Apa arsip baru untuk Microsoft Defender untuk Identitas

Artikel ini mencantumkan catatan rilis Microsoft Defender untuk Identitas untuk versi dan fitur yang dirilis lebih dari 6 bulan yang lalu.

Untuk informasi tentang versi dan fitur terbaru, lihat Apa yang baru dalam Microsoft Defender untuk Identitas.

Catatan

Mulai 15 Juni 2022, Microsoft tidak akan lagi mendukung sensor Pertahanan untuk Identitas pada perangkat yang berjalan Windows Server 2008 R2. Kami menyarankan agar Anda mengidentifikasi server Pengendali Domain (DC) atau LAYANAN Federasi Direktori Aktif yang masih berjalan Windows Server 2008 R2 sebagai sistem operasi dan membuat rencana untuk memperbaruinya ke sistem operasi yang didukung.

Selama dua bulan setelah 15 Juni 2022, sensor akan terus berfungsi. Setelah periode dua bulan ini, mulai 15 Agustus 2022, sensor tidak akan lagi berfungsi pada platform Windows Server 2008 R2. Detail selengkapnya dapat ditemukan di: https://aka.ms/mdi/2008r2

Juli 2023

Defender untuk Rilis identitas 2.209

Versi ini mencakup peningkatan dan perbaikan bug untuk layanan cloud dan sensor Defender for Identity.

Cari grup Direktori Aktif di Microsoft Defender XDR (Pratinjau)

Pencarian global Pertahanan Microsoft XDR sekarang mendukung pencarian berdasarkan nama grup Direktori Aktif. Grup apa pun yang ditemukan ditampilkan dalam hasil pada tab Grup terpisah. Pilih grup Direktori Aktif dari hasil pencarian Anda untuk melihat detail selengkapnya, termasuk:

• Jenis
• Cakupan
• Domain
• Nama SAM
• SID

• Waktu pembuatan grup
• Pertama kali aktivitas oleh grup diamati
• Grup yang berisi grup terpilih
• Daftar semua anggota grup

Contohnya:

Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas di Microsoft Defender XDR.

Laporan postur keamanan baru

Penilaian postur keamanan identitas Defender for Identity secara proaktif mendeteksi dan merekomendasikan tindakan di seluruh konfigurasi Active Directory lokal Anda.

Penilaian postur keamanan baru berikut ini sekarang tersedia di Skor Aman Microsoft:

• Menghapus hak akses pada akun yang mencurigakan dengan izin Admin SDHolder
• Menghapus akun nonadmin dengan izin DCSync
• Menghapus admin lokal pada aset identitas
• Memulai penyebaran Defender for Identity Anda

Untuk informasi selengkapnya, lihat penilaian postur keamanan Microsoft Defender untuk Identitas.

Pengalihan otomatis untuk portal Defender for Identity klasik

Pengalaman dan fungsionalitas portal Microsoft Defender untuk Identitas disatukan ke dalam platform deteksi dan respons (XDR) Microsoft yang diperluas, Pertahanan Microsoft XDR. Mulai 6 Juli 2023, pelanggan yang menggunakan portal Defender for Identity klasik secara otomatis dialihkan ke Microsoft Defender XDR, tanpa opsi untuk kembali ke portal klasik.

Untuk informasi selengkapnya, lihat posting blog dan Microsoft Defender untuk Identitas kami di Microsoft Defender XDR.

Defender for Identity report mengunduh dan menjadwalkan di Microsoft Defender XDR (Pratinjau)

Sekarang Anda dapat mengunduh dan menjadwalkan laporan Defender for Identity berkala dari portal Pertahanan Microsoft, membuat paritas dalam fungsionalitas laporan dengan portal Defender for Identity klasik warisan.

Unduh dan jadwalkan laporan di Microsoft Defender XDR dari halaman manajemen Laporan Identitas > Pengaturan>. Contohnya:

Untuk informasi selengkapnya, lihat laporan Microsoft Defender untuk Identitas di Microsoft Defender XDR.

Defender untuk Rilis identitas 2.208

• Versi ini mencakup peningkatan dan perbaikan bug untuk layanan cloud dan sensor Defender for Identity.

Defender untuk Rilis identitas 2.207

• Versi ini menyediakan parameter penginstalan AccessKeyFile baru. Gunakan parameter AccessKeyFile selama penginstalan senyap sensor Defender for Identity, untuk mengatur Kunci Akses ruang kerja dari jalur teks yang disediakan. Untuk informasi selengkapnya, lihat Menginstal sensor Microsoft Defender untuk Identitas.

• Versi ini mencakup peningkatan dan perbaikan bug untuk layanan cloud dan sensor Defender for Identity.

Juni 2023

Defender untuk Rilis identitas 2.206

• Versi ini mencakup peningkatan dan perbaikan bug untuk layanan cloud dan sensor Defender for Identity.

Perburuan tingkat lanjut dengan tabel IdentityInfo yang ditingkatkan

• Untuk penyewa dengan Defender for Identity yang disebarkan, tabel perburuan lanjutan Microsoft 365 IdentityInfo sekarang menyertakan lebih banyak atribut per identitas, dan identitas yang terdeteksi oleh sensor Defender for Identity dari lingkungan lokal Anda.

Untuk informasi selengkapnya, lihat dokumentasi perburuan tingkat lanjut Microsoft Defender XDR.

Defender untuk Rilis identitas 2.205

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Mei 2023

Sorotan kontrol akun Direktori Aktif yang Disempurnakan

Halaman detail pengguna Identitas> Microsoft Defender XDR sekarang menyertakan data kontrol akun Direktori Aktif baru.

Pada tab Gambaran Umum detail pengguna, kami telah menambahkan kartu kontrol akun Direktori Aktif baru untuk menyoroti pengaturan keamanan penting dan kontrol Direktori aktif. Misalnya, gunakan kartu ini untuk mempelajari apakah pengguna tertentu dapat melewati persyaratan kata sandi atau memiliki kata sandi yang tidak pernah kedaluwarsa.

Contohnya:

Untuk informasi selengkapnya, lihat dokumentasi atribut User-Account-Control.

Defender untuk Rilis identitas 2.204

Dirilis 29 Mei 2023

• Pemberitahuan kesehatan baru untuk kegagalan penyerapan data integrasi VPN (radius). Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas pemberitahuan kesehatan sensor.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.203

Dirilis 15 Mei 2023

• Pemberitahuan kesehatan baru untuk memverifikasi bahwa Audit Kontainer ADFS dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas pemberitahuan kesehatan sensor.

• Halaman Identitas Pertahanan Microsoft 365 menyertakan pembaruan UI untuk pengalaman jalur gerakan lateral. Tidak ada fungsionalitas yang diubah. Untuk informasi selengkapnya, lihat Memahami dan menyelidiki Jalur Gerakan Lateral (LMP) dengan Microsoft Defender untuk Identitas.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Penyempurnaan garis waktu identitas

Tab Garis Waktu identitas sekarang berisi fitur baru dan yang disempurnakan! Dengan garis waktu yang diperbarui, Anda sekarang dapat memfilter menurut Jenis aktivitas, Protokol, dan Lokasi, selain filter asli. Anda juga dapat mengekspor garis waktu ke file CSV dan menemukan informasi tambahan tentang aktivitas yang terkait dengan teknik MITRE ATT&CK. Untuk informasi selengkapnya, lihat Menyelidiki pengguna di Microsoft Defender XDR.

Penyetelan pemberitahuan di Microsoft Defender XDR

Penyetelan pemberitahuan, yang sekarang tersedia di Microsoft Defender XDR, memungkinkan Anda menyesuaikan pemberitahuan dan mengoptimalkannya. Penyetelan pemberitahuan mengurangi positif palsu, memungkinkan tim SOC Anda untuk fokus pada pemberitahuan prioritas tinggi, dan meningkatkan cakupan deteksi ancaman di seluruh sistem Anda.

Di Microsoft Defender XDR, buat kondisi aturan berdasarkan jenis bukti, lalu terapkan aturan Anda pada jenis aturan apa pun yang cocok dengan kondisi Anda. Untuk informasi selengkapnya, lihat Menyetel pemberitahuan.

April 2023

Defender untuk Rilis identitas 2.202

Dirilis 23 April 2023

• Pemberitahuan kesehatan baru untuk memverifikasi bahwa Audit Kontainer Konfigurasi Layanan Direktori dikonfigurasi dengan benar, seperti yang dijelaskan di halaman pemberitahuan kesehatan.
• Ruang kerja baru untuk penyewa AD yang dipetakan ke Selandia Baru dibuat di wilayah Australia Timur. Untuk daftar penyebaran regional terbaru, lihat Komponen Pertahanan untuk Identitas.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Maret 2023

Defender untuk Rilis identitas 2.201

Dirilis 27 Maret 2023

• Kami sedang dalam proses menonaktifkan peringatan honeytoken SAM-R. Meskipun jenis akun ini tidak boleh diakses atau dikueri, sistem warisan tertentu mungkin menggunakan akun ini sebagai bagian dari operasi reguler mereka. Jika fungsionalitas ini diperlukan untuk Anda, Anda selalu dapat membuat kueri perburuan tingkat lanjut dan menggunakannya sebagai deteksi kustom. Kami juga meninjau peringatan honeytoken LDAP selama beberapa minggu mendatang, tetapi tetap berfungsi untuk saat ini.

• Kami memperbaiki masalah logika deteksi dalam pemberitahuan kesehatan Audit Objek Layanan Direktori untuk sistem operasi non-Bahasa Inggris, dan untuk Windows 2012 dengan skema Layanan Direktori yang lebih lama dari versi 87.

• Kami menghapus prasyarat untuk mengonfigurasi akun Layanan Direktori agar sensor dimulai. Untuk informasi selengkapnya, lihat rekomendasi akun Layanan Direktori Microsoft Defender untuk Identitas.

• Kami tidak lagi memerlukan pengelogan 1644 peristiwa. Jika pengaturan registri ini diaktifkan, Anda dapat menghapusnya. Untuk informasi selengkapnya, lihat ID Peristiwa 1644.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.200

Dirilis 16 Maret 2023

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.199

Dirilis 5 Maret 2023

• Beberapa pengecualian untuk Honeytoken dikueri melalui pemberitahuan SAM-R tidak berfungsi dengan baik. Dalam kasus ini, pemberitahuan dipicu bahkan untuk entitas yang dikecualikan. Kesalahan ini sekarang telah diperbaiki.

• Nama protokol NTLM yang diperbarui untuk tabel Perburuan Tingkat Lanjut Identitas: Nama Ntlm protokol lama sekarang terdaftar sebagai nama NTLM protokol baru dalam tabel Identitas Perburuan Tingkat Lanjut: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Jika saat ini Anda menggunakan Ntlm protokol dalam format peka huruf besar/kecil dari tabel Peristiwa identitas, Anda harus mengubahnya menjadi NTLM.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Februari 2023

Defender untuk Rilis identitas 2.198

Dirilis 15 Februari 2023

• Garis waktu identitas sekarang tersedia sebagai bagian dari halaman Identitas baru di Pertahanan Microsoft XDR: Halaman Pengguna yang diperbarui di Pertahanan Microsoft XDR sekarang memiliki tampilan dan nuansa baru, dengan tampilan aset terkait yang diperluas dan tab garis waktu khusus baru. Garis waktu mewakili aktivitas dan pemberitahuan dari 30 hari terakhir, dan menyatukan entri identitas pengguna di semua beban kerja yang tersedia (Defender for Identity/Defender untuk Cloud Apps/Defender for Endpoint). Dengan menggunakan garis waktu, Anda dapat dengan mudah fokus pada aktivitas yang dilakukan pengguna (atau dilakukan pada mereka), dalam jangka waktu tertentu. Untuk informasi selengkapnya, lihat Menyelidiki pengguna di Microsoft Defender XDR

• Peningkatan lebih lanjut untuk pemberitahuan honeytoken: Dalam rilis 2.191, kami memperkenalkan beberapa skenario baru untuk pemberitahuan aktivitas honeytoken.

  Berdasarkan umpan balik pelanggan, kami telah memutuskan untuk membagi pemberitahuan aktivitas honeytoken menjadi lima pemberitahuan terpisah:

  • Pengguna Honeytoken dikueri melalui SAM-R.
  • Pengguna Honeytoken dikueri melalui LDAP.
  • Aktivitas autentikasi pengguna Honeytoken
  • Pengguna Honeytoken memiliki atribut yang dimodifikasi.
  • Keanggotaan grup Honeytoken berubah.

  Selain itu, kami telah menambahkan pengecualian untuk pemberitahuan ini, memberikan pengalaman yang disesuaikan untuk lingkungan Anda.

  Kami menantikan untuk mendengar umpan balik Anda sehingga kami dapat terus meningkatkan.

• Pemberitahuan keamanan baru - Penggunaan sertifikat yang mencurigakan melalui protokol Kerberos (PKINIT).: Banyak teknik untuk menyalahgunakan Layanan Sertifikat Direktori Aktif (AD CS) melibatkan penggunaan sertifikat dalam beberapa fase serangan. Microsoft Defender untuk Identitas sekarang memperingatkan pengguna saat mengamati penggunaan sertifikat yang mencurigakan tersebut. Pendekatan pemantauan perilaku ini memberikan perlindungan komprehensif terhadap serangan AD CS, yang memicu pemberitahuan ketika autentikasi sertifikat yang mencurigakan dicoba terhadap pengendali domain dengan sensor Defender for Identity yang diinstal. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas sekarang mendeteksi penggunaan sertifikat yang mencurigakan.

• Gangguan serangan otomatis: Pertahanan untuk Identitas sekarang bekerja sama dengan Microsoft Defender XDR untuk menawarkan Gangguan Serangan Otomatis. Integrasi ini berarti bahwa, untuk sinyal yang berasal dari Pertahanan Microsoft XDR, kita dapat memicu tindakan Nonaktifkan Pengguna . Tindakan ini dipicu oleh sinyal XDR dengan fidelitas tinggi, dikombinasikan dengan wawasan dari penyelidikan berkelanjutan ribuan insiden oleh tim peneliti Microsoft. Tindakan ini menangguhkan akun pengguna yang disusupi di Direktori Aktif dan menyinkronkan informasi ini ke ID Microsoft Entra. Untuk informasi selengkapnya tentang gangguan serangan otomatis, baca posting blog oleh Pertahanan Microsoft XDR.

  Anda juga dapat mengecualikan pengguna tertentu dari tindakan respons otomatis. Untuk informasi selengkapnya, lihat Mengonfigurasi pengecualian respons otomatis Defender for Identity.

• Hapus periode pembelajaran: Pemberitahuan yang dihasilkan oleh Defender for Identity didasarkan pada berbagai faktor seperti pembuatan profil, deteksi deterministik, pembelajaran mesin, dan algoritma perilaku yang telah dipelajarinya tentang jaringan Anda. Proses pembelajaran penuh untuk Defender for Identity dapat memakan waktu hingga 30 hari per pengendali domain. Namun, mungkin ada instans di mana Anda ingin menerima pemberitahuan bahkan sebelum proses pembelajaran penuh selesai. Misalnya, saat Menginstal sensor baru pada pengendali domain atau saat mengevaluasi produk, Anda mungkin ingin segera mendapatkan pemberitahuan. Dalam kasus seperti itu, Anda dapat menonaktifkan periode pembelajaran untuk pemberitahuan yang terpengaruh dengan mengaktifkan fitur Hapus periode pembelajaran. Untuk informasi selengkapnya, lihat Pengaturan tingkat lanjut.

• Cara baru mengirim pemberitahuan ke M365D: Setahun yang lalu, kami mengumumkan bahwa semua pengalaman Microsoft Defender untuk Identitas tersedia di portal Pertahanan Microsoft. Alur pemberitahuan utama kami sekarang secara bertahap beralih dari Defender for Identity > Defender untuk Cloud Apps > Microsoft Defender XDR ke Defender for Identity > Microsoft Defender XDR. Integrasi ini berarti bahwa pembaruan status di Defender untuk Cloud Apps tidak akan tercermin dalam Microsoft Defender XDR dan sebaliknya. Perubahan ini harus secara signifikan mengurangi waktu yang diperlukan agar pemberitahuan muncul di portal Pertahanan Microsoft. Sebagai bagian dari migrasi ini, semua kebijakan Defender for Identity tidak akan lagi tersedia di portal aplikasi Defender untuk Cloud per 5 Maret. Seperti biasa, sebaiknya gunakan portal Pertahanan Microsoft untuk semua pengalaman Pertahanan untuk Identitas.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

January 2023

Defender untuk Rilis identitas 2.197

Dirilis 22 Januari 2023

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.196

Dirilis 10 Januari 2023

• Pemberitahuan kesehatan baru untuk memverifikasi bahwa Audit Objek Layanan Direktori dikonfigurasi dengan benar, seperti yang dijelaskan di halaman pemberitahuan kesehatan.

• Pemberitahuan kesehatan baru untuk memverifikasi bahwa pengaturan daya sensor dikonfigurasi untuk performa optimal, seperti yang dijelaskan di halaman pemberitahuan kesehatan.

• Kami telah menambahkan informasi MITRE ATT&CK ke tabel IdentityLogonEvents, IdentityDirectoryEvents, dan IdentityQueryEvents di Microsoft Defender XDR Advanced Hunting. Di kolom AdditionalFields, Anda dapat menemukan detail tentang Teknik Serangan dan Taktik (Kategori) yang terkait dengan beberapa aktivitas logis kami.

• Karena semua fitur Microsoft Defender untuk Identitas utama sekarang tersedia di portal Pertahanan Microsoft, pengaturan pengalihan portal diaktifkan secara otomatis untuk setiap penyewa mulai 31 Januari 2023. Untuk informasi selengkapnya, lihat Mengalihkan akun dari Microsoft Defender untuk Identitas ke Microsoft Defender XDR.

Desember 2022

Defender untuk Rilis identitas 2.195

Dirilis 7 Desember 2022

• Pusat data Defender for Identity sekarang juga disebarkan di wilayah Australia Timur. Untuk daftar penyebaran regional terbaru, lihat Komponen Pertahanan untuk Identitas.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

November 2022

Defender untuk Rilis identitas 2.194

Dirilis 10 November 2022

• Pemberitahuan kesehatan baru untuk memverifikasi bahwa Audit Tingkat Lanjut Layanan Direktori dikonfigurasi dengan benar, seperti yang dijelaskan di halaman pemberitahuan kesehatan.

• Beberapa perubahan yang diperkenalkan dalam rilis Defender for Identity 2.191 mengenai pemberitahuan honeytoken tidak diaktifkan dengan benar. Masalah-masalah tersebut telah diselesaikan sekarang.

• Mulai akhir November, integrasi manual dengan Microsoft Defender untuk Titik Akhir tidak lagi didukung. Namun, kami sangat menyarankan untuk menggunakan portal Pertahanan Microsoft (https://security.microsoft.com) yang memiliki integrasi bawaan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Oktober 2022

Defender untuk Rilis identitas 2.193

Dirilis 30 Oktober 2022

• Pemberitahuan keamanan baru: Autentikasi Abnormal Active Directory Federation Services (AD FS) menggunakan sertifikat yang mencurigakan
  Teknik baru ini ditautkan dengan aktor NOBELIUM terkenal dan disebut "MagicWeb" - memungkinkan seterusnya untuk menanamkan backdoor pada server AD FS yang disusupi, yang akan memungkinkan peniruan sebagai pengguna domain apa pun dan dengan demikian mengakses sumber daya eksternal. Untuk mempelajari lebih lanjut tentang serangan ini, baca posting blog ini.

• Defender for Identity sekarang dapat menggunakan akun LocalSystem pada pengendali domain untuk melakukan tindakan remediasi (mengaktifkan/menonaktifkan pengguna, memaksa kata sandi reset pengguna), selain opsi gMSA yang tersedia sebelumnya. Ini memungkinkan dukungan di luar kotak untuk tindakan remediasi. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas akun tindakan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.192

Dirilis 23 Oktober 2022

• Pemberitahuan kesehatan baru untuk memverifikasi bahwa Audit NTLM diaktifkan, seperti yang dijelaskan di halaman pemberitahuan kesehatan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

September 2022

Defender untuk Rilis identitas 2.191

Dirilis 19 September 2022

• Lebih banyak aktivitas untuk memicu pemberitahuan honeytoken
  Microsoft Defender untuk Identitas menawarkan kemampuan untuk mendefinisikan akun honeytoken, yang digunakan sebagai perangkap untuk aktor jahat. Setiap autentikasi yang terkait dengan akun honeytoken ini (biasanya tidak aktif), memicu pemberitahuan aktivitas honeytoken (ID eksternal 2014). Baru untuk versi ini, kueri LDAP atau SAMR apa pun terhadap akun honeytoken ini akan memicu pemberitahuan. Selain itu, jika peristiwa 5136 diaudit, peringatan akan dipicu ketika salah satu atribut honeytoken diubah atau jika keanggotaan grup honeytoken diubah.

Untuk informasi selengkapnya, lihat Mengonfigurasi koleksi Peristiwa Windows.

Defender untuk Rilis identitas 2.190

Dirilis 11 September 2022

• Penilaian yang diperbarui: Konfigurasi domain yang tidak aman
  Penilaian konfigurasi domain yang tidak aman yang tersedia melalui Skor Aman Microsoft sekarang menilai konfigurasi kebijakan penandatanganan LDAP pengendali domain dan pemberitahuan jika menemukan konfigurasi yang tidak aman. Untuk informasi selengkapnya, lihat Penilaian keamanan: Konfigurasi domain tidak aman.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.189

Dirilis 4 September 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Agustus 2022

Defender untuk Rilis identitas 2.188

Dirilis 28 Agustus 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.187

Dirilis 18 Agustus 2022

• Kami telah mengubah beberapa logika di balik bagaimana kami memicu peringatan Dugaan serangan DCSync (replikasi layanan direktori) (ID eksternal 2006). Detektor ini sekarang mencakup kasus di mana alamat IP sumber yang dilihat oleh sensor tampaknya merupakan perangkat NAT.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.186

Dirilis 10 Agustus 2022

• Pemberitahuan kesehatan sekarang akan menampilkan nama domain sensor yang sepenuhnya memenuhi syarat (FQDN) alih-alih nama NetBIOS.

• Pemberitahuan kesehatan baru tersedia untuk menangkap jenis dan konfigurasi komponen, seperti yang dijelaskan di halaman pemberitahuan kesehatan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Juli 2022

Defender untuk Rilis identitas 2.185

Dirilis 18 Juli 2022

• Masalah diperbaiki di mana Dugaan penggunaan Golden Ticket (akun tidak ada) (ID eksternal 2027) akan salah mendeteksi perangkat macOS.

• Tindakan pengguna: Kami telah memutuskan untuk membagi tindakan Nonaktifkan Pengguna di halaman pengguna menjadi dua tindakan berbeda:

  • Nonaktifkan Pengguna – yang menonaktifkan pengguna di tingkat Direktori Aktif
  • Tangguhkan Pengguna – yang menonaktifkan pengguna pada tingkat ID Microsoft Entra

  Kami memahami bahwa waktu yang diperlukan untuk menyinkronkan dari Direktori Aktif ke ID Microsoft Entra bisa sangat penting, jadi sekarang Anda dapat memilih untuk menonaktifkan pengguna satu demi satu, untuk menghapus dependensi pada sinkronisasi itu sendiri. Perhatikan bahwa pengguna yang dinonaktifkan hanya di ID Microsoft Entra akan ditimpa oleh Direktori Aktif, jika pengguna masih aktif di sana.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.184

Dirilis 10 Juli 2022

• Penilaian keamanan baru
  Defender untuk Identitas sekarang menyertakan penilaian keamanan baru berikut:

  • Konfigurasi domain yang tidak aman
    Microsoft Defender untuk Identitas terus memantau lingkungan Anda untuk mengidentifikasi domain dengan nilai konfigurasi yang mengekspos risiko keamanan, dan melaporkan domain ini untuk membantu Anda melindungi lingkungan Anda. Untuk informasi selengkapnya, lihat Penilaian keamanan: Konfigurasi domain tidak aman.

• Paket penginstalan Defender for Identity sekarang akan menginstal komponen Npcap alih-alih driver WinPcap. Untuk informasi selengkapnya, lihat Driver WinPcap dan Npcap.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Juni 2022

Defender untuk Rilis identitas 2.183.15436.10558 (Hotfix)

Dirilis 20 Juni 2022 (diperbarui 4 Juli 2022)

• Pemberitahuan keamanan baru: Dugaan serangan DFSCoerce menggunakan Protokol Sistem File Terdistribusi
  Sebagai respons terhadap penerbitan alat serangan baru-baru ini yang memanfaatkan alur dalam protokol DFS, Microsoft Defender untuk Identitas akan memicu pemberitahuan keamanan setiap kali penyerang menggunakan metode serangan ini. Untuk mempelajari lebih lanjut tentang serangan ini, baca posting blog.

Defender untuk Rilis identitas 2.183

Dirilis 20 Juni 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.182

Dirilis 4 Juni 2022

• Halaman Tentang baru untuk Defender untuk Identitas tersedia. Anda dapat menemukannya di portal Pertahanan Microsoft, di bawah Pengaturan ->Identitas ->Tentang. Ini memberikan beberapa detail penting tentang instans Defender for Identity Anda, termasuk nama instans, versi, ID, dan geolokasi instans Anda. Informasi ini dapat membantu saat memecahkan masalah dan membuka tiket dukungan.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Mei 2022

Defender untuk Rilis identitas 2.181

Dirilis 22 Mei 2022

• Anda sekarang dapat mengambil tindakan remediasi langsung di akun lokal Anda, menggunakan Microsoft Defender untuk Identitas.

  • Nonaktifkan pengguna - Ini untuk sementara mencegah pengguna masuk ke jaringan. Ini dapat membantu mencegah pengguna yang disusupi bergerak secara lateral dan mencoba menyelundupkan data atau membahayakan jaringan lebih lanjut.
  • Reset kata sandi pengguna - Ini meminta pengguna untuk mengubah kata sandi mereka pada rincian masuk berikutnya, memastikan bahwa akun ini tidak dapat digunakan untuk upaya peniruan lebih lanjut.

  Tindakan ini dapat dilakukan dari beberapa lokasi di Microsoft Defender XDR: halaman pengguna, panel sisi halaman pengguna, perburuan tingkat lanjut, dan bahkan deteksi kustom. Ini mengharuskan menyiapkan akun gMSA istimewa yang akan digunakan Microsoft Defender untuk Identitas untuk melakukan tindakan. Untuk informasi selengkapnya tentang persyaratan, lihat Microsoft Defender untuk Identitas akun tindakan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.180

Dirilis 12 Mei 2022

• Pemberitahuan keamanan baru: Modifikasi mencurigakan dari atribut dNSHostName (CVE-2022-26923)
  Menanggapi penerbitan CVE baru-baru ini, Microsoft Defender untuk Identitas akan memicu pemberitahuan keamanan setiap kali penyerang mencoba mengeksploitasi CVE-2022 -26923. Untuk mempelajari lebih lanjut tentang serangan ini, baca posting blog.

• Dalam versi 2.177, kami merilis aktivitas LDAP tambahan yang dapat dicakup oleh Defender untuk Identitas. Namun, kami menemukan bug yang menyebabkan peristiwa tidak disajikan dan diserap di portal Defender for Identity. Ini telah diperbaiki dalam rilis ini. Dari versi 2.180 dan seterusnya, ketika Anda mengaktifkan ID peristiwa 1644, Anda tidak hanya mendapatkan visibilitas ke aktivitas LDAP melalui Active Directory Web Services, tetapi juga aktivitas LDAP lainnya akan mencakup pengguna yang melakukan aktivitas LDAP di komputer sumber. Ini berlaku untuk pemberitahuan keamanan dan aktivitas logis yang didasarkan pada peristiwa LDAP.

• Sebagai respons terhadap eksploitasi KrbRelayUp baru-baru ini, kami telah merilis detektor senyap untuk membantu kami mengevaluasi respons kami terhadap eksploitasi ini. Detektor senyap akan memungkinkan kami mengevaluasi efektivitas deteksi, dan mengumpulkan informasi berdasarkan peristiwa yang kami kumpulkan. Jika deteksi ini akan ditampilkan dalam kualitas tinggi, kami akan merilis pemberitahuan keamanan baru di versi berikutnya.

• Kami telah mengganti nama eksekusi Kode jarak jauh melalui DNS menjadi Upaya eksekusi kode jarak jauh atas DNS, karena lebih baik mencerminkan logika di balik pemberitahuan keamanan ini.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.179

Dirilis 1 Mei 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

April 2022

Defender untuk Rilis identitas 2.178

Dirilis 10 April 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Maret 2022

Defender untuk Rilis identitas 2.177

Dirilis 27 Maret 2022

• Microsoft Defender untuk Identitas sekarang dapat memantau kueri LDAP tambahan di jaringan Anda. Aktivitas LDAP ini dikirim melalui protokol Layanan Web Direktori Aktif dan bertindak seperti kueri LDAP normal. Untuk memiliki visibilitas ke dalam aktivitas ini, Anda perlu mengaktifkan peristiwa 1644 pada pengontrol domain Anda. Kejadian ini mencakup aktivitas LDAP di domain Anda dan terutama digunakan untuk mengidentifikasi pencarian Lightweight Directory Access Protocol (LDAP) yang mahal, tidak efisien, atau lambat yang dilayankan oleh pengontrol domain Active Directory. Untuk informasi selengkapnya, lihat Konfigurasi warisan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.176

Dirilis 16 Maret 2022

• Dimulai dengan versi ini, saat menginstal sensor dari paket baru, versi sensor di bawah Tambahkan/Hapus Program akan muncul dengan nomor versi lengkap (misalnya, 2.176.x.y), dibandingkan dengan statis 2.0.0.0 yang sebelumnya ditampilkan. Ini akan terus menunjukkan versi tersebut (yang diinstal melalui paket) meskipun versi akan diperbarui melalui pembaruan otomatis dari layanan cloud Defender for Identity. Versi nyata dapat dilihat di halaman pengaturan sensor di portal, di jalur yang dapat dieksekusi atau dalam versi file.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.175

Dirilis 6 Maret 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Februari 2022

Defender untuk Rilis identitas 2.174

Dirilis 20 Februari 2022

• Kami telah menambahkan FQDN shost akun yang terlibat dalam pemberitahuan ke pesan yang dikirim ke SIEM. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas referensi log SIEM.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.173

Dirilis 13 Februari 2022

• Semua fitur Microsoft Defender untuk Identitas sekarang tersedia di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat posting blog ini.

• Rilis ini memperbaiki masalah saat menginstal sensor pada Windows Server 2019 dengan KB5009557 terinstal, atau di server dengan izin EventLog yang diperkeras.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.172

Dirilis 8 Februari 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

2022 Januari

Defender untuk Rilis identitas 2.171

Dirilis 31 Januari 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.170

Dirilis 24 Januari 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.169

Dirilis 17 Januari 2022

• Kami dengan senang hati merilis kemampuan untuk mengonfigurasi akun tindakan untuk Microsoft Defender untuk Identitas. Ini adalah langkah pertama dalam kemampuan untuk mengambil tindakan pada pengguna langsung dari produk. Sebagai langkah pertama, Anda dapat menentukan akun gMSA yang akan Microsoft Defender untuk Identitas gunakan untuk mengambil tindakan. Kami sangat menyarankan Anda mulai membuat pengguna ini untuk menikmati fitur Tindakan setelah ditayangkan. Untuk informasi selengkapnya, lihat Mengelola akun tindakan.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.168

Dirilis 9 Januari 2022

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Desember 2021

Defender untuk Rilis identitas 2.167

Dirilis 29 Desember 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.166

Dirilis 27 Desember 2021

• Versi menyertakan pemberitahuan keamanan baru: Modifikasi mencurigakan dari atribut sAMNameAccount (CVE-2021-42278 dan eksploitasi CVE-2021-42287) (ID eksternal 2419).
  Menanggapi penerbitan CVE baru-baru ini, Microsoft Defender untuk Identitas akan memicu pemberitahuan keamanan setiap kali penyerang mencoba mengeksploitasi CVE-2021-42278 dan CVE-2021-42287. Untuk mempelajari lebih lanjut tentang serangan ini, baca posting blog.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.165

Dirilis 6 Desember 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

November 2021

Defender untuk Rilis identitas 2.164

Dirilis 17 November 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.163

Dirilis 8 November 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.162

Dirilis 1 November 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

September 2021

Defender untuk Rilis identitas 2.161

Dirilis 12 September 2021

• Versi menyertakan aktivitas terpantau baru: kata sandi akun gMSA diambil oleh pengguna. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas aktivitas yang dipantau
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Agustus 2021

Defender untuk Rilis identitas 2.160

Dirilis 22 Agustus 2021

• Versi mencakup berbagai peningkatan dan mencakup lebih banyak skenario sesuai dengan perubahan terbaru dalam eksploitasi PetitPotam.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.159

Dirilis 15 Agustus 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.
• Versi mencakup peningkatan pada pemberitahuan yang baru diterbitkan: Koneksi jaringan yang mencurigakan melalui Enkripsi Protokol Jarak Jauh Sistem File (ID eksternal 2416).
  Kami memperluas dukungan untuk deteksi ini untuk memicu ketika penyerang potensial berkomunikasi melalui EFS-RPCchannel terenkripsi. Pemberitahuan yang dipicu ketika saluran dienkripsi akan diperlakukan sebagai pemberitahuan tingkat keparahan Sedang, dibandingkan dengan Tinggi saat tidak dienkripsi. Untuk mempelajari selengkapnya tentang pemberitahuan, lihat Koneksi jaringan mencurigakan melalui Mengenkripsi Protokol Jarak Jauh Sistem File (ID eksternal 2416).

Defender untuk Rilis identitas 2.158

Dirilis 8 Agustus 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

• Versi menyertakan pemberitahuan keamanan baru: Koneksi jaringan yang mencurigakan melalui Mengenkripsi Protokol Jarak Jauh Sistem File (ID eksternal 2416).
  Dalam deteksi ini, Microsoft Defender untuk Identitas akan memicu pemberitahuan keamanan setiap kali penyerang mencoba mengeksploitasi EFS-RPC terhadap pengendali domain. Vektor serangan ini dikaitkan dengan serangan PetitPotam baru-baru ini. Untuk mempelajari selengkapnya tentang pemberitahuan, lihat Koneksi jaringan mencurigakan melalui Mengenkripsi Protokol Jarak Jauh Sistem File (ID eksternal 2416).

• Versi menyertakan pemberitahuan keamanan baru: Server Exchange Eksekusi Kode Jarak Jauh (CVE-2021-26855) (ID eksternal 2414)
  Dalam deteksi ini, Microsoft Defender untuk Identitas akan memicu pemberitahuan keamanan setiap kali penyerang mencoba mengubah atribut "msExchExternalHostName" pada objek Exchange untuk eksekusi kode jarak jauh. Untuk mempelajari selengkapnya tentang pemberitahuan ini, lihat Server Exchange Eksekusi Kode Jarak Jauh (CVE-2021-26855) (ID eksternal 2414). Deteksi ini bergantung pada peristiwa Windows 4662, sehingga harus diaktifkan sebelumnya. Untuk informasi tentang cara mengonfigurasi dan mengumpulkan peristiwa ini, lihat Mengonfigurasi koleksi Peristiwa Windows, dan ikuti instruksi untuk Mengaktifkan audit pada objek Exchange.

Defender untuk Rilis identitas 2.157

Dirilis 1 Agustus 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Juli 2021

Defender untuk Rilis identitas 2.156

Dirilis 25 Juli 2021

• Mulai dari versi ini, kami menambahkan driver Npcap yang dapat dieksekusi ke paket penginstalan sensor. Untuk informasi selengkapnya, lihat Driver WinPcap dan Npcap.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.155

Dirilis 18 Juli 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.154

Dirilis 11 Juli 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.
• Versi mencakup peningkatan dan deteksi tambahan untuk eksploitasi tampungan cetak yang dikenal sebagai deteksi PrintNightmare, untuk mencakup lebih banyak skenario serangan.

Defender untuk Rilis identitas 2.153

Dirilis 4 Juli 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

• Versi menyertakan pemberitahuan keamanan baru: Dugaan upaya eksploitasi layanan Windows Print Spooler (eksploitasi CVE-2021-34527) (ID eksternal 2415).

  Dalam deteksi ini, Defender for Identity memicu pemberitahuan keamanan setiap kali penyerang mencoba mengeksploitasi Windows Print Spooler Service terhadap pengendali domain. Vektor serangan ini dikaitkan dengan eksploitasi penampung cetak, dan dikenal sebagai PrintNightmare. Pelajari selengkapnya tentang pemberitahuan ini.

Juni 2021

Defender untuk Rilis identitas 2.152

Dirilis 27 Juni 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.151

Dirilis 20 Juni 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.150

Dirilis 13 Juni 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Mei 2021

Defender untuk Rilis identitas 2.149

Dirilis 31 Mei 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.148

Dirilis 23 Mei 2021

• Jika Anda mengonfigurasi dan mengumpulkan ID peristiwa 4662, Defender untuk Identitas akan melaporkan pengguna mana yang membuat perubahan Nomor Urutan Pembaruan (USN) ke berbagai properti objek Direktori Aktif. Misalnya, jika kata sandi akun diubah, dan peristiwa 4662 diaktifkan, peristiwa akan merekam siapa yang mengubah kata sandi.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.147

Dirilis 9 Mei 2021

• Berdasarkan umpan balik pelanggan, kami meningkatkan jumlah default sensor yang diizinkan dari 200 menjadi 350, dan kredensial Layanan Direktori dari 10 menjadi 30.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.146

Dirilis 2 Mei 2021

• Pemberitahuan email untuk masalah kesehatan dan pemberitahuan keamanan sekarang akan memiliki URL investigasi untuk Microsoft Defender untuk Identitas dan Microsoft Defender XDR.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

April 2021

Defender untuk Rilis identitas 2.145

Dirilis 22 April 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.144

Dirilis 12 April 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Maret 2021

Defender untuk Rilis identitas 2.143

Dirilis 14 Maret 2021

• Kami telah menambahkan Windows Event 4741 untuk mendeteksi akun komputer yang ditambahkan ke aktivitas Direktori Aktif. Konfigurasikan peristiwa baru yang akan dikumpulkan oleh Defender for Identity. Setelah dikonfigurasi, peristiwa yang dikumpulkan akan tersedia untuk dilihat di log aktivitas serta Perburuan Tingkat Lanjut Pertahanan Microsoft XDR.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.142

Dirilis 7 Maret 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Februari 2021

Defender untuk Rilis identitas 2.141

Dirilis 21 Februari 2021

• Pemberitahuan keamanan baru: Dugaan serangan AS-REP Roasting (ID eksternal 2412)
  Peringatan keamanan Defender for Identity's Suspected AS-REP Roasting attack (EXTERNAL ID 2412) sekarang tersedia. Dalam deteksi ini, pemberitahuan keamanan Defender for Identity dipicu ketika penyerang menargetkan akun dengan praauthentikasi Kerberos yang dinonaktifkan, dan mencoba mendapatkan data TGT Kerberos. Tujuan penyerang mungkin untuk mengekstrak kredensial dari data menggunakan serangan pemecahan kata sandi offline. Untuk informasi selengkapnya, lihat Paparan Roasting AS-REP Kerberos (ID eksternal 2412).
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.140

Dirilis 14 Februari 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Januari 2021

Defender untuk Rilis identitas 2.139

Dirilis 31 Januari 2021

• Kami telah memperbarui tingkat keparahan untuk paparan SPN Kerberos yang Dicurigai tinggi untuk mencerminkan dampak pemberitahuan dengan lebih baik. Untuk informasi selengkapnya tentang pemberitahuan, lihat Dugaan paparan SPN Kerberos (ID eksternal 2410)
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.138

Dirilis 24 Januari 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.137

Dirilis 17 Januari 2021

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.136

Dirilis 3 Januari 2021

• Defender for Identity sekarang mendukung penginstalan sensor di server Layanan Federasi Direktori Aktif (AD FS). Menginstal sensor pada Server Layanan Federasi Direktori Aktif yang kompatibel memperluas visibilitas Microsoft Defender untuk Identitas ke lingkungan hibrid dengan memantau komponen infrastruktur penting ini. Kami juga menyegarkan beberapa deteksi yang ada (Pembuatan layanan mencurigakan, Serangan Brute Force Yang Dicurigai (LDAP), Pengintaian enumerasi akun) untuk bekerja pada data Layanan Federasi Direktori Aktif juga. Untuk memulai penyebaran sensor Microsoft Defender untuk Identitas untuk server Layanan Federasi Direktori Aktif, unduh paket penyebaran terbaru dari halaman konfigurasi sensor.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Desember 2020

Defender untuk Rilis identitas 2.135

Dirilis 20 Desember 2020

• Kami telah meningkatkan pemberitahuan pengintaian atribut Direktori Aktif (LDAP) (ID eksternal 2210) kami untuk juga mendeteksi teknik yang digunakan untuk mendapatkan informasi yang diperlukan untuk menghasilkan token keamanan, seperti yang terlihat sebagai bagian dari kampanye Solorigate.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.134

Dirilis 13 Desember 2020

• Detektor NetLogon kami yang baru-baru ini dirilis telah ditingkatkan untuk juga berfungsi ketika transaksi saluran Netlogon terjadi melalui saluran terenkripsi. Untuk informasi selengkapnya tentang detektor, lihat Dugaan upaya elevasi hak istimewa Netlogon.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.133

Dirilis 6 Desember 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

November 2020

Defender untuk Rilis identitas 2.132

Dirilis 17 November 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Defender untuk Rilis identitas 2.131

Dirilis 8 November 2020

• Pemberitahuan keamanan baru: Dugaan paparan SPN Kerberos (ID eksternal 2410)
  Pemberitahuan keamanan Defender for Identity's Suspected Kerberos SPN (ID eksternal 2410) sekarang tersedia. Dalam deteksi ini, peringatan keamanan Defender for Identity dipicu ketika penyerang menghitung akun layanan dan SPN masing-masing, lalu meminta tiket Kerberos TGS untuk layanan tersebut. Tujuan penyerang mungkin untuk mengekstrak hash dari tiket dan menyimpannya untuk digunakan nanti dalam serangan brute force offline. Untuk informasi selengkapnya, lihat Paparan SPN Kerberos.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Oktober 2020

Defender untuk Rilis identitas 2.130

Dirilis 25 Oktober 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.129

Dirilis 18 Oktober 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

September 2020

Rilis Azure ATP 2.128

Dirilis 27 September 2020

• Konfigurasi pemberitahuan email yang dimodifikasi
  Kami menghapus tombol pemberitahuan Email untuk mengaktifkan pemberitahuan email. Untuk menerima pemberitahuan email, cukup tambahkan alamat. Untuk informasi selengkapnya, lihat Mengatur pemberitahuan.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.127

Dirilis 20 September 2020

• Pemberitahuan keamanan baru: Dugaan upaya elevasi hak istimewa Netlogon (ID eksternal 2411)
  Dugaan upaya elevasi hak istimewa Netlogon Azure ATP (eksploitasi CVE-2020-1472) (ID eksternal 2411) pemberitahuan keamanan sekarang tersedia. Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika penyerang membuat koneksi saluran aman Netlogon yang rentan ke pengontrol domain, menggunakan Protokol Jarak Jauh Netlogon (MS-NRPC), juga dikenal sebagai Netlogon Elevation of Privilege Vulnerability. Untuk informasi selengkapnya, lihat Dugaan upaya elevasi hak istimewa Netlogon.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.126

Dirilis 13 September 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.125

Dirilis 6 September 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Agustus 2020

Rilis Azure ATP 2.124

Dirilis 30 Agustus 2020

• Pemberitahuan keamanan baru
  Pemberitahuan keamanan Azure ATP sekarang menyertakan deteksi baru berikut:
  • Pengintaian atribut Direktori Aktif (LDAP) (ID eksternal 2210)
    Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika penyerang dicurigai berhasil mendapatkan informasi penting tentang domain untuk digunakan dalam rantai pembunuhan serangan mereka. Untuk informasi selengkapnya, lihat Pengintaian atribut Direktori Aktif.
  • Diduga nakal penggunaan sertifikat Kerberos (ID eksternal 2047)
    Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika penyerang yang telah mendapatkan kontrol atas organisasi dengan membahayakan server otoritas sertifikat dicurigai menghasilkan sertifikat yang dapat digunakan sebagai akun backdoor dalam serangan di masa mendatang, seperti bergerak secara lateral di jaringan Anda. Untuk informasi selengkapnya, lihat Dugaan nakal penggunaan sertifikat Kerberos.
  • Dugaan penggunaan tiket emas (anomali tiket menggunakan RBCD) (ID eksternal 2040)
    Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, mereka dapat membuat tiket pemberian tiket (TGT) Kerberos yang memberikan otorisasi ke sumber daya apa pun.
    TGT yang ditempa ini disebut "Golden Ticket" karena memungkinkan penyerang untuk mencapai persistensi jaringan yang bertahan lama menggunakan Resource Based Constrained Delegation (RBCD). Tiket Emas forged jenis ini memiliki karakteristik unik deteksi baru ini dirancang untuk mengidentifikasi. Untuk informasi selengkapnya, lihat Dugaan penggunaan tiket emas (anomali tiket menggunakan RBCD).
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.123

Dirilis 23 Agustus 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.122

Dirilis 16 Agustus 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.121

Dirilis 2 Agustus 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Juli 2020

Rilis Azure ATP 2.120

Dirilis 26 Juli 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.119

Dirilis 5 Juli 2020

• Penyempurnaan fitur: Tab Pengontrol domain baru yang dikecualikan dalam laporan Excel
  Untuk meningkatkan akurasi perhitungan cakupan pengendali domain kami, kami akan mengecualikan pengendali domain dengan kepercayaan eksternal dari perhitungan untuk mencapai cakupan 100%. Pengontrol domain yang dikecualikan akan muncul di tab pengontrol domain baru yang dikecualikan dalam unduhan laporan Excel cakupan domain. Untuk informasi tentang mengunduh laporan, lihat Status pengontrol domain.
• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

2020 Juni

Rilis Azure ATP 2.118

Dirilis 28 Juni 2020

• Penilaian keamanan baru
  Penilaian keamanan Azure ATP sekarang menyertakan penilaian baru berikut:

  • Jalur gerakan lateral paling berisiko
    Penilaian ini terus memantau lingkungan Anda untuk mengidentifikasi akun sensitif dengan jalur gerakan lateral paling berisiko yang mengekspos risiko keamanan, dan melaporkan akun-akun ini untuk membantu Anda mengelola lingkungan Anda. Jalur dianggap berisiko jika mereka memiliki tiga atau lebih akun yang tidak sensitif yang dapat mengekspos akun sensitif ke pencurian kredensial oleh aktor jahat. Untuk informasi selengkapnya, lihat Penilaian keamanan: Jalur pergerakan lateral (LMP) paling berisiko.
  • Atribut akun yang tidak aman
    Penilaian Azure ATP ini terus memantau lingkungan Anda untuk mengidentifikasi akun dengan nilai atribut yang mengekspos risiko keamanan, dan melaporkan akun-akun ini untuk membantu Anda dalam melindungi lingkungan Anda. Untuk informasi selengkapnya, lihat Penilaian keamanan: Atribut akun tidak aman.

• Definisi sensitivitas yang diperbarui
  Kami memperluas definisi sensitivitas kami untuk akun lokal untuk menyertakan entitas yang diizinkan untuk menggunakan replikasi Direktori Aktif.

Rilis Azure ATP 2.117

Dirilis 14 Juni 2020

• Peningkatan fitur: Detail aktivitas tambahan yang tersedia dalam pengalaman SecOps terpadu
  Kami telah memperluas informasi perangkat yang kami kirim ke aplikasi Defender untuk Cloud termasuk nama perangkat, alamat IP, UPN akun, dan port yang digunakan. Untuk informasi selengkapnya tentang integrasi kami dengan Defender untuk Cloud Apps, lihat Menggunakan Azure ATP dengan Defender untuk Cloud Apps.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.116

Dirilis 7 Juni 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

2020 Mei

Rilis Azure ATP 2.115

Dirilis 31 Mei 2020

• Penilaian keamanan baru
  Penilaian keamanan Azure ATP sekarang menyertakan penilaian baru berikut:

  • Atribut Riwayat SID tidak aman
    Penilaian ini melaporkan atribut Riwayat SID yang dapat digunakan oleh penyerang berbahaya untuk mendapatkan akses ke lingkungan Anda. Untuk informasi selengkapnya, lihat Penilaian keamanan: Atribut Riwayat SID tidak aman.
  • Penggunaan Microsoft LAPS
    Penilaian ini melaporkan akun administrator lokal yang tidak menggunakan "Solusi Kata Sandi Administrator Lokal" (LAPS) Microsoft untuk mengamankan kata sandi mereka. Menggunakan LAPS menyederhanakan manajemen kata sandi dan juga membantu melindungi dari serangan cyber. Untuk informasi selengkapnya, lihat Penilaian keamanan: Penggunaan Microsoft LAPS.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.114

Dirilis 17 Mei 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.113

Dirilis 5 Mei 2020

• Peningkatan fitur: Memperkaya Aktivitas Akses Sumber Daya dengan NTLMv1
  Mulai dari versi ini, Azure ATP sekarang menyediakan informasi untuk aktivitas akses sumber daya yang menunjukkan apakah sumber daya menggunakan autentikasi NTLMv1. Konfigurasi sumber daya ini tidak aman dan menimbulkan risiko bahwa aktor jahat dapat memaksa aplikasi untuk keuntungan mereka. Untuk informasi selengkapnya tentang risikonya, lihat Penggunaan protokol warisan.

• Peningkatan fitur: Peringatan serangan Brute Force (Kerberos, NTLM) yang dicurigai
  Serangan Brute Force digunakan oleh penyerang untuk mendapatkan pijakan ke organisasi Anda dan merupakan metode utama untuk ancaman dan penemuan risiko di Azure ATP. Untuk membantu Anda fokus pada risiko penting bagi pengguna Anda, pembaruan ini memudahkan dan lebih cepat untuk menganalisis dan memulihkan risiko, dengan membatasi dan memprioritaskan volume pemberitahuan.

Maret 2020

Rilis Azure ATP 2.112

Dirilis 15 Mar 2020

• Instans Azure ATP baru secara otomatis diintegrasikan dengan Microsoft Defender untuk Cloud Apps
  Saat membuat instans Azure ATP (sebelumnya instans), integrasi dengan Microsoft Defender untuk Cloud Apps diaktifkan secara default. Untuk informasi selengkapnya tentang integrasi, lihat Menggunakan Azure ATP dengan Microsoft Defender untuk Cloud Apps.

• Aktivitas baru yang dipantau
  Monitor aktivitas berikut sekarang tersedia:

  • Masuk Interaktif dengan Sertifikat

  • Gagal Masuk dengan Sertifikat

  • Akses Sumber Daya yang Didelegasikan

    Pelajari selengkapnya tentang aktivitas mana yang dipantau Azure ATP, dan cara memfilter dan mencari aktivitas yang dipantau di portal.

• Peningkatan fitur: Aktivitas Akses Sumber Daya yang Diperkaya
  Mulai dari versi ini, Azure ATP sekarang menyediakan informasi untuk aktivitas akses sumber daya yang menunjukkan apakah sumber daya dipercaya untuk delegasi yang tidak dibatasi. Konfigurasi sumber daya ini tidak aman dan menimbulkan risiko bahwa aktor jahat dapat memaksa aplikasi untuk keuntungan mereka. Untuk informasi selengkapnya tentang risikonya, lihat Penilaian keamanan: Delegasi Kerberos tidak aman.

• Dugaan manipulasi paket SMB (eksploitasi CVE-2020-0796) - (pratinjau)
  Pemberitahuan keamanan manipulasi paket SMB yang dicurigai Azure ATP sekarang dalam pratinjau publik. Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika paket SMBv3 yang dicurigai mengeksploitasi kerentanan keamanan CVE-2020-0796 dibuat terhadap pengendali domain di jaringan.

Rilis Azure ATP 2.111

Dirilis 1 Mar 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Februari 2020

Rilis Azure ATP 2.110

Dirilis 23 Feb 2020

• Penilaian keamanan baru: Pengontrol domain yang tidak dipantau
  Penilaian keamanan Azure ATP sekarang menyertakan laporan tentang pengontrol domain yang tidak dimonitor, server tanpa sensor, untuk membantu Anda mengelola cakupan penuh lingkungan Anda. Untuk informasi selengkapnya, lihat Pengontrol domain yang tidak dimonitor.

Rilis Azure ATP 2.109

Dirilis 16 Feb 2020

• Peningkatan fitur: Entitas sensitif
  Mulai dari versi ini (2.109), komputer yang diidentifikasi sebagai Otoritas Sertifikat, DHCP, atau Server DNS oleh Azure ATP sekarang secara otomatis ditandai sebagai Sensitif.

Rilis Azure ATP 2.108

Dirilis 9 Feb 2020

• Fitur baru: Dukungan untuk Akun Layanan Terkelola grup
  Azure ATP sekarang mendukung penggunaan Akun Layanan Terkelola grup (gMSA) untuk meningkatkan keamanan saat menyambungkan sensor Azure ATP ke forest Microsoft Entra Anda. Untuk informasi selengkapnya tentang menggunakan gMSA dengan sensor Azure ATP, lihat Menyambungkan ke Forest Direktori Aktif Anda.

• Penyempurnaan fitur: Laporan terjadwal dengan terlalu banyak data
  Ketika laporan terjadwal memiliki terlalu banyak data, email sekarang memberi tahu Anda fakta dengan menampilkan teks berikut: Ada terlalu banyak data selama periode yang ditentukan untuk membuat laporan. Ini menggantikan perilaku sebelumnya hanya menemukan fakta setelah mengklik tautan laporan di email.

• Peningkatan fitur: Logika cakupan pengontrol domain yang diperbarui
  Kami telah memperbarui logika laporan cakupan pengontrol domain kami untuk menyertakan informasi tambahan dari ID Microsoft Entra, menghasilkan tampilan pengontrol domain yang lebih akurat tanpa sensor pada mereka. Logika baru ini juga harus memiliki efek positif pada Skor Aman Microsoft yang sesuai.

Rilis Azure ATP 2.107

Dirilis 3 Feb 2020

• Aktivitas baru yang dipantau: Perubahan riwayat SID
  Perubahan riwayat SID sekarang menjadi aktivitas yang dipantau dan dapat difilter. Pelajari selengkapnya tentang aktivitas mana yang dipantau Azure ATP, dan cara memfilter dan mencari aktivitas yang dipantau di portal.

• Penyempurnaan fitur: Pemberitahuan tertutup atau ditekan tidak lagi dibuka kembali
  Setelah pemberitahuan ditutup atau ditekan di portal Azure ATP, jika aktivitas yang sama terdeteksi lagi dalam waktu singkat, pemberitahuan baru akan dibuka. Sebelumnya, dalam kondisi yang sama, pemberitahuan dibuka kembali.

• TLS 1.2 diperlukan untuk akses portal dan sensor
  TLS 1.2 sekarang diperlukan untuk menggunakan sensor Azure ATP dan layanan cloud. Akses ke portal Azure ATP tidak akan lagi dimungkinkan menggunakan browser yang tidak mendukung TLS 1.2.

Januari 2020

Rilis Azure ATP 2.106

Dirilis 19 Jan 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.105

Dirilis 12 Jan 2020

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Desember 2019

Rilis Azure ATP 2.104

Dirilis 23 Des 2019

• Kedaluwarsa versi sensor dihilangkan
  Penyebaran sensor Azure ATP dan paket penginstalan sensor tidak lagi kedaluwarsa setelah sejumlah versi dan sekarang hanya memperbarui diri sekali. Hasil dari fitur ini adalah bahwa paket penginstalan sensor yang diunduh sebelumnya sekarang dapat diinstal bahkan jika lebih lama dari jumlah maksimum versi lap kami.

• Konfirmasi kompromi
  Anda sekarang dapat mengonfirmasi penyusupan pengguna Microsoft 365 tertentu dan mengatur tingkat risiko mereka ke tinggi. Alur kerja ini memungkinkan tim operasi keamanan Anda memiliki kemampuan respons lain untuk mengurangi insiden keamanan mereka ambang Batas Waktu-Untuk-Menyelesaikan. Pelajari selengkapnya tentang cara mengonfirmasi kompromi menggunakan Azure ATP dan Defender untuk Cloud Apps.

• Banner pengalaman baru
  Di halaman portal Azure ATP tempat pengalaman baru tersedia di portal Defender untuk Cloud Apps, banner baru ditampilkan yang menjelaskan apa yang tersedia dengan tautan akses.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.103

Dirilis 15 Des 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.102

Dirilis 8 Des 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

November 2019

Rilis Azure ATP 2.101

Dirilis 24 Nov 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.100

Dirilis 17 Nov 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.99

Dirilis 3 November 2019

• Penyempurnaan fitur: Menambahkan pemberitahuan antarmuka pengguna ketersediaan portal aplikasi Defender untuk Cloud ke portal Azure ATP
  Memastikan semua pengguna mengetahui ketersediaan fitur yang ditingkatkan yang tersedia menggunakan portal Defender untuk Cloud Apps, pemberitahuan ditambahkan untuk portal dari garis waktu pemberitahuan Azure ATP yang ada.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Oktober 2019

Rilis Azure ATP 2.98

Dirilis 27 Oktober 2019

• Peningkatan fitur: Peringatan serangan brute force yang dicurigai
  Meningkatkan pemberitahuan Dugaan serangan brute force (SMB) menggunakan analisis tambahan, dan logika deteksi yang ditingkatkan untuk mengurangi hasil pemberitahuan positif benar jinak (B-TP) dan positif palsu (FP).

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.97

Dirilis 6 Oktober 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

September 2019

Rilis Azure ATP 2.96

Dirilis 22 September 2019

• Memperkaya data autentikasi NTLM menggunakan Windows Event 8004
  Sensor Azure ATP sekarang dapat membaca dan memperkaya aktivitas autentikasi NTLM secara otomatis dengan data server yang diakses saat audit NTLM diaktifkan, dan Windows Event 8004 diaktifkan. Azure ATP menguraikan Windows Event 8004 untuk autentikasi NTLM untuk memperkaya data autentikasi NTLM yang digunakan untuk analisis dan pemberitahuan ancaman Azure ATP. Kemampuan yang ditingkatkan ini menyediakan aktivitas akses sumber daya melalui data NTLM serta aktivitas masuk gagal yang diperkaya termasuk komputer tujuan yang dicoba pengguna tetapi gagal diakses.

  Pelajari selengkapnya tentang aktivitas autentikasi NTLM menggunakan Windows Event 8004.

• Versi juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.95

Dirilis 15 September 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.94

Dirilis 8 September 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.93

Dirilis 1 September 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Agustus 2019

Rilis Azure ATP 2.92

Dirilis 25 Agustus 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.91

Dirilis 18 Agustus 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.90

Dirilis 11 Agustus 2019

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.89

Dirilis 4 Agustus 2019

• Peningkatan metode sensor
  Untuk menghindari kelebihan pembuatan lalu lintas NTLM dalam pembuatan penilaian Lateral Movement Path (LMP) yang akurat, perbaikan telah dilakukan pada metode sensor Azure ATP untuk mengandalkan penggunaan NTLM dan membuat penggunaan Kerberos yang lebih signifikan.

• Peningkatan pemberitahuan: Dugaan penggunaan Golden Ticket (akun tidak ada)
  Perubahan nama SAM telah ditambahkan ke jenis bukti pendukung yang tercantum dalam jenis pemberitahuan ini. Untuk mempelajari selengkapnya tentang pemberitahuan, termasuk cara mencegah jenis aktivitas ini dan memulihkan, lihat Dugaan penggunaan Golden Ticket (akun yang tidak ada).

• Ketersediaan umum: Dugaan perusakan autentikasi NTLM
  Pemberitahuan perusakan autentikasi NTLM yang dicurigai tidak lagi dalam mode pratinjau dan sekarang tersedia secara umum.

• Versi mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Juli 2019

Rilis Azure ATP 2.88

Dirilis 28 Juli 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.87

Dirilis 21 Juli 2019

• Peningkatan fitur: Pengumpulan peristiwa Syslog otomatis untuk sensor mandiri Azure ATP
  Koneksi Syslog masuk untuk sensor mandiri Azure ATP sekarang sepenuhnya otomatis, sambil menghapus opsi pengalih dari layar konfigurasi. Perubahan ini tidak berpengaruh pada koneksi Syslog keluar.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.86

Dirilis 14 Juli 2019

• Pemberitahuan keamanan baru: Dugaan perusakan autentikasi NTLM (ID eksternal 2039)
  Dugaan autentikasi NTLM baru Azure ATP yang mengubah pemberitahuan keamanan sekarang dalam pratinjau publik. Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika penggunaan serangan "man-in-the-middle" diduga berhasil melewati NTLM Message Integrity Check (MIC), kerentanan keamanan yang dirinci dalam Microsoft CVE-2019-040. Jenis serangan ini mencoba menurunkan tingkat fitur keamanan NTLM dan berhasil mengautentikasi, dengan tujuan utama untuk membuat gerakan lateral yang sukses.

• Peningkatan fitur: Identifikasi sistem operasi perangkat yang diperkaya
  Hingga saat ini, Azure ATP menyediakan informasi sistem operasi perangkat entitas berdasarkan atribut yang tersedia di Direktori Aktif. Sebelumnya, jika informasi sistem operasi tidak tersedia di Direktori Aktif, informasi tersebut juga tidak tersedia di halaman entitas Azure ATP. Mulai dari versi ini, Azure ATP sekarang menyediakan informasi ini untuk perangkat di mana Direktori Aktif tidak memiliki informasi, atau tidak terdaftar di Direktori Aktif, dengan menggunakan metode identifikasi sistem operasi perangkat yang diperkaya.

  Penambahan data identifikasi sistem operasi perangkat yang diperkaya membantu mengidentifikasi perangkat yang tidak terdaftar dan non-Windows, sekaligus membantu dalam proses penyelidikan Anda. Untuk mempelajari selengkapnya tentang Resolusi Nama Jaringan di Azure ATP, lihat Memahami Resolusi Nama Jaringan (NNR).

• Fitur baru: Proksi terautentikasi - pratinjau
  Azure ATP sekarang mendukung proksi terautentikasi. Tentukan URL proksi menggunakan baris perintah sensor dan tentukan Nama Pengguna/Kata Sandi untuk menggunakan proksi yang memerlukan autentikasi. Untuk informasi selengkapnya tentang cara menggunakan proksi terautentikasi, lihat Mengonfigurasi proksi.

• Penyempurnaan fitur: Proses penyinkron domain otomatis
  Proses penandaan dan penandaan pengendali domain sebagai kandidat penyinkron domain selama penyiapan dan konfigurasi yang sedang berlangsung sekarang sepenuhnya otomatis. Opsi alihkan untuk memilih pengontrol domain secara manual saat kandidat penyinkron domain dihapus.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.85

Dirilis 7 Juli 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.84

Dirilis 1 Juli 2019

• Dukungan lokasi baru: Pusat data Azure UK
  Instans Azure ATP sekarang didukung di pusat data Azure UK. Untuk mempelajari selengkapnya tentang membuat instans Azure ATP dan lokasi pusat data terkait, lihat Langkah 1 penginstalan Azure ATP.

• Peningkatan fitur: Nama dan fitur baru untuk penambahan mencurigakan ke pemberitahuan grup sensitif (ID eksternal 2024)
  Penambahan mencurigakan untuk pemberitahuan grup sensitif sebelumnya diberi nama modifikasi Mencurigakan untuk pemberitahuan grup sensitif. ID eksternal pemberitahuan (ID 2024) tetap sama. Perubahan nama deskriptif lebih akurat mencerminkan tujuan pemberitahuan tentang penambahan pada grup sensitif Anda. Pemberitahuan yang ditingkatkan juga menampilkan bukti baru dan deskripsi yang ditingkatkan. Untuk informasi selengkapnya, lihat Penambahan mencurigakan untuk grup sensitif.

• Fitur dokumentasi baru: Panduan untuk berpindah dari Analitik Ancaman Tingkat Lanjut ke Azure ATP
  Artikel baru ini mencakup prasyarat, panduan perencanaan, serta langkah-langkah konfigurasi dan verifikasi untuk berpindah dari ATA ke layanan Azure ATP. Untuk informasi selengkapnya, lihat Berpindah dari ATA ke Azure ATP.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Juni 2019

Rilis Azure ATP 2.83

Dirilis 23 Juni 2019

• Peningkatan fitur: Pemberitahuan pembuatan layanan yang mencurigakan (ID eksternal 2026)
  Pemberitahuan ini sekarang menampilkan halaman pemberitahuan yang ditingkatkan dengan bukti tambahan dan deskripsi baru. Untuk informasi selengkapnya, lihat Pemberitahuan keamanan pembuatan layanan yang mencurigakan.

• Dukungan penamaan instans: Dukungan ditambahkan untuk awalan domain digit saja
  Dukungan ditambahkan untuk pembuatan instans Azure ATP menggunakan awalan domain awal yang hanya berisi digit. Misalnya, penggunaan digit hanya awalan domain awal seperti 123456.contoso.com sekarang didukung.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.82

Dirilis 18 Juni 2019

• Pratinjau publik baru
  Pengalaman investigasi ancaman identitas Azure ATP sekarang berada di Pratinjau Umum, dan tersedia untuk semua penyewa yang dilindungi Azure ATP. Lihat Pengalaman investigasi Azure ATP Microsoft Defender untuk Cloud Apps untuk mempelajari selengkapnya.

• Ketersediaan umum
  Dukungan Azure ATP untuk forest yang tidak tepercaya sekarang dalam ketersediaan umum. Lihat Multi-forest Azure ATP untuk mempelajari selengkapnya.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.81

Dirilis 10 Juni 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.80

Dirilis 2 Juni 2019

• Peningkatan fitur: Pemberitahuan koneksi VPN yang mencurigakan
  Pemberitahuan ini sekarang mencakup bukti dan teks yang ditingkatkan untuk kegunaan yang lebih baik. Untuk informasi selengkapnya tentang fitur pemberitahuan, dan langkah-langkah dan pencegahan remediasi yang disarankan, lihat deskripsi pemberitahuan koneksi VPN yang mencurigakan.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Mei 2019

Rilis Azure ATP 2.79

Dirilis 26 Mei 2019

• Ketersediaan umum: Pengintaian utama keamanan (LDAP) (ID eksternal 2038)

  Pemberitahuan ini sekarang ada di GA (ketersediaan umum). Untuk informasi selengkapnya tentang pemberitahuan, fitur pemberitahuan, dan remediasi dan pencegahan yang disarankan, lihat deskripsi pemberitahuan Pengintaian utama keamanan (LDAP)

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.78

Dirilis 19 Mei 2019

• Peningkatan fitur: Entitas sensitif
  Pemberian tag Sensitif Manual untuk Server Exchange

  Anda sekarang dapat menandai entitas secara manual sebagai Server Exchange selama konfigurasi.

  Untuk menandai entitas secara manual sebagai Server Exchange:

  1. Di portal Azure ATP, pilih Konfigurasi.
  2. Di bawah Deteksi, pilih Tag entitas, lalu pilih Sensitif.
  3. Pilih Server Exchange lalu tambahkan entitas yang ingin Anda beri tag.

  Setelah menandai komputer sebagai Server Exchange, komputer akan ditandai sebagai Sensitif dan menampilkan bahwa komputer tersebut ditandai sebagai Server Exchange. Tag Sensitif akan muncul di profil entitas komputer, dan komputer akan dipertimbangkan di semua deteksi yang didasarkan pada akun Sensitif dan Jalur Gerakan Lateral.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.77

Dirilis 12 Mei 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.76

Dirilis 6 Mei 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

April 2019

Rilis Azure ATP 2.75

Dirilis 28 April 2019

• Peningkatan fitur: Entitas sensitif
  Mulai dari versi ini (2.75), komputer yang diidentifikasi sebagai Server Exchange oleh Azure ATP sekarang secara otomatis ditandai sebagai Sensitif.

  Entitas yang secara otomatis ditandai sebagai Sensitif karena berfungsi sebagai Server Exchange mencantumkan klasifikasi ini sebagai alasan mereka ditandai.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.74

Merilis 14 April 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.73

Dirilis 10 April 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Maret 2019

Rilis Azure ATP 2.72

Dirilis 31 Maret 2019

• Peningkatan fitur: Kedalaman cakupan Jalur Gerakan Lateral (LMP)
  Jalur gerakan lateral (LMP) adalah metode utama untuk penemuan ancaman dan risiko di Azure ATP. Untuk membantu menjaga fokus pada risiko penting bagi pengguna Anda yang paling sensitif, pembaruan ini mempermudah dan mempercepat analisis dan remediasi risiko kepada pengguna sensitif pada setiap LMP, dengan membatasi cakupan dan kedalaman setiap grafik yang ditampilkan.

  Lihat Jalur Gerakan Lateral untuk mempelajari selengkapnya tentang cara Azure ATP menggunakan LMP untuk memunculkan risiko akses ke setiap entitas di lingkungan Anda.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.71

Dirilis 24 Maret 2019

• Penyempurnaan fitur: Pemberitahuan kesehatan Resolusi Nama Jaringan (NNR)
  Pemberitahuan kesehatan ditambahkan untuk tingkat keyakinan yang terkait dengan pemberitahuan keamanan Azure ATP yang didasarkan pada NNR. Setiap pemberitahuan kesehatan mencakup rekomendasi yang dapat ditindaklanjuti dan terperinci untuk membantu mengatasi tingkat keberhasilan NNR yang rendah.

  Lihat Apa itu Resolusi Nama Jaringan untuk mempelajari selengkapnya tentang bagaimana Azure ATP menggunakan NNR dan mengapa penting untuk akurasi pemberitahuan.

• Dukungan server: Dukungan ditambahkan untuk Server 2019 dengan penggunaan KB4487044
  Dukungan ditambahkan untuk penggunaan Windows Server 2019, dengan tingkat patch KB4487044. Penggunaan Server 2019 tanpa patch tidak didukung, dan diblokir mulai dari pembaruan ini.

• Penyempurnaan fitur: Pengecualian pemberitahuan berbasis pengguna
  Opsi pengecualian pemberitahuan yang diperluas sekarang memungkinkan untuk mengecualikan pengguna tertentu dari pemberitahuan tertentu. Pengecualian dapat membantu menghindari situasi di mana penggunaan atau konfigurasi jenis perangkat lunak internal tertentu berulang kali dipicu pemberitahuan keamanan jinak.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.70

Dirilis 17 Maret 2019

• Peningkatan fitur: Tingkat keyakinan Resolusi Nama Jaringan (NNR) yang ditambahkan ke beberapa pemberitahuan Resolusi Nama Jaringan atau (NNR) digunakan untuk membantu mengidentifikasi identitas entitas sumber serangan yang dicurigai secara positif. Dengan menambahkan tingkat keyakinan NNR ke daftar bukti pemberitahuan Azure ATP, Anda sekarang dapat langsung menilai dan memahami tingkat kepercayaan NNR yang terkait dengan kemungkinan sumber yang diidentifikasi, dan memulihkan dengan tepat.

  Bukti tingkat keyakinan NNR ditambahkan ke pemberitahuan berikut:

  • Pengintaian pemetaan jaringan (DNS)
  • Dugaan pencurian identitas (pass-the-ticket)
  • Dugaan serangan relai NTLM (akun Exchange)-pratinjau
  • Dugaan serangan DCSync (replikasi layanan direktori)

• Skenario pemberitahuan kesehatan tambahan: Layanan sensor Azure ATP gagal dimulai
  Jika sensor Azure ATP gagal dimulai karena masalah driver penangkapan jaringan, pemberitahuan kesehatan sensor sekarang dipicu. Pemecahan masalah sensor Azure ATP dengan log Azure ATP untuk informasi selengkapnya tentang log Azure ATP dan cara menggunakannya.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.69

Dirilis 10 Maret 2019

• Peningkatan fitur: Peringatan pencurian identitas yang dicurigai (pass-the-ticket) Pemberitahuan ini sekarang menampilkan bukti baru yang menunjukkan detail koneksi yang dibuat dengan menggunakan protokol desktop jarak jauh (RDP). Bukti tambahan memudahkan untuk memulihkan masalah yang diketahui (B-TP) pemberitahuan Positif Jinak-Benar yang disebabkan oleh penggunaan Remote Credential Guard melalui koneksi RDP.

• Peningkatan fitur: Eksekusi kode jarak jauh melalui pemberitahuan DNS
  Pemberitahuan ini sekarang menampilkan bukti baru yang menunjukkan status pembaruan keamanan pengendali domain Anda, memberi tahu Anda saat pembaruan diperlukan.

• Fitur dokumentasi baru: Pemberitahuan keamanan Azure ATP MITRE ATT&CK Matrix™
  Untuk menjelaskan dan mempermudah pemetaan hubungan antara pemberitahuan keamanan Azure ATP dan MITRE ATT&CK Matrix yang akrab, kami telah menambahkan teknik MITRE yang relevan ke daftar pemberitahuan keamanan Azure ATP. Referensi tambahan ini memudahkan untuk memahami teknik serangan yang dicurigai berpotensi digunakan ketika pemberitahuan keamanan Azure ATP dipicu. Pelajari selengkapnya tentang panduan pemberitahuan keamanan Azure ATP.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.68

Dirilis 3 Maret 2019

• Peningkatan fitur: Peringatan serangan brute force (LDAP) yang dicurigai
  Peningkatan kegunaan yang signifikan dilakukan pada pemberitahuan keamanan ini termasuk deskripsi yang direvisi, penyediaan informasi sumber tambahan, dan menebak detail upaya untuk remediasi yang lebih cepat.
  Pelajari lebih lanjut pemberitahuan keamanan Dugaan serangan brute force (LDAP ).

• Fitur dokumentasi baru: Lab pemberitahuan keamanan
  Untuk menjelaskan kekuatan Azure ATP dalam mendeteksi ancaman nyata terhadap lingkungan kerja Anda, kami telah menambahkan lab pemberitahuan Keamanan baru ke dokumentasi ini. Lab Pemberitahuan keamanan membantu Anda dengan cepat menyiapkan lab atau lingkungan pengujian, dan menjelaskan posturing defensif terbaik terhadap ancaman dan serangan umum dan dunia nyata.

  Lab langkah demi langkah dirancang untuk memastikan Anda menghabiskan minimal waktu membangun, dan lebih banyak waktu mempelajari lanskap ancaman Anda dan pemberitahuan dan perlindungan Azure ATP yang tersedia. Kami sangat senang mendengar umpan balik Anda.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Februari 2019

Rilis Azure ATP 2.67

Dirilis 24 Februari 2019

• Pemberitahuan keamanan baru: Pengintaian utama keamanan (LDAP) – (pratinjau)
  Pengintaian utama Keamanan (LDAP) Azure ATP - pemberitahuan keamanan pratinjau sekarang dalam pratinjau publik. Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika pengintaian utama keamanan digunakan oleh penyerang untuk mendapatkan informasi penting tentang lingkungan domain. Informasi ini membantu penyerang memetakan struktur domain, serta mengidentifikasi akun istimewa untuk digunakan dalam langkah-langkah selanjutnya dalam rantai pembunuhan serangan mereka.

  Lightweight Directory Access Protocol (LDAP) adalah salah satu metode paling populer yang digunakan untuk tujuan yang sah dan berbahaya untuk mengkueri Active Directory. Pengintaian utama keamanan yang berfokus pada LDAP umumnya digunakan sebagai fase pertama serangan Kerberoasting. Serangan Kerberoasting digunakan untuk mendapatkan daftar target Nama Prinsipal Keamanan (SPN), yang kemudian dicoba oleh penyerang untuk mendapatkan tiket Ticket Granting Server (TGS).

• Peningkatan fitur: Pemberitahuan pengintaian enumerasi akun (NTLM)
  Pemberitahuan pengintaian enumerasi Akun yang ditingkatkan (NTLM) menggunakan analisis tambahan, dan logika deteksi yang ditingkatkan untuk mengurangi hasil pemberitahuan B-TP dan FP .

• Peningkatan fitur: Pemberitahuan pengintaian pemetaan jaringan (DNS)
  Jenis deteksi baru ditambahkan ke pemberitahuan Pengintaian pemetaan jaringan (DNS). Selain mendeteksi permintaan AXFR yang mencurigakan, Azure ATP sekarang mendeteksi jenis permintaan mencurigakan yang berasal dari server non-DNS menggunakan jumlah permintaan yang berlebihan.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.66

Dirilis 17 Februari 2019

• Peningkatan fitur: Peringatan serangan DCSync yang dicurigai (replikasi layanan direktori)
  Peningkatan kegunaan dilakukan pada pemberitahuan keamanan ini termasuk deskripsi yang direvisi, penyediaan informasi sumber tambahan, infografis baru, dan lebih banyak bukti. Pelajari selengkapnya tentang pemberitahuan keamanan serangan DCSync yang dicurigai (replikasi layanan direktori).

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.65

Dirilis 10 Februari 2019

• Pemberitahuan keamanan baru: Dugaan serangan relai NTLM (akun Exchange) – (pratinjau)
  Dugaan serangan relai NTLM Azure ATP (akun Exchange) - pemberitahuan keamanan pratinjau sekarang dalam pratinjau publik. Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu saat penggunaan kredensial akun Exchange dari sumber yang mencurigakan diidentifikasi. Jenis serangan ini mencoba memanfaatkan teknik relai NTLM untuk mendapatkan hak istimewa pertukaran pengendali domain dan dikenal sebagai ExchangePriv. Pelajari selengkapnya tentang teknik ExchangePriv dari saran ADV190007 pertama kali diterbitkan 31 Januari 2019, dan respons pemberitahuan Azure ATP.

• Ketersediaan umum: Eksekusi kode jarak jauh melalui DNS
  Pemberitahuan ini sekarang ada di GA (ketersediaan umum). Untuk informasi selengkapnya dan fitur pemberitahuan, lihat halaman Eksekusi kode jarak jauh melalui deskripsi pemberitahuan DNS.

• Ketersediaan umum: Penyelundupan data melalui SMB
  Pemberitahuan ini sekarang ada di GA (ketersediaan umum). Untuk informasi selengkapnya dan fitur pemberitahuan, lihat halaman Penyelundupan data melalui deskripsi pemberitahuan SMB.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.64

Dirilis 4 Februari 2019

• Ketersediaan umum: Dugaan penggunaan Golden Ticket (anomali tiket)
  Pemberitahuan ini sekarang ada di GA (ketersediaan umum). Untuk informasi selengkapnya dan fitur pemberitahuan, lihat halaman deskripsi pemberitahuan Dugaan penggunaan Tiket Emas (anomali tiket).

• Peningkatan fitur: Pengintaian pemetaan jaringan (DNS)
  Logika deteksi pemberitahuan yang disebarkan untuk pemberitahuan ini untuk meminimalkan positif palsu dan kebisingan pemberitahuan. Pemberitahuan ini sekarang memiliki periode pembelajaran delapan hari sebelum pemberitahuan mungkin akan dipicu untuk pertama kalinya. Untuk informasi selengkapnya tentang pemberitahuan ini, lihat Halaman deskripsi pemberitahuan pengintaian pemetaan jaringan (DNS).

  Karena peningkatan pemberitahuan ini, metode nslookup tidak boleh lagi digunakan untuk menguji konektivitas Azure ATP selama konfigurasi awal.

• Penyempurnaan fitur:
  Versi ini mencakup halaman pemberitahuan yang didesain ulang, dan bukti baru, memberikan penyelidikan pemberitahuan yang lebih baik.

  • Dugaan serangan brute force (SMB)
  • Halaman deskripsi pemberitahuan penggunaan Golden Ticket (anomali waktu) yang dicurigai
  • Dugaan serangan overpass-the-hash (Kerberos)
  • Dugaan penggunaan kerangka kerja peretasan Metasploit
  • Dugaan serangan ransomware WannaCry

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Januari 2019

Rilis Azure ATP 2.63

Dirilis 27 Januari 2019

• Fitur baru: Dukungan forest yang tidak tepercaya – (pratinjau)
  Dukungan Azure ATP untuk sensor di forest yang tidak tepercaya sekarang dalam pratinjau publik. Dari halaman layanan Direktori portal Azure ATP, konfigurasikan set kredensial tambahan untuk memungkinkan sensor Azure ATP terhubung ke forest Direktori Aktif yang berbeda, dan laporkan kembali ke layanan Azure ATP. Lihat Multi-forest Azure ATP untuk mempelajari selengkapnya.

• Fitur baru: Cakupan pengontrol domain
  Azure ATP sekarang menyediakan informasi cakupan untuk pengontrol domain yang dipantau Azure ATP.
  Dari halaman Sensor portal Azure ATP, lihat jumlah pengendali domain yang dipantau dan tidak dipantau yang terdeteksi oleh Azure ATP di lingkungan Anda. Unduh daftar pengendali domain yang dipantau untuk analisis lebih lanjut, dan untuk membangun rencana tindakan. Lihat Panduan cara memantau pengontrol domain untuk mempelajari selengkapnya.

• Peningkatan fitur: Pengintaian enumerasi akun
  Deteksi pengintaian enumerasi akun Azure ATP sekarang mendeteksi dan mengeluarkan pemberitahuan untuk upaya enumerasi menggunakan Kerberos dan NTLM. Sebelumnya, deteksi hanya berfungsi untuk upaya menggunakan Kerberos. Lihat Pemberitahuan pengintaian Azure ATP untuk mempelajari selengkapnya.

• Peningkatan fitur: Pemberitahuan upaya eksekusi kode jarak jauh

  • Semua aktivitas eksekusi jarak jauh, seperti pembuatan layanan, eksekusi WMI, dan eksekusi PowerShell baru, ditambahkan ke garis waktu profil komputer tujuan. Komputer tujuan adalah pengendali domain tempat perintah dijalankan.
  • Eksekusi PowerShell ditambahkan ke daftar aktivitas eksekusi kode jarak jauh yang tercantum dalam garis waktu pemberitahuan profil entitas.
  • Lihat Upaya eksekusi kode jarak jauh untuk mempelajari lebih lanjut.

• Masalah Windows Server 2019 LSASS dan Azure ATP
  Menanggapi umpan balik pelanggan mengenai penggunaan Azure ATP dengan pengendali domain yang menjalankan Windows Server 2019, pembaruan ini mencakup logika tambahan untuk menghindari pemicu perilaku yang dilaporkan pada komputer Windows Server 2019. Dukungan penuh untuk sensor Azure ATP pada Windows Server 2019 direncanakan untuk pembaruan Azure ATP di masa mendatang, namun menginstal dan menjalankan Azure ATP di Windows Servers 2019 saat ini tidak didukung. Lihat Persyaratan sensor Azure ATP untuk mempelajari selengkapnya.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.62

Dirilis 20 Januari 2019

• Pemberitahuan keamanan baru: Eksekusi kode jarak jauh melalui DNS – (pratinjau)
  Eksekusi Kode jarak jauh Azure ATP melalui pemberitahuan keamanan DNS sekarang dalam pratinjau publik. Dalam deteksi ini, pemberitahuan keamanan Azure ATP dipicu ketika kueri DNS yang dicurigai mengeksploitasi kerentanan keamanan CVE-2018-8626 dibuat terhadap pengendali domain di jaringan.

• Peningkatan Fitur: Pembaruan sensor tertunda 72 jam
  Opsi yang diubah untuk menunda pembaruan sensor pada sensor yang dipilih menjadi 72 jam (alih-alih penundaan 24 jam sebelumnya) setelah setiap pembaruan rilis Azure ATP. Lihat Pembaruan sensor Azure ATP untuk instruksi konfigurasi.

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.61

Dirilis 13 Januari 2019

• Pemberitahuan Keamanan Baru: Penyelundupan data melalui SMB - (pratinjau)
  Penyelundupan Data Azure ATP melalui pemberitahuan keamanan SMB sekarang dalam pratinjau publik. Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, penyerang dapat membuat tiket pemberian tiket Kerberos (TGT) yang memberikan otorisasi ke sumber daya apa pun.

• Peningkatan Fitur: Pemberitahuan keamanan upaya eksekusi kode jarak jauh
  Deskripsi pemberitahuan baru dan bukti tambahan ditambahkan untuk membantu membuat pemberitahuan lebih mudah dipahami, dan menyediakan alur kerja investigasi yang lebih baik.

• Penyempurnaan Fitur: Aktivitas logis kueri DNS
  Jenis kueri tambahan ditambahkan ke aktivitas yang dipantau Azure ATP termasuk: TXT, MX, NS, SRV, ANY, DNSKEY.

• Peningkatan Fitur: Dugaan penggunaan Golden Ticket (anomali tiket) dan Dugaan penggunaan Golden Ticket (akun tidak ada)
  Logika deteksi yang ditingkatkan telah diterapkan ke kedua pemberitahuan untuk mengurangi jumlah pemberitahuan FP, dan memberikan hasil yang lebih akurat.

• Peningkatan Fitur: Dokumentasi Pemberitahuan Keamanan Azure ATP
  Dokumentasi pemberitahuan keamanan Azure ATP telah ditingkatkan dan diperluas untuk menyertakan deskripsi pemberitahuan yang lebih baik, klasifikasi pemberitahuan yang lebih akurat, dan penjelasan tentang bukti, remediasi, dan pencegahan. Kenali desain dokumentasi pemberitahuan keamanan baru menggunakan tautan berikut:

  • Peringatan Keamanan Azure ATP
  • Memahami pemberitahuan keamanan
    • Pemberitahuan fase pengintaian
    • Pemberitahuan fase kredensial yang disusupi
    • Pemberitahuan fase gerakan lateral
    • Pemberitahuan fase dominasi domain
    • Pemberitahuan fase eksfiltrasi
  • Menyelidiki komputer
  • Menyelidiki pengguna

• Versi ini juga mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.60

Dirilis 6 Januari 2019

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Desember 2018

Rilis Azure ATP 2.59

Dirilis 16 Desember 2018

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.58

Dirilis 9 Desember 2018

• Peningkatan Pemberitahuan Keamanan: Pemisahan pemberitahuan Implementasi Protokol Yang Tidak Biasa
  Serangkaian pemberitahuan keamanan Implementasi Protokol Tidak Biasa Azure ATP yang sebelumnya dibagikan 1 externalId (2002), sekarang dibagi menjadi empat pemberitahuan khusus, dengan ID eksternal unik yang sesuai.

ExternalId pemberitahuan baru

Nama pemberitahuan keamanan baru	Nama pemberitahuan keamanan sebelumnya	ID eksternal unik
Dugaan serangan brute force (SMB)	Implementasi protokol yang tidak biasa (potensi penggunaan alat berbahaya seperti Hydra)	2033
Dugaan serangan overpass-the-hash (Kerberos)	Implementasi protokol Kerberos yang tidak biasa (potensi serangan overpass-the-hash)	2002
Dugaan penggunaan kerangka kerja peretasan Metasploit	Implementasi protokol yang tidak biasa (potensi penggunaan alat peretasan Metasploit)	2034
Dugaan serangan ransomware WannaCry	Implementasi protokol yang tidak biasa (potensi serangan ransomware WannaCry)	2035

• Aktivitas baru yang dipantau: Salinan file melalui SMB
  Menyalin file menggunakan SMB sekarang menjadi aktivitas yang dipantau dan dapat difilter. Pelajari selengkapnya tentang aktivitas mana yang dipantau Azure ATP, dan cara memfilter dan mencari aktivitas yang dipantau di portal.

• Peningkatan gambar Jalur Gerakan Lateral Besar
  Saat melihat jalur gerakan lateral besar, Azure ATP sekarang hanya menyoroti simpul yang terhubung ke entitas yang dipilih, alih-alih mengaburkan simpul lain. Perubahan ini memperkenalkan peningkatan signifikan dalam kecepatan penyajian LMP besar.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Rilis Azure ATP 2.57

Dirilis 2 Desember 2018

• Pemberitahuan Keamanan Baru: Dugaan penggunaan tiket Golden- anomali tiket (pratinjau)
  Dugaan penggunaan Tiket Emas Azure ATP - pemberitahuan keamanan anomali tiket sekarang dalam pratinjau publik. Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, penyerang dapat membuat tiket pemberian tiket Kerberos (TGT) yang memberikan otorisasi ke sumber daya apa pun.

  TGT yang ditempa ini disebut "Golden Ticket" karena memungkinkan penyerang untuk mencapai persistensi jaringan yang bertahan lama. Tiket Emas forged jenis ini memiliki karakteristik unik deteksi baru ini dirancang untuk mengidentifikasi.

• Peningkatan Fitur: Pembuatan instans (instans) Azure ATP otomatis
  Mulai hari ini, instans Azure ATP diganti namanya menjadi instans Azure ATP. Azure ATP sekarang mendukung satu instans Azure ATP per akun Azure ATP. Instans untuk pelanggan baru dibuat menggunakan wizard pembuatan instans di portal Azure ATP. Instans Azure ATP yang ada dikonversi secara otomatis ke instans Azure ATP dengan pembaruan ini.

  • Pembuatan instans yang disederhanakan untuk penyebaran dan perlindungan yang lebih cepat menggunakan buat instans Azure ATP Anda.
  • Semua privasi dan kepatuhan data tetap sama.

  Untuk mempelajari selengkapnya tentang instans Azure ATP, lihat Membuat instans Azure ATP Anda.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

November 2018

Rilis Azure ATP 2.56

Dirilis 25 November 2018

• Peningkatan Fitur: Jalur Gerakan Lateral (LMP)
  Dua fitur tambahan ditambahkan untuk meningkatkan kemampuan Azure ATP Lateral Movement Path (LMP):

  • Riwayat LMP sekarang disimpan dan dapat ditemukan per entitas, dan saat menggunakan laporan LMP.
  • Ikuti entitas dalam LMP melalui garis waktu aktivitas, dan selidiki menggunakan bukti tambahan yang disediakan untuk penemuan jalur serangan potensial.

  Lihat Jalur Gerakan Lateral Azure ATP untuk mempelajari selengkapnya tentang cara menggunakan dan menyelidiki dengan LMP yang disempurnakan.

• Penyempurnaan dokumentasi: Jalur Gerakan Lateral, Nama Pemberitahuan Keamanan
  Penambahan dan pembaruan dilakukan pada artikel Azure ATP yang menjelaskan deskripsi dan fitur Jalur Gerakan Lateral, pemetaan nama ditambahkan untuk semua instans nama pemberitahuan keamanan lama ke nama dan externalId baru.

  • Lihat Jalur Gerakan Lateral Azure ATP, Selidiki Jalur Gerakan Lateral, dan Panduan Pemberitahuan Keamanan untuk mempelajari selengkapnya.

• Versi ini mencakup peningkatan dan perbaikan bug untuk infrastruktur sensor internal.

Untuk detail setiap rilis Defender for Identity sebelum (dan termasuk) rilis 2.55, lihat referensi rilis Defender for Identity.

Langkah berikutnya

Apa yang baru dalam Microsoft Defender untuk Identitas