headline: Kommende Änderung bei Microsoft Defender for Endpoint Advanced Hunting: Entfernung der SMB-Signaturdaten

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Ab dem 13. Juli 2026 entfernt Microsoft Defender for Endpoint SMB-Signaturprüfereignisse aus Advanced Hunting zur Leistungsverbesserung. Abfragen, die diese Ereignisse verwenden, funktionieren dann nicht mehr; Benutzer sollten ihre Abfragen bis zum 1. Juli 2026 aktualisieren, um SMB-Verkehr anhand des Ports 445 in DeviceNetworkEvents zu filtern.

Einführung

Um die Endpunktleistung zu verbessern und sich auf Netztelmetrien mit höherem Mehrwert zu konzentrieren, entfernt Microsoft SMB-Signatur-Inspektionsereignisse aus dem Advanced Hunting in Microsoft Defender for Endpoint. Diese Änderung spiegelt den beobachteten geringen Kundennutzen von SMB-Signaturdaten auf Endpunkten wider und unsere fortlaufenden Investitionen in fortschrittlichere SMB-Sichtbarkeit durch Zeek-basierte Netzwerkfunktionen.

Zeitpunkt der Änderung:

Die Einführung für Worldwide, GCC, GCC High und DoD beginnt am 13. Juli 2026 und wird kurz darauf für alle Mandanten abgeschlossen sein.

Auswirkungen auf Ihre Organisation:

Betroffene Personen:

  • Sicherheitsadministratoren und Analysten, die Microsoft Defender for Endpoint Advanced Hunting nutzen
  • Organisationen mit benutzerdefinierten Erkennungsregeln, Hunting-Abfragen, geplanten Abfragen oder automatisierten Workflows, die sich auf SMB-Signatur-Inspektionsereignisse beziehen

Was passiert:

  • Events mit ActionType = \"NetworkSignatureInspected\" und SignatureName = \"SMB_Client\" werden nicht mehr generiert.
  • Abfragen, Erkennungen oder Workflows, die auf diese Ereignisse angewiesen sind, liefern nach der Einführung keine Ergebnisse mehr.
  • Andere Netzwerk-Signatur-Inspektionsereignisse bleiben unverändert.
  • Die Änderung ist standardmäßig aktiviert und erfordert keine Mandantenkonfiguration.

So bereiten Sie sich vor:

Um SMB-Verkehr im Advanced Hunting weiterhin zu identifizieren, empfehlen wir, im DeviceNetworkEvents-Tabellenfilter auf den Port 445 zu filtern, den Standardport, der von SMB verwendet wird und weiterhin vollständig unterstützt wird.

  • Überprüfen Sie benutzerdefinierte Erkennungsregeln, gespeicherte Hunting-Abfragen, geplante Abfragen und automatisierte Workflows auf Verweise auf SMB_Client.
  • Aktualisieren Sie betroffene Abfragen, um SMB-Verkehr anhand der Port-basierten Filterung zu identifizieren.
  • Validieren Sie, dass die aktualisierten Abfragen vor dem 1. Juli 2026 die erwarteten Ergebnisse liefern.

Beispiel für eine Abfrageanpassung

Ersetzen Sie:

DeviceNetworkEvents| where ActionType == \"NetworkSignatureInspected\"| extend SignatureName = tostring(parse_json(AdditionalFields).SignatureName)| where SignatureName == \"SMB_Client\"

Durch:

DeviceNetworkEvents| where RemotePort == 445 or LocalPort == 445

Bei Fragen oder Feedback zu dieser Änderung wenden Sie sich bitte an den Microsoft Support oder Ihren Microsoft-Kundenbetreuer.

Compliance-Hinweise:

  • Administration, Überwachung und Berichterstellung: Die Entfernung der SMB-Signatur-Inspektionsereignisse ändert die verfügbare Telemetrie im Advanced Hunting und kann die Überwachung oder Untersuchung von SMB-Aktivitäten durch Administratoren beeinflussen.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.