適用於身分識別的 Microsoft Defender 的新功能
本文會經常更新,讓您知道最新版 適用於身分識別的 Microsoft Defender 的新功能。
新領域和參考
適用於身分識別的Defender版本會在客戶租用戶之間逐步部署。 如果此處記載了您尚未在租使用者中看到的功能,請稍後再回來查看更新。
如需詳細資訊,另請參閱:
如需六個月前或更早版本和功能的更新,請參閱 適用於身分識別的 Microsoft Defender 的新功能封存。
2024年12月
新的安全性狀態評估:防止使用任意應用程式原則註冊憑證 (ESC15)
適用於身分識別的Defender已在 Microsoft 安全分數中新增新的 防止憑證註冊與任意應用程式原則 (ESC15 ) 建議。
此建議會直接解決最近發佈的 CVE-2024-49019,其中強調與易受攻擊的 AD CS 設定相關聯的安全性風險。 此安全性狀態評估會列出在客戶環境中因 AD CS 伺服器未修補而找到的所有易受攻擊憑證範本。
新的建議會新增至其他 AD CS 相關建議。 這些評量一起提供安全性狀態報告,其中顯示安全性問題和嚴重錯誤設定,將風險張貼到整個組織,以及相關的偵測。
如需詳細資訊,請參閱:
2024年10月
MDI 正在擴充涵蓋範圍,並提供新的 10 個身分識別狀態建議 (預覽)
) (ISPM 的新身分識別安全性狀態評估可協助客戶監視設定錯誤,方法是監看弱點,並降低內部部署基礎結構上潛在攻擊的風險。
這些新的身分識別建議會作為安全分數Microsoft一部分,是與 Active Directory 基礎結構和組策略對象相關的新安全性狀態報告:
此外,我們已更新「修改不安全的 Kerberos 委派以防止模擬」的現有建議,以包含使用通訊協定轉換至特殊許可權服務的 Kerberos 限制委派指示。
2024 年 8 月
新 Microsoft Entra 連線感測器:
在我們持續努力增強混合式身分識別環境中的 適用於身分識別的 Microsoft Defender 涵蓋範圍時,我們引進了適用於 Microsoft Entra Connect 伺服器的新感測器。 此外,我們也特別針對 Microsoft Entra Connect 發行了新的混合式安全性偵測和新的身分識別狀態建議,協助客戶受到保護並降低潛在風險。
新 Microsoft Entra 聯機身分識別狀態建議:
-
輪替 Microsoft Entra Connect 連接器帳戶的密碼
- 遭入侵的 Microsoft Entra Connect 連接器帳戶 (AD DS 連接器帳戶,通常會顯示為MSOL_XXXXXXXX) 可以授与复写和密码重设等高权限功能的存取权,讓攻擊者修改同步處理設定並危害雲端和內部部署環境中的安全性,以及提供數個路徑來危害整個網域。 在此評量中,我們建議客戶變更上次設定密碼超過90天前的MSOL帳戶密碼。 如需詳細資訊,請按兩下 這裡。
-
拿掉 Microsoft Entra Connect 帳戶的不必要複寫許可權
- 根據預設,Microsoft Entra Connect 連接器帳戶具有廣泛的許可權,可確保 (適當的同步處理,即使實際上不需要) 也一樣。 如果未設定密碼哈希同步,請務必移除不必要的許可權,以減少潛在的受攻擊面。 如需詳細資訊,請按兩下 這裡
-
變更 Microsoft Entra 順暢 SSO 帳戶設定的密碼
- 此報告會列出所有 Microsoft Entra 順暢的 SSO 計算機帳戶,其密碼上次設定時間超過 90 天。 Azure SSO 電腦帳戶的密碼不會每隔 30 天自動變更一次。 如果攻擊者入侵此帳戶,他們可以代表任何用戶產生 AZUREADSSOACC 帳戶的服務票證,並模擬從 Active Directory 同步處理之 Microsoft Entra 租使用者中的任何使用者。 攻擊者可以使用此方法,從 Active Directory 橫向移至 Microsoft Entra ID。 如需詳細資訊,請按兩下 這裡。
新的 Microsoft Entra 連線偵測:
-
可疑的互動式登錄至 Microsoft Entra Connect Server
- 直接登入 Microsoft Entra Connect 伺服器極不尋常且可能為惡意。 攻擊者通常會以這些伺服器為目標,竊取認證以進行更廣泛的網路存取。 適用於身分識別的 Microsoft Defender 現在可以偵測到連線伺服器 Microsoft Entra 異常登入,協助您更快速地識別並回應這些潛在威脅。 當 Microsoft Entra Connect 伺服器是獨立伺服器,而不是以域控制器的身分運作時,它特別適用。
-
Microsoft Entra Connect 帳戶的用戶密碼重設
- Microsoft Entra 連接器帳戶通常具有高許可權,包括重設用戶密碼的能力。 適用於身分識別的 Microsoft Defender 現在可以看見這些動作,並且會偵測識別為惡意和非合法許可權的任何許可權使用方式。 只有在 停用密碼回寫功能 時,才會觸發此警示。
-
在敏感性使用者上 Microsoft Entra Connect 的可疑回寫
- 雖然 Microsoft Entra Connect 已防止特殊許可權群組中的使用者回寫,適用於身分識別的 Microsoft Defender 藉由識別其他類型的敏感性帳戶來擴充此保護。 此增強偵測有助於防止在重要帳戶上進行未經授權的密碼重設,這可能是以雲端和內部部署環境為目標的進階攻擊中的重要步驟。
其他改善和功能:
- 進階搜捕中 『IdentityDirectoryEvents』 資料表中可用的 敏感性帳戶上任何失敗密碼重設 的新活動。 這可協助客戶追蹤失敗的密碼重設事件,並根據此數據建立自定義偵測。
- DC 同步攻擊偵測的增強精確度。
- 如果感測器無法從 Microsoft Entra Connect 服務擷取設定,則會發生新的健康情況問題。
- 在 Microsoft Entra Connect 伺服器上啟用新的感測器,以擴充安全性警示的監視,例如 PowerShell 遠端執行偵測器。
已更新DefenderForIdentity PowerShell模組
DefenderForIdentity PowerShell 模組已更新,並納入新功能並解決數個錯誤修正。 主要改善包括:
-
新增功能
New-MDIDSACmdlet:使用群組受控服務帳戶 (gMSA) 的預設設定,以及建立標準帳戶的選項,簡化服務帳戶的建立。 - 自動 PDCe 偵測:藉由針對大部分 Active Directory 作業自動將主要域控制器模擬器 (PDCe) 設為目標,改善 群組原則 物件 (GPO) 建立可靠性。
-
手動域控制器目標:Cmdlet 的新伺服器參數
Get/Set/Test-MDIConfiguration,可讓您指定要設為目標的域控制器,而不是 PDCe。
如需詳細資訊,請參閱:
2024年7月
6 公開預覽的新偵測:
-
可能的 NetSync 攻擊
- NetSync 是Mimikatz中的模組,這是一種惡意探索後工具,可藉由偽裝成域控制器來要求目標裝置密碼的密碼哈希。 攻擊者可能會使用這項功能在網路內執行惡意活動,以取得組織資源的存取權。
-
可能接管 Microsoft Entra 順暢的 SSO 帳戶
- Microsoft Entra 順暢的 SSO (單一登錄) 帳戶物件 AZUREADSSOACC 已可疑地修改。 攻擊者可能會橫向從內部部署環境移至雲端。
-
可疑的LDAP查詢
- 偵測到與已知攻擊工具相關聯的可疑羽量型目錄存取通訊協定 (LDAP) 查詢。 攻擊者可能正在執行偵察以進行後續步驟。
-
可疑的SPN已新增至使用者
- SPN) (可疑的服務主體名稱已新增至敏感性使用者。 攻擊者可能會嘗試取得提升的存取權,以便在組織內進行橫向移動
-
可疑的ESXi群組建立
- 已在網域中建立可疑的 VMWare ESXi 群組。 這可能表示攻擊者正嘗試取得更多許可權,以供後續在攻擊中執行的步驟使用。
-
可疑的ADFS驗證
- 使用 Active Directory 同盟服務 (ADFS) 從可疑 IP 位址登入的已加入網域帳戶。 攻擊者可能竊取了使用者的認證,並使用該認證在組織中橫向移動。
適用於身分識別的Defender 2.238版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2024 年 6 月
從 ITDR 儀錶板輕鬆地搜捕用戶資訊
Shield 小工具提供混合式、雲端和內部部署環境中用戶數目的快速概觀。 這項功能現在包含進階搜捕平臺的直接連結,提供您指尖的詳細用戶資訊。
ITDR 部署健全狀況小工具現在包含 Microsoft Entra 條件式存取和 Microsoft Entra 私人存取
現在您可以檢視 Microsoft Entra 工作負載條件式存取、Microsoft Entra 用戶條件式存取和 Microsoft Entra 私人存取 的授權可用性。
適用於身分識別的Defender 2.237版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2024 年 5 月
適用於身分識別的Defender 2.236版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.235版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2024 年 4 月
輕鬆偵測 CVE-2024-21427 Windows Kerberos 安全性功能略過弱點
為了協助客戶根據 此弱點進一步識別及偵測略過安全性通訊協議的嘗試,我們已在進階搜捕中新增活動,以監視 Kerberos AS 驗證。
使用此數據,客戶現在可以輕鬆地在 Microsoft Defender 全面偵測回應 內建立自己的自定義偵測規則,並自動觸發這類活動的警示
存取 Defender 全面偵測回應 入口網站 -> 搜捕 -> 進階搜捕。
現在,您可以複製我們建議的查詢,如下所示,然後按兩下 [建立偵測規則]。 請注意,我們提供的查詢也會追蹤失敗的登入嘗試,這可能會產生與潛在攻擊無關的資訊。 因此,您可以隨意自定義查詢,以符合您的特定需求。
IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error = AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId
適用於身分識別的Defender 2.234版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.233版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2024 年 3 月
用於檢視適用於身分識別的Defender設定的新唯讀許可權
現在您可以使用只讀許可權設定適用於身分識別的Defender使用者,以檢視適用於身分識別的Defender設定。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中適用於身分識別的Defender必要許可權。
用於檢視和管理健康情況問題的全新圖形型 API
現在您可以透過 圖形 API 檢視和管理 適用於身分識別的 Microsoft Defender 健康情況問題
如需詳細資訊,請參閱透過 圖形 API 管理健全狀況問題。
適用於身分識別的Defender 2.232版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.231版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2024 年 2 月
適用於身分識別的 Defender 2.230 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
不安全的AD CS IIS端點設定的新安全性狀態評估
適用於身分識別的 Defender 已在 Microsoft 安全分數中新增新的 編輯不安全的 ADCS 憑證註冊 IIS 端點 (ESC8) 建議。
Active Directory 憑證服務 (AD CS) 支援透過各種方法和通訊協定進行憑證註冊,包括使用憑證註冊服務 (CES) 的 HTTP 註冊,或使用 Certsrv) (Web 註冊介面進行註冊。 CES 或 Certsrv IIS 端點的不安全設定可能會造成弱點,以將攻擊轉送 (ESC8) 。
新的 編輯不安全的 ADCS 憑證註冊 IIS 端點 (ESC8) 建議會新增至最近發行的其他 AD CS 相關建議。 這些評量一起提供安全性狀態報告,其中顯示安全性問題和嚴重錯誤設定,將風險張貼到整個組織,以及相關的偵測。
如需詳細資訊,請參閱:
適用於身分識別的 Defender 2.229 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
在預覽) (調整警示閾值的增強用戶體驗
適用於身分識別的 Defender [ 進階設定 ] 頁面現在已重新命名為 [調整警示閾值 ],並提供重新整理的體驗,並增強調整警示閾值的彈性。
![新 [調整警示閾值] 頁面的螢幕快照。](media/whats-new/adjust-alert-thresholds.png#lightbox)
變更包括:
我們已移除先前的 [移除學習期間 ] 選項,並新增了新的 [建議的測試模式] 選項。 選 取 [建議的測試模式 ],將所有閾值層級設定為 [低]、增加警示數目,並將所有其他閾值層級設定為只讀。
先前 的 [敏感度層級] 數據行現在已重新命名為 [臨界值層級],其中包含新定義的值。 根據預設,所有警示都會設定為 高 閾值,代表預設行為和標準警示設定。
下表列出先前 的敏感度層級 值與新的 閾值層級 值之間的對應:
| 前一個名稱 (敏感度層級) | 新名稱) (閾值層級 |
|---|---|
| 一般 | High |
| Medium | Medium |
| High | 低 |
如果您已在 [ 進階設定 ] 頁面上定義特定值,我們已將其傳輸至新的 [調整警示閾值 ] 頁面,如下所示:
| 進階設定頁面組態 | 新增調整警示閾值頁面設定 |
|---|---|
| 拿掉切換 開啟的學習期間 |
建議的測試模式 已關閉。 警示閾值組態設定維持不變。 |
| 拿掉已關閉的學習期間 |
建議的測試模式 已關閉。 警示閾值組態設定全都會重設為預設值,且具有 高 閾值層級。 |
如果選取 [ 建議的測試模式 ] 選項,或閾值層級設定為 [中 ] 或 [ 低],不論警示的學習期間是否已完成,警示一律會立即觸發。
如需詳細資訊,請 參閱調整警示閾值。
裝置詳細數據頁面現在包含預覽) (裝置描述
Microsoft Defender 全面偵測回應 現在會在裝置詳細數據窗格和裝置詳細數據頁面上包含裝置描述。 描述會從裝置的 [Active Directory 描述 ] 屬性填入。
例如,在裝置詳細數據側邊窗格上:
![裝置詳細數據窗格上 [新裝置描述] 字段的螢幕快照。](media/whats-new/device-description.png#lightbox)
如需詳細資訊,請 參閱可疑裝置的調查步驟。
適用於身分識別的Defender 2.228版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正,以及下列新警示:
- 帳戶列舉偵察 (LDAP) (外部標識碼 2437) (Preview)
- 目錄服務還原模式密碼變更 (外部標識碼 2438) (預覽)
2024 年 1 月
適用於身分識別的Defender 2.227版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
已為群組實體新增 [時程表] 索引標籤
現在您可以檢視過去 180 天內的 Active Directory 群組實體相關活動和警示 Microsoft Defender 全面偵測回應,例如群組成員資格變更、LDAP 查詢等等。
若要存取群組時程表頁面,請選取 [群組詳細數據] 窗格上的 [ 開啟時程表 ]。
例如:
![群組實體詳細數據窗格上 [開啟時程表] 按鈕的螢幕快照。](media/whats-new/group-timeline.png#lightbox)
如需詳細資訊,請 參閱可疑群組的調查步驟。
透過PowerShell設定及驗證適用於身分識別的Defender環境
適用於身分識別的 Defender 現在支援新的 DefenderForIdentity PowerShell 模組,其設計目的是協助您設定及驗證環境以使用 適用於身分識別的 Microsoft Defender。
使用 PowerShell 命令來避免設定錯誤並節省時間,並避免系統上不必要的負載。
我們已將下列程式新增至適用於身分識別的 Defender 檔,以協助您使用新的 PowerShell 命令:
- 使用 PowerShell 變更 Proxy 設定
- 使用 PowerShell 設定、取得及測試稽核原則
- 透過PowerShell產生具有目前設定的報表
- 透過PowerShell測試您的 DSA 許可權和委派
- 使用 PowerShell 測試服務連線能力
如需詳細資訊,請參閱:
適用於身分識別的Defender 2.226版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.225版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2023 年 12 月
注意事項
如果您看到遠端 程式代碼執行嘗試 警示數目減少,請參閱我們更新的 9 月公告,其中包括適用於身分識別 的 Defender 偵測邏輯的更新。 適用於身分識別的 Defender 會如先前一樣繼續記錄遠端程式代碼執行活動。
Microsoft 365 Defender (Preview) 的新身分識別區域和儀錶板
適用於身分識別的 Defender 客戶現在在 Microsoft 365 Defender 中有新的身 分識別區域,以取得適用於身分識別的 Defender 的身分識別安全性相關信息。
在 Microsoft 365 Defender 中,選取 [ 身分識別 ] 以查看下列任何新頁面:
儀錶板:此頁面會顯示圖表和小工具,以協助您監視身分識別威脅偵測和響應活動。 例如:
如需詳細資訊,請 參閱使用適用於身分識別的DefenderITDR儀錶板。
健康情況問題:此頁面會從 [設定身>分識別] 區域移動,並列出適用於身分識別的一般 Defender 部署和特定感測器的任何目前健康情況問題。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 感測器健康情況問題。
工具:此頁面包含使用適用於身分識別的 Defender 時,實用資訊和資源的連結。 在此頁面上,尋找檔的連結,特別是關於 容量規劃工具和 Test-MdiReadiness.ps1 腳本。
適用於身分識別的 Defender 2.224 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
AD CS 感測器的安全性狀態評估 (預覽)
適用於身分識別的Defender安全性狀態評估會在您的 內部部署的 Active Directory 組態中主動偵測並建議動作。
建議的動作現在包含下列新的安全性狀態評估,特別是針對證書範本和證書頒發機構單位。
憑證範本建議的動作:
證書頒發機構單位建議的動作:
新的評量適用於Microsoft安全分數、顯示安全性問題,以及對整個組織造成風險的嚴重設定錯誤,以及偵測。 您的分數會隨之更新。
例如:
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估。
注意事項
雖然 證書範本 評估適用於在其環境中安裝 AD CS 的所有客戶,但 證書頒發機構單位 評定僅適用於已在 AD CS 伺服器上安裝感測器的客戶。 如需詳細資訊,請 參閱 Active Directory 憑證服務的新感測器類型 (AD CS) 。
適用於身分識別的Defender 2.223版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.222版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.221版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2023 年 11 月
適用於身分識別的 Defender 2.220 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的 Defender 2.219 版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
身分識別時程表包含超過 30 天的數據 (預覽)
適用於身分識別的 Defender 正逐漸推出身分識別詳細數據的延伸數據保留期,超過 30 天。
身分識別詳細數據頁面 [時程表] 索引標籤包含來自適用於身分識別的Defender、Microsoft Defender for Cloud Apps和 適用於端點的 Microsoft Defender的活動,目前至少包含150天且正在成長。 未來幾周的數據保留率可能會有一些變化。
若要在特定時間範圍內檢視身分識別時程表的活動和警示,請選取預設 的 [30 天] ,然後選取 [ 自定義範圍]。 超過 30 天前的篩選數據一次最多顯示 7 天。
例如:
如需詳細資訊,請參閱調查資產和調查 Microsoft Defender 全面偵測回應 中的使用者。
適用於身分識別的Defender 2.218版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2023 年 10 月
適用於身分識別的Defender 2.217版
此版本包含下列改善:
摘要報告:摘要報告會更新為在 [ 健康情況問題 ] 索引標籤中包含兩個新數據行:
- 詳細數據:問題的其他相關信息,例如受影響的物件清單或發生問題的特定感測器。
- 建議:可採取來解決問題的建議動作清單,或如何進一步調查問題。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 (Preview) 中下載及排程適用於身分識別的 Defender 報告。
健康情況問題:已新增 [ 移除學習期間] 切換已針對此租使用者 健康情況問題自動關閉
此版本也包含雲端服務和適用於身分識別的 Defender 感測器的錯誤修正。
適用於身分識別的Defender 2.216版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
2023 年 9 月
減少遠端程式代碼執行嘗試的警示數目
為了更妥善地對齊適用於身分識別的 Defender 並 適用於端點的 Microsoft Defender 警示,我們更新了適用於身分識別的 Defender 遠端程式代碼執行嘗試偵測的偵測邏輯。
雖然這項變更會導致 遠端程式代碼執行嘗試 警示數目減少,但適用於身分識別的 Defender 會繼續記錄遠端程式代碼執行活動。 客戶可以繼續建置自己的 進階搜捕查詢 ,並建立 自定義偵測原則。
警示敏感度設定和學習期間增強功能
某些適用於身分識別的 Defender 警示會在觸發警示之前等候 學習期間 ,同時建立區分合法和可疑活動時所使用的模式配置檔。
適用於身分識別的 Defender 現在為學習期間體驗提供下列增強功能:
系統管理員現在可以使用 [移除學習期間 ] 設定來設定用於特定警示的敏感度。 將敏感度定義為 [一般 ],針對選取的警示類型,將 [ 移除學習期間 ] 設定設為 [關閉 ]。
在新的適用於身分識別的 Defender 工作區中部署新的感測器之後,[ 移除學習期間 ] 設定會 自動開啟 30 天。 當 30 天完成時,[ 移除學習期間 ] 設定會自動關閉 , 警示敏感度層級會傳回其預設功能。
若要讓適用於身分識別的 Defender 使用標準學習期間功能,在學習期間完成之前不會產生警示,請將 [ 移除學習期間 ] 設定為 [ 關閉]。
如果您先前已更新 [ 移除學習期間 ] 設定,您的設定會維持在您設定的狀態。
如需詳細資訊,請參閱 進階設定。
注意事項
[進階設定] 頁面原本會將 [移除學習期間] 選項下的 [帳戶列舉偵察] 警示列為可設定的敏感度設定。 此警示已從清單中移除,並由 安全性主體偵察 (LDAP) 警示取代。 此使用者介面 Bug 已於 2023 年 11 月修正。
適用於身分識別的Defender 2.215版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的 Defender 報告已移至主要報表區域
現在您可以從 Microsoft Defender 全面偵測回應 的主要 [報表] 區域,而不是 [設定] 區域存取適用於身分識別的Defender報告。 例如:
![主要 [報表] 區域中適用於身分識別的Defender報表存取權的螢幕快照。](media/whats-new/reports-main-area.png)
如需詳細資訊,請參閱下載並排程 Microsoft Defender 全面偵測回應 (Preview) 中的適用於身分識別的 Defender 報告。
Microsoft Defender 全面偵測回應 中群組的 [搜捕] 按鈕
適用於身分識別的Defender已在 Microsoft Defender 全面偵測回應 中新增群組的 [搜捕] 按鈕。 使用者可以在調查期間使用 [搜捕 ] 按鈕來查詢群組相關的活動和警示。
例如:
![群組詳細數據窗格上新 [Go 搜捕] 按鈕的螢幕快照。](media/whats-new/go-hunt-groups.png)
如需詳細資訊,請 參閱使用 Go 搜捕快速搜捕實體或事件資訊。
適用於身分識別的Defender 2.214版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
效能增強功能
適用於身分識別的 Defender 在將即時事件從適用於身分識別的 Defender 服務傳輸至 Microsoft Defender 全面偵測回應 時,對延遲、穩定性和效能進行了內部改善。 客戶應該不會預期適用於身分識別的Defender資料不會出現在Microsoft Defender 全面偵測回應中,例如進階搜捕的警示或活動。
如需詳細資訊,請參閱:
- 適用於身分識別的 Microsoft Defender 中的安全性警示
- 適用於身分識別的 Microsoft Defender的安全性狀態評估
- 在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅
2023 年 8 月
適用於身分識別的Defender 2.213版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.212版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
適用於身分識別的Defender 2.211版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。
Active Directory 憑證服務 (AD CS) 的新感測器類型
適用於身分識別的Defender現在支援已設定Active Directory 憑證服務 (AD CS) 專用伺服器的新 ADCS 感測器類型。
您會在 Microsoft Defender 全面偵測回應 的 [設定>>身分識別感測器] 頁面中看到識別出的新感測器類型。 如需詳細資訊,請參閱管理和更新 適用於身分識別的 Microsoft Defender 感測器。
搭配新的感測器類型,適用於身分識別的 Defender 現在也提供相關的 AD CS 警示和安全分數報告。 若要檢視新的警示和安全分數報告,請確定您的伺服器上已收集並記錄必要的事件。 如需詳細資訊, 請參閱設定 Active Directory 憑證服務的稽核 (AD CS) 事件。
AD CS 是一種 Windows Server 角色,可在安全通訊和驗證通訊協定中發出和管理公鑰基礎結構 (PKI) 憑證。 如需詳細資訊,請 參閱什麼是 Active Directory 憑證服務?
適用於身分識別的Defender 2.210版
此版本包含雲端服務和適用於身分識別的 Defender 感測器的改善和錯誤修正。