Co nowego archiwum usługi Microsoft Defender for Identity

W tym artykule wymieniono informacje o wersji usługi Microsoft Defender for Identity dla wersji i funkcji wydanych ponad 6 miesięcy temu.

Aby uzyskać informacje o najnowszych wersjach i funkcjach, zobacz Co nowego w usłudze Microsoft Defender for Identity.

Uwaga

Od 15 czerwca 2022 r. firma Microsoft nie będzie już obsługiwać czujnika usługi Defender for Identity na urządzeniach z systemem Windows Server 2008 R2. Zalecamy zidentyfikowanie pozostałych kontrolerów domeny lub serwerów usług AD FS, które nadal działają z systemem Windows Server 2008 R2 jako system operacyjny i plany aktualizacji ich do obsługiwanego systemu operacyjnego.

Przez dwa miesiące po 15 czerwca 2022 r. czujnik będzie nadal działać. Po tym dwumiesięcznym okresie, począwszy od 15 sierpnia 2022 r., czujnik nie będzie już działać na platformach Windows Server 2008 R2. Więcej szczegółów można znaleźć na stronie: https://aka.ms/mdi/2008r2

Lipiec 2023 r.

Defender for Identity w wersji 2.209

Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze oraz czujnik usługi Defender for Identity.

Wyszukiwanie grup usługi Active Directory w usłudze Microsoft Defender XDR (wersja zapoznawcza)

Wyszukiwanie globalne XDR w usłudze Microsoft Defender obsługuje teraz wyszukiwanie według nazwy grupy usługi Active Directory. Wszystkie znalezione grupy są wyświetlane w wynikach na osobnej karcie Grupy . Wybierz grupę usługi Active Directory z wyników wyszukiwania, aby wyświetlić więcej szczegółów, w tym:

• Typ
• Scope
• Domain
• Nazwa SAM
• SID

• Czas tworzenia grupy
• Przy pierwszym obserwowaniu aktywności przez grupę
• Grupy zawierające wybraną grupę
• Lista wszystkich członków grupy

Na przykład:

Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity w usłudze Microsoft Defender XDR.

Nowe raporty dotyczące stanu zabezpieczeń

Oceny stanu zabezpieczeń tożsamości usługi Defender for Identity aktywnie wykrywają i rekomenduje akcje w konfiguracjach lokalna usługa Active Directory.

Następujące nowe oceny stanu zabezpieczeń są teraz dostępne w ramach wskaźnika bezpieczeństwa firmy Microsoft:

• Usuwanie praw dostępu na podejrzanych kontach przy użyciu uprawnienia Admin SDHolder
• Usuwanie kont niebędących administratorami przy użyciu uprawnień dcSync
• Usuwanie administratorów lokalnych w zasobach tożsamości
• Uruchamianie wdrożenia usługi Defender for Identity

Aby uzyskać więcej informacji, zobacz Oceny stanu zabezpieczeń usługi Microsoft Defender for Identity.

Automatyczne przekierowywanie klasycznego portalu usługi Defender for Identity

Środowisko i funkcje portalu usługi Microsoft Defender for Identity są zbieżne z rozszerzoną platformą wykrywania i reagowania firmy Microsoft (XDR), Microsoft Defender XDR. Od 6 lipca 2023 r. klienci korzystający z klasycznego portalu usługi Defender for Identity są automatycznie przekierowywani do usługi Microsoft Defender XDR bez możliwości powrotu do klasycznego portalu.

Aby uzyskać więcej informacji, zobacz nasz wpis w blogu i usługę Microsoft Defender for Identity w usłudze Microsoft Defender XDR.

Pobieranie i planowanie raportów usługi Defender for Identity w usłudze Microsoft Defender XDR (wersja zapoznawcza)

Teraz możesz pobierać i planować okresowe raporty usługi Defender for Identity z portalu usługi Microsoft Defender, tworząc parzystość w funkcjach raportów przy użyciu starszego klasycznego portalu usługi Defender for Identity.

Pobieranie i planowanie raportów w usłudze Microsoft Defender XDR ze strony zarządzania raportami tożsamości ustawień > >. Na przykład:

Aby uzyskać więcej informacji, zobacz Raporty usługi Microsoft Defender for Identity w usłudze Microsoft Defender XDR.

Defender for Identity w wersji 2.208

• Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze oraz czujnik usługi Defender for Identity.

Defender for Identity w wersji 2.207

• Ta wersja udostępnia nowy parametr instalacji AccessKeyFile . Użyj parametru AccessKeyFile podczas dyskretnej instalacji czujnika usługi Defender for Identity, aby ustawić klucz dostępu obszaru roboczego z podanej ścieżki tekstowej. Aby uzyskać więcej informacji, zobacz Instalowanie czujnika usługi Microsoft Defender for Identity.

• Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze oraz czujnik usługi Defender for Identity.

Czerwiec 2023

Defender for Identity w wersji 2.206

• Ta wersja obejmuje ulepszenia i poprawki błędów dla usług w chmurze oraz czujnik usługi Defender for Identity.

Zaawansowane wyszukiwanie zagrożeń za pomocą rozszerzonej tabeli IdentityInfo

• W przypadku dzierżaw z wdrożona usługą Defender for Identityinfo zaawansowana tabela wyszukiwania tożsamości Platformy Microsoft 365 zawiera teraz więcej atrybutów na tożsamość oraz tożsamości wykrytych przez czujnik usługi Defender for Identity ze środowiska lokalnego.

Aby uzyskać więcej informacji, zobacz zaawansowaną dokumentację wyszukiwania zagrożeń w usłudze Microsoft Defender XDR.

Defender for Identity w wersji 2.205

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Maj 2023

Ulepszone wyróżnienia kontroli konta usługi Active Directory

Strona szczegółów użytkownika usługi Microsoft Defender XDR Identity> zawiera teraz nowe dane kontroli konta usługi Active Directory.

Na karcie Przegląd szczegółów użytkownika dodaliśmy nową kartę kontrolek konta usługi Active Directory, aby wyróżnić ważne ustawienia zabezpieczeń i kontrolki usługi Active Directory. Na przykład użyj tej karty, aby dowiedzieć się, czy określony użytkownik może pominąć wymagania dotyczące hasła, czy też hasło, które nigdy nie wygasa.

Na przykład:

Aby uzyskać więcej informacji, zobacz dokumentację atrybutu User-Account-Control.

Defender for Identity w wersji 2.204

Wydany 29 maja 2023 r.

• Nowy alert kondycji dotyczący niepowodzeń pozyskiwania danych integracji sieci VPN (radius). Aby uzyskać więcej informacji, zobacz Alerty kondycji czujnika usługi Microsoft Defender for Identity.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity, wersja 2.203

Wydany 15 maja 2023 r.

• Nowy alert kondycji dotyczący sprawdzania, czy inspekcja kontenera usług AD FS jest poprawnie skonfigurowana. Aby uzyskać więcej informacji, zobacz Alerty kondycji czujnika usługi Microsoft Defender for Identity.

• Strona tożsamości usługi Microsoft Defender 365 zawiera aktualizacje interfejsu użytkownika dla środowiska ścieżki przenoszenia bocznego. Nie zmieniono żadnych funkcji. Aby uzyskać więcej informacji, zobacz Omówienie i badanie ścieżek przenoszenia bocznego (LMPs) za pomocą usługi Microsoft Defender for Identity.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Ulepszenia osi czasu tożsamości

Karta Oś czasu tożsamości zawiera teraz nowe i ulepszone funkcje! Zaktualizowana oś czasu umożliwia teraz filtrowanie według typu działania, protokołu i lokalizacji oprócz oryginalnych filtrów. Oś czasu można również wyeksportować do pliku CSV i znaleźć dodatkowe informacje o działaniach skojarzonych z technikami MITRE ATT&CK. Aby uzyskać więcej informacji, zobacz Badanie użytkowników w usłudze Microsoft Defender XDR.

Dostrajanie alertów w usłudze Microsoft Defender XDR

Dostrajanie alertów, teraz dostępne w usłudze Microsoft Defender XDR, umożliwia dostosowanie alertów i ich optymalizację. Dostrajanie alertów zmniejsza wyniki fałszywie dodatnie, umożliwia zespołom SOC skupienie się na alertach o wysokim priorytcie i poprawia pokrycie wykrywania zagrożeń w całym systemie.

W usłudze Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę dla dowolnego typu reguły zgodnego z warunkami. Aby uzyskać więcej informacji, zobacz Dostosowywanie alertu.

Kwiecień 2023

Defender for Identity w wersji 2.202

Wydany 23 kwietnia 2023 r.

• Nowy alert kondycji dotyczący sprawdzania, czy inspekcja kontenera konfiguracji usług katalogowych jest poprawnie skonfigurowana zgodnie z opisem na stronie alertów dotyczących kondycji.
• Nowe obszary robocze dzierżaw usługi AD mapowane na Nową Zelandię są tworzone w regionie Australia Wschodnia. Aby uzyskać najnowszą listę wdrożeń regionalnych, zobacz Składniki usługi Defender for Identity.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Marzec 2023

Defender for Identity w wersji 2.201

Wydany 27 marca 2023 r.

• Trwa wyłączanie alertu sam-R honeytoken. Chociaż dostęp do tych typów kont nigdy nie powinien być uzyskiwany ani wykonywać zapytań, niektóre starsze systemy mogą używać tych kont w ramach regularnych operacji. Jeśli ta funkcja jest dla Ciebie niezbędna, zawsze możesz utworzyć zaawansowane zapytanie wyszukiwania zagrożeń i użyć go jako wykrywania niestandardowego. W najbliższych tygodniach zapoznamy się również z alertem ldap honeytoken, ale na razie pozostaje funkcjonalny.

• Rozwiązaliśmy problemy z logiką wykrywania w alercie kondycji inspekcji obiektów usług katalogowych dla systemów operacyjnych innych niż angielski, a w przypadku systemu Windows 2012 ze schematami usług katalogowych wcześniej niż wersja 87.

• Usunęliśmy wymagania wstępne dotyczące konfigurowania konta usług katalogowych dla czujników do uruchomienia. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące konta usługi Microsoft Defender for Identity Directory Service.

• Nie wymagamy już rejestrowania zdarzeń 1644. Jeśli to ustawienie rejestru jest włączone, możesz go usunąć. Aby uzyskać więcej informacji, zobacz Zdarzenie o identyfikatorze 1644.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.200

Wydany 16 marca 2023 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity, wersja 2.199

Wydany 5 marca 2023 r.

• W przypadku niektórych wykluczeń dla tokenu Honeytoken zapytania za pośrednictwem alertu SAM-R nie działają prawidłowo. W tych przypadkach alerty były wyzwalane nawet dla wykluczonych jednostek. Ten błąd został naprawiony.

• Zaktualizowano nazwę protokołu NTLM dla tabel Zaawansowane wyszukiwanie zagrożeń tożsamości: stara nazwa protokołu jest teraz wyświetlana jako nowa nazwa Ntlm NTLM protokołu w tabelach Advanced Hunting Identity: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Jeśli obecnie używasz protokołu w formacie uwzględniającym Ntlm wielkość liter z tabel zdarzeń tożsamości, należy zmienić go na NTLM.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

2023 lutego

Defender for Identity, wersja 2.198

Wydany 15 lutego 2023 r.

• Oś czasu tożsamości jest teraz dostępna w ramach nowej strony Tożsamość w usłudze Microsoft Defender XDR: zaktualizowana strona użytkownika w usłudze Microsoft Defender XDR ma teraz nowy wygląd i działanie, z rozszerzonym widokiem powiązanych zasobów i nową dedykowaną kartą osi czasu. Oś czasu reprezentuje działania i alerty z ostatnich 30 dni i łączy wpisy tożsamości użytkownika we wszystkich dostępnych obciążeniach (Defender for Identity/Defender dla Chmury Apps/Defender for Endpoint). Korzystając z osi czasu, można łatwo skoncentrować się na działaniach wykonywanych przez użytkownika (lub wykonanych na nich) w określonych przedziałach czasu. Aby uzyskać więcej informacji, zobacz Badanie użytkowników w usłudze Microsoft Defender XDR

• Dalsze ulepszenia alertów zekenów honeytoken: w wersji 2.191 wprowadziliśmy kilka nowych scenariuszy dla alertu aktywności wystawionej jako przynęta.

  Na podstawie opinii klientów postanowiliśmy podzielić alert aktywności wystawiony jako przynęta na pięć oddzielnych alertów:

  • Użytkownik wystawiony jako przynęta został zapytany za pośrednictwem protokołu SAM-R.
  • Użytkownik wystawiony jako przynęta został zapytany za pośrednictwem protokołu LDAP.
  • Działanie uwierzytelniania użytkowników wystawione jako przynęta
  • Użytkownik wystawiony jako przynęta miał zmodyfikowane atrybuty.
  • Zmieniono członkostwo w grupie honeytoken.

  Ponadto dodaliśmy wykluczenia dla tych alertów, zapewniając dostosowane środowisko dla Twojego środowiska.

  Z niecierpliwością czekamy na twoją opinię, abyśmy mogli kontynuować ulepszanie.

• Nowy alert zabezpieczeń — podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT). Wiele technik nadużywania usług certyfikatów Active Directory (AD CS) obejmuje użycie certyfikatu w fazie ataku. Usługa Microsoft Defender for Identity ostrzega teraz użytkowników, gdy obserwuje takie podejrzane użycie certyfikatu. To podejście do monitorowania zachowania zapewnia kompleksową ochronę przed atakami usług AD CS, wyzwalając alert, gdy podejrzane uwierzytelnianie certyfikatu jest podejmowane na kontrolerze domeny z zainstalowanym czujnikiem usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Usługa Microsoft Defender for Identity wykrywa teraz podejrzane użycie certyfikatu.

• Automatyczne zakłócenia ataków: usługa Defender for Identity współpracuje teraz z usługą Microsoft Defender XDR w celu zaoferowania automatycznych zakłóceń ataku. Ta integracja oznacza, że w przypadku sygnałów pochodzących z usługi Microsoft Defender XDR możemy wyzwolić akcję Wyłącz użytkownika . Te działania są wyzwalane przez sygnały XDR o wysokiej wierności w połączeniu ze szczegółowymi informacjami z ciągłego badania tysięcy zdarzeń przeprowadzonych przez zespoły badawcze firmy Microsoft. Akcja zawiesza konto użytkownika z naruszonymi zagrożeniami w usłudze Active Directory i synchronizuje te informacje z identyfikatorem Entra firmy Microsoft. Aby uzyskać więcej informacji na temat zakłóceń w ataku automatycznym, przeczytaj wpis w blogu firmy Microsoft Defender XDR.

  Możesz również wykluczyć określonych użytkowników z automatycznych akcji odpowiedzi. Aby uzyskać więcej informacji, zobacz Konfigurowanie wykluczeń automatycznych odpowiedzi w usłudze Defender for Identity.

• Usuwanie okresu uczenia: alerty generowane przez usługę Defender for Identity są oparte na różnych czynnikach, takich jak profilowanie, wykrywanie deterministyczne, uczenie maszynowe i algorytmy behawioralne, które zostały poznane w sieci. Pełny proces uczenia dla usługi Defender for Identity może potrwać do 30 dni na kontroler domeny. Jednak mogą istnieć wystąpienia, w których chcesz otrzymywać alerty jeszcze przed ukończeniem pełnego procesu uczenia. Na przykład podczas instalowania nowego czujnika na kontrolerze domeny lub podczas oceniania produktu możesz natychmiast otrzymywać alerty. W takich przypadkach możesz wyłączyć okres nauki dla alertów, których dotyczy problem, włączając funkcję Usuń okres szkoleniowy. Aby uzyskać więcej informacji, zobacz Ustawienia zaawansowane.

• Nowy sposób wysyłania alertów do usługi M365D: rok temu ogłosiliśmy, że wszystkie środowiska usługi Microsoft Defender for Identity są dostępne w portalu usługi Microsoft Defender. Nasz podstawowy potok alertu stopniowo przechodzi z usługi Defender for Identity Defender dla Chmury Apps > Microsoft Defender XDR do usługi Defender for Identity > > XDR. Ta integracja oznacza, że aktualizacje stanu w usłudze Defender dla Chmury Apps nie zostaną odzwierciedlone w usłudze Microsoft Defender XDR i odwrotnie. Ta zmiana powinna znacznie skrócić czas wyświetlania alertów w portalu usługi Microsoft Defender. W ramach tej migracji wszystkie zasady usługi Defender for Identity nie będą już dostępne w portalu Defender dla Chmury Apps od 5 marca. Jak zawsze zalecamy korzystanie z portalu Usługi Microsoft Defender dla wszystkich środowisk usługi Defender for Identity.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Styczeń 2023

Defender for Identity w wersji 2.197

Wydany 22 stycznia 2023 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity, wersja 2.196

Wydany 10 stycznia 2023 r.

• Nowy alert kondycji dotyczący sprawdzania, czy inspekcja obiektów usług katalogowych jest poprawnie skonfigurowana zgodnie z opisem na stronie alertów dotyczących kondycji.

• Nowy alert kondycji umożliwiający sprawdzenie, czy ustawienia zasilania czujnika są skonfigurowane pod kątem optymalnej wydajności, zgodnie z opisem na stronie alertów dotyczących kondycji.

• Dodaliśmy informacje MITRE ATT&CK do tabel IdentityLogonEvents, IdentityDirectoryEvents i IdentityQueryEvents w usłudze Microsoft Defender XDR Advanced Hunting. W kolumnie AdditionalFields można znaleźć szczegółowe informacje na temat technik ataków i taktyki (kategoria) skojarzonej z niektórymi z naszych działań logicznych.

• Ponieważ wszystkie główne funkcje usługi Microsoft Defender for Identity są teraz dostępne w portalu usługi Microsoft Defender, ustawienie przekierowania portalu jest automatycznie włączone dla każdej dzierżawy od 31 stycznia 2023 r. Aby uzyskać więcej informacji, zobacz Przekierowywanie kont z usługi Microsoft Defender for Identity do usługi Microsoft Defender XDR.

Grudzień 2022

Defender for Identity, wersja 2.195

Wydany 7 grudnia 2022 r.

• Centra danych usługi Defender for Identity są teraz również wdrażane w regionie Australia Wschodnia. Aby uzyskać najnowszą listę wdrożeń regionalnych, zobacz Składniki usługi Defender for Identity.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Listopad 2022

Defender for Identity w wersji 2.194

Wydany 10 listopada 2022 r.

• Nowy alert kondycji dotyczący sprawdzania, czy zaawansowane inspekcje usług katalogowych jest poprawnie skonfigurowany zgodnie z opisem na stronie alertów dotyczących kondycji.

• Niektóre zmiany wprowadzone w usłudze Defender for Identity w wersji 2.191 dotyczące alertów ze zdjętą przynętą nie były prawidłowo włączone. Te problemy zostały rozwiązane teraz.

• Od końca listopada ręczna integracja z Ochrona punktu końcowego w usłudze Microsoft Defender nie jest już obsługiwana. Zdecydowanie zalecamy jednak korzystanie z portalu Microsoft Defender (https://security.microsoft.com), który ma wbudowaną integrację.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Październik 2022

Defender for Identity, wersja 2.193

Wydany 30 października 2022 r.

• Nowy alert zabezpieczeń: Nieprawidłowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu
  Ta nowa technika jest związana z niesławnym aktorem NOBLA i została nazwana "MagicWeb" - pozwala przeciwnikowi wszczepić backdoor na naruszonych serwerach usług AD FS, co umożliwi personifikację jako każdy użytkownik domeny, a tym samym dostęp do zasobów zewnętrznych. Aby dowiedzieć się więcej na temat tego ataku, przeczytaj ten wpis w blogu.

• Usługa Defender for Identity może teraz używać konta LocalSystem na kontrolerze domeny do wykonywania akcji korygujących (włącz/wyłącz użytkownika, wymuś hasło resetowania użytkownika) oprócz opcji gMSA, która była dostępna wcześniej. Umożliwia to gotowe do użycia obsługę akcji korygowania. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity action accounts (Konta akcji usługi Microsoft Defender for Identity).

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity, wersja 2.192

Wydany 23 października 2022 r.

• Nowy alert kondycji dotyczący sprawdzania, czy inspekcja NTLM jest włączona, zgodnie z opisem na stronie alertów dotyczących kondycji.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

2022 września

Defender for Identity w wersji 2.191

Wydany 19 września 2022 r.

• Więcej działań w celu wyzwolenia alertów dotyczących tokenów wystawionych jako przynęta
  Usługa Microsoft Defender for Identity oferuje możliwość definiowania kont ze zdjętymi miodami, które są używane jako pułapki dla złośliwych podmiotów. Każde uwierzytelnianie skojarzone z tymi kontami wystawionymi jako przynęta (zwykle nieaktywne), wyzwala działanie wystawione jako przynęta (identyfikator zewnętrzny 2014). Nowe dla tej wersji wszystkie zapytania LDAP lub SAMR względem tych kont wystawionych jako przynęta spowodują wyzwolenie alertu. Ponadto jeśli zdarzenie 5136 zostanie poddane inspekcji, alert zostanie wyzwolony po zmianie jednego z atrybutów tokenu honeytoken lub zmianie członkostwa w grupie przynęty.

Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń systemu Windows.

Defender for Identity w wersji 2.190

Wydany 11 września 2022 r.

• Zaktualizowana ocena: Niezabezpieczone konfiguracje domeny
  Niezabezpieczona ocena konfiguracji domeny dostępna za pośrednictwem wskaźnika bezpieczeństwa firmy Microsoft ocenia teraz konfigurację zasad podpisywania LDAP kontrolera domeny i alerty, jeśli znajdzie niezabezpieczoną konfigurację. Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: niezabezpieczone konfiguracje domeny.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.189

Wydany 4 września 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Sierpień 2022

Defender for Identity w wersji 2.188

Wydany 28 sierpnia 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.187

Wydany 18 sierpnia 2022 r.

• Zmieniliśmy część logiki dotyczącej wyzwalania alertu Podejrzany atak DCSync (replikacja usług katalogowych) (identyfikator zewnętrzny 2006). Ten detektor obejmuje teraz przypadki, w których źródłowy adres IP widoczny przez czujnik wydaje się być urządzeniem NAT.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.186

Wydany 10 sierpnia 2022 r.

• Alerty dotyczące kondycji będą teraz pokazywać w pełni kwalifikowaną nazwę domeny czujnika (FQDN) zamiast nazwy NetBIOS.

• Nowe alerty dotyczące kondycji są dostępne do przechwytywania typu składnika i konfiguracji, zgodnie z opisem na stronie alertów dotyczących kondycji.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Lipiec 2022

Defender for Identity w wersji 2.185

Wydany 18 lipca 2022 r.

• Rozwiązano problem polegający na tym, że podejrzane użycie biletu złotego (nieistniejące konto) (identyfikator zewnętrzny 2027) błędnie wykrywało urządzenia z systemem macOS.

• Akcje użytkownika: postanowiliśmy podzielić akcję Wyłącz użytkownika na stronie użytkownika na dwie różne akcje:

  • Wyłącz użytkownika — co wyłącza użytkownika na poziomie usługi Active Directory
  • Wstrzymywanie użytkownika — co wyłącza użytkownika na poziomie identyfikatora entra firmy Microsoft

  Rozumiemy, że czas potrzebny na synchronizację z usługi Active Directory do identyfikatora Entra firmy Microsoft może mieć kluczowe znaczenie, więc teraz można wyłączyć użytkowników w jednym po drugim, aby usunąć zależność od samej synchronizacji. Należy pamiętać, że użytkownik wyłączony tylko w usłudze Microsoft Entra ID zostanie zastąpiony przez usługę Active Directory, jeśli użytkownik nadal jest tam aktywny.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.184

Wydany 10 lipca 2022 r.

• Nowe oceny zabezpieczeń
  Usługa Defender for Identity obejmuje teraz następującą nową ocenę zabezpieczeń:

  • Niezabezpieczone konfiguracje domeny
    Usługa Microsoft Defender for Identity stale monitoruje środowisko w celu identyfikowania domen z wartościami konfiguracji, które uwidacznia ryzyko bezpieczeństwa, oraz raportuje te domeny, aby ułatwić ochronę środowiska. Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: niezabezpieczone konfiguracje domeny.

• Pakiet instalacyjny usługi Defender for Identity zainstaluje teraz składnik Npcap zamiast sterowników WinPcap. Aby uzyskać więcej informacji, zobacz Sterowniki WinPcap i Npcap.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Czerwiec 2022

Defender for Identity w wersji 2.183.15436.10558 (poprawka)

Wydany 20 czerwca 2022 r. (aktualizacja: 4 lipca 2022 r.)

• Nowy alert zabezpieczeń: Podejrzany atak DFSCoerce przy użyciu rozproszonego protokołu systemu plików
  W odpowiedzi na opublikowanie ostatniego narzędzia do ataku, które korzysta z przepływu w protokole systemu plików DFS, usługa Microsoft Defender for Identity wyzwoli alert zabezpieczeń za każdym razem, gdy osoba atakująca korzysta z tej metody ataku. Aby dowiedzieć się więcej na temat tego ataku, przeczytaj wpis w blogu.

Defender for Identity w wersji 2.183

Wydany 20 czerwca 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.182

Wydany 4 czerwca 2022 r.

• Dostępna jest nowa strona Informacje dla usługi Defender for Identity. Można go znaleźć w portalu Microsoft Defender w obszarze Ustawienia ->Tożsamości ->Informacje. Zawiera on kilka ważnych szczegółów dotyczących wystąpienia usługi Defender for Identity, w tym nazwę wystąpienia, wersję, identyfikator i geolokalizację wystąpienia. Te informacje mogą być przydatne podczas rozwiązywania problemów i otwierania biletów pomocy technicznej.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Maj 2022

Defender for Identity w wersji 2.181

Wydany 22 maja 2022 r.

• Teraz możesz wykonywać akcje korygowania bezpośrednio na kontach lokalnych przy użyciu usługi Microsoft Defender for Identity.

  • Wyłącz użytkownika — tymczasowo uniemożliwia użytkownikowi logowanie się do sieci. Może to pomóc w zapobieganiu przechodzeniu użytkowników z naruszonych zabezpieczeń i próbie eksfiltracji danych lub dalszego naruszenia zabezpieczeń sieci.
  • Resetowanie hasła użytkownika — spowoduje to wyświetlenie monitu o zmianę hasła podczas następnego logowania, dzięki czemu nie można użyć tego konta do dalszych prób personifikacji.

  Te akcje można wykonać z kilku lokalizacji w usłudze Microsoft Defender XDR: strony użytkownika, panelu strony użytkownika, zaawansowanego wyszukiwania zagrożeń, a nawet wykrywania niestandardowego. Wymaga to skonfigurowania uprzywilejowanego konta usługi gMSA używanego przez usługę Microsoft Defender for Identity do wykonywania akcji. Aby uzyskać więcej informacji na temat wymagań, zobacz Microsoft Defender for Identity action accounts (Konta akcji usługi Microsoft Defender for Identity).

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.180

Wydany 12 maja 2022 r.

• Nowy alert zabezpieczeń: Podejrzane modyfikacje atrybutu dNSHostName (CVE-2022-26923)
  W odpowiedzi na opublikowanie najnowszej luki CVE usługa Microsoft Defender for Identity wyzwoli alert zabezpieczeń za każdym razem, gdy osoba atakująca próbuje wykorzystać luki CVE-2022 -26923. Aby dowiedzieć się więcej na temat tego ataku, przeczytaj wpis w blogu.

• W wersji 2.177 wydaliśmy dodatkowe działania LDAP, które mogą być objęte usługą Defender for Identity. Znaleźliśmy jednak usterkę, która powoduje, że zdarzenia nie są prezentowane i pozyskiwane w portalu usługi Defender for Identity. Ta funkcja została naprawiona w tym wydaniu. Po włączeniu zdarzenia o identyfikatorze 1644 w wersji 2.180 nie tylko uzyskujesz wgląd w działania LDAP za pośrednictwem usług sieci Web Active Directory, ale także inne działania LDAP będą obejmować użytkownika, który wykonał działanie LDAP na komputerze źródłowym. Dotyczy to alertów zabezpieczeń i działań logicznych opartych na zdarzeniach LDAP.

• W odpowiedzi na niedawne wykorzystanie KrbRelayUp wydaliśmy dyskretny detektor, aby pomóc nam ocenić naszą reakcję na ten wyzysk. Dyskretny detektor pozwoli nam ocenić skuteczność wykrywania i zebrać informacje na podstawie zbieranych zdarzeń. Jeśli to wykrywanie będzie wyświetlane w wysokiej jakości, w następnej wersji wydamy nowy alert zabezpieczeń.

• Zmieniono nazwę zdalnego wykonywania kodu w systemie DNS na zdalną próbę wykonania kodu za pośrednictwem systemu DNS, ponieważ lepiej odzwierciedla logikę za tymi alertami zabezpieczeń.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.179

Wydany 1 maja 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

2022 kwietnia

Defender for Identity w wersji 2.178

Wydany 10 kwietnia 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Marzec 2022 r.

Defender for Identity w wersji 2.177

Wydany 27 marca 2022 r.

• Usługa Microsoft Defender for Identity może teraz monitorować dodatkowe zapytania LDAP w sieci. Te działania LDAP są wysyłane za pośrednictwem protokołu usługi sieci Web usługi Active Directory i działają jak zwykłe zapytania LDAP. Aby mieć wgląd w te działania, należy włączyć zdarzenie 1644 na kontrolerach domeny. To zdarzenie obejmuje działania LDAP w domenie i służy głównie do identyfikowania drogich, nieefektywnych lub powolnych wyszukiwań protokołu LDAP (Lightweight Directory Access Protocol), które są obsługiwane przez kontrolery domeny usługi Active Directory. Aby uzyskać więcej informacji, zobacz Starsze konfiguracje.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.176

Wydany 16 marca 2022 r.

• Począwszy od tej wersji, podczas instalowania czujnika z nowego pakietu wersja czujnika w obszarze Dodaj/Usuń programy pojawi się z pełnym numerem wersji (na przykład 2.176.x.y), w przeciwieństwie do statycznej wersji 2.0.0.0, która została wcześniej wyświetlona. Będzie nadal pokazywać wersję (zainstalowaną za pośrednictwem pakietu), mimo że wersja zostanie zaktualizowana za pośrednictwem automatycznych aktualizacji z usług w chmurze Defender for Identity. Rzeczywistą wersję można zobaczyć na stronie ustawień czujnika w portalu, w ścieżce wykonywalnej lub w wersji pliku.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.175

Wydany 6 marca 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Luty 2022 r.

Defender for Identity w wersji 2.174

Wydany 20 lutego 2022 r.

• Dodaliśmy nazwę FQDN hosta konta zaangażowanego w alert do wiadomości wysłanej do rozwiązania SIEM. Aby uzyskać więcej informacji, zobacz Dokumentacja dziennika SIEM usługi Microsoft Defender for Identity.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.173

Wydany 13 lutego 2022 r.

• Wszystkie funkcje usługi Microsoft Defender for Identity są teraz dostępne w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz ten wpis w blogu.

• W tej wersji rozwiązano problemy podczas instalowania czujnika w systemie Windows Server 2019 z zainstalowanym KB5009557 lub na serwerze z wzmocnionymi uprawnieniami dziennika zdarzeń.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.172

Wydany 8 lutego 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Styczeń 2022

Defender for Identity w wersji 2.171

Wydany 31 stycznia 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.170

Wydany 24 stycznia 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.169

Wydany 17 stycznia 2022 r.

• Z przyjemnością udostępnimy możliwość skonfigurowania konta działania dla usługi Microsoft Defender for Identity. Jest to pierwszy krok w zakresie wykonywania działań na użytkownikach bezpośrednio z produktu. W pierwszym kroku możesz zdefiniować konto gMSA, które będzie używane przez usługę Microsoft Defender for Identity, aby wykonać te działania. Zdecydowanie zalecamy rozpoczęcie tworzenia tych użytkowników w celu korzystania z funkcji Akcje po jej uruchomieniu. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami akcji.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.168

Wydany 9 stycznia 2022 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Grudzień 2021

Defender for Identity w wersji 2.167

Wydany 29 grudnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.166

Wydany 27 grudnia 2021 r.

• Wersja zawiera nowy alert zabezpieczeń: podejrzane modyfikacje atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287) (identyfikator zewnętrzny 2419).
  W odpowiedzi na opublikowanie ostatnich cvEs usługa Microsoft Defender for Identity wyzwoli alert zabezpieczeń za każdym razem, gdy osoba atakująca próbuje wykorzystać luki CVE-2021-42278 i CVE-2021-42287. Aby dowiedzieć się więcej na temat tego ataku, przeczytaj wpis w blogu.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.165

Wydany 6 grudnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Listopad 2021

Defender for Identity w wersji 2.164

Wydany 17 listopada 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.163

Wydany 8 listopada 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.162

Wydany 1 listopada 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Wrzesień 2021

Defender for Identity w wersji 2.161

Wydany 12 września 2021 r.

• Wersja obejmuje nowe monitorowane działanie: hasło konta gMSA zostało pobrane przez użytkownika. Aby uzyskać więcej informacji, zobacz Działania monitorowane w usłudze Microsoft Defender for Identity
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Sierpień 2021

Defender for Identity w wersji 2.160

Wydany 22 sierpnia 2021 r.

• Wersja zawiera różne ulepszenia i obejmuje więcej scenariuszy zgodnie z najnowszymi zmianami w eksploatacji PetitPotam.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.159

Wydany 15 sierpnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.
• Wersja obejmuje ulepszenie nowo opublikowanego alertu: Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików (identyfikator zewnętrzny 2416).
  Rozszerzyliśmy obsługę tego wykrywania w celu wyzwolenia, gdy potencjalna osoba atakująca komunikuje się za pośrednictwem zaszyfrowanego szyfrowania EFS-RPCchannel. Alerty wyzwalane, gdy kanał jest zaszyfrowany, będą traktowane jako alert o średniej ważności, w przeciwieństwie do wysokich, gdy nie jest zaszyfrowany. Aby dowiedzieć się więcej o alercie, zobacz Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików (identyfikator zewnętrzny 2416).

Defender for Identity w wersji 2.158

Wydany 8 sierpnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

• Wersja zawiera nowy alert zabezpieczeń: Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików (identyfikator zewnętrzny 2416).
  W ramach tego wykrywania usługa Microsoft Defender for Identity wyzwoli alert zabezpieczeń za każdym razem, gdy osoba atakująca próbuje wykorzystać szyfrowania plików EFS-RPC na kontrolerze domeny. Ten wektor ataku jest skojarzony z niedawnym atakiem PetitPotam. Aby dowiedzieć się więcej o alercie, zobacz Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików (identyfikator zewnętrzny 2416).

• Wersja zawiera nowy alert zabezpieczeń: Zdalne wykonywanie kodu programu Exchange Server (CVE-2021-26855) (identyfikator zewnętrzny 2414)
  W tym wykryciu usługa Microsoft Defender for Identity wyzwoli alert zabezpieczeń za każdym razem, gdy osoba atakująca spróbuje zmienić atrybut "msExchExternalHostName" w obiekcie programu Exchange na potrzeby zdalnego wykonywania kodu. Aby dowiedzieć się więcej na temat tego alertu, zobacz Zdalne wykonywanie kodu programu Exchange Server (CVE-2021-26855) (identyfikator zewnętrzny 2414). To wykrywanie opiera się na zdarzeniu systemu Windows 4662, więc należy go wcześniej włączyć. Aby uzyskać informacje na temat konfigurowania i zbierania tego zdarzenia, zobacz Konfigurowanie zbierania zdarzeń systemu Windows i postępuj zgodnie z instrukcjami dotyczącymi włączania inspekcji w obiekcie programu Exchange.

Defender for Identity w wersji 2.157

Wydany 1 sierpnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Lipiec 2021

Defender for Identity w wersji 2.156

Wydany 25 lipca 2021 r.

• Począwszy od tej wersji, do pakietu instalacyjnego czujnika dodamy plik wykonywalny sterownika Npcap. Aby uzyskać więcej informacji, zobacz Sterowniki WinPcap i Npcap.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.155

Wydany 18 lipca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.154

Wydany 11 lipca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.
• Wersja obejmuje dodatkowe ulepszenia i wykrywanie wykorzystania buforu wydruku nazywanego wykrywaniem PrintNightmare w celu pokrycia większej liczby scenariuszy ataku.

Defender for Identity w wersji 2.153

Wydany 4 lipca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

• Wersja zawiera nowy alert zabezpieczeń: Podejrzenie wykorzystania usługi buforowania wydruku systemu Windows (CVE-2021-34527 eksploatacji) (identyfikator zewnętrzny 2415).

  W tym wykryciu usługa Defender for Identity wyzwala alert zabezpieczeń za każdym razem, gdy osoba atakująca próbuje wykorzystać usługę buforowania wydruku systemu Windows względem kontrolera domeny. Ten wektor ataku jest skojarzony z wykorzystaniem buforu wydruku i jest znany jako PrintNightmare. Dowiedz się więcej o tym alercie.

Czerwiec 2021

Defender for Identity w wersji 2.152

Wydany 27 czerwca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.151

Wydany 20 czerwca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.150

Wydany 13 czerwca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Maj 2021

Defender for Identity w wersji 2.149

Wydany 31 maja 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.148

Wydany 23 maja 2021 r.

• Jeśli skonfigurujesz i zbierzesz identyfikator zdarzenia 4662, usługa Defender for Identity zgłosi, który użytkownik dokonał zmiany numeru sekwencji aktualizacji (USN) na różne właściwości obiektu usługi Active Directory. Jeśli na przykład hasło konta zostanie zmienione, a zdarzenie 4662 zostanie włączone, zdarzenie zarejestruje, kto zmienił hasło.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.147

Wydany 9 maja 2021 r.

• Na podstawie opinii klientów zwiększamy domyślną liczbę dozwolonych czujników z zakresu od 200 do 350 oraz poświadczeń usług katalogowych z zakresu od 10 do 30.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.146

Wydany 2 maja 2021 r.

• Powiadomienia e-mail dotyczące problemów z kondycją i alertów zabezpieczeń będą teraz miały adres URL badania zarówno dla usługi Microsoft Defender for Identity, jak i usługi Microsoft Defender XDR.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Kwiecień 2021

Defender for Identity w wersji 2.145

Wydany 22 kwietnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.144

Wydany 12 kwietnia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Marzec 2021

Defender for Identity w wersji 2.143

Wydany 14 marca 2021 r.

• Dodaliśmy zdarzenie systemu Windows 4741 w celu wykrywania kont komputerów dodanych do działań usługi Active Directory . Skonfiguruj nowe zdarzenie do zbierania przez usługę Defender for Identity. Po skonfigurowaniu zebrane zdarzenia będą dostępne do wyświetlenia w dzienniku aktywności, a także w usłudze Microsoft Defender XDR Advanced Hunting.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity, wersja 2.142

Wydany 7 marca 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Luty 2021 r.

Defender for Identity w wersji 2.141

Wydany 21 lutego 2021 r.

• Nowy alert zabezpieczeń: Podejrzany atak as-REP prażenia (identyfikator zewnętrzny 2412)
  Alert zabezpieczeń podejrzany o atak AS-REP w usłudze Defender for Identity (identyfikator zewnętrzny 2412) jest teraz dostępny. W tym wykryciu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy osoba atakująca kieruje konta z wyłączonym wstępnego uwierzytelniania Kerberos i próbuje uzyskać dane biletu TGT protokołu Kerberos. Celem osoby atakującej może być wyodrębnienie poświadczeń z danych przy użyciu ataków polegających na łamaniu haseł w trybie offline. Aby uzyskać więcej informacji, zobacz Kerberos AS-REP Roasting exposure (identyfikator zewnętrzny 2412).
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.140

Wydany 14 lutego 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Styczeń 2021

Defender for Identity, wersja 2.139

Wydany 31 stycznia 2021 r.

• Zaktualizowaliśmy ważność podejrzanego narażenia nazwy SPN protokołu Kerberos na wysoką, aby lepiej odzwierciedlać wpływ alertu. Aby uzyskać więcej informacji na temat alertu, zobacz Podejrzenie ujawnienia nazwy SPN protokołu Kerberos (identyfikator zewnętrzny 2410)
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.138

Wydany 24 stycznia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.137

Wydany 17 stycznia 2021 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.136

Wydany 3 stycznia 2021 r.

• Usługa Defender for Identity obsługuje teraz instalowanie czujników na serwerach usług Active Directory Federation Services (AD FS). Zainstalowanie czujnika na zgodnych serwerach usług AD FS rozszerza wgląd w usługę Microsoft Defender for Identity w środowisku hybrydowym, monitorując ten krytyczny składnik infrastruktury. Odświeżyliśmy również niektóre z naszych istniejących wykryć (podejrzane tworzenie usługi, podejrzenie ataku siłowego (LDAP), wyliczanie kont, aby pracować również na danych usług AD FS. Aby rozpocząć wdrażanie czujnika usługi Microsoft Defender for Identity dla serwera usług AD FS, pobierz najnowszy pakiet wdrożeniowy ze strony konfiguracji czujnika.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Grudzień 2020

Defender for Identity w wersji 2.135

Wydany 20 grudnia 2020 r.

• Ulepszyliśmy nasz alert rekonesansu atrybutów usługi Active Directory (LDAP) (identyfikator zewnętrzny 2210), aby wykrywać również techniki używane do uzyskiwania informacji potrzebnych do generowania tokenów zabezpieczających, takich jak w ramach kampanii Solorigate.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.134

Wydany 13 grudnia 2020 r.

• Nasz niedawno wydany detektor NetLogon został ulepszony, aby również działać, gdy transakcja kanału Netlogon odbywa się za pośrednictwem zaszyfrowanego kanału. Aby uzyskać więcej informacji na temat detektora, zobacz Podejrzenie próby podniesienia uprawnień Netlogon.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.133

Wydany 6 grudnia 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Listopad 2020

Defender for Identity w wersji 2.132

Wydany 17 listopada 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Defender for Identity w wersji 2.131

Wydany 8 listopada 2020 r.

• Nowy alert zabezpieczeń: Podejrzenie ujawnienia głównej nazwy usługi Kerberos (identyfikator zewnętrzny 2410)
  Alert zabezpieczeń Podejrzanej nazwy SPN protokołu Kerberos (identyfikator zewnętrzny 2410) usługi Defender for Identity jest teraz dostępny. W tym wykryciu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy osoba atakująca wylicza konta usług i odpowiednie nazwy SPN, a następnie żąda biletów TGS protokołu Kerberos dla usług. Celem osoby atakującej może być wyodrębnienie skrótów z biletów i zapisanie ich do późniejszego użycia w atakach siłowych w trybie offline. Aby uzyskać więcej informacji, zobacz Ekspozycja nazwy SPN protokołu Kerberos.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Październik 2020

Defender for Identity w wersji 2.130

Wydany 25 października 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.129

Wydany 18 października 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Wrzesień 2020

Azure ATP wersja 2.128

Wydany 27 września 2020 r.

• Konfiguracja zmodyfikowanych powiadomień e-mail
  Usuwamy przełączanie powiadomień e-mail na potrzeby włączania powiadomień e-mail. Aby otrzymywać powiadomienia e-mail, wystarczy dodać adres. Aby uzyskać więcej informacji, zobacz Ustawianie powiadomień.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.127

Wydany 20 września 2020 r.

• Nowy alert zabezpieczeń: Podejrzenie próby podniesienia uprawnień netlogon (identyfikator zewnętrzny 2411)
  Próba podniesienia poziomu uprawnień usługi Azure ATP (CVE-2020-1472) (zewnętrzny identyfikator 2411) jest teraz dostępny. W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy osoba atakująca ustanawia podatne na zagrożenia połączenie z bezpiecznym kanałem Netlogon z kontrolerem domeny przy użyciu protokołu Netlogon Remote Protocol (MS-NRPC), znanego również jako luka w zabezpieczeniach podniesienia uprawnień netlogon. Aby uzyskać więcej informacji, zobacz Podejrzenie próby podniesienia uprawnień netlogon.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.126

Wydany 13 września 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.125

Wydany 6 września 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Sierpień 2020

Usługa Azure ATP w wersji 2.124

Wydany 30 sierpnia 2020 r.

• Nowe alerty zabezpieczeń
  Alerty zabezpieczeń usługi Azure ATP obejmują teraz następujące nowe wykrycia:
  • Rekonesans atrybutów usługi Active Directory (LDAP) (identyfikator zewnętrzny 2210)
    W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy atakujący jest podejrzany o pomyślne uzyskanie krytycznych informacji o domenie do użycia w łańcuchu zabić ataków. Aby uzyskać więcej informacji, zobacz Rekonesans atrybutów usługi Active Directory.
  • Podejrzenie użycia nieautoryzowanych certyfikatów Kerberos (identyfikator zewnętrzny 2047)
    W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy osoba atakująca, która przejęła kontrolę nad organizacją przez naruszenie serwera urzędu certyfikacji, jest podejrzany o generowanie certyfikatów, które mogą być używane jako konta backdoor w przyszłych atakach, takich jak przenoszenie później w sieci. Aby uzyskać więcej informacji, zobacz Podejrzenie użycia nieautoryzowanych certyfikatów Protokołu Kerberos.
  • Podejrzenie użycia złotego biletu (anomalia biletu przy użyciu protokołu RBCD) (identyfikator zewnętrzny 2040)
    Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Korzystając z konta KRBTGT, mogą utworzyć bilet przyznawania biletów Protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu.
    Ten sfałszowany bilet TGT jest nazywany "złotym biletem", ponieważ umożliwia atakującym osiągnięcie trwałej trwałości sieci przy użyciu ograniczonego delegowania opartego na zasobach (RBCD). Sfałszowane złote bilety tego typu mają unikatowe cechy, które nowe wykrywanie jest przeznaczone do identyfikowania. Aby uzyskać więcej informacji, zobacz Podejrzenie użycia złotego biletu (anomalia biletu przy użyciu RBCD).
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.123

Wydany 23 sierpnia 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.122

Wydany 16 sierpnia 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.121

Wydany 2 sierpnia 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Lipiec 2020

Usługa Azure ATP w wersji 2.120

Wydany 26 lipca 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.119

Wydany 5 lipca 2020 r.

• Ulepszenia funkcji: nowa karta Wykluczone kontrolery domeny w raporcie programu Excel
  Aby zwiększyć dokładność obliczeń pokrycia kontrolera domeny, będziemy wykluczać kontrolery domeny z zewnętrznymi relacjami zaufania z obliczeń w celu osiągnięcia 100% pokrycia. Wykluczone kontrolery domeny zostaną wyświetlone na nowej karcie wykluczone kontrolery domeny w pobranym raporcie programu Excel dotyczącym pokrycia domeny. Aby uzyskać informacje na temat pobierania raportu, zobacz Stan kontrolera domeny.
• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Czerwiec 2020

Azure ATP w wersji 2.118

Wydany 28 czerwca 2020 r.

• Nowe oceny zabezpieczeń
  Oceny zabezpieczeń usługi Azure ATP obejmują teraz następujące nowe oceny:

  • Najbardziej ryzykowne ścieżki ruchu bocznego
    Ta ocena stale monitoruje środowisko w celu identyfikowania poufnych kont przy użyciu najbardziej ryzykownych ścieżek przenoszenia bocznego, które narażają ryzyko bezpieczeństwa, oraz raportuje te konta, aby ułatwić zarządzanie środowiskiem. Ścieżki są uznawane za ryzykowne, jeśli mają co najmniej trzy niewrażliwe konta, które mogą uwidocznić poufne konto w celu kradzieży poświadczeń przez złośliwych podmiotów. Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: najbardziej ryzykowne ścieżki ruchu bocznego (LMP).
  • Niezabezpieczone atrybuty konta
    Ta ocena usługi Azure ATP stale monitoruje środowisko, aby identyfikować konta z wartościami atrybutów, które ujawniają ryzyko bezpieczeństwa, i raporty dotyczące tych kont, aby ułatwić ochronę środowiska. Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: Niezabezpieczone atrybuty konta.

• Zaktualizowano definicję poufności
  Rozszerzamy naszą definicję poufności dla kont lokalnych w celu uwzględnienia jednostek, które mogą używać replikacji usługi Active Directory.

Azure ATP w wersji 2.117

Wydany 14 czerwca 2020 r.

• Ulepszenia funkcji: dodatkowe szczegóły działania dostępne w ujednoliconym środowisku SecOps
  Rozszerzyliśmy informacje o urządzeniu wysyłane do usługi Defender dla Chmury Apps, w tym nazwy urządzeń, adresy IP, nazwy UPN kont i używany port. Aby uzyskać więcej informacji na temat integracji z usługą Defender dla Chmury Apps, zobacz Using Azure ATP with Defender dla Chmury Apps (Używanie usługi Azure ATP z aplikacjami Defender dla Chmury).

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.116

Wydany 7 czerwca 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Maj 2020

Usługa Azure ATP w wersji 2.115

Wydany 31 maja 2020 r.

• Nowe oceny zabezpieczeń
  Oceny zabezpieczeń usługi Azure ATP obejmują teraz następujące nowe oceny:

  • Niezabezpieczone atrybuty historii identyfikatorów SID
    Ta ocena zgłasza atrybuty historii identyfikatorów SID, które mogą być używane przez złośliwych atakujących w celu uzyskania dostępu do środowiska. Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: niezabezpieczone atrybuty historii identyfikatorów SID.
  • Użycie rozwiązania Microsoft LAPS
    Ta ocena raportuje na kontach administratorów lokalnych, które nie używają rozwiązania "Lokalnego administratora haseł" (LAPS) firmy Microsoft do zabezpieczania haseł. Korzystanie z rozwiązania LAPS upraszcza zarządzanie hasłami, a także pomaga bronić przed cyberatakami. Aby uzyskać więcej informacji, zobacz Ocena zabezpieczeń: użycie rozwiązania Microsoft LAPS.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.114

Wydany 17 maja 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.113

Wydany 5 maja 2020 r.

• Ulepszenia funkcji: wzbogacone działanie dostępu do zasobów za pomocą NTLMv1
  Począwszy od tej wersji, usługa Azure ATP udostępnia teraz informacje dotyczące działań dostępu do zasobów pokazujących, czy zasób korzysta z uwierzytelniania NTLMv1. Ta konfiguracja zasobu jest niezabezpieczona i stanowi ryzyko, że złośliwi aktorzy mogą wymusić na ich korzyść aplikację. Aby uzyskać więcej informacji na temat ryzyka, zobacz Użycie starszych protokołów.

• Ulepszenia funkcji: alert o podejrzanym ataku siłowego (Kerberos, NTLM)
  Atak siłowy jest używany przez osoby atakujące do uzyskania przyczółku w organizacji i jest kluczową metodą wykrywania zagrożeń i ryzyka w usłudze Azure ATP. Aby ułatwić skoncentrowanie się na krytycznych zagrożeniach dla użytkowników, ta aktualizacja ułatwia i szybsze analizowanie i korygowanie zagrożeń przez ograniczenie i nadanie priorytetów ilości alertów.

Marzec 2020 r.

Azure ATP w wersji 2.112

Wydany 15 marca 2020 r.

• Nowe wystąpienia usługi Azure ATP automatycznie integrują się z aplikacjami Microsoft Defender dla Chmury
  Podczas tworzenia wystąpienia usługi Azure ATP (dawniej wystąpienia) integracja z aplikacjami Microsoft Defender dla Chmury jest domyślnie włączona. Aby uzyskać więcej informacji na temat integracji, zobacz Using Azure ATP with Microsoft Defender dla Chmury Apps (Używanie usługi Azure ATP z aplikacjami Microsoft Defender dla Chmury).

• Nowe monitorowane działania
  Dostępne są teraz następujące monitory aktywności:

  • Logowanie interakcyjne przy użyciu certyfikatu

  • Nieudane logowanie przy użyciu certyfikatu

  • Dostęp do delegowanych zasobów

    Dowiedz się więcej na temat działań monitorowanych przez usługę Azure ATP oraz sposobu filtrowania i wyszukiwania monitorowanych działań w portalu.

• Ulepszenia funkcji: wzbogacone działanie dostępu do zasobów
  Począwszy od tej wersji, usługa Azure ATP udostępnia teraz informacje dotyczące działań dostępu do zasobów pokazujących, czy zasób jest zaufany w przypadku delegowania bez ograniczeń. Ta konfiguracja zasobu jest niezabezpieczona i stanowi ryzyko, że złośliwi aktorzy mogą wymusić na ich korzyść aplikację. Aby uzyskać więcej informacji na temat ryzyka, zobacz Ocena zabezpieczeń: Niezabezpieczone delegowanie protokołu Kerberos.

• Podejrzenie manipulowania pakietami SMB (CVE-2020-0796) — (wersja zapoznawcza)
  Podejrzany alert zabezpieczeń manipulowania pakietami SMB w usłudze Azure ATP jest teraz w publicznej wersji zapoznawczej. W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy pakiet SMBv3 podejrzewany o wykorzystanie luki CVE-2020-0796 w zabezpieczeniach jest nawiązywany z kontrolerem domeny w sieci.

Azure ATP wersja 2.111

Wydany 1 marca 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Luty 2020 r.

Usługa Azure ATP w wersji 2.110

Wydany 23 lutego 2020 r.

• Nowa ocena zabezpieczeń: niemonitorowane kontrolery domeny
  Oceny zabezpieczeń usługi Azure ATP zawierają teraz raport dotyczący niemonitorowanych kontrolerów domeny, serwerów bez czujnika, co ułatwia zarządzanie pełnym pokryciem środowiska. Aby uzyskać więcej informacji, zobacz Niemonitorowane kontrolery domeny.

Azure ATP wersja 2.109

Wydany 16 lutego 2020 r.

• Ulepszenia funkcji: Jednostki poufne
  Począwszy od tej wersji (2.109), maszyny zidentyfikowane jako urząd certyfikacji, DHCP lub serwery DNS przez usługę Azure ATP są teraz automatycznie oznaczane jako poufne.

Azure ATP wersja 2.108

Wydany 9 lutego 2020 r.

• Nowa funkcja: Obsługa kont usług zarządzanych przez grupę
  Usługa Azure ATP obsługuje teraz używanie kont usług zarządzanych przez grupę (gMSA) w celu zwiększenia bezpieczeństwa podczas łączenia czujników usługi Azure ATP z lasami firmy Microsoft Entra. Aby uzyskać więcej informacji na temat korzystania z usługi gMSA z czujnikami usługi Azure ATP, zobacz Nawiązywanie połączenia z lasem usługi Active Directory.

• Ulepszenie funkcji: zaplanowany raport z zbyt dużą ilością danych
  Gdy zaplanowany raport zawiera zbyt dużo danych, wiadomość e-mail informuje teraz o tym, wyświetlając następujący tekst: W określonym przedziale czasu było zbyt dużo danych, aby wygenerować raport. Spowoduje to zastąpienie poprzedniego zachowania tylko wykryciem faktu po kliknięciu linku raportu w wiadomości e-mail.

• Ulepszenia funkcji: zaktualizowana logika pokrycia kontrolera domeny
  Zaktualizowaliśmy logikę raportu pokrycia kontrolera domeny, aby uwzględnić dodatkowe informacje z identyfikatora Entra firmy Microsoft, co zapewnia dokładniejszy widok kontrolerów domeny bez czujników na nich. Ta nowa logika powinna również mieć pozytywny wpływ na odpowiedni wskaźnik bezpieczeństwa firmy Microsoft.

Azure ATP wersja 2.107

Wydany 3 lutego 2020 r.

• Nowe monitorowane działanie: zmiana historii identyfikatorów SID
  Zmiana historii identyfikatorów SID jest teraz monitorowaną i filtrowaną aktywnością. Dowiedz się więcej na temat działań monitorowanych przez usługę Azure ATP oraz sposobu filtrowania i wyszukiwania monitorowanych działań w portalu.

• Ulepszenia funkcji: alerty zamknięte lub pominięte nie są już ponownie otwierane
  Po zamknięciu lub pomijaniu alertu w portalu usługi Azure ATP, jeśli to samo działanie zostanie wykryte ponownie w krótkim czasie, zostanie otwarty nowy alert. Wcześniej w tych samych warunkach alert został ponownie otwarty.

• Protokół TLS 1.2 wymagany do uzyskiwania dostępu do portalu i czujników
  Protokół TLS 1.2 jest teraz wymagany do korzystania z czujników usługi Azure ATP i usługi w chmurze. Dostęp do portalu usługi Azure ATP nie będzie już możliwy przy użyciu przeglądarek, które nie obsługują protokołu TLS 1.2.

Styczeń 2020

Azure ATP w wersji 2.106

Wydany 19 stycznia 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.105

Wydany 12 stycznia 2020 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Grudzień 2019

Azure ATP wersja 2.104

Wydany 23 grudnia 2019 r.

• Wyeliminowano wygaśnięcie wersji czujnika
  Wdrożenia czujników i pakietów instalacyjnych czujników usługi Azure ATP nie wygasają już po kilku wersjach i teraz aktualizują się tylko raz. Wynikiem tej funkcji jest to, że wcześniej pobrane pakiety instalacyjne czujnika można teraz zainstalować nawet wtedy, gdy są starsze niż maksymalna liczba wygasłych wersji.

• Confirm compromise (Potwierdzanie naruszenia zabezpieczeń)
  Możesz teraz potwierdzić naruszenie zabezpieczeń określonych użytkowników platformy Microsoft 365 i ustawić ich poziom ryzyka na wysoki. Ten przepływ pracy umożliwia zespołom ds. operacji zabezpieczeń kolejną możliwość reagowania, aby zmniejszyć limity czasu rozwiązywania problemów z zabezpieczeniami. Dowiedz się więcej na temat potwierdzania naruszenia zabezpieczeń przy użyciu usługi Azure ATP i Defender dla Chmury Apps.

• Baner nowego środowiska
  Na stronach portalu usługi Azure ATP, na których jest dostępne nowe środowisko w portalu Defender dla Chmury Apps, wyświetlane są nowe banery opisujące, co jest dostępne z linkami dostępu.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.103

Wydany 15 grudnia 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.102

Wydany 8 grudnia 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Listopad 2019 r.

Azure ATP wersja 2.101

Wydany 24 listopada 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.100

Wydany 17 listopada 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.99

Wydany 3 listopada 2019 r.

• Rozszerzenie funkcji: dodano powiadomienie interfejsu użytkownika o dostępności portalu Defender dla Chmury Apps do portalu usługi Azure ATP
  Upewniając się, że wszyscy użytkownicy wiedzą o dostępności rozszerzonych funkcji dostępnych za pomocą portalu Defender dla Chmury Apps, powiadomienie zostało dodane dla portalu z istniejącej osi czasu alertów usługi Azure ATP.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Październik 2019

Azure ATP wersja 2.98

Wydany 27 października 2019 r.

• Ulepszenia funkcji: podejrzany alert o ataku siłowy
  Ulepszono alert Podejrzenie ataku siłowego (SMB) przy użyciu dodatkowej analizy oraz ulepszono logikę wykrywania w celu zmniejszenia łagodnego wyniku prawdziwie dodatniego (B-TP) i wyników alertów fałszywie dodatnich (FP).

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.97

Wydany 6 października 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Wrzesień 2019

Azure ATP w wersji 2.96

Wydany 22 września 2019 r.

• Wzbogacone dane uwierzytelniania NTLM przy użyciu zdarzenia systemu Windows 8004
  Czujniki usługi Azure ATP są teraz w stanie automatycznie odczytywać i wzbogacać działania uwierzytelniania NTLM przy użyciu danych serwera, gdy inspekcja NTLM jest włączona, a zdarzenie 8004 jest włączone. Usługa Azure ATP analizuje zdarzenia systemu Windows 8004 dla uwierzytelniania NTLM w celu wzbogacania danych uwierzytelniania NTLM używanych do analizy zagrożeń i alertów usługi Azure ATP. Ta rozszerzona funkcja zapewnia aktywność dostępu do zasobów za pośrednictwem danych NTLM, a także wzbogacone działania logowania w trybie failed, w tym komputer docelowy, do którego użytkownik próbował uzyskać dostęp, ale nie może uzyskać dostępu.

  Dowiedz się więcej o działaniach uwierzytelniania NTLM przy użyciu zdarzenia systemu Windows 8004.

• Wersja obejmuje również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.95

Wydany 15 września 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.94

Wydany 8 września 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.93

Wydany 1 września 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Sierpień 2019

Usługa Azure ATP w wersji 2.92

Wydany 25 sierpnia 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.91

Wydany 18 sierpnia 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.90

Wydany 11 sierpnia 2019 r.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.89

Wydany 4 sierpnia 2019 r.

• Ulepszenia metody czujnika
  Aby uniknąć nadmiarowego generowania ruchu NTLM podczas tworzenia dokładnych ocen ścieżki ruchu bocznego (LMP), wprowadzono ulepszenia metod czujnika usługi Azure ATP, aby polegać mniej na użyciu protokołu NTLM i zwiększyć znaczące wykorzystanie protokołu Kerberos.

• Ulepszenie alertu: podejrzane użycie biletu złotego (nieistniejących kont)
  Zmiany nazwy SAM zostały dodane do typów dowodów pomocniczych wymienionych w tym typie alertu. Aby dowiedzieć się więcej o alercie, w tym o sposobie zapobiegania temu typowi działania i korygowaniu, zobacz Podejrzane użycie złotego biletu (nieistniejących kont).

• Ogólna dostępność: Podejrzenie naruszenia uwierzytelniania NTLM
  Podejrzany alert naruszenia uwierzytelniania NTLM nie jest już w trybie podglądu i jest teraz ogólnie dostępny.

• Wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Lipiec 2019

Azure ATP w wersji 2.88

Wydany 28 lipca 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.87

Wydany 21 lipca 2019 r.

• Ulepszenia funkcji: automatyczne zbieranie zdarzeń usługi Syslog dla autonomicznych czujników usługi Azure ATP
  Przychodzące połączenia dziennika systemowego dla autonomicznych czujników usługi Azure ATP są teraz w pełni zautomatyzowane, jednocześnie usuwając opcję przełącznika z ekranu konfiguracji. Te zmiany nie mają wpływu na wychodzące połączenia dziennika systemowego.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.86

Wydany 14 lipca 2019 r.

• Nowy alert zabezpieczeń: Podejrzenie naruszenia uwierzytelniania NTLM (identyfikator zewnętrzny 2039)
  Nowy alert zabezpieczeń podejrzanego uwierzytelniania NTLM w usłudze Azure ATP jest teraz w publicznej wersji zapoznawczej. W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy użycie ataku "man-in-the-middle" jest podejrzane o pomyślne pominięcie kontroli integralności komunikatów NTLM (MIC), luki w zabezpieczeniach szczegółowo opisanej w artykule Microsoft CVE-2019-040. Te typy ataków próbują obniżyć funkcje zabezpieczeń NTLM i pomyślnie uwierzytelnić się, przy ostatecznym celu podejmowania pomyślnych ruchów bocznych.

• Ulepszenia funkcji: wzbogacona identyfikacja systemu operacyjnego urządzenia
  Do tej pory usługa Azure ATP dostarczyła informacje o systemie operacyjnym urządzenia jednostki na podstawie dostępnego atrybutu w usłudze Active Directory. Wcześniej, jeśli informacje o systemie operacyjnym były niedostępne w usłudze Active Directory, informacje były również niedostępne na stronach jednostek usługi Azure ATP. Począwszy od tej wersji, usługa Azure ATP udostępnia teraz te informacje dla urządzeń, na których usługa Active Directory nie ma informacji lub nie jest zarejestrowana w usłudze Active Directory przy użyciu wzbogaconych metod identyfikacji systemu operacyjnego urządzenia.

  Dodanie wzbogaconych danych identyfikacji systemu operacyjnego urządzenia ułatwia identyfikowanie niezarejestrowanych i niezarejestrowanych urządzeń z systemem Windows, jednocześnie pomagając w procesie badania. Aby dowiedzieć się więcej na temat rozpoznawania nazw sieci w usłudze Azure ATP, zobacz Understanding Network Name Resolution (NNR) (Omówienie rozpoznawania nazw sieciowych (NNR).

• Nowa funkcja: Uwierzytelniony serwer proxy — wersja zapoznawcza
  Usługa Azure ATP obsługuje teraz uwierzytelniony serwer proxy. Określ adres URL serwera proxy przy użyciu wiersza polecenia czujnika i określ nazwę użytkownika/hasło, aby używać serwerów proxy, które wymagają uwierzytelniania. Aby uzyskać więcej informacji na temat korzystania z uwierzytelnioowanego serwera proxy, zobacz Konfigurowanie serwera proxy.

• Ulepszenia funkcji: zautomatyzowany proces synchronizatora domeny
  Proces projektowania i tagowania kontrolerów domeny jako kandydatów synchronizatora domeny podczas instalacji i ciągłej konfiguracji jest teraz w pełni zautomatyzowany. Opcja przełącznika ręcznego wybierania kontrolerów domeny jako kandydatów synchronizatora domeny jest usuwana.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.85

Wydany 7 lipca 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.84

Wydany 1 lipca 2019 r.

• Obsługa nowej lokalizacji: Centrum danych Azure Uk
  Wystąpienia usługi Azure ATP są teraz obsługiwane w centrum danych Platformy Azure w Wielkiej Brytanii. Aby dowiedzieć się więcej na temat tworzenia wystąpień usługi Azure ATP i odpowiadających im lokalizacji centrum danych, zobacz Krok 1 instalacji usługi Azure ATP.

• Ulepszenia funkcji: nowa nazwa i funkcje dla alertu Podejrzane dodatki do poufnych grup (identyfikator zewnętrzny 2024)
  Alert Podejrzane dodatki do grup poufnych został wcześniej nazwany alertem Podejrzane modyfikacje dla poufnych grup . Zewnętrzny identyfikator alertu (identyfikator 2024) pozostaje taki sam. Bardziej dokładna zmiana nazwy opisowej odzwierciedla cel zgłaszania alertów dotyczących dodatków do poufnych grup. Rozszerzony alert zawiera również nowe dowody i ulepszone opisy. Aby uzyskać więcej informacji, zobacz Podejrzane dodatki do grup poufnych.

• Nowa funkcja dokumentacji: Przewodnik po przejściu z usługi Advanced Threat Analytics do usługi Azure ATP
  Ten nowy artykuł zawiera wymagania wstępne, wskazówki dotyczące planowania, a także kroki konfiguracji i weryfikacji przejścia z usługi ATA do usługi Azure ATP. Aby uzyskać więcej informacji, zobacz Przenoszenie z usługi ATA do usługi Azure ATP.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

2019 czerwca

Usługa Azure ATP w wersji 2.83

Wydany 23 czerwca 2019 r.

• Ulepszenia funkcji: Alert tworzenia podejrzanej usługi (identyfikator zewnętrzny 2026)
  Ten alert zawiera teraz ulepszoną stronę alertu z dodatkowymi dowodami i nowym opisem. Aby uzyskać więcej informacji, zobacz Podejrzany alert zabezpieczeń tworzenia usługi.

• Obsługa nazewnictwa wystąpień: dodano obsługę tylko prefiksu domeny z cyfrą
  Dodano obsługę tworzenia wystąpienia usługi Azure ATP przy użyciu prefiksów domeny początkowej, które zawierają tylko cyfry. Na przykład użycie cyfry tylko początkowych prefiksów domeny, takich jak 123456.contoso.com, są teraz obsługiwane.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.82

Wydany 18 czerwca 2019 r.

• Nowa publiczna wersja zapoznawcza
  Środowisko badania zagrożeń tożsamości usługi Azure ATP jest teraz dostępne w publicznej wersji zapoznawczej i jest dostępne dla wszystkich dzierżaw chronionych przez usługę Azure ATP. Aby dowiedzieć się więcej, zobacz Badanie usługi Azure ATP Microsoft Defender dla Chmury Apps.

• Ogólna dostępność
  Obsługa usługi Azure ATP dla niezaufanych lasów jest teraz ogólnie dostępna. Aby dowiedzieć się więcej, zobacz Wiele lasów usługi Azure ATP.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.81

Wydany 10 czerwca 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.80

Wydany 2 czerwca 2019 r.

• Ulepszenia funkcji: alert o podejrzanym połączeniu sieci VPN
  Ten alert zawiera teraz ulepszone dowody i teksty w celu zwiększenia użyteczności. Aby uzyskać więcej informacji o funkcjach alertów i sugerowanych krokach korygowania i zapobieganiu, zobacz Opis podejrzanego alertu połączenia sieci VPN.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

2019 maja

Azure ATP wersja 2.79

Wydany 26 maja 2019 r.

• Ogólna dostępność: rekonesans podmiotu zabezpieczeń (LDAP) (identyfikator zewnętrzny 2038)

  Ten alert znajduje się teraz w ogólnie dostępnej wersji (ogólna dostępność). Aby uzyskać więcej informacji na temat alertu, funkcji alertu i sugerowanego korygowania i zapobiegania, zobacz opis alertu rekonesansu podmiotu zabezpieczeń (LDAP)

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.78

Wydany 19 maja 2019 r.

• Ulepszenia funkcji: Jednostki poufne
  Ręczne tagowanie poufne dla serwerów Exchange

  Teraz można ręcznie oznaczyć jednostki jako serwery exchange podczas konfiguracji.

  Aby ręcznie oznaczyć jednostkę jako serwer Exchange:

  1. W portalu usługi Azure ATP wybierz pozycję Konfiguracja.
  2. W obszarze Wykrywanie wybierz pozycję Tagi jednostek, a następnie wybierz pozycję Poufne.
  3. Wybierz pozycję Serwery exchange, a następnie dodaj jednostkę, którą chcesz oznaczyć.

  Po oznaczeniu komputera jako programu Exchange Server zostanie on oznaczony jako Poufny i wyświetlony, że został otagowany jako serwer Exchange. Tag Poufny pojawi się w profilu jednostki komputera, a komputer będzie brany pod uwagę we wszystkich wykryciach opartych na kontach poufnych i ścieżkach ruchu bocznego.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.77

Wydany 12 maja 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.76

Wydany 6 maja 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

2019 kwietnia

Usługa Azure ATP w wersji 2.75

Wydany 28 kwietnia 2019 r.

• Ulepszenia funkcji: Jednostki poufne
  Począwszy od tej wersji (2.75), maszyny zidentyfikowane jako serwery exchange przez usługę Azure ATP są teraz automatycznie oznaczane jako poufne.

  Jednostki, które są automatycznie oznaczone jako Poufne , ponieważ działają one jako serwery Exchange wyświetlają tę klasyfikację jako przyczynę tagów.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.74

Wydanie 14 kwietnia 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.73

Wydany 10 kwietnia 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

marzec 2019 r.

Usługa Azure ATP w wersji 2.72

Wydany 31 marca 2019 r.

• Ulepszenia funkcji: głębokość w zakresie ścieżki ruchu bocznego (LMP)
  Ścieżki ruchu bocznego (LMPs) to kluczowa metoda wykrywania zagrożeń i ryzyka w usłudze Azure ATP. Aby ułatwić skoncentrowanie się na krytycznym ryzyku dla najbardziej wrażliwych użytkowników, ta aktualizacja ułatwia analizowanie i korygowanie zagrożeń dla poufnych użytkowników na każdym LMP przez ograniczenie zakresu i głębokości wyświetlanego grafu.

  Zobacz Ścieżki przenoszenia bocznego, aby dowiedzieć się więcej na temat sposobu, w jaki usługa Azure ATP używa lmP do uwidożenia ryzyka dostępu do każdej jednostki w danym środowisku.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.71

Wydany 24 marca 2019 r.

• Ulepszenia funkcji: alerty dotyczące kondycji rozpoznawania nazw sieci (NNR)
  Alerty dotyczące kondycji zostały dodane dla poziomów ufności skojarzonych z alertami zabezpieczeń usługi Azure ATP opartymi na protokole NNR. Każdy alert dotyczący kondycji zawiera zalecenia umożliwiające podejmowanie działań i szczegółowe zalecenia ułatwiające rozwiązywanie problemów z niskimi współczynnikami powodzenia NNR.

  Zobacz Co to jest rozpoznawanie nazw sieci, aby dowiedzieć się więcej o tym, jak usługa Azure ATP używa sieci NNR i dlaczego jest ważna dla dokładności alertów.

• Obsługa serwera: dodano obsługę programu Server 2019 z użyciem KB4487044
  Dodano obsługę do korzystania z systemu Windows Server 2019 z poziomem poprawek KB4487044. Korzystanie z programu Server 2019 bez poprawki nie jest obsługiwane i jest blokowane od tej aktualizacji.

• Ulepszenia funkcji: wykluczenie alertu opartego na użytkowniku
  Rozszerzone opcje wykluczania alertów umożliwiają teraz wykluczanie określonych użytkowników z określonych alertów. Wykluczenia mogą pomóc uniknąć sytuacji, w których użycie lub konfiguracja niektórych typów oprogramowania wewnętrznego wielokrotnie wyzwalane łagodne alerty zabezpieczeń.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.70

Wydany 17 marca 2019 r.

• Ulepszenia funkcji: poziom ufności rozpoznawania nazw sieci (NNR) dodany do wielu alertów Rozpoznawanie nazw sieciowych lub (NNR) jest używany do pozytywnego identyfikowania tożsamości jednostki źródłowej podejrzanych ataków. Dodając poziomy ufności NNR do list dowodów alertów usługi Azure ATP, można teraz natychmiast ocenić i zrozumieć poziom ufności NNR związane z możliwymi zidentyfikowanych źródłami i odpowiednio skorygować.

  NNR poziom ufności dowody zostały dodane do następujących alertów:

  • Rekonesans mapowania sieci (DNS)
  • Podejrzenie kradzieży tożsamości (pass-the-ticket)
  • Podejrzenie ataku przekaźnika NTLM (konto programu Exchange) — wersja zapoznawcza
  • Podejrzany atak DCSync (replikacja usług katalogowych)

• Dodatkowy scenariusz alertu kondycji: nie można uruchomić usługi czujnika usługi Azure ATP
  W przypadkach, w których nie można uruchomić czujnika usługi Azure ATP z powodu problemu ze sterownikiem przechwytywania sieci, alert kondycji czujnika jest teraz wyzwalany. Aby uzyskać więcej informacji na temat dzienników usługi Azure ATP i sposobu ich używania, zobacz Rozwiązywanie problemów z czujnikiem usługi Azure ATP za pomocą dzienników usługi Azure ATP.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.69

Wydany 10 marca 2019 r.

• Ulepszenie funkcji: Podejrzenie kradzieży tożsamości (pass-the-ticket) alert Ten alert zawiera teraz nowe dowody pokazujące szczegóły połączeń wykonanych przy użyciu protokołu RDP (Remote Desktop Protocol). Dodane dowody ułatwiają korygowanie znanego problemu (B-TP) Nieszkodliwe prawdziwie dodatnie alerty spowodowane użyciem funkcji Remote Credential Guard za pośrednictwem połączeń RDP.

• Ulepszenia funkcji: zdalne wykonywanie kodu za pośrednictwem alertu DNS
  Ten alert zawiera teraz nowe dowody pokazujące stan aktualizacji zabezpieczeń kontrolera domeny, informując o konieczności aktualizacji.

• Nowa funkcja dokumentacji: Azure ATP Security alert MITRE ATT&CK Matrix™
  Aby wyjaśnić i ułatwić mapowanie relacji między alertami zabezpieczeń usługi Azure ATP i znaną macierzą MITRE ATT&CK, dodaliśmy odpowiednie techniki MITRE do list alertów zabezpieczeń usługi Azure ATP. Ta dodatkowa dokumentacja ułatwia zrozumienie potencjalnie używanej techniki podejrzanego ataku po wyzwoleniu alertu zabezpieczeń usługi Azure ATP. Dowiedz się więcej o przewodniku alertów zabezpieczeń usługi Azure ATP.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.68

Wydany 3 marca 2019 r.

• Ulepszenia funkcji: podejrzenie ataku siłowego (LDAP)
  Wprowadzono znaczące ulepszenia użyteczności dla tego alertu zabezpieczeń, w tym poprawiony opis, aprowizację dodatkowych informacji źródłowych i szczegóły próby odgadnięcia w celu szybszego korygowania.
  Dowiedz się więcej o podejrzanych alertach zabezpieczeń ataków siłowych (LDAP).

• Nowa funkcja dokumentacji: laboratorium alertów zabezpieczeń
  Aby wyjaśnić możliwości usługi Azure ATP w wykrywaniu rzeczywistych zagrożeń w środowisku roboczym, dodaliśmy nowe laboratorium alertów zabezpieczeń do tej dokumentacji. Laboratorium alertów zabezpieczeń pomaga szybko skonfigurować laboratorium lub środowisko testowe i wyjaśnia najlepszą defensywną posturing przed typowymi, rzeczywistymi zagrożeniami i atakami.

  Laboratorium krok po kroku zostało zaprojektowane w celu zapewnienia minimalnej ilości czasu na tworzeniu, a także więcej czasu na poznawanie krajobrazu zagrożeń i dostępnych alertów i ochrony usługi Azure ATP. Jesteśmy podekscytowani, aby usłyszeć Twoją opinię.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Luty 2019 r.

Azure ATP w wersji 2.67

Wydany 24 lutego 2019 r.

• Nowy alert zabezpieczeń: rekonesans podmiotu zabezpieczeń (LDAP) — (wersja zapoznawcza)
  Rekonesans podmiotu zabezpieczeń usługi Azure ATP (LDAP) — alert zabezpieczeń w wersji zapoznawczej jest teraz dostępny w publicznej wersji zapoznawczej . W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy rekonesans podmiotu zabezpieczeń jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Te informacje pomagają osobom atakującym mapować strukturę domeny, a także identyfikować uprzywilejowane konta do użycia w kolejnych krokach w łańcuchu zabić ataków.

  Lightweight Directory Access Protocol (LDAP) to jedna z najpopularniejszych metod używanych zarówno do celów legalnych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory. Rekonesans podmiotu zabezpieczeń ukierunkowanego na protokół LDAP jest często używany jako pierwsza faza ataku Kerberoasting. Ataki kerberoasting są używane do uzyskiwania docelowej listy głównych nazw zabezpieczeń (SPN), dla których osoby atakujące próbują uzyskać bilety serwera udzielania biletów (TGS).

• Ulepszenie funkcji: alert rekonesansu wyliczania konta (NTLM)
  Ulepszony alert rekonesansu wyliczania konta (NTLM) przy użyciu dodatkowej analizy oraz ulepszona logika wykrywania w celu zmniejszenia wyników alertów B-TP i FP .

• Ulepszenia funkcji: alert rekonesansu mapowania sieci (DNS)
  Nowe typy wykrywania dodane do alertów rekonesansu mapowania sieci (DNS). Oprócz wykrywania podejrzanych żądań AXFR usługa Azure ATP wykrywa teraz podejrzane typy żądań pochodzących z serwerów innych niż DNS przy użyciu nadmiernej liczby żądań.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.66

Wydany 17 lutego 2019 r.

• Ulepszenia funkcji: Podejrzany atak DCSync (replikacja usług katalogowych) alert
  Wprowadzono ulepszenia użyteczności dla tego alertu zabezpieczeń, w tym poprawiony opis, udostępnienie dodatkowych informacji źródłowych, nową grafikę informacyjną i więcej dowodów. Dowiedz się więcej o podejrzanym ataku DCSync (replikacji usług katalogowych) alertów zabezpieczeń.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.65

Wydany 10 lutego 2019 r.

• Nowy alert zabezpieczeń: Podejrzenie ataku przekaźnika NTLM (konto programu Exchange) — (wersja zapoznawcza)
  Podejrzany atak przekaźnika NTLM usługi Azure ATP (konto exchange) — alert zabezpieczeń w wersji zapoznawczej jest teraz dostępny w publicznej wersji zapoznawczej . W tym wykryciu zostanie wyzwolony alert zabezpieczeń usługi Azure ATP, gdy zostanie zidentyfikowane użycie poświadczeń konta programu Exchange z podejrzanego źródła. Tego typu ataki próbują wykorzystać techniki przekazywania NTLM w celu uzyskania uprawnień wymiany kontrolera domeny i są znane jako ExchangePriv. Dowiedz się więcej na temat techniki ExchangePriv z poradnika ADV190007 opublikowanego po raz pierwszy 31 stycznia 2019 r. i odpowiedzi alertu usługi Azure ATP.

• Ogólna dostępność: Zdalne wykonywanie kodu za pośrednictwem systemu DNS
  Ten alert znajduje się teraz w ogólnie dostępnej wersji (ogólna dostępność). Aby uzyskać więcej informacji i funkcji alertów, zobacz stronę zdalnego wykonywania kodu za pośrednictwem opisu alertu DNS.

• Ogólna dostępność: eksfiltracja danych za pośrednictwem protokołu SMB
  Ten alert znajduje się teraz w ogólnie dostępnej wersji (ogólna dostępność). Aby uzyskać więcej informacji i funkcji alertów, zobacz stronę opisów alertów dotyczących eksfiltracji danych za pośrednictwem protokołu SMB.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.64

Wydany 4 lutego 2019 r.

• Ogólna dostępność: Podejrzenie użycia biletu złotego (anomalia biletu)
  Ten alert znajduje się teraz w ogólnie dostępnej wersji (ogólna dostępność). Aby uzyskać więcej informacji i funkcji alertów, zobacz stronę opisu alertu Podejrzane użycie biletu złotego (anomalia biletu).

• Ulepszenia funkcji: rekonesans mapowania sieci (DNS)
  Ulepszona logika wykrywania alertów wdrożona dla tego alertu w celu zminimalizowania wyników fałszywie dodatnich i szumu alertu. Ten alert ma teraz okres szkoleniowy z ośmiu dni, zanim alert będzie prawdopodobnie wyzwalany po raz pierwszy. Aby uzyskać więcej informacji na temat tego alertu, zobacz Stronę opisu alertu mapowania sieci (DNS).

  Ze względu na ulepszenie tego alertu metoda nslookup nie powinna być już używana do testowania łączności usługi Azure ATP podczas początkowej konfiguracji.

• Ulepszenia funkcji:
  Ta wersja zawiera przeprojektowane strony alertów i nowe dowody zapewniające lepsze badanie alertów.

  • Podejrzany atak siłowy (SMB)
  • Strona opisu alertu podejrzanego użycia biletu złotego (anomalia czasowa)
  • Podejrzany atak overpass-the-hash (Kerberos)
  • Podejrzenie użycia platformy hakerskiej Metasploit
  • Podejrzany atak ransomware WannaCry

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

styczeń 2019

Azure ATP wersja 2.63

Wydany 27 stycznia 2019 r.

• Nowa funkcja: Obsługa niezaufanego lasu — (wersja zapoznawcza)
  Obsługa czujników w niezaufanych lasach usługi Azure ATP jest teraz dostępna w publicznej wersji zapoznawczej. Na stronie Usług katalogowych usługi Azure ATP skonfiguruj dodatkowe zestawy poświadczeń, aby umożliwić czujnikom usługi Azure ATP łączenie się z różnymi lasami usługi Active Directory i raportowanie z powrotem do usługi Azure ATP. Aby dowiedzieć się więcej, zobacz Wiele lasów usługi Azure ATP.

• Nowa funkcja: pokrycie kontrolera domeny
  Usługa Azure ATP udostępnia teraz informacje o zasięgu dla monitorowanych kontrolerów domeny usługi Azure ATP.
  Na stronie Czujniki portalu usługi Azure ATP wyświetl liczbę monitorowanych i niemonitorowanych kontrolerów domeny wykrytych przez usługę Azure ATP w danym środowisku. Pobierz listę monitorowanych kontrolerów domeny w celu dalszej analizy i utwórz plan działania. Aby dowiedzieć się więcej, zobacz Przewodnik z instrukcjami monitorowania kontrolera domeny.

• Ulepszenia funkcji: rekonesans wyliczania kont
  Wykrywanie rekonesansu konta usługi Azure ATP wykrywa teraz alerty dotyczące prób wyliczania przy użyciu protokołu Kerberos i NTLM. Wcześniej wykrywanie działało tylko w przypadku prób użycia protokołu Kerberos. Aby dowiedzieć się więcej, zobacz Alerty rekonesansu usługi Azure ATP.

• Ulepszenia funkcji: alert dotyczący zdalnej próby wykonania kodu

  • Wszystkie działania wykonywania zdalnego, takie jak tworzenie usługi, wykonywanie usługi WMI i nowe wykonanie programu PowerShell , zostały dodane do osi czasu profilu maszyny docelowej. Maszyna docelowa jest kontrolerem domeny, na którego wykonano polecenie.
  • Wykonanie programu PowerShell zostało dodane do listy zdalnych działań wykonywania kodu wymienionych na osi czasu alertu profilu jednostki.
  • Aby dowiedzieć się więcej, zobacz Zdalne wykonywanie kodu.

• Problem z systemem Windows Server 2019 LSASS i azure ATP
  W odpowiedzi na opinie klientów dotyczące użycia usługi Azure ATP z kontrolerami domeny z systemem Windows Server 2019 ta aktualizacja zawiera dodatkową logikę, aby uniknąć wyzwalania zgłaszanego zachowania na maszynach z systemem Windows Server 2019. Pełna obsługa czujnika usługi Azure ATP w systemie Windows Server 2019 jest planowana dla przyszłej aktualizacji usługi Azure ATP, jednak instalowanie i uruchamianie usługi Azure ATP na serwerach z systemem Windows Server 2019 nie jest obecnie obsługiwane. Aby dowiedzieć się więcej, zobacz Wymagania czujnika usługi Azure ATP.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Usługa Azure ATP w wersji 2.62

Wydany 20 stycznia 2019 r.

• Nowy alert zabezpieczeń: Zdalne wykonywanie kodu za pośrednictwem systemu DNS — (wersja zapoznawcza)
  Zdalne wykonywanie kodu usługi Azure ATP za pośrednictwem alertu zabezpieczeń DNS jest teraz dostępne w publicznej wersji zapoznawczej. W tym wykryciu alert zabezpieczeń usługi Azure ATP jest wyzwalany, gdy zapytania DNS podejrzewane o wykorzystanie luki w zabezpieczeniach CVE-2018-8626 są wykonywane względem kontrolera domeny w sieci.

• Ulepszenia funkcji: 72-godzinna opóźniona aktualizacja czujnika
  Zmieniono opcję opóźnienia aktualizacji czujników w wybranych czujnikach na 72 godziny (zamiast poprzedniego 24-godzinnego opóźnienia) po każdej aktualizacji wydania usługi Azure ATP. Aby uzyskać instrukcje dotyczące konfiguracji, zobacz Aktualizacja czujnika usługi Azure ATP.

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.61

Wydany 13 stycznia 2019 r.

• Nowy alert zabezpieczeń: eksfiltracja danych za pośrednictwem protokołu SMB — (wersja zapoznawcza)
  Eksfiltracja danych usługi Azure ATP za pośrednictwem alertu zabezpieczeń protokołu SMB jest teraz dostępna w publicznej wersji zapoznawczej. Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Za pomocą konta KRBTGT osoby atakujące mogą utworzyć bilet udzielania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu.

• Ulepszenia funkcji: alert zabezpieczeń próby wykonania kodu zdalnego
  Dodano nowy opis alertu i dodatkowe dowody, aby ułatwić zrozumienie alertu i zapewnić lepsze przepływy pracy badania.

• Ulepszenia funkcji: działania logiczne zapytań DNS
  Dodano dodatkowe typy zapytań do monitorowanych działań usługi Azure ATP, w tym: TXT, MX, NS, SRV, ANY, DNSKEY.

• Ulepszenia funkcji: podejrzenie użycia biletu złotego (anomalia biletów) i podejrzanego użycia złotego biletu (nieistniejących kont)
  Ulepszona logika wykrywania została zastosowana do obu alertów w celu zmniejszenia liczby alertów FP i dostarczenia bardziej dokładnych wyników.

• Ulepszenia funkcji: dokumentacja alertów zabezpieczeń usługi Azure ATP
  Dokumentacja alertów zabezpieczeń usługi Azure ATP została rozszerzona i rozszerzona o lepsze opisy alertów, dokładniejsze klasyfikacje alertów oraz wyjaśnienia dowodów, korygowania i zapobiegania. Zapoznaj się z nowym projektem dokumentacji alertów zabezpieczeń, korzystając z następujących linków:

  • Alerty zabezpieczeń usługi Azure ATP
  • Informacje o alertach zabezpieczeń
    • Alerty fazy rekonesansu
    • Alerty fazy poświadczeń z naruszeniem zabezpieczeń
    • Alerty fazy przenoszenia bocznego
    • Alerty fazy dominacji domeny
    • Alerty fazy eksfiltracji
  • Badanie komputera
  • Badanie użytkownika

• Ta wersja zawiera również ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP w wersji 2.60

Wydany 6 stycznia 2019 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Grudzień 2018

Azure ATP wersja 2.59

Wydany 16 grudnia 2018 r.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.58

Wydany 9 grudnia 2018 r.

• Ulepszenie alertu zabezpieczeń: podział alertu implementacji nietypowego protokołu
  Seria alertów zabezpieczeń nietypowych implementacji protokołu usługi Azure ATP, które wcześniej udostępniły identyfikator 1 externalId (2002), są teraz podzielone na cztery charakterystyczne alerty z odpowiednim unikatowym identyfikatorem zewnętrznym.

Nowe identyfikatory externalId alertu

Nowa nazwa alertu zabezpieczeń	Poprzednia nazwa alertu zabezpieczeń	Unikatowy identyfikator zewnętrzny
Podejrzany atak siłowy (SMB)	Nietypowa implementacja protokołu (potencjalne wykorzystanie złośliwych narzędzi, takich jak Hydra)	2033
Podejrzany atak overpass-the-hash (Kerberos)	Nietypowa implementacja protokołu Kerberos (potencjalny atak typu overpass-the-hash)	2002
Podejrzenie użycia platformy hakerskiej Metasploit	Nietypowa implementacja protokołu (potencjalne wykorzystanie narzędzi hakerskich metasploit)	2034
Podejrzany atak ransomware WannaCry	Nietypowa implementacja protokołu (potencjalny atak ransomware WannaCry)	2035

• Nowe monitorowane działanie: kopiowanie plików za pośrednictwem protokołu SMB
  Kopiowanie plików przy użyciu protokołu SMB jest teraz monitorowane i filtrowalne. Dowiedz się więcej na temat działań monitorowanych przez usługę Azure ATP oraz sposobu filtrowania i wyszukiwania monitorowanych działań w portalu.

• Rozszerzenie obrazu ścieżki ruchu bocznego
  Podczas przeglądania dużych ścieżek przenoszenia bocznego usługa Azure ATP wyróżnia teraz tylko węzły połączone z wybraną jednostką, a nie rozmycie innych węzłów. Ta zmiana wprowadza znaczną poprawę szybkości renderowania LMP.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Azure ATP wersja 2.57

Wydany 2 grudnia 2018 r.

• Nowy alert zabezpieczeń: Podejrzenie użycia biletu złotego — anomalia biletu (wersja zapoznawcza)
  Podejrzane użycie złotego biletu usługi Azure ATP — alert zabezpieczeń anomalii biletów jest teraz w publicznej wersji zapoznawczej. Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Korzystając z konta KRBTGT, osoby atakujące mogą utworzyć bilet udzielania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu.

  Ten sfałszowany bilet TGT jest nazywany "złotym biletem", ponieważ umożliwia atakującym osiągnięcie trwałej trwałości sieci. Sfałszowane złote bilety tego typu mają unikatowe cechy, które nowe wykrywanie jest przeznaczone do identyfikowania.

• Ulepszenia funkcji: automatyczne tworzenie wystąpienia usługi Azure ATP (wystąpienia)
  Od dziś nazwy wystąpień usługi Azure ATP są zmieniane na wystąpienia usługi Azure ATP. Usługa Azure ATP obsługuje teraz jedno wystąpienie usługi Azure ATP na konto usługi Azure ATP. Wystąpienia dla nowych klientów są tworzone przy użyciu kreatora tworzenia wystąpienia w portalu usługi Azure ATP. Istniejące wystąpienia usługi Azure ATP są automatycznie konwertowane na wystąpienia usługi Azure ATP za pomocą tej aktualizacji.

  • Uproszczone tworzenie wystąpienia w celu szybszego wdrażania i ochrony przy użyciu tworzenia wystąpienia usługi Azure ATP.
  • Cała prywatność danych i zgodność pozostają takie same.

  Aby dowiedzieć się więcej na temat wystąpień usługi Azure ATP, zobacz Tworzenie wystąpienia usługi Azure ATP.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Listopad 2018 r.

Usługa Azure ATP w wersji 2.56

Wydany 25 listopada 2018 r.

• Ulepszenia funkcji: ścieżki ruchu bocznego (LMP)
  Dodano dwie dodatkowe funkcje w celu ulepszenia możliwości ścieżki przenoszenia bocznego (LMP) usługi Azure ATP:

  • Historia LMP jest teraz zapisywana i odnajdywalna dla jednostki oraz w przypadku korzystania z raportów LMP.
  • Postępuj zgodnie z jednostką w środowisku LMP za pośrednictwem osi czasu działania i zbadaj, korzystając z dodatkowych dowodów dostarczonych do odnajdywania potencjalnych ścieżek ataków.

  Zobacz Ścieżki przenoszenia bocznego usługi Azure ATP, aby dowiedzieć się więcej o sposobie używania i badania za pomocą rozszerzonych adresów LMP.

• Ulepszenia dokumentacji: ścieżki przenoszenia bocznego, nazwy alertów zabezpieczeń
  Dodano dodatki i aktualizacje artykułów usługi Azure ATP opisujących opisy i funkcje ścieżki przenoszenia bocznego, dodano mapowanie nazw dla wszystkich wystąpień starych nazw alertów zabezpieczeń do nowych nazw i identyfikatorów zewnętrznych.

  • Aby dowiedzieć się więcej, zobacz Ścieżki ruchu bocznego usługi Azure ATP, Zbadaj ścieżki ruchu bocznego i Przewodnik po alertach zabezpieczeń.

• Ta wersja zawiera ulepszenia i poprawki błędów dla wewnętrznej infrastruktury czujników.

Aby uzyskać szczegółowe informacje o każdej wersji usługi Defender for Identity przed (i w tym) wersji 2.55, zobacz informacje o wersji usługi Defender for Identity.

Następne kroki

Co nowego w usłudze Microsoft Defender for Identity