удостоверений, выпуск 2.214

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Повышение производительности

Defender для удостоверений внес внутренние улучшения задержки, стабильности и производительности при передаче событий в режиме реального времени из служб Defender для удостоверений в Microsoft Defender XDR. Клиенты не должны ожидать задержек в данных Defender для удостоверений, отображаемых в Microsoft Defender XDR, таких как оповещения или действия для расширенной охоты.

Дополнительные сведения см. в разделе:

Август 2023 г.

Defender для удостоверений, выпуск 2.213

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.212

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.211

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Новый тип датчика для служб сертификатов Active Directory (AD CS)

Defender для удостоверений теперь поддерживает новый тип датчика ADCS для выделенного сервера с настроенными службами сертификатов Active Directory (AD CS).

Новый тип датчика отображается на странице Параметры > Датчики удостоверений > в Microsoft Defender XDR. Дополнительные сведения см. в разделе Управление и обновление датчиков Microsoft Defender для удостоверений.

Вместе с новым типом датчика Defender для удостоверений теперь также предоставляет связанные оповещения AD CS и отчеты оценки безопасности. Чтобы просмотреть новые оповещения и отчеты по оценке безопасности, убедитесь, что необходимые события собираются и регистрируются на сервере. Дополнительные сведения см. в разделе Настройка аудита для событий служб сертификатов Active Directory (AD CS).

AD CS — это Windows Server роль, которая выдает сертификаты инфраструктуры открытых ключей (PKI) и управляет ими в протоколах безопасной связи и проверки подлинности. Дополнительные сведения см. в статье Что такое службы сертификатов Active Directory?

Defender для удостоверений, выпуск 2.210

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Дальнейшие действия