Microsoft Defender for Identity | Verbesserungen bei Erkennungen zur Reduzierung von Störsignalen und zur Verbesserung der Genauigkeit

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Microsoft Defender for Identity wird von Ende September bis Mitte Oktober 2025 mehrere Erkennungen aktualisieren, um Fehlalarme zu reduzieren und die Genauigkeit zu verbessern. Dadurch wird das Alarmaufkommen verringert, ohne dass Konfigurationsänderungen erforderlich sind. Administratoren sollten nach der Einführung das Alarmaufkommen überprüfen und ihre Sicherheitsteams entsprechend informieren.

Einführung:

Das Microsoft Defender for Identity-Team führt basierend auf Kundenfeedback und interner Analyse Verbesserungen an mehreren Erkennungen durch. Diese Updates sollen Alarmüberschuss reduzieren und die Erkennungsgenauigkeit verbessern, damit Sicherheitsteams sich auf die wirkungsvollsten Bedrohungen konzentrieren können. Eine aktive Microsoft Defender for Identity (MDI)-Lizenz ist erforderlich, um von diesen Verbesserungen zu profitieren.

Wann dies geschieht:

Diese Verbesserungen werden ab Ende September 2025 schrittweise eingeführt und bis Mitte Oktober 2025 abgeschlossen sein.

Auswirkungen auf Ihre Organisation:

Betroffene Personen: Administratoren, die Microsoft Defender for Identity in kommerziellen Mandanten verwalten.

Was passiert:

  • Mehrere bestehende Erkennungen werden aktualisiert, um Fehlalarme zu reduzieren und die Präzision zu verbessern.
  • Sie könnten eine Verringerung der Anzahl von ausgelösten Warnmeldungen bei folgenden Erkennungen feststellen:
    • Verdächtige Kommunikation über DNS
    • Verdächtiger Versuch der Netlogon-Privilegienerhöhung (Ausnutzung von CVE-2020-1472)
    • Honeytoken-Authentifizierungsaktivität
    • Versuch der Remote-Code-Ausführung über DNS
    • Verdächtige Passwortzurücksetzung durch Entra Connect-Konto
    • Datenexfiltration über SMB
    • Verdächtiger Skeleton-Key-Angriff (Verschlüsselungs-Downrade)
    • Verdächtige Änderung des Resource-Based Constrained Delegation-Attributs durch ein Computerkonto
    • Versuch der Remote-Code-Ausführung

Es sind keine Änderungen an Konfiguration oder Richtlinieneinstellungen erforderlich.

Wie Sie sich vorbereiten können:

  • Zum jetzigen Zeitpunkt sind keine Maßnahmen erforderlich.
  • Überprüfen Sie nach der Einführung die Alarmvolumen und das Erkennungsverhalten, um die Auswirkungen zu bewerten.
  • Informieren Sie Ihr Security-Operations-Team über diese Änderung.
  • Aktualisieren Sie interne Dokumentationen, falls Sie die Erkennungslogik oder Alarmgrenzwerte verfolgen.

Erfahren Sie mehr: Security alerts - Microsoft Defender for Identity | Microsoft Learn

Compliance-Aspekte:

Es wurden keine Compliance-relevanten Aspekte identifiziert; prüfen Sie dies entsprechend für Ihre Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.