Nieuw archief voor Microsoft Defender for Identity

Dit artikel bevat opmerkingen bij de release van Microsoft Defender for Identity voor versies en functies die meer dan 6 maanden geleden zijn uitgebracht.

Zie Wat is er nieuw in Microsoft Defender for Identity voor informatie over de nieuwste versies en functies.

Notitie

Vanaf 15 juni 2022 biedt Microsoft geen ondersteuning meer voor de Defender for Identity-sensor op apparaten met Windows Server 2008 R2. U wordt aangeraden alle resterende domeincontrollers (DC's) of AD FS-servers te identificeren waarop Windows Server 2008 R2 nog steeds wordt uitgevoerd als besturingssysteem en plannen te maken om ze bij te werken naar een ondersteund besturingssysteem.

Gedurende de twee maanden na 15 juni 2022 blijft de sensor functioneren. Na deze periode van twee maanden vanaf 15 augustus 2022 werkt de sensor niet meer op Windows Server 2008 R2-platforms. Meer informatie vindt u op: https://aka.ms/mdi/2008r2

Juli 2023

Defender for Identity release 2.209

Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.

Zoeken naar Active Directory-groepen in Microsoft Defender XDR (preview)

De algemene zoekfunctie van Microsoft Defender XDR ondersteunt nu zoeken op active Directory-groepsnaam. Alle gevonden groepen worden weergegeven in de resultaten op een afzonderlijk tabblad Groepen . Selecteer een Active Directory-groep in de zoekresultaten voor meer informatie, waaronder:

• Type
• Bereik
• Domein
• SAM-naam
• SID

• Tijd voor het maken van groepen
• De eerste keer dat een activiteit door de groep werd waargenomen
• Groepen die de geselecteerde groep bevatten
• Een lijst met alle groepsleden

Voorbeeld:

Zie Microsoft Defender for Identity in Microsoft Defender XDR voor meer informatie.

Nieuwe beveiligingspostuurrapporten

Evaluaties van de identiteitsbeveiligingspostuur van Defender for Identity detecteren en aanbevelen proactief acties in uw on-premises Active Directory-configuraties.

De volgende nieuwe beveiligingspostuurbeoordelingen zijn nu beschikbaar in Microsoft Secure Score:

• Toegangsrechten voor verdachte accounts verwijderen met de machtiging Admin SDHolder
• Niet-beheerdersaccounts verwijderen met DCSync-machtigingen
• Lokale beheerders verwijderen voor identiteitsassets
• De implementatie van Defender for Identity starten

Zie de beveiligingspostuurevaluaties van Microsoft Defender for Identity voor meer informatie.

Automatische omleiding voor de klassieke Defender for Identity-portal

De ervaring en functionaliteit van de Microsoft Defender for Identity-portal worden geconvergeerd naar het XDR-platform (Extended Detection and Response) van Microsoft, Microsoft Defender XDR. Vanaf 6 juli 2023 worden klanten die de klassieke Defender for Identity-portal gebruiken, automatisch omgeleid naar Microsoft Defender XDR, zonder optie om terug te keren naar de klassieke portal.

Zie onze blogpost en Microsoft Defender for Identity in Microsoft Defender XDR voor meer informatie.

Downloads en planning van Defender for Identity-rapporten in Microsoft Defender XDR (preview)

U kunt nu periodieke Defender for Identity-rapporten downloaden en plannen vanuit de Microsoft Defender-portal, waarbij u pariteit maakt in rapportfunctionaliteit met de verouderde klassieke Defender for Identity-portal.

Download en plan rapporten in Microsoft Defender XDR op de pagina Rapportbeheer voor instellingenidentiteiten > >. Voorbeeld:

Zie Microsoft Defender for Identity-rapporten in Microsoft Defender XDR voor meer informatie.

Defender for Identity release 2.208

• Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.

Defender for Identity release 2.207

• Deze versie biedt de nieuwe accessKeyFile-installatieparameter . Gebruik de parameter AccessKeyFile tijdens een stille installatie van een Defender for Identity-sensor om de toegangssleutel van de werkruimte in te stellen vanuit een opgegeven tekstpad. Zie De Microsoft Defender for Identity-sensor installeren voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.

Juni 2023

Defender for Identity release 2.206

• Deze versie bevat verbeteringen en bugfixes voor cloudservices en de Defender for Identity-sensor.

Geavanceerde opsporing met een verbeterde IdentityInfo-tabel

• Voor tenants waarvoor Defender for Identity is geïmplementeerd, bevat de geavanceerde opsporingstabel microsoft 365 IdentityInfo nu meer kenmerken per identiteit en identiteiten die zijn gedetecteerd door de Defender for Identity-sensor vanuit uw on-premises omgeving.

Zie de geavanceerde opsporingsdocumentatie van Microsoft Defender XDR voor meer informatie.

Defender for Identity release 2.205

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Mei 2023

Verbeterde hoogtepunten van Active Directory-accountbeheer

De microsoft Defender XDR Identity-gebruikersgegevenspagina> bevat nu nieuwe Active Directory-accountbeheergegevens.

Op het tabblad Overzicht van gebruikersgegevens hebben we de nieuwe kaart active Directory-accountbesturingselementen toegevoegd om belangrijke beveiligingsinstellingen en Active Directory-besturingselementen te markeren. Gebruik deze kaart bijvoorbeeld om te zien of een specifieke gebruiker wachtwoordvereisten kan omzeilen of een wachtwoord heeft dat nooit verloopt.

Voorbeeld:

Zie de documentatie van het kenmerk User-Account-Control voor meer informatie.

Defender for Identity release 2.204

Uitgebracht op 29 mei 2023

• Nieuwe statuswaarschuwing voor opnamefouten van VPN-integratiegegevens (radius). Zie Microsoft Defender voor Identiteitssensorstatuswaarschuwingen voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.203

Uitgebracht op 15 mei 2023

• Nieuwe statuswaarschuwing voor het controleren of ADFS-containercontrole juist is geconfigureerd. Zie Microsoft Defender voor Identiteitssensorstatuswaarschuwingen voor meer informatie.

• De pagina Microsoft Defender 365-identiteit bevat ui-updates voor de laterale verplaatsingspadervaring. Er is geen functionaliteit gewijzigd. Zie Lateral Movement Paths (LMP's) begrijpen en onderzoeken met Microsoft Defender for Identity voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Verbeteringen in de identiteitstijdlijn

Het tabblad Tijdlijn voor identiteit bevat nu nieuwe en verbeterde functies. Met de bijgewerkte tijdlijn kunt u nu filteren op activiteitstype, protocol en locatie, naast de oorspronkelijke filters. U kunt de tijdlijn ook exporteren naar een CSV-bestand en aanvullende informatie vinden over activiteiten die zijn gekoppeld aan MITRE ATT&CK-technieken. Zie Gebruikers onderzoeken in Microsoft Defender XDR voor meer informatie.

Waarschuwingen afstemmen in Microsoft Defender XDR

Met het afstemmen van waarschuwingen, nu beschikbaar in Microsoft Defender XDR, kunt u uw waarschuwingen aanpassen en optimaliseren. Het afstemmen van waarschuwingen vermindert fout-positieven, stelt uw SOC-teams in staat om zich te concentreren op waarschuwingen met hoge prioriteit en verbetert de dekking van de detectie van bedreigingen in uw systeem.

Maak in Microsoft Defender XDR regelvoorwaarden op basis van bewijstypen en pas vervolgens uw regel toe op elk regeltype dat overeenkomt met uw voorwaarden. Zie Een waarschuwing afstemmen voor meer informatie.

April 2023

Defender for Identity release 2.202

Uitgebracht op 23 april 2023

• Nieuwe statuswaarschuwing voor het controleren of Directory Services-configuratiecontainercontrole juist is geconfigureerd, zoals wordt beschreven op de pagina statuswaarschuwingen.
• Nieuwe werkruimten voor AD-tenants die zijn toegewezen aan Nieuw-Zeeland, worden gemaakt in de regio Australië - oost. Zie Defender for Identity-onderdelen voor de meest recente lijst met regionale implementaties.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Maart 2023

Defender for Identity release 2.201

Uitgebracht op 27 maart 2023

• We zijn bezig met het uitschakelen van de SAM-R honeytoken-waarschuwing. Hoewel deze typen accounts nooit mogen worden geopend of opgevraagd, kunnen bepaalde verouderde systemen deze accounts gebruiken als onderdeel van hun normale bewerkingen. Als deze functionaliteit voor u nodig is, kunt u altijd een geavanceerde opsporingsquery maken en deze gebruiken als aangepaste detectie. We bekijken ook de LDAP honeytoken-waarschuwing over de komende weken, maar blijven voorlopig functioneel.

• Er zijn detectielogicaproblemen opgelost in de statuswaarschuwing voor objectcontrole van Directory Services voor niet-Engelse besturingssystemen en voor Windows 2012 met Directory Services-schema's ouder dan versie 87.

• We hebben de vereiste voor het configureren van een Directory Services-account verwijderd om de sensoren te starten. Zie microsoft Defender for Identity Directory Service-accountaan aanbevelingen voor meer informatie.

• Logboekregistratie van 1644 gebeurtenissen is niet meer vereist. Als u deze registerinstelling hebt ingeschakeld, kunt u deze verwijderen. Zie gebeurtenis-id 1644 voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.200

Uitgebracht op 16 maart 2023

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.199

Uitgebracht op 5 maart 2023

• Sommige uitsluitingen voor het Honeytoken zijn opgevraagd via de SAM-R-waarschuwing . In deze gevallen werden waarschuwingen geactiveerd, zelfs voor uitgesloten entiteiten. Deze fout is nu opgelost.

• De naam van het NTLM-protocol voor de tabellen Identity Advanced Hunting is bijgewerkt: de oude protocolnaam Ntlm wordt nu vermeld als de nieuwe protocolnaam NTLM in geavanceerde opsporingsidentiteitstabellen: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Als u momenteel het Ntlm protocol gebruikt in hoofdlettergevoelige indeling van de tabellen met identiteitsgebeurtenissen, moet u dit wijzigen in NTLM.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

2023 februari

Defender for Identity release 2.198

Uitgebracht op 15 februari 2023

• De identiteitstijdlijn is nu beschikbaar als onderdeel van de nieuwe identiteitspagina in Microsoft Defender XDR: de bijgewerkte gebruikerspagina in Microsoft Defender XDR heeft nu een nieuw uiterlijk, met een uitgebreide weergave van gerelateerde assets en een nieuw tabblad voor een speciale tijdlijn. De tijdlijn vertegenwoordigt activiteiten en waarschuwingen van de afgelopen 30 dagen en hiermee worden de identiteitsvermeldingen van de gebruiker in alle beschikbare workloads (Defender for Identity/Defender voor Cloud Apps/Defender for Endpoint) samenvoegd. Met behulp van de tijdlijn kunt u zich eenvoudig richten op activiteiten die de gebruiker heeft uitgevoerd (of waarop deze zijn uitgevoerd), in specifieke tijdsbestekken. Zie Gebruikers onderzoeken in Microsoft Defender XDR voor meer informatie

• Verdere verbeteringen voor honeytoken-waarschuwingen: in release 2.191 hebben we verschillende nieuwe scenario's geïntroduceerd voor de honeytoken-activiteitswaarschuwing.

  Op basis van feedback van klanten hebben we besloten om de honeytoken-activiteitswaarschuwing te splitsen in vijf afzonderlijke waarschuwingen:

  • Honeytoken-gebruiker is opgevraagd via SAM-R.
  • Honeytoken-gebruiker is opgevraagd via LDAP.
  • Honeytoken-gebruikersverificatieactiviteit
  • Honeytoken-gebruiker heeft kenmerken gewijzigd.
  • Honeytoken-groepslidmaatschap is gewijzigd.

  Daarnaast hebben we uitsluitingen toegevoegd voor deze waarschuwingen, waardoor u een aangepaste ervaring voor uw omgeving krijgt.

  We kijken ernaar uit om uw feedback te horen, zodat we kunnen doorgaan met verbeteren.

• Nieuwe beveiligingswaarschuwing: verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT). Veel van de technieken voor het misbruiken van Active Directory Certificate Services (AD CS) hebben betrekking op het gebruik van een certificaat in een bepaalde fase van de aanval. Microsoft Defender for Identity waarschuwt gebruikers nu wanneer er sprake is van dergelijk verdacht certificaatgebruik. Deze aanpak voor gedragsbewaking biedt uitgebreide bescherming tegen AD CS-aanvallen, waardoor een waarschuwing wordt geactiveerd wanneer een verdachte certificaatverificatie wordt uitgevoerd op een domeincontroller waarop een Defender for Identity-sensor is geïnstalleerd. Zie Microsoft Defender for Identity detecteert nu verdacht certificaatgebruik voor meer informatie.

• Automatische aanvalsonderbreking: Defender for Identity werkt nu samen met Microsoft Defender XDR om automatische aanvalsonderbreking aan te bieden. Deze integratie betekent dat voor signalen die afkomstig zijn van Microsoft Defender XDR, de actie Gebruiker uitschakelen kunnen worden geactiveerd. Deze acties worden geactiveerd door XDR-signalen van hoge kwaliteit, gecombineerd met inzichten uit het continue onderzoek van duizenden incidenten door onderzoeksteams van Microsoft. De actie onderbreekt het gecompromitteerde gebruikersaccount in Active Directory en synchroniseert deze informatie naar Microsoft Entra-id. Lees het blogbericht van Microsoft Defender XDR voor meer informatie over automatische aanvalsonderbreking.

  U kunt ook specifieke gebruikers uitsluiten van de acties voor geautomatiseerde reacties. Zie Defender for Identity automatische antwoorduitsluitingen configureren voor meer informatie.

• Leerperiode verwijderen: de waarschuwingen die door Defender for Identity worden gegenereerd, zijn gebaseerd op verschillende factoren, zoals profilering, deterministische detectie, machine learning en gedragsalgoritmen die het heeft geleerd over uw netwerk. Het volledige leerproces voor Defender for Identity kan tot 30 dagen per domeincontroller duren. Er kunnen echter gevallen zijn waarin u waarschuwingen wilt ontvangen, zelfs voordat het volledige leerproces is voltooid. Wanneer u bijvoorbeeld een nieuwe sensor op een domeincontroller installeert of wanneer u het product evalueert, wilt u mogelijk onmiddellijk waarschuwingen ontvangen. In dergelijke gevallen kunt u de leerperiode voor de betreffende waarschuwingen uitschakelen door de functie Leerperiode verwijderen in te schakelen. Zie Geavanceerde instellingen voor meer informatie.

• Nieuwe manier om waarschuwingen naar M365D te verzenden: Een jaar geleden hebben we aangekondigd dat alle Microsoft Defender for Identity-ervaringen beschikbaar zijn in de Microsoft Defender-portal. Onze primaire waarschuwingspijplijn schakelt nu geleidelijk over van Defender for Identity > Defender voor Cloud Apps > Microsoft Defender XDR naar Defender for Identity > Microsoft Defender XDR. Deze integratie betekent dat statusupdates in Defender voor Cloud Apps niet worden weergegeven in Microsoft Defender XDR en omgekeerd. Deze wijziging moet de tijd die nodig is voor waarschuwingen aanzienlijk verminderen in de Microsoft Defender-portal. Als onderdeel van deze migratie zijn alle Defender for Identity-beleidsregels vanaf 5 maart niet meer beschikbaar in de portal Defender voor Cloud Apps. Zoals altijd raden we u aan de Microsoft Defender-portal te gebruiken voor alle Defender for Identity-ervaringen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Januari 2023

Defender for Identity release 2.197

Uitgebracht op 22 januari 2023

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.196

Uitgebracht op 10 januari 2023

• Nieuwe statuswaarschuwing voor het controleren of Directory Services-objectcontrole juist is geconfigureerd, zoals beschreven op de pagina statuswaarschuwingen.

• Nieuwe statuswaarschuwing voor het controleren of de energie-instellingen van de sensor zijn geconfigureerd voor optimale prestaties, zoals beschreven op de pagina statuswaarschuwingen.

• We hebben MITRE ATT&CK-informatie toegevoegd aan de tabellen IdentityLogonEvents, IdentityDirectoryEvents en IdentityQueryEvents in Microsoft Defender XDR Advanced Hunting. In de kolom AdditionalFields vindt u details over de aanvalstechnieken en de tactiek (categorie) die is gekoppeld aan een aantal van onze logische activiteiten.

• Aangezien alle belangrijke functies van Microsoft Defender for Identity nu beschikbaar zijn in de Microsoft Defender-portal, wordt de instelling voor het omleiden van de portal automatisch ingeschakeld voor elke tenant vanaf 31 januari 2023. Zie Accounts omleiden van Microsoft Defender for Identity naar Microsoft Defender XDR voor meer informatie.

December 2022

Defender for Identity release 2.195

Uitgebracht op 7 december 2022

• Defender for Identity-datacenters worden nu ook geïmplementeerd in de regio Australië - oost. Zie Defender for Identity-onderdelen voor de meest recente lijst met regionale implementaties.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

november 2022

Defender for Identity-release 2.194

Uitgebracht op 10 november 2022

• Nieuwe statuswaarschuwing voor het controleren of Directory Services Advanced Auditing correct is geconfigureerd, zoals beschreven op de pagina statuswaarschuwingen.

• Sommige wijzigingen die zijn geïntroduceerd in Defender for Identity release 2.191 met betrekking tot honeytokenwaarschuwingen, zijn niet correct ingeschakeld. Deze problemen zijn nu opgelost.

• Vanaf eind november wordt handmatige integratie met Microsoft Defender voor Eindpunt niet meer ondersteund. We raden u echter ten zeerste aan de Microsoft Defender-portal (https://security.microsoft.com) te gebruiken waarin de integratie is ingebouwd.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Oktober 2022

Defender for Identity release 2.193

Uitgebracht op 30 oktober 2022

• Nieuwe beveiligingswaarschuwing: Abnormale Ad FS-verificatie (Active Directory Federation Services) met behulp van een verdacht certificaat
  Deze nieuwe techniek is gekoppeld aan de beroemde NOBELIUM-actor en werd "MagicWeb" genoemd – hiermee kan een kwaadwillende persoon een achterdeur implanteren op aangetaste AD FS-servers, waardoor imitatie mogelijk wordt gemaakt als elke domeingebruiker en dus toegang tot externe bronnen. Lees dit blogbericht voor meer informatie over deze aanval.

• Defender for Identity kan nu het LocalSystem-account op de domeincontroller gebruiken om herstelacties uit te voeren (gebruiker in- of uitschakelen, wachtwoord voor opnieuw instellen van gebruikers afdwingen), naast de gMSA-optie die eerder beschikbaar was. Dit maakt out-of-the-box-ondersteuning mogelijk voor herstelacties. Zie Microsoft Defender for Identity Action-accounts voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.192

Uitgebracht op 23 oktober 2022

• Nieuwe statuswaarschuwing voor het controleren of de NTLM-controle is ingeschakeld, zoals beschreven op de pagina statuswaarschuwingen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

September 2022

Defender for Identity release 2.191

Uitgebracht op 19 september 2022

• Meer activiteiten om honeytokenwaarschuwingen te activeren
  Microsoft Defender for Identity biedt de mogelijkheid om honeytoken-accounts te definiëren, die worden gebruikt als traps voor kwaadwillende actoren. Elke verificatie die is gekoppeld aan deze honeytoken-accounts (normaal inactief), activeert een honeytokenactiviteit (externe id 2014) waarschuwing. Nieuw voor deze versie, zal elke LDAP- of SAMR-query voor deze honeytoken-accounts een waarschuwing activeren. Als gebeurtenis 5136 wordt gecontroleerd, wordt bovendien een waarschuwing geactiveerd wanneer een van de kenmerken van het honeytoken is gewijzigd of als het groepslidmaatschap van het honeytoken is gewijzigd.

Zie Windows-gebeurtenisverzameling configureren voor meer informatie.

Defender for Identity release 2.190

Uitgebracht op 11 september 2022

• Evaluatie bijgewerkt: Niet-beveiligde domeinconfiguraties
  De niet-beveiligde domeinconfiguratie-evaluatie die beschikbaar is via Microsoft Secure Score beoordeelt nu de configuratie van het LDAP-handtekeningbeleid voor domeincontrollers en waarschuwingen als er een onbeveiligde configuratie wordt gevonden. Zie Beveiligingsevaluatie: Niet-beveiligde domeinconfiguraties voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.189

Uitgebracht op 4 september 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Augustus 2022

Defender for Identity release 2.188

Uitgebracht op 28 augustus 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.187

Uitgebracht op 18 augustus 2022

• We hebben enkele van de logica gewijzigd achter de wijze waarop we de waarschuwing verdachte DCSync-aanval (replicatie van adreslijstservices) (externe id 2006) activeren. Deze detector behandelt nu gevallen waarin het bron-IP-adres dat door de sensor wordt gezien, een NAT-apparaat lijkt te zijn.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.186

Uitgebracht op 10 augustus 2022

• Statuswaarschuwingen tonen nu de FQDN (Fully Qualified Domain Name) van de sensor in plaats van de NetBIOS-naam.

• Er zijn nieuwe statuswaarschuwingen beschikbaar voor het vastleggen van het onderdeeltype en de configuratie, zoals beschreven op de pagina statuswaarschuwingen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Juli 2022

Defender for Identity release 2.185

Uitgebracht op 18 juli 2022

• Er is een probleem opgelost waarbij vermoedelijk Golden Ticket-gebruik (niet-bestaand account) (externe id 2027) macOS-apparaten ten onrechte zou detecteren.

• Gebruikersacties: We hebben besloten om de actie Gebruiker uitschakelen op de gebruikerspagina te verdelen in twee verschillende acties:

  • Gebruiker uitschakelen: hiermee wordt de gebruiker op Active Directory-niveau uitgeschakeld
  • Gebruiker onderbreken, waardoor de gebruiker wordt uitgeschakeld op het Niveau van Microsoft Entra-id

  We begrijpen dat de tijd die nodig is om te synchroniseren van Active Directory naar Microsoft Entra ID cruciaal kan zijn, dus nu kunt u ervoor kiezen om gebruikers in de ene na de andere uit te schakelen, om de afhankelijkheid van de synchronisatie zelf te verwijderen. Houd er rekening mee dat een gebruiker die alleen in Microsoft Entra ID is uitgeschakeld, wordt overschreven door Active Directory, als de gebruiker daar nog actief is.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.184

Uitgebracht op 10 juli 2022

• Nieuwe beveiligingsevaluaties
  Defender for Identity bevat nu de volgende nieuwe beveiligingsevaluatie:

  • Niet-beveiligde domeinconfiguraties
    Microsoft Defender for Identity bewaakt uw omgeving continu om domeinen te identificeren met configuratiewaarden die een beveiligingsrisico blootstellen, en rapporteert over deze domeinen om u te helpen bij het beveiligen van uw omgeving. Zie Beveiligingsevaluatie: Niet-beveiligde domeinconfiguraties voor meer informatie.

• Het Defender for Identity-installatiepakket installeert nu het Npcap-onderdeel in plaats van de WinPcap-stuurprogramma's. Zie WinPcap- en Npcap-stuurprogramma's voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Juni 2022

Defender for Identity release 2.183.15436.10558 (Hotfix)

Uitgebracht op 20 juni 2022 (bijgewerkt op 4 juli 2022)

• Nieuwe beveiligingswaarschuwing: Verdachte DFSCoerce-aanval met behulp van Distributed File System Protocol
  In reactie op het publiceren van een recent aanvalsprogramma dat gebruikmaakt van een stroom in het DFS-protocol, activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller deze aanvalsmethode gebruikt. Lees het blogbericht voor meer informatie over deze aanval.

Defender for Identity release 2.183

Uitgebracht op 20 juni 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.182

Uitgebracht op 4 juni 2022

• Er is een nieuwe infopagina voor Defender for Identity beschikbaar. U vindt deze in de Microsoft Defender-portal onder Instellingen ->Identities ->About. Het biedt verschillende belangrijke informatie over uw Defender for Identity-exemplaar, waaronder de naam van het exemplaar, de versie, de id en de geolocatie van uw exemplaar. Deze informatie kan nuttig zijn bij het oplossen van problemen en het openen van ondersteuningstickets.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Mei 2022

Defender for Identity release 2.181

Uitgebracht op 22 mei 2022

• U kunt nu herstelacties rechtstreeks uitvoeren op uw on-premises accounts met behulp van Microsoft Defender for Identity.

  • Gebruiker uitschakelen: hiermee voorkomt u tijdelijk dat een gebruiker zich aanmeldt bij het netwerk. Het kan helpen voorkomen dat gecompromitteerde gebruikers zich lateraal verplaatsen en proberen gegevens te exfiltreren of het netwerk verder te compromitteren.
  • Gebruikerswachtwoord opnieuw instellen: hiermee wordt de gebruiker gevraagd om het wachtwoord bij de volgende aanmelding te wijzigen, zodat dit account niet kan worden gebruikt voor verdere imitatiepogingen.

  Deze acties kunnen worden uitgevoerd vanaf verschillende locaties in Microsoft Defender XDR: de gebruikerspagina, het deelvenster aan de gebruikerspagina, geavanceerde opsporing en zelfs aangepaste detecties. Hiervoor moet u een bevoegd gMSA-account instellen dat door Microsoft Defender for Identity wordt gebruikt om de acties uit te voeren. Zie Microsoft Defender for Identity-actieaccounts voor meer informatie over de vereisten.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.180

Uitgebracht op 12 mei 2022

• Nieuwe beveiligingswaarschuwing: Verdachte wijziging van een kenmerk dNSHostName (CVE-2022-26923)
  In reactie op het publiceren van een recente CVE activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert CVE-2022 -26923 te misbruiken. Lees het blogbericht voor meer informatie over deze aanval.

• In versie 2.177 hebben we extra LDAP-activiteiten uitgebracht die kunnen worden gedekt door Defender for Identity. Er is echter een fout gevonden waardoor de gebeurtenissen niet worden weergegeven en opgenomen in de Defender for Identity-portal. Dit is opgelost in deze release. Vanaf versie 2.180, wanneer u gebeurtenis-id 1644 inschakelt, krijgt u niet alleen inzicht in LDAP-activiteiten via Active Directory-webservices, maar ook andere LDAP-activiteiten omvatten de gebruiker die de LDAP-activiteit op de broncomputer heeft uitgevoerd. Dit geldt voor beveiligingswaarschuwingen en logische activiteiten die zijn gebaseerd op LDAP-gebeurtenissen.

• Als reactie op de recente KrbRelayUp-exploitatie hebben we een stille detector vrijgegeven om ons antwoord op deze exploitatie te evalueren. Met de stille detector kunnen we de effectiviteit van de detectie evalueren en informatie verzamelen op basis van gebeurtenissen die we verzamelen. Als deze detectie van hoge kwaliteit wordt weergegeven, geven we in de volgende versie een nieuwe beveiligingswaarschuwing uit.

• De naam van de uitvoering van externe code via DNS is gewijzigd in een poging tot uitvoering van externe code via DNS, omdat deze de logica achter deze beveiligingswaarschuwingen beter weerspiegelt.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.179

Uitgebracht op 1 mei 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

April 2022

Defender for Identity release 2.178

Uitgebracht op 10 april 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Maart 2022

Defender for Identity release 2.177

Uitgebracht op 27 maart 2022

• Microsoft Defender for Identity kan nu extra LDAP-query's in uw netwerk bewaken. Deze LDAP-activiteiten worden verzonden via het Active Directory-webserviceprotocol en fungeren als normale LDAP-query's. Als u inzicht wilt hebben in deze activiteiten, moet u gebeurtenis 1644 inschakelen op uw domeincontrollers. Deze gebeurtenis omvat LDAP-activiteiten in uw domein en wordt voornamelijk gebruikt om dure, inefficiënte of trage LDAP-zoekopdrachten (Lightweight Directory Access Protocol) te identificeren die worden onderhouden door Active Directory-domeincontrollers. Zie Verouderde configuraties voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.176

Uitgebracht op 16 maart 2022

• Vanaf deze versie wordt bij het installeren van de sensor vanuit een nieuw pakket de versie van de sensor onder Programma's toevoegen/verwijderen weergegeven met het volledige versienummer (bijvoorbeeld 2.176.x.y), in plaats van de statische 2.0.0.0.0 die eerder werd weergegeven. Deze versie wordt nog steeds weergegeven (de versie die via het pakket is geïnstalleerd), ook al wordt de versie bijgewerkt via de automatische updates van de Defender for Identity-cloudservices. De echte versie is te zien op de pagina sensorinstellingen in de portal, in het uitvoerbare pad of in de bestandsversie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.175

Uitgebracht op 6 maart 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Februari 2022

Defender for Identity release 2.174

Uitgebracht op 20 februari 2022

• We hebben de SHOST-FQDN van het account dat is betrokken bij de waarschuwing toegevoegd aan het bericht dat naar de SIEM is verzonden. Zie microsoft Defender for Identity SIEM-logboekverwijzing voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.173

Uitgebracht op 13 februari 2022

• Alle functies van Microsoft Defender for Identity zijn nu beschikbaar in de Microsoft Defender-portal. Zie dit blogbericht voor meer informatie.

• In deze release worden problemen opgelost bij het installeren van de sensor in Windows Server 2019 met KB5009557 geïnstalleerd of op een server met beperkte EventLog-machtigingen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.172

Uitgebracht op 8 februari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Januari 2022

Defender for Identity release 2.171

Uitgebracht op 31 januari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.170

Uitgebracht op 24 januari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.169

Uitgebracht op 17 januari 2022

• We geven graag de mogelijkheid vrij om een actieaccount voor Microsoft Defender for Identity te configureren. Dit is de eerste stap in de mogelijkheid om rechtstreeks vanuit het product acties uit te voeren voor gebruikers. Als eerste stap kunt u het gMSA-account definiëren dat Microsoft Defender for Identity gebruikt om de acties uit te voeren. We raden u ten zeerste aan om te beginnen met het maken van deze gebruikers om te genieten van de functie Acties zodra deze live is. Zie Actieaccounts beheren voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.168

Uitgebracht op 9 januari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

December 2021

Defender for Identity release 2.167

Uitgebracht op 29 december 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.166

Uitgebracht op 27 december 2021

• Versie bevat een nieuwe beveiligingswaarschuwing: Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) (externe id 2419).
  In reactie op de publicatie van recente CVE's activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller cve-2021-42278 en CVE-2021-42287 probeert te exploiteren. Lees het blogbericht voor meer informatie over deze aanval.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.165

Uitgebracht op 6 december 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

November 2021

Defender for Identity-release 2.164

Uitgebracht op 17 november 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.163

Uitgebracht op 8 november 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.162

Uitgebracht op 1 november 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

September 2021

Defender for Identity release 2.161

Uitgebracht op 12 september 2021

• De versie bevat nieuwe bewaakte activiteit: het wachtwoord van het gMSA-account is opgehaald door een gebruiker. Zie Microsoft Defender for Identity-bewaakte activiteiten voor meer informatie
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Augustus 2021

Defender for Identity release 2.160

Uitgebracht op 22 augustus 2021

• De versie bevat verschillende verbeteringen en behandelt meer scenario's op basis van de meest recente wijzigingen in de PetitPotam-exploitatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.159

Uitgebracht op 15 augustus 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.
• Versie bevat een verbetering van de zojuist gepubliceerde waarschuwing: Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416).
  We hebben de ondersteuning voor deze detectie uitgebreid om te activeren wanneer een potentiële aanvaller communiceert via een versleutelde EFS-RPCchannel. Waarschuwingen die worden geactiveerd wanneer het kanaal wordt versleuteld, worden behandeld als een waarschuwing met gemiddelde ernst, in plaats van Hoog wanneer het niet is versleuteld. Zie Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416) voor meer informatie over de waarschuwing.

Defender for Identity release 2.158

Uitgebracht op 8 augustus 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

• Versie bevat een nieuwe beveiligingswaarschuwing: Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416).
  In deze detectie activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller de EFS-RPC probeert uit te voeren op de domeincontroller. Deze aanvalsvector is gekoppeld aan de recente PetitPotam-aanval. Zie Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416) voor meer informatie over de waarschuwing.

• Versie bevat een nieuwe beveiligingswaarschuwing: Uitvoering van externe code van Exchange Server (CVE-2021-26855) (externe id 2414)
  In deze detectie activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert het kenmerk msExchExternalHostName op het Exchange-object te wijzigen voor uitvoering van externe code. Zie Exchange Server Remote Code Execution (CVE-2021-26855) (externe id 2414) voor meer informatie over deze waarschuwing. Deze detectie is afhankelijk van Windows-gebeurtenis 4662, dus deze moet vooraf worden ingeschakeld. Zie Windows-gebeurtenisverzameling configureren en verzamelen voor informatie over het configureren en verzamelen van deze gebeurtenis en volg de instructies voor het inschakelen van controle op een Exchange-object.

Defender for Identity release 2.157

Uitgebracht op 1 augustus 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Juli 2021

Defender for Identity-release 2.156

Uitgebracht op 25 juli 2021

• Vanaf deze versie voegen we het uitvoerbare npcap-stuurprogramma toe aan het sensorinstallatiepakket. Zie WinPcap- en Npcap-stuurprogramma's voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.155

Uitgebracht op 18 juli 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.154

Uitgebracht op 11 juli 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.
• De versie bevat extra verbeteringen en detecties voor de afdruk-spooler-exploitatie, ook wel PrintNightmare-detectie genoemd, om meer aanvalsscenario's te behandelen.

Defender for Identity release 2.153

Uitgebracht op 4 juli 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

• Versie bevat een nieuwe beveiligingswaarschuwing: Vermoedelijke exploitatiepoging van Windows Print Spooler-service (CVE-2021-34527-exploitatie) (externe id 2415).

  In deze detectie activeert Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert de Windows Print Spooler-service te misbruiken op de domeincontroller. Deze aanvalsvector is gekoppeld aan de exploitatie van de afdrukspooler en staat bekend als PrintNightmare. Meer informatie over deze waarschuwing.

Juni 2021

Defender for Identity release 2.152

Uitgebracht op 27 juni 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.151

Uitgebracht op 20 juni 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity-release 2.150

Uitgebracht op 13 juni 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Mei 2021

Defender for Identity release 2.149

Uitgebracht op 31 mei 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.148

Uitgebracht op 23 mei 2021

• Als u gebeurtenis-id 4662 configureert en verzamelt , rapporteert Defender for Identity welke gebruiker de USN (Update Sequence Number) heeft gewijzigd in verschillende Eigenschappen van Active Directory-object. Als bijvoorbeeld een accountwachtwoord wordt gewijzigd en gebeurtenis 4662 is ingeschakeld, wordt bij de gebeurtenis vastgelegd wie het wachtwoord heeft gewijzigd.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.147

Uitgebracht op 9 mei 2021

• Op basis van feedback van klanten verhogen we het standaardaantal toegestane sensoren van 200 tot 350 en de referenties van Directory Services van 10 tot 30.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.146

Uitgebracht op 2 mei 2021

• E-mailmeldingen voor statusproblemen en beveiligingswaarschuwingen hebben nu de onderzoeks-URL voor zowel Microsoft Defender for Identity als Microsoft Defender XDR.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

April 2021

Defender for Identity release 2.145

Uitgebracht op 22 april 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.144

Uitgebracht op 12 april 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Maart 2021

Defender for Identity release 2.143

Uitgebracht op 14 maart 2021

• We hebben Windows Event 4741 toegevoegd om computeraccounts te detecteren die zijn toegevoegd aan Active Directory-activiteiten . Configureer de nieuwe gebeurtenis die moet worden verzameld door Defender for Identity. Zodra deze is geconfigureerd, zijn verzamelde gebeurtenissen beschikbaar om te bekijken in het activiteitenlogboek en de Geavanceerde opsporing van Microsoft Defender XDR.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity-release 2.142

Uitgebracht op 7 maart 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Februari 2021

Defender for Identity release 2.141

Uitgebracht op 21 februari 2021

• Nieuwe beveiligingswaarschuwing: Verdachte AS-REP-brandaanval (externe id 2412)
  Defender for Identity's Verdachte AS-REP Roasting-aanval (externe ID 2412) is nu beschikbaar. In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer een aanvaller zich richt op accounts met uitgeschakelde Kerberos-verificatie en probeert Kerberos TGT-gegevens te verkrijgen. De bedoeling van de aanvaller kan zijn om de referenties uit de gegevens te extraheren met behulp van offline aanvallen voor het kraken van wachtwoorden. Zie Kerberos AS-REP Roosterblootstelling (externe id 2412) voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.140

Uitgebracht op 14 februari 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Januari 2021

Defender for Identity release 2.139

Uitgebracht op 31 januari 2021

• We hebben de ernst voor de verdachte Kerberos SPN-blootstelling aan hoog bijgewerkt om de impact van de waarschuwing beter weer te geven. Zie Verdachte Kerberos SPN-blootstelling (externe id 2410) voor meer informatie over de waarschuwing .
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.138

Uitgebracht op 24 januari 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.137

Uitgebracht op 17 januari 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.136

Uitgebracht op 3 januari 2021

• Defender for Identity ondersteunt nu het installeren van sensoren op AD FS-servers (Active Directory Federation Services). Het installeren van de sensor op compatibele AD FS-servers breidt de zichtbaarheid van Microsoft Defender for Identity uit in de hybride omgeving door dit essentiële infrastructuuronderdeel te bewaken. We hebben ook enkele van onze bestaande detecties vernieuwd (verdachte service maken, verdachte beveiligingsaanval (LDAP), verkenning van accountinventarisatie) om ook te werken aan AD FS-gegevens. Als u de implementatie van de Microsoft Defender for Identity-sensor voor AD FS-server wilt starten, downloadt u het meest recente implementatiepakket vanaf de pagina sensorconfiguratie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

December 2020

Defender for Identity release 2.135

Uitgebracht op 20 december 2020

• We hebben onze Active Directory-kenmerken reconnaissance (LDAP) (externe ID 2210) -waarschuwing verbeterd om ook technieken te detecteren die worden gebruikt om de benodigde informatie te verkrijgen om beveiligingstokens te genereren, zoals gezien als onderdeel van de Solorigate-campagne.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.134

Uitgebracht op 13 december 2020

• Onze onlangs uitgebrachte NetLogon-detector is verbeterd om ook te werken wanneer de Netlogon-kanaaltransactie plaatsvindt via een versleuteld kanaal. Zie Suspected Netlogon privilege elevation attempt voor meer informatie over de detector.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.133

Uitgebracht op 6 december 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

November 2020

Defender for Identity release 2.132

Uitgebracht op 17 november 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.131

Uitgebracht op 8 november 2020

• Nieuwe beveiligingswaarschuwing: Verdachte Kerberos SPN-blootstelling (externe id 2410)
  Defender for Identity's Verdachte Kerberos SPN-blootstelling (externe id 2410) is nu beschikbaar. In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer een aanvaller serviceaccounts en hun respectieve SPN's opsommen en vervolgens Kerberos TGS-tickets voor de services aanvraagt. De bedoeling van de aanvaller kan zijn om de hashes uit de tickets te extraheren en op te slaan voor later gebruik in offline brute force-aanvallen. Zie Kerberos SPN-blootstelling voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

October 2020

Defender for Identity release 2.130

Uitgebracht op 25 oktober 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.129

Uitgebracht op 18 oktober 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

September 2020

Azure ATP-release 2.128

Uitgebracht op 27 september 2020

• Configuratie van e-mailmeldingen gewijzigd
  We verwijderen de wisselknop voor e-mailmeldingen voor het inschakelen van e-mailmeldingen. Als u e-mailmeldingen wilt ontvangen, voegt u gewoon een adres toe. Zie Meldingen instellen voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.127

Uitgebracht op 20 september 2020

• Nieuwe beveiligingswaarschuwing: Verdachte uitbreidingspoging van Netlogon-bevoegdheden (externe id 2411)
  De beveiligingswaarschuwing voor verdachte Netlogon-bevoegdheden van Azure ATP (CVE-2020-1472-exploitatie) (externe id 2411) is nu beschikbaar. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer een aanvaller een kwetsbare Netlogon-beveiligde kanaalverbinding tot stand brengt met een domeincontroller, met behulp van het Netlogon Remote Protocol (MS-NRPC), ook wel bekend als Netlogon-beveiligingsprobleem met betrekking tot onrechtmatige bevoegdheden. Zie Suspected Netlogon privilege elevation attempt voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.126

Uitgebracht op 13 september 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.125

Uitgebracht op 6 september 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Augustus 2020

Azure ATP-release 2.124

Uitgebracht op 30 augustus 2020

• Nieuwe beveiligingswaarschuwingen
  Azure ATP-beveiligingswaarschuwingen bevatten nu de volgende nieuwe detecties:
  • Active Directory-kenmerken reconnaissance (LDAP) (externe id 2210)
    In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer een aanvaller vermoedt dat ze kritieke informatie over het domein kunnen verkrijgen voor gebruik in hun kill chain voor aanvallen. Zie Reconnaissance van Active Directory-kenmerken voor meer informatie.
  • Verdacht kerberos-certificaatgebruik (externe id 2047)
    In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer een aanvaller die controle heeft verkregen over de organisatie, wordt vermoed dat de server van de certificeringsinstantie certificaten genereert die kunnen worden gebruikt als backdoor-accounts in toekomstige aanvallen, zoals later verplaatsen in uw netwerk. Zie Verdachte rogue Kerberos-certificaatgebruik voor meer informatie.
  • Vermoedelijk golden ticketgebruik (ticketafwijking met RBCD) (externe id 2040)
    Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket voor tickettoekenning (TGT) maken dat autorisatie biedt voor elke resource.
    Deze vervalste TGT wordt een 'Golden Ticket' genoemd omdat aanvallers duurzame netwerkpersistentie kunnen bereiken met behulp van RBCD (Resource Based Constrained Delegation). Gesmede Golden Tickets van dit type hebben unieke kenmerken die deze nieuwe detectie is ontworpen om te identificeren. Zie Suspected golden ticket usage (ticket anomalie using RBCD) voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.123

Uitgebracht op 23 augustus 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.122

Uitgebracht op 16 augustus 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.121

Uitgebracht op 2 augustus 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Juli 2020

Azure ATP-release 2.120

Uitgebracht op 26 juli 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.119

Uitgebracht op 5 juli 2020

• Functieverbetering: tabblad Nieuwe uitgesloten domeincontrollers in Excel-rapport
  Om de nauwkeurigheid van de berekening van de domeincontrollerdekking te verbeteren, sluiten we domeincontrollers met externe vertrouwensrelaties uit de berekening uit tot een dekking van 100%. Uitgesloten domeincontrollers worden weergegeven op het nieuwe tabblad uitgesloten domeincontrollers in de excel-rapportdownload van de domeindekking. Zie de status van de domeincontroller voor informatie over het downloaden van het rapport.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Juni 2020

Azure ATP-release 2.118

Uitgebracht op 28 juni 2020

• Nieuwe beveiligingsevaluaties
  Azure ATP-beveiligingsevaluaties bevatten nu de volgende nieuwe evaluaties:

  • Riskante laterale verplaatsingspaden
    Met deze evaluatie wordt uw omgeving continu bewaakt om gevoelige accounts te identificeren met de meest riskante laterale verplaatsingspaden die een beveiligingsrisico blootleggen, en rapporteert over deze accounts om u te helpen bij het beheren van uw omgeving. Paden worden als riskant beschouwd als ze drie of meer niet-gevoelige accounts hebben die het gevoelige account kunnen blootstellen aan referentiediefstal door kwaadwillende actoren. Zie Beveiligingsevaluatie: Riskantste laterale verplaatsingspaden (LMP) voor meer informatie.
  • Onbeveiligde accountkenmerken
    Deze evaluatie van Azure ATP bewaakt uw omgeving continu om accounts te identificeren met kenmerkwaarden die een beveiligingsrisico blootstellen en rapporteert over deze accounts om u te helpen bij het beveiligen van uw omgeving. Zie Beveiligingsevaluatie: Niet-beveiligde accountkenmerken voor meer informatie.

• Bijgewerkte vertrouwelijkheidsdefinitie
  We breiden onze vertrouwelijkheidsdefinitie voor on-premises accounts uit om entiteiten op te nemen die gebruikmaken van Active Directory-replicatie.

Azure ATP-release 2.117

Uitgebracht op 14 juni 2020

• Functieverbetering: Aanvullende activiteitsgegevens die beschikbaar zijn in de geïntegreerde SecOps-ervaring
  We hebben de apparaatgegevens uitgebreid die we verzenden naar Defender voor Cloud-apps, waaronder apparaatnamen, IP-adressen, UPN's van accounts en gebruikte poort. Zie Azure ATP gebruiken met Defender voor Cloud Apps voor meer informatie over onze integratie met Defender voor Cloud Apps.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.116

Uitgebracht op 7 juni 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Mei 2020

Azure ATP-release 2.115

Uitgebracht op 31 mei 2020

• Nieuwe beveiligingsevaluaties
  Azure ATP-beveiligingsevaluaties bevatten nu de volgende nieuwe evaluaties:

  • Onbeveiligde SID-geschiedeniskenmerken
    Deze evaluatie rapporteert over SID-geschiedeniskenmerken die kunnen worden gebruikt door kwaadwillende aanvallers om toegang te krijgen tot uw omgeving. Zie Beveiligingsevaluatie: Onbeveiligde SID-geschiedeniskenmerken voor meer informatie.
  • Microsoft LAPS-gebruik
    Deze evaluatie rapporteert over lokale beheerdersaccounts die niet gebruikmaken van de 'Local Administrator Password Solution' (LAPS) van Microsoft om hun wachtwoorden te beveiligen. Het gebruik van LAPS vereenvoudigt wachtwoordbeheer en beschermt ook tegen cyberaanvallen. Zie Beveiligingsevaluatie: Microsoft LAPS-gebruik voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.114

Uitgebracht op 17 mei 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.113

Uitgebracht op 5 mei 2020

• Functieverbetering: Verrijkte resourcetoegangsactiviteit met NTLMv1
  Vanaf deze versie biedt Azure ATP nu informatie over resourcetoegangsactiviteiten die aangeven of de resource gebruikmaakt van NTLMv1-verificatie. Deze resourceconfiguratie is onbeveiligd en vormt een risico dat kwaadwillende actoren de toepassing in hun voordeel kunnen dwingen. Zie Het gebruik van verouderde protocollen voor meer informatie over het risico.

• Functieverbetering: Waarschuwing verdachte Beveiligingsaanval (Kerberos, NTLM)
  Brute Force-aanvallen worden door aanvallers gebruikt om een voet aan de grond te krijgen in uw organisatie en is een belangrijke methode voor bedreigings- en risicodetectie in Azure ATP. Om u te helpen zich te concentreren op de kritieke risico's voor uw gebruikers, maakt deze update het eenvoudiger en sneller om risico's te analyseren en op te lossen door het aantal waarschuwingen te beperken en te prioriteren.

Maart 2020

Azure ATP-release 2.112

Uitgebracht op 15 maart 2020

• Nieuwe Azure ATP-exemplaren worden automatisch geïntegreerd met Microsoft Defender voor Cloud Apps
  Wanneer u een Azure ATP-exemplaar (voorheen exemplaar) maakt, is de integratie met Microsoft Defender voor Cloud Apps standaard ingeschakeld. Zie Azure ATP gebruiken met Microsoft Defender voor Cloud Apps voor meer informatie over de integratie.

• Nieuwe bewaakte activiteiten
  De volgende activiteitsmonitors zijn nu beschikbaar:

  • Interactieve aanmelding met certificaat

  • Aanmelden met certificaat is mislukt

  • Gedelegeerde resourcetoegang

    Meer informatie over welke activiteiten Azure ATP bewaakt en hoe u bewaakte activiteiten filtert en doorzoekt in de portal.

• Functieverbetering: Activiteit voor verrijkte resourcetoegang
  Vanaf deze versie biedt Azure ATP nu informatie voor resourcetoegangsactiviteiten die aangeven of de resource wordt vertrouwd voor niet-getrainde delegatie. Deze resourceconfiguratie is onbeveiligd en vormt een risico dat kwaadwillende actoren de toepassing in hun voordeel kunnen dwingen. Zie Beveiligingsevaluatie: Onbeveiligde Kerberos-delegatie voor meer informatie over het risico.

• Verdachte SMB-pakketmanipulatie (CVE-2020-0796-exploitatie) - (preview)
  De beveiligingswaarschuwing voor verdachte SMB-pakketmanipulatie van Azure ATP is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer SMBv3-pakket vermoedt dat het beveiligingsprobleem CVE-2020-0796 wordt misbruikt tegen een domeincontroller in het netwerk.

Azure ATP-release 2.111

Uitgebracht op 1 maart 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Februari 2020

Azure ATP-release 2.110

Uitgebracht op 23 februari 2020

• Nieuwe beveiligingsevaluatie: Niet-bewaakte domeincontrollers
  Azure ATP-beveiligingsevaluaties bevatten nu een rapport over niet-bewaakte domeincontrollers, servers zonder sensor, om u te helpen bij het beheren van de volledige dekking van uw omgeving. Zie Niet-bewaakte domeincontrollers voor meer informatie.

Azure ATP-release 2.109

Uitgebracht op 16 februari 2020

• Functieverbetering: Gevoelige entiteiten
  Vanaf deze versie (2.109) worden computers die zijn geïdentificeerd als certificeringsinstantie, DHCP of DNS-servers van Azure ATP, nu automatisch gelabeld als Gevoelig.

Azure ATP-release 2.108

Uitgebracht op 9 februari 2020

• Nieuwe functie: ondersteuning voor beheerde serviceaccounts voor groepen
  Azure ATP biedt nu ondersteuning voor het gebruik van door groepen beheerde serviceaccounts (gMSA) voor verbeterde beveiliging bij het verbinden van Azure ATP-sensoren met uw Microsoft Entra-forests. Zie Verbinding maken met uw Active Directory-forest voor meer informatie over het gebruik van gMSA met Azure ATP-sensoren.

• Functieverbetering: Gepland rapport met te veel gegevens
  Wanneer een gepland rapport te veel gegevens bevat, informeert het e-mailbericht u nu over het feit door de volgende tekst weer te geven: Er waren te veel gegevens tijdens de opgegeven periode om een rapport te genereren. Dit vervangt het vorige gedrag om alleen het feit te detecteren nadat u op de rapportkoppeling in het e-mailbericht hebt geklikt.

• Functieverbetering: Bijgewerkte dekkingslogica voor domeincontrollers
  We hebben de rapportlogica van de domeincontrollerdekking bijgewerkt met aanvullende informatie van Microsoft Entra ID, wat resulteert in een nauwkeurigere weergave van domeincontrollers zonder sensoren erop. Deze nieuwe logica moet ook een positief effect hebben op de bijbehorende Microsoft Secure Score.

Azure ATP-release 2.107

Uitgebracht op 3 februari 2020

• Nieuwe bewaakte activiteit: WIJZIGING VAN SID-geschiedenis
  Sid-geschiedeniswijziging is nu een bewaakte en filterbare activiteit. Meer informatie over welke activiteiten Azure ATP bewaakt en hoe u bewaakte activiteiten filtert en doorzoekt in de portal.

• Functieverbetering: gesloten of onderdrukte waarschuwingen worden niet meer opnieuw geopend
  Zodra een waarschuwing is gesloten of onderdrukt in de Azure ATP-portal, wordt er binnen een korte periode een nieuwe waarschuwing geopend als dezelfde activiteit opnieuw wordt gedetecteerd. Voorheen werd de waarschuwing onder dezelfde voorwaarden opnieuw geopend.

• TLS 1.2 vereist voor portaltoegang en sensoren
  TLS 1.2 is nu vereist voor het gebruik van Azure ATP-sensoren en de cloudservice. Toegang tot de Azure ATP-portal is niet langer mogelijk met browsers die TLS 1.2 niet ondersteunen.

Januari 2020

Azure ATP-release 2.106

Uitgebracht op 19 januari 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.105

Uitgebracht op 12 januari 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

December 2019

Azure ATP-release 2.104

Uitgebracht op 23 december 2019

• Verloop van sensorversie is geëlimineerd
  Azure ATP-sensorimplementatie- en sensorinstallatiepakketten verlopen niet meer na een aantal versies en worden nu slechts één keer bijgewerkt. Het resultaat van deze functie is dat eerder gedownloade sensorinstallatiepakketten nu kunnen worden geïnstalleerd, zelfs als ze ouder zijn dan ons maximum aantal verlopen versies.

• Inbraak bevestigen
  U kunt nu het compromis van specifieke Microsoft 365-gebruikers bevestigen en hun risiconiveau op hoog instellen. Met deze werkstroom kunnen uw beveiligingsteams een andere reactiemogelijkheid gebruiken om de drempelwaarden voor time-to-resolve van beveiligingsincidenten te verminderen. Meer informatie over het bevestigen van inbreuk met behulp van Azure ATP en Defender voor Cloud Apps.

• Banner voor nieuwe ervaring
  Op azure ATP-portalpagina's waar een nieuwe ervaring beschikbaar is in de portal Defender voor Cloud Apps, worden nieuwe banners weergegeven waarin wordt beschreven wat er beschikbaar is met toegangskoppelingen.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.103

Uitgebracht op 15 december 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.102

Uitgebracht op 8 december 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

November 2019

Azure ATP-release 2.101

Uitgebracht op 24 november 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.100

Uitgebracht op 17 november 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.99

Uitgebracht op 3 november 2019

• Functieverbetering: Er is een melding van de gebruikersinterface toegevoegd over de beschikbaarheid van Defender voor Cloud Apps-portal in de Azure ATP-portal
  Ervoor zorgen dat alle gebruikers op de hoogte zijn van de beschikbaarheid van de verbeterde functies die beschikbaar zijn via de portal Defender voor Cloud Apps, is er een melding toegevoegd voor de portal vanuit de bestaande tijdlijn voor Azure ATP-waarschuwingen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Oktober 2019

Azure ATP-release 2.98

Uitgebracht op 27 oktober 2019

• Functieverbetering: Waarschuwing voor verdachte beveiligingsaanvallen
  Verbeterde SMB-waarschuwing (Suspected Brute Force Attack) met behulp van aanvullende analyse en verbeterde detectielogica om goedaardige terecht-positieve (B-TP) en fout-positieve (FP) waarschuwingsresultaten te verminderen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.97

Uitgebracht op 6 oktober 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

September 2019

Azure ATP-release 2.96

Uitgebracht op 22 september 2019

• Verrijkte NTLM-verificatiegegevens met Windows Event 8004
  Azure ATP-sensoren kunnen nu automatisch de activiteiten van NTLM-verificaties lezen en verrijken met uw geopende servergegevens wanneer NTLM-controle is ingeschakeld en Windows Event 8004 is ingeschakeld. Azure ATP parseert Windows Event 8004 voor NTLM-verificaties om de NTLM-verificatiegegevens te verrijken die worden gebruikt voor azure ATP-bedreigingsanalyse en -waarschuwingen. Deze verbeterde mogelijkheid biedt resourcetoegangsactiviteiten via NTLM-gegevens en verrijkte mislukte aanmeldingsactiviteiten, waaronder de doelcomputer waartoe de gebruiker heeft geprobeerd maar geen toegang heeft.

  Meer informatie over NTLM-verificatieactiviteiten met Windows Event 8004.

• De versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.95

Uitgebracht op 15 september 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.94

Uitgebracht op 8 september 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.93

Uitgebracht op 1 september 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Augustus 2019

Azure ATP-release 2.92

Uitgebracht op 25 augustus 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.91

Uitgebracht op 18 augustus 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.90

Uitgebracht op 11 augustus 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.89

Uitgebracht op 4 augustus 2019

• Verbeteringen van sensormethode
  Om overtollige NTLM-verkeersgeneratie te voorkomen bij het maken van nauwkeurige LMP-evaluaties (Lateral Movement Path), zijn er verbeteringen aangebracht in Azure ATP-sensormethoden om minder afhankelijk te zijn van NTLM-gebruik en het aanzienlijker gebruik te maken van Kerberos.

• Waarschuwingsverbetering: Verdacht Golden Ticket-gebruik (niet-bestaand account)
  Sam-naamwijzigingen zijn toegevoegd aan de ondersteunende bewijstypen die in dit type waarschuwing worden vermeld. Zie Verdacht Golden Ticket-gebruik (niet-bestaand account) voor meer informatie over de waarschuwing, waaronder hoe u dit type activiteit kunt voorkomen en herstellen.

• Algemene beschikbaarheid: Verdachte manipulatie van NTLM-verificatie
  De waarschuwing voor verdachte manipulatie van NTLM-verificatie bevindt zich niet meer in de preview-modus en is nu algemeen beschikbaar.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Juli 2019

Azure ATP-release 2.88

Uitgebracht op 28 juli 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.87

Uitgebracht op 21 juli 2019

• Functieverbetering: Geautomatiseerde Syslog-gebeurtenisverzameling voor zelfstandige Azure ATP-sensoren
  Binnenkomende Syslog-verbindingen voor zelfstandige Azure ATP-sensoren zijn nu volledig geautomatiseerd, terwijl de wisseloptie uit het configuratiescherm wordt verwijderd. Deze wijzigingen hebben geen effect op uitgaande Syslog-verbindingen.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.86

Uitgebracht op 14 juli 2019

• Nieuwe beveiligingswaarschuwing: Verdachte manipulatie van NTLM-verificatie (externe id 2039)
  De nieuwe beveiligingswaarschuwing voor verdachte NTLM-verificatie van Azure ATP is nu in openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer het gebruik van een man-in-the-middle-aanval wordt vermoed dat NTLM Message Integrity Check (MIC) wordt overgeslagen, een beveiligingsprobleem dat wordt beschreven in Microsoft CVE-2019-040. Deze typen aanvallen proberen NTLM-beveiligingsfuncties te downgraden en te verifiëren, met het ultieme doel om succesvolle zijwaartse verplaatsingen te maken.

• Functieverbetering: Identificatie van verrijkt apparaatbesturingssysteem
  Tot nu toe heeft Azure ATP informatie over het besturingssysteem voor entiteitsapparaten verstrekt op basis van het beschikbare kenmerk in Active Directory. Als informatie over het besturingssysteem voorheen niet beschikbaar was in Active Directory, was de informatie ook niet beschikbaar op azure ATP-entiteitspagina's. Vanaf deze versie biedt Azure ATP nu deze informatie voor apparaten waarop Active Directory niet beschikt over de informatie, of die niet zijn geregistreerd in Active Directory, met behulp van identificatiemethoden voor verrijkt apparaatbesturingssysteem.

  Door de toevoeging van verrijkte apparaatbesturingssysteemidentificatiegegevens kunt u niet-geregistreerde en niet-Windows-apparaten identificeren, terwijl u tegelijkertijd hulp krijgt bij uw onderzoeksproces. Zie Understanding Network Name Resolution (NNR) voor meer informatie over netwerknaamomzetting in Azure ATP.

• Nieuwe functie: geverifieerde proxy - preview
  Azure ATP ondersteunt nu geverifieerde proxy. Geef de proxy-URL op met behulp van de opdrachtregel van de sensor en geef gebruikersnaam/wachtwoord op voor het gebruik van proxy's waarvoor verificatie is vereist. Zie De proxy configureren voor meer informatie over het gebruik van geverifieerde proxy.

• Functieverbetering: Geautomatiseerd proces voor domeinsynchronisatie
  Het proces van het toewijzen en taggen van domeincontrollers als kandidaten voor domeinsynchronisatieprogramma's tijdens de installatie en doorlopende configuratie is nu volledig geautomatiseerd. De wisseloptie voor het handmatig selecteren van domeincontrollers als kandidaten voor domeinsynchronisatieroutines wordt verwijderd.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.85

Uitgebracht op 7 juli 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.84

Uitgebracht op 1 juli 2019

• Ondersteuning voor nieuwe locaties: Azure UK-datacenter
  Azure ATP-exemplaren worden nu ondersteund in het Azure UK-datacenter. Zie stap 1 van de Azure ATP-installatie voor meer informatie over het maken van Azure ATP-exemplaren en de bijbehorende datacentrumlocaties.

• Functieverbetering: Nieuwe naam en functies voor verdachte toevoegingen aan waarschuwing voor gevoelige groepen (externe id 2024)
  De waarschuwing verdachte toevoegingen aan gevoelige groepen werden eerder de verdachte wijzigingen in de waarschuwing voor gevoelige groepen genoemd. De externe id van de waarschuwing (id 2024) blijft hetzelfde. De beschrijvende naamwijziging geeft nauwkeuriger het doel weer van waarschuwingen bij toevoegingen aan uw gevoelige groepen. De verbeterde waarschuwing bevat ook nieuwe bewijzen en verbeterde beschrijvingen. Zie Verdachte toevoegingen aan gevoelige groepen voor meer informatie.

• Nieuwe documentatiefunctie: Handleiding voor het overstappen van Advanced Threat Analytics naar Azure ATP
  Dit nieuwe artikel bevat vereisten, planningsrichtlijnen en configuratie- en verificatiestappen voor het overstappen van ATA naar Azure ATP-service. Zie Overstappen van ATA naar Azure ATP voor meer informatie.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

2019 juni

Azure ATP-release 2.83

Uitgebracht op 23 juni 2019

• Functieverbetering: Waarschuwing voor het maken van verdachte services (externe id 2026)
  Deze waarschuwing bevat nu een verbeterde waarschuwingspagina met extra bewijs en een nieuwe beschrijving. Zie De beveiligingswaarschuwing voor het maken van verdachte services voor meer informatie.

• Ondersteuning voor naamgeving van exemplaren: ondersteuning toegevoegd voor alleen het domeinvoorvoegsel voor cijfers
  Ondersteuning toegevoegd voor het maken van een Azure ATP-exemplaar met initiële domeinvoorvoegsels die alleen cijfers bevatten. Het gebruik van alleen eerste domeinvoorvoegsels van cijfers, zoals 123456.contoso.com worden nu ondersteund.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.82

Uitgebracht op 18 juni 2019

• Nieuwe openbare preview
  Het onderzoek naar identiteitsrisico's van Azure ATP is nu beschikbaar in openbare preview en is beschikbaar voor alle met Azure ATP beveiligde tenants. Zie de onderzoekservaring van Azure ATP Microsoft Defender voor Cloud Apps voor meer informatie.

• Algemene beschikbaarheid
  Azure ATP-ondersteuning voor niet-vertrouwde forests is nu algemeen beschikbaar. Zie Azure ATP voor meerdere forests voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.81

Uitgebracht op 10 juni 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.80

Uitgebracht op 2 juni 2019

• Functieverbetering: Waarschuwing voor verdachte VPN-verbinding
  Deze waarschuwing bevat nu verbeterde bewijzen en teksten voor betere bruikbaarheid. Zie de beschrijving van de waarschuwingswaarschuwing voor verdachte VPN-verbindingen voor meer informatie over waarschuwingsfuncties en voorgestelde herstelstappen en -preventie.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

mei 2019

Azure ATP-release 2.79

Uitgebracht op 26 mei 2019

• Algemene beschikbaarheid: Verkenning van beveiligingsprincipaal (LDAP) (externe id 2038)

  Deze waarschuwing is nu beschikbaar in algemene beschikbaarheid. Zie de beschrijving van de LDAP-waarschuwing (Security Principal Reconnaissance) voor meer informatie over de waarschuwing, waarschuwingsfuncties en voorgestelde herstel- en preventiefuncties

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.78

Uitgebracht op 19 mei 2019

• Functieverbetering: Gevoelige entiteiten
  Handmatige gevoelige tags voor Exchange-servers

  U kunt entiteiten nu handmatig taggen als Exchange-servers tijdens de configuratie.

  Een entiteit handmatig taggen als een Exchange-server:

  1. Selecteer Configuratie in de Azure ATP-portal.
  2. Selecteer onder Detectie entiteitstags en selecteer Vervolgens Gevoelig.
  3. Selecteer Exchange-servers en voeg vervolgens de entiteit toe die u wilt taggen.

  Na het taggen van een computer als een Exchange-server, wordt deze gemarkeerd als gevoelig en wordt weergegeven dat deze is gelabeld als een Exchange-server. De tag Gevoelig wordt weergegeven in het entiteitsprofiel van de computer en de computer wordt beschouwd in alle detecties die zijn gebaseerd op gevoelige accounts en laterale verplaatsingspaden.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.77

Uitgebracht op 12 mei 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.76

Uitgebracht op 6 mei 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

2019 april

Azure ATP-release 2.75

Uitgebracht op 28 april 2019

• Functieverbetering: Gevoelige entiteiten
  Vanaf deze versie (2.75) worden machines die door Azure ATP worden geïdentificeerd als Exchange-servers, nu automatisch gelabeld als Gevoelig.

  Entiteiten die automatisch worden gelabeld als Gevoelig omdat ze fungeren als Exchange-servers vermelden deze classificatie als de reden waarom ze zijn gelabeld.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.74

Release van 14 april 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.73

Uitgebracht op 10 april 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

maart 2019

Azure ATP-release 2.72

Uitgebracht op 31 maart 2019

• Uitbreiding van functies: Diepte van lateraal verplaatsingspad (LMP)
  Laterale verplaatsingspaden (LMP's) zijn een belangrijke methode voor detectie van bedreigingen en risico's in Azure ATP. Om de focus te houden op de kritieke risico's voor uw meest gevoelige gebruikers, maakt deze update het gemakkelijker en sneller om risico's te analyseren en op te lossen voor de gevoelige gebruikers op elke LMP door het bereik en de diepte van elke weergegeven grafiek te beperken.

  Zie Laterale verplaatsingspaden voor meer informatie over hoe Azure ATP LMP gebruikt om toegangsrisico's voor elke entiteit in uw omgeving weer te geven.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.71

Uitgebracht op 24 maart 2019

• Functieverbetering: statuswaarschuwingen voor netwerknaamomzetting (NNR)
  Statuswaarschuwingen zijn toegevoegd voor betrouwbaarheidsniveaus die zijn gekoppeld aan Azure ATP-beveiligingswaarschuwingen die zijn gebaseerd op NNR. Elke statuswaarschuwing bevat bruikbare en gedetailleerde aanbevelingen om lage NNR-slagingspercentages op te lossen.

  Zie Wat is Netwerknaamomzetting voor meer informatie over hoe Azure ATP NNR gebruikt en waarom het belangrijk is voor nauwkeurigheid van waarschuwingen.

• Serverondersteuning: ondersteuning toegevoegd voor Server 2019 met behulp van KB4487044
  Ondersteuning toegevoegd voor het gebruik van Windows Server 2019, met een patchniveau van KB4487044. Het gebruik van Server 2019 zonder de patch wordt niet ondersteund en wordt geblokkeerd vanaf deze update.

• Functieverbetering: uitsluiting van waarschuwingen op basis van gebruikers
  Uitgebreide opties voor het uitsluiten van waarschuwingen bieden nu de mogelijkheid om specifieke gebruikers van specifieke waarschuwingen uit te sluiten. Uitsluitingen kunnen situaties voorkomen waarbij bepaalde typen interne software herhaaldelijk goedaardige beveiligingswaarschuwingen worden geactiveerd of geconfigureerd.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.70

Uitgebracht op 17 maart 2019

• Functieverbetering: het betrouwbaarheidsniveau NNR (Network Name Resolution) dat is toegevoegd aan meerdere waarschuwingen , wordt gebruikt om de identiteit van de bronentiteit van verdachte aanvallen positief te identificeren. Door de NNR-betrouwbaarheidsniveaus toe te voegen aan azure ATP-waarschuwingsoverzichten, kunt u nu direct het niveau van NNR-betrouwbaarheid beoordelen en begrijpen met betrekking tot de mogelijke geïdentificeerde bronnen en op de juiste manier herstellen.

  Er is bewijs op het betrouwbaarheidsniveau NNR toegevoegd aan de volgende waarschuwingen:

  • Reconnaissance voor netwerktoewijzing (DNS)
  • Vermoedelijke identiteitsdiefstal (pass-the-ticket)
  • Verdachte NTLM Relay-aanval (Exchange-account)-preview
  • Verdachte DCSync-aanval (replicatie van adreslijstservices)

• Aanvullende scenario met statuswaarschuwingen: De Azure ATP-sensorservice kan niet worden gestart
  In gevallen waarin de Azure ATP-sensor niet kon worden gestart vanwege een probleem met het vastleggen van stuurprogramma's in het netwerk, wordt nu een sensorstatuswaarschuwing geactiveerd. Problemen met Azure ATP-sensor oplossen met Azure ATP-logboeken voor meer informatie over Azure ATP-logboeken en hoe u deze kunt gebruiken.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.69

Uitgebracht op 10 maart 2019

• Functieverbetering: Verdachte identiteitsdiefstal (pass-the-ticket) waarschuwing Deze waarschuwing bevat nu nieuw bewijs met de details van verbindingen die zijn gemaakt met behulp van remote desktop protocol (RDP). Het toegevoegde bewijs maakt het eenvoudig om het bekende probleem van (B-TP) Goedaardige positieve waarschuwingen te verhelpen die worden veroorzaakt door het gebruik van Remote Credential Guard via RDP-verbindingen.

• Functieverbetering: uitvoering van externe code via DNS-waarschuwing
  Deze waarschuwing bevat nu nieuw bewijs met de status van de beveiligingsupdate van uw domeincontroller, waarin u wordt geïnformeerd wanneer updates vereist zijn.

• Nieuwe documentatiefunctie: Azure ATP Security Alert MITRE ATT&CK Matrix™
  Om de relatie tussen Azure ATP-beveiligingswaarschuwingen en de vertrouwde MITRE ATT&CK Matrix toe te wijzen en gemakkelijker te maken, hebben we de relevante MITRE-technieken toegevoegd aan azure ATP-beveiligingswaarschuwingen. Deze aanvullende verwijzing maakt het gemakkelijker om inzicht te krijgen in de vermoedelijke aanvalstechniek die mogelijk wordt gebruikt wanneer een Azure ATP-beveiligingswaarschuwing wordt geactiveerd. Meer informatie over de beveiligingswaarschuwingshandleiding voor Azure ATP.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.68

Uitgebracht op 3 maart 2019

• Functieverbetering: Waarschuwing van verdachte beveiligingsaanval (LDAP)
  Er zijn aanzienlijke bruikbaarheidsverbeteringen aangebracht in deze beveiligingswaarschuwing, waaronder een herziene beschrijving, het inrichten van aanvullende brongegevens en het raden van pogingspogingen voor snellere herstel.
  Meer informatie over beveiligingswaarschuwingen voor verdachte beveiligingsaanvallen (LDAP ).

• Nieuwe documentatiefunctie: Beveiligingswaarschuwingslab
  Om de kracht van Azure ATP uit te leggen bij het detecteren van de echte bedreigingen voor uw werkomgeving, hebben we een nieuw beveiligingswaarschuwingslab toegevoegd aan deze documentatie. Met het beveiligingswaarschuwingslab kunt u snel een testomgeving of testomgeving instellen en wordt de beste verdediging tegen veelvoorkomende bedreigingen en aanvallen in de praktijk uitgelegd.

  Het stapsgewijze lab is ontworpen om ervoor te zorgen dat u zo min mogelijk tijd besteedt aan het bouwen en meer informatie over uw bedreigingslandschap en beschikbare Azure ATP-waarschuwingen en -beveiliging. We horen graag uw feedback.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Februari 2019

Azure ATP-release 2.67

Uitgebracht op 24 februari 2019

• Nieuwe beveiligingswaarschuwing: Ldap (Security Principal Reconnaissance) – (preview)
  Azure ATP's Security Principal Reconnaissance (LDAP): preview-beveiligingswaarschuwing is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer reconnaissance van beveiligingsprincipals wordt gebruikt door aanvallers om kritieke informatie over de domeinomgeving te verkrijgen. Deze informatie helpt aanvallers bij het toewijzen van de domeinstructuur en het identificeren van bevoegde accounts voor gebruik in latere stappen in hun aanvals kill chain.

  Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om een query uit te voeren op Active Directory. Verkenning van ldap-beveiligingsprincipals wordt vaak gebruikt als de eerste fase van een Kerberoasting-aanval. Kerberoasting-aanvallen worden gebruikt om een doellijst met SPN's (Security Principal Names) op te halen waarvoor aanvallers vervolgens TGS-tickets (Ticket Granting Server) proberen op te halen.

• Functieverbetering: NTLM-waarschuwing (Account-inventarisatie-reconnaissance)
  Verbeterde NTLM-waarschuwing (Account enumeration Reconnaissance) met behulp van aanvullende analyse en verbeterde detectielogica om B-TP- en FP-waarschuwingsresultaten te verminderen.

• Functieverbetering: Dns-waarschuwing (Network mapping reconnaissance)
  Nieuwe typen detecties die zijn toegevoegd aan dns-waarschuwingen (Network mapping reconnaissance). Naast het detecteren van verdachte AXFR-aanvragen detecteert Azure ATP nu verdachte typen aanvragen die afkomstig zijn van niet-DNS-servers met een overmatig aantal aanvragen.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.66

Uitgebracht op 17 februari 2019

• Functieverbetering: Verdachte DCSync-aanval (replicatie van adreslijstservices) waarschuwing
  Er zijn bruikbaarheidsverbeteringen aangebracht in deze beveiligingswaarschuwing, waaronder een herziene beschrijving, het inrichten van aanvullende broninformatie, nieuwe infographic en meer bewijs. Meer informatie over verdachte DCSync-aanvallen (replicatie van adreslijstservices) beveiligingswaarschuwingen.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.65

Uitgebracht op 10 februari 2019

• Nieuwe beveiligingswaarschuwing: Verdachte NTLM Relay-aanval (Exchange-account) – (preview)
  Verdachte NTLM Relay-aanval (Exchange-account) van Azure ATP : preview-beveiligingswaarschuwing is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer het gebruik van Exchange-accountreferenties van een verdachte bron wordt geïdentificeerd. Deze typen aanvallen proberen gebruik te maken van NTLM Relay-technieken om exchange-bevoegdheden voor domeincontrollers te verkrijgen en worden ExchangePriv genoemd. Meer informatie over de ExchangePriv-techniek uit het ADV190007 advies dat voor het eerst is gepubliceerd op 31 januari 2019 en het azure ATP-waarschuwingsantwoord.

• Algemene beschikbaarheid: uitvoering van externe code via DNS
  Deze waarschuwing is nu beschikbaar in algemene beschikbaarheid. Zie de pagina voor het uitvoeren van externe code via de beschrijvingspagina voor DNS-waarschuwingen voor meer informatie en waarschuwingsfuncties.

• Algemene beschikbaarheid: Gegevensexfiltratie via SMB
  Deze waarschuwing is nu beschikbaar in algemene beschikbaarheid. Zie de pagina Gegevensexfiltratie via de beschrijvingspagina van SMB-waarschuwingen voor meer informatie en waarschuwingsfuncties.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.64

Uitgebracht op 4 februari 2019

• Algemene beschikbaarheid: Verdacht Golden Ticket-gebruik (afwijking van ticket)
  Deze waarschuwing is nu beschikbaar in algemene beschikbaarheid. Zie de beschrijvingspagina van de waarschuwing Suspected Golden Ticket Usage (ticket anomalie) voor meer informatie en waarschuwingsfuncties.

• Functieverbetering: Reconnaissance voor netwerktoewijzing (DNS)
  Verbeterde waarschuwingsdetectielogica die voor deze waarschuwing is geïmplementeerd om fout-positieven en waarschuwingsruis te minimaliseren. Deze waarschuwing heeft nu een leerperiode van acht dagen voordat de waarschuwing mogelijk voor het eerst wordt geactiveerd. Zie de beschrijvingspagina voor netwerktoewijzingsverkenning (DNS) voor meer informatie over deze waarschuwing.

  Vanwege de uitbreiding van deze waarschuwing mag de nslookup-methode niet langer worden gebruikt om Azure ATP-connectiviteit te testen tijdens de eerste configuratie.

• Functieverbetering:
  Deze versie bevat opnieuw ontworpen waarschuwingspagina's en nieuw bewijs, waardoor een beter waarschuwingsonderzoek wordt geboden.

  • Verdachte beveiligingsaanval (SMB)
  • Beschrijvingspagina van verdachte Golden Ticket-gebruik (tijdafwijking)
  • Verdachte overpass-the-hash-aanval (Kerberos)
  • Verdacht gebruik van metasploit-hackframework
  • Verdachte WannaCry ransomware-aanval

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

januari 2019

Azure ATP-release 2.63

Uitgebracht op 27 januari 2019

• Nieuwe functie: Ondersteuning voor niet-vertrouwde forests – (preview)
  De ondersteuning van Azure ATP voor sensoren in niet-vertrouwde forests is nu beschikbaar als openbare preview. Configureer op de pagina Directory-services van de Azure ATP-portal aanvullende sets referenties om Azure ATP-sensoren in staat te stellen verbinding te maken met verschillende Active Directory-forests en meld u terug aan de Azure ATP-service. Zie Azure ATP voor meerdere forests voor meer informatie.

• Nieuwe functie: Dekking van domeincontroller
  Azure ATP biedt nu dekkingsgegevens voor door Azure ATP bewaakte domeincontrollers.
  Bekijk op de pagina Sensoren van de Azure ATP-portal het aantal bewaakte en niet-bewaakte domeincontrollers dat door Azure ATP in uw omgeving is gedetecteerd. Download de lijst met bewaakte domeincontrollers voor verdere analyse en bouw een actieplan. Zie de handleiding voor het bewaken van domeincontrollers voor meer informatie.

• Functieverbetering: Reconnaissance voor accountverkenning
  De verkenningsdetectie van het Azure ATP-account detecteert en geeft waarschuwingen voor opsommingspogingen met behulp van Kerberos en NTLM op. Voorheen werkte de detectie alleen voor pogingen met behulp van Kerberos. Zie Azure ATP-reconnaissancewaarschuwingen voor meer informatie.

• Functieverbetering: waarschuwing voor uitvoering van externe code

  • Alle externe uitvoeringsactiviteiten, zoals het maken van services, WMI-uitvoering en de nieuwe PowerShell-uitvoering , zijn toegevoegd aan de profieltijdlijn van de doelcomputer. De doelcomputer is de domeincontroller waarop de opdracht is uitgevoerd.
  • PowerShell-uitvoering is toegevoegd aan de lijst met externe activiteiten voor het uitvoeren van code die worden vermeld in de tijdlijn met waarschuwingen voor entiteitsprofielen.
  • Zie De uitvoering van externe code voor meer informatie.

• Probleem met Windows Server 2019 LSASS en Azure ATP
  In reactie op feedback van klanten met betrekking tot Het gebruik van Azure ATP met domeincontrollers met Windows Server 2019 bevat deze update aanvullende logica om te voorkomen dat het gerapporteerde gedrag wordt geactiveerd op Windows Server 2019-computers. Volledige ondersteuning voor Azure ATP-sensor op Windows Server 2019 is gepland voor een toekomstige Azure ATP-update, maar het installeren en uitvoeren van Azure ATP op Windows Servers 2019 wordt momenteel niet ondersteund. Zie de vereisten voor Azure ATP-sensor voor meer informatie.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.62

Uitgebracht op 20 januari 2019

• Nieuwe beveiligingswaarschuwing: uitvoering van externe code via DNS – (preview)
  De externe code-uitvoering van Azure ATP via dns-beveiligingswaarschuwing is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer DNS-query's vermoedt dat het beveiligingsprobleem CVE-2018-8626 wordt misbruikt op een domeincontroller in het netwerk.

• Functieverbetering: 72 uur vertraagde sensorupdate
  Optie gewijzigd om sensorupdates voor geselecteerde sensoren te vertragen tot 72 uur (in plaats van de vorige vertraging van 24 uur) na elke release-update van Azure ATP. Zie de azure ATP-sensorupdate voor configuratie-instructies.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.61

Uitgebracht op 13 januari 2019

• Nieuwe beveiligingswaarschuwing: gegevensexfiltratie via SMB - (preview)
  De gegevensexfiltratie van Azure ATP via SMB-beveiligingswaarschuwing is nu in openbare preview. Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen aanvallers een Kerberos-ticket maken dat ticket verleent (TGT) die autorisatie voor elke resource biedt.

• Functieverbetering: Beveiligingswaarschuwing voor uitvoering van externe codepoging
  Er is een nieuwe waarschuwingsbeschrijving en extra bewijs toegevoegd om de waarschuwing beter te begrijpen en om betere onderzoekswerkstromen te bieden.

• Functieverbetering: logische activiteiten voor DNS-query's
  Er zijn extra querytypen toegevoegd aan door Azure ATP bewaakte activiteiten , waaronder: TXT, MX, NS, SRV, ANY, DNSKEY.

• Functieverbetering: Verdacht Golden Ticket-gebruik (anomalie van ticket) en Verdacht Golden Ticket-gebruik (niet-bestaand account)
  Verbeterde detectielogica is toegepast op beide waarschuwingen om het aantal FP-waarschuwingen te verminderen en nauwkeurigere resultaten te leveren.

• Functieverbetering: Documentatie voor Azure ATP-beveiligingswaarschuwingen
  Documentatie voor beveiligingswaarschuwingen van Azure ATP is uitgebreid en uitgebreid met betere beschrijvingen van waarschuwingen, nauwkeurigere waarschuwingsclassificaties en uitleg over bewijs, herstel en preventie. Maak kennis met het nieuwe ontwerp van de beveiligingswaarschuwingsdocumentatie met behulp van de volgende koppelingen:

  • Azure ATP-beveiligingswaarschuwingen
  • Beveiligingswaarschuwingen begrijpen
    • Verkenningsfasewaarschuwingen
    • Waarschuwingen voor gecompromitteerde referentiefase
    • Waarschuwingen voor laterale verplaatsingsfase
    • Waarschuwingen voor domeindominantiefase
    • Waarschuwingen voor exfiltratiefase
  • Een computer onderzoeken
  • Een gebruiker onderzoeken

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.60

Uitgebracht op 6 januari 2019

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

December 2018

Azure ATP-release 2.59

Uitgebracht op 16 december 2018

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.58

Uitgebracht op 9 december 2018

• Uitbreiding van beveiligingswaarschuwingen: waarschuwing voor ongebruikelijke protocol-implementatie gesplitst
  De reeks ongebruikelijke beveiligingswaarschuwingen voor Protocol-implementatie van Azure ATP die eerder 1 externalId (2002) hebben gedeeld, worden nu gesplitst in vier onderscheidende waarschuwingen, met een bijbehorende unieke externe id.

Nieuwe externalIds voor waarschuwingen

Nieuwe naam van beveiligingswaarschuwing	Vorige naam van beveiligingswaarschuwing	Unieke externe id
Verdachte beveiligingsaanval (SMB)	Ongebruikelijke protocol-implementatie (mogelijk gebruik van schadelijke hulpprogramma's zoals Hydra)	2033
Verdachte overpass-the-hash-aanval (Kerberos)	Ongebruikelijke Kerberos-protocol-implementatie (mogelijke overpass-the-hash-aanval)	2002
Verdacht gebruik van metasploit-hackframework	Ongebruikelijke protocol-implementatie (mogelijk gebruik van hackhulpprogramma's van Metasploit)	2034
Verdachte WannaCry ransomware-aanval	Ongebruikelijke protocol-implementatie (potentiële WannaCry ransomware-aanval)	2035

• Nieuwe bewaakte activiteit: Bestandskopie via SMB
  Het kopiëren van bestanden met behulp van SMB is nu een bewaakte en filterbare activiteit. Meer informatie over welke activiteiten Azure ATP bewaakt en hoe u bewaakte activiteiten filtert en doorzoekt in de portal.

• Uitbreiding van grote laterale verplaatsingspadafbeelding
  Wanneer u grote laterale verplaatsingspaden bekijkt, markeert Azure ATP nu alleen de knooppunten die zijn verbonden met een geselecteerde entiteit, in plaats van de andere knooppunten te vervagen. Deze wijziging introduceert een aanzienlijke verbetering in de hoge LMP-renderingsnelheid.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.57

Uitgebracht op 2 december 2018

• Nieuwe beveiligingswaarschuwing: Vermoedelijk golden ticketgebruik- afwijking van ticket (preview)
  Het vermoedelijke Golden Ticket-gebruik van Azure ATP: de waarschuwing voor de anomaliebeveiliging van tickets is nu beschikbaar als openbare preview. Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen aanvallers een Kerberos-ticket voor het verlenen van een ticket (TGT) maken dat autorisatie biedt aan elke resource.

  Deze vervalste TGT wordt een 'Golden Ticket' genoemd, omdat aanvallers duurzame netwerkpersistentie kunnen bereiken. Gesmede Golden Tickets van dit type hebben unieke kenmerken die deze nieuwe detectie is ontworpen om te identificeren.

• Functieverbetering: Geautomatiseerd azure ATP-exemplaar (exemplaar) maken
  Vanaf vandaag worden Azure ATP-exemplaren hernoemd naar Azure ATP-exemplaren. Azure ATP ondersteunt nu één Azure ATP-exemplaar per Azure ATP-account. Exemplaren voor nieuwe klanten worden gemaakt met behulp van de wizard voor het maken van exemplaren in de Azure ATP-portal. Bestaande Azure ATP-exemplaren worden automatisch geconverteerd naar Azure ATP-exemplaren met deze update.

  • Vereenvoudigd maken van exemplaren voor snellere implementatie en beveiliging met behulp van het maken van uw Azure ATP-exemplaar.
  • Alle privacy en naleving van gegevens blijven hetzelfde.

  Zie Uw Azure ATP-exemplaar maken voor meer informatie over Azure ATP-exemplaren.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

November 2018

Azure ATP-release 2.56

Uitgebracht op 25 november 2018

• Functieverbetering: laterale verplaatsingspaden (LMP's)
  Er worden twee extra functies toegevoegd om de mogelijkheden van Azure ATP Lateral Movement Path (LMP) te verbeteren:

  • LMP-geschiedenis wordt nu opgeslagen en detecteerbaar per entiteit en wanneer u LMP-rapporten gebruikt.
  • Volg een entiteit in een LMP via de tijdlijn van de activiteit en onderzoek met behulp van extra bewijs dat is opgegeven voor de detectie van mogelijke aanvalspaden.

  Zie Azure ATP Lateral Movement Paths voor meer informatie over het gebruik en onderzoek met verbeterde LMP's.

• Documentatieverbeteringen: Laterale verplaatsingspaden, namen van beveiligingswaarschuwingen
  Toevoegingen en updates zijn aangebracht in Azure ATP-artikelen waarin beschrijvingen en functies van laterale verplaatsingspaden worden beschreven. De naamtoewijzing is toegevoegd voor alle exemplaren van oude namen van beveiligingswaarschuwingen voor nieuwe namen en externalIds.

  • Zie De laterale verplaatsingspaden van Azure ATP, het onderzoeken van laterale verplaatsingspaden en de handleiding voor beveiligingswaarschuwingen voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Voor meer informatie over elke Defender for Identity-release vóór (en inclusief) release 2.55 raadpleegt u de referentie voor de release van Defender for Identity.

Volgende stappen

Wat is er nieuw voor Microsoft Defender for Identity