Identity용 Microsoft Defender의 새로운 기능

이 문서는 Microsoft Defender for Identity 최신 릴리스의 새로운 기능과 관련한 정보를 알리기 위해 자주 업데이트됩니다.

새로운 scope 및 참조

Defender for Identity 릴리스는 고객 테넌트 간에 점진적으로 배포됩니다. 테넌트에서 아직 표시되지 않는 기능이 여기에 문서화된 경우 나중에 업데이트를 위해 다시 검사.

자세한 내용은 다음을 참조하세요.

• Microsoft Defender XDR의 새로운 기능
• 엔드포인트용 Microsoft Defender의 새로운 기능
• 클라우드 앱용 Microsoft Defender의 새로운 기능

6개월 전 또는 그 이전에 릴리스된 버전 및 기능에 대한 업데이트는 Microsoft Defender for Identity 대한 새로운 기능 아카이브를 참조하세요.

2025년 12월

Graph-API의 'sensorCandidate' 리소스 종류에 대한 새 속성(미리 보기)

이 기능은 현재 미리 보기로 제공되며 API 베타 버전에서 사용할 수 있습니다. 자세한 내용은 여기를 참조하세요.

고급 헌팅에서 ADWS LDAP 검색

이제 고급 헌팅의 'IdentityQueryEvents' 테이블에서 새 ADWS LDAP 검색 작업을 사용할 수 있습니다. 이를 통해 ADWS를 통해 수행되는 디렉터리 쿼리에 대한 가시성을 제공하여 고객이 이러한 작업을 추적하고 이 데이터를 기반으로 사용자 지정 검색을 만들 수 있습니다.

2025년 11월

Defender for Identity 센서 v3.x(미리 보기)에 대한 자동 Windows 이벤트 감사 구성

Defender for Identity는 센서 v3.x에 대한 자동 Windows 이벤트 감사를 서서히 롤아웃하고, 새 센서에 필요한 감사 설정을 적용하고 기존 센서의 잘못된 구성을 수정하여 배포를 간소화합니다. 사용 가능해지면 Defender 포털의 고급 설정 섹션에서 또는 Graph API 사용하여 자동 Windows 이벤트 감사를 사용하도록 설정할 수 있습니다.

ID 인벤토리 개선 사항: 계정 탭, 수동 계정 연결 및 연결 해제 및 확장된 수정 작업

이제 Microsoft Defender for Identity 다음과 같은 새로운 기능을 사용할 수 있습니다.

ID 인벤토리의 계정 탭:

새 계정 탭은 Active Directory, Microsoft Entra ID 및 지원되는 타사 ID 공급자의 계정을 포함하여 ID와 연결된 모든 계정의 통합 보기를 제공합니다. 자세한 내용은 ID에 계정 연결 또는 연결 해제(미리 보기)를 참조하세요.

계정의 수동 링크 및 연결 해제:

이제 계정 탭에서 ID에서 직접 계정을 수동으로 연결하거나 연결을 해제할 수 있습니다. 이 기능은 다양한 디렉터리 원본의 ID 구성 요소를 상호 연결하고 조사 중에 완전한 ID 컨텍스트를 제공하는 데 도움이 됩니다. 자세한 내용은 ID에 계정 연결 또는 연결 해제(미리 보기)를 참조하세요.

ID 수준 수정 작업:

이제 ID에 연결된 하나 이상의 계정에서 계정 비활성화 또는 암호 재설정과 같은 수정 작업을 수행할 수 있습니다. 자세한 내용은 수정 작업을 참조하세요.

새 보안 태세 평가: 잠재적으로 유출된 자격 증명을 사용하여 온-프레미스 계정의 암호 변경(미리 보기)

새 보안 태세 평가는 유효한 자격 증명이 유출된 사용자를 나열합니다. 자세한 내용은 잠재적으로 유출된 자격 증명을 사용하여 온-프레미스 계정의 암호 변경(미리 보기)을 참조하세요.

센서 버전 업데이트 Microsoft Defender for Identity

ID 범위 확장: 조직 단위 지원(미리 보기)

몇 달 전 Active Directory 도메인에 의한 범위 지정의 GA 릴리스 외에도 이제 XDR URBAC(사용자 Role-Based Access Control)의 일부로 OU(조직 구성 단위)로 scope 수 있습니다. 이러한 향상된 기능은 보안 분석에 포함되는 엔터티 및 리소스를 더욱 세부적으로 제어할 수 있습니다.

자세한 내용은 Microsoft Defender for Identity 범위가 지정된 액세스 구성을 참조하세요.

2025년 10월

이제 Microsoft Defender for Identity 센서 v3.x를 GA(일반 공급)로 출시하게 되어 기쁩니다. Microsoft Defender for Identity 센서 v3.x는 향상된 적용 범위, 사용자 환경 전반의 성능 향상 및 도메인 컨트롤러에 대한 보다 쉬운 배포 및 관리를 제공합니다.

센서 버전 업데이트 Microsoft Defender for Identity

2025년 9월

통합 Defender 경고 환경으로 전환된 MDI 경고

Microsoft Defender 제품에서 통합 경고 환경으로의 지속적인 전환의 일환으로 다음 경고는 Microsoft Defender for Identity 클래식 형식에서 MDI XDR 경고 형식으로 변환되었습니다. 모든 경고는 Defender for Identity 센서의 검색을 기반으로 합니다.

Defender for Identity 센서 v3.x의 추가 보안 값

향상된 보호를 위해 자산 규칙 관리 페이지의 Defender for Identity 센서 v3.x에 통합 센서 RPC 감사 태그를 적용합니다. 자세한 내용은 여기에 있습니다.

ID 페이지의 ID 상태 권장 사항 보기(미리 보기)

ID 프로필 페이지에 모든 ISPM(활성 ID 관련 ID 보안 상태 평가)이 포함된 새 탭이 추가되었습니다. 이 기능은 모든 ID별 보안 태세 평가를 단일 컨텍스트 보기로 통합하여 보안 팀이 신속하게 약점을 발견하고 대상 작업을 수행할 수 있도록 지원합니다. 자세한 내용은 Microsoft Defender XDR 사용자 조사를 참조하세요.

새로운 지역 가용성: 아랍에미리트

Defender for Identity 데이터 센터는 이제 아랍에미리트, 북부 및 중부 지역에도 배포됩니다. 최신 지역 배포 목록은 Defender for Identity 데이터 위치를 참조하세요.

Defender for Identity 센서 v3.x에 대한 새로운 API 지원(미리 보기)

Defender for Identity 센서 v3.x 서버 작업을 관리하기 위한 새로운 그래프 기반 API의 가용성을 발표하게 되어 기쁩니다. 이 기능은 현재 미리 보기로 제공되며 API 베타 버전에서 사용할 수 있습니다.

이 API를 통해 고객은 다음을 수행할 수 있습니다.

• Defender for Identity 센서 v3.x를 사용하여 배포된 서버의 상태 모니터링합니다.
• 적격 서버의 자동 활성화를 사용하거나 사용하지 않도록 설정합니다.
• 적격 서버에서 센서를 활성화하거나 비활성화합니다.

자세한 내용은 Graph API 사용하여 Defender for Identity 센서 v3.x 작업 관리를 참조하세요.

센서 버전 업데이트 Microsoft Defender for Identity

노이즈를 줄이고 경고 정확도를 개선하기 위해 여러 검색에 업데이트

노이즈를 줄이고 정확도를 향상시키기 위해 여러 Defender for Identity 검색을 업데이트하여 경고를 보다 안정적이고 실행 가능하게 만듭니다. 롤아웃이 계속되면 발생한 경고 수가 감소할 수 있습니다.

개선 사항은 다음 검색에서 점진적으로 적용됩니다.

• DNS를 통한 의심스러운 통신
• 의심되는 Netlogon 권한 상승 시도(CVE-2020-1472)
• Honeytoken 인증 활동
• DNS를 통해 원격 코드 실행 시도
• Microsoft Entra Connect 계정으로 의심스러운 암호 재설정
• SMB를 통한 데이터 반출
• 의심되는 스켈레톤 키 공격(암호화 다운그레이드)
• 컴퓨터 계정에 의한 리소스 기반 제한 위임의 의심스러운 수정
• 원격 코드 실행 시도

이제 Okta Single Sign-On 커넥터에 통합 커넥터를 사용할 수 있습니다(미리 보기).

Microsoft Defender for Identity Okta Single Sign-On 커넥터부터 통합 커넥터 환경을 지원합니다. 이를 통해 Defender for Identity는 Okta 시스템 로그를 한 번 수집하고 지원되는 Microsoft 보안 제품 간에 공유할 수 있으므로 API 사용량이 줄어들고 커넥터 효율성이 향상됩니다.

자세한 내용은 okta를 Microsoft Defender for Identity 연결(미리 보기)을 참조하세요.

2025년 8월

Microsoft Entra ID 위험 수준은 이제 Microsoft Defender for Identity 거의 실시간으로 사용할 수 있습니다(미리 보기).

Microsoft Entra ID 위험 수준은 이제 ID 인벤토리 자산 페이지, ID 세부 정보 페이지 및 고급 헌팅의 IdentityInfo 테이블에서 사용할 수 있으며 Microsoft Entra ID 위험 점수를 포함합니다. SOC 분석가는 이 데이터를 사용하여 위험한 사용자를 중요하거나 권한이 높은 사용자와 상호 연결하고, 현재 또는 과거 사용자 위험에 따라 사용자 지정 검색을 만들고, 조사 컨텍스트를 개선할 수 있습니다.

이전에는 Defender for Identity 테넌트가 UEBA(사용자 및 엔터티 동작 분석)를 통해 IdentityInfo 테이블에서 Microsoft Entra ID 위험 수준을 받았습니다. 이 업데이트를 통해 Microsoft Entra ID 위험 수준이 Microsoft Defender for Identity 통해 거의 실시간으로 업데이트됩니다.

Microsoft Defender for Identity 라이선스가 없는 UEBA 테넌트에서 Microsoft Entra ID 위험 수준을 IdentityInfo 테이블로 동기화하는 것은 변경되지 않습니다.

새 보안 평가: 비활성 서비스 계정 제거

이제 Microsoft Defender for Identity organization 비활성 서비스 계정을 식별하고 제거하는 데 도움이 되는 새로운 보안 평가가 포함되어 있습니다. 이 평가는 사용되지 않는 계정과 관련된 보안 위험을 완화하는 데 도움이 되도록 지난 90일 동안 비활성 상태였던 Active Directory 서비스 계정을 나열합니다.

자세한 내용은 보안 평가: 비활성 서비스 계정 제거(미리 보기)를 참조하세요.

응답 작업을 위한 새 그래프 기반 API(미리 보기)

Microsoft Defender for Identity 수정 작업을 시작하고 관리하기 위한 새로운 그래프 기반 API를 발표하게 되어 기쁩니다.

이 기능은 현재 미리 보기로 제공되며 API 베타 버전에서 사용할 수 있습니다.

자세한 내용은 Graph API 통해 응답 작업 관리를 참조하세요.

ID 범위 지정이 이제 GA(일반 공급)

이제 ID 범위 지정이 모든 환경에서 일반 공급됩니다. 이제 조직은 MDI 모니터링의 scope 정의하고 구체화하고 보안 분석에 포함된 엔터티 및 리소스를 세부적으로 제어할 수 있습니다.

자세한 내용은 Microsoft Defender for Identity 범위가 지정된 액세스 구성을 참조하세요.

새 보안 상태 평가: Active Directory 계정 특성에서 검색 가능한 암호 제거(미리 보기)

새로운 보안 태세 평가는 암호 또는 자격 증명 단서를 포함하는 보안되지 않은 Active Directory 특성을 강조하고 이를 제거하는 단계를 권장하여 ID 손상 위험을 줄이는 데 도움이 됩니다.

자세한 내용은 보안 평가: Active Directory 계정 특성에서 검색 가능한 암호 제거(미리 보기)를 참조하세요.

센서 버전 업데이트 Microsoft Defender for Identity

탐지 업데이트: 의심되는 무차별 암호 대입 공격(Kerberos, NTLM)

공격 중에 계정이 잠긴 시나리오를 포함하도록 검색 논리가 향상되었습니다. 결과적으로 트리거된 경고의 수가 증가할 수 있습니다.

2025년 7월

ITDR 배포 상태 위젯의 확장된 적용 범위

이제 ITDR(IDENTITY Threat Detection and Response) 배포 상태 위젯은 추가 서버 유형의 배포 상태 대한 가시성을 제공합니다. 이전에는 Active Directory 도메인 컨트롤러에 대한 상태만 반영했습니다. 이 업데이트를 통해 위젯에는 ADFS, ADCS 및 Microsoft Entra Connect 서버에 대한 배포 상태 포함되어 지원되는 모든 ID 인프라에서 전체 센서 검사를 더 쉽게 추적하고 보장할 수 있습니다.

권장 테스트 모드에 추가된 시간 제한

경고 임계값 조정 페이지에서 권장되는 테스트 모드 구성을 사용하려면 이제 만료 시간(최대 60일)을 설정해야 합니다. 테스트 모드가 활성 상태인 동안 종료 시간이 토글 옆에 표시됩니다. 이미 권장 테스트 모드를 사용하도록 설정한 고객의 경우 60일 만료가 자동으로 적용됩니다.

이제 거버넌스 환경에서 ID 범위 지정을 사용할 수 있습니다.

범위 지정은 이제 정부(GOV) 환경에서 지원됩니다. 이제 조직은 MDI 모니터링의 scope 정의하고 구체화하고 보안 분석에 포함된 엔터티 및 리소스를 세부적으로 제어할 수 있습니다.

자세한 내용은 Microsoft Defender for Identity 범위가 지정된 액세스 구성을 참조하세요.

모니터링되지 않는 ID 서버에 대한 새로운 보안 태세 평가

Microsoft Defender for Identity 세 가지 새로운 보안 태세 평가는 Microsoft Entra Connect, Active Directory Federation Services(ADFS) 또는 ADCS(Active Directory Certificate Services) 서버가 사용자 환경에 있지만 모니터링되지 않는 경우 감지됩니다..

이러한 평가를 사용하여 모니터링 범위를 개선하고 하이브리드 ID 보안 태세를 강화합니다.

자세한 내용은 다음 항목을 참조하세요.

보안 평가: 모니터링되지 않는 ADCS 서버

보안 평가: 모니터링되지 않는 ADFS 서버

보안 평가: 모니터링되지 않는 Microsoft Entra Connect 서버

2025년 6월

이제 Active Directory 도메인의 범위가 지정된 액세스가 지원됨(미리 보기)

MDI 범위 지정은 이제 XDR URBAC(사용자 Role-Based Access Control)의 일부로 사용할 수 있습니다. 이제 조직은 MDI 모니터링의 scope 정의하고 구체화하여 보안 분석에 포함되는 엔터티와 리소스를 세부적으로 제어할 수 있습니다.

Active Directory 도메인을 기준으로 범위 지정하면 다음을 수행할 수 있습니다.

• 성능 최적화: 중요한 자산에 대한 모니터링에 집중하고 필수적이지 않은 데이터의 노이즈를 줄입니다.

• 가시성 제어 향상: 특정 도메인 및 사용자 그룹에 MDI 적용 범위를 조정합니다.

• 운영 경계 지원: SOC 분석가, ID 관리자 및 지역 팀에 대한 액세스를 조정합니다.

자세한 내용은 Microsoft Defender for Identity 범위가 지정된 액세스 구성을 참조하세요.

이제 Microsoft Defender for Identity Okta 통합을 사용할 수 있습니다.

이제 Microsoft Defender for Identity Okta와의 통합을 지원하여 클라우드 및 온-프레미스 환경에서 ID 기반 위협을 검색할 수 있습니다. 이 통합은 의심스러운 로그인, 위험한 역할 할당 및 Okta 환경 내에서 잠재적인 권한 오용을 식별하는 데 도움이 됩니다.

필수 구성 요소 및 구성 단계는 okta와 Microsoft Defender for Identity 통합을 참조하세요.

이제 서비스 계정 분류 규칙을 사용할 수 있습니다.

이제 사용자 지정 분류 규칙을 만들어 organization 특정 기준에 따라 서비스 계정을 식별할 수 있습니다. 이렇게 하면 자동 검색이 보완되어 서비스 계정을 보다 정확하게 식별할 수 있습니다. 자세한 내용은 서비스 계정 검색을 참조하세요.

Defender For Identity PowerShell 모듈 업데이트(버전 1.0.0.4)

새로운 기능 및 개선 사항:

• 원격 도메인 기능이 추가되었습니다.
• 엔드포인트 URL을 알리기 위해 Test-MDISensorApiConnection SensorType 매개 변수가 추가되었습니다.
• 삭제된 개체 컨테이너 권한을 가져오기/설정/테스트하는 기능이 추가되었습니다.
• DomainObjectAuditing 구성에 dMSA(위임된 관리 서비스 계정)에 대한 감사가 추가되었습니다.

버그 수정:

• 영어가 아닌 운영 체제에 대한 감사 확인 검사가 수정되었습니다.
• DomainObjectAuditing ID 중복 매개 변수 버그가 수정되었습니다.
• AD 웹 서비스가 서버에서 실행 중인지 확인하기 위한 도메인 컨트롤러 검색 논리가 수정되었습니다.
• Test-MDIDSA에서 삭제된 개체 권한을 구문 분석하지 않는 문제가 해결되었습니다.
• 기타 안정성 수정.

2025년 5월

활성화 페이지에서 Defender for Identity 새 센서 자격에 대한 가시성 향상

이제 활성화 페이지에 새 Defender for Identity 센서에 적합하지 않은 서버를 포함하여 디바이스 인벤토리의 모든 서버가 표시됩니다. 이러한 향상된 기능을 통해 센서 자격에 대한 투명성이 향상되어 부적격 서버를 식별하고 향상된 ID 보호를 위해 업데이트하고 온보딩하는 조치를 취할 수 있습니다.

로컬 관리자 컬렉션(SAM-R 쿼리 사용) 기능이 비활성화됨

Microsoft Defender for Identity SAM-R 쿼리를 사용하는 엔드포인트에서 로컬 관리자 그룹 구성원의 원격 컬렉션은 2025년 5월 중순까지 사용하지 않도록 설정됩니다. 이 데이터는 현재 잠재적인 횡적 이동 경로 맵을 빌드하는 데 사용되며, 이 변경 후에는 더 이상 업데이트되지 않습니다. 다른 방법을 탐색하고 있습니다. 변경은 지정된 날짜까지 자동으로 발생하며 관리 작업이 필요하지 않습니다.

새 상태 문제

VMware에서 실행되는 센서가 네트워크 구성이 일치하지 않는 경우의 새로운 상태 문제 입니다.

2025년 4월

이제 Defender for Identity 인벤토리에 표시되는 권한 있는 ID 태그

이제 Microsoft Defender 포털의 ID 인벤토리에 나열된 ID에는 Privileged Identity Management(PIM) 서비스에서 관리하는 계정에 대한 Privileged 계정 태그가 포함됩니다. 권한 있는 계정은 공격자의 주요 대상입니다. 인벤토리에 태그를 지정하면 고위험 또는 고부가가치 계정을 신속하게 식별하고, 조사 및 완화 작업의 우선 순위를 지정하고, 인시던트 대응 워크플로를 간소화할 수 있습니다.

Privileged Identity Management 대해 자세히 알아보세요.

새 Defender for Identity 및 PAM 통합

Microsoft Defender for Identity 이제 업계 최고의 PAM(Privileged Access Management) 플랫폼과의 통합을 지원하여 권한 있는 ID에 대한 검색 및 응답을 향상시킵니다.

지원되는 PAM 공급업체:

• CyberArk
• 데릴네아 주
• BeyondTrust

자세한 내용은 통합 Defender for Identity 및 PAM 서비스를 참조하세요.

2025년 3월

새 서비스 계정 검색 페이지

이제 Microsoft Defender for Identity 서비스 계정 검색 기능이 포함되어 Active Directory 환경 전반의 서비스 계정에 대한 중앙 집중식 가시성을 제공합니다.

이 업데이트는 다음을 제공합니다.

• 그룹 관리 서비스 계정, 관리 서비스 계정 및 서비스 계정으로 작동하는 사용자 계정의 자동 식별

• 계정 유형, 인증 유형, 고유 연결, 마지막 로그온, 서비스 클래스 및 중요도와 같은 주요 특성을 표시하는 중앙 집중식 서비스 계정 인벤토리입니다.

• 개요, 활동 타임라인, 경고 및 새 연결 탭을 포함한 서비스 계정 세부 정보 페이지입니다.

자세한 내용은 다음을 참조하세요. 서비스 계정 조사 및 보호 | Microsoft Defender for Identity.

향상된 ID 인벤토리

자산 아래의 ID 페이지는 환경 전체에서 ID를 더 잘 표시하고 관리할 수 있도록 업데이트되었습니다. 이제 업데이트된 ID 인벤토리 페이지에 다음 탭이 포함됩니다.

• ID: Microsoft Entra ID Active Directory 전체의 ID에 대한 통합 보기입니다. 이 ID 탭은 ID 유형 및 사용자 정보를 포함한 주요 세부 정보를 강조 표시합니다.

• 클라우드 애플리케이션 계정: 애플리케이션 커넥터 및 타사 원본(Microsoft Defender for Cloud Apps 기반으로 이전 버전에서 원래 사용 가능)의 클라우드 애플리케이션 계정 목록을 표시합니다.

자세한 내용은 ID 인벤토리 세부 정보를 참조하세요.

고급 헌팅의 IdentityQueryEvents 테이블에 추가된 새 LDAP 쿼리 이벤트

고객 환경에서 실행되는 추가 LDAP 검색 쿼리에 IdentityQueryEvents 대한 가시성을 제공하기 위해 고급 헌팅의 테이블에 새 LDAP 쿼리 이벤트가 추가되었습니다.

2025년 2월

DefenderForIdentity PowerShell 모듈 업데이트(버전 1.0.0.3)

새로운 기능 및 개선 사항:

• Get/Set/Test MDI 구성에서 Active Directory 휴지통 가져오기, 테스트 및 설정에 대한 지원
• 새 MDI 센서에서 프록시 구성을 가져오고 테스트하고 설정하기 위한 지원
• 이제 감사 필터링을 위한 Active Directory Certificate Services 레지스트리 값이 형식을 올바르게 설정합니다.
• 이제 New-MDIConfigurationReport 테스트된 GPO의 이름을 표시하고 서버 및 ID 인수를 지원합니다.

버그 수정:

• 영어가 아닌 운영 체제에 대한 DeletedObjects 컨테이너 권한에 대한 안정성이 향상되었습니다.
• KDS 루트 키 만들기에 대한 불필요한 출력이 수정되었습니다.
• 기타 안정성 수정.

ID 프로필 페이지의 새 공격 경로 탭

이 탭은 위험 ID로 이어지는 잠재적 공격 경로에 대한 가시성을 제공하거나 경로 내에서 관련시켜 보안 위험을 평가하는 데 도움이 됩니다. 자세한 내용은 노출 관리 내의 공격 경로 개요를 참조하세요.

추가 ID 페이지 개선 사항:

• 사용자 타임라인 각 항목에 대한 자세한 정보가 포함된 새 측면 패널입니다.

• organization 관찰됨 아래의 디바이스 탭에서 필터링 기능

'Microsoft LAPS를 사용하여 로컬 관리자 암호 보호 및 관리' 상태 권장 사항 업데이트

이 업데이트는 보안 점수 내의 보안 상태 평가를 최신 버전의 Windows LAPS와 일치시켜 로컬 관리자 암호를 관리하기 위한 현재 보안 모범 사례를 반영합니다.

고급 헌팅 IdentityDirectoryEvents 테이블의 새 이벤트 및 업데이트된 이벤트

고급 헌팅의 테이블에서 다음 이벤트를 IdentityDirectoryEvents 추가하고 업데이트했습니다.

• 사용자 계정 컨트롤 플래그가 변경되었습니다.
• Active Directory에서 보안 그룹 만들기
• 계정 암호를 변경하지 못했습니다.
• 계정 암호 변경 성공
• 계정 기본 그룹 ID가 변경되었습니다.

또한 Microsoft Defender XDR 고급 헌팅에 대한 기본 제공 스키마 참조가 ID 관련 테이블에 지원되는 모든 이벤트 유형(ActionType값)에 대한 자세한 정보를 포함하도록 업데이트되어 사용 가능한 이벤트에 대한 완전한 가시성을 보장합니다. 자세한 내용은 고급 헌팅 스키마 세부 정보를 참조하세요.

2025년 1월

새 ID 가이드 투어

Microsoft 365 포털에서 새 ID 둘러보기를 사용하여 주요 MDI 기능을 살펴봅니다. 인시던트, 헌팅 및 설정을 탐색하여 ID 보안 및 위협 조사를 향상시킵니다.

2024년 12월

새 보안 태세 평가: 임의 애플리케이션 정책을 사용하여 인증서 등록 방지(ESC15)

Defender for Identity는 Microsoft 보안 점수에 ESC15(임의 애플리케이션 정책) 권장 사항을 사용하여 인증서 등록 방지 를 새로 추가했습니다.

이 권장 사항은 취약한 AD CS 구성과 관련된 보안 위험을 강조하는 최근에 게시된 CVE-2024-49019를 직접 다룹니다. 이 보안 태세 평가는 패치되지 않은 AD CS 서버로 인해 고객 환경에 있는 모든 취약한 인증서 템플릿을 나열합니다.

새 권장 사항이 다른 AD CS 관련 권장 사항에 추가됩니다. 이러한 평가는 보안 문제와 전체 organization 위험을 초래하는 심각한 잘못된 구성을 관련 검색과 함께 표시하는 보안 태세 보고서를 제공합니다.

자세한 내용은 다음 항목을 참조하세요.

• 보안 평가: 임의 애플리케이션 정책을 사용하여 인증서 등록 방지(ESC15)
• Microsoft Defender for Identity 보안 태세 평가

2024년 10월

MDI는 새로운 10개의 ID 상태 권장 사항(미리 보기)을 사용하여 적용 범위를 확장하고 있습니다.

새로운 ISPM(ID 보안 태세 평가)은 고객이 약점을 감시하여 잘못된 구성을 모니터링하고 온-프레미스 인프라에 대한 잠재적 공격의 위험을 줄이는 데 도움이 될 수 있습니다. Microsoft 보안 점수의 일부로 이러한 새 ID 권장 사항은 Active Directory 인프라 및 그룹 정책 개체와 관련된 새로운 보안 상태 보고서입니다.

• 기본 그룹 ID가 아닌 계정
• 도메인 컨트롤러 컴퓨터 계정 이전 암호 변경
• GPO는 권한 상승된 권한을 가진 로컬 그룹에 권한 없는 ID를 할당합니다.
• GPO는 권한 없는 계정으로 수정할 수 있습니다.
• GPO에서 찾을 수 있는 되돌릴 수 있는 암호
• 기본 제공 Active Directory 게스트 계정이 사용하도록 설정됨
• DnsAdmins 그룹에 대한 안전하지 않은 권한
• 모든 권한 있는 계정에 구성 플래그가 있는지 확인합니다. "이 계정은 중요하며 위임할 수 없습니다."
• krbtgt 계정의 암호 변경
• 기본 제공 도메인 관리자 계정의 암호 변경

또한 권한 있는 서비스로의 프로토콜 전환을 통한 Kerberos 제한 위임 표시를 포함하도록 "가장을 방지하기 위해 안전하지 않은 Kerberos 위임 수정"의 기존 권장 사항을 업데이트했습니다.

2024년 8월

새 Microsoft Entra Connect 센서:

하이브리드 ID 환경에서 Microsoft Defender for Identity 범위를 개선하기 위한 지속적인 노력의 일환으로 Microsoft Entra Connect 서버에 대한 새로운 센서를 도입했습니다. 또한 Microsoft Entra Connect에 대한 새로운 하이브리드 보안 검색 및 새로운 ID 상태 권장 사항을 발표하여 고객이 보호 상태를 유지하고 잠재적인 위험을 완화할 수 있도록 지원합니다.

새 Microsoft Entra 연결 ID 상태 권장 사항:

• Microsoft Entra Connect 커넥터 계정에 대한 암호 회전
  • 손상된 Microsoft Entra Connect 커넥터 계정(일반적으로 MSOL_XXXXXXXX 표시됨)은 복제 및 암호 재설정과 같은 높은 권한 함수에 대한 액세스 권한을 부여하여 공격자가 클라우드 및 온-프레미스 환경 모두에서 동기화 설정을 수정하고 보안을 손상할 수 있을 뿐만 아니라 전체 도메인을 손상시키는 몇 가지 경로를 제공할 수 있습니다. 이 평가에서는 고객이 90일 전에 마지막으로 설정된 암호를 사용하여 MSOL 계정의 암호를 변경하는 것이 좋습니다. 자세한 내용은 Microsoft Entra Connect 커넥터 계정에 대한 암호 회전을 선택합니다.
• Microsoft Entra Connect 계정에 대한 불필요한 복제 권한 제거
  • 기본적으로 Microsoft Entra Connect 커넥터 계정에는 적절한 동기화를 보장하기 위한 광범위한 권한이 있습니다(필요하지 않은 경우에도). 암호 해시 동기화가 구성되지 않은 경우 잠재적인 공격 노출 영역을 줄이기 위해 불필요한 권한을 제거하는 것이 중요합니다. 자세한 내용은 Microsoft Entra 계정에 대한 복제 권한 제거를 참조하세요.
• Microsoft Entra 원활한 SSO 계정 구성에 대한 암호 변경
  • 이 보고서는 암호가 90일 전에 마지막으로 설정된 모든 Microsoft Entra 원활한 SSO 컴퓨터 계정을 나열합니다. Azure SSO 컴퓨터 계정의 암호는 30일마다 자동으로 변경되지 않습니다. 공격자가 이 계정을 손상하는 경우 사용자를 대신하여 AZUREADSSOACC 계정에 대한 서비스 티켓을 생성하고 Active Directory에서 동기화된 Microsoft Entra 테넌트에서 사용자를 가장할 수 있습니다. 공격자는 이를 사용하여 Active Directory에서 Microsoft Entra ID 횡적으로 이동할 수 있습니다. 자세한 내용은 Microsoft Entra 원활한 SSO 계정 구성에 대한 암호 변경을 참조하세요.

새 Microsoft Entra Connect 검색:

• Microsoft Entra Connect 서버에 의심스러운 대화형 로그온
  • Microsoft Entra Connect 서버에 대한 직접 로그인은 매우 이례적이고 잠재적으로 악의적일 수 있습니다. 공격자는 종종 이러한 서버를 대상으로 하여 더 광범위한 네트워크 액세스를 위해 자격 증명을 도용합니다. 이제 Microsoft Defender for Identity Microsoft Entra Connect 서버에 대한 비정상적인 로그인을 검색하여 이러한 잠재적 위협을 더 빠르게 식별하고 대응할 수 있습니다. Microsoft Entra Connect 서버가 독립 실행형 서버이고 도메인 컨트롤러로 작동하지 않는 경우에 적용됩니다.
• 계정 연결을 Microsoft Entra 사용자 암호 재설정
  • Microsoft Entra Connect 커넥터 계정은 종종 사용자의 암호를 재설정하는 기능을 포함하여 높은 권한을 보유합니다. 이제 Microsoft Defender for Identity 해당 작업에 대한 가시성을 확보하고 악의적이고 비법적으로 식별된 사용 권한을 검색합니다. 이 경고는 비밀번호 쓰기 저장 기능을 사용하지 않도록 설정한 경우에만 트리거됩니다.
• 중요한 사용자에 Microsoft Entra Connect의 의심스러운 쓰기 저장
  • Microsoft Entra Connect는 이미 권한 있는 그룹의 사용자에 대한 쓰기 저장을 방지하지만 Microsoft Defender for Identity 중요한 계정의 추가 유형을 식별하여 이 보호를 확장합니다. 이 향상된 검색은 중요한 계정에서 무단 암호 재설정을 방지하는 데 도움이 되며, 이는 클라우드 및 온-프레미스 환경을 대상으로 하는 고급 공격에서 중요한 단계가 될 수 있습니다.

추가 개선 사항 및 기능:

• 고급 헌팅의 'IdentityDirectoryEvents' 테이블에서 사용할 수 있는 중요한 계정에서 실패한 암호 재설정 의 새로운 활동입니다. 이를 통해 고객은 실패한 암호 재설정 이벤트를 추적하고 이 데이터를 기반으로 사용자 지정 검색을 만들 수 있습니다.
• DC 동기화 공격 검색에 대한 정확도가 향상되었습니다.
• 센서가 Microsoft Entra Connect 서비스에서 구성을 검색할 수 없는 경우의 새로운 상태 문제입니다.
• Microsoft Entra Connect 서버에서 새 센서를 사용하도록 설정하여 PowerShell 원격 실행 탐지기와 같은 보안 경고에 대한 확장된 모니터링

새 센서에 대해 자세히 알아보기

DefenderForIdentity PowerShell 모듈이 업데이트됨

DefenderForIdentity PowerShell 모듈이 업데이트되어 새로운 기능을 통합하고 몇 가지 버그 수정 사항을 해결했습니다. 주요 개선 사항은 다음과 같습니다.

• 새로운 New-MDIDSA Cmdlet: gMSA(그룹 관리 서비스 계정)에 대한 기본 설정과 표준 계정을 만드는 옵션을 사용하여 서비스 계정 만들기를 간소화합니다.
• 자동 PDCe 검색: 대부분의 Active Directory 작업에 대해 PDCe(기본 도메인 컨트롤러 에뮬레이터)를 자동으로 대상으로 하여 GPO(그룹 정책 개체) 만들기 안정성을 향상시킵니다.
• 수동 도메인 컨트롤러 대상 지정: cmdlet에 대한 Get/Set/Test-MDIConfiguration 새 서버 매개 변수를 사용하여 PDCe 대신 대상 지정을 위한 도메인 컨트롤러를 지정할 수 있습니다.

자세한 내용은 다음 항목을 참조하세요.

• DefenderForIdentity PowerShell 모듈(PowerShell 갤러리)
• DefenderForIdentity PowerShell 참조 설명서

2024년 7월

6개의 새로운 검색은 공개 미리 보기의 새로운 기능입니다.

• 가능한 NetSync 공격
  • NetSync는 도메인 컨트롤러인 척하여 대상 디바이스 암호의 암호 해시를 요청하는 악용 후 도구인 Mimikatz의 모듈입니다. 공격자가 이 기능을 사용하여 네트워크 내에서 악의적인 활동을 수행하여 organization 리소스에 액세스할 수 있습니다.
• Microsoft Entra 원활한 SSO 계정 인수 가능
  • Microsoft Entra 원활한 SSO(Single Sign-On) 계정 개체인 AZUREADSSOACC가 의심스러운 수정되었습니다. 공격자가 온-프레미스 환경에서 클라우드로 횡적으로 이동할 수 있습니다.
• 의심스러운 LDAP 쿼리
  • 알려진 공격 도구와 관련된 의심스러운 LDAP(Lightweight Directory Access Protocol) 쿼리가 검색되었습니다. 공격자가 이후 단계를 위해 정찰을 수행할 수 있습니다.
• 의심스러운 SPN이 사용자에게 추가되었습니다.
  • 의심스러운 SPN(서비스 사용자 이름)이 중요한 사용자에게 추가되었습니다. 공격자가 organization 내에서 횡적 이동을 위해 상승된 액세스 권한을 얻으려고 시도할 수 있습니다.
• 의심스러운 ESXi 그룹 만들기
  • 의심스러운 VMware ESXi 그룹이 도메인에 만들어졌습니다. 이는 공격자가 공격의 이후 단계에 대한 더 많은 권한을 얻으려고 시도하고 있음을 나타낼 수 있습니다.
• 의심스러운 ADFS 인증
  • 의심스러운 IP 주소에서 ADFS(Active Directory Federation Services)를 사용하여 로그인한 도메인 가입 계정입니다. 공격자가 사용자의 자격 증명을 도난당했을 수 있으며 이 자격 증명을 사용하여 organization 횡적으로 이동할 수 있습니다.

Defender for Identity 릴리스 2.238

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2024년 6월

ITDR 대시보드에서 사용자 정보를 쉽게 찾아 보세요.

Shield 위젯은 하이브리드, 클라우드 및 온-프레미스 환경의 사용자 수에 대한 간략한 개요를 제공합니다. 이제 이 기능에는 고급 헌팅 플랫폼에 대한 직접 링크가 포함되어 있으며, 자세한 사용자 정보를 손쉽게 제공합니다.

ITDR 배포 상태 위젯에 이제 Microsoft Entra 조건부 액세스 및 Microsoft Entra 개인 액세스 포함

이제 Microsoft Entra 워크로드 조건부 액세스, 사용자 조건부 액세스 Microsoft Entra 및 Microsoft Entra 개인 액세스 대한 라이선스 가용성을 볼 수 있습니다.

Defender for Identity 릴리스 2.237

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2024년 5월

Defender for Identity 릴리스 2.236

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.235

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2024년 4월

CVE-2024-21427 Windows Kerberos 보안 기능 바이패스 취약성을 쉽게 검색

고객이 이 취약성에 따라 보안 프로토콜을 우회하려는 시도를 더 잘 식별하고 감지할 수 있도록 Kerberos AS 인증을 모니터링하는 고급 헌팅 내에 새로운 활동을 추가했습니다.

이 데이터를 사용하면 이제 고객은 Microsoft Defender XDR 내에서 사용자 지정 검색 규칙을 쉽게 만들고 이러한 유형의 활동에 대한 경고를 자동으로 트리거할 수 있습니다.

액세스 Microsoft Defender 포털 -> 헌팅 -> 고급 헌팅.

이제 아래에 제공된 대로 권장 쿼리를 복사하고 "검색 규칙 만들기"를 선택할 수 있습니다. 또한 제공된 쿼리는 잠재적인 공격과 관련이 없는 정보를 생성할 수 있는 실패한 로그온 시도를 추적합니다. 따라서 특정 요구 사항에 맞게 쿼리를 자유롭게 사용자 지정할 수 있습니다.

IdentityLogonEvents
| where Application == "Active Directory"
| where Protocol == "Kerberos"
| where LogonType in("Resource access", "Failed logon")
| extend Error =  AdditionalFields["Error"]
| extend KerberosType = AdditionalFields['KerberosType']
| where KerberosType == "KerberosAs"
| extend Spns = AdditionalFields["Spns"]
| extend DestinationDC = AdditionalFields["TO.DEVICE"]
| where  Spns !contains "krbtgt" and Spns !contains "kadmin"
| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportId

Defender for Identity 릴리스 2.234

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.233

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2024년 3월

Defender for Identity 설정을 보기 위한 새로운 읽기 전용 권한

이제 읽기 전용 권한으로 Defender for Identity 사용자를 구성하여 Defender for Identity 설정을 볼 수 있습니다.

자세한 내용은 Microsoft Defender XDR 필수 권한 Defender for Identity를 참조하세요.

상태 문제를 보고 관리하기 위한 새로운 Graph 기반 API

이제 Graph API 통해 Microsoft Defender for Identity 상태 문제를 보고 관리할 수 있습니다.

자세한 내용은 Graph API 통해 상태 문제 관리를 참조하세요.

Defender for Identity 릴리스 2.232

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.231

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2024년 2월

Defender for Identity 릴리스 2.230

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

안전하지 않은 AD CS IIS 엔드포인트 구성에 대한 새로운 보안 태세 평가

Defender for Identity는 Microsoft 보안 점수 에 안전하지 않은 ADCS 인증서 등록 IIS 엔드포인트(ESC8) 편집 권장 사항을 추가했습니다.

AD CS(Active Directory Certificate Services)는 CES(인증서 등록 서비스) 또는 Certsrv(웹 등록 인터페이스)를 사용하는 HTTP를 통한 등록을 포함하여 다양한 방법 및 프로토콜을 통해 인증서 등록을 지원합니다. CES 또는 Certsrv IIS 엔드포인트의 안전하지 않은 구성으로 ESC8(릴레이 공격)에 대한 취약성이 발생할 수 있습니다.

안전하지 않은 ADCS 인증서 등록 IIS 엔드포인트(ESC8) 편집 권장 사항이 최근에 릴리스된 다른 AD CS 관련 권장 사항에 추가되었습니다. 이러한 평가는 보안 문제와 전체 organization 위험을 초래하는 심각한 잘못된 구성을 관련 검색과 함께 표시하는 보안 태세 보고서를 제공합니다.

자세한 내용은 다음 항목을 참조하세요.

• 보안 평가: 안전하지 않은 ADCS 인증서 등록 IIS 엔드포인트 편집(ESC8)
• AD CS 센서에 대한 보안 상태 평가
• Microsoft Defender for Identity 보안 태세 평가

Defender for Identity 릴리스 2.229

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

경고 임계값을 조정하기 위한 향상된 사용자 환경(미리 보기)

이제 Defender for Identity 고급 설정 페이지 이름이 경고 임계값 조정 으로 바뀌었으며 경고 임계값을 조정하기 위한 향상된 유연성으로 새로 고쳐진 환경을 제공합니다.

변경 내용은 다음과 같습니다.

• 이전 학습 기간 제거 옵션을 제거하고 새 권장 테스트 모드 옵션을 추가했습니다. 권장 테스트 모드를 선택하여 모든 임계값 수준을 낮음으로 설정하고 경고 수를 늘리고 다른 모든 임계값 수준을 읽기 전용으로 설정합니다.

• 이제 이전 민감도 수준 열의 이름이 임계값 수준으로 변경되고 새로 정의된 값이 있습니다. 기본적으로 모든 경고는 기본 동작 및 표준 경고 구성을 나타내는 높은 임계값으로 설정됩니다.

  다음 표에서는 이전 민감도 수준 값과 새 임계값 수준 값 간의 매핑을 나열합니다.

  민감도 수준(이전 이름)	임계값 수준(새 이름)
  표준	High
  Medium	Medium
  High	낮음

고급 설정 페이지에 정의된 특정 값이 있는 경우 다음과 같이 새 경고 임계값 조정 페이지로 전송했습니다.

경고는 경고의 학습 기간이 이미 완료되었는지 여부에 관계없이 권장 테스트 모드 옵션을 선택하거나 임계값 수준이 중간 또는 낮음으로 설정된 경우 항상 즉시 트리거됩니다.

자세한 내용은 경고 임계값 조정을 참조하세요.

이제 디바이스 세부 정보 페이지에 디바이스 설명이 포함됨(미리 보기)

이제 Microsoft Defender XDR 디바이스 세부 정보 창 및 디바이스 세부 정보 페이지에 대한 디바이스 설명이 포함됩니다. 설명은 디바이스의 Active Directory 설명 특성에서 채워집니다.

예를 들어 디바이스 세부 정보 쪽 창에서 다음을 수행합니다.

자세한 내용은 의심스러운 디바이스에 대한 조사 단계를 참조하세요.

Defender for Identity 릴리스 2.228

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정과 다음과 같은 새로운 경고가 포함되어 있습니다.

• LDAP(계정 열거 정찰)(외부 ID 2437) (미리 보기)
• 디렉터리 서비스 복원 모드 암호 변경(외부 ID 2438) (미리 보기)

2024년 1월

Defender for Identity 릴리스 2.227

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

그룹 엔터티에 대해 추가된 타임라인 탭

이제 그룹 멤버 자격 변경, LDAP 쿼리 등과 같은 Microsoft Defender XDR 지난 180일 동안의 Active Directory 그룹 엔터티 관련 활동 및 경고를 볼 수 있습니다.

그룹 타임라인 페이지에 액세스하려면 그룹 세부 정보 창에서 타임라인 열기를 선택합니다.

예시:

자세한 내용은 의심스러운 그룹에 대한 조사 단계를 참조하세요.

PowerShell을 통해 Defender for Identity 환경 구성 및 유효성 검사

이제 Defender for Identity는 Microsoft Defender for Identity 작업하기 위한 환경을 구성하고 유효성을 검사하는 데 도움이 되도록 설계된 새 DefenderForIdentity PowerShell 모듈을 지원합니다.

PowerShell 명령을 사용하여 잘못된 구성을 방지하고 시간을 절약하고 시스템에 불필요한 부하를 방지합니다.

새 PowerShell 명령을 사용하는 데 도움이 되도록 Defender for Identity 설명서에 다음 절차를 추가했습니다.

• PowerShell을 사용하여 프록시 구성 변경
• PowerShell을 사용하여 감사 정책 구성, 가져오기 및 테스트
• PowerShell을 통해 현재 구성으로 보고서 생성
• PowerShell을 통해 DSA 권한 및 위임 테스트
• PowerShell을 사용하여 서비스 연결 테스트

자세한 내용은 다음 항목을 참조하세요.

• DefenderForIdentity PowerShell 모듈(PowerShell 갤러리)
• DefenderForIdentity PowerShell 참조 설명서

Defender for Identity 릴리스 2.226

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.225

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2023년 12월

Microsoft Defender XDR 새 ID 영역 및 dashboard(미리 보기)

이제 Defender for Identity 고객에게는 Defender for Identity를 사용한 ID 보안에 대한 정보를 Microsoft Defender XDR 새 ID 영역이 있습니다.

Microsoft Defender XDR ID를 선택하여 다음 새 페이지를 확인합니다.

• 대시보드: 이 페이지에는 ID 위협 탐지 및 대응 활동을 모니터링하는 데 도움이 되는 그래프와 위젯이 표시됩니다. 예시:

  

  자세한 내용은 Defender for Identity의 ITDR dashboard 작업을 참조하세요.

• 상태 문제: 이 페이지는 설정 > ID 영역에서 이동되며 일반 Defender for Identity 배포 및 특정 센서에 대한 현재 상태 문제를 나열합니다. 자세한 내용은 센서 상태 문제 Microsoft Defender for Identity 참조하세요.

• 도구: 이 페이지에는 Defender for Identity로 작업할 때 유용한 정보 및 리소스에 대한 링크가 포함되어 있습니다. 이 페이지에서 특히 용량 계획 도구 및 Test-MdiReadiness.ps1 스크립트에서 설명서에 대한 링크를 찾습니다.

Defender for Identity 릴리스 2.224

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

AD CS 센서에 대한 보안 태세 평가(미리 보기)

Defenders for Identity의 보안 태세 평가는 온-프레미스 Active Directory 구성에서 작업을 사전에 감지하고 권장합니다.

권장 작업에는 이제 인증서 템플릿 및 인증 기관을 위한 다음과 같은 새로운 보안 태세 평가가 포함됩니다.

• 인증서 템플릿 권장 작업:

  • 사용자가 인증서 템플릿(ESC1)을 기반으로 임의 사용자에게 유효한 인증서를 요청하지 못하도록 합니다.
  • 권한 있는 EKU(모든 용도 EKU 또는 EKU 없음)(ESC2)를 사용하여 지나치게 허용되는 인증서 템플릿 편집
  • 잘못 구성된 등록 에이전트 인증서 템플릿(ESC3)
  • 잘못 구성된 인증서 템플릿 ACL(ESC4) 편집
  • 잘못 구성된 인증서 템플릿 소유자 편집(ESC4)

• 인증 기관에서 권장하는 작업:

  • 취약한 인증 기관 설정 편집(ESC6)
  • 잘못 구성된 인증 기관 ACL(ESC7) 편집
  • RPC 인증서 등록 인터페이스에 암호화 적용(ESC11)

새로운 평가는 검색과 함께 전체 organization 위험을 초래하는 Microsoft 보안 점수, 표면 보안 문제 및 심각한 잘못된 구성에서 사용할 수 있습니다. 점수가 그에 따라 업데이트됩니다.

예시:

자세한 내용은 Microsoft Defender for Identity 보안 태세 평가를 참조하세요.

Defender for Identity 릴리스 2.223

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.222

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.221

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2023년 11월

Defender for Identity 릴리스 2.220

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.219

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

ID 타임라인 30일 이상의 데이터 포함(미리 보기)

Defender for Identity는 ID 세부 정보에 대한 확장된 데이터 보존을 30일 이상으로 점진적으로 롤아웃합니다.

DEFENDER for Identity, Microsoft Defender for Cloud Apps 및 엔드포인트용 Microsoft Defender 활동을 포함하는 ID 세부 정보 페이지 타임라인 탭에는 현재 최소 150일이 포함되며 증가하고 있습니다. 향후 몇 주 동안 데이터 보존률에 약간의 변화가 있을 수 있습니다.

특정 시간 프레임 내에서 ID 타임라인 대한 활동 및 경고를 보려면 기본 30일을 선택한 다음 사용자 지정 범위를 선택합니다. 30일 이상 전의 필터링된 데이터는 한 번에 최대 7일 동안 표시됩니다.

예시:

자세한 내용은 자산 조사 및 Microsoft Defender XDR 사용자 조사를 참조하세요.

Defender for Identity 릴리스 2.218

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2023년 10월

Defender for Identity 릴리스 2.217

이 버전에는 다음과 같은 개선 사항이 포함되어 있습니다.

• 요약 보고서: 요약 보고서는 상태 문제 탭에 두 개의 새 열을 포함하도록 업데이트됩니다.

  • 세부 정보: 영향을 받는 개체 목록 또는 문제가 발생하는 특정 센서와 같은 문제에 대한 추가 정보입니다.

  • 권장 사항: 문제를 resolve 위해 수행할 수 있는 권장 작업 목록 또는 문제를 추가로 조사하는 방법입니다.

    자세한 내용은 Microsoft Defender XDR Defender for Identity 보고서 다운로드 및 예약(미리 보기)을 참조하세요.

• 상태 문제: 이 테넌트* 상태 문제에 대해 '학습 기간 제거' 토글이 자동으로 꺼져 있습니다.

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 버그 수정도 포함되어 있습니다.

Defender for Identity 릴리스 2.216

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

2023년 9월

원격 코드 실행 시도에 대한 경고 수 감소

Defender for Identity 및 엔드포인트용 Microsoft Defender 경고를 더 잘 조정하기 위해 Defender for Identity 원격 코드 실행 시도 검색에 대한 검색 논리를 업데이트했습니다.

이 변경으로 인해 원격 코드 실행 시도 경고 수가 감소하지만 Defender for Identity는 원격 코드 실행 작업을 계속 기록합니다. 고객은 계속해서 자체 고급 헌팅 쿼리를 빌드하고 사용자 지정 검색 정책을 만들 수 있습니다.

경고 민감도 설정 및 학습 기간 향상

일부 Defender for Identity 경고는 경고가 트리거되기 전에 학습 기간을 기다리는 동시에 합법적인 활동과 의심스러운 활동을 구분할 때 사용할 패턴 프로필을 작성합니다.

이제 Defender for Identity는 학습 기간 환경에 다음과 같은 향상된 기능을 제공합니다.

• 이제 관리자는 학습 기간 제거 설정을 사용하여 특정 경고에 사용되는 민감도를 구성할 수 있습니다. 민감도를 보통 으로 정의하여 선택한 유형의 경고에 대해 학습 기간 제거 설정을 끄 기로 구성합니다.

• 새 Defender for Identity 작업 영역에 새 센서를 배포하면 학습 기간 제거 설정이 30일 동안 자동으로 켜 집니다. 30일이 완료되면 학습 기간 제거 설정이 자동으로 꺼지고 경고 민감도 수준이 기본 기능으로 반환됩니다.

  Defender for Identity에서 학습 기간이 완료될 때까지 경고가 생성되지 않는 표준 학습 기간 기능을 사용하도록 하려면 학습 기간 제거 설정을 끄기로 구성합니다.

이전에 학습 기간 제거 설정을 업데이트한 경우 설정은 구성한 대로 유지됩니다.

자세한 내용은 Advanced settings을 참조하세요.

Defender for Identity 릴리스 2.215

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 보고서가 기본 보고서 영역으로 이동됨

이제 설정 영역 대신 Microsoft Defender XDR 기본 보고서 영역에서 Defender for Identity 보고서에 액세스할 수 있습니다. 예시:

자세한 내용은 Microsoft Defender XDR Defender for Identity 보고서 다운로드 및 예약(미리 보기)을 참조하세요.

Microsoft Defender XDR 그룹에 대한 사냥 단추 이동

Defender for Identity는 Microsoft Defender XDR 그룹에 대한 Go 헌팅 단추를 추가했습니다. 사용자는 Go hunt 단추를 사용하여 조사 중에 그룹 관련 활동 및 경고를 쿼리할 수 있습니다.

예시:

자세한 내용은 go hunt를 사용하여 엔터티 또는 이벤트 정보를 빠르게 헌팅을 참조하세요.

Defender for Identity 릴리스 2.214

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

성능 향상

Defender for Identity는 Defender for Identity 서비스에서 Microsoft Defender XDR 실시간 이벤트를 전송할 때 대기 시간, 안정성 및 성능을 내부적으로 개선했습니다. 고객은 고급 헌팅에 대한 경고 또는 활동과 같이 Microsoft Defender XDR 표시되는 Defender for Identity 데이터의 지연을 예상해야 합니다.

자세한 내용은 다음 항목을 참조하세요.

• Microsoft Defender for Identity 보안 경고
• Microsoft Defender for Identity 보안 태세 평가
• Microsoft Defender XDR 고급 헌팅을 사용하여 위협을 사전에 헌팅

2023년 8월

Defender for Identity 릴리스 2.213

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.212

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

Defender for Identity 릴리스 2.211

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

AD CS(Active Directory Certificate Services)의 새로운 센서 유형

이제 Defender for Identity는 AD CS (Active Directory Certificate Services)가 구성된 전용 서버에 대한 새 ADCS 센서 유형을 지원합니다.

Microsoft Defender XDR 설정 > ID > 센서 페이지에 식별된 새 센서 유형이 표시됩니다. 자세한 내용은 Microsoft Defender for Identity 센서 관리 및 업데이트를 참조하세요.

새 센서 유형과 함께 Defender for Identity는 이제 관련 AD CS 경고 및 보안 점수 보고서를 제공합니다. 새 경고 및 보안 점수 보고서를 보려면 필요한 이벤트가 수집되고 서버에 기록되는지 확인합니다. 자세한 내용은 AD CS(Active Directory Certificate Services) 이벤트에 대한 감사 구성을 참조하세요.

AD CS는 보안 통신 및 인증 프로토콜에서 PKI(공개 키 인프라) 인증서를 발급하고 관리하는 Windows Server 역할입니다. 자세한 내용은 Active Directory 인증서 서비스란?을 참조하세요.

Defender for Identity 릴리스 2.210

이 버전에는 클라우드 서비스 및 Defender for Identity 센서에 대한 개선 사항 및 버그 수정이 포함되어 있습니다.

다음 단계

• Microsoft Defender for Identity란?
• 자주 묻는 질문
• Defender for Identity 필수 구성 요소
• Defender for Identity 용량 계획
• Defender for Identity 포럼을 확인하세요!