[Was und Warum]
Microsoft Defender for Cloud Apps verbessert seine Bedrohungsschutzfunktionen durch die Migration von Legacy-Erkennungsrichtlinien zu einem neuen dynamischen Erkennungsmodell. Dieses Update erhöht die Erkennungsgenauigkeit, reduziert Fehlalarme und ermöglicht eine schnellere Reaktion auf sich entwickelnde Bedrohungen durch forschungsbasierte Erkennungen, die von Microsoft-Sicherheitsexperten gepflegt werden.
Im Rahmen dieser Änderung wird die Legacy-Warnung "Activity performed by terminated user" durch eine Erkennung ersetzt, die auf dem neuen dynamischen Erkennungsmodell basiert. Diese aktualisierte Erkennung soll riskante Aktivitäten von Nutzern, die das Unternehmen verlassen haben, präziser identifizieren und gleichzeitig kontinuierlich auf Veränderungen der Bedrohungslage reagieren.
Diese Änderung führt zudem zu einem Übergang von statischer Erkennungslogik zu einer kontinuierlich aktualisierten Erkennungslogik, die sich im Laufe der Zeit weiterentwickeln kann, um Signalqualität und Genauigkeit zu verbessern.
[Bereitstellungszeitplan]
Allgemeine Verfügbarkeit (weltweit, GCC, GCC High, DoD): Die Bereitstellung beginnt Ende Juni 2026 und soll bis Anfang Juli 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Betroffene Personen
- Organisationen, die die Bedrohungsschutzfunktionen von Microsoft Defender for Cloud Apps verwenden
- Sicherheitsoperationen-Center und IT-Sicherheitsteams
Plattformen und Dienste
- Microsoft Defender for Cloud Apps, Teil von Microsoft Defender XDR
Was wird passieren
- Die Legacy-Warnung "Activity performed by terminated user" wird durch eine Erkennung basierend auf dem neuen dynamischen Erkennungsmodell ersetzt, mit dem Titel "Activity by a deprovisioned user (preview)". Das Suffix "(preview)" wird im nächsten Monat entfernt.
- Die aktualisierte Erkennung wird:
- Standardmäßig aktiviert sein
- Automatisch von Microsoft gepflegt und aktualisiert werden
- Kontinuierlich weiterentwickelt, um Erkennungsgenauigkeit zu verbessern und sich an neue Bedrohungen anzupassen
- Erkennungsverhalten, Warnmuster oder Warnvolumen können sich im Laufe der Zeit ändern, da sich das Modell anpasst.
- Keine manuelle Konfiguration ist erforderlich.
- Während der Bereitstellung:
- Deaktivierte Legacy-Richtlinien können vorübergehend sichtbar bleiben, und
- Legacy-Richtlinien werden nach Abschluss der Migration im Rahmen der Ablösung des Legacy-Erkennungsmodells entfernt.
Screenshot 1:
Screenshot 2:
[Erforderliche Maßnahmen/Empfehlungen]
Es sind keine Maßnahmen erforderlich.
Empfohlene Schritte:
- Informieren Sie die SOC- und Helpdesk-Teams über diese Änderung.
- Aktualisieren Sie interne Dokumentationen, die die Legacy-Warnung "Activity performed by terminated user" und die neue Warnung "Activity by a deprovisioned user (preview)" referenzieren.
- Überprüfen und validieren Sie nach der Bereitstellung alle automatisierten Abläufe, Workflows oder Incident-Response-Prozesse, die auf Warnungen basieren.
- Überwachen Sie nach der Bereitstellung die Warnungen, um das aktualisierte Erkennungsverhalten und den Abstimmungsbedarf zu verstehen.
Weitere Informationen: (Wird kurz vor der Bereitstellung aktualisiert.) Create Defender for Cloud Apps anomaly detection policies | Microsoft Defender for Cloud Apps | Microsoft Learn
[Compliance-Überlegungen]
Frage: Ändert die Änderung, wie vorhandene Kundendaten verarbeitet, gespeichert oder zugänglich gemacht werden?
Antwort: Ja. Die Änderung aktualisiert die Erkennungslogik, die verwendet wird, um bestehende Aktivitätsdaten in Microsoft Defender for Cloud Apps zu analysieren und potenzielle Bedrohungen zu identifizieren.
Frage: Ändert die Änderung, wie Administratoren Compliance-Aktivitäten überwachen, berichten oder nachweisen können?
Antwort: Ja. Warnungen werden unter Verwendung eines dynamischen Erkennungsmodells generiert, was Auswirkungen darauf haben kann, wie Administratoren Bedrohungsaktivitäten überwachen, interpretieren und melden.
