Archivo de novedades de Microsoft Defender for Identity
En este artículo se incluyen las notas de la versión de Microsoft Defender for Identity para versiones y características publicadas hace más de 6 meses.
Para obtener información sobre las versiones y características más recientes, consulte Novedades de Microsoft Defender for Identity.
Nota:
A partir del 15 de junio de 2022, Microsoft ya no admitirá el sensor de Defender for Identity en dispositivos que ejecuten Windows Server 2008 R2. Se recomienda identificar los controladores de dominio (DC) o los servidores de AD FS restantes que todavía ejecuten Windows Server 2008 R2 como sistema operativo y planificar su actualización a un sistema operativo compatible.
Durante los dos meses siguientes al 15 de junio de 2022, el sensor seguirá funcionando. Después de este período de dos meses, a partir del 15 de agosto de 2022, el sensor ya no funcionará en las plataformas Windows Server 2008 R2. Encontrará más detalles en https://aka.ms/mdi/2008r2.
Julio de 2023
Defender for Identity, versión 2.209
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Buscar grupos de Active Directory en Microsoft Defender XDR (versión preliminar)
La búsqueda global de Microsoft Defender XDR ahora admite la búsqueda por nombre de grupo de Active Directory. Los grupos encontrados se muestran en los resultados en una pestaña Grupos independiente. Seleccione un grupo de Active Directory de los resultados de búsqueda para ver más detalles, entre los que se incluyen:
- Tipo
- Ámbito
- Dominio
- Nombre de SAM
- SID
- Hora de creación del grupo
- La primera vez que se observó una actividad por parte del grupo
- Grupos que contienen el grupo seleccionado
- Una lista de todos los miembros del grupo
Por ejemplo:
Para obtener más información, consulte Microsoft Defender for Identity en Microsoft Defender XDR.
Nuevos informes de posición de seguridad
Las evaluaciones de la postura de seguridad de identidad de Defender for Identity detectan y recomiendan acciones de forma proactiva en sus configuraciones de Active Directory locales.
Las siguientes evaluaciones de posición de seguridad nuevas ya están disponibles en la puntuación de seguridad de Microsoft:
- Eliminación de derechos de acceso en cuentas sospechosas con el permiso Admin SDHolder
- Eliminación de cuentas que no son de administrador con permisos de DCSync
- Eliminación de administradores locales en recursos de identidad
- Inicio de la implementación de Defender for Identity
Para obtener más información, consulte Evaluaciones de la posición de seguridad de Microsoft Defender for Identity.
Redireccionamiento automático para el portal clásico de Defender for Identity
La experiencia y la funcionalidad del portal de Microsoft Defender for Identity convergen en la plataforma de detección y respuesta extendida (XDR) de Microsoft, Microsoft Defender XDR. A partir del 6 de julio de 2023, los clientes que usan el portal de Defender for Identity clásico se redirigen automáticamente a Microsoft Defender XDR, sin opción para volver al portal clásico.
Para obtener más información, consulte nuestra entrada de blog y Microsoft Defender for Identity en Microsoft Defender XDR.
Descargas y programación de informes de Defender for Identity en Microsoft Defender XDR (versión preliminar)
Ahora puede descargar y programar informes periódicos de Defender for Identity desde el portal de Microsoft Defender, creando paridad en la funcionalidad de informe con el portal de Defender for Identity clásico heredado.
Descargue y programe informes en XDR de Microsoft Defender desde la página Configuración > Identidades > Administrador de informes. Por ejemplo:
Para más información, consulte los informes de Microsoft Defender for Identity en Microsoft Defender XDR.
Defender for Identity, versión 2.208
- Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Defender for Identity, versión 2.207
Esta versión proporciona el nuevo parámetro de instalación AccessKeyFile. Use el parámetro AccessKeyFile durante una instalación silenciosa de un sensor de Defender for Identity para establecer la clave de acceso del área de trabajo desde una ruta de acceso de texto proporcionada. Para más información, consulte Instalar el sensor de Microsoft Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Junio de 2023
Defender for Identity, versión 2.206
- Esta versión incluye mejoras y correcciones de errores para los servicios en la nube y el sensor de Defender for Identity.
Búsqueda avanzada con una tabla IdentityInfo mejorada
- En el caso de los inquilinos con Defender for Identity implementado, la tabla de búsqueda avanzada de Microsoft 365 IdentityInfo ahora incluye más atributos por identidad e identidades detectadas por el sensor de Defender for Identity desde el entorno local.
Para más información, consulte la documentación de búsqueda avanzada de amenazas de Microsoft Defender XDR.
Defender for Identity, versión 2.205
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Mayo de 2023
Información destacada de las mejoras en el control de cuentas de Active Directory
La página Identidad> de detalles del usuario de Microsoft Defender XDR incluye ahora nuevos datos de control de cuentas de Active Directory.
En la pestaña Información general de detalles del usuario, se ha agregado una nueva tarjeta de controles de cuenta de Active Directory para resaltar la configuración de seguridad importante y los controles de Active Directory. Por ejemplo, esta tarjeta permite saber si un usuario específico puede omitir los requisitos de contraseña o si tiene una contraseña que nunca expira.
Por ejemplo:
Para obtener más información, consulte la documentación sobre el atributo de control de cuentas de usuario.
Defender for Identity, versión 2.204
Fecha de publicación: 29 de mayo de 2023
Nueva alerta de estado para errores de ingesta de datos de integración de VPN (RADIUS). Para obtener más información, consulte las alertas de estado del sensor de Microsoft Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.203
Fecha de publicación: 15 de mayo de 2023
Nueva alerta de estado para verificar que la auditoría en el contenedor de ADFS está configurada correctamente. Para obtener más información, consulte las alertas de estado del sensor de Microsoft Defender for Identity.
La página Identidad de Microsoft Defender 365 presenta actualizaciones de la interfaz de usuario para la experiencia de ruta de desplazamiento lateral. La funcionalidad no ha cambiado. Para obtener más información, consulte Comprensión e investigación de las rutas de desplazamiento lateral (LMP) con Microsoft Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Mejoras en la escala de tiempo de identidad
La pestaña Escala de tiempo de identidad ahora contiene características nuevas y mejoradas. Con la escala de tiempo actualizada, ahora se puede filtrar por Tipo de actividad, Protocolo y Ubicación, además de los filtros originales. También puede exportar la escala de tiempo a un archivo CSV y encontrar información adicional sobre las actividades asociadas con las técnicas de MITRE ATT&CK. Para obtener más información, consulte Investigación de usuarios en Microsoft Defender XDR.
Ajuste de alertas en Microsoft Defender XDR
El ajuste de alertas, ahora disponible en Microsoft Defender XDR, permite ajustar y optimizar las alertas. El ajuste de alertas reduce los falsos positivos, permite a los equipos de SOC centrarse en las alertas de prioridad alta y mejora la cobertura de detección de amenazas en todo el sistema.
En Microsoft Defender XDR, cree condiciones de regla basadas en tipos de pruebas y, a continuación, aplique la regla a cualquier tipo de regla que se ajuste a las condiciones. Para obtener más información, consulte Ajuste de una alerta.
Abril de 2023
Defender for Identity, versión 2.202
Fecha de publicación: 23 de abril de 2023
- Nueva alerta de estado para verificar que la auditoría del contenedor de configuración de Servicios de directorio está configurada correctamente, tal y como se describe en la página de alertas de estado.
- Las nuevas áreas de trabajo para inquilinos de AD asignadas a Nueva Zelanda se crean en la región Este de Australia. Para obtener la lista más reciente de implementación regional, consulte Componentes de Defender for Identity.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Marzo de 2023
Defender for Identity, versión 2.201
Fecha de publicación: 27 de marzo de 2023
Estamos en proceso de deshabilitar la alerta honeytoken de SAM-R. Aunque nunca se debe tener acceso a estos tipos de cuentas ni consultarlas, es posible que determinados sistemas heredados usen estas cuentas como parte de sus operaciones normales. Si esta funcionalidad resulta necesaria, siempre se puede crear una consulta de búsqueda avanzada de amenazas y usarla como detección personalizada. También se va a revisar la alerta de honeytoken de LDAP durante las próximas semanas, pero por ahora sigue funcionando.
Se han corregido problemas de lógica de detección en la alerta de estado de auditoría de objetos de Servicios de directorio para sistemas operativos en idiomas distintos del inglés y para Windows 2012 con esquemas de Servicios de directorio anteriores a la versión 87.
Hemos eliminado el requisito previo de configurar una cuenta de Servicios de directorio para que se inicien los sensores. Para obtener más información, consulte las recomendaciones de cuentas de Servicio de directorio para Microsoft Defender for Identity.
Ya no se requiere el registro de los eventos 1644. Si tiene habilitada esta configuración de registro, puede eliminarla. Para obtener más información, consulte el id. de evento 1644.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.200
Fecha de publicación: 16 de marzo de 2023
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.199
Fecha de publicación: 5 de marzo de 2023
Algunas exclusiones para la alerta de consulta de Honeytoken a través de SAM-R no funcionaban correctamente. En estas instancias, se desencadenaban alertas incluso para las entidades excluidas. Este error se ha corregido.
Se ha actualizado el nombre del protocolo NTLM para las tablas de búsqueda avanzada de amenazas de identidad: el nombre de protocolo anterior
Ntlm
aparece ahora comoNTLM
en las tablas de búsqueda avanzada de amenazas de identidad IdentityLogonEvents, IdentityQueryEvents e IdentityDirectoryEvents. Si actualmente usa el nombre de protocolo con el formatoNtlm
, que distingue mayúsculas de minúsculas, en las tablas de eventos de identidad, debe cambiarlo aNTLM
.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
2023 de febrero
Defender for Identity, versión 2.198
Fecha de publicación: 15 de febrero de 2023
Ahora hay una escala de tiempo de identidad disponible en la nueva página Identidad de Microsoft Defender XDR: la página Usuario actualizada de Microsoft Defender XDR tiene ahora un nuevo aspecto y comportamiento, con una vista expandida de los recursos relacionados y una nueva pestaña de escala de tiempo dedicada. La escala de tiempo incluye las actividades y las alertas de los últimos 30 días, y unifica las entradas de identidad del usuario en todas las cargas de trabajo disponibles (Defender for Identity/Defender for Cloud Apps/Defender for Endpoint). El uso de la escala de tiempo ayuda a centrarse fácilmente en las actividades de un usuario (o en las actividades realizadas sobre él) en periodos de tiempo específicos. Para obtener más información, consulte Investigación de usuarios en Microsoft Defender XDR.
Mejoras adicionales para las alertas de honeytoken: en la versión 2.191, se introdujeron varios escenarios nuevos en la alerta de actividad de honeytoken.
De acuerdo con los comentarios de los clientes, hemos decidido dividir la alerta de actividad de honeytoken en cinco alertas independientes:
- El usuario honeytoken se consultó a través de SAM-R.
- El usuario honeytoken se consultó a través de LDAP.
- Actividad de autenticación de usuario de Honeytoken.
- Atributos de usuario de Honeytoken modificados.
- Se ha cambiado la pertenencia a grupos de Honeytoken.
Además, se han agregado exclusiones para estas alertas, lo que proporciona una experiencia personalizada para el entorno.
Esperamos sus comentarios para que podamos seguir mejorando.
Nueva alerta de seguridad: uso sospechoso de certificados a través del protocolo Kerberos (PKINIT). Muchas de las técnicas para abusar de Servicios de certificados de Active Directory (AD CS) implican la utilización de un certificado en alguna fase del ataque. Microsoft Defender for Identity alerta ahora a los usuarios cuando observa esta utilización sospechosa de certificados. Este enfoque de supervisión del comportamiento proporciona protección completa contra ataques a AD CS, lo que desencadena una alerta cuando se intenta realizar una autenticación de certificado sospechosa en un controlador de dominio con un sensor de Defender for Identity instalado. Para obtener más información, consulte Microsoft Defender for Identity now detects suspicious certificate usage (Microsoft Defender for Identity detecta ahora la utilización sospechosa de certificados).
Interrupción automática de ataques: Defender for Identity colabora ahora con Microsoft Defender XDR para ofrecer interrupción de ataques automatizada. Esta integración implica que, para las señales procedentes de Microsoft Defender XDR, se puede desencadenar la acción Deshabilitar usuario. Estas acciones se desencadenan mediante señales de XDR de alta fidelidad, combinadas con información procedente de la investigación continua de miles de incidentes por parte de los equipos de investigación de Microsoft. La acción suspende la cuenta de usuario en peligro en Active Directory y sincroniza esta información con Microsoft Entra ID. Para obtener más información sobre la interrupción automática de ataques, consulte la entrada de blog de Microsoft Defender XDR.
También puede excluir usuarios específicos de las acciones de respuesta automatizadas. Para obtener más información, consulte Configuración de exclusiones de respuesta automatizadas de Defender for Identity.
Eliminación del periodo de aprendizaje: las alertas generadas por Defender for Identity se basan en diversos factores, tales como la generación de perfiles, la detección determinista, el aprendizaje automático y los algoritmos de comportamiento que ha aprendido sobre la red. El proceso de aprendizaje completo para Defender for Identity puede durar hasta 30 días por controlador de dominio. Sin embargo, puede haber instancias en las que le gustaría recibir alertas incluso antes de que se haya completado el proceso de aprendizaje completo. Por ejemplo, al instalar un nuevo sensor en un controlador de dominio o al evaluar el producto, es posible que desee recibir alertas inmediatamente. En tales casos, se puede desactivar el periodo de aprendizaje de las alertas afectadas si se habilita la característica Quitar período de aprendizaje. Para obtener más información, consulte Configuración avanzada.
Nueva forma de enviar alertas a M365D: hace un año, anunciamos que todas las experiencias de Microsoft Defender for Identity están disponibles en el portal de Microsoft Defender. Nuestra canalización de alertas principal está cambiando ahora gradualmente de Defender for Identity > Defender for Cloud Apps > Microsoft Defender XDR a Defender for Identity > Microsoft Defender XDR. Esta integración significa que las actualizaciones de estado en Defender for Cloud Apps no se reflejarán en Microsoft Defender XDR, y viceversa. Este cambio debería reducir significativamente el tiempo necesario para que las alertas aparezcan en el portal de Microsoft Defender. Como parte de esta migración, todas las directivas de Defender for Identity dejarán de estar disponibles en el portal de Defender for Cloud Apps a partir del 5 de marzo. Como siempre, se recomienda usar el portal de Microsoft Defender para todas las experiencias de Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Enero de 2023
Defender for Identity, versión 2.197
Fecha de publicación: 22 de enero de 2023
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.196
Fecha de publicación: 10 de enero de 2023
Nueva alerta de estado para verificar que la auditoría de objetos de Servicios de directorio está configurada correctamente, tal y como se describe en la página de alertas de estado.
Nueva alerta de estado para verificar que la configuración de energía del sensor está configurada para un rendimiento óptimo, tal y como se describe en la página de alertas de estado.
Se ha agregado información de MITRE ATT&CK a las tablas IdentityLogonEvents, IdentityDirectoryEvents e IdentityQueryEvents en la búsqueda avanzada de amenazas de Microsoft Defender XDR. En la columna AdditionalFields, puede encontrar detalles sobre las técnicas de ataque y la táctica (categoría) asociadas a algunas de nuestras actividades lógicas.
Dado que todas las características principales de Microsoft Defender for Identity están ahora disponibles en el portal de Microsoft Defender, la configuración de redirección del portal se habilita automáticamente para todos los inquilinos a partir del 31 de enero de 2023. Para obtener más información, consulte Redireccionamiento de cuentas de Microsoft Defender for Identity a Microsoft Defender XDR.
Diciembre de 2022
Defender for Identity, versión 2.195
Fecha de publicación: 7 de diciembre de 2022
Los centros de datos de Defender for Identity ahora también se implementan en la región Este de Australia. Para obtener la lista más reciente de implementación regional, consulte Componentes de Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Noviembre de 2022
Defender for Identity, versión 2.194
Fecha de publicación: 10 de noviembre de 2022
Nueva alerta de estado para verificar que la auditoría avanzada de Servicios de directorio está configurada correctamente, tal y como se describe en la página de alertas de estado.
Algunos de los cambios introducidos en la versión 2.191 de Defender for Identity con respecto a las alertas de honeytoken no se habilitaron correctamente. Esos problemas se han resuelto ahora.
Desde el final de noviembre, ya no se admite la integración manual con Microsoft Defender for Endpoint. Sin embargo, se recomienda encarecidamente usar el portal de Microsoft Defender (https://security.microsoft.com), que incluye la integración.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Octubre de 2022
Defender for Identity, versión 2.193
Fecha de publicación: 30 de octubre de 2022
Nueva alerta de seguridad: autenticación anómala de Servicios de federación de Active Directory (AD FS) mediante un certificado sospechoso
Esta nueva técnica está vinculada con el infame actor NOBELIUM y se denomina "MagicWeb"; permite a un adversario implantar una puerta trasera en servidores de AD FS en peligro, lo que permitirá la suplantación como cualquier usuario del dominio y, por tanto, el acceso a recursos externos. Para obtener más información sobre este ataque, lea esta entrada de blog.Defender for Identity puede usar ahora la cuenta LocalSystem en el controlador de dominio para realizar acciones de corrección (habilitar/deshabilitar usuarios, forzar el restablecimiento de contraseñas de usuario, etc.), además de la opción gMSA que estaba disponible antes. Esto ofrece compatibilidad inmediata para las acciones de corrección. Para obtener más información, consulte el artículo sobre las cuentas de acción de Microsoft Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.192
Fecha de publicación: 23 de octubre de 2022
Nueva alerta de estado para verificar que la auditoría de NTLM está habilitada, tal y como se describe en la página de alertas de estado.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Septiembre de 2022
Defender for Identity, versión 2.191
Fecha de publicación: 19 de septiembre de 2022
- Más actividades para desencadenar alertas de honeytoken
Microsoft Defender for Identity ofrece la capacidad de definir cuentas de honeytoken, que se usan como trampas para actores malintencionados. Cualquier autenticación asociada a estas cuentas de honeytoken (normalmente inactivas), desencadena una alerta de actividad honeytoken (ID. externo 2014). Como novedad de esta versión, cualquier consulta LDAP o SAMR en estas cuentas de honeytoken desencadenará una alerta. Además, si se audita el evento 5136, se desencadenará una alerta cuando se cambie uno de los atributos del honeytoken o si se cambia la pertenencia al grupo del honeytoken.
Para obtener más información, consulte este artículo sobre la configuración de recopilación de eventos de Windows.
Defender for Identity, versión 2.190
Fecha de publicación: 11 de septiembre de 2022
Evaluación actualizada: Configuraciones de dominio no seguras
Ahora, la evaluación de configuración de dominio no segura disponible a través de la Puntuación de seguridad de Microsoft evalúa la configuración de la directiva de firmas LDAP del controlador de dominio y alerta si encuentra una configuración no segura. Para obtener más información, consulte Evaluación de seguridad: Configuraciones de dominio no seguras.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.189
Fecha de publicación: 4 de septiembre de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Agosto de 2022
Defender for Identity, versión 2.188
Fecha de publicación: 28 de agosto de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.187
Fecha de publicación: 18 de agosto de 2022
Hemos cambiado parte de la lógica detrás de cómo desencadenamos la alerta de sospecha de ataque DCSync (replicación de servicios de directorio) (id. externo 2006). Este detector ahora trata los casos en los que la dirección IP de origen que ve el sensor parece ser un dispositivo NAT.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.186
Fecha de publicación: 10 de agosto de 2022
Las alertas de estado mostrarán ahora el nombre de dominio completo (FQDN) del sensor en lugar del nombre NetBIOS.
Hay nuevas alertas de estado disponibles para capturar el tipo de componente y la configuración, como se describe en la página de alertas de estado.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Julio de 2022
Defender for Identity, versión 2.185
Fecha de publicación: 18 de julio de 2022
Se ha corregido un problema por el que se detectaba erróneamente una sospecha de utilización de Golden Ticket (cuenta inexistente) (id. externo 2027) en dispositivos macOS.
Acciones de usuario: Hemos decidido dividir la acción Deshabilitar usuario en la página del usuario en dos acciones diferentes:
- Deshabilitar usuario, que deshabilita el usuario en el nivel de Active Directory.
- Suspender usuario, que deshabilita el usuario en el nivel de Microsoft Entra ID.
El tiempo que tarda la sincronización entre Active Directory y Microsoft Entra ID puede ser fundamental, por lo que ahora se puede optar por deshabilitar los usuarios en uno después del otro, con el fin de eliminar la dependencia de la propia sincronización. Tenga en cuenta que Active Directory invalidará un usuario que solo se haya deshabilitado en Microsoft Entra ID si el usuario todavía está activo allí.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.184
Fecha de publicación: 10 de julio de 2022
Nuevas valoraciones de seguridad
Ahora, Defender for Identity incluye la siguiente nueva evaluación de seguridad:- Configuraciones de dominio no seguras
Microsoft Defender for Identity supervisa continuamente su entorno para identificar dominios con valores de configuración que suponen un riesgo de seguridad e informa sobre estos dominios para ayudarle a proteger su entorno. Para obtener más información, consulte Evaluación de seguridad: Configuraciones de dominio no seguras.
- Configuraciones de dominio no seguras
Ahora, el paquete de instalación de Defender for Identity instalará el componente Npcap en lugar de los controladores WinPcap. Para obtener más información, consulte Controladores WinPcap y Npcap.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Junio de 2022
Defender for Identity, versión 2.183.15436.10558 (Hotfix)
Publicado el 20 de junio de 2022 (actualizado el 4 de julio de 2022)
- Nueva alerta de seguridad: Sospecha de ataque DFSCoerce mediante el Protocolo de sistema de archivos distribuido
En respuesta a la publicación de una herramienta de ataque reciente que saca provecho de un flujo en el protocolo DFS, Microsoft Defender for Identity desencadenará una alerta de seguridad cada vez que un atacante use este método de ataque. Para más información sobre este ataque, lea la entrada de blog.
Defender for Indentity, versión 2.183
Fecha de publicación: 20 de junio de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.182
Fecha de publicación: 4 de junio de 2022
- Hay disponible una página Acerca de nueva para Defender for Identity. Puede encontrarla en el portal de Microsoft Defender, en Configuración ->Identidades ->Acerca de. Proporciona varios detalles importantes sobre la instancia de Defender for Identity, incluido el nombre de la instancia, la versión, el identificador y la geolocalización. Esta información puede ser útil para solucionar problemas y abrir incidencias de soporte técnico.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Mayo de 2022
Defender for Identity, versión 2.181
Fecha de publicación: 22 de mayo de 2022
Ahora puede realizar acciones de corrección directamente en las cuentas locales mediante Microsoft Defender for Identity.
- Deshabilitar usuario: impide, de manera temporal, que un usuario inicie sesión en la red. Puede ayudar a evitar que los usuarios en peligro se muevan lateralmente e intenten filtrar datos o poner en peligro aún más la red.
- Restablecer la contraseña de usuario: solicita al usuario que cambie la contraseña en el inicio de sesión siguiente, lo que permite garantizar que no se usará esta cuenta para realizar más intentos de suplantación.
Estas acciones se pueden realizar desde varias ubicaciones en Microsoft Defender XDR: la página de usuario, el panel lateral de la página de usuario, la búsqueda avanzada de amenazas e, incluso, las detecciones personalizadas. Esto requiere configurar una cuenta gMSA con privilegios que Microsoft Defender for Identity usará para realizar las acciones. Para más información sobre los requisitos, consulte el artículo sobre las cuentas de acción de Microsoft Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.180
Fecha de publicación: 12 de mayo de 2022
Nueva alerta de seguridad: Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923)
En respuesta a la publicación de las CVE recientes, Microsoft Defender for Identity desencadenará una alerta de seguridad cada vez que un atacante intente aprovechar CVE-2022-26923. Para más información sobre este ataque, lea la entrada de blog.En la versión 2.177, publicamos actividades LDAP adicionales que puede cubrir Defender for Identity. Sin embargo, encontramos un error que hace que los eventos no se presenten ni ingieran en el portal de Defender for Identity. Esto se ha corregido en esta versión. A partir de la versión 2.180, cuando se habilita el identificador de evento 1644, no solo se obtiene visibilidad de las actividades LDAP a través de los servicios web de Active Directory, sino que, además, otras actividades LDAP incluirán al usuario que hizo la actividad LDAP en el equipo de origen. Esto se aplica a las alertas de seguridad y las actividades lógicas que se basan en eventos LDAP.
Como respuesta a la vulnerabilidad de seguridad KrbRelayUp reciente, lanzamos un detector silencioso que nos permite evaluar nuestra respuesta frente a esta vulnerabilidad. Con el detector silencioso, podremos evaluar la eficacia de la detección y recopilar información en función de los eventos que recopilamos. Si esta detección se mostrará en alta calidad, publicaremos una alerta de seguridad nueva en la próxima versión.
Cambiamos el nombre de Ejecución remota de código sobre DNS a Intento de ejecución remota de código sobre DNS, porque refleja mejor la lógica detrás de estas alertas de seguridad.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.179
Fecha de publicación: 1 de mayo de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Abril de 2022
Defender for Identity, versión 2.178
Fecha de publicación: 10 de abril de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Marzo de 2022
Defender for Identity, versión 2.177
Fecha de publicación: 27 de marzo de 2022
Microsoft Defender for Identity ahora puede supervisar consultas LDAP adicionales en la red. Estas actividades LDAP se envían a través del protocolo de servicio web de Active Directory y actúan como consultas LDAP normales. Para tener visibilidad sobre estas actividades, debe habilitar el evento 1644 en los controladores de dominio. Este evento abarca las actividades LDAP en el dominio y se usa principalmente para identificar búsquedas de protocolo ligero de acceso a directorios (LDAP) costosas, ineficaces o lentas que deben procesar controladores de dominio de Active Directory. Para obtener más información, consulte Configuraciones heredadas.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.176
Fecha de publicación: 16 de marzo de 2022
A partir de esta versión, al instalar el sensor desde un paquete nuevo, la versión del sensor en Agregar o quitar programas aparecerá con el número de versión completo (por ejemplo, 2.176.x.y), en lugar de la estática 2.0.0.0 que se mostraba anteriormente. Seguirá mostrando esa versión (la que se instala a través del paquete) aunque la versión se actualizará a través de las actualizaciones automáticas de los servicios en la nube de Defender for Identity. La versión real se puede ver en la página de configuración del sensor en el portal, en la ruta de acceso ejecutable o en la versión del archivo.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.175
Fecha de publicación: 6 de marzo de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Febrero de 2022
Defender for Identity, versión 2.174
Fecha de publicación: 20 de febrero de 2022
Hemos agregado el FQDN del shost de la cuenta implicada en la alerta al mensaje enviado a la SIEM. Para obtener más información, consulte Referencia del registro de SIEM de Microsoft Defender for Identity.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.173
Fecha de publicación: 13 de febrero de 2022
Todas las características de Microsoft Defender for Identity están disponibles ahora en el portal de Microsoft Defender. Para más información, consulte esta entrada de blog.
En esta versión se corrigen incidencias al instalar el sensor en Windows Server 2019 con KB5009557 instalado, o en un servidor con permisos EventLog protegido.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.172
Fecha de publicación: 8 de febrero de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Enero de 2022
Defender for Identity, versión 2.171
Fecha de publicación: 31 de enero de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.170
Fecha de publicación: 24 de enero de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.169
Fecha de publicación: 17 de enero de 2022
Nos complace publicar la capacidad de configurar una cuenta de acción para Microsoft Defender for Identity. Este es el primer paso en la capacidad de realizar acciones en los usuarios directamente desde el producto. Como primer paso, puede definir la cuenta de gMSA que Microsoft Defender for Identity usará para realizar las acciones. Se recomienda encarecidamente empezar a crear estos usuarios para disfrutar de la característica Acciones una vez que esté en activa. Para obtener más información, consulte Administrar cuentas de acción.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.168
Fecha de publicación: 9 de enero de 2022
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Diciembre de 2021
Defender for Identity, versión 2.167
Fecha de publicación: 29 de diciembre de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.166
Fecha de publicación: 27 de diciembre de 2021
- La versión incluye una nueva alerta de seguridad: Modificación sospechosa de un atributo sAMNameAccount (vulnerabilidades CVE-2021-42278 y CVE-2021-42287) (id. externo 2419).
En respuesta a la publicación de las CVE recientes, Microsoft Defender for Identity desencadenará una alerta de seguridad cada vez que un atacante intente aprovechar CVE-2021-42278 y CVE-2021-42287. Para más información sobre este ataque, lea la entrada de blog. - Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.165
Fecha de publicación: 6 de diciembre de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Noviembre de 2021
Defender for Identity, versión 2.164
Fecha de publicación: 17 de noviembre de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.163
Fecha de publicación: 8 de noviembre de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.162
Fecha de publicación: 1 de noviembre de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Septiembre de 2021
Defender for Identity, versión 2.161
Fecha de publicación: 12 de septiembre de 2021
- Esta versión incluye una nueva actividad supervisada: un usuario recuperó la contraseña de la cuenta de gMSA. Para obtener más información, consulte las actividades supervisadas de Microsoft Defender for Identity.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Agosto de 2021
Defender for Identity, versión 2.160
Fecha de publicación: 22 de agosto de 2021
- Esta versión incluye varias mejoras y abarca más escenarios de acuerdo con los últimos cambios en la vulnerabilidad PetitPotam.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.159
Fecha de publicación: 15 de agosto de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
- Esta versión incluye una mejora en una alerta recién publicada sobre una conexión de red sospechosa a través del Protocolo remoto del sistema de cifrado de archivos (id. externo 2416).
Se ha ampliado la compatibilidad con esta detección para que se desencadene cuando un posible atacante se comunique a través de un canal EFS-RPC cifrado. Las alertas desencadenadas cuando el canal está cifrado se tratan como alertas de gravedad media en lugar de alta (que es lo que ocurre cuando no está cifrado). Para obtener más información sobre esta alerta, consulte Conexión de red sospechosa a través del protocolo remoto del sistema de cifrado de archivos (id. externo 2416).
Defender for Identity, versión 2.158
Fecha de publicación: 8 de agosto de 2021
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Esta versión incluye una nueva alerta de seguridad sobre una conexión de red sospechosa a través del Protocolo remoto del sistema de cifrado de archivos (id. externo 2416).
En esta detección, Microsoft Defender for Identity desencadena una alerta de seguridad cada vez que un atacante intenta aprovechar la vulnerabilidad de EFS-RPC en el controlador de dominio. Este vector de ataque está asociado al reciente ataque PetitPotam. Para obtener más información sobre esta alerta, consulte Conexión de red sospechosa a través del protocolo remoto del sistema de cifrado de archivos (id. externo 2416).Esta versión incluye una nueva alerta de seguridad sobre la ejecución remota de código de Exchange Server (CVE-2021-26855) (id. externo 2414).
En esta detección, Microsoft Defender for Identity desencadena una alerta de seguridad cada vez que un atacante intenta cambiar el atributo "msExchExternalHostName" en el objeto de Exchange para la ejecución remota de código. Para obtener más información sobre esta alerta, consulte Ejecución remota de código de Exchange Server (CVE-2021-26855) (id. externo 2414). Esta detección se basa en el evento 4662 de Windows, por lo que debe habilitarse de antemano. Para obtener información sobre cómo configurar y recopilar este evento, consulte cómo configurar la recopilación de eventos de Windows y siga las instrucciones para habilitar la auditoría en un objeto de Exchange.
Defender for Identity, versión 2.157
Fecha de publicación: 1 de agosto de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Julio de 2021
Defender for Identity, versión 2.156
Fecha de publicación: 25 de julio de 2021
- A partir de esta versión, vamos a agregar el ejecutable del controlador Npcap al paquete de instalación del sensor. Para obtener más información, consulte Controladores WinPcap y Npcap.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.155
Fecha de publicación: 18 de julio de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.154
Fecha de publicación: 11 de julio de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
- Esta versión incluye mejoras y detecciones agregadas para la vulnerabilidad del administrador de trabajos de impresión conocida como detección PrintNightmare a fin de abarcar más escenarios de ataque.
Defender for Identity, versión 2.153
Fecha de publicación: 4 de julio de 2021
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Esta versión incluye una nueva alerta de seguridad sobre la sospecha de intento de explotación de vulnerabilidad del servicio del administrador de trabajos de impresión de Windows (vulnerabilidad CVE-2021-34527) (id. externo 2415).
En esta detección, Defender for Identity desencadena una alerta de seguridad cada vez que un atacante intenta aprovechar una vulnerabilidad del servicio del administrador de trabajos de impresión de Windows en el controlador de dominio. Este vector de ataque está asociado al aprovechamiento de vulnerabilidades del administrador de trabajos de impresión, y se conoce como PrintNightmare. Más información sobre esta alerta.
Junio de 2021
Defender for Identity, versión 2.152
Fecha de publicación: 27 de junio de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.151
Fecha de publicación: 20 de junio de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.150
Fecha de publicación: 13 de junio de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Mayo de 2021
Defender for Identity, versión 2.149
Fecha de publicación: 31 de mayo de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.148
Fecha de publicación: 23 de mayo de 2021
- Si configura y recopila el identificador de evento 4662, Defender for Identity notificará qué usuario realizó el cambio de números de secuencias actualizadas (USN) en varias propiedades de objeto de Active Directory. Por ejemplo, si se cambia una contraseña de cuenta y el evento 4662 está habilitado, el evento registrará quién cambió la contraseña.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.147
Fecha de publicación: 9 de mayo de 2021
- De acuerdo con los comentarios de los clientes, vamos a aumentar el número predeterminado de sensores permitidos de 200 a 350, y las credenciales de Servicios de directorio de 10 a 30.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.146
Fecha de publicación: 2 de mayo de 2021
Las notificaciones por correo electrónico de los problemas de estado y las alertas de seguridad ahora tendrán la dirección URL de investigación tanto para Microsoft Defender for Identity como para Microsoft Defender XDR.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Abril de 2021
Defender for Identity, versión 2.145
Fecha de publicación: 22 de abril de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.144
Fecha de publicación: 12 de abril de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Marzo de 2021
Defender for Identity, versión 2.143
Fecha de publicación: 14 de marzo de 2021
- Se ha agregado el evento de Windows 4741 para detectar las cuentas de equipo agregadas a actividades de Active Directory. Configure el evento nuevo para que Defender for Cloud Apps pueda recopilarlo. Una vez configurado, los eventos recopilados estarán disponibles para verlos en el registro de actividad, así como en la búsqueda avanzada de amenazas de Microsoft Defender XDR.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.142
Publicado el 7 de marzo de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Febrero de 2021
Defender for Identity, versión 2.141
Fecha de publicación: 21 de febrero de 2021
- Nueva alerta de seguridad: sospecha de ataque AS-REP Roasting (id. externo 2412)
La alerta de seguridad Sospecha de ataque AS-REP Roasting (identificador externo 2412) de Defender for Identity ya está disponible. En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando un usuario malintencionado ataca cuentas que no tienen habilitada la preautenticación Kerberos e intenta obtener los datos TGT de Kerberos. La intención del atacante podría ser extraer las credenciales de los datos mediante ataques de descifrado de contraseñas sin conexión. Para obtener más información, consulte la exposición AS-REP Roasting de Kerberos (id. externo 2412). - Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.140
Fecha de publicación: 14 de febrero de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Enero de 2021
Defender for Identity, versión 2.139
Fecha de publicación: 31 de enero de 2021
- Se ha actualizado la gravedad de la sospecha de exposición de SPN de Kerberos a alta para reflejar mejor el impacto de la alerta. Para obtener más información sobre la alerta, consulte Sospecha de exposición de SPN de Kerberos (id. externo 2410).
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.138
Fecha de publicación: 24 de enero de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.137
Fecha de publicación: 17 de enero de 2021
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.136
Fecha de publicación: 3 de enero de 2021
- Defender for Identity es compatible ahora con la instalación de sensores en servidores de Servicios de federación de Active Directory (AD FS). La instalación del sensor en servidores de AD FS compatibles amplía la visibilidad de Microsoft Defender for Identity en entornos híbridos mediante la supervisión de este componente de infraestructura crítico. Asimismo, se han actualizado algunas de las detecciones existentes (creación de servicios sospechosos, sospecha de ataque por fuerza bruta (LDAP), reconocimiento de enumeración de cuentas) para que funcionen también en datos de AD FS. Para iniciar la implementación del sensor de Microsoft Defender for Identity para el servidor de AD FS, descargue el paquete de implementación más reciente desde la página de configuración del sensor.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Diciembre de 2020
Defender for Identity, versión 2.135
Fecha de publicación: 20 de diciembre de 2020
- Se ha mejorado la alerta de Reconocimiento de atributos de Active Directory (LDAP) (id. externo 2210) con el fin de que detecte también las técnicas utilizadas para obtener información necesaria para generar tokens de seguridad, tal y como se ha observado como parte de la campaña Solorigate.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.134
Fecha de publicación: 13 de diciembre de 2020
- El detector de NetLogon publicado recientemente se ha mejorado para que funcione también cuando la transacción del canal de Netlogon se produce a través de un canal cifrado. Para obtener más información sobre el detector, consulte Sospecha de intento de elevación de privilegios de NetLogon.
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.133
Fecha de publicación: 6 de diciembre de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Noviembre de 2020
Defender for Identity, versión 2.132
Fecha de publicación: 17 de noviembre de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Defender for Identity, versión 2.131
Fecha de publicación: 8 de noviembre de 2020
- Nueva alerta de seguridad: sospecha de exposición de SPN de Kerberos (id. externo 2410)
Ya está disponible la alerta de seguridad de exposición sospechosa de SPN de Kerberos (identificador externo 2410) de Defender for Identity. En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando un atacante enumera las cuentas de servicio y sus respectivos SPN y, a continuación, solicita los vales de TGS de Kerberos de los servicios. La intención del atacante podría ser extraer los hashes de los vales y guardarlos para usarlos posteriormente en ataques por fuerza bruta sin conexión. Para obtener más información, consulte Sospecha de exposición de SPN de Kerberos. - Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Octubre de 2020
Defender for Identity, versión 2.130
Fecha de publicación: 25 de octubre de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.129
Fecha de publicación: 18 de octubre de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Septiembre de 2020
Azure ATP, versión 2.128
Fecha de publicación: 27 de septiembre de 2020
- Configuración de notificaciones por correo electrónico modificada
Se van a eliminar los controles de alternancia de notificación por correo electrónico para activar las notificaciones por correo electrónico. Para recibir notificaciones por correo electrónico, simplemente agregue una dirección. Para obtener más información, consulte la configuración de notificaciones. - Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.127
Fecha de publicación: 20 de septiembre de 2020
- Nueva alerta de seguridad: sospecha de intento de elevación de privilegios de Netlogon (id. externo 2411)
La alerta de seguridad Sospecha de intento de elevación de privilegios de Netlogon (abuso CVE-2020-1472) (id. externo 2411) de Azure ATP ya está disponible. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando un atacante establece una conexión de canal seguro de Netlogon vulnerable con un controlador de dominio mediante el Protocolo remoto de Netlogon (MS-NRPC); también se conoce como Vulnerabilidad de elevación de privilegios de Netlogon. Para obtener más información, consulte la información sobre la sospecha de intento de elevación de privilegios de Netlogon. - Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.126
Fecha de publicación: 13 de septiembre de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.125
Fecha de publicación: 6 de septiembre de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Agosto de 2020
Azure ATP, versión 2.124
Fecha de publicación: 30 de agosto de 2020
- Nuevas alertas de seguridad
Las alertas de seguridad de Azure ATP incluyen ahora las siguientes detecciones nuevas:- Reconocimiento de atributos de Active Directory (LDAP) (id. externo 2210)
En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha que un atacante obtiene correctamente información crítica sobre el dominio para su uso en la cadena de eliminación de ataques. Para obtener más información, consulte Reconocimiento de atributos de Active Directory. - Sospecha de utilización de certificados Kerberos no autorizados (id. externo 2047)
En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando un atacante que ha adquirido control sobre la organización al poner en peligro el servidor de la autoridad de certificado es sospechoso de generar certificados que se podrían usar como cuentas de puerta trasera en ataques futuros, como el desplazamiento lateral en la red. Para obtener más información, consulte Sospecha de utilización de certificados Kerberos no autorizados. - Sospecha de utilización de Golden Ticket (anomalía de vale con RBCD) (id. externo 2040)
Los atacantes con permisos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales (TGT) Kerberos que proporcione autorización a cualquier recurso.
Este TGT falsificado se denomina "Golden Ticket" porque permite a los atacantes lograr persistencia de red duradera mediante delegación restringida basada en recursos (RBCD). Esta nueva detección está diseñada para identificar las características únicas que tienen los Golden Tickets falsificados de este tipo. Para obtener más información, consulte Sospecha de utilización de Golden Ticket (anomalía de vale mediante RBCD).
- Reconocimiento de atributos de Active Directory (LDAP) (id. externo 2210)
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.123
Fecha de publicación: 23 de agosto de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.122
Fecha de publicación: 16 de agosto de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.121
Fecha de publicación: 2 de agosto de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Julio de 2020
Azure ATP, versión 2.120
Fecha de publicación: 26 de julio de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.119
Fecha de publicación: 5 de julio de 2020
- Mejora de características: nueva pestaña de controladores de dominio excluidos en el informe de Excel
Para mejorar la precisión del cálculo de cobertura de controladores de dominio, se excluirán del cálculo los controladores de dominio con relaciones de confianza externas para lograr una cobertura del 100 %. Los controladores de dominio excluidos se mostrarán en la nueva pestaña de controladores de dominio excluidos en el informe de Excel de cobertura de dominios descargado. Para obtener información sobre cómo descargar el informe, consulte la información sobre el estado de los controladores de dominio. - Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Junio de 2020
Azure ATP, versión 2.118
Fecha de publicación: 28 de junio de 2020
Nuevas valoraciones de seguridad
Las evaluaciones de seguridad de Azure ATP ahora incluyen las siguientes nuevas evaluaciones:- Rutas de desplazamiento lateral más arriesgadas
Esta evaluación supervisa continuamente el entorno para identificar cuentas confidenciales con las rutas de desplazamiento lateral más arriesgadas que suponen un riesgo de seguridad e informa sobre estas cuentas para contribuir a administrar el entorno. Las rutas se consideran arriesgadas si tienen tres o más cuentas no confidenciales que pueden exponer la cuenta confidencial al robo de credenciales por parte de actores malintencionados. Para obtener más información, consulte Evaluación de seguridad: rutas de desplazamiento lateral más arriesgadas (LMP). - Atributos de cuenta no seguros
Esta evaluación de Azure ATP supervisa continuamente el entorno para identificar cuentas con valores de atributos que suponen un riesgo de seguridad e informa sobre estas cuentas para contribuir a proteger el entorno. Para obtener más información, consulte Evaluación de seguridad: atributos de cuenta no seguros.
- Rutas de desplazamiento lateral más arriesgadas
Definición de confidencialidad actualizada
Vamos a ampliar la definición de confidencialidad para las cuentas locales a fin de incluir entidades que pueden usar la replicación de Active Directory.
Azure ATP, versión 2.117
Fecha de publicación: 14 de junio de 2020
Mejora de características: detalles de actividad adicionales disponibles en la experiencia unificada de SecOps
Se ha ampliado la información de dispositivos que se envía a Defender for Cloud Apps, que incluye nombres de dispositivos, direcciones IP, UPN de cuentas y puertos usados. Para obtener más información sobre la integración con Defender for Cloud Apps, consulte Uso de Azure ATP con Defender for Cloud Apps.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.116
Fecha de publicación: 7 de junio de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Mayo de 2020
Azure ATP, versión 2.115
Fecha de publicación: 31 de mayo de 2020
Nuevas valoraciones de seguridad
Las evaluaciones de seguridad de Azure ATP ahora incluyen las siguientes nuevas evaluaciones:- Atributos de historial de SID no seguros
Esta evaluación informa sobre los atributos del historial de SID que pueden usar los atacantes malintencionados para obtener acceso al entorno. Para obtener más información, consulte Evaluación de seguridad: atributos de historial de SID no seguros. - Utilización de Microsoft LAPS
Esta evaluación informa sobre las cuentas de administrador locales que no usan la "Solución de contraseñas de administrador local" (LAPS) de Microsoft para proteger sus contraseñas. El uso de LAPS simplifica la administración de contraseñas y también ayuda a defenderse contra los ciberataques. Para obtener más información, consulte Evaluación de seguridad: Utilización de Microsoft LAPS.
- Atributos de historial de SID no seguros
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.114
Fecha de publicación: 17 de mayo de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.113
Fecha de publicación: 5 de mayo de 2020
Mejora de características: actividad de acceso a recursos enriquecida con NTLMv1
A partir de esta versión, Azure ATP proporciona información sobre las actividades de acceso a recursos para indicar si el recurso usa la autenticación NTLMv1. Esta configuración de recursos no es segura y supone un riesgo de que los actores malintencionados puedan forzar la aplicación en su beneficio. Para obtener más información sobre el riesgo, consulte la información sobre la utilización de protocolos heredados.Mejora de características: alerta sobre sospecha de ataque por fuerza bruta (Kerberos, NTLM)
Los atacantes usan el ataque por fuerza bruta para adentrarse en una organización, y es un método clave para la detección de amenazas y riesgos en Azure ATP. Para ayudar a centrarse en los riesgos críticos para los usuarios, esta actualización facilita y agiliza el análisis y la corrección de riesgos, limitando y priorizando el volumen de alertas.
Marzo de 2020
Azure ATP, versión 2.112
Fecha de publicación: 15 de marzo de 2020
Las nuevas instancias de Azure ATP se integran automáticamente con Microsoft Defender for Cloud Apps
Al crear una instancia de Azure ATP, la integración con Microsoft Defender for Cloud Apps está habilitada de manera predeterminada. Para más información sobre la integración, consulte Uso de Azure ATP con Microsoft Defender for Cloud Apps.Nuevas actividades supervisadas
Los siguientes monitores de actividad ya están disponibles:Inicio de sesión interactivo con certificado
Error de inicio de sesión con certificado
Acceso delegado a recursos
Puede obtener más información sobre qué actividades supervisa Azure ATP y cómo filtrar y buscar actividades supervisadas en el portal.
Mejora de características: actividad de acceso a recursos enriquecida
A partir de esta versión, Azure ATP proporciona información sobre las actividades de acceso a recursos para indicar si se confía en el recurso para la delegación sin restricciones. Esta configuración de recursos no es segura y supone un riesgo de que los actores malintencionados puedan forzar la aplicación en su beneficio. Para obtener más información sobre el riesgo, consulte Evaluación de seguridad: delegación Kerberos no segura.Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796) (vista previa)
La alerta de seguridad Sospecha de manipulación de paquetes SMB de Azure ATP se encuentra ahora en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha que un paquete SMBv3 aprovecha la vulnerabilidad de seguridad CVE-2020-0796 en un controlador de dominio de la red.
Azure ATP, versión 2.111
Fecha de publicación: 1 de marzo de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Febrero de 2020
Azure ATP, versión 2.110
Fecha de publicación: 23 de febrero de 2020
- Nueva evaluación de seguridad: controladores de dominio no supervisados
Las evaluaciones de seguridad de Azure ATP ahora incluyen un informe sobre controladores de dominio no supervisados, servidores sin sensor, para ayudarle a administrar la cobertura completa de su entorno. Para obtener más información, consulte Controladores de dominio no supervisados.
Azure ATP, versión 2.109
Fecha de publicación: 16 de febrero de 2020
- Mejora de características: entidades confidenciales
A partir de esta versión (2.109), las máquinas identificadas como servidores de autoridad de certificado, DHCP o DNS por Azure ATP se etiquetan automáticamente como confidenciales.
Azure ATP, versión 2.108
Fecha de publicación: 9 de febrero de 2020
Nueva característica: compatibilidad con cuentas de servicio administradas de grupo
Azure ATP es ahora compatible con el uso de cuentas de servicio administradas de grupo (gMSA) para mejorar la seguridad al conectar sensores de Azure ATP a bosques de Microsoft Entra. Para obtener más información sobre el uso de gMSA con sensores de Azure ATP, consulte cómo conectar con un bosque de Active Directory.Mejora de características: informe programado con demasiados datos
Cuando un informe programado tiene demasiados datos, el correo electrónico ahora informa de este hecho con un texto que indica que hay demasiados datos durante el periodo especificado para generar un informe. Anteriormente, esto solo se podía saber después de hacer clic en el vínculo del informe en el correo electrónico.Mejora de características: lógica de cobertura de controladores de dominio actualizada
Hemos actualizado la lógica del informe de cobertura de controladores de dominio para incluir información adicional de Microsoft Entra ID, lo que da lugar a una vista más precisa de los controladores de dominio sin sensores. Esta nueva lógica también debe tener un efecto positivo en la puntuación de seguridad de Microsoft correspondiente.
Azure ATP, versión 2.107
Fecha de publicación: 3 de febrero de 2020
Nueva actividad supervisada: cambio del historial de SID
El cambio del historial de SID es ahora una actividad supervisada que se puede filtrar. Puede obtener más información sobre qué actividades supervisa Azure ATP y cómo filtrar y buscar actividades supervisadas en el portal.Mejora de características: las alertas cerradas o suprimidas ya no se vuelven a abrir
Una vez que se cierra o suprime una alerta en el portal de Azure ATP, si se vuelve a detectar la misma actividad en un periodo breve de tiempo, se abre una nueva alerta. Anteriormente, en las mismas condiciones, se volvía a abrir la misma alerta.TLS 1.2 necesario para el acceso al portal y los sensores
Ahora se requiere TLS 1.2 para usar sensores de Azure ATP y el servicio en la nube. El acceso al portal de Azure ATP ya no será posible mediante navegadores que no sean compatibles con TLS 1.2.
Enero de 2020
Azure ATP, versión 2.106
Fecha de publicación: 19 de enero de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.105
Fecha de publicación: 12 de enero de 2020
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Diciembre de 2019
Azure ATP, versión 2.104
Fecha de publicación: 23 de diciembre de 2019
Expiraciones de versión de sensor eliminadas
Los paquetes de implementación e instalación de sensores de Azure ATP ya no expiran después de una serie de versiones, y ahora solo se actualizan una vez. El resultado de esta característica es que los paquetes de instalación de sensores descargados previamente se pueden instalar ahora aunque sean anteriores al número máximo de versiones.Confirmar que se encuentra en peligro
Ahora puede confirmar el peligro para usuarios específicos de Microsoft 365 y establecer su nivel de riesgo en alto. Este flujo de trabajo permite a los equipos de operaciones de seguridad otra funcionalidad de respuesta para reducir los umbrales de tiempo de resolución de incidentes de seguridad. Obtenga más información sobre cómo confirmar que se encuentra en peligro mediante Azure ATP y Defender for Cloud Apps.Banner de nueva experiencia
En las páginas del portal de Azure ATP donde haya disponible una experiencia nueva en el portal de Defender for Cloud Apps, se muestran banners nuevos que describen lo que hay disponible con vínculos de acceso.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.103
Fecha de publicación: 15 de diciembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.102
Fecha de publicación: 8 de diciembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Noviembre de 2019
Azure ATP, versión 2.101
Fecha de publicación: 24 de noviembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.100
Fecha de publicación: 17 de noviembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.99
Fecha de publicación: 3 de noviembre de 2019
Mejora de características: se ha agregado la notificación de la interfaz de usuario de la disponibilidad del portal de Defender for Cloud Apps al portal de Azure ATP
Para tener la seguridad de que todos los usuarios están al tanto de la disponibilidad de las características mejoradas mediante el portal de Defender for Cloud Apps, se ha agregado una notificación al portal desde la escala de tiempo existente de alertas de Azure ATP.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Octubre de 2019
Azure ATP, versión 2.98
Fecha de publicación: 27 de octubre de 2019
Mejora de características: alerta sobre sospecha de ataque por fuerza bruta
Se ha mejorado la alerta Sospecha de ataque por fuerza bruta (SMB) mediante análisis adicional y una lógica de detección mejorada para reducir los resultados de verdadero positivo benigno (B-TP) y falso positivo (FP).Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.97
Fecha de publicación: 6 de octubre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Septiembre de 2019
Azure ATP, versión 2.96
Fecha de publicación 22 de septiembre de 2019
Datos de autenticación NTLM enriquecidos con el evento 8004 de Windows
Los sensores de Azure ATP ahora pueden leer y enriquecer automáticamente las actividades de autenticación NTLM con los datos de servidor a los que se accede cuando la auditoría de NTLM está habilitada y el evento 8004 de Windows está activado. Azure ATP analiza el evento de Windows 8004 para las autenticaciones NTLM con el fin de enriquecer los datos de autenticación NTLM usados para el análisis y las alertas de amenazas de Azure ATP. Esta funcionalidad mejorada proporciona actividad de acceso a recursos a través de datos NTLM, así como actividades enriquecidas de inicio de sesión con errores, incluido el equipo de destino al que intentó acceder el usuario pero no pudo.Para obtener más información sobre las actividades de autenticación NTLM, consulte la información sobre el evento de Windows 8004.
Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.95
Fecha de publicación: 15 de septiembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.94
Fecha de publicación: 8 de septiembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.93
Fecha de publicación: 1 de septiembre de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Agosto de 2019
Azure ATP, versión 2.92
Fecha de publicación: 25 de agosto de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.91
Fecha de publicación: 18 de agosto de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.90
Fecha de publicación: 11 de agosto de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.89
Fecha de publicación: 4 de agosto de 2019
Mejoras de métodos de sensor
Para evitar el exceso de generación de tráfico NTLM en la creación de evaluaciones precisas de ruta de desplazamiento lateral (LMP), se han realizado mejoras en los métodos de sensor de Azure ATP para confiar menos en la utilización de NTLM y hacer mayor uso de Kerberos.Mejora de alertas: sospecha de utilización de Golden Ticket (cuenta inexistente)
Se han agregado cambios de nombre SAM a los tipos de pruebas de soporte enumerados en este tipo de alerta. Para más información sobre la alerta, incluida la forma de evitar este tipo de actividad y su corrección, vea Sospecha de utilización de Golden Ticket (cuenta inexistente).Disponibilidad general: sospecha de alteración de la autenticación NTLM
La alerta Sospecha de alteración de la autenticación NTLM ya no se encuentra en modo de versión preliminar y ahora está disponible con carácter general.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Julio de 2019
Azure ATP, versión 2.88
Fecha de publicación: 28 de julio de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.87
Fecha de publicación: 21 de julio de 2019
Mejora de características: recopilación automatizada de eventos de Syslog para sensores independientes de Azure ATP
Las conexiones de Syslog entrantes para sensores independientes de Azure ATP ahora están totalmente automatizadas, y se ha eliminado la opción de alternancia de la pantalla de configuración. Estos cambios no tienen ningún efecto en las conexiones de Syslog salientes.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.86
Fecha de publicación: 14 de julio de 2019
Sospecha de alteración de la autenticación NTLM (id. externo 2039)
La nueva alerta de seguridad Sospecha de alteración de la autenticación NTLM de Azure ATP ya está en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha el uso de un ataque de tipo "Man in the middle" al omitir correctamente la comprobación de integridad de mensajes NTLM (MIC), una vulnerabilidad de seguridad detallada en CVE-2019-040 de Microsoft. Estos tipos de ataques intentan cambiar a una versión anterior las características de seguridad de NTLM y autenticarse con el objetivo final de realizar desplazamientos laterales.Mejora de características: identificación enriquecida del sistema operativo del dispositivo
Hasta ahora, Azure ATP proporcionaba información del sistema operativo del dispositivo de una entidad en función del atributo disponible en Active Directory. Anteriormente, si la información del sistema operativo no estaba disponible en Active Directory, tampoco estaba disponible en las páginas de entidad de Azure ATP. A partir de esta versión, Azure ATP proporciona esta información sobre los dispositivos para los que Active Directory no tiene la información, o que no están registrados en Active Directory, mediante métodos enriquecidos de identificación del sistema operativo de los dispositivos.La adición de datos enriquecidos de identificación del sistema operativo de dispositivos ayuda a identificar dispositivos no registrados y que no son Windows, al tiempo que contribuye simultáneamente al proceso de investigación. Para obtener más información sobre la resolución de nombres de red en Azure ATP, consulte el artículo sobre resolución de nombres de red (NNR).
Nueva característica: proxy autenticado (versión preliminar)
Azure ATP ahora es compatible con un proxy autenticado. Especifique la dirección URL del proxy mediante la línea de comandos del sensor y especifique el nombre de usuario y la contraseña para los servidores proxy que requieren autenticación. Para obtener más información sobre cómo usar un proxy autenticado, consulte el artículo sobre configuración del proxy.Mejora de características: proceso de sincronizador de dominio automatizado
El proceso de diseñar y etiquetar controladores de dominio como candidatos a sincronizador de dominio durante la instalación y la configuración en curso ahora está totalmente automatizado. Se ha eliminado la opción de alternancia para seleccionar manualmente controladores de dominio como candidatos a sincronizador de dominio.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.85
Fecha de publicación: 7 de julio de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.84
Fecha de publicación: 1 de julio de 2019
Nueva ubicación compatible: centro de datos de Azure Reino Unido
Las instancias de Azure ATP son compatibles ahora con el centro de datos de Azure Reino Unido. Para obtener más información sobre cómo crear instancias de Azure ATP y las ubicaciones de centro de datos correspondientes, consulte el paso 1 de la instalación de Azure ATP.Mejora de características: nombre y características nuevos para la alerta de adiciones sospechosas a grupos confidenciales (id. externo 2024)
Anteriormente, la alerta Adiciones sospechosas a grupos confidenciales se denominaba Modificaciones sospechosas de grupos confidenciales. El identificador externo de la alerta (id. 2024) sigue siendo el mismo. El cambio de nombre descriptivo refleja con más precisión el propósito de alertar sobre las adiciones en los grupos confidenciales. La alerta mejorada también incluye nuevas pruebas y descripciones mejoradas. Para obtener más información, consulte Adiciones sospechosas a grupos confidenciales.Documentación de característica nueva: guía para pasar de Advanced Threat Analytics a Azure ATP
En este nuevo artículo se incluyen los requisitos previos, la guía de planificación, y los pasos de configuración y comprobación para pasar de ATA al servicio Azure ATP. Para obtener más información, consulte el artículo sobre cómo pasar de ATA a Azure ATP.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Junio de 2019
Azure ATP, versión 2.83
Fecha de publicación: 23 de junio de 2019
Mejora de características: alerta de creación de servicio sospechoso (id. externo 2026)
Esta alerta incluye ahora una página de alerta mejorada con pruebas adicionales y una nueva descripción. Para obtener más información, consulte el artículo sobre la alerta de seguridad de creación de servicio sospechoso.Compatibilidad de nomenclatura de instancias: adición de compatibilidad con prefijos de dominio que solo contienen dígitos
Se ha agregado compatibilidad para la creación de instancias de Azure ATP con prefijos de dominio iniciales que solo contienen dígitos. Por ejemplo, ahora es posible utilizar prefijos de dominio solo con dígitos, como 123456.contoso.com.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.82
Fecha de publicación: 18 de junio de 2019
Nueva versión preliminar pública
La experiencia de investigación de amenazas de identidad de Azure ATP se encuentra ahora en versión preliminar pública, y está disponible para todos los inquilinos protegidos de Azure ATP. Para obtener más información, consulte el artículo sobre la experiencia de investigación de Microsoft Defender for Cloud Apps de Azure ATP.Disponibilidad general
La compatibilidad de Azure ATP con bosques que no son de confianza ya está disponible con disponibilidad general. Consulte Soporte de varios bosques de Azure ATP para obtener más información.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.81
Fecha de publicación: 10 de junio de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.80
Fecha de publicación: 2 de junio de 2019
Mejora de características: alerta de conexión VPN sospechosa
Esta alerta incluye ahora pruebas y textos mejorados para aumentar la facilidad de uso. Para obtener más información sobre las características de la alerta, los pasos de corrección sugeridos y la prevención, consulte la descripción de la alerta de conexión VPN sospechosa.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Mayo de 2019
Azure ATP, versión 2.79
Fecha de publicación: 26 de mayo de 2019
Disponibilidad general: reconocimiento de entidad de seguridad (LDAP) (id. externo 2038)
Esta alerta se encuentra ahora en estado de disponibilidad general (GA). Para obtener más información sobre la alerta, las características de alerta, y la corrección sugerida y los pasos de prevención, consulte Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038).
Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.78
Fecha de publicación: 19 de mayo de 2019
Mejora de características: entidades confidenciales
Etiquetado confidencial manual para servidores ExchangeAhora puede etiquetar manualmente entidades como servidores Exchange durante la configuración.
Para etiquetar manualmente una entidad como servidor Exchange:
- En el portal de Azure ATP, seleccione Configuración.
- En Detección, seleccione Etiquetas de entidad y, a continuación, seleccione Confidencial.
- Seleccione Servidores Exchange y agregue la entidad que desee etiquetar.
Después de etiquetar un ordenador como servidor Exchange, se etiquetará como Confidencial y se mostrará que se etiquetó como servidor Exchange. La etiqueta Confidencial aparecerá en el perfil de entidad del ordenador, y se tendrá en cuenta en todas las detecciones basadas en cuentas confidenciales y rutas de desplazamiento lateral.
Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.77
Fecha de publicación: 12 de mayo de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.76
Fecha de publicación: 6 de mayo de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Abril de 2019
Azure ATP, versión 2.75
Fecha de publicación: 28 de abril de 2019
Mejora de características: entidades confidenciales
A partir de esta versión (2.75), las máquinas identificadas como servidores Exchange por Azure ATP se etiquetan ahora automáticamente como confidenciales.Las entidades que se etiquetan automáticamente como confidenciales porque funcionan como servidores Exchange muestran esta clasificación como motivo de etiquetado.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.74
Fecha de publicación: 14 de abril de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.73
Fecha de publicación: 10 de abril de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Marzo de 2019
Azure ATP, versión 2.72
Publicada el 31 de marzo de 2019
Mejora de características: profundidad con ámbito de ruta de desplazamiento lateral (LMP)
Las rutas de desplazamiento lateral (LMP) son un método clave para la detección de amenazas y riesgos en Azure ATP. Para contribuir a centrarse en los riesgos críticos para los usuarios más confidenciales, esta actualización facilita y agiliza el análisis y la corrección de riesgos para los usuarios confidenciales en cada LMP limitando el ámbito y la profundidad de los gráficos mostrados.Consulte el artículo sobre las rutas de desplazamiento lateral para obtener más información sobre cómo Azure ATP usa LMP para exponer los riesgos de acceso a cada entidad del entorno.
Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.71
Fecha de publicación: 24 de marzo de 2019
Mejora de características: alertas de estado de resolución de nombres de red (NNR)
Se han agregado alertas de estado para los niveles de confianza asociados a las alertas de seguridad de Azure ATP basadas en NNR. Cada alerta de estado incluye recomendaciones procesables y detalladas para contribuir a resolver las bajas tasas de éxito de NNR.Consulte Resolución de nombres de red para obtener más información sobre cómo Azure ATP usa NNR y por qué es importante para la precisión de las alertas.
Compatibilidad con servidores: se ha agregado compatibilidad para Server 2019 con el uso de KB4487044
Se ha agregado compatibilidad para el uso de Windows Server 2019 con el nivel de revisión de KB4487044. Server 2019 no es compatible sin esta revisión, y se bloqueará a partir de esta actualización.Mejora de características: exclusión de alertas basada en usuario
Ahora, las opciones ampliadas de exclusión de alertas permiten excluir a usuarios específicos de alertas concretas. Las exclusiones pueden ayudar a evitar situaciones en las que el uso o la configuración de determinados tipos de software interno desencadenan repetidamente alertas de seguridad benignas.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.70
Fecha de publicación: 17 de marzo de 2019
Mejora de características: se ha agregado el nivel de confianza Resolución de nombres de red (NNR) a varias alertas. Resolución de nombres de red (NNR) se usa para identificar positivamente la identidad de la entidad de origen de los presuntos ataques. Al agregar los niveles de confianza de NNR a las listas de pruebas de alertas de Azure ATP, ahora puede evaluar y comprender al instante el nivel de confianza de NNR relacionado con los posibles orígenes identificados y corregirlos adecuadamente.
Se han agregado pruebas de nivel de confianza de NNR a las siguientes alertas:
Escenario de alerta de estado adicional: error al iniciar el servicio del sensor de Azure ATP
En instancias en las que el sensor de Azure ATP no se puede iniciar debido a un problema del controlador de captura de red, ahora se desencadena una alerta de estado del sensor. Consulte Solución de problemas del sensor de Azure ATP con registros de Azure ATP para obtener más información sobre los registros de Azure ATP y cómo usarlos.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.69
Fecha de publicación: 10 de marzo de 2019
Mejora de características: alerta Sospecha de robo de identidad (pass-the-ticket). Esta alerta ahora cuenta con nuevas pruebas que muestran los detalles de las conexiones realizadas mediante un protocolo de escritorio remoto (RDP). Las pruebas agregadas facilitan la corrección del problema conocido de alertas de verdadero positivo benigno (B-TP) causadas por el uso de conexiones remotas de Credential Guard a través de RDP.
Mejora de características: alerta de ejecución remota de código a través de DNS
Esta alerta incluye ahora nuevas pruebas que muestran el estado de actualización de seguridad del controlador de dominio e informa sobre cuándo se requieren actualizaciones.Documentación de característica nueva: alerta de seguridad de Azure ATP MITRE ATT&CK Matrix™
Para explicar y facilitar la asignación de relaciones entre las alertas de seguridad de Azure ATP y MITRE ATT&CK Matrix, hemos agregado las técnicas MITRE pertinentes a la lista de alertas de seguridad de Azure ATP. Esta referencia adicional facilita la comprensión de la técnica de ataque sospechosa potencialmente en uso cuando se desencadena una alerta de seguridad de Azure ATP. Obtenga más información en la guía de alertas de seguridad de Azure ATP.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.68
Fecha de publicación: 3 de marzo de 2019
Mejora de características: alerta de sospecha de ataque por fuerza bruta (LDAP)
Se han realizado mejoras significativas en esta alerta de seguridad, incluida una descripción revisada, suministro de información adicional sobre el origen y detalles sobre el intento de adivinación para una corrección más rápida.
Obtenga más información sobre las alertas de seguridad de sospecha de ataque por fuerza bruta (LDAP).Documentación de nueva característica: laboratorio de alertas de seguridad
Para explicar la eficacia de Azure ATP para detectar las amenazas reales en su entorno de trabajo, hemos agregado un nuevo laboratorio de alertas de seguridad a esta documentación. El laboratorio de alertas de seguridad ayuda a configurar rápidamente un entorno de laboratorio o pruebas, y explica la mejor posición defensiva frente a amenazas y ataques comunes y reales.El laboratorio paso a paso está diseñado para garantizar que dedique un tiempo mínimo a crear y más tiempo a aprender sobre el panorama de amenazas, así como las alertas y la protección disponibles de Azure ATP. Nos encantaría conocer su opinión.
Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Febrero de 2019
Azure ATP, versión 2.67
Fecha de publicación: 24 de febrero de 2019
Nueva alerta de seguridad: reconocimiento de entidad de seguridad (LDAP) (versión preliminar)
La alerta Reconocimiento de entidad de seguridad (LDAP) (versión preliminar) de Azure ATP se encuentra ahora en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando los atacantes usan el reconocimiento de entidad de seguridad para obtener información crítica sobre el entorno de dominio. Esta información ayuda a los atacantes a crear un mapa de la estructura de dominio, así como a identificar cuentas con privilegios para su uso en pasos posteriores de la cadena de ataque.El Protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares utilizados con fines tanto legítimos como malintencionados para consultar Active Directory. El reconocimiento de entidad de seguridad centrado en LDAP se suele usar como primera fase de un ataque Kerberoasting. Los ataques Kerberoasting se usan para obtener una lista objetivo de nombres de entidades de seguridad (SPN) para los que los atacantes intentarán luego obtener vales TGS (servidor de concesión de vales).
Mejora de características: alerta de reconocimiento de enumeración de cuentas (NTLM)
Se ha mejorado la alerta de reconocimiento de enumeración de cuentas (NTLM) mediante análisis adicionales y una lógica de detección mejorada para reducir los resultados de alertas B-TP y FP.Mejora de características: alerta de reconocimiento de asignación de red (DNS)
Se han agregado nuevos tipos de detecciones a las alertas de reconocimiento de asignación de red (DNS). Además de detectar solicitudes AXFR sospechosas, Azure ATP detecta ahora tipos sospechosos de solicitudes que se originan en servidores que no son DNS mediante un número excesivo de solicitudes.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.66
Fecha de publicación: 17 de febrero de 2019
Mejora de características: alerta de sospecha de ataque DCSync (replicación de servicios de directorio)
Se han realizado mejoras de facilidad de uso en esta alerta de seguridad, incluida una descripción revisada, información adicional de origen, nueva infografía y más pruebas. Obtenga más información sobre las alertas de seguridad de sospecha de ataque DCSync (replicación de servicios de directorio).Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.65
Fecha de publicación: 10 de febrero de 2019
Nueva alerta de seguridad: sospecha de ataque de retransmisión de NTLM (cuenta de Exchange) (versión preliminar)
La alerta de seguridad Sospecha de ataque de retransmisión NTLM (cuenta de Exchange) (versión preliminar) de Azure ATP ya está en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se identifica el uso de credenciales de cuenta de Exchange desde un origen sospechoso. Estos tipos de ataques intentan sacar provecho de las técnicas de retransmisión de NTLM para obtener privilegios de Exchange de controlador de dominio, y se conocen como ExchangePriv. Obtenga más información sobre la técnica ExchangePriv en el aviso ADV190007 publicado por primera vez el 31 de enero de 2019 y la respuesta de alerta de Azure ATP.Disponibilidad general: ejecución remota de código a través de DNS
Esta alerta se encuentra ahora en estado de disponibilidad general (GA). Para obtener más información y características de alerta, consulte la página de descripción de la alerta Ejecución remota de código a través de DNS.Disponibilidad general: filtración de datos a través de SMB
Esta alerta se encuentra ahora en estado de disponibilidad general (GA). Para obtener más información y características de alerta, consulte la página de descripción de la alerta sobre filtración de datos a través de SMB.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.64
Publicada el 4 de febrero de 2019
Disponibilidad general: sospecha de utilización de Golden Ticket (anomalía de vale)
Esta alerta se encuentra ahora en estado de disponibilidad general (GA). Para obtener más información y características de alerta, consulte la página de descripción de la alerta sobre sospecha de utilización de Golden Ticket (anomalía de vale).Mejora de características: reconocimiento de asignación de red (DNS)
Se ha mejorado la lógica de detección de alertas implementada para esta alerta para minimizar los falsos positivos y el ruido de alertas. Esta alerta tiene ahora un periodo de aprendizaje de ocho días antes de desencadenarse por primera vez. Para obtener más información sobre esta alerta, consulte la página de descripción de la alerta sobre reconocimiento de asignación de red (DNS).Debido a la mejora de esta alerta, ya no se debe usar el método nslookup para probar la conectividad de Azure ATP durante la configuración inicial.
Mejora de características:
Esta versión incluye páginas de alertas rediseñadas y nuevas pruebas, lo que permite una mejor investigación de alertas.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Enero de 2019
Azure ATP, versión 2.63
Fecha de publicación: 27 de enero de 2019
Nueva característica: compatibilidad con bosques que no son de confianza (versión preliminar)
La compatibilidad de Azure ATP con sensores en bosques que no son de confianza se encuentra ahora en versión preliminar pública. En la página Servicios de directorio del portal de Azure ATP, configure conjuntos adicionales de credenciales para permitir que los sensores de Azure ATP se conecten a diferentes bosques de Active Directory e informen al servicio de Azure ATP. Consulte Soporte de varios bosques de Azure ATP para obtener más información.Nueva característica: cobertura de controladores de dominio
Azure ATP proporciona ahora información de cobertura sobre los controladores de dominio supervisados por Azure ATP.
En la página Sensores del portal de Azure ATP, vea el número de controladores de dominio supervisados y no supervisados detectados por Azure ATP en su entorno. Descargue la lista de controladores de dominio supervisados para su posterior análisis y para crear un plan de acción. Consulte la guía paso a paso sobre supervisión de controladores de dominio para obtener más información.Mejora de características: reconocimiento de enumeración de cuentas
La detección del reconocimiento de enumeración de cuentas de Azure ATP ahora detecta y emite alertas sobre los intentos de enumeración mediante Kerberos y NTLM. Anteriormente, la detección solo funcionaba para los intentos de uso de Kerberos. Consulte las alertas de reconocimiento de Azure ATP para obtener más información.Mejora de características: alerta de intento de ejecución remota de código
- Todas las actividades de ejecución remota, tales como creación de servicios, ejecución de WMI y nueva ejecución de PowerShell, se han agregado a la escala de tiempo del perfil de la máquina de destino. La máquina de destino es el controlador de dominio en el que se ejecutó el comando.
- La ejecución de PowerShell se ha agregado a la lista de actividades de ejecución remota de código enumeradas en la escala de tiempo de alerta del perfil de entidad.
- Consulte la información sobre el intento de ejecución remota de código para obtener más información.
Problema de LSASS de Windows Server 2019 y Azure ATP
En respuesta a los comentarios de los clientes sobre la utilización de Azure ATP con controladores de dominio que ejecutan Windows Server 2019, esta actualización incluye lógica adicional para evitar que se desencadene el comportamiento notificado en máquinas con Windows Server 2019. La compatibilidad total con el sensor de Azure ATP en Windows Server 2019 está planeada para una futura actualización de Azure ATP, pero actualmente no se admite la instalación y ejecución de Azure ATP en Windows Server 2019. Consulte los requisitos del sensor de Azure ATP para obtener más información.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.62
Fecha de publicación: 20 de enero de 2019
Nueva alerta de seguridad: ejecución remota de código a través de DNS (versión preliminar)
La alerta de seguridad de ejecución remota del código a través de DNS de Azure ATP se encuentra ahora en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha que las consultas de DNS aprovechan la vulnerabilidad de seguridad CVE-2018-8626 en un controlador de dominio de la red.Mejora de características: actualización retrasada del sensor de 72 horas
Se ha cambiado la opción para retrasar las actualizaciones del sensor en los sensores seleccionados a 72 horas (en lugar del retraso anterior de 24 horas) después de cada actualización de versión de Azure ATP. Consulte la información sobre la actualización de sensores de Azure ATP para obtener instrucciones de configuración.Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.61
Fecha de publicación: 13 de enero de 2019
Nueva alerta de seguridad: filtración de datos a través de SMB (versión preliminar)
La alerta de seguridad de filtración de datos a través de SMB de Azure ATP se encuentra ahora en versión preliminar pública. Los atacantes con permisos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, los atacantes pueden crear un vale de concesión de vales (TGT) de Kerberos que proporcione autorización para cualquier recurso.Mejora de características: alerta de seguridad de intento de ejecución remota de código
Se ha agregado una nueva descripción de alerta y pruebas adicionales para facilitar la comprensión de la alerta y mejorar los flujos de trabajo de investigación.Mejora de características: actividades lógicas de consulta de DNS
Se han agregado tipos de consulta adicionales a las actividades supervisadas de Azure ATP, tales como TXT, MX, NS, SRV, ANY y DNSKEY.Mejora de características: sospecha de utilización de Golden Ticket (anomalía de vale) y sospecha de uso de Golden Ticket (cuenta inexistente)
Se ha aplicado lógica de detección mejorada a ambas alertas para reducir el número de alertas FP y proporcionar resultados más precisos.Mejora de características: documentación de alertas de seguridad de Azure ATP
La documentación sobre alertas de seguridad de Azure ATP se ha mejorado y ampliado para incluir mejores descripciones, clasificaciones más precisas y explicaciones de pruebas, corrección y prevención. Familiarícese con el nuevo diseño de la documentación sobre alertas de seguridad mediante los vínculos siguientes:Esta versión también incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.60
Fecha de publicación: 6 de enero de 2019
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Diciembre de 2018
Azure ATP, versión 2.59
Fecha de publicación: 16 de diciembre de 2018
- Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.58
Publicada el 9 de diciembre de 2018
- Mejora de alertas de seguridad: división de alertas de implementación de protocolo inusual
La serie de alertas de seguridad de implementación de protocolo inusual de Azure ATP que anteriormente compartían el identificador externo 2002, ahora se divide en cuatro alertas distintas, cada una con un identificador externo único.
Nuevos id. externos de alerta
Nuevo nombre de alerta de seguridad Nombre de alerta de seguridad anterior Identificador externo único Sospecha de ataque por fuerza bruta (SMB) Implementación de protocolo inusual (posible uso de herramientas malintencionadas como Hydra) 2033 Sospecha de ataque overpass-the-hash (Kerberos) Implementación inusual del protocolo Kerberos (posible ataque overpass-the-hash) 2002 Sospecha de utilización del marco de piratería Metasploit Implementación de protocolo inusual (posible uso de herramientas de piratería Metasploit) 2034 Sospecha de ataque de ransomware WannaCry Implementación de protocolo inusual (posible ataque de ransomware WannaCry) 2035
Nueva actividad supervisada: copia de archivos a través de SMB
La copia de archivos mediante SMB ahora es una actividad supervisada y que se puede filtrar. Puede obtener más información sobre qué actividades supervisa Azure ATP y cómo filtrar y buscar actividades supervisadas en el portal.Mejora de imagen de ruta de desplazamiento lateral grande
Al ver las rutas de desplazamiento lateral grandes, Azure ATP ahora resalta solo los nodos conectados a una entidad seleccionada, en lugar de desenfocar los demás nodos. Este cambio supone una mejora significativa en la velocidad de representación de LMP grandes.Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Azure ATP, versión 2.57
Fecha de publicación: 2 de diciembre de 2018
Nueva alerta de seguridad: sospecha de utilización de Golden Ticket: anomalía de vales (versión preliminar)
La alerta de seguridad sospecha de utilización de Golden Ticket: anomalía de vales de Azure ATP ya está en versión preliminar pública. Los atacantes con permisos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, los atacantes pueden crear un vale de concesión de vales (TGT) de Kerberos que proporcione autorización para cualquier recurso.Este TGT falsificado se denomina "Golden Ticket" y permite a los atacantes lograr una persistencia de red duradera. Esta nueva detección está diseñada para identificar las características únicas que tienen los Golden Tickets falsificados de este tipo.
Mejora de características: creación automatizada de instancias de Azure ATP
A partir de hoy, las instancias de Azure ATP se denominan instancias de Azure ATP. Azure ATP admite ahora una instancia de Azure ATP por cuenta de Azure ATP. Las instancias de los nuevos clientes se crean mediante el asistente para la creación de instancias en el portal de Azure ATP. Las instancias existentes de Azure ATP se convierten automáticamente en instancias de Azure ATP con esta actualización.- Creación simplificada de instancias para una implementación y protección más rápidas mediante la creación de instancias de Azure ATP.
- La privacidad y el cumplimiento de los datos permanecen sin cambios.
Para obtener más información sobre las instancias de Azure ATP, consulte la información sobre creación de instancias de Azure ATP.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Noviembre de 2018
Azure ATP, versión 2.56
Publicado el 25 de noviembre de 2018
Mejora de características: rutas de desplazamiento lateral (LMP)
Se han agregado dos características adicionales para mejorar las funcionalidades de ruta de desplazamiento lateral (LMP) de Azure ATP:- El historial de LMP ahora se guarda y detecta por entidad, y cuando se usan informes de LMP.
- Se puede seguir una entidad en una LMP a través de la escala de tiempo de actividad e investigarla mediante pruebas adicionales proporcionadas para la detección de posibles rutas de ataque.
Consulte la información sobre rutas de desplazamiento lateral de Azure ATP para obtener más información sobre cómo usar e investigar las LMP mejoradas.
Mejoras de documentación: rutas de desplazamiento lateral, nombres de alertas de seguridad
Se han realizado adiciones y actualizaciones en artículos de Azure ATP que describen y caracterizan las rutas de desplazamiento lateral. Se han asignado nuevos nombres e identificadores externos a todas las instancias de nombres de alerta de seguridad antiguos.- Vea Rutas de desplazamiento lateral de Azure ATP, Investigación de las rutas de desplazamiento lateral y la Guía de alertas de seguridad para obtener más información.
Esta versión incluye mejoras y correcciones de errores para la infraestructura de sensor interna.
Para más información sobre cada versión anterior de Defender for Identity hasta la versión 2.55 (inclusive), consulte la referencia de las versiones de Defender for Identity.