Novità dell'archivio per Microsoft Defender per identità

Questo articolo elenca Microsoft Defender per identità note sulla versione per le versioni e le funzionalità rilasciate più di 6 mesi fa.

Per informazioni sulle versioni e le funzionalità più recenti, vedere Novità di Microsoft Defender per identità.

Nota

A partire dal 15 giugno 2022, Microsoft non supporterà più il sensore Defender per identità nei dispositivi che eseguono Windows Server 2008 R2. È consigliabile identificare eventuali controller di dominio rimanenti o server AD FS che eseguono Ancora Windows Server 2008 R2 come sistema operativo e si prevede di aggiornarli a un sistema operativo supportato.

Per i due mesi successivi al 15 giugno 2022, il sensore continuerà a funzionare. Dopo questo periodo di due mesi, a partire dal 15 agosto 2022, il sensore non funzionerà più nelle piattaforme Windows Server 2008 R2. Altri dettagli sono disponibili all'indirizzo: https://aka.ms/mdi/2008r2

Luglio 2023

Defender per identità versione 2.209

Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Cercare gruppi di Active Directory in Microsoft Defender XDR (anteprima)

La ricerca globale di Microsoft Defender XDR supporta ora la ricerca in base al nome del gruppo di Active Directory. Tutti i gruppi trovati vengono visualizzati nei risultati in una scheda Gruppi separati. Selezionare un gruppo di Active Directory dai risultati della ricerca per visualizzare altri dettagli, tra cui:

• Type
• Ambito
• Domain
• Nome SAM
• SID

• Ora di creazione del gruppo
• La prima volta che è stata osservata un'attività del gruppo
• Gruppi che contengono il gruppo selezionato
• Elenco di tutti i membri del gruppo

Ad esempio:

Per altre informazioni, vedere Microsoft Defender per identità in Microsoft Defender XDR.

Nuovi report sul comportamento di sicurezza

Le valutazioni del comportamento di sicurezza delle identità di Defender per identità rilevano e consigliano in modo proattivo le azioni nelle configurazioni di Active Directory locale.

Le nuove valutazioni del comportamento di sicurezza seguenti sono ora disponibili in Microsoft Secure Score:

• Non scadere le password
• Rimuovere i diritti di accesso per gli account sospetti con l'autorizzazione Amministrazione SDHolder
• Gestire gli account con password più di 180 giorni prima
• Rimuovere account non amministratori con autorizzazioni DCSync
• Rimuovere gli amministratori locali nelle risorse di identità
• Avviare la distribuzione di Defender per identità

Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità.

Reindirizzamento automatico per il portale classico di Defender per identità

L'esperienza e le funzionalità del portale Microsoft Defender per identità sono convergenti nella piattaforma XDR (Extended Detection and Response) di Microsoft, Microsoft Defender XDR. A partire dal 6 luglio 2023, i clienti che usano il portale classico di Defender per identità vengono reindirizzati automaticamente a Microsoft Defender XDR, senza alcuna opzione per ripristinare il portale classico.

Per altre informazioni, vedere il post di blog e Microsoft Defender per identità in Microsoft Defender XDR.

Download e pianificazione dei report di Defender per identità in Microsoft Defender XDR (anteprima)

È ora possibile scaricare e pianificare report periodici di Defender per identità dal portale di Microsoft Defender, creando parità nelle funzionalità del report con il portale legacy di Defender per identità.

Scaricare e pianificare i report in Microsoft Defender XDR dalla pagina di gestione dei report delle identità > di Impostazioni>. Ad esempio:

Per altre informazioni, vedere Microsoft Defender per identità report in Microsoft Defender XDR.

Defender per identità versione 2.208

• Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Defender per identità versione 2.207

• Questa versione fornisce il nuovo parametro di installazione AccessKeyFile . Usare il parametro AccessKeyFile durante un'installazione invisibile all'utente di un sensore defender per identità per impostare la chiave di accesso dell'area di lavoro da un percorso di testo specificato. Per altre informazioni, vedere Installare il sensore Microsoft Defender per identità.

• Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Giugno 2023

Defender per identità versione 2.206

• Questa versione include miglioramenti e correzioni di bug per i servizi cloud e il sensore defender per identità.

Ricerca avanzata con una tabella IdentityInfo avanzata

• Per i tenant con Defender per identità distribuito, la tabella di ricerca avanzata di Microsoft 365 IdentityInfo include ora più attributi per identità e identità rilevate dal sensore Defender per identità dall'ambiente locale.

Per altre informazioni, vedere la documentazione sulla ricerca avanzata di Microsoft Defender XDR.

Defender per identità versione 2.205

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

magg. 2023

Evidenziazioni del controllo dell'account Active Directory avanzato

La pagina dei dettagli dell'utente di Microsoft Defender XDR Identity> include ora i nuovi dati di controllo dell'account Active Directory.

Nella scheda Panoramica dei dettagli utente è stata aggiunta la nuova scheda dei controlli dell'account Active Directory per evidenziare importanti impostazioni di sicurezza e controlli di Active Directory. Ad esempio, usare questa scheda per sapere se un utente specifico è in grado di ignorare i requisiti delle password o se ha una password che non scade mai.

Ad esempio:

Per altre informazioni, vedere la documentazione dell'attributo User-Account-Control.

Defender per identità versione 2.204

Data di rilascio: 29 maggio 2023

• Nuovo avviso di integrità per gli errori di inserimento dati di integrazione VPN (radius). Per altre informazioni, vedere Microsoft Defender per identità avvisi di integrità del sensore.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.203

Data di rilascio: 15 maggio 2023

• Nuovo avviso di integrità per verificare che il controllo del contenitore ADFS sia configurato correttamente. Per altre informazioni, vedere Microsoft Defender per identità avvisi di integrità del sensore.

• La pagina Identità di Microsoft Defender 365 include gli aggiornamenti dell'interfaccia utente per l'esperienza del percorso di spostamento laterale. Nessuna funzionalità modificata. Per altre informazioni, vedere Informazioni e analisi dei percorsi di spostamento laterale con Microsoft Defender per identità.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Miglioramenti della sequenza temporale delle identità

La scheda Sequenza temporale delle identità contiene ora funzionalità nuove e avanzate. Con la sequenza temporale aggiornata, è ora possibile filtrare in base al tipo di attività, al protocollo e alla posizione, oltre ai filtri originali. È anche possibile esportare la sequenza temporale in un file CSV e trovare informazioni aggiuntive sulle attività associate alle tecniche MITRE ATT&CK. Per altre informazioni, vedere Analizzare gli utenti in Microsoft Defender XDR.

Ottimizzazione degli avvisi in Microsoft Defender XDR

L'ottimizzazione degli avvisi, ora disponibile in Microsoft Defender XDR, consente di modificare gli avvisi e ottimizzarli. L'ottimizzazione degli avvisi riduce i falsi positivi, consente ai team SOC di concentrarsi sugli avvisi ad alta priorità e migliora la copertura del rilevamento delle minacce nel sistema.

In Microsoft Defender XDR creare condizioni delle regole in base ai tipi di evidenza e quindi applicare la regola a qualsiasi tipo di regola che soddisfi le condizioni. Per altre informazioni, vedere Ottimizzare un avviso.

Aprile 2023

Defender per identità versione 2.202

Data di rilascio: 23 aprile 2023

• Nuovo avviso di integrità per verificare che il controllo del contenitore di configurazione di Servizi directory sia configurato correttamente, come descritto nella pagina degli avvisi di integrità.
• Le nuove aree di lavoro per i tenant di Active Directory mappate alla Nuova Zelanda vengono create nell'area Australia orientale. Per l'elenco più aggiornato della distribuzione a livello di area, vedere Componenti di Defender per identità.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Marzo 2023

Defender per identità versione 2.201

Data di rilascio: 27 marzo 2023

• È in corso la disabilitazione dell'avviso SAM-R honeytoken. Anche se questi tipi di account non devono mai essere accessibili o sottoposti a query, alcuni sistemi legacy potrebbero usare questi account come parte delle normali operazioni. Se questa funzionalità è necessaria, è sempre possibile creare una query di ricerca avanzata e usarla come rilevamento personalizzato. Stiamo anche esaminando l'avviso LDAP honeytoken nelle prossime settimane, ma rimane funzionante per il momento.

• Sono stati risolti i problemi di logica di rilevamento nell'avviso di integrità controllo oggetti servizi directory per sistemi operativi non in lingua inglese e per Windows 2012 con schemi di Servizi directory precedenti alla versione 87.

• È stato rimosso il prerequisito per la configurazione di un account di Servizi directory per l'avvio dei sensori. Per altre informazioni, vedere Microsoft Defender per identità raccomandazioni relative all'account del servizio directory.

• Non è più necessaria la registrazione di eventi 1644. Se questa impostazione del Registro di sistema è abilitata, è possibile rimuoverla. Per altre informazioni, vedere ID evento 1644.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.200

Data di rilascio: 16 marzo 2023

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.199

Data di rilascio: 5 marzo 2023

• Alcune esclusioni per honeytoken sono state sottoposte a query tramite un avviso SAM-R non funzionavano correttamente. In questi casi, gli avvisi venivano attivati anche per le entità escluse. Questo errore è stato risolto.

• Aggiornamento del nome del protocollo NTLM per le tabelle Identity Advanced Hunting: il nome Ntlm del protocollo precedente è ora elencato come nuovo nome NTLM di protocollo nelle tabelle identity di ricerca avanzata: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Se attualmente si usa il Ntlm protocollo in formato con distinzione tra maiuscole e minuscole dalle tabelle eventi Identity, è necessario modificarlo in NTLM.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

2023 febbraio

Defender per identità versione 2.198

Data di rilascio: 15 febbraio 2023

• La sequenza temporale delle identità è ora disponibile come parte della nuova pagina Identità in Microsoft Defender XDR: la pagina utente aggiornata in Microsoft Defender XDR ha ora un nuovo aspetto, con una visualizzazione espansa degli asset correlati e una nuova scheda sequenza temporale dedicata. La sequenza temporale rappresenta le attività e gli avvisi degli ultimi 30 giorni e unifica le voci di identità dell'utente in tutti i carichi di lavoro disponibili (Defender per identità/app Defender per il cloud/Defender per endpoint). Usando la sequenza temporale, è possibile concentrarsi facilmente sulle attività eseguite dall'utente (o eseguite su di essi), in intervalli di tempo specifici. Per altre informazioni, vedere Analizzare gli utenti in Microsoft Defender XDR

• Ulteriori miglioramenti per gli avvisi honeytoken: nella versione 2.191 sono stati introdotti diversi nuovi scenari per l'avviso di attività honeytoken.

  In base al feedback dei clienti, si è deciso di suddividere l'avviso di attività honeytoken in cinque avvisi separati:

  • L'utente honeytoken è stato sottoposto a query tramite SAM-R.
  • L'utente honeytoken è stato sottoposto a query tramite LDAP.
  • Attività di autenticazione utente honeytoken
  • L'utente honeytoken aveva attributi modificati.
  • L'appartenenza al gruppo honeytoken è cambiata.

  Sono state inoltre aggiunte esclusioni per questi avvisi, offrendo un'esperienza personalizzata per l'ambiente in uso.

  Non vediamo l'ora di ascoltare i commenti e suggerimenti in modo da poter continuare a migliorare.

• Nuovo avviso di sicurezza : uso sospetto dei certificati tramite il protocollo Kerberos (PKINIT). Molte delle tecniche per l'uso di Servizi certificati Active Directory implicano l'uso di un certificato in una fase dell'attacco. Microsoft Defender per identità ora avvisa gli utenti quando osserva tale utilizzo sospetto del certificato. Questo approccio di monitoraggio comportamentale offre una protezione completa contro gli attacchi di Servizi certificati Active Directory, attivando un avviso quando viene tentata un'autenticazione del certificato sospetta su un controller di dominio con un sensore defender per identità installato. Per altre informazioni, vedere Microsoft Defender per identità ora rileva l'utilizzo sospetto dei certificati.

• Interruzione automatica degli attacchi: Defender per identità ora funziona insieme a Microsoft Defender XDR per offrire interruzioni automatizzate degli attacchi. Questa integrazione significa che, per i segnali provenienti da Microsoft Defender XDR, è possibile attivare l'azione Disabilita utente . Queste azioni vengono attivate da segnali XDR ad alta fedeltà, combinati con informazioni dettagliate dell'indagine continua di migliaia di eventi imprevisti da parte dei team di ricerca di Microsoft. L'azione sospende l'account utente compromesso in Active Directory e sincronizza queste informazioni con Microsoft Entra ID. Per altre informazioni sull'interruzione automatica degli attacchi, leggere il post di blog di Microsoft Defender XDR.

  È anche possibile escludere utenti specifici dalle azioni di risposta automatica. Per altre informazioni, vedere Configurare le esclusioni di risposta automatizzate di Defender per identità.

• Rimuovi periodo di apprendimento: gli avvisi generati da Defender per identità si basano su diversi fattori, ad esempio la profilatura, il rilevamento deterministico, l'apprendimento automatico e gli algoritmi comportamentali appresi sulla rete. Il processo di apprendimento completo per Defender per identità può richiedere fino a 30 giorni per ogni controller di dominio. Tuttavia, potrebbero essere presenti istanze in cui si vogliono ricevere avvisi anche prima del completamento del processo di apprendimento completo. Ad esempio, quando si installa un nuovo sensore in un controller di dominio o quando si valuta il prodotto, potrebbe essere necessario ricevere avvisi immediatamente. In questi casi, è possibile disattivare il periodo di apprendimento per gli avvisi interessati abilitando la funzionalità Rimuovi periodo di apprendimento. Per altre informazioni, vedere Impostazioni avanzate.

• Nuovo modo di inviare avvisi a M365D: un anno fa, abbiamo annunciato che tutte le esperienze Microsoft Defender per identità sono disponibili nel portale di Microsoft Defender. La pipeline di avviso principale sta ora passando gradualmente da Defender per identità > Defender per il cloud App > Microsoft Defender XDR a Defender per identità > Microsoft Defender XDR. Questa integrazione significa che gli aggiornamenti dello stato nelle app di Defender per il cloud non si rifletteranno in Microsoft Defender XDR e viceversa. Questa modifica dovrebbe ridurre significativamente il tempo necessario per la visualizzazione degli avvisi nel portale di Microsoft Defender. Come parte di questa migrazione, tutti i criteri di Defender per identità non saranno più disponibili nel portale delle app di Defender per il cloud a partire dal 5 marzo. Come sempre, è consigliabile usare il portale di Microsoft Defender per tutte le esperienze di Defender per identità.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Gennaio 2023

Defender per identità versione 2.197

Data di rilascio: 22 gennaio 2023

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.196

Data di rilascio: 10 gennaio 2023

• Nuovo avviso di integrità per verificare che il controllo oggetti di Servizi directory sia configurato correttamente, come descritto nella pagina degli avvisi di integrità.

• Nuovo avviso di integrità per verificare che le impostazioni di risparmio energia del sensore siano configurate per prestazioni ottimali, come descritto nella pagina degli avvisi di integrità.

• Sono state aggiunte informazioni MITRE ATT&CK alle tabelle IdentityLogonEvents, IdentityDirectoryEvents e IdentityQueryEvents in Microsoft Defender XDR Advanced Hunting. Nella colonna AdditionalFields sono disponibili informazioni dettagliate sulle tecniche di attacco e la tattica (categoria) associata ad alcune delle attività logiche.

• Poiché tutte le principali Microsoft Defender per identità funzionalità sono ora disponibili nel portale di Microsoft Defender, l'impostazione di reindirizzamento del portale viene abilitata automaticamente per ogni tenant a partire dal 31 gennaio 2023. Per altre informazioni, vedere Reindirizzamento di account da Microsoft Defender per identità a Microsoft Defender XDR.

Dicembre 2022

Defender per identità versione 2.195

Data di rilascio: 7 dicembre 2022

• I data center defender per identità vengono ora distribuiti anche nell'area Australia orientale. Per l'elenco più aggiornato della distribuzione a livello di area, vedere Componenti di Defender per identità.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

novembre 2022

Defender per identità versione 2.194

Data di rilascio: 10 novembre 2022

• Nuovo avviso di integrità per verificare che il controllo avanzato di Servizi directory sia configurato correttamente, come descritto nella pagina degli avvisi di integrità.

• Alcune delle modifiche introdotte in Defender per identità versione 2.191 relative agli avvisi honeytoken non sono state abilitate correttamente. Questi problemi sono stati risolti ora.

• Dalla fine di novembre, l'integrazione manuale con Microsoft Defender per endpoint non è più supportata. Tuttavia, è consigliabile usare il portale di Microsoft Defender (https://security.microsoft.com) che include l'integrazione integrata.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Ottobre 2022

Defender per identità versione 2.193

Data di rilascio: 30 ottobre 2022

• Nuovo avviso di sicurezza: autenticazione adnomala di Active Directory Federation Services (AD FS) con un certificato sospetto
  Questa nuova tecnica è collegata all'attore NOBELIUM infame ed è stata soprannominata "MagicWeb" – consente a un avversario di impiantare una backdoor su server AD FS compromessi, che consentirà la rappresentazione come qualsiasi utente di dominio e quindi l'accesso alle risorse esterne. Per altre informazioni su questo attacco, leggere questo post di blog.

• Defender per identità può ora usare l'account LocalSystem nel controller di dominio per eseguire azioni correttive (abilitare/disabilitare l'utente, forzare la password di reimpostazione utente), oltre all'opzione gMSA disponibile in precedenza. In questo modo viene abilitato il supporto predefinito per le azioni correttive. Per altre informazioni, vedere Microsoft Defender per identità account azione.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.192

Data di rilascio: 23 ottobre 2022

• Nuovo avviso di integrità per verificare che il controllo NTLM sia abilitato, come descritto nella pagina degli avvisi di integrità.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Settembre 2022

Defender per identità versione 2.191

Data di rilascio: 19 settembre 2022

• Altre attività per attivare avvisi honeytoken
  Microsoft Defender per identità offre la possibilità di definire account honeytoken, che vengono usati come trappole per gli attori malintenzionati. Qualsiasi autenticazione associata a questi account honeytoken (normalmente inattivi), attiva un avviso di attività honeytoken (ID esterno 2014). Novità per questa versione, qualsiasi query LDAP o SAMR su questi account honeytoken attiverà un avviso. Inoltre, se viene controllato l'evento 5136, verrà attivato un avviso quando uno degli attributi del honeytoken è stato modificato o se l'appartenenza al gruppo del honeytoken è stata modificata.

Per altre informazioni, vedere Configurare la raccolta di eventi di Windows.

Defender per identità versione 2.190

Data di rilascio: 11 settembre 2022

• Valutazione aggiornata: configurazioni di dominio non sicure
  La valutazione della configurazione del dominio non protetta disponibile tramite Microsoft Secure Score valuta ora la configurazione dei criteri di firma LDAP del controller di dominio e avvisa se rileva una configurazione non sicura. Per altre informazioni, vedere Valutazione della sicurezza: Configurazioni di dominio non sicure.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.189

Data di rilascio: 4 settembre 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Agosto 2022

Defender per identità versione 2.188

Data di rilascio: 28 agosto 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.187

Data di rilascio: 18 agosto 2022

• È stata modificata una parte della logica alla base dell'attivazione dell'avviso Sospetto attacco DCSync (replica dei servizi directory) (ID esterno 2006). Questo rilevatore illustra ora i casi in cui l'indirizzo IP di origine visualizzato dal sensore sembra essere un dispositivo NAT.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.186

Data di rilascio: 10 agosto 2022

• Gli avvisi di integrità visualizzeranno ora il nome di dominio completo (FQDN) del sensore anziché il nome NetBIOS.

• Sono disponibili nuovi avvisi di integrità per l'acquisizione del tipo di componente e della configurazione, come descritto nella pagina avvisi di integrità.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Luglio 2022

Defender per identità versione 2.185

Data di rilascio: 18 luglio 2022

• È stato risolto un problema a causa del quale l'utilizzo sospetto di Golden Ticket (account inesistente) (ID esterno 2027) rileverebbe erroneamente i dispositivi macOS.

• Azioni utente: è stata deciso di dividere l'azione Disabilita utente nella pagina utente in due azioni diverse:

  • Disabilitare l'utente, che disabilita l'utente a livello di Active Directory
  • Sospendi utente: che disabilita l'utente a livello di ID Microsoft Entra

  Il tempo necessario per la sincronizzazione da Active Directory a Microsoft Entra ID può essere fondamentale, quindi ora è possibile scegliere di disabilitare gli utenti uno dopo l'altro, per rimuovere la dipendenza dalla sincronizzazione stessa. Si noti che un utente disabilitato solo in Microsoft Entra ID verrà sovrascritto da Active Directory, se l'utente è ancora attivo.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.184

Data di rilascio: 10 luglio 2022

• Nuove valutazioni della sicurezza
  Defender per identità include ora la nuova valutazione della sicurezza seguente:

  • Configurazioni di dominio non sicure
    Microsoft Defender per identità monitora continuamente l'ambiente per identificare i domini con valori di configurazione che espongono un rischio di sicurezza e segnalano questi domini per facilitare la protezione dell'ambiente. Per altre informazioni, vedere Valutazione della sicurezza: Configurazioni di dominio non sicure.

• Il pacchetto di installazione di Defender per identità installerà ora il componente Npcap anziché i driver WinPcap. Per altre informazioni, vedere Driver WinPcap e Npcap.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Giugno 2022

Defender per identità versione 2.183.15436.10558 (hotfix)

Data di rilascio: 20 giugno 2022 (aggiornamento 4 luglio 2022)

• Nuovo avviso di sicurezza: sospetto attacco DFSCoerce tramite il protocollo distributed file system
  In risposta alla pubblicazione di uno strumento di attacco recente che sfrutta un flusso nel protocollo DFS, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato usa questo metodo di attacco. Per altre informazioni su questo attacco, leggere il post di blog.

Defender per identità versione 2.183

Data di rilascio: 20 giugno 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.182

Data di rilascio: 4 giugno 2022

• È disponibile una nuova pagina Informazioni su per Defender per identità. È possibile trovarla nel portale di Microsoft Defender, in Impostazioni ->Identità ->Informazioni. Fornisce diversi dettagli importanti sull'istanza di Defender per identità, tra cui il nome dell'istanza, la versione, l'ID e la georilevazione dell'istanza. Queste informazioni possono essere utili per la risoluzione dei problemi e l'apertura di ticket di supporto.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Maggio 2022

Defender per identità versione 2.181

Data di rilascio: 22 maggio 2022

• È ora possibile eseguire azioni correttive direttamente sugli account locali usando Microsoft Defender per identità.

  • Disabilita utente : impedisce temporaneamente a un utente di accedere alla rete. Può aiutare a impedire agli utenti compromessi di spostarsi in un secondo momento e tentare di esfiltrare i dati o compromettere ulteriormente la rete.
  • Reimposta password utente: richiede all'utente di modificare la password al successivo accesso, assicurandosi che questo account non possa essere usato per ulteriori tentativi di rappresentazione.

  Queste azioni possono essere eseguite da diverse posizioni in Microsoft Defender XDR: la pagina utente, il pannello laterale della pagina utente, la ricerca avanzata e persino i rilevamenti personalizzati. È necessario configurare un account del servizio gestito del servizio gestito con privilegi che Microsoft Defender per identità userà per eseguire le azioni. Per altre informazioni sui requisiti, vedere Microsoft Defender per identità account azione.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.180

Data di rilascio: 12 maggio 2022

• Nuovo avviso di sicurezza: modifica sospetta di un attributo dNSHostName (CVE-2022-26923)
  In risposta alla pubblicazione di un CVE recente, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato tenta di sfruttare CVE-2022 -26923. Per altre informazioni su questo attacco, leggere il post di blog.

• Nella versione 2.177 sono stati rilasciati ulteriori attività LDAP che possono essere coperte da Defender per identità. È stato tuttavia rilevato un bug che causa la mancata presentazione e l'inserimento degli eventi nel portale di Defender per identità. Questo problema è stato risolto in questa versione. Dalla versione 2.180 in poi, quando si abilita l'ID evento 1644 non si ottiene solo visibilità sulle attività LDAP su Servizi Web Active Directory, ma anche altre attività LDAP includono l'utente che ha eseguito l'attività LDAP nel computer di origine. Questo vale per gli avvisi di sicurezza e le attività logiche basate su eventi LDAP.

• Come risposta al recente sfruttamento di KrbRelayUp, abbiamo rilasciato un rilevatore silenzioso per aiutarci a valutare la nostra risposta a questo sfruttamento. Il rilevatore invisibile all'utente consente di valutare l'efficacia del rilevamento e raccogliere informazioni in base agli eventi raccolti. Se questo rilevamento verrà visualizzato in qualità elevata, verrà rilasciato un nuovo avviso di sicurezza nella versione successiva.

• È stata rinominata l'esecuzione di codice remoto su DNS in Tentativo di esecuzione di codice remoto su DNS, in quanto riflette meglio la logica dietro questi avvisi di sicurezza.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.179

Data di rilascio: 1 maggio 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Aprile 2022

Defender per identità versione 2.178

Data di rilascio: 10 aprile 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Marzo 2022

Defender per identità versione 2.177

Data di rilascio: 27 marzo 2022

• Microsoft Defender per identità ora può monitorare altre query LDAP nella rete. Queste attività LDAP vengono inviate tramite il protocollo del servizio Web Active Directory e fungono da normali query LDAP. Per avere visibilità su queste attività, è necessario abilitare l'evento 1644 nei controller di dominio. Questo evento illustra le attività LDAP nel dominio e viene usato principalmente per identificare ricerche LDAP (Lightweight Directory Access Protocol) costose, inefficienti o lente gestite dai controller di dominio Active Directory. Per altre informazioni, vedere Configurazioni legacy.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.176

Data di rilascio: 16 marzo 2022

• A partire da questa versione, quando si installa il sensore da un nuovo pacchetto, la versione del sensore in Installazione applicazioni verrà visualizzata con il numero di versione completo (ad esempio, 2.176.x.y), invece della versione statica 2.0.0.0.0 mostrata in precedenza. Continuerà a mostrare tale versione (quella installata tramite il pacchetto) anche se la versione verrà aggiornata tramite gli aggiornamenti automatici dei servizi cloud defender per identità. La versione reale può essere visualizzata nella pagina delle impostazioni del sensore nel portale, nel percorso eseguibile o nella versione del file.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.175

Data di rilascio: 6 marzo 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Febbraio 2022

Defender per identità versione 2.174

Data di rilascio: 20 febbraio 2022

• È stato aggiunto l'FQDN shost dell'account coinvolto nell'avviso al messaggio inviato al siem. Per altre informazioni, vedere Microsoft Defender per identità informazioni di riferimento sui log SIEM.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.173

Data di rilascio: 13 febbraio 2022

• Tutte le Microsoft Defender per identità funzionalità ora disponibili nel portale di Microsoft Defender. Per ulteriori informazioni, vedi questo post di blog.

• Questa versione risolve i problemi durante l'installazione del sensore in Windows Server 2019 con KB5009557 installato o in un server con autorizzazioni eventLog con protezione avanzata.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.172

Data di rilascio: 8 febbraio 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

2022 gennaio

Defender per identità versione 2.171

Data di rilascio: 31 gennaio 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.170

Data di rilascio: 24 gennaio 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.169

Data di rilascio: 17 gennaio 2022

• Siamo lieti di rilasciare la possibilità di configurare un account azione per Microsoft Defender per identità. Questo è il primo passaggio della possibilità di intraprendere azioni sugli utenti direttamente dal prodotto. Come primo passaggio, è possibile definire l'account del servizio gestito del gruppo Microsoft Defender per identità verrà usato per eseguire le azioni. È consigliabile iniziare a creare questi utenti per godere della funzionalità Azioni una volta che è attiva. Per altre informazioni, vedere Gestire gli account azione.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.168

Data di rilascio: 9 gennaio 2022

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Dicembre 2021

Defender per identità versione 2.167

Data di rilascio: 29 dicembre 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.166

Data di rilascio: 27 dicembre 2021

• La versione include un nuovo avviso di sicurezza: modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287) (ID esterno 2419).
  In risposta alla pubblicazione di CVE recenti, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato tenta di sfruttare CVE-2021-42278 e CVE-2021-42287. Per altre informazioni su questo attacco, leggere il post di blog.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.165

Data di rilascio: 6 dicembre 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Novembre 2021

Defender per identità versione 2.164

Data di rilascio: 17 novembre 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.163

Data di rilascio: 8 novembre 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.162

Data di rilascio: 1 novembre 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Settembre 2021

Defender per identità versione 2.161

Data di rilascio: 12 settembre 2021

• La versione include una nuova attività monitorata: la password dell'account del servizio gestito del gruppo è stata recuperata da un utente. Per altre informazioni, vedere Microsoft Defender per identità attività monitorate
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Agosto 2021

Defender per identità versione 2.160

Data di rilascio: 22 agosto 2021

• La versione include vari miglioramenti e copre più scenari in base alle ultime modifiche apportate allo sfruttamento di PetitPotam.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.159

Data di rilascio: 15 agosto 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.
• La versione include un miglioramento dell'avviso appena pubblicato: connessione di rete sospetta tramite crittografia del protocollo remoto del file system (ID esterno 2416).
  È stato esteso il supporto per questo rilevamento per attivare quando un potenziale utente malintenzionato comunica tramite un canale EFS-RPCchannel crittografato. Gli avvisi attivati quando il canale viene crittografato verranno considerati come un avviso di gravità media, anziché Alto quando non è crittografato. Per altre informazioni sull'avviso, vedere Connessione di rete sospetta tramite Crittografia del protocollo remoto del file system (ID esterno 2416).

Defender per identità versione 2.158

Data di rilascio: 8 agosto 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

• La versione include un nuovo avviso di sicurezza: connessione di rete sospetta tramite crittografia del protocollo remoto del file system (ID esterno 2416).
  In questo rilevamento, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato tenta di sfruttare EFS-RPC sul controller di dominio. Questo vettore di attacco è associato al recente attacco PetitPotam. Per altre informazioni sull'avviso, vedere Connessione di rete sospetta tramite Crittografia del protocollo remoto del file system (ID esterno 2416).

• La versione include un nuovo avviso di sicurezza: Esecuzione di codice remoto di Exchange Server (CVE-2021-26855) (ID esterno 2414)
  In questo rilevamento, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato tenta di modificare l'attributo "msExchExternalHostName" nell'oggetto Exchange per l'esecuzione remota del codice. Per altre informazioni su questo avviso, vedere Esecuzione di codice remoto di Exchange Server (CVE-2021-26855) (ID esterno 2414). Questo rilevamento si basa sull'evento di Windows 4662, quindi deve essere abilitato in anticipo. Per informazioni su come configurare e raccogliere questo evento, vedere Configurare la raccolta di eventi di Windows e seguire le istruzioni per Abilitare il controllo su un oggetto Exchange.

Defender per identità versione 2.157

Data di rilascio: 1 agosto 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Luglio 2021

Defender per identità versione 2.156

Data di rilascio: 25 luglio 2021

• A partire da questa versione, si aggiunge il file eseguibile del driver Npcap al pacchetto di installazione del sensore. Per altre informazioni, vedere Driver WinPcap e Npcap.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.155

Data di rilascio: 18 luglio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.154

Data di rilascio: 11 luglio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.
• La versione include miglioramenti e rilevamenti aggiunti per lo sfruttamento dello spooler di stampa noto come rilevamento PrintNightmare, per coprire altri scenari di attacco.

Defender per identità versione 2.153

Data di rilascio: 4 luglio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

• La versione include un nuovo avviso di sicurezza: sospetto tentativo di sfruttamento del servizio Spooler di stampa di Windows (CVE-2021-34527 exploit) (ID esterno 2415).

  In questo rilevamento Defender per identità attiva un avviso di sicurezza ogni volta che un utente malintenzionato tenta di sfruttare il servizio Spooler di stampa di Windows nel controller di dominio. Questo vettore di attacco è associato allo sfruttamento dello spooler di stampa ed è noto come PrintNightmare. Altre informazioni su questo avviso.

Giugno 2021

Defender per identità versione 2.152

Data di rilascio: 27 giugno 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.151

Data di rilascio: 20 giugno 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.150

Data di rilascio: 13 giugno 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

2021° maggio

Defender per identità versione 2.149

Data di rilascio: 31 maggio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.148

Data di rilascio: 23 maggio 2021

• Se si configura e si raccoglie l'ID evento 4662, Defender per identità segnala l'utente che ha apportato la modifica del numero di sequenza di aggiornamento (USN) a varie proprietà dell'oggetto Active Directory. Ad esempio, se viene modificata una password dell'account e l'evento 4662 è abilitato, l'evento registrerà chi ha modificato la password.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.147

Data di rilascio: 9 maggio 2021

• In base al feedback dei clienti, stiamo aumentando il numero predefinito di sensori consentiti da 200 a 350 e le credenziali di Servizi directory da 10 a 30.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.146

Data di rilascio: 2 maggio 2021

• Le notifiche tramite posta elettronica per i problemi di integrità e gli avvisi di sicurezza avranno ora l'URL di indagine per Microsoft Defender per identità e Microsoft Defender XDR.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Aprile 2021

Defender per identità versione 2.145

Data di rilascio: 22 aprile 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.144

Data di rilascio: 12 aprile 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Marzo 2021

Defender per identità versione 2.143

Data di rilascio: 14 marzo 2021

• È stato aggiunto l'evento di Windows 4741 per rilevare gli account computer aggiunti alle attività di Active Directory . Configurare il nuovo evento da raccogliere da Defender per identità. Una volta configurati, gli eventi raccolti saranno disponibili per la visualizzazione nel log attività e nella ricerca avanzata di Microsoft Defender XDR.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.142

Data di rilascio: 7 marzo 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Febbraio 2021

Defender per identità versione 2.141

Data di rilascio: 21 febbraio 2021

• Nuovo avviso di sicurezza: Sospetto attacco as-REP Roasting (ID esterno 2412)
  È ora disponibile l'avviso di sicurezza Sospetto attacco AS-REP Roasting (ID esterno 2412) di Defender per identità. In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando un utente malintenzionato ha come destinazione gli account con preautenticazione Kerberos disabilitata e tenta di ottenere i dati TGT Kerberos. L'intento dell'utente malintenzionato potrebbe essere quello di estrarre le credenziali dai dati usando attacchi di cracking delle password offline. Per altre informazioni, vedere Esposizione di tostatura AS-REP Kerberos (ID esterno 2412).
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.140

Data di rilascio: 14 febbraio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Gennaio 2021

Defender per identità versione 2.139

Data di rilascio: 31 gennaio 2021

• È stata aggiornata la gravità dell'esposizione sospetta del nome SPN Kerberos ad alto per riflettere meglio l'impatto dell'avviso. Per altre informazioni sull'avviso, vedere Sospetto esposizione SPN Kerberos (ID esterno 2410)
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.138

Data di rilascio: 24 gennaio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.137

Data di rilascio: 17 gennaio 2021

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.136

Data di rilascio: 3 gennaio 2021

• Defender per identità supporta ora l'installazione di sensori nei server Active Directory Federation Services (AD FS). L'installazione del sensore nei server AD FS compatibili estende Microsoft Defender per identità visibilità nell'ambiente ibrido monitorando questo componente critico dell'infrastruttura. Sono stati inoltre aggiornati alcuni rilevamenti esistenti (creazione di servizi sospetti, sospetto attacco di forza bruta (LDAP) e ricognizione dell'enumerazione account per lavorare anche sui dati di AD FS. Per avviare la distribuzione del sensore di Microsoft Defender per identità per il server AD FS, scaricare il pacchetto di distribuzione più recente dalla pagina di configurazione del sensore.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Dicembre 2020

Defender per identità versione 2.135

Data di rilascio: 20 dicembre 2020

• È stato migliorato l'avviso di ricognizione degli attributi di Active Directory (LDAP) (ID esterno 2210) per rilevare anche le tecniche usate per ottenere le informazioni necessarie per generare token di sicurezza, ad esempio nell'ambito della campagna Solorigate.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.134

Data di rilascio: 13 dicembre 2020

• Il rilevatore NetLogon rilasciato di recente è stato migliorato per funzionare anche quando si verifica la transazione del canale Netlogon su un canale crittografato. Per altre informazioni sul rilevatore, vedere Sospetto tentativo di elevazione dei privilegi Netlogon.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.133

Data di rilascio: 6 dicembre 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Novembre 2020

Defender per identità versione 2.132

Data di rilascio: 17 novembre 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Defender per identità versione 2.131

Data di rilascio: 8 novembre 2020

• Nuovo avviso di sicurezza: sospetto esposizione SPN Kerberos (ID esterno 2410)
  È ora disponibile l'avviso di sicurezza Sospetto esposizione SPN Kerberos (ID esterno 2410) di Defender per identità. In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando un utente malintenzionato enumera gli account del servizio e i rispettivi SPN e quindi richiede ticket TGS Kerberos per i servizi. L'intento dell'utente malintenzionato potrebbe essere quello di estrarre gli hash dai ticket e salvarli per usarli in seguito in attacchi di forza bruta offline. Per altre informazioni, vedere Esposizione SPN Kerberos.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Ottobre 2020

Defender per identità versione 2.130

Data di rilascio: 25 ottobre 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.129

Data di rilascio: 18 ottobre 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

2020 settembre

Azure ATP versione 2.128

Data di rilascio: 27 settembre 2020

• Configurazione delle notifiche tramite posta elettronica modificate
  Vengono rimosse le notifiche di posta elettronica attivando le notifiche tramite posta elettronica. Per ricevere notifiche tramite posta elettronica, è sufficiente aggiungere un indirizzo. Per altre informazioni, vedere Impostare le notifiche.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.127

Data di rilascio: 20 settembre 2020

• Nuovo avviso di sicurezza: Sospetto tentativo di elevazione dei privilegi Netlogon (ID esterno 2411)
  È ora disponibile l'avviso di sicurezza Sospetto tentativo di elevazione dei privilegi Netlogon di Azure ATP (CVE-2020-1472 exploit) (ID esterno 2411). In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando un utente malintenzionato stabilisce una connessione di canale sicura Netlogon vulnerabile a un controller di dominio, usando netlogon Remote Protocol (MS-NRPC), nota anche come vulnerabilità di elevazione dei privilegi netlogon. Per altre informazioni, vedere Sospetto tentativo di elevazione dei privilegi Netlogon.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.126

Data di rilascio: 13 settembre 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.125

Data di rilascio: 6 settembre 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Agosto 2020

Azure ATP versione 2.124

Data di rilascio: 30 agosto 2020

• Nuovi avvisi di sicurezza
  Gli avvisi di sicurezza di Azure ATP includono ora i nuovi rilevamenti seguenti:
  • Ricognizione degli attributi di Active Directory (LDAP) (ID esterno 2210)
    In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando si sospetta che un utente malintenzionato ottenga correttamente informazioni critiche sul dominio da usare nella catena di attacco. Per altre informazioni, vedere Ricognizione degli attributi di Active Directory.
  • Sospetto utilizzo di certificati Kerberos non autorizzati (ID esterno 2047)
    In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando un utente malintenzionato che ha ottenuto il controllo sull'organizzazione compromettendo il server dell'autorità di certificazione è sospettato di generare certificati che possono essere usati come account backdoor in attacchi futuri, ad esempio spostarsi in un secondo momento nella rete. Per altre informazioni, vedere Sospetto utilizzo di certificati Kerberos non autorizzati.
  • Sospetto utilizzo di Golden Ticket (anomalia ticket con RBCD) (ID esterno 2040)
    Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, possono creare un ticket di concessione ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa.
    Questo TGT contraffatto è denominato "Golden Ticket" perché consente agli utenti malintenzionati di ottenere una persistenza di rete duratura usando la delega vincolata basata su risorse (RBCD). I Golden Tickets contraffatti di questo tipo hanno caratteristiche uniche, questo nuovo rilevamento è progettato per identificare. Per altre informazioni, vedere Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD).For more information, see Suspected Golden Ticket usage (Anomaly ticket using RBCD).
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.123

Data di rilascio: 23 agosto 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.122

Data di rilascio: 16 agosto 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.121

Data di rilascio: 2 agosto 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Luglio 2020

Azure ATP versione 2.120

Data di rilascio: 26 luglio 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.119

Data di rilascio: 5 luglio 2020

• Miglioramento delle funzionalità: scheda Nuovi controller di dominio esclusi nel report di Excel
  Per migliorare l'accuratezza del calcolo della copertura del controller di dominio, verranno esclusi i controller di dominio con trust esterni dal calcolo per ottenere una copertura del 100%. I controller di dominio esclusi verranno visualizzati nella scheda nuovi controller di dominio esclusi nel download del report di Excel di copertura del dominio. Per informazioni sul download del report, vedere Stato del controller di dominio.
• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Giugno 2020

Azure ATP versione 2.118

Data di rilascio: 28 giugno 2020

• Nuove valutazioni della sicurezza
  Le valutazioni della sicurezza di Azure ATP includono ora le nuove valutazioni seguenti:

  • Percorsi di spostamento laterale più rischiosi
    Questa valutazione monitora continuamente l'ambiente per identificare gli account sensibili con i percorsi di spostamento laterale più rischiosi che espongono un rischio di sicurezza e segnala questi account per facilitare la gestione dell'ambiente. I percorsi vengono considerati rischiosi se hanno tre o più account non sensibili che possono esporre l'account sensibile al furto di credenziali da parte di attori malintenzionati. Per altre informazioni, vedere Valutazione della sicurezza: Percorsi di spostamento laterale più rischiosi (LMP).
  • Attributi dell'account non sicuri
    Questa valutazione azure ATP monitora continuamente l'ambiente per identificare gli account con valori di attributo che espongono un rischio di sicurezza e segnalano questi account per facilitare la protezione dell'ambiente. Per altre informazioni, vedere Valutazione della sicurezza: Attributi dell'account non sicuri.

• Definizione di riservatezza aggiornata
  Si sta espandendo la definizione di riservatezza per gli account locali in modo da includere entità che possono usare la replica di Active Directory.

Azure ATP versione 2.117

Data di rilascio: 14 giugno 2020

• Miglioramento delle funzionalità: dettagli aggiuntivi dell'attività disponibili nell'esperienza secops unificata
  Sono stati estesi i dati del dispositivo inviati alle app di Defender per il cloud, inclusi i nomi dei dispositivi, gli indirizzi IP, gli UPN dell'account e la porta usata. Per altre informazioni sull'integrazione con app Defender per il cloud, vedere Uso di Azure ATP con app Defender per il cloud.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.116

Data di rilascio: 7 giugno 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Maggio 2020

Azure ATP versione 2.115

Data di rilascio: 31 maggio 2020

• Nuove valutazioni della sicurezza
  Le valutazioni della sicurezza di Azure ATP includono ora le nuove valutazioni seguenti:

  • Attributi cronologia SID non sicuri
    Questa valutazione segnala gli attributi della cronologia SID che possono essere usati da utenti malintenzionati per ottenere l'accesso all'ambiente. Per altre informazioni, vedere Valutazione della sicurezza: Attributi cronologia SID non sicuri.
  • Utilizzo di Microsoft L piattaforma di strumenti analitici
    Questa valutazione segnala gli account di amministratore locale che non usano la "soluzione password locale Amministrazione istrator" di Microsoft (L piattaforma di strumenti analitici) per proteggere le password. L piattaforma di strumenti analitici semplifica la gestione delle password e aiuta anche a difendersi da attacchi informatici. Per altre informazioni, vedere Valutazione della sicurezza: Utilizzo di Microsoft L piattaforma di strumenti analitici.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.114

Data di rilascio: 17 maggio 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.113

Data di rilascio: 5 maggio 2020

• Miglioramento delle funzionalità: attività di accesso alle risorse arricchite con NTLMv1
  A partire da questa versione, Azure ATP fornisce ora informazioni per le attività di accesso alle risorse che indicano se la risorsa usa l'autenticazione NTLMv1. Questa configurazione delle risorse non è sicura e comporta un rischio che gli attori malintenzionati possano forzare l'applicazione a loro vantaggio. Per altre informazioni sul rischio, vedere Utilizzo dei protocolli legacy.

• Miglioramento delle funzionalità: sospetto attacco di forza bruta (Kerberos, NTLM) avviso
  L'attacco di forza bruta viene usato dagli utenti malintenzionati per ottenere un punto di accesso all'organizzazione ed è un metodo chiave per l'individuazione di minacce e rischi in Azure ATP. Per concentrarsi sui rischi critici per gli utenti, questo aggiornamento semplifica e velocizza l'analisi e la correzione dei rischi, limitando e assegnando priorità al volume degli avvisi.

Marzo 2020

Azure ATP versione 2.112

Data di rilascio: 15 marzo 2020

• Nuove istanze di Azure ATP si integrano automaticamente con app Microsoft Defender per il cloud
  Quando si crea un'istanza di Azure ATP (in precedenza istanza), l'integrazione con Microsoft Defender per il cloud Apps è abilitata per impostazione predefinita. Per altre informazioni sull'integrazione, vedere Uso di Azure ATP con app Microsoft Defender per il cloud.

• Nuove attività monitorate
  Sono ora disponibili i monitoraggi attività seguenti:

  • Accesso interattivo con certificato

  • Accesso non riuscito con certificato

  • Accesso alle risorse delegate

    Altre informazioni sulle attività monitorate da Azure ATP e su come filtrare e cercare le attività monitorate nel portale.

• Miglioramento delle funzionalità: attività di accesso alle risorse arricchite
  A partire da questa versione, Azure ATP fornisce ora informazioni per le attività di accesso alle risorse che indicano se la risorsa è attendibile per la delega non vincolata. Questa configurazione delle risorse non è sicura e comporta un rischio che gli attori malintenzionati possano forzare l'applicazione a loro vantaggio. Per altre informazioni sul rischio, vedere Valutazione della sicurezza: delega Kerberos non protetta.

• Sospetta manipolazione dei pacchetti SMB (CVE-2020-0796 exploit) - (anteprima)
  L'avviso di sicurezza Sospetta manipolazione pacchetti SMB di Azure ATP è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando un pacchetto SMBv3 sospettato di sfruttare la vulnerabilità di sicurezza CVE-2020-0796 viene eseguita su un controller di dominio nella rete.

Azure ATP versione 2.111

Data di rilascio: 1 marzo 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Febbraio 2020

Azure ATP versione 2.110

Data di rilascio: 23 febbraio 2020

• Nuova valutazione della sicurezza: controller di dominio non monitorati
  Le valutazioni della sicurezza di Azure ATP includono ora un report su controller di dominio non monitorati, server senza sensore, che consentono di gestire la copertura completa dell'ambiente. Per altre informazioni, vedere Controller di dominio non monitorati.

Azure ATP versione 2.109

Data di rilascio: 16 febbraio 2020

• Miglioramento delle funzionalità: entità sensibili
  A partire da questa versione (2.109), i computer identificati come autorità di certificazione, DHCP o server DNS da Azure ATP vengono ora contrassegnati automaticamente come sensibili.

Azure ATP versione 2.108

Data di rilascio: 9 febbraio 2020

• Nuova funzionalità: Supporto per gli account del servizio gestito del gruppo
  Azure ATP supporta ora l'uso di account del servizio gestito del gruppo (gMSA) per una maggiore sicurezza durante la connessione dei sensori Azure ATP alle foreste di Microsoft Entra. Per altre informazioni sull'uso dell'account del servizio gestito del gruppo con sensori Azure ATP, vedere Connessione alla foresta di Active Directory.

• Miglioramento delle funzionalità: report pianificato con troppi dati
  Quando un report pianificato contiene troppi dati, il messaggio di posta elettronica informa ora l'utente del fatto visualizzando il testo seguente: Durante il periodo specificato sono stati visualizzati troppi dati per generare un report. Questo sostituisce il comportamento precedente dell'individuazione solo del fatto dopo aver fatto clic sul collegamento al report nel messaggio di posta elettronica.

• Miglioramento delle funzionalità: logica di copertura del controller di dominio aggiornata
  La logica del report di copertura del controller di dominio è stata aggiornata per includere informazioni aggiuntive dall'ID Microsoft Entra, ottenendo una visualizzazione più accurata dei controller di dominio senza sensori su di essi. Questa nuova logica dovrebbe avere anche un effetto positivo sul punteggio microsoft secure corrispondente.

Azure ATP versione 2.107

Data di rilascio: 3 febbraio 2020

• Nuova attività monitorata: modifica della cronologia SID
  La modifica della cronologia SID è ora un'attività monitorata e filtrabile. Altre informazioni sulle attività monitorate da Azure ATP e su come filtrare e cercare le attività monitorate nel portale.

• Miglioramento delle funzionalità: gli avvisi chiusi o eliminati non vengono più riaperti
  Una volta chiuso o eliminato un avviso nel portale di Azure ATP, se la stessa attività viene rilevata di nuovo entro un breve periodo di tempo, viene aperto un nuovo avviso. In precedenza, nelle stesse condizioni, l'avviso è stato riaperto.

• TLS 1.2 necessario per l'accesso al portale e i sensori
  TLS 1.2 è ora necessario per usare sensori Azure ATP e il servizio cloud. L'accesso al portale di Azure ATP non sarà più possibile usando browser che non supportano TLS 1.2.

Gennaio 2020

Azure ATP versione 2.106

Data di rilascio: 19 gennaio 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.105

Data di rilascio: 12 gennaio 2020

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Dicembre 2019

Azure ATP versione 2.104

Data di rilascio: 23 dicembre 2019

• Scadenza della versione del sensore eliminata
  I pacchetti di distribuzione e installazione dei sensori di Azure ATP non scadono più dopo una serie di versioni e ora si aggiornano una sola volta. Il risultato di questa funzionalità è che i pacchetti di installazione del sensore scaricati in precedenza possono ora essere installati anche se sono precedenti al numero massimo di versioni scadute.

• Conferma della compromissione
  È ora possibile confermare la compromissione di specifici utenti di Microsoft 365 e impostare il livello di rischio su alto. Questo flusso di lavoro consente ai team delle operazioni di sicurezza un'altra funzionalità di risposta per ridurre le soglie di tempo per risolvere gli eventi imprevisti di sicurezza. Altre informazioni su come confermare la compromissione usando Azure ATP e le app Defender per il cloud.

• Banner nuova esperienza
  Nelle pagine del portale di Azure ATP in cui è disponibile una nuova esperienza nel portale delle app di Defender per il cloud, vengono visualizzati nuovi banner che descrivono cosa è disponibile con i collegamenti di accesso.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.103

Data di rilascio: 15 dicembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.102

Data di rilascio: 8 dicembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Novembre 2019

Azure ATP versione 2.101

Data di rilascio: 24 novembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.100

Data di rilascio: 17 novembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.99

Data di rilascio: 3 novembre 2019

• Miglioramento delle funzionalità: aggiunta della notifica dell'interfaccia utente della disponibilità del portale delle app Defender per il cloud al portale di Azure ATP
  Assicurarsi che tutti gli utenti siano consapevoli della disponibilità delle funzionalità avanzate disponibili tramite il portale delle app di Defender per il cloud, è stata aggiunta la notifica per il portale dalla sequenza temporale degli avvisi di Azure ATP esistente.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

2019 ottobre

Azure ATP versione 2.98

Data di rilascio: 27 ottobre 2019

• Miglioramento della funzionalità: sospetto avviso di attacco di forza bruta
  È stato migliorato l'avviso Sospetto attacco di forza bruta (SMB) usando analisi aggiuntive e la logica di rilevamento migliorata per ridurre i risultati degli avvisi veri positivi non dannosi (B-TP) e falsi positivi (FP).

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.97

Data di rilascio: 6 ottobre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Settembre 2019

Azure ATP versione 2.96

Data di rilascio: 22 settembre 2019

• Dati di autenticazione NTLM arricchiti con l'evento di Windows 8004
  I sensori Azure ATP sono ora in grado di leggere e arricchire automaticamente le attività di autenticazione NTLM con i dati del server a cui si accede quando è abilitato il controllo NTLM e l'evento Windows 8004 è attivato. Azure ATP analizza l'evento Di Windows 8004 per le autenticazioni NTLM per arricchire i dati di autenticazione NTLM usati per l'analisi e gli avvisi delle minacce di Azure ATP. Questa funzionalità avanzata fornisce attività di accesso alle risorse su dati NTLM, nonché attività di accesso non riuscite arricchite, incluso il computer di destinazione a cui l'utente ha tentato di accedere ma non è riuscito ad accedere.

  Altre informazioni sulle attività di autenticazione NTLM con l'evento di Windows 8004.

• La versione include anche miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.95

Data di rilascio: 15 settembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.94

Data di rilascio: 8 settembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.93

Data di rilascio: 1° settembre 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Agosto 2019

Azure ATP versione 2.92

Data di rilascio: 25 agosto 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.91

Data di rilascio: 18 agosto 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.90

Data di rilascio: 11 agosto 2019

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.89

Data di rilascio: 4 agosto 2019

• Miglioramenti al metodo del sensore
  Per evitare la generazione di traffico NTLM in eccesso durante la creazione di valutazioni accurate del percorso di spostamento laterale (LMP), sono stati apportati miglioramenti ai metodi del sensore Azure ATP per affidarsi meno all'utilizzo di NTLM e fare un uso più significativo di Kerberos.

• Miglioramento dell'avviso: sospetto utilizzo di Golden Ticket (account inesistente)
  Le modifiche al nome SAM sono state aggiunte ai tipi di evidenza di supporto elencati in questo tipo di avviso. Per altre informazioni sull'avviso, tra cui come impedire questo tipo di attività e correggere, vedere Sospetto utilizzo di Golden Ticket (account inesistente).

• Disponibilità generale: sospetta manomissione dell'autenticazione NTLM
  L'avviso sospetto di manomissione dell'autenticazione NTLM non è più in modalità di anteprima ed è ora disponibile a livello generale.

• La versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Luglio 2019

Azure ATP versione 2.88

Data di rilascio: 28 luglio 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.87

Data di rilascio: 21 luglio 2019

• Miglioramento delle funzionalità: raccolta di eventi Syslog automatizzata per i sensori autonomi di Azure ATP
  Le connessioni Syslog in ingresso per i sensori autonomi Azure ATP sono ora completamente automatizzate, rimuovendo l'opzione attiva/disattiva dalla schermata di configurazione. Queste modifiche non hanno alcun effetto sulle connessioni Syslog in uscita.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.86

Data di rilascio: 14 luglio 2019

• Nuovo avviso di sicurezza: manomissione sospetta dell'autenticazione NTLM (ID esterno 2039)
  Il nuovo avviso di sicurezza Sospetto manomissione dell'autenticazione NTLM di Azure ATP è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando si usa un attacco "man-in-the-middle" sospetto che venga ignorato correttamente ntlm Message Integrity Check (MIC), una vulnerabilità di sicurezza dettagliata in Microsoft CVE-2019-040. Questi tipi di attacchi tentano di effettuare il downgrade delle funzionalità di sicurezza NTLM e di eseguire correttamente l'autenticazione, con l'obiettivo finale di effettuare movimenti laterali riusciti.

• Miglioramento delle funzionalità: identificazione del sistema operativo del dispositivo arricchita
  Fino ad ora, Azure ATP ha fornito informazioni sul sistema operativo del dispositivo dell'entità in base all'attributo disponibile in Active Directory. In precedenza, se le informazioni sul sistema operativo non erano disponibili in Active Directory, le informazioni non erano disponibili anche nelle pagine delle entità di Azure ATP. A partire da questa versione, Azure ATP fornisce ora queste informazioni per i dispositivi in cui Active Directory non dispone delle informazioni o non sono registrate in Active Directory, usando metodi di identificazione del sistema operativo del dispositivo arricchiti.

  L'aggiunta di dati di identificazione del sistema operativo del dispositivo arricchiti consente di identificare i dispositivi non registrati e non Windows, semplificando contemporaneamente il processo di indagine. Per altre informazioni sulla risoluzione dei nomi di rete in Azure ATP, vedere Informazioni sulla risoluzione dei nomi di rete (NNR).

• Nuova funzionalità: Proxy autenticato - anteprima
  Azure ATP supporta ora il proxy autenticato. Specificare l'URL proxy usando la riga di comando del sensore e specificare Nome utente/Password per usare proxy che richiedono l'autenticazione. Per altre informazioni su come usare il proxy autenticato, vedere Configurare il proxy.

• Miglioramento delle funzionalità: processo automatizzato del programma di sincronizzazione del dominio
  Il processo di progettazione e assegnazione di tag ai controller di dominio come candidati per la sincronizzazione del dominio durante l'installazione e la configurazione in corso è ora completamente automatizzato. L'opzione toggle per selezionare manualmente i controller di dominio come candidati del programma di sincronizzazione del dominio viene rimossa.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.85

Data di rilascio: 7 luglio 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.84

Data di rilascio: 1° luglio 2019

• Nuovo supporto per la posizione: data center di Azure Regno Unito
  Le istanze di Azure ATP sono ora supportate nel data center del Regno Unito di Azure. Per altre informazioni sulla creazione di istanze di Azure ATP e sui rispettivi percorsi del data center, vedere Passaggio 1 dell'installazione di Azure ATP.

• Miglioramento delle funzionalità: nuovo nome e funzionalità per l'avviso Aggiunte sospette ai gruppi sensibili (ID esterno 2024)
  L'avviso Aggiunte sospette ai gruppi sensibili è stato precedentemente denominato Modifiche sospette all'avviso gruppi sensibili. L'ID esterno dell'avviso (ID 2024) rimane invariato. La modifica del nome descrittivo riflette in modo più accurato lo scopo dell'invio di avvisi sulle aggiunte ai gruppi sensibili . L'avviso avanzato include anche nuove prove e descrizioni migliorate. Per altre informazioni, vedere Aggiunte sospette ai gruppi sensibili.

• Nuova funzionalità della documentazione: Guida per il passaggio da Advanced Threat Analytics ad Azure ATP
  Questo nuovo articolo include prerequisiti, indicazioni sulla pianificazione, nonché passaggi di configurazione e verifica per il passaggio da ATA al servizio Azure ATP. Per altre informazioni, vedere Passare da ATA ad Azure ATP.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

2019 giugno

Azure ATP versione 2.83

Data di rilascio: 23 giugno 2019

• Miglioramento delle funzionalità: avviso di creazione del servizio sospetto (ID esterno 2026)
  Questo avviso include ora una pagina di avviso migliorata con prove aggiuntive e una nuova descrizione. Per altre informazioni, vedere Avviso di sicurezza per la creazione di servizi sospetti.

• Supporto per la denominazione delle istanze: supporto aggiunto per il prefisso di dominio solo cifre
  Supporto aggiunto per la creazione di istanze di Azure ATP usando prefissi di dominio iniziali che contengono solo cifre. Ad esempio, è ora supportato l'uso di prefissi di dominio iniziali, ad esempio 123456.contoso.com.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.82

Data di rilascio: 18 giugno 2019

• Nuova anteprima pubblica
  L'esperienza di analisi delle minacce per le identità di Azure ATP è ora disponibile in anteprima pubblica e disponibile per tutti i tenant protetti da Azure ATP. Per altre informazioni, vedere Azure ATP Microsoft Defender per il cloud App per l'analisi.

• Disponibilità generale
  Il supporto di Azure ATP per le foreste non attendibili è ora disponibile a livello generale. Per altre informazioni, vedere Azure ATP multi-forest .

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.81

Data di rilascio: 10 giugno 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.80

Data di rilascio: 2 giugno 2019

• Miglioramento della funzionalità: avviso di connessione VPN sospetta
  Questo avviso include ora prove avanzate e testi per migliorare l'usabilità. Per altre informazioni sulle funzionalità di avviso e sui passaggi di correzione suggeriti e sulla prevenzione, vedere la descrizione dell'avviso di connessione VPN sospetta.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

2019° maggio

Azure ATP versione 2.79

Data di rilascio: 26 maggio 2019

• Disponibilità generale: Ricognizione dell'entità di sicurezza (LDAP) (ID esterno 2038)

  Questo avviso è ora disponibile a livello generale (disponibilità generale). Per altre informazioni sull'avviso, sulle funzionalità di avviso e sulla prevenzione suggerite, vedere la descrizione dell'avviso di esplorazione dell'entità di sicurezza (LDAP)

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.78

Data di rilascio: 19 maggio 2019

• Miglioramento delle funzionalità: entità sensibili
  Assegnazione di tag sensibili manuali per i server Exchange

  È ora possibile contrassegnare manualmente le entità come server Exchange durante la configurazione.

  Per contrassegnare manualmente un'entità come Exchange Server:

  1. Nel portale di Azure ATP selezionare Configurazione.
  2. In Rilevamento selezionare Tag entità e quindi Selezionare Sensibili.
  3. Selezionare Exchange Server e quindi aggiungere l'entità da contrassegnare.

  Dopo l'assegnazione di tag a un computer come Exchange Server, verrà contrassegnato come Sensibile e verrà visualizzato che è stato contrassegnato come Exchange Server. Il tag Sensitive verrà visualizzato nel profilo di entità del computer e il computer verrà considerato in tutti i rilevamenti basati su account sensibili e percorsi di spostamento laterale.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.77

Data di rilascio: 12 maggio 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.76

Data di rilascio: 6 maggio 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

2019 aprile

Azure ATP versione 2.75

Data di rilascio: 28 aprile 2019

• Miglioramento delle funzionalità: entità sensibili
  A partire da questa versione (2.75), i computer identificati come server Exchange da Azure ATP vengono ora contrassegnati automaticamente come Sensibili.

  Le entità contrassegnate automaticamente come Sensibili perché funzionano come server exchange elencano questa classificazione come motivo per cui sono contrassegnate.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.74

Rilascio: 14 aprile 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.73

Data di rilascio: 10 aprile 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

marzo 2019

Azure ATP versione 2.72

Data di rilascio: 31 marzo 2019

• Miglioramento della funzionalità: Profondità del percorso di spostamento laterale (LMP) con ambito
  I percorsi di spostamento laterale (LMP) sono un metodo chiave per l'individuazione di minacce e rischi in Azure ATP. Per concentrarsi sui rischi critici per gli utenti più sensibili, questo aggiornamento semplifica e velocizza l'analisi e la correzione dei rischi per gli utenti sensibili in ogni LMP, limitando l'ambito e la profondità di ogni grafico visualizzato.

  Vedere Percorsi di spostamento laterale per altre informazioni su come Azure ATP usa LMP per individuare i rischi di accesso a ogni entità nell'ambiente.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.71

Data di rilascio: 24 marzo 2019

• Miglioramento delle funzionalità: avvisi di integrità della risoluzione dei nomi di rete (NNR)
  Sono stati aggiunti avvisi di integrità per i livelli di attendibilità associati agli avvisi di sicurezza di Azure ATP basati su NNR. Ogni avviso di integrità include suggerimenti interattivi e dettagliati per risolvere i bassi tassi di successo di NNR.

  Per altre informazioni su come Azure ATP usa la risoluzione dei nomi di rete e sui motivi per cui è importante per l'accuratezza degli avvisi, vedere Che cos'è la risoluzione dei nomi di rete.

• Supporto server: supporto aggiunto per Server 2019 con l'uso di KB4487044
  È stato aggiunto il supporto per l'uso di Windows Server 2019, con un livello di patch di KB4487044. L'uso di Server 2019 senza la patch non è supportato e viene bloccato a partire da questo aggiornamento.

• Miglioramento delle funzionalità: esclusione di avvisi basata sull'utente
  Le opzioni di esclusione degli avvisi estesi consentono ora di escludere utenti specifici da avvisi specifici. Le esclusioni possono aiutare a evitare situazioni in cui l'uso o la configurazione di determinati tipi di software interno attivavano ripetutamente avvisi di sicurezza non dannosi.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.70

Data di rilascio: 17 marzo 2019

• Miglioramento delle funzionalità: il livello di confidenza NNR (Network Name Resolution) aggiunto a più avvisi viene usato per identificare positivamente l'identità dell'entità di origine di attacchi sospetti. Aggiungendo i livelli di attendibilità NNR agli elenchi di evidenze degli avvisi di Azure ATP, è ora possibile valutare e comprendere immediatamente il livello di attendibilità NNR correlato alle possibili origini identificate e correggere in modo appropriato.

  L'evidenza del livello di attendibilità NNR è stata aggiunta agli avvisi seguenti:

  • Ricognizione mapping di rete (DNS)
  • Sospetto furto di identità (pass-the-ticket)
  • Sospetto attacco di inoltro NTLM (account exchange)-preview
  • Sospetto attacco DCSync (replica di servizi directory)

• Scenario di avviso di integrità aggiuntivo: l'avvio del servizio sensore Azure ATP non è riuscito
  Nei casi in cui il sensore Azure ATP non è stato avviato a causa di un problema del driver di acquisizione di rete, viene ora attivato un avviso di integrità del sensore. Risoluzione dei problemi del sensore Azure ATP con i log di Azure ATP per altre informazioni sui log di Azure ATP e su come usarli.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.69

Data di rilascio: 10 marzo 2019

• Miglioramento delle funzionalità: avviso sospetto di furto di identità (pass-the-ticket) Questo avviso ora include nuove prove che mostrano i dettagli delle connessioni effettuate tramite remote desktop protocol (RDP). L'evidenza aggiunta semplifica la correzione del problema noto degli avvisi Benign-True Positivi (B-TP) causati dall'uso di Remote Credential Guard sulle connessioni RDP.

• Miglioramento delle funzionalità: esecuzione di codice remoto su avviso DNS
  Questo avviso include ora nuove prove che mostrano lo stato di aggiornamento della sicurezza del controller di dominio, informando l'utente quando sono necessari gli aggiornamenti.

• Nuova funzionalità della documentazione: Avviso di sicurezza di Azure ATP MITRE ATT&CK Matrix™
  Per spiegare e semplificare il mapping della relazione tra gli avvisi di sicurezza di Azure ATP e la nota matrice MITRE ATT&CK, sono state aggiunte le tecniche MITRE pertinenti alle liste degli avvisi di sicurezza di Azure ATP. Questo riferimento aggiuntivo semplifica la comprensione della tecnica di attacco sospetta potenzialmente in uso quando viene attivato un avviso di sicurezza di Azure ATP. Altre informazioni sulla guida agli avvisi di sicurezza di Azure ATP.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.68

Data di rilascio: 3 marzo 2019

• Miglioramento della funzionalità: sospetto avviso di attacco di forza bruta (LDAP)
  Sono stati apportati miglioramenti significativi dell'usabilità a questo avviso di sicurezza, tra cui una descrizione modificata, il provisioning di informazioni aggiuntive sull'origine e i dettagli dei tentativi di individuazione per una correzione più rapida.
  Altre informazioni sugli avvisi di sicurezza sospetto attacco di forza bruta (LDAP).

• Nuova funzionalità della documentazione: Lab degli avvisi di sicurezza
  Per spiegare la potenza di Azure ATP nel rilevare le minacce reali per l'ambiente di lavoro, è stato aggiunto un nuovo lab per gli avvisi di sicurezza a questa documentazione. Il lab degli avvisi di sicurezza consente di configurare rapidamente un ambiente lab o di test e illustra il migliore posturing difensivo contro minacce e attacchi comuni reali.

  Il lab dettagliato è progettato per assicurarsi di dedicare tempo minimo alla compilazione e più tempo a conoscere il panorama delle minacce e gli avvisi e la protezione di Azure ATP disponibili. Siamo lieti di ricevere commenti e suggerimenti.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

febbraio 2019

Azure ATP versione 2.67

Data di rilascio: 24 febbraio 2019

• Nuovo avviso di sicurezza: ricognizione dell'entità di sicurezza (LDAP) - (anteprima)
  Ricognizione dell'entità di sicurezza (LDAP) di Azure ATP: l'avviso di sicurezza di anteprima è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando l'esplorazione dell'entità di sicurezza viene usata dagli utenti malintenzionati per ottenere informazioni critiche sull'ambiente di dominio. Queste informazioni consentono agli utenti malintenzionati di mappare la struttura del dominio, nonché di identificare gli account con privilegi da usare nei passaggi successivi della catena di attacco.

  Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati per scopi legittimi e dannosi per eseguire query in Active Directory. La ricognizione dell'entità di sicurezza incentrata su LDAP viene comunemente usata come prima fase di un attacco Kerberoasting. Gli attacchi Kerberoasting vengono usati per ottenere un elenco di destinazione dei nomi dell'entità di sicurezza (SPN), per i quali gli utenti malintenzionati tentano di ottenere ticket ticket ticket granting server (TGS).

• Miglioramento delle funzionalità: avviso di ricognizione dell'enumerazione account (NTLM)
  Miglioramento dell'avviso di ricognizione dell'enumerazione account (NTLM) usando analisi aggiuntive e una logica di rilevamento migliorata per ridurre i risultati degli avvisi B-TP e FP .

• Miglioramento della funzionalità: avviso di ricognizione mapping di rete (DNS)
  Nuovi tipi di rilevamenti aggiunti agli avvisi di ricognizione di mapping di rete (DNS). Oltre a rilevare richieste AXFR sospette, Azure ATP ora rileva tipi sospetti di richieste provenienti da server non DNS usando un numero eccessivo di richieste.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.66

Data di rilascio: 17 febbraio 2019

• Miglioramento delle funzionalità: sospetto attacco DCSync (replica di servizi directory) avviso
  Sono stati apportati miglioramenti all'usabilità a questo avviso di sicurezza, tra cui una descrizione modificata, il provisioning di informazioni aggiuntive sull'origine, una nuova infografica e altre prove. Altre informazioni sugli avvisi di sicurezza Sospetto attacco DCSync (replica dei servizi directory).

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.65

Data di rilascio: 10 febbraio 2019

• Nuovo avviso di sicurezza: Sospetto attacco di inoltro NTLM (account di Exchange) - (anteprima)
  Sospetto attacco di inoltro NTLM (account exchange) di Azure ATP: l'anteprima dell'avviso di sicurezza è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando viene identificato l'uso delle credenziali dell'account di Exchange da un'origine sospetta. Questi tipi di attacchi tentano di sfruttare le tecniche di inoltro NTLM per ottenere privilegi di scambio di controller di dominio e sono noti come ExchangePriv. Altre informazioni sulla tecnica di ExchangePriv dell'avvisoADV190007 pubblicato per la prima volta il 31 gennaio 2019 e la risposta all'avviso di Azure ATP.

• Disponibilità generale: esecuzione di codice remoto su DNS
  Questo avviso è ora disponibile a livello generale (disponibilità generale). Per altre informazioni e funzionalità di avviso, vedere la pagina Descrizione dell'avviso Remote code execution over DNS .For more information and alert features, see the Remote code execution over DNS alert description page.

• Disponibilità generale: esfiltrazione dei dati su SMB
  Questo avviso è ora disponibile a livello generale (disponibilità generale). Per altre informazioni e funzionalità di avviso, vedere la pagina Descrizione dell'esfiltrazione dei dati su SMB.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.64

Data di rilascio: 4 febbraio 2019

• Disponibilità generale: sospetto utilizzo di Golden Ticket (anomalia del ticket)
  Questo avviso è ora disponibile a livello generale (disponibilità generale). Per altre informazioni e funzionalità di avviso, vedere la pagina Descrizione dell'avviso Sospetto utilizzo di Golden Ticket (anomalia del ticket).

• Miglioramento delle funzionalità: ricognizione mapping di rete (DNS)
  È stata migliorata la logica di rilevamento degli avvisi distribuita per questo avviso per ridurre al minimo i falsi positivi e il rumore degli avvisi. Questo avviso ha ora un periodo di apprendimento di otto giorni prima che l'avviso venga attivato per la prima volta. Per altre informazioni su questo avviso, vedere La pagina di descrizione dell'avviso di ricognizione del mapping di rete (DNS).

  A causa del miglioramento di questo avviso, il metodo nslookup non deve più essere usato per testare la connettività di Azure ATP durante la configurazione iniziale.

• Miglioramento delle funzionalità:
  Questa versione include pagine di avviso riprogettati e nuove prove, fornendo una migliore analisi degli avvisi.

  • Sospetto attacco di forza bruta (SMB)
  • Pagina di descrizione dell'avviso Sospetto utilizzo di Golden Ticket (anomalia temporale)
  • Sospetto attacco overpass-the-hash (Kerberos)
  • Sospetto uso di Metasploit hacking framework
  • Sospetto attacco ransomware WannaCry

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

gennaio 2019

Azure ATP versione 2.63

Data di rilascio: 27 gennaio 2019

• Nuova funzionalità: Supporto foresta non attendibile - (anteprima)
  Il supporto di Azure ATP per i sensori in foreste non attendibili è ora disponibile in anteprima pubblica. Nella pagina Servizi directory del portale di Azure ATP configurare set di credenziali aggiuntivi per consentire ai sensori Azure ATP di connettersi a foreste Active Directory diverse e segnalare al servizio Azure ATP. Per altre informazioni, vedere Azure ATP multi-forest .

• Nuova funzionalità: Copertura controller di dominio
  Azure ATP offre ora informazioni di copertura per i controller di dominio monitorati da Azure ATP.
  Nella pagina Sensori del portale di Azure ATP visualizzare il numero dei controller di dominio monitorati e non monitorati rilevati da Azure ATP nell'ambiente. Scaricare l'elenco di controller di dominio monitorato per ulteriori analisi e creare un piano di azione. Per altre informazioni, vedere la guida pratica sul monitoraggio del controller di dominio.

• Miglioramento delle funzionalità: ricognizione dell'enumerazione account
  Il rilevamento della ricognizione dell'account Azure ATP ora rileva e genera avvisi per i tentativi di enumerazione usando Kerberos e NTLM. In precedenza, il rilevamento funzionava solo per i tentativi che usano Kerberos. Per altre informazioni, vedere Avvisi di ricognizione di Azure ATP.

• Miglioramento delle funzionalità: avviso tentativo di esecuzione del codice remoto

  • Tutte le attività di esecuzione remota, ad esempio la creazione del servizio, l'esecuzione WMI e la nuova esecuzione di PowerShell , sono state aggiunte alla sequenza temporale del profilo del computer di destinazione. Il computer di destinazione è il controller di dominio in cui è stato eseguito il comando.
  • L'esecuzione di PowerShell è stata aggiunta all'elenco delle attività di esecuzione del codice remoto elencate nella sequenza temporale degli avvisi del profilo di entità.
  • Per altre informazioni, vedere Tentativo di esecuzione del codice remoto.

• Problema di Windows Server 2019 LSASS e Azure ATP
  In risposta ai commenti e suggerimenti dei clienti relativi all'utilizzo di Azure ATP con controller di dominio che eseguono Windows Server 2019, questo aggiornamento include logica aggiuntiva per evitare di attivare il comportamento segnalato nei computer Windows Server 2019. Il supporto completo per il sensore Azure ATP in Windows Server 2019 è previsto per un aggiornamento futuro di Azure ATP, ma l'installazione e l'esecuzione di Azure ATP in Windows Server 2019 non è attualmente supportata. Per altre informazioni, vedere Requisiti del sensore Azure ATP.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.62

Data di rilascio: 20 gennaio 2019

• Nuovo avviso di sicurezza: esecuzione remota del codice su DNS - (anteprima)
  L'esecuzione remota del codice di Azure ATP tramite l'avviso di sicurezza DNS è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando le query DNS sospettate di sfruttare la vulnerabilità di sicurezza CVE-2018-8626 vengono eseguite su un controller di dominio nella rete.

• Miglioramento delle funzionalità: aggiornamento del sensore ritardato di 72 ore
  Opzione modificata per ritardare gli aggiornamenti dei sensori nei sensori selezionati a 72 ore (invece del ritardo di 24 ore precedente) dopo ogni aggiornamento della versione di Azure ATP. Per istruzioni di configurazione, vedere Aggiornamento del sensore Azure ATP.

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.61

Data di rilascio: 13 gennaio 2019

• Nuovo avviso di sicurezza: esfiltrazione dei dati su SMB - (anteprima)
  L'esfiltrazione dei dati di Azure ATP tramite l'avviso di sicurezza SMB è ora disponibile in anteprima pubblica. Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, gli utenti malintenzionati possono creare un ticket di concessione ticket Kerberos (TGT) che fornisca l'autorizzazione a qualsiasi risorsa.

• Miglioramento della funzionalità: avviso di sicurezza tentativo di esecuzione del codice remoto
  È stata aggiunta una nuova descrizione dell'avviso e altre prove per semplificare la comprensione dell'avviso e fornire flussi di lavoro di analisi migliori.

• Miglioramento delle funzionalità: attività logiche di query DNS
  Sono stati aggiunti altri tipi di query alle attività monitorate di Azure ATP, tra cui TXT, MX, NS, SRV, ANY, DNSKEY.

• Miglioramento delle funzionalità: sospetto utilizzo di Golden Ticket (anomalia del ticket) e Sospetto utilizzo di Golden Ticket (account inesistente)
  È stata applicata una logica di rilevamento migliorata a entrambi gli avvisi per ridurre il numero di avvisi FP e ottenere risultati più accurati.

• Miglioramento delle funzionalità: documentazione degli avvisi di sicurezza di Azure ATP
  La documentazione degli avvisi di sicurezza di Azure ATP è stata migliorata ed estesa per includere descrizioni degli avvisi migliori, classificazioni degli avvisi più accurate e spiegazioni di prove, correzioni e prevenzione. Acquisire familiarità con la progettazione della nuova documentazione degli avvisi di sicurezza usando i collegamenti seguenti:

  • Avvisi di sicurezza di Azure ATP
  • Informazioni sugli avvisi di sicurezza
    • Avvisi della fase di ricognizione
    • Avvisi della fase delle credenziali compromesse
    • Avvisi relativi alla fase di spostamento laterale
    • Avvisi relativi alla fase di dominanza del dominio
    • Avvisi della fase di esfiltrazione
  • Analizzare un computer
  • Analizzare un utente

• Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura interna del sensore.

Azure ATP versione 2.60

Data di rilascio: 6 gennaio 2019

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Dicembre 2018

Azure ATP versione 2.59

Data di rilascio: 16 dicembre 2018

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.58

Data di rilascio: 9 dicembre 2018

• Miglioramento degli avvisi di sicurezza: suddivisione degli avvisi di implementazione del protocollo insolito
  La serie di avvisi di sicurezza dell'implementazione insolita del protocollo di Azure ATP che in precedenza hanno condiviso 1 externalId (2002), sono ora suddivisi in quattro avvisi distintivi, con un ID esterno univoco corrispondente.

Nuovi externalId di avviso

Nuovo nome dell'avviso di sicurezza	Nome dell'avviso di sicurezza precedente	ID esterno univoco
Sospetto attacco di forza bruta (SMB)	Implementazione insolita del protocollo (potenziale uso di strumenti dannosi come Hydra)	2033
Sospetto attacco overpass-the-hash (Kerberos)	Implementazione insolita del protocollo Kerberos (potenziale attacco overpass-the-hash)	2002
Sospetto uso di Metasploit hacking framework	Implementazione insolita del protocollo (potenziale uso di strumenti di hacking Metasploit)	2034
Sospetto attacco ransomware WannaCry	Implementazione insolita del protocollo (potenziale attacco ransomware WannaCry)	2035

• Nuova attività monitorata: Copia file tramite SMB
  La copia di file con SMB è ora un'attività monitorata e filtrabile. Altre informazioni sulle attività monitorate da Azure ATP e su come filtrare e cercare le attività monitorate nel portale.

• Miglioramento dell'immagine del percorso di spostamento laterale di grandi dimensioni
  Quando si visualizzano percorsi di spostamento laterale di grandi dimensioni, Azure ATP evidenzia ora solo i nodi connessi a un'entità selezionata, invece di offuscare gli altri nodi. Questa modifica introduce un miglioramento significativo della velocità di rendering LMP di grandi dimensioni.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Azure ATP versione 2.57

Data di rilascio: 2 dicembre 2018

• Nuovo avviso di sicurezza: sospetto utilizzo di Golden Ticket- anomalia ticket (anteprima)
  Sospetto utilizzo di Golden Ticket di Azure ATP: l'avviso di sicurezza delle anomalie del ticket è ora disponibile in anteprima pubblica. Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, gli utenti malintenzionati possono creare un ticket Kerberos che concede ticket (TGT) che fornisce l'autorizzazione a qualsiasi risorsa.

  Questo TGT contraffatto è denominato "Golden Ticket" perché consente agli utenti malintenzionati di ottenere una persistenza di rete duratura. I Golden Tickets contraffatti di questo tipo hanno caratteristiche uniche, questo nuovo rilevamento è progettato per identificare.

• Miglioramento delle funzionalità: creazione automatica dell'istanza di Azure ATP (istanza)
  Da oggi le istanze di Azure ATP vengono rinominate istanze di Azure ATP. Azure ATP supporta ora un'istanza di Azure ATP per ogni account Azure ATP. Le istanze per i nuovi clienti vengono create usando la creazione guidata dell'istanza nel portale di Azure ATP. Le istanze di Azure ATP esistenti vengono convertite automaticamente in istanze di Azure ATP con questo aggiornamento.

  • Creazione semplificata di istanze per una distribuzione e una protezione più veloci usando la creazione dell'istanza di Azure ATP.
  • La privacy e la conformità dei dati rimangono invariate.

  Per altre informazioni sulle istanze di Azure ATP, vedere Creare l'istanza di Azure ATP.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Novembre 2018

Azure ATP versione 2.56

Data di rilascio: 25 novembre 2018

• Miglioramento delle funzionalità: percorsi di spostamento laterale (LMP)
  Vengono aggiunte due funzionalità aggiuntive per migliorare le funzionalità del percorso di spostamento laterale (LMP) di Azure ATP:

  • La cronologia LMP viene ora salvata e individuabile per ogni entità e quando si usano i report LMP.
  • Seguire un'entità in un LMP tramite la sequenza temporale dell'attività e analizzare usando prove aggiuntive fornite per l'individuazione di potenziali percorsi di attacco.

  Per altre informazioni su come usare e analizzare i percorsi di spostamento laterale di Azure ATP, vedere Percorsi di spostamento laterale di Azure ATP.

• Miglioramenti della documentazione: Percorsi di spostamento laterale, nomi degli avvisi di sicurezza
  Sono stati apportati aggiornamenti e aggiunte agli articoli di Azure ATP che descrivono le descrizioni e le funzionalità del percorso di spostamento laterale, il mapping dei nomi è stato aggiunto per tutte le istanze dei nomi degli avvisi di sicurezza precedenti ai nuovi nomi e externalId.

  • Per altre informazioni, vedere Percorsi di spostamento laterale di Azure ATP, Analizzare i percorsi di spostamento laterale e Guida agli avvisi di sicurezza.

• Questa versione include miglioramenti e correzioni di bug per l'infrastruttura del sensore interna.

Per informazioni dettagliate su ogni versione di Defender per identità precedente alla versione 2.55 (inclusa), vedere le informazioni di riferimento sulla versione di Defender per identità.

Passaggi successivi

Novità di Microsoft Defender per identità