A Microsoft Defender for Identity új archívuma

Ez a cikk felsorolja a Microsoft Defender for Identity kiadási megjegyzéseit a több mint 6 hónapja kiadott verziókhoz és funkciókhoz.

A legújabb verziókkal és funkciókkal kapcsolatos információkért tekintse meg a Microsoft Defender for Identity újdonságait.

Feljegyzés

2022. június 15-től a Microsoft már nem támogatja a Defender for Identity érzékelőt Windows Server 2008 R2 rendszerű eszközökön. Javasoljuk, hogy azonosítsa a Windows Server 2008 R2 rendszert továbbra is futtató tartományvezérlőket (TARTOMÁNYVEZÉRLŐket) vagy AD FS-kiszolgálókat operációs rendszerként, és tervezzük azokat egy támogatott operációs rendszerre frissíteni.

A 2022. június 15-ét követő két hónapban az érzékelő továbbra is működni fog. A 2022. augusztus 15-től kezdődő két hónapos időszak után az érzékelő a továbbiakban nem fog működni Windows Server 2008 R2 platformokon. További részletek a következő helyen találhatók: https://aka.ms/mdi/2008r2

2023. július

A Defender for Identity 2.209-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Active Directory-csoportok keresése a Microsoft Defender XDR-ben (előzetes verzió)

A Microsoft Defender XDR globális keresés mostantól támogatja az Active Directory-csoportnév szerinti keresést. A talált csoportok egy külön Csoportok lapon jelennek meg az eredmények között. Válasszon ki egy Active Directory-csoportot a keresési eredmények közül a további részletek megtekintéséhez, például:

• Típus
• Hatókör
• Tartomány
• SAM-név
• SID

• Csoportlétrehozás ideje
• A csoport tevékenységeinek első megfigyelése
• A kijelölt csoportot tartalmazó csoportok
• Az összes csoporttag listája

Példa:

További információ: Microsoft Defender for Identity a Microsoft Defender XDR-ben.

Új biztonsági helyzetjelentések

A Defender for Identity identitásbiztonsági helyzetértékelései proaktívan észlelik és javasolják a helyi Active Directory konfigurációkon belüli műveleteket.

A Következő új biztonsági helyzetértékelések érhetők el a Microsoft biztonságos pontszámában:

• Jelszavak lejáratának tiltása
• Hozzáférési jogosultságok eltávolítása gyanús fiókokon az Rendszergazda SDHolder engedélyével
• 180 napnál régebbi jelszavakkal rendelkező fiókok kezelése
• Nem felügyelt fiókok eltávolítása DCSync-engedélyekkel
• Helyi rendszergazdák eltávolítása identitáseszközökön
• A Defender for Identity üzembe helyezésének indítása

További információ: Microsoft Defender for Identity biztonsági helyzetértékelései.

Automatikus átirányítás a klasszikus Defender for Identity portálhoz

A Microsoft Defender for Identity portál felülete és funkciói a Microsoft kiterjesztett észlelési és válaszplatformjába, a Microsoft Defender XDR-be kerülnek. 2023. július 6-ától a rendszer automatikusan átirányítja a klasszikus Defender for Identity portált használó ügyfeleket a Microsoft Defender XDR-re, és nem áll módjukban visszatérni a klasszikus portálra.

További információ: blogbejegyzésünk és a Microsoft Defender for Identity a Microsoft Defender XDR-ben.

A Defender for Identity jelentés letöltése és ütemezése a Microsoft Defender XDR-ben (előzetes verzió)

Most már letöltheti és ütemezheti az identitáshoz készült rendszeres Defender-jelentéseket a Microsoft Defender portálról, így paritást hozhat létre a jelentésfunkciókban az örökölt klasszikus Defender for Identity portállal.

Jelentések letöltése és ütemezése a Microsoft Defender XDR-ben az Gépház > Identitások > jelentéskezelési oldaláról. Példa:

További információ: Microsoft Defender for Identity-jelentések a Microsoft Defender XDR-ben.

Defender for Identity release 2.208

• Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.207-es kiadása

• Ez a verzió biztosítja az új AccessKeyFile telepítési paramétert. A Defender for Identity-érzékelő csendes telepítése során használja az AccessKeyFile paramétert a munkaterület hozzáférési kulcsának beállításához egy megadott szöveges útvonalon. További információ: A Microsoft Defender for Identity érzékelő telepítése.

• Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

június 2023.

A Defender for Identity 2.206-os kiadása

• Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Speciális vadászat továbbfejlesztett IdentityInfo-táblával

• Az identitáshoz készült Defenderrel rendelkező bérlők esetében a Microsoft 365 IdentityInfo speciális vadásztáblája mostantól több attribútumot tartalmaz identitásonként, valamint a Defender for Identity érzékelő által a helyszíni környezetből észlelt identitásokat.

További információkért tekintse meg a Microsoft Defender XDR speciális vadászati dokumentációját.

A Defender for Identity 2.205-ös kiadása

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2023. május

Továbbfejlesztett Active Directory-fiókvezérlési kiemelések

A Microsoft Defender XDR Identity> felhasználói adatainak lapja mostantól új Active Directory-fiókvezérlési adatokat tartalmaz.

A felhasználói adatok áttekintési lapján hozzáadtuk az új Active Directory-fiókvezérlő kártyát a fontos biztonsági beállítások és az Active Directory-vezérlők kiemeléséhez. Ezzel a kártyával például megtudhatja, hogy egy adott felhasználó képes-e megkerülni a jelszókövetelményeket, vagy olyan jelszóval rendelkezik, amely soha nem jár le.

Példa:

További információkért tekintse meg a User-Account-Control attribútum dokumentációját.

A Defender for Identity 2.204-es kiadása

Kiadás dátuma: 2023. május 29.

• Új állapotriasztás VPN-integrációs adatbetöltési hibák esetén. További információ: Microsoft Defender for Identity sensor health alerts.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.203

Kiadás dátuma: 2023. május 15.

• Új állapotriasztás annak ellenőrzéséhez, hogy az ADFS-tároló naplózása megfelelően van-e konfigurálva. További információ: Microsoft Defender for Identity sensor health alerts.

• A Microsoft Defender 365 Identity lap felhasználói felületi frissítéseket tartalmaz az oldalirányú mozgási útvonal felületéhez. A funkció nem módosult. További információ: Oldalirányú mozgási útvonalak (LMP-k) értelmezése és vizsgálata a Microsoft Defender for Identity szolgáltatással.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Identitás ütemtervének fejlesztései

Az identitás ütemterve lap új és továbbfejlesztett funkciókat tartalmaz! A frissített ütemterv segítségével mostantól az eredeti szűrők mellett tevékenységtípus, protokoll és hely szerinti szűrést is végezhet. Az ütemtervet egy CSV-fájlba is exportálhatja, és további információkat találhat a MITRE ATT&CK technikákkal kapcsolatos tevékenységekről. További információ: Felhasználók vizsgálata a Microsoft Defender XDR-ben.

Riasztáshangolás a Microsoft Defender XDR-ben

A Microsoft Defender XDR-ben már elérhető riasztáshangolás lehetővé teszi a riasztások módosítását és optimalizálását. A riasztások finomhangolása csökkenti a hamis pozitív értékeket, lehetővé teszi, hogy az SOC-csapatok a magas prioritású riasztásokra összpontosítsanak, és javítja a fenyegetésészlelési lefedettséget a rendszerben.

A Microsoft Defender XDR-ben hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt minden olyan szabálytípusra, amely megfelel a feltételeknek. További információ: Riasztás hangolása.

április 2023.

A Defender for Identity 2.202-es kiadása

Kiadás dátuma: 2023. április 23.

• Új állapotriasztás annak ellenőrzéséhez, hogy a Címtárszolgáltatások konfigurációs tárolójának naplózása megfelelően van-e konfigurálva az állapotriasztások oldalán leírtak szerint.
• Az Új-Zélandra leképezett AD-bérlők új munkaterületei az Ausztrália keleti régiójában jönnek létre. A regionális üzembe helyezés legfrissebb listájáért tekintse meg a Defender for Identity összetevőit.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

március 2023.

A Defender for Identity 2.201-es kiadása

Kiadás dátuma: 2023. március 27.

• Folyamatban van a SAM-R honeytoken riasztás letiltása. Bár az ilyen típusú fiókokat soha nem szabad elérni vagy lekérdezni, bizonyos örökölt rendszerek ezeket a fiókokat használhatják rendszeres műveleteik részeként. Ha ez a funkció szükséges az Ön számára, mindig létrehozhat egy speciális keresési lekérdezést, és egyéni észlelésként használhatja. Az LDAP honeytoken riasztását is áttekintjük az elkövetkező hetekben, de egyelőre működőképes marad.

• Kijavítottuk az észlelési logikával kapcsolatos problémákat a Címtárszolgáltatások objektumnaplózási állapotriasztásában nem angol nyelvű operációs rendszereken, valamint a 87-es verziónál korábbi Címtárszolgáltatás-sémákkal rendelkező Windows 2012-ben.

• Eltávolítottuk az érzékelők indításához szükséges Directory Services-fiók konfigurálásának előfeltételét. További információ: Microsoft Defender for Identity Directory Service-fiókjavaslatok.

• Már nincs szükség 1644-események naplózására. Ha engedélyezve van ez a beállításjegyzék-beállítás, eltávolíthatja azt. További információt az 1644-ben megadott eseményazonosítóban talál.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.200

Kiadás dátuma: 2023. március 16.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.199-es kiadása

Kiadás dátuma: 2023. március 5.

• A Honeytoken néhány kizárását az SAM-R riasztás nem megfelelően működő riasztásával kérdezték le. Ezekben az esetekben a riasztások még a kizárt entitások esetében is aktiválódtak. Ez a hiba már ki lett javítva.

• Frissített NTLM protokollnév az Identity Advanced Hunting táblákhoz: A régi protokollnév Ntlm mostantól új protokollnévként NTLM szerepel az Advanced Hunting Identity táblákban: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Ha a protokollt Ntlm az Identity eseménytábláinak kis- és nagybetűktől megkülönböztetett formátumában használja, módosítsa a protokollt a következőre NTLM: .

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

február 2023.

Defender for Identity release 2.198

Kiadás dátuma: 2023. február 15.

• Az identitás idővonala mostantól elérhető a Microsoft Defender XDR új Identitás lapjának részeként: A Microsoft Defender XDR frissített felhasználói lapja mostantól új megjelenéssel és megjelenéssel rendelkezik, a kapcsolódó objektumok kibővített nézetével és egy új dedikált ütemtervlappal. Az ütemterv az elmúlt 30 nap tevékenységeit és riasztásait jelöli, és egyesíti a felhasználó identitásbejegyzéseit az összes elérhető számítási feladatban (Defender for Identity/Felhőhöz készült Defender Apps/Defender for Endpoint). Az ütemterv használatával egyszerűen összpontosíthat a felhasználó által végrehajtott (vagy rajtuk végrehajtott) tevékenységekre adott időkeretekben. További információ: Felhasználók vizsgálata a Microsoft Defender XDR-ben

• A honeytoken-riasztások további fejlesztései: A 2.191-es kiadásban számos új forgatókönyvet vezettünk be a honeytoken tevékenységriasztáshoz.

  Az ügyfelek visszajelzései alapján úgy döntöttünk, hogy a honeytoken tevékenységriasztást öt különálló riasztásra osztjuk:

  • Honeytoken-felhasználót SAM-R-n keresztül kérdezték le.
  • A Honeytoken-felhasználót LDAP-n keresztül kérdezték le.
  • Honeytoken felhasználói hitelesítési tevékenység
  • A Honeytoken-felhasználó attribútumai módosultak.
  • A Honeytoken csoporttagság megváltozott.

  Emellett kizárásokat is hozzáadtunk ezekhez a riasztásokhoz, így testre szabott felületet biztosítunk a környezet számára.

  Várjuk visszajelzését, hogy tovább fejlődhessünk.

• Új biztonsági riasztás – Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül.: Az Active Directory Tanúsítványszolgáltatások (AD CS) használatának számos módszere magában foglalja a tanúsítvány használatát a támadás bizonyos fázisában. A Microsoft Defender for Identity mostantól riasztást küld a felhasználóknak, ha ilyen gyanús tanúsítványhasználatot észlel. Ez a viselkedésmonitorozási módszer átfogó védelmet nyújt az AD CS-támadások ellen, és riasztást indít el, ha gyanús tanúsítványhitelesítést kísérel meg egy tartományvezérlő ellen, és telepítve van egy Defender for Identity-érzékelő. További információ: A Microsoft Defender for Identity mostantól észleli a gyanús tanúsítványhasználatot.

• Automatikus támadási fennakadás: A Defender for Identity mostantól együttműködik a Microsoft Defender XDR-sel az automatikus támadáskimaradás felajánlása érdekében. Ez az integráció azt jelenti, hogy a Microsoft Defender XDR-ből érkező jelek esetén aktiválhatjuk a Felhasználó letiltása műveletet. Ezeket a műveleteket nagy megbízhatóságú XDR-jelek váltják ki, valamint a Microsoft kutatócsoportjai által végzett több ezer incidens folyamatos vizsgálatából származó megállapításokkal együtt. A művelet felfüggeszti a feltört felhasználói fiókot az Active Directoryban, és szinkronizálja ezeket az adatokat a Microsoft Entra-azonosítóval. Az automatikus támadási zavarokkal kapcsolatos további információkért olvassa el a Microsoft Defender XDR blogbejegyzését.

  Bizonyos felhasználókat kizárhat az automatikus válaszműveletek közül is. További információ: Defender for Identity automatikus válaszkizárások konfigurálása.

• Tanulási időszak eltávolítása: A Defender for Identity által létrehozott riasztások különböző tényezőken alapulnak, például a profilkészítésen, a determinisztikus észlelésen, a gépi tanuláson és a hálózatról tanult viselkedési algoritmusokon. A Defender for Identity teljes tanulási folyamata tartományvezérlőnként akár 30 napot is igénybe vehet. Lehetnek azonban olyan példányok, ahol még a teljes tanulási folyamat befejezése előtt szeretne riasztásokat kapni. Ha például új érzékelőt telepít egy tartományvezérlőre, vagy amikor kiértékeli a terméket, érdemes lehet azonnal riasztásokat kapnia. Ilyen esetekben kikapcsolhatja az érintett riasztások tanulási időszakát a Tanulási időszak eltávolítása funkció engedélyezésével. További információ: Speciális beállítások.

• Új módja a riasztások M365D-nek való küldésének: Egy évvel ezelőtt bejelentettük, hogy a Microsoft Defender for Identity összes szolgáltatása elérhető a Microsoft Defender portálon. Az elsődleges riasztási folyamat most fokozatosan vált a Defender for Identity Felhőhöz készült Defender Apps Microsoft Defender XDR-ről a Defender for Identity > Microsoft Defender XDR-re.>> Ez az integráció azt jelenti, hogy az Felhőhöz készült Defender-alkalmazások állapotfrissítései nem jelennek meg a Microsoft Defender XDR-ben, és fordítva. Ennek a változásnak jelentősen csökkentenie kell a riasztások Microsoft Defender portálon való megjelenítéséhez szükséges időt. A migrálás részeként március 5-étől az összes Defender for Identity-szabályzat nem lesz elérhető a Felhőhöz készült Defender Apps portálon. Mint mindig, javasoljuk, hogy a Microsoft Defender portált használja az összes Defender for Identity-élményhez.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2023. január

A Defender for Identity 2.197-es kiadása

Kiadás dátuma: 2023. január 22.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.196-os kiadása

Kiadás dátuma: 2023. január 10.

• Új állapotriasztás annak ellenőrzéséhez, hogy a Címtárszolgáltatások objektumnaplózása megfelelően van-e konfigurálva az állapotriasztások oldalán leírtak szerint.

• Új állapotriasztás annak ellenőrzéséhez, hogy az érzékelő energiabeállításai az optimális teljesítményhez vannak-e konfigurálva az állapotriasztások oldalán leírtak szerint.

• Hozzáadtuk a MITRE ATT&CK-adatokat a Microsoft Defender XDR Advanced Hunting IdentityLogonEvents, IdentityDirectoryEvents és IdentityQueryEvents tábláihoz. Az AdditionalFields oszlopban található néhány logikai tevékenységhez társított támadási technikák és taktika (kategória) részletei.

• Mivel a Microsoft Defender for Identity összes fő funkciója elérhető a Microsoft Defender portálon, a portál átirányítási beállítása 2023. január 31-től minden bérlő esetében automatikusan engedélyezve lesz. További információ: Fiókok átirányítása a Microsoft Defender for Identityből a Microsoft Defender XDR-be.

2022. december

A Defender for Identity 2.195-ös kiadása

Kiadás dátuma: 2022. december 7.

• A Defender for Identity adatközpontok mostantól az ausztráliai keleti régióban is üzembe vannak helyezve. A regionális üzembe helyezés legfrissebb listájáért tekintse meg a Defender for Identity összetevőit.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. november

A Defender for Identity 2.194-es kiadása

Kiadás dátuma: 2022. november 10.

• Új állapotriasztás annak ellenőrzéséhez, hogy a Címtárszolgáltatások speciális naplózása megfelelően van-e konfigurálva az állapotriasztások oldalán leírtak szerint.

• A Defender for Identity 2.191-es kiadásában bevezetett módosítások némelyike a honeytoken-riasztásokkal kapcsolatban nem volt megfelelően engedélyezve. Ezeket a problémákat már megoldottuk.

• November végétől a Végponthoz készült Microsoft Defender manuális integrációja már nem támogatott. Javasoljuk azonban, hogy használja a Microsoft Defender portált (https://security.microsoft.com), amely beépített integrációval rendelkezik.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. október

Defender for Identity release 2.193

Kiadás dátuma: 2022. október 30.

• Új biztonsági riasztás: Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvány használatával
  Ez az új technika a hírhedt NOBELIUM-színészhez kapcsolódik, és "MagicWeb"-nek nevezték el – lehetővé teszi, hogy egy támadó egy háttérrendszert helyezzen el a sérült AD FS-kiszolgálókon, ami lehetővé teszi a megszemélyesítést, mint bármely tartományfelhasználót, és így hozzáférést biztosít a külső erőforrásokhoz. Ha többet szeretne megtudni erről a támadásról, olvassa el ezt a blogbejegyzést.

• A Defender for Identity mostantól a tartományvezérlőn található LocalSystem-fiókot használhatja szervizelési műveletek végrehajtására (a felhasználó engedélyezésére/letiltására, a felhasználó alaphelyzetbe állításának kényszerítésére) a korábban elérhető gMSA-beállítás mellett. Ez lehetővé teszi a szervizelési műveletek házon kívül történő támogatását. További információ: Microsoft Defender for Identity action accounts.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.192-es kiadása

Kiadás dátuma: 2022. október 23.

• Új állapotriasztás annak ellenőrzéséhez, hogy az NTLM-naplózás engedélyezve van-e az állapotriasztások oldalán leírtak szerint.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Szeptember 2022.

A Defender for Identity 2.191-es kiadása

Kiadás dátuma: 2022. szeptember 19.

• További tevékenységek a honeytoken-riasztások aktiválásához
  A Microsoft Defender for Identity lehetővé teszi a rosszindulatú szereplők számára trapként használt honeytoken-fiókok definiálásának lehetőségét. A honeytoken-fiókokhoz (általában alvó) társított hitelesítések honeytoken-tevékenység (külső azonosító: 2014) riasztást aktiválnak. A jelen verzió újdonsága, hogy a honeytoken-fiókokra vonatkozó LDAP- vagy SAMR-lekérdezések riasztást aktiválnak. Ezenkívül az 5136-os esemény naplózása esetén a rendszer riasztást vált ki a honeytoken egyik attribútumának módosításakor, vagy ha a honeytoken csoporttagsága megváltozott.

További információ: Windows-eseménygyűjtemény konfigurálása.

A Defender for Identity 2.190-es kiadása

Kiadás dátuma: 2022. szeptember 11.

• Frissített értékelés: Nem biztonságos tartománykonfigurációk
  A Microsoft Biztonságos pontszámon keresztül elérhető nem biztonságos tartománykonfiguráció-felmérés most kiértékeli a tartományvezérlő LDAP-aláírási házirendjének konfigurációját és riasztásokat, ha nem biztonságos konfigurációt talál. További információ: Biztonsági értékelés: Nem biztonságos tartománykonfigurációk.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.189-es kiadása

Kiadás dátuma: 2022. szeptember 4.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. augusztus

Defender for Identity release 2.188

Kiadás dátuma: 2022. augusztus 28.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.187-es kiadása

Kiadás dátuma: 2022. augusztus 18.

• Módosítottunk néhány logikát a DCSync-támadás (címtárszolgáltatások replikálása) (2006-os külső azonosító) riasztás aktiválása mögött. Ez az érzékelő mostantól olyan esetekre is kiterjed, amikor az érzékelő által látott forrás IP-cím NAT-eszköznek tűnik.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.186-os kiadása

Kiadás dátuma: 2022. augusztus 10.

• Az állapotriasztások mostantól a NetBIOS-név helyett az érzékelő teljes tartománynevét (FQDN) jelenítik meg.

• Új állapotriasztások érhetők el az összetevők típusának és konfigurációjának rögzítéséhez az állapotriasztások oldalán leírtak szerint.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. július

A Defender for Identity 2.185-ös kiadása

Kiadás dátuma: 2022. július 18.

• Kijavítottunk egy hibát, amely miatt a gyanús Aranyjegy-használat (nem létező fiók) (külső azonosító: 2027) helytelenül észlelte a macOS-eszközöket.

• Felhasználói műveletek: Úgy döntöttünk, hogy a felhasználói oldalon a Felhasználó letiltása műveletet két különböző műveletre osztjuk:

  • Felhasználó letiltása – amely letiltja a felhasználót az Active Directory szintjén
  • Felhasználó felfüggesztése – amely letiltja a felhasználót a Microsoft Entra-azonosító szintjén

  Tisztában vagyunk azzal, hogy az Active Directoryból a Microsoft Entra-azonosítóba való szinkronizáláshoz szükséges idő kritikus fontosságú lehet, így mostantól egymás után letilthatja a felhasználókat, és eltávolíthatja a szinkronizálástól való függőséget. Vegye figyelembe, hogy a csak a Microsoft Entra-azonosítóban letiltott felhasználókat felülírja az Active Directory, ha a felhasználó továbbra is aktív.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.184-es kiadása

Kiadás dátuma: 2022. július 10.

• Új biztonsági értékelések
  A Defender for Identity mostantól a következő új biztonsági értékelést tartalmazza:

  • Nem biztonságos tartománykonfigurációk
    A Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy olyan konfigurációs értékekkel azonosítsa a tartományokat, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a tartományokról, hogy segítsen a környezet védelmében. További információ: Biztonsági értékelés: Nem biztonságos tartománykonfigurációk.

• A Defender for Identity telepítőcsomagja mostantól az Npcap összetevőt telepíti a WinPcap-illesztőprogramok helyett. További információ: WinPcap és Npcap illesztőprogramok.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. június

Defender for Identity release 2.183.15436.10558 (gyorsjavítás)

Kiadás dátuma: 2022. június 20. (frissítve: 2022. július 4.)

• Új biztonsági riasztás: Elosztott fájlrendszer protokoll használatával történő DFSCoerce-támadás gyanúja
  Az elosztott fájlrendszerbeli protokoll egy folyamatát használó közelmúltbeli támadási eszköz közzétételére válaszul a Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó ezt a támadási módszert használja. Ha többet szeretne megtudni erről a támadásról, olvassa el a blogbejegyzést.

Defender for Identity release 2.183

Kiadás dátuma: 2022. június 20.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.182-es kiadása

Kiadás dátuma: 2022. június 4.

• A Defender for Identity új Névjegy lapja érhető el. Ezt a Microsoft Defender portálon, a Gépház ->Identityes ->About területen találja. Számos fontos részletet tartalmaz a Defender for Identity-példányról, beleértve a példány nevét, verzióját, azonosítóját és a példány földrajzi helyének adatait. Ezek az információk hasznosak lehetnek a problémák elhárítása és a támogatási jegyek megnyitása során.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. május

A Defender for Identity 2.181-es kiadása

Kiadás dátuma: 2022. május 22.

• Mostantól közvetlenül a helyszíni fiókokon végezhet szervizelési műveleteket a Microsoft Defender for Identity használatával.

  • Felhasználó letiltása – Ez ideiglenesen megakadályozza, hogy egy felhasználó bejelentkezjen a hálózatba. Segíthet megakadályozni, hogy a sérült felhasználók oldalirányban mozogjanak, és megpróbálják kiszűrni az adatokat, vagy tovább rontsa a hálózatot.
  • Felhasználói jelszó alaphelyzetbe állítása – Ez arra kéri a felhasználót, hogy a következő bejelentkezéskor módosítsa a jelszavát, biztosítva, hogy ez a fiók ne legyen használható további megszemélyesítési kísérletekhez.

  Ezek a műveletek a Microsoft Defender XDR több helyről is elvégezhetők: a felhasználói oldalról, a felhasználói oldal oldaloldali paneléről, a speciális keresésről és az egyéni észlelésekről. Ehhez létre kell állítania egy emelt szintű gMSA-fiókot, amelyet a Microsoft Defender for Identity a műveletek végrehajtásához fog használni. A követelményekkel kapcsolatos további információkért lásd : Microsoft Defender for Identity action accounts.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.180

Kiadás dátuma: 2022. május 12.

• Új biztonsági riasztás: DNSHostName attribútum gyanús módosítása (CVE-2022-26923)
  A legutóbbi CVE közzétételére válaszul a Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja kihasználni a CVE-2022 -26923-at. Ha többet szeretne megtudni erről a támadásról, olvassa el a blogbejegyzést.

• A 2.177-es verzióban további LDAP-tevékenységeket adtunk ki, amelyeket a Defender for Identity is lefedhet. Találtunk azonban egy hibát, amely miatt az események nem jelennek meg és nem lesznek betöltve a Defender for Identity portálon. Ez ebben a kiadásban ez javítva lett. A 2.180-es verziótól kezdve az 1644-es eseményazonosító engedélyezésekor nem csak az Active Directory Web Servicesen keresztül láthatja az LDAP-tevékenységeket, hanem a többi LDAP-tevékenységet is magában foglalja az a felhasználó, aki az LDAP-tevékenységet a forrásszámítógépen végezte. Ez az LDAP-eseményeken alapuló biztonsági riasztásokra és logikai tevékenységekre vonatkozik.

• A KrbRelayUp legutóbbi kihasználtságára adott válaszként kiadtunk egy csendes detektort, amely segít kiértékelni a kizsákmányolásra adott válaszunkat. A csendes detektor lehetővé teszi, hogy értékeljük az észlelés hatékonyságát, és információkat gyűjtsünk az összegyűjtött események alapján. Ha ez az észlelés jó minőségű lesz, a következő verzióban egy új biztonsági riasztást adunk ki.

• Átneveztük a távoli kódvégrehajtást DNS-en keresztül távoli kódvégrehajtási kísérletre a DNS-en keresztül, mivel ez jobban tükrözi a biztonsági riasztások mögötti logikát.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.179-es kiadása

Kiadás dátuma: 2022. május 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. április

Defender for Identity release 2.178

Kiadás dátuma: 2022. április 10.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. március

A Defender for Identity 2.177-es kiadása

Kiadás dátuma: 2022. március 27.

• A Microsoft Defender for Identity mostantól további LDAP-lekérdezéseket is figyelhet a hálózaton. Ezek az LDAP-tevékenységek az Active Directory Web Service protokollon keresztül lesznek elküldve, és a normál LDAP-lekérdezésekhez hasonlóan működnek. Ahhoz, hogy áttekinthesse ezeket a tevékenységeket, engedélyeznie kell az 1644-ös eseményt a tartományvezérlőkön. Ez az esemény a tartomány LDAP-tevékenységeit ismerteti, és elsősorban az Active Directory-tartományvezérlők által kiszolgált, költséges, nem hatékony vagy lassú Egyszerűsített címtárelérési protokoll (LDAP) keresések azonosítására szolgál. További információ: Örökölt konfigurációk.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity 2.176-os kiadás

Kiadás dátuma: 2022. március 16.

• Az érzékelő új csomagból való telepítésekor az érzékelő programok hozzáadása/eltávolítása területén található verziója a teljes verziószámmal (például 2.176.x.y) jelenik meg, szemben a korábban bemutatott statikus 2.0.0.0-s verzióval. Továbbra is megjeleníti ezt a verziót (a csomagon keresztül telepített verziót), annak ellenére, hogy a verzió a Defender for Identity felhőalapú szolgáltatásainak automatikus frissítésével frissül. A valós verzió a portál érzékelőbeállítási lapján , a végrehajtható elérési úton vagy a fájlverzióban tekinthető meg.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.175-ös kiadása

Kiadás dátuma: 2022. március 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

február 2022.

A Defender for Identity 2.174-es kiadása

Kiadás dátuma: 2022. február 20.

• Hozzáadtuk a riasztásban érintett fiók teljes tartománynevét a SIEM-nek küldött üzenethez. További információt a Microsoft Defender for Identity SIEM naplóreferenciájában talál.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.173

Kiadás dátuma: 2022. február 13.

• A Microsoft Defender for Identity összes funkciója elérhető a Microsoft Defender portálon. További információkért tekintse meg ezt a blogbejegyzést.

• Ez a kiadás kijavítja az érzékelő Windows Server 2019-es telepítésekor felmerülő problémákat KB5009557 telepítve vagy a megerősített EventLog-engedélyekkel rendelkező kiszolgálón.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.172-es kiadása

Kiadás dátuma: 2022. február 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Január 2022.

A Defender for Identity 2.171-es kiadása

Kiadás dátuma: 2022. január 31.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.170-es kiadása

Kiadás dátuma: 2022. január 24.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.169-es kiadása

Kiadás dátuma: 2022. január 17.

• Örömmel adunk lehetőséget a Microsoft Defender for Identity műveletfiókjának konfigurálására. Ez az első lépés annak a lehetőségnek a területén, hogy műveleteket hajthat végre a felhasználókon közvetlenül a termékből. Első lépésként meghatározhatja, hogy a Microsoft Defender for Identity milyen gMSA-fiókot használ majd a műveletek elvégzéséhez. Javasoljuk, hogy az élő használat után kezdje el létrehozni ezeket a felhasználókat a Műveletek funkció használatához. További információ: Műveletfiókok kezelése.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.168

Kiadás dátuma: 2022. január 9.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. december

A Defender for Identity 2.167-es kiadása

Kiadás dátuma: 2021. december 29.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.166-os kiadása

Kiadás dátuma: 2021. december 27.

• A verzió tartalmaz egy új biztonsági riasztást: SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) (külső azonosító: 2419).
  A legutóbbi CVE-k közzétételére válaszul a Microsoft Defender for Identity biztonsági riasztást fog aktiválni, amikor egy támadó megpróbálja kihasználni a CVE-2021-42278 és a CVE-2021-42287 azonosítót. Ha többet szeretne megtudni erről a támadásról, olvassa el a blogbejegyzést.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.165-ös kiadása

Kiadás dátuma: 2021. december 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. november

A Defender for Identity 2.164-es kiadása

Kiadás dátuma: 2021. november 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.163

Kiadás dátuma: 2021. november 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.162-es kiadása

Kiadás dátuma: 2021. november 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. szeptember

A Defender for Identity 2.161-es kiadása

Kiadás dátuma: 2021. szeptember 12.

• A verzió új figyelt tevékenységet tartalmaz: a gMSA-fiók jelszavát egy felhasználó lekérte. További információ: Microsoft Defender for Identity monitorozott tevékenységek
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. augusztus

Defender for Identity release 2.160

Kiadás dátuma: 2021. augusztus 22.

• A verzió különböző fejlesztéseket tartalmaz, és a PetitPotam-hasznosítás legújabb változásainak megfelelően további forgatókönyveket is tartalmaz.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.159-es kiadása

Kiadás dátuma: 2021. augusztus 15.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.
• A verzió az újonnan közzétett riasztás továbbfejlesztését tartalmazza: Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416).
  Kiterjesztettük az észlelés támogatását, hogy aktiválható legyen, amikor egy potenciális támadó titkosított EFS-RPCchannelen keresztül kommunikál. A csatorna titkosításakor aktivált riasztások közepes súlyosságú riasztásként lesznek kezelve, szemben a Magas értékkel, ha nincs titkosítva. A riasztással kapcsolatos további információkért lásd : Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416).

Defender for Identity release 2.158

Kiadás dátuma: 2021. augusztus 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

• A verzió tartalmaz egy új biztonsági riasztást: Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416).
  Ebben az észlelésben a Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja kihasználni az EFS-RPC-t a tartományvezérlőn. Ez a támadási vektor a legutóbbi PetitPotam-támadáshoz van társítva. A riasztással kapcsolatos további információkért lásd : Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416).

• A verzió tartalmaz egy új biztonsági riasztást: Exchange Server távoli kódvégrehajtás (CVE-2021-26855) (külső azonosító: 2414)
  Ebben az észlelésben a Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja módosítani az Exchange-objektum "msExchExternalHostName" attribútumát távoli kódvégrehajtás céljából. A riasztásról további információt az Exchange Server távoli kódfuttatása (CVE-2021-26855) (2414 külső azonosító) című témakörben talál. Ez az észlelés a Windows 4662-eseményre támaszkodik, ezért előzetesen engedélyezni kell. Az esemény konfigurálásáról és gyűjtéséről további információt a Windows-eseménygyűjtés konfigurálása című témakörben talál, és kövesse az Exchange-objektumok naplózásának engedélyezésére vonatkozó utasításokat.

A Defender for Identity 2.157-es kiadása

Kiadás dátuma: 2021. augusztus 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. július

A Defender for Identity 2.156-os kiadása

Kiadás dátuma: 2021. július 25.

• Ettől a verziótól kezdve hozzáadjuk a futtatható Npcap illesztőt az érzékelő telepítési csomaghoz. További információ: WinPcap és Npcap illesztőprogramok.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.155-ös kiadása

Kiadás dátuma: 2021. július 18.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.154-es kiadása

Kiadás dátuma: 2021. július 11.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.
• A verzió további fejlesztéseket és észleléseket tartalmaz a nyomtatásisor-kezelő printNightmare detektálásához a további támadási forgatókönyvek lefedése érdekében.

Defender for Identity release 2.153

Kiadás dátuma: 2021. július 4.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

• A verzió tartalmaz egy új biztonsági riasztást: A Windows Print Spooler szolgáltatás kihasználási kísérlete (CVE-2021-34527 kihasználtság) (külső azonosító: 2415).

  Ebben az észlelésben a Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja kihasználni a Windows Nyomtatásisor-kezelő szolgáltatást a tartományvezérlővel szemben. Ez a támadási vektor a nyomtatásisor-kezelő kihasználásához van társítva, és PrintNightmare néven ismert. További információ erről a riasztásról.

2021. június

A Defender for Identity 2.152-es kiadása

Kiadás dátuma: 2021. június 27.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.151-es kiadása

Kiadás dátuma: 2021. június 20.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.150

Kiadás dátuma: 2021. június 13.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

május 2021.

A Defender for Identity 2.149-es kiadása

Kiadás dátuma: 2021. május 31.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.148

Kiadás dátuma: 2021. május 23.

• Ha a 4662-es eseményazonosítót konfigurálja és gyűjti, a Defender for Identity jelentést készít arról, hogy melyik felhasználó módosította a frissítési sorszámot (USN) különböző Active Directory-objektumtulajdonságokra. Ha például egy fiók jelszava módosul, és a 4662-s esemény engedélyezve van, az esemény rögzíti, hogy ki módosította a jelszót.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.147-es kiadása

Kiadás dátuma: 2021. május 9.

• Az ügyfelek visszajelzései alapján az engedélyezett érzékelők alapértelmezett számát 200-ról 350-re, a Címtárszolgáltatások hitelesítő adatait pedig 10-ről 30-ra növeljük.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.146-os kiadása

Kiadás dátuma: 2021. május 2.

• Az állapotproblémákra és a biztonsági riasztásokra vonatkozó e-mail-értesítések mostantól a Microsoft Defender for Identity és a Microsoft Defender XDR vizsgálati URL-címével is rendelkeznek.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

április 2021.

A Defender for Identity 2.145-ös kiadása

Kiadás dátuma: 2021. április 22.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.144-es kiadása

Kiadás dátuma: 2021. április 12.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. március

Defender for Identity release 2.143

Kiadás dátuma: 2021. március 14.

• Hozzáadtuk a Windows Event 4741-et az Active Directory-tevékenységekhez hozzáadott számítógépfiókok észleléséhez. Konfigurálja az új eseményt úgy, hogy a Defender for Identity összegyűjtse. A konfigurálást követően az összegyűjtött események megtekinthetők lesznek a tevékenységnaplóban, valamint a Microsoft Defender XDR Advanced Huntingban.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.142-es kiadása

Kiadás dátuma: 2021. március 7.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

február 2021.

A Defender for Identity 2.141-es kiadása

Kiadás dátuma: 2021. február 21.

• Új biztonsági riasztás: As-REP pörkölési támadás gyanúja (külső azonosító: 2412)
  A Defender for Identity as-REP pörköléses támadása (külső azonosító: 2412) már elérhető. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha egy támadó letiltott Kerberos-előhitelesítéssel rendelkező fiókokat céloz meg, és megkísérli a Kerberos TGT-adatok beszerzését. A támadó szándéka az lehet, hogy offline jelszómegtörő támadásokkal kinyerje a hitelesítő adatokat az adatokból. További információ: Kerberos AS-REP Pörkölés expozíció (külső azonosító: 2412).
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.140-es kiadása

Kiadás dátuma: 2021. február 14.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Január 2021.

A Defender for Identity 2.139-es kiadása

Kiadás dátuma: 2021. január 31.

• Frissítettük a Kerberos SPN magasnak való kitettségének súlyosságát, hogy jobban tükrözze a riasztás hatását. A riasztással kapcsolatos további információkért lásd : Kerberos SPN-kitettség gyanúja (külső azonosító: 2410)
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.138

Kiadás dátuma: 2021. január 24.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.137-es kiadása

Kiadás dátuma: 2021. január 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.136-os kiadása

Kiadás dátuma: 2021. január 3.

• A Defender for Identity mostantól támogatja az érzékelők telepítését Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókon. Az érzékelő kompatibilis AD FS-kiszolgálókra való telepítése kibővíti a Microsoft Defender for Identity láthatóságát a hibrid környezetekben a kritikus fontosságú infrastruktúra-összetevő figyelésével. Frissítettünk néhány meglévő észlelést is (gyanús szolgáltatás létrehozása, feltételezett találgatásos támadás (LDAP), fiók-enumerálási felderítés) az AD FS-adatokon való működéshez. Az AD FS-kiszolgálóhoz készült Microsoft Defender identitásérzékelő üzembe helyezésének megkezdéséhez töltse le a legújabb üzembehelyezési csomagot az érzékelő konfigurációs oldaláról.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. december

A Defender for Identity 2.135-ös kiadása

Kiadás dátuma: 2020. december 20.

• Továbbfejlesztettük az Active Directory-attribútumok felderítési (LDAP) (külső azonosító: 2210) riasztását, hogy észleljük a biztonsági jogkivonatok létrehozásához szükséges információk beszerzéséhez szükséges technikákat is, például a Solorigate-kampány részeként.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.134-es kiadása

Kiadás dátuma: 2020. december 13.

• A nemrég kiadott NetLogon-detektorunk tovább lett fejlesztve, hogy akkor is működjön, ha a Netlogon-csatorna tranzakciója titkosított csatornán keresztül történik. Az érzékelővel kapcsolatos további információkért lásd : Feltételezett Netlogon-jogosultságszint-emelési kísérlet.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Defender for Identity release 2.133

Kiadás dátuma: 2020. december 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. november

A Defender for Identity 2.132-es kiadása

Kiadás dátuma: 2020. november 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.131-es kiadása

Kiadás dátuma: 2020. november 8.

• Új biztonsági riasztás: Kerberos SPN-kitettség gyanúja (külső azonosító: 2410)
  A Defender for Identity feltételezett Kerberos SPN-kitettsége (külső azonosító: 2410) már elérhető. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, amikor egy támadó számba adja a szolgáltatásfiókokat és a hozzájuk tartozó SPN-eket, majd Kerberos TGS-jegyeket kér a szolgáltatásokhoz. A támadó szándéka az lehet, hogy kinyerje a kivonatokat a jegyekből, és mentse őket későbbi használatra offline találgatásos támadások esetén. További információ: Kerberos SPN-expozíció.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Október 2020.

Defender for Identity release 2.130

Kiadás dátuma: 2020. október 25.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.129-es kiadása

Kiadás dátuma: 2020. október 18.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. szeptember

Az Azure ATP 2.128-es kiadása

Kiadás dátuma: 2020. szeptember 27.

• Módosított e-mail-értesítések konfigurációja
  Eltávolítjuk a Levelezési értesítés kapcsolókat az e-mail-értesítések bekapcsolásához. E-mail-értesítések fogadásához egyszerűen adjon hozzá egy címet. További információ: Értesítések beállítása.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.127-es kiadása

Kiadás dátuma: 2020. szeptember 20.

• Új biztonsági riasztás: Gyanús Netlogon-jogosultság-emelési kísérlet (külső azonosító: 2411)
  Az Azure ATP feltételezett Netlogon-jogosultságszint-emelési kísérlete (CVE-2020-1472-es kihasználtság) (külső azonosító: 2411) már elérhető. Ebben az észlelésben az Azure ATP biztonsági riasztás akkor aktiválódik, ha egy támadó sebezhető Netlogon biztonságos csatornakapcsolatot létesít egy tartományvezérlővel a Netlogon Remote Protocol (MS-NRPC) használatával, más néven Netlogon Privilege Biztonsági rések emelése néven. További információ: Gyanús Netlogon-jogosultság-emelési kísérlet.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.126-os kiadása

Kiadás dátuma: 2020. szeptember 13.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.125-ös kiadása

Kiadás dátuma: 2020. szeptember 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. augusztus

Az Azure ATP 2.124-es kiadása

Kiadás dátuma: 2020. augusztus 30.

• Új biztonsági riasztások
  Az Azure ATP biztonsági riasztásai mostantól a következő új észleléseket tartalmazzák:
  • Active Directory-attribútumok felderítése (LDAP) (külső azonosító: 2210)
    Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a támadó gyaníthatóan sikeresen szerez kritikus információkat a tartományról a támadási ölési láncban való használathoz. További információ: Active Directory-attribútumok felderítése.
  • Gyanús kerberos-tanúsítványhasználat (külső azonosító: 2047)
    Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha egy támadó, aki a hitelesítésszolgáltató kiszolgálójának veszélyeztetésével megszerezte az irányítást a szervezet felett, gyanítható, hogy olyan tanúsítványokat hoz létre, amelyek háttérfiókként használhatók a jövőbeni támadások során, például oldalirányban a hálózaton. További információ: Gyanús kerberos-tanúsítványhasználat.
  • Arany jegy használatának gyanúja (jegy anomáliája RBCD használatával) (külső azonosító: 2040)
    A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van.
    Ezt a hamisított TGT-t "Aranyjegynek" nevezzük, mert lehetővé teszi a támadók számára, hogy tartós hálózati megőrzést érjenek el az erőforrás-alapú korlátozott delegálás (RBCD) használatával. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az új észlelés azonosításra terveztek. További információ: Gyanús aranyjegy-használat (jegy anomáliája az RBCD használatával).
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.123-es kiadása

Kiadás dátuma: 2020. augusztus 23.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.122-es kiadása

Kiadás dátuma: 2020. augusztus 16.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.121-es kiadása

Kiadás dátuma: 2020. augusztus 2.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. július

Az Azure ATP 2.120-es kiadása

Kiadás dátuma: 2020. július 26.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.119-es kiadása

Kiadás dátuma: 2020. július 5.

• Funkciófejlesztés: Új kizárt tartományvezérlők lap az Excel-jelentésben
  A tartományvezérlő lefedettségének kiszámítása pontosságának javítása érdekében kizárjuk a külső megbízhatósági kapcsolatokkal rendelkező tartományvezérlőket a számításból a 100%-os lefedettség elérése érdekében. A kizárt tartományvezérlők a tartománylefedettségi Excel-jelentés letöltésének új kizárt tartományvezérlői lapján jelennek meg. A jelentés letöltésével kapcsolatos információkért lásd a tartományvezérlő állapotát.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. június

Az Azure ATP 2.118-es kiadása

Kiadás dátuma: 2020. június 28.

• Új biztonsági értékelések
  Az Azure ATP biztonsági értékelései mostantól a következő új értékeléseket tartalmazzák:

  • A legkockázatosabb oldalirányú mozgási útvonalak
    Ez az értékelés folyamatosan figyeli a környezetet, hogy azonosítsa a bizalmas fiókokat a biztonsági kockázatot jelentő legkockázatosabb oldalirányú mozgási útvonalakkal, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet kezelésében. Az elérési utak akkor minősülnek kockázatosnak, ha három vagy több nem bizalmas fiókkal rendelkeznek, amelyek a bizalmas fiókot rosszindulatú szereplők hitelesítő adatainak ellopásával tehetik elérhetővé. További információ: Biztonsági értékelés: A legkockázatosabb oldalirányú mozgási útvonalak (LMP).
  • Nem biztonságos fiókattribútumok
    Ez az értékelés az Azure ATP folyamatosan figyeli a környezetet, hogy azonosítsa a biztonsági kockázatot jelentő attribútumértékekkel rendelkező fiókokat, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet védelmében. További információ: Biztonsági értékelés: Nem biztonságos fiókattribútumok.

• Frissített bizalmassági definíció
  Kibővítjük a helyszíni fiókok bizalmassági definícióját, hogy olyan entitásokat is tartalmazzon, amelyek használhatják az Active Directory-replikációt.

Az Azure ATP 2.117-es kiadása

Kiadás dátuma: 2020. június 14.

• Funkcióbővítés: További tevékenységadatok érhetők el az egyesített SecOps-felületen
  Kiterjesztettük az Felhőhöz készült Defender-alkalmazásoknak küldött eszközinformációkat, beleértve az eszközneveket, AZ IP-címeket, a fiók UPN-eit és a használt portokat. Az Felhőhöz készült Defender-alkalmazásokkal való integrációról további információt az Azure ATP használata Felhőhöz készült Defender-alkalmazások használatával című témakörben talál.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.116-os kiadása

Kiadás dátuma: 2020. június 7.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

május 2020.

Az Azure ATP 2.115-ös kiadása

Kiadás dátuma: 2020. május 31.

• Új biztonsági értékelések
  Az Azure ATP biztonsági értékelései mostantól a következő új értékeléseket tartalmazzák:

  • Biztonsági azonosítók előzményeinek nem biztonságos attribútumai
    Ez az értékelési jelentés a biztonsági azonosítók előzményeit tartalmazó attribútumokról szól, amelyeket rosszindulatú támadók használhatnak a környezethez való hozzáféréshez. További információ: Biztonsági értékelés: Nem biztonságos SID-előzmények attribútumai.
  • Microsoft LAPS-használat
    Ez az értékelési jelentés a helyi rendszergazdai fiókokról nem használja a Microsoft "Local Rendszergazda istrator Password Solution" (LAPS) szolgáltatását a jelszavaik védelméhez. A LAPS használata leegyszerűsíti a jelszókezelést, és segít a kibertámadások elleni védekezésben is. További információ: Biztonsági értékelés: Microsoft LAPS-használat.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.114-es kiadása

Kiadás dátuma: 2020. május 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.113-ás kiadása

Kiadás dátuma: 2020. május 5.

• Funkciófejlesztés: Bővített erőforrás-hozzáférési tevékenység az NTLMv1 használatával
  Ettől a verziótól kezdve az Azure ATP mostantól információkat nyújt az erőforrás-hozzáférési tevékenységekről, amelyek azt mutatják, hogy az erőforrás NTLMv1-hitelesítést használ-e. Ez az erőforrás-konfiguráció nem biztonságos, és kockázatot jelent, hogy a rosszindulatú szereplők az alkalmazást az előnyükre kényszeríthetik. A kockázattal kapcsolatos további információkért lásd az örökölt protokollok használatát.

• Funkcióbővítés: Feltételezett találgatásos támadás (Kerberos, NTLM) riasztás
  A találgatásos támadást a támadók arra használják, hogy kihasználják a szervezetet, és kulcsfontosságú módszer a fenyegetés- és kockázatfelderítésre az Azure ATP-ben. A felhasználókat érintő kritikus kockázatokra való összpontosítás érdekében ez a frissítés megkönnyíti és gyorsítja a kockázatok elemzését és szervizelését a riasztások mennyiségének korlátozásával és rangsorolásával.

2020. március

Az Azure ATP 2.112-es kiadása

Kiadás dátuma: 2020. márc. 15.

• Az új Azure ATP-példányok automatikusan integrálhatók a Felhőhöz készült Microsoft Defender Apps szolgáltatással
  Azure ATP-példány (korábbi nevén példány) létrehozásakor alapértelmezés szerint engedélyezve van a Felhőhöz készült Microsoft Defender Apps-integráció. Az integrációval kapcsolatos további információkért lásd: Az Azure ATP használata Felhőhöz készült Microsoft Defender-alkalmazásokkal.

• Új figyelt tevékenységek
  A következő tevékenységfigyelők érhetők el:

  • Interaktív bejelentkezés tanúsítvánnyal

  • Sikertelen bejelentkezés tanúsítvánnyal

  • Delegált erőforrás-hozzáférés

    További információ arról, hogy az Azure ATP mely tevékenységeket figyeli, és hogyan szűrheti és keresheti meg a figyelt tevékenységeket a portálon.

• Funkciófejlesztés: Bővített erőforrás-hozzáférési tevékenység
  Ettől a verziótól kezdve az Azure ATP mostantól információkat nyújt az erőforrás-hozzáférési tevékenységekről, amelyek azt mutatják, hogy az erőforrás megbízható-e a nem korlátozott delegáláshoz. Ez az erőforrás-konfiguráció nem biztonságos, és kockázatot jelent, hogy a rosszindulatú szereplők az alkalmazást az előnyükre kényszeríthetik. A kockázattal kapcsolatos további információkért lásd : Biztonsági értékelés: Nem biztonságos Kerberos-delegálás.

• SMB-csomagok feltételezett manipulálása (CVE-2020-0796-os kihasználtság) – (előzetes verzió)
  Az Azure ATP SMB-csomagkezelési biztonsági riasztása nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztás akkor aktiválódik, ha a CVE-2020-0796 biztonsági rés kihasználására gyanús SMBv3-csomag egy hálózati tartományvezérlővel szemben történik.

Az Azure ATP 2.111-es kiadása

Kiadás dátuma: 2020. március 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

február 2020.

Az Azure ATP 2.110-es kiadása

Megjelent: 2020. február 23.

• Új biztonsági értékelés: Nem figyelt tartományvezérlők
  Az Azure ATP biztonsági felmérései mostantól tartalmaznak egy jelentést a nem figyelt tartományvezérlőkről és az érzékelő nélküli kiszolgálókról, hogy segítsenek a környezet teljes lefedettségének kezelésében. További információ: Nem figyelt tartományvezérlők.

Az Azure ATP 2.109-es kiadása

Kiadás dátuma: 2020. február 16.

• Funkciófejlesztés: Bizalmas entitások
  Ettől a verziótól kezdve (2.109) az Azure ATP által hitelesítésszolgáltatóként, DHCP-ként vagy DNS-kiszolgálóként azonosított gépek mostantól automatikusan bizalmasként vannak megjelölve.

Az Azure ATP 2.108-ás kiadása

Megjelent: 2020. február 9.

• Új funkció: Csoport által felügyelt szolgáltatásfiókok támogatása
  Az Azure ATP mostantól támogatja a csoportos felügyelt szolgáltatásfiókok (gMSA) használatát a nagyobb biztonság érdekében, amikor Azure ATP-érzékelőket csatlakoztat a Microsoft Entra-erdőkhöz. További információ a gMSA Azure ATP-érzékelőkkel való használatáról: Csatlakozás az Active Directory-erdőbe.

• Funkciófejlesztés: Ütemezett jelentés túl sok adattal
  Ha egy ütemezett jelentés túl sok adattal rendelkezik, az e-mail a következő szöveg megjelenítésével tájékoztatja Önt a tényről: Túl sok adat volt a megadott időszakban a jelentés létrehozásához. Ez felülírja azt a korábbi viselkedést, amely szerint csak a jelentés hivatkozására való kattintás után derült ki a tény az e-mailben.

• Funkciófejlesztés: Frissített tartományvezérlő lefedettségi logikája
  Frissítettük a tartományvezérlő lefedettségi jelentés logikáját, hogy további információkat tartalmazzon a Microsoft Entra ID-tól, így pontosabb képet kaphatunk a tartományvezérlőkről érzékelők nélkül. Ennek az új logikának pozitív hatással kell lennie a Megfelelő Microsoft Biztonságos pontszámra is.

Az Azure ATP 2.107-es kiadása

Kiadás dátuma: 2020. február 3.

• Új figyelt tevékenység: SID-előzmények módosítása
  A SID-előzmények módosítása mostantól monitorozott és szűrhető tevékenység. További információ arról, hogy az Azure ATP mely tevékenységeket figyeli, és hogyan szűrheti és keresheti meg a figyelt tevékenységeket a portálon.

• Funkciófejlesztés: A bezárt vagy letiltott riasztások többé nem lesznek újra megnyitva
  Ha az Azure ATP-portálon bezár vagy letilt egy riasztást, ha rövid időn belül újra észleli ugyanazt a tevékenységet, egy új riasztás nyílik meg. Korábban ugyanezen feltételek mellett újra megnyitották a riasztást.

• A portál eléréséhez és az érzékelőkhöz szükséges TLS 1.2
  Az Azure ATP-érzékelők és a felhőszolgáltatás használatához most már tLS 1.2 szükséges. Az Azure ATP portálhoz való hozzáférés a TLS 1.2-t nem támogató böngészők használatával már nem érhető el.

Január 2020.

Az Azure ATP 2.106-os kiadása

Kiadás dátuma: 2020. január 19.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.105-ös kiadása

Kiadás dátuma: 2020. január 12.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. december

Az Azure ATP 2.104-es kiadása

Kiadás dátuma: 2019. december 23.

• Az érzékelő verziójának lejárata megszűnt
  Az Azure ATP-érzékelő üzembe helyezési és érzékelőtelepítési csomagjai már nem járnak le több verzió után, és most már csak egyszer frissülnek. Ennek a funkciónak az az eredménye, hogy a korábban letöltött érzékelőtelepítési csomagok akkor is telepíthetők, ha régebbiek, mint az elévült verziók maximális száma.

• Biztonság sérülésének megerősítése
  Mostantól megerősítheti bizonyos Microsoft 365-felhasználók biztonságát, és magasra állíthatja a kockázati szintet. Ez a munkafolyamat lehetővé teszi, hogy a biztonsági műveleti csapatok egy másik válaszképességgel csökkentsék a biztonsági incidensek idő–feloldási küszöbértékeit. További információ arról, hogyan erősítheti meg a kompromisszumot az Azure ATP és Felhőhöz készült Defender Apps használatával.

• Új felület szalagcíme
  Az Azure ATP portál azon oldalain, ahol új felület érhető el az Felhőhöz készült Defender Alkalmazások portálon, új szalagcímek jelennek meg, amelyek a hozzáférési hivatkozásokkal elérhető lehetőségeket ismertetik.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.103-ás kiadása

Kiadás dátuma: 2019. december 15.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.102-es kiadása

Kiadás dátuma: 2019. december 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. november

Az Azure ATP 2.101-es kiadása

Kiadás dátuma: 2019. nov. 24.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.100-es kiadása

Kiadás dátuma: 2019. nov. 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.99-es kiadása

Kiadás dátuma: 2019. november 3.

• Funkciófejlesztés: A Felhőhöz készült Defender Apps portál rendelkezésre állásáról szóló felhasználói felületi értesítés hozzáadva az Azure ATP-portálhoz
  Annak biztosítása, hogy minden felhasználó tisztában legyen a Felhőhöz készült Defender Apps portálon elérhető továbbfejlesztett funkciók rendelkezésre állásával, a meglévő Azure ATP-riasztási ütemtervről értesítést kapott a portálról.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Október 2019.

Az Azure ATP 2.98-es kiadása

Kiadás dátuma: 2019. október 27.

• Funkciófejlesztés: Gyanús találgatásos támadási riasztás
  Továbbfejlesztette a feltételezett találgatásos támadás (SMB) riasztást további elemzésekkel, valamint továbbfejlesztett észlelési logikával a jóindulatú valódi pozitív (B-TP) és a hamis pozitív (FP) riasztások eredményeinek csökkentése érdekében.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.97-es kiadása

Kiadás dátuma: 2019. október 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. szeptember

Az Azure ATP 2.96-os kiadása

Kiadás dátuma: 2019. szeptember 22.

• Bővített NTLM-hitelesítési adatok a Windows Event 8004 használatával
  Az Azure ATP-érzékelők mostantól automatikusan beolvashatják és bővíthetik az NTLM-hitelesítési tevékenységeket a kiszolgálói adatokkal, ha engedélyezve van az NTLM-naplózás, és a Windows Event 8004 be van kapcsolva. Az Azure ATP elemzi a Windows Event 8004 for NTLM-hitelesítéseket, hogy bővítse az Azure ATP-fenyegetéselemzéshez és -riasztásokhoz használt NTLM-hitelesítési adatokat. Ez a továbbfejlesztett funkció erőforrás-hozzáférési tevékenységet biztosít az NTLM-adatokon keresztül, valamint bővített sikertelen bejelentkezési tevékenységeket, beleértve azt a célszámítógépet is, amelyet a felhasználó megpróbált elérni, de nem tudott hozzáférni.

  További információ az NTLM-hitelesítési tevékenységekről a Windows Event 8004 használatával.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.95-ös kiadása

Kiadás dátuma: 2019. szeptember 15.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.94-es kiadása

Kiadás dátuma: 2019. szeptember 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.93-es kiadása

Kiadás dátuma: 2019. szeptember 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. augusztus

Az Azure ATP 2.92-es kiadása

Kiadás dátuma: 2019. augusztus 25.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.91-es kiadása

Kiadás dátuma: 2019. augusztus 18.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.90-es kiadása

Kiadás dátuma: 2019. augusztus 11.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.89-es kiadása

Kiadás dátuma: 2019. augusztus 4.

• Érzékelőmetódus fejlesztései
  Annak érdekében, hogy az NTLM-forgalom túlterjedése elkerülhető legyen a pontos oldalirányú mozgási útvonalak (LMP) értékelései során, az Azure ATP érzékelőmetszeteinek fejlesztései kevesebbet támaszkodnak az NTLM használatára, és jelentősen használják a Kerberost.

• Riasztás fejlesztése: Gyanús aranyjegy-használat (nem létező fiók)
  A SAM-névmódosítások hozzáadva az ilyen típusú riasztásokban felsorolt bizonyítéktípusokhoz. Ha többet szeretne megtudni a riasztásról, beleértve az ilyen típusú tevékenységek megelőzését és a szervizelést, olvassa el az Aranyjegy-gyanús használat (nem létező fiók) című témakört.

• Általános rendelkezésre állás: Feltételezett NTLM-hitelesítés illetéktelen használata
  A feltételezett NTLM-hitelesítési módosító riasztás már nem előzetes verziójú, és általánosan elérhető.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. július

Az Azure ATP 2.88-es kiadása

Kiadás dátuma: 2019. július 28.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.87-es kiadása

Kiadás dátuma: 2019. július 21.

• Funkciófejlesztés: Automatizált Syslog-eseménygyűjtemény önálló Azure ATP-érzékelőkhöz
  Az Önálló Azure ATP-érzékelők bejövő Syslog-kapcsolatai mostantól teljesen automatizáltak, miközben eltávolítják a kapcsolót a konfigurációs képernyőről. Ezek a módosítások nincsenek hatással a kimenő Syslog-kapcsolatokra.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.86-os kiadása

Kiadás dátuma: 2019. július 14.

• Új biztonsági riasztás: Gyanús NTLM-hitelesítés illetéktelen használata (külső azonosító: 2039)
  Az Azure ATP új , feltételezett NTLM-hitelesítést módosító biztonsági riasztása nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztás akkor aktiválódik, ha a "középen belüli" támadást gyanítják a Microsoft CVE-2019-040-ben részletezett biztonsági rés, az NTLM Üzenetintegritás-ellenőrzés (MIC) sikeres megkerülésével. Az ilyen típusú támadások megpróbálják leminősíteni az NTLM biztonsági funkcióit, és sikeresen hitelesíteni őket, azzal a végső céllal, hogy sikeres oldalirányú mozgásokat hajtsanak végre.

• Funkcióbővítés: Bővített eszköz operációsrendszer-azonosítás
  Az Azure ATP eddig az Active Directoryban elérhető attribútum alapján adta meg az entitáseszköz operációs rendszerére vonatkozó információkat. Korábban, ha az operációs rendszer adatai nem érhetők el az Active Directoryban, az adatok az Azure ATP entitásoldalain sem érhetők el. Ettől a verziótól kezdve az Azure ATP mostantól azoknak az eszközöknek nyújtja ezeket az információkat, amelyekben az Active Directory nem rendelkezik az adatokkal, vagy amelyek nincsenek regisztrálva az Active Directoryban, bővített eszköz operációsrendszer-azonosítási módszerekkel.

  A bővített eszköz operációsrendszer-azonosító adatainak hozzáadása segít azonosítani a nem regisztrált és a nem Windows rendszerű eszközöket, miközben egyidejűleg segíti a vizsgálati folyamatot. A hálózatnévfeloldásról az Azure ATP-ben további információt a hálózati névfeloldás (NNR) ismertetése című témakörben talál.

• Új funkció: Hitelesített proxy – előzetes verzió
  Az Azure ATP mostantól támogatja a hitelesített proxyt. Adja meg a proxy URL-címét az érzékelő parancssorával, és adja meg a felhasználónevet/jelszót a hitelesítést igénylő proxyk használatához. A hitelesített proxy használatával kapcsolatos további információkért lásd a proxy konfigurálását ismertető témakört.

• Funkciófejlesztés: Automatikus tartományszinkronizálási folyamat
  A tartományvezérlők tartományi szinkronizálójelöltként való megjelölésének és címkézésének folyamata a telepítés és a folyamatos konfiguráció során teljesen automatizált. A tartományvezérlők manuális kiválasztására a tartományvezérlők tartományvezérlő-jelöltekként való manuális kijelölésére vonatkozó kapcsoló el lesz távolítva.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.85-ös kiadása

Kiadás dátuma: 2019. július 7.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.84-es kiadása

Kiadás dátuma: 2019. július 1.

• Új helytámogatás: Azure UK adatközpont
  Az Azure ATP-példányok mostantól támogatottak az Azure UK adatközpontjában. Az Azure ATP-példányok és a hozzájuk tartozó adatközpontok létrehozásáról további információt az Azure ATP telepítésének 1. lépésében talál.

• Funkciófejlesztés: Új név és funkciók a bizalmas csoportokra vonatkozó riasztás gyanús hozzáadásaihoz (külső azonosító: 2024)
  A bizalmas csoportokra vonatkozó riasztás gyanús kiegészítései korábban a bizalmas csoportokra vonatkozó riasztás gyanús módosításainak voltak nevezve. A riasztás külső azonosítója (ID 2024) változatlan marad. A leíró névváltoztatás pontosabban tükrözi a bizalmas csoportokhoz való hozzáadások riasztásának célját. A továbbfejlesztett riasztás új bizonyítékokat és továbbfejlesztett leírásokat is tartalmaz. További információ: Gyanús hozzáadások bizalmas csoportokhoz.

• Új dokumentációs funkció: Útmutató az Advanced Threat Analyticsről az Azure ATP-be való áttéréshez
  Ez az új cikk előfeltételeket, tervezési útmutatást, valamint konfigurációs és ellenőrzési lépéseket tartalmaz az ATA-ról az Azure ATP szolgáltatásra való áttéréshez. További információ: Áthelyezés az ATA-ról az Azure ATP-be.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

június 2019.

Az Azure ATP 2.83-es kiadása

Kiadás dátuma: 2019. június 23.

• Funkcióbővítés: Gyanús szolgáltatáslétrehozás riasztás (külső azonosító: 2026)
  Ez a riasztás most egy továbbfejlesztett riasztási oldalt tartalmaz, további bizonyítékokkal és új leírással. További információ: Gyanús szolgáltatáslétrehozás biztonsági riasztása.

• Példányelnevezés támogatása: Csak számjegyes tartomány előtagjának támogatása
  Az Azure ATP-példány létrehozásához csak számjegyeket tartalmazó kezdeti tartományelőtagok támogatása. Mostantól például csak a számjegyek kezdeti tartományelőtagjainak (például 123456.contoso.com) használata támogatott.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.82-es kiadása

Kiadás dátuma: 2019. június 18.

• Új nyilvános előzetes verzió
  Az Azure ATP identitásfenyegetettség-vizsgálati felülete mostantól nyilvános előzetes verzióban érhető el, és minden Azure ATP-védelem alatt álló bérlő számára elérhető. További információért tekintse meg az Azure ATP Felhőhöz készült Microsoft Defender Apps vizsgálati felületét.

• Általános rendelkezésre állás
  A nem megbízható erdők Azure ATP-támogatása mostantól általánosan elérhető. További információért tekintse meg az Azure ATP többerdős szolgáltatását.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.81-es kiadása

Kiadás dátuma: 2019. június 10.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.80-es kiadása

Kiadás dátuma: 2019. június 2.

• Funkcióbővítés: Gyanús VPN-kapcsolati riasztás
  Ez a riasztás mostantól továbbfejlesztett bizonyítékokat és szövegeket tartalmaz a jobb használhatóság érdekében. A riasztási funkciókról, valamint a javasolt szervizelési lépésekről és megelőzésről további információt a gyanús VPN-kapcsolat riasztási leírásában talál.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

május 2019.

Az Azure ATP 2.79-es kiadása

Kiadás dátuma: 2019. május 26.

• Általános rendelkezésre állás: Biztonsági tagok felderítése (LDAP) (külső azonosító: 2038)

  Ez a riasztás most már a ga (általános rendelkezésre állás) része. A riasztással, a riasztási funkciókkal, valamint a javasolt szervizeléssel és megelőzéssel kapcsolatos további információkért tekintse meg a security principal reconnaissance (LDAP) riasztás leírását

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.78-es kiadása

Kiadás dátuma: 2019. május 19.

• Funkciófejlesztés: Bizalmas entitások
  Manuális bizalmas címkézés Exchange-kiszolgálókhoz

  Mostantól manuálisan is megjelölhet entitásokat Exchange-kiszolgálóként a konfiguráció során.

  Entitás manuális címkézése Exchange Serverként:

  1. Az Azure ATP portálon válassza a Konfiguráció lehetőséget.
  2. Az Észlelés csoportban válassza az Entitáscímkék, majd a Bizalmas elemet.
  3. Válassza az Exchange-kiszolgálók lehetőséget, majd adja hozzá a címkézni kívánt entitást.

  Miután a számítógépet Exchange-kiszolgálóként jelölte meg, a rendszer bizalmasként fogja megjelölni, és megjeleníti, hogy Exchange-kiszolgálóként lett megjelölve. A Bizalmas címke megjelenik a számítógép entitásprofiljában, és a számítógép a bizalmas fiókokon és az oldalirányú mozgási útvonalakon alapuló összes észlelésben megjelenik.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.77-es kiadása

Kiadás dátuma: 2019. május 12.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.76-os kiadása

Kiadás dátuma: 2019. május 6.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

április 2019.

Az Azure ATP 2.75-ös kiadása

Kiadás dátuma: 2019. április 28.

• Funkciófejlesztés: Bizalmas entitások
  Ettől a verziótól kezdve (2.75) az Azure ATP exchange-kiszolgálóként azonosított gépei mostantól automatikusan bizalmasként vannak megjelölve.

  Azok az entitások, amelyek automatikusan bizalmasként vannak megjelölve, mert Exchange-kiszolgálóként működnek, a besorolást a címkézett okként sorolják fel.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.74-es kiadása

Kiadás dátuma: 2019. április 14.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.73-es kiadása

Kiadás dátuma: 2019. április 10.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. március

Az Azure ATP 2.72-es kiadása

Kiadás dátuma: 2019. március 31.

• Funkciófejlesztés: Oldalirányú mozgási útvonal (LMP) hatókörön belüli mélysége
  Az oldalirányú mozgási útvonalak (LMP-k) az Azure ATP fenyegetés- és kockázatfelderítésének kulcsfontosságú módszerei. Annak érdekében, hogy a legérzékenyebb felhasználókat érintő kritikus kockázatokra összpontosíthasson, ez a frissítés megkönnyíti és gyorsabban elemezheti és orvosolhatja az egyes LMP-k bizalmas felhasználóira vonatkozó kockázatokat az egyes gráfok hatókörének és mélységének korlátozásával.

  Az Oldalirányú mozgási útvonalak című cikkből megtudhatja , hogy az Azure ATP hogyan használja az LMP-ket a környezet minden entitására vonatkozó hozzáférési kockázatok felszínre hozásához.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.71-es kiadása

Kiadás dátuma: 2019. március 24.

• Funkciófejlesztés: Hálózati névfeloldási (NNR) állapotriasztások
  Az NNR-en alapuló Azure ATP biztonsági riasztásokhoz társított megbízhatósági szintekhez egészségügyi riasztások lettek hozzáadva. Minden állapotriasztás végrehajtható és részletes javaslatokat tartalmaz az NNR alacsony sikerességi arányának megoldásához.

  A hálózati névfeloldásról további információt az Azure ATP NNR-beli használatáról és a riasztások pontosságának fontosságáról olvashat.

• Kiszolgálótámogatás: A Server 2019 támogatása KB4487044 használatával
  A Windows Server 2019 használatához hozzáadott támogatás javításszintű KB4487044. A Server 2019 javítás nélküli használata nem támogatott, és a frissítéstől kezdve le van tiltva.

• Funkciófejlesztés: Felhasználóalapú riasztások kizárása
  A kiterjesztett riasztáskizárási lehetőségek mostantól lehetővé teszik bizonyos felhasználók kizárását adott riasztásokból. A kizárások segíthetnek elkerülni azokat a helyzeteket, amikor bizonyos típusú belső szoftverek használata vagy konfigurálása ismételten jóindulatú biztonsági riasztásokat váltott ki.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.70-es kiadása

Kiadás dátuma: 2019. március 17.

• Funkcióbővítés: A hálózatnévfeloldási (NNR) megbízhatósági szint hozzáadva több riasztáshoz Hálózati névfeloldás vagy (NNR) a gyanús támadások forrásentitásának pozitív azonosítására szolgál. Ha hozzáadja az NNR megbízhatósági szintjét az Azure ATP-riasztások bizonyítéklistáihoz, azonnal felmérheti és megértheti az NNR megbízhatósági szintjét az azonosított lehetséges forrásokhoz, és megfelelően szervizelheti.

  Az NNR megbízhatósági szintű bizonyítéka a következő riasztásokhoz lett hozzáadva:

  • Hálózatleképezés felderítése (DNS)
  • Személyazonosság-lopás gyanúja (pass-the-ticket)
  • Feltételezett NTLM-továbbítási támadás (Exchange-fiók)-előzetes verzió
  • DCSync-támadás gyanúja (címtárszolgáltatások replikálása)

• További állapotriasztási forgatókönyv: Az Azure ATP érzékelőszolgáltatás nem indult el
  Azokban az esetekben, amikor az Azure ATP-érzékelő nem indult el egy hálózati rögzítési illesztőprogram hibája miatt, az érzékelő állapotriasztása aktiválódik. Az Azure ATP-érzékelő és az Azure ATP-naplók hibaelhárítása az Azure ATP-naplókkal kapcsolatos további információkért és azok használatáról.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.69-es kiadása

Kiadás dátuma: 2019. március 10.

• Funkcióbővítés: Gyanús identitáslopás (pass-the-ticket) riasztás Ez a riasztás most új bizonyítékokat tartalmaz a távoli asztali protokoll (RDP) használatával létesített kapcsolatok részleteiről. A hozzáadott bizonyítékok megkönnyítik a (B-TP) jóindulatú pozitív riasztások ismert problémájának kijavítását, amelyet a Távoli hitelesítő adatok őrének RDP-kapcsolatokon keresztüli használata okozott.

• Funkciófejlesztés: Távoli kódvégrehajtás DNS-riasztáson keresztül
  Ez a riasztás most új bizonyítékokkal rendelkezik a tartományvezérlő biztonsági frissítési állapotáról, és tájékoztatja Önt arról, hogy mikor van szükség frissítésekre.

• Új dokumentációs funkció: Azure ATP security alert MITRE ATT&CK Matrix™
  Az Azure ATP biztonsági riasztások és a jól ismert MITRE ATT&CK-mátrix közötti kapcsolat bemutatásához és egyszerűbb leképezéséhez hozzáadtuk a releváns MITRE-technikákat az Azure ATP biztonsági riasztások listájához. Ez a további hivatkozás megkönnyíti az Azure ATP biztonsági riasztások aktiválásakor esetleg használt feltételezett támadási technika megértését. További információ az Azure ATP biztonsági riasztási útmutatójáról.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.68-es kiadása

Kiadás dátuma: 2019. március 3.

• Funkcióbővítés: Gyanús találgatásos támadás (LDAP) riasztás
  Jelentős használhatósági fejlesztések történtek a biztonsági riasztásban, beleértve a módosított leírást, a további forrásinformációk rendelkezésre bocsátását és a találgatási kísérletek részleteit a gyorsabb szervizelés érdekében.
  További információ a feltételezett találgatásos támadásról (LDAP) szóló biztonsági riasztásokról.

• Új dokumentációs funkció: Biztonsági riasztási tesztkörnyezet
  Ha meg szeretné magyarázni az Azure ATP teljesítményét a munkakörnyezet valós fenyegetéseinek észlelésében, hozzáadtunk egy új biztonsági riasztási labort ehhez a dokumentációhoz. A Biztonsági riasztási tesztkörnyezet segítségével gyorsan beállíthat egy tesztkörnyezetet vagy tesztkörnyezetet, és elmagyarázza a leggyakoribb, valós fenyegetések és támadások elleni legjobb védekező állást.

  A részletes labor úgy lett kialakítva, hogy minimális időt töltsön az összeállítással, és több időt töltsön a fenyegetési környezettel, valamint az elérhető Azure ATP-riasztásokkal és védelemmel. Örömmel várjuk visszajelzését.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

2019. február

Az Azure ATP 2.67-es kiadása

Kiadás dátuma: 2019. február 24.

• Új biztonsági riasztás: Biztonsági tagok felderítése (LDAP) – (előzetes verzió)
  Az Azure ATP security principal reconnaissance (LDAP) – az előzetes verziójú biztonsági riasztás nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a támadók a biztonsági tagok felderítése során kritikus információkat szereznek a tartományi környezetről. Ezek az információk segítenek a támadóknak leképezni a tartományszerkezetet, valamint azonosítani a kiemelt fiókokat a támadási lánc későbbi lépéseiben való használathoz.

  Az Lightweight Directory Access Protocol (LDAP) az egyik legnépszerűbb módszer, amelyet az Active Directory lekérdezéséhez mind a jogos, mind a rosszindulatú célokra használnak. A kerberoasting támadás első fázisaként gyakran használják az LDAP-központú biztonsági főfelderítést. A kerberoasting-támadásokkal lekérheti a biztonsági egyszerű nevek (SPN-k) céllistáját, amelyekhez a támadók megkísérlik lekérni a jegykiadó kiszolgáló (TGS) jegyeit.

• Funkciófejlesztés: Fiók-enumerálási felderítés (NTLM) riasztás
  Továbbfejlesztett fiókszámozási felderítés (NTLM) riasztás további elemzéssel és továbbfejlesztett észlelési logikával a B-TP és a FP riasztások eredményeinek csökkentése érdekében.

• Funkciófejlesztés: Hálózatleképezési felderítési (DNS-) riasztás
  Új típusú észlelések hozzáadva a hálózatleképezési felderítési (DNS-) riasztásokhoz. A gyanús AXFR-kérések észlelése mellett az Azure ATP most már észleli a nem DNS-kiszolgálókról érkező gyanús kéréstípusokat, amelyek túl sok kérést használnak.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.66-os kiadása

Kiadás dátuma: 2019. február 17.

• Funkcióbővítés: DcSync-támadás gyanúja (címtárszolgáltatások replikálása) riasztás
  A biztonsági riasztás használhatósága javult, beleértve a módosított leírást, a további forrásinformációk rendelkezésre bocsátását, az új infografikát és a további bizonyítékokat. További információ a DCSync-támadásokról (a címtárszolgáltatások replikálásáról) szóló biztonsági riasztásokról.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.65-ös kiadása

Kiadás dátuma: 2019. február 10.

• Új biztonsági riasztás: Feltételezett NTLM-továbbítási támadás (Exchange-fiók) – (előzetes verzió)
  Az Azure ATP feltételezett NTLM-továbbítási támadása (Exchange-fiók) – az előzetes verziójú biztonsági riasztás nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha gyanús forrásból származó Exchange-fiók hitelesítő adatait használják. Az ilyen típusú támadások az NTLM-továbbítási technikákat próbálják kihasználni a tartományvezérlő exchange-jogosultságainak megszerzéséhez, és ExchangePriv néven ismertek. További információ a ADV190007 2019. január 31-én közzétett, elsőként közzétett ExchangePriv-technikáról és az Azure ATP riasztási válaszáról.

• Általános rendelkezésre állás: Távoli kódvégrehajtás DNS-en keresztül
  Ez a riasztás most már a ga (általános rendelkezésre állás) része. További információkért és riasztási funkciókért tekintse meg a DNS-riasztások leírási oldalán található távoli kódvégrehajtást.

• Általános rendelkezésre állás: Adatkiszivárgás SMB-vel
  Ez a riasztás most már a ga (általános rendelkezésre állás) része. További információkért és riasztási funkciókért tekintse meg az SMB-riasztások leírási oldalán található adatkiszivárgást.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.64-es kiadása

Kiadás dátuma: 2019. február 4.

• Általános elérhetőség: Gyanús Aranyjegy-használat (jegy anomáliája)
  Ez a riasztás most már a ga (általános rendelkezésre állás) része. További információkért és riasztási funkciókért tekintse meg a gyanús aranyjegy-használat (jegy anomáliája) riasztás leírási oldalát.

• Funkciófejlesztés: Hálózatleképezés felderítése (DNS)
  Továbbfejlesztett riasztásészlelési logika a riasztáshoz a hamis pozitív és riasztási zaj minimalizálása érdekében. Ez a riasztás most már nyolc napos tanulási időszaka van, mielőtt a riasztás valószínűleg először aktiválódik. A riasztásról további információt a Hálózatleképezés felderítési (DNS) riasztás leírási oldalán talál.

  A riasztás továbbfejlesztése miatt az nslookup metódus már nem használható az Azure ATP-kapcsolatok tesztelésére a kezdeti konfiguráció során.

• Funkciófejlesztés:
  Ez a verzió tartalmazza az újratervezett riasztási oldalakat és az új bizonyítékokat, amelyek jobb riasztási vizsgálatot biztosítanak.

  • Feltételezett találgatásos támadás (SMB)
  • Gyanús Golden Ticket-használat (idő anomália) riasztás leírási oldala
  • Feltételezett felüljáró-a-hash támadás (Kerberos)
  • A Metasploit hacking keretrendszerének feltételezett használata
  • WannaCry ransomware-támadás gyanúja

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Január 2019.

Az Azure ATP 2.63-es kiadása

Kiadás dátuma: 2019. január 27.

• Új funkció: Nem megbízható erdőtámogatás – (előzetes verzió)
  Az Azure ATP nem megbízható erdők érzékelőinek támogatása nyilvános előzetes verzióban érhető el. Az Azure ATP portál címtárszolgáltatásainak lapján konfiguráljon további hitelesítő adatokat, hogy az Azure ATP-érzékelők különböző Active Directory-erdőkhöz csatlakozhassanak, és jelentést készíthessenek az Azure ATP szolgáltatásnak. További információért tekintse meg az Azure ATP többerdős szolgáltatását.

• Új funkció: Tartományvezérlő lefedettsége
  Az Azure ATP mostantól lefedettségi információkat biztosít az Azure ATP által figyelt tartományvezérlőkhöz.
  Az Azure ATP Portál érzékelők lapján tekintse meg az Azure ATP által a környezetben észlelt figyelt és nem figyelt tartományvezérlők számát. Töltse le a figyelt tartományvezérlők listáját további elemzéshez, és hozzon létre egy műveleti tervet. További információt a tartományvezérlő monitorozási útmutatójában talál.

• Funkcióbővítés: Fiók számbavételének felderítése
  Az Azure ATP-fiók számbavételi felderítési észlelése mostantól észleli és riasztásokat ad ki a Kerberos és az NTLM használatával végzett enumerálási kísérletekhez. Korábban az észlelés csak a Kerberost használó kísérleteknél működött. További információért tekintse meg az Azure ATP felderítési riasztásait .

• Funkciófejlesztés: Távoli kódvégrehajtási kísérlet riasztása

  • Az összes távoli végrehajtási tevékenység, például a szolgáltatás létrehozása, a WMI-végrehajtás és az új PowerShell-végrehajtás bekerült a célgép profil-idővonalára. A célgép az a tartományvezérlő, amelyen a parancsot végrehajtották.
  • A PowerShell-végrehajtás fel lett véve az entitásprofil riasztási ütemtervében felsorolt távoli kódvégrehajtási tevékenységek listájára.
  • További információ: Távoli kódvégrehajtási kísérlet .

• Windows Server 2019 LSASS-probléma és Azure ATP
  A Windows Server 2019-et futtató tartományvezérlők Azure ATP-használatával kapcsolatos ügyfelek visszajelzésére válaszul ez a frissítés további logikát tartalmaz a jelentett viselkedés Windows Server 2019 rendszerű gépeken való aktiválásának elkerülése érdekében. A Windows Server 2019-en futó Azure ATP-érzékelő teljes körű támogatását egy későbbi Azure ATP-frissítésre tervezik, de az Azure ATP telepítése és futtatása a Windows Server 2019-en jelenleg nem támogatott. További információért tekintse meg az Azure ATP-érzékelő követelményeit .

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.62-es kiadása

Kiadás dátuma: 2019. január 20.

• Új biztonsági riasztás: Távoli kódvégrehajtás DNS-en keresztül – (előzetes verzió)
  Az Azure ATP távoli kódvégrehajtása DNS-alapú biztonsági riasztáson keresztül nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a CVE-2018-8626 biztonsági rés kihasználására gyanús DNS-lekérdezések a hálózaton lévő tartományvezérlőn jönnek létre.

• Funkciófejlesztés: 72 órás késleltetett érzékelőfrissítés
  Az Azure ATP minden egyes kiadási frissítése után a kiválasztott érzékelők érzékelőfrissítéseinek késleltetése 72 órára (az előző 24 órás késés helyett) módosult. A konfigurációs utasításokért tekintse meg az Azure ATP-érzékelő frissítését .

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.61-es kiadása

Kiadás dátuma: 2019. január 13.

• Új biztonsági riasztás: Adatkiszivárgás SMB-n keresztül – (előzetes verzió)
  Az Azure ATP SMB biztonsági riasztáson keresztüli adatkiszivárgása nyilvános előzetes verzióban érhető el. A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával a támadók létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van.

• Funkciófejlesztés: Távoli kódvégrehajtási kísérlet biztonsági riasztása
  Új riasztási leírást és további bizonyítékokat adtak hozzá a riasztás könnyebb megértéséhez és jobb vizsgálati munkafolyamatok biztosításához.

• Funkciófejlesztés: DNS-lekérdezési logikai tevékenységek
  További lekérdezéstípusok lettek hozzáadva az Azure ATP által figyelt tevékenységekhez, például: TXT, MX, NS, SRV, ANY, DNSKEY.

• Funkcióbővítés: Gyanús aranyjegy-használat (jegy anomáliája) és gyanús aranyjegy-használat (nem létező fiók)
  Továbbfejlesztett észlelési logikát alkalmazunk mindkét riasztásra a FP-riasztások számának csökkentése és a pontosabb eredmények elérése érdekében.

• Funkciófejlesztés: Az Azure ATP biztonsági riasztási dokumentációja
  Az Azure ATP biztonsági riasztások dokumentációját továbbfejlesztettük és bővítettük, hogy jobb riasztási leírásokat, pontosabb riasztásbesorolásokat és bizonyítékokkal, szervizeléssel és megelőzéssel kapcsolatos magyarázatokat tartalmazzon. Ismerkedjen meg az új biztonsági riasztások dokumentációjának kialakításával az alábbi hivatkozások használatával:

  • Az Azure ATP biztonsági riasztásai
  • A biztonsági riasztások ismertetése
    • Felderítési fázis riasztásai
    • Sérült hitelesítőadat-fázis riasztásai
    • Oldalirányú mozgási fázisra vonatkozó riasztások
    • Tartományi dominanciafázis-riasztások
    • Exfiltrációs fázisra vonatkozó riasztások
  • Számítógép vizsgálata
  • Felhasználó vizsgálata

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.60-es kiadása

Kiadás dátuma: 2019. január 6.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

december 2018.

Az Azure ATP 2.59-es kiadása

Kiadás dátuma: 2018. december 16.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.58-es kiadása

Kiadás dátuma: 2018. december 9.

• Biztonsági riasztás fejlesztése: Szokatlan protokoll implementálási riasztásának felosztása
  Az Azure ATP korábban 1 externalId (2002) azonosítóval megosztott szokatlan protokoll-implementációs biztonsági riasztásainak sorozata mostantól négy megkülönböztető riasztásra oszlik, amelyekhez egyedi külső azonosító tartozik.

Új riasztás externalIds

Új biztonsági riasztás neve	Korábbi biztonsági riasztás neve	Egyedi külső azonosító
Feltételezett találgatásos támadás (SMB)	Szokatlan protokoll implementálása (rosszindulatú eszközök, például Hydra potenciális használata)	2033
Feltételezett felüljáró-a-hash támadás (Kerberos)	Szokatlan Kerberos protokoll implementálása (lehetséges overpass-the-hash támadás)	2002
A Metasploit hacking keretrendszerének feltételezett használata	Szokatlan protokoll implementálása (a Metasploit hackelési eszközök lehetséges használata)	2034
WannaCry ransomware-támadás gyanúja	Szokatlan protokoll implementálása (lehetséges WannaCry ransomware-támadás)	2035

• Új figyelt tevékenység: Fájlmásolás az SMB-ben
  A fájlok SMB használatával történő másolása mostantól monitorozott és szűrhető tevékenység. További információ arról, hogy az Azure ATP mely tevékenységeket figyeli, és hogyan szűrheti és keresheti meg a figyelt tevékenységeket a portálon.

• Nagyméretű oldalirányú mozgásvonal képének továbbfejlesztése
  Nagy oldalirányú mozgási útvonalak megtekintésekor az Azure ATP mostantól csak a kijelölt entitáshoz csatlakoztatott csomópontokat emeli ki a többi csomópont elmosása helyett. Ez a változás jelentős javulást eredményez a nagy LMP-renderelési sebességben.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.57-es kiadása

Kiadás dátuma: 2018. december 2.

• Új biztonsági riasztás: Arany jegy használatának gyanúja – jegy anomáliája (előzetes verzió)
  Az Azure ATP feltételezett aranyjegyhasználata – a jegy anomáliával kapcsolatos biztonsági riasztása nyilvános előzetes verzióban érhető el. A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával a támadók létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármilyen erőforrás számára engedélyezve van.

  Ezt a hamisított TGT-t "Golden Ticket"-nek nevezik, mert lehetővé teszi a támadók számára, hogy tartós hálózati megőrzést érjenek el. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az új észlelés azonosításra terveztek.

• Funkciófejlesztés: Automatizált Azure ATP-példány (példány) létrehozása
  Mától az Azure ATP-példányokat átnevezik Azure ATP-példányokra. Az Azure ATP mostantól egy Azure ATP-példányt támogat Azure ATP-fiókonként. Az új ügyfelek példányai az Azure ATP portál példánylétrehozó varázslójának használatával jönnek létre. A frissítéssel a meglévő Azure ATP-példányok automatikusan Azure ATP-példányokká lesznek konvertálva.

  • Egyszerűsített példánylétrehozás a gyorsabb üzembe helyezéshez és védelemhez az Azure ATP-példány létrehozásával.
  • Az adatvédelem és a megfelelőség változatlan marad.

  További információ az Azure ATP-példányokról: Azure ATP-példány létrehozása.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2018. november

Az Azure ATP 2.56-os kiadása

Kiadás dátuma: 2018. november 25.

• Funkciófejlesztés: Oldalirányú mozgási útvonalak (LMP-k)
  Két további funkcióval bővül az Azure ATP lateral Movement Path (LMP) képességei:

  • Az LMP-előzmények mostantól entitásonként és LMP-jelentések használata esetén is menthetők és felderíthetők.
  • Kövesse az LMP egy entitását a tevékenység ütemtervén keresztül, és vizsgálja meg a lehetséges támadási útvonalak felderítéséhez rendelkezésre álló további bizonyítékokat.

  A továbbfejlesztett LMP-k használatával és vizsgálatával kapcsolatos további információkért tekintse meg az Azure ATP oldalirányú mozgási útvonalait .

• Dokumentáció fejlesztései: Oldalirányú mozgási útvonalak, biztonsági riasztások nevei
  Az Oldalirányú mozgás útvonalának leírását és funkcióit leíró Azure ATP-cikkekhez hozzáadtuk a névleképezést a régi biztonsági riasztások minden példányához új nevekhez és külső azonosítókhoz.

  • További információ: Azure ATP Lateral Movement Paths, Investigate Lateral Movement Paths és Security Alert Guide .

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.55-ös kiadása előtti (és azokat is tartalmazó) kiadások részleteiért tekintse meg a Defender for Identity kiadási referenciáját.

Következő lépések

A Microsoft Defender for Identity újdonságai