headline: Anstehende Änderung bei Microsoft Defender for Endpoint Advanced Hunting: Entfernung von SMB-Signaturdaten

Veröffentlicht am

01

.

06

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Defender for Endpoint entfernt ab dem 1. Juli 2026 SMB-Signaturüberprüfungsereignisse aus Advanced Hunting aufgrund geringen Kundennutzens. Nutzer müssen Abfragen, die SMB_Client referenzieren, aktualisieren und stattdessen über Port 445 filtern. Andere Netzwerk-Signaturereignisse bleiben unverändert; es ist keine Aktion seitens der Mandanten erforderlich, um diese Änderung zu aktivieren.

[Einführung]

Um die Endpunktleistung zu verbessern und den Schwerpunkt auf hochwertigere Netzwerktelemetrie zu legen, entfernt Microsoft SMB-Signatur-Inspektionsereignisse aus Advanced Hunting in Microsoft Defender for Endpoint. Diese Änderung spiegelt den beobachteten geringen Kundennutzen der SMB-Signaturdaten auf Endpunkten wider und unsere fortlaufenden Investitionen in erweiterte SMB-Sichtbarkeit durch Zeek-basierte Netzwerkkapazitäten.

[Wann dies geschieht:]

Die Einführung für Worldwide, GCC, GCC High und DoD beginnt am 1. Juli 2026 und wird kurz darauf in allen Mandanten abgeschlossen sein.

[Auswirkungen auf Ihre Organisation:]

Wer betroffen ist:

  • Sicherheitsadministratoren und Analysten, die Microsoft Defender for Endpoint Advanced Hunting nutzen
  • Organisationen mit benutzerdefinierten Erkennungsregeln, Hunting-Abfragen, geplanten Abfragen oder automatisierten Workflows, die SMB-Signatur-Inspektionsereignisse referenzieren

Was passiert:

  • Ereignisse mit ActionType = \“NetworkSignatureInspected\” und SignatureName = \“SMB_Client\” werden nicht mehr generiert.
  • Abfragen, Erkennungen oder Workflows, die auf diese Ereignisse angewiesen sind, liefern nach der Einführung keine Ergebnisse mehr.
  • Andere Netzwerksignatur-Inspektionsereignisse bleiben unverändert.
  • Die Änderung ist standardmäßig aktiviert und erfordert keine Mandantenkonfiguration.

[Vorbereitungsmöglichkeiten:]

Um SMB-Datenverkehr weiterhin in Advanced Hunting zu identifizieren, empfehlen wir die Filterung nach Port 445, dem Standardport für SMB, in der DeviceNetworkEvents-Tabelle, die weiterhin vollständig unterstützt wird.

  • Überprüfen Sie benutzerdefinierte Erkennungsregeln, gespeicherte Hunting-Abfragen, geplante Abfragen und automatisierte Workflows auf Verweise auf SMB_Client.
  • Aktualisieren Sie betroffene Abfragen, um SMB-Datenverkehr mittels Portfilterung zu identifizieren.
  • Validieren Sie, dass aktualisierte Abfragen vor dem 1. Juli 2026 die erwarteten Ergebnisse liefern.

Beispiel für Abfrageaktualisierung

Ersetzen Sie:

DeviceNetworkEvents| where ActionType == "NetworkSignatureInspected"| extend SignatureName = tostring(parse_json(AdditionalFields).SignatureName)| where SignatureName == "SMB_Client"

Durch:

DeviceNetworkEvents| where RemotePort == 445 or LocalPort == 445

Für Fragen oder Feedback zu dieser Änderung wenden Sie sich bitte an den Microsoft Support oder Ihren Microsoft Account Representative.

[Compliance-Aspekte:]

  • Admin-Überwachung und Berichterstattung: Die Entfernung der SMB-Signatur-Inspektionsereignisse ändert die verfügbare Advanced Hunting-Telemetrie und kann Auswirkungen darauf haben, wie Administratoren SMB-Aktivitäten überwachen oder untersuchen.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH