Einführung
Um die Endpunktleistung zu verbessern und sich auf Netztelmetrien mit höherem Mehrwert zu konzentrieren, entfernt Microsoft SMB-Signatur-Inspektionsereignisse aus dem Advanced Hunting in Microsoft Defender for Endpoint. Diese Änderung spiegelt den beobachteten geringen Kundennutzen von SMB-Signaturdaten auf Endpunkten wider und unsere fortlaufenden Investitionen in fortschrittlichere SMB-Sichtbarkeit durch Zeek-basierte Netzwerkfunktionen.
Zeitpunkt der Änderung:
Die Einführung für Worldwide, GCC, GCC High und DoD beginnt am 13. Juli 2026 und wird kurz darauf für alle Mandanten abgeschlossen sein.
Auswirkungen auf Ihre Organisation:
Betroffene Personen:
- Sicherheitsadministratoren und Analysten, die Microsoft Defender for Endpoint Advanced Hunting nutzen
- Organisationen mit benutzerdefinierten Erkennungsregeln, Hunting-Abfragen, geplanten Abfragen oder automatisierten Workflows, die sich auf SMB-Signatur-Inspektionsereignisse beziehen
Was passiert:
- Events mit
ActionType = \"NetworkSignatureInspected\"undSignatureName = \"SMB_Client\"werden nicht mehr generiert. - Abfragen, Erkennungen oder Workflows, die auf diese Ereignisse angewiesen sind, liefern nach der Einführung keine Ergebnisse mehr.
- Andere Netzwerk-Signatur-Inspektionsereignisse bleiben unverändert.
- Die Änderung ist standardmäßig aktiviert und erfordert keine Mandantenkonfiguration.
So bereiten Sie sich vor:
Um SMB-Verkehr im Advanced Hunting weiterhin zu identifizieren, empfehlen wir, im DeviceNetworkEvents-Tabellenfilter auf den Port 445 zu filtern, den Standardport, der von SMB verwendet wird und weiterhin vollständig unterstützt wird.
- Überprüfen Sie benutzerdefinierte Erkennungsregeln, gespeicherte Hunting-Abfragen, geplante Abfragen und automatisierte Workflows auf Verweise auf
SMB_Client. - Aktualisieren Sie betroffene Abfragen, um SMB-Verkehr anhand der Port-basierten Filterung zu identifizieren.
- Validieren Sie, dass die aktualisierten Abfragen vor dem 1. Juli 2026 die erwarteten Ergebnisse liefern.
Beispiel für eine Abfrageanpassung
Ersetzen Sie:
DeviceNetworkEvents| where ActionType == \"NetworkSignatureInspected\"| extend SignatureName = tostring(parse_json(AdditionalFields).SignatureName)| where SignatureName == \"SMB_Client\"Durch:
DeviceNetworkEvents| where RemotePort == 445 or LocalPort == 445Bei Fragen oder Feedback zu dieser Änderung wenden Sie sich bitte an den Microsoft Support oder Ihren Microsoft-Kundenbetreuer.
Compliance-Hinweise:
- Administration, Überwachung und Berichterstellung: Die Entfernung der SMB-Signatur-Inspektionsereignisse ändert die verfügbare Telemetrie im Advanced Hunting und kann die Überwachung oder Untersuchung von SMB-Aktivitäten durch Administratoren beeinflussen.
