Arquivo de novidades do Microsoft Defender para Identidade

Este artigo lista as notas sobre a versão do Microsoft Defender para Identidade para versões e recursos lançados há mais de 6 meses.

Para obter informações sobre as versões e recursos mais recentes, consulte Novidades no Microsoft Defender para Identidade.

Observação

A partir de 15 de junho de 2022, a Microsoft não dará mais suporte ao sensor do Defender para Identidade em dispositivos que executam o Windows Server 2008 R2. Recomendamos que você identifique todos os DCs (controladores de domínio) ou servidores (AD FS) restantes que ainda estão executando o Windows Server 2008 R2 como sistema operacional e faça planos para atualizá-los para um sistema operacional com suporte.

Nos dois meses após 15 de junho de 2022, o sensor continuará funcionando. Após esse período de dois meses, a partir de 15 de agosto de 2022, o sensor não funcionará mais nas plataformas Windows Server 2008 R2. Encontre mais detalhes em: https://aka.ms/mdi/2008r2

Julho de 2023

Defender para Identidade versão 2.209

Esta versão inclui melhorias e correções de bugs para serviços de nuvem e o sensor Defender para Identidade.

Pesquisar grupos do Active Directory no Microsoft Defender XDR (Visualização)

A pesquisa global do Microsoft Defender XDR agora oferece suporte à pesquisa por nome de grupo do Active Directory. Todos os grupos encontrados são mostrados nos resultados em uma guia Grupos separada. Selecione um grupo do Active Directory nos resultados da pesquisa para ver mais detalhes, incluindo:

• Tipo
• Escopo
• Domínio
• Nome do SAM
• SID

• Tempo de criação do grupo
• A primeira vez que uma atividade do grupo foi observada
• Grupos que contêm o grupo selecionado
• Uma lista de todos os membros do grupo

Por exemplo:

Para obter mais informações, confira Microsoft Defender para identidade no Microsoft Defender XDR.

Novos relatórios de postura de segurança

A Postura de Segurança de Identidade do Defender para Identidade oferece avaliações para, proativamente, detectar e recomendar ações em configurações do Active Directory local.

As novas avaliações de postura de segurança a seguir agora estão disponíveis no Microsoft Secure Score:

• Remover direitos de acesso em contas suspeitas com a permissão do Admin SDHolder
• Remover contas não administrativas com permissões DCSync
• Remover administradores locais em ativos de identidade
• Iniciar a implantação do Defender para Identidade

Para obter mais informações, consulte Avaliações de postura de segurança do Microsoft Defender para Identidade.

Redirecionamento automático para o portal clássico do Defender para Identidade

A experiência e a funcionalidade do portal Microsoft Defender for Identity são convergidas para a plataforma XDR (extended detection and response) da Microsoft, o Microsoft Defender XDR. A partir de 6 de julho de 2023, os clientes que usam o portal clássico do Defender para Identidade são redirecionados automaticamente para o Microsoft Defender XDR, sem opção de reverter para o portal clássico.

Para obter mais informações, consulte nossa postagem no blog e Microsoft Defender para Identidade no Microsoft Defender XDR.

Downloads e agendamento do relatório do Defender para Identidade no Microsoft Defender XDR (Visualização)

Agora você pode baixar e agendar relatórios periódicos do Defender para Identidade no portal do Microsoft Defender, criando paridade na funcionalidade de relatório com o portal clássico herdado do Defender para Identidade.

Baixe e agende relatórios no Microsoft Defender XDR na página Configurações > Identidades > Gerenciamento de relatório. Por exemplo:

Para obter mais informações, confira Relatórios do Microsoft Defender para Identidade no Microsoft Defender XDR.

Defender para Identidade versão 2.208

• Esta versão inclui melhorias e correções de bugs para serviços de nuvem e o sensor Defender para Identidade.

Defender para Identidade versão 2.207

• Esta versão fornece o novo parâmetro de instalação AccessKeyFile. Use o parâmetro AccessKeyFile durante uma instalação silenciosa de um sensor do Defender para Identidade para definir a chave de acesso do espaço de trabalho a partir de um caminho de texto fornecido. Para obter mais informações, veja Instalar o sensor do Microsoft Defender para Identidade.

• Esta versão inclui melhorias e correções de bugs para serviços de nuvem e o sensor Defender para Identidade.

Junho de 2023

Defender para Identidade versão 2.206

• Esta versão inclui melhorias e correções de bugs para serviços de nuvem e o sensor Defender para Identidade.

Busca avançada de ameaças com uma tabela IdentityInfo aprimorada

• Para locatários com o Defender for Identity implantado, a tabela de busca avançada do Microsoft 365 IdentityInfo agora inclui mais atributos por identidade e identidades detectadas pelo sensor do Defender for Identity em seu ambiente local.

Para obter mais informações, confira a documentação de busca avançada de ameaças do Microsoft Defender XDR.

Defender para Identidade versão 2.205

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Maio de 2023

Destaques do controle de conta aprimorado do Active Directory

A página de detalhes do usuário do Microsoft Defender XDR Identity> agora inclui novos dados de controle de conta do Active Directory.

Na guia Visão geral dos detalhes do usuário, adicionamos o novo cartão de controles de conta do Active Directory para destacar importantes configurações de segurança e controles do Active Directory. Por exemplo, use esse cartão para saber se um usuário específico é capaz de ignorar os requisitos de senha ou se tem uma senha que nunca expira.

Por exemplo:

Para obter mais informações, consulte a documentação do Atributo Controle de Conta do Usuário.

Defender para Identidade versão 2.204

Lançamento em 29 de maio de 2023

• Novo alerta de integridade para falhas de ingestão de dados de integração em VPN (radius). Para obter mais informações, confira Alertas de integridade do sensor do Microsoft Defender para Identidade.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Defender para Identidade versão 2.203

Lançamento em 15 de maio de 2023

• Novo alerta de integridade para verificar se a Auditoria do Contêiner ADFS está configurada corretamente. Para obter mais informações, confira Alertas de integridade do sensor do Microsoft Defender para Identidade.

• A página Identidade do Microsoft Defender 365 inclui atualizações de interface do usuário para a experiência de caminho de movimento lateral. Nenhuma funcionalidade foi alterada. Para obter mais informações, consulte Entender e investigar LMPs (Caminhos de Movimentação Lateral) com o Microsoft Defender para Identidade.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Aprimoramentos da linha do tempo de identidade

A guia Linha do tempo de identidade agora contém recursos novos e aprimorados! Com a linha do tempo atualizada, agora você pode filtrar por Tipo de atividade, Protocolo e Local, além dos filtros originais. Você também pode exportar a linha do tempo para um arquivo CSV e encontrar informações adicionais sobre atividades associadas às técnicas do MITRE ATT&CK. Para obter mais informações, consulte Investigar usuários no Microsoft Defender XDR.

Ajuste de alerta no Microsoft Defender XDR

O ajuste de alertas, agora disponível no Microsoft Defender XDR, permite ajustar seus alertas e otimizá-los. O ajuste de alertas reduz falsos positivos, permite que suas equipes de SOC se concentrem em alertas de alta prioridade e melhora a cobertura de detecção de ameaças em todo o sistema.

No Microsoft Defender XDR, crie condições de regra com base em tipos de evidência e aplique sua regra em qualquer tipo de regra que corresponda às suas condições. Para obter mais informações, consulte Ajustar um alerta.

Abril de 2023

Defender para Identidade versão 2.202

Lançado em 23 de abril de 2023

• Novo alerta de integridade para verificar se a Auditoria de Contêiner de Configuração dos Serviços de Diretório está configurada corretamente, conforme descrito na página de alertas de integridade.
• Novos espaços de trabalho para locatários do AD mapeados para a Nova Zelândia são criados na região Leste da Austrália. Para obter a lista mais atual de implantação regional, consulte Componentes do Defender para Identidade.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Março de 2023

Defender para Identidade versão 2.201

Lançado em 27 de março de 2023

• Estamos no processo de desabilitar o alerta honeytoken SAM-R. Embora esses tipos de contas nunca devam ser acessados ou consultados, certos sistemas herdados podem usar essas contas como parte de suas operações regulares. Se essa funcionalidade for necessária para você, você sempre poderá criar uma consulta de busca avançada e usá-la como uma detecção personalizada. Também estamos revisando o alerta honeytoken LDAP nas próximas semanas, mas ele permanece funcional por enquanto.

• Corrigimos problemas de lógica de detecção no alerta de integridade de Auditoria de Objetos dos Serviços de Diretório para sistemas operacionais que não estejam em inglês e para o Windows 2012 com esquemas de Serviços de Diretório anteriores à versão 87.

• Removemos o pré-requisito de configurar uma conta de Serviços de Diretório para que os sensores sejam iniciados. Para obter mais informações, consulte Recomendações para contas de Serviço de Diretório do Microsoft Defender para Identidade.

• Não exigimos mais o registro eventos de 1644. Se você tiver essa configuração do Registro habilitada, poderá removê-la. Para obter mais informações, consulte a ID de Evento 1644.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.200

Lançado em 16 de março de 2023

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.199

Lançado em 5 de março de 2023

• Algumas exclusões para o alerta O Honeytoken foi consultado via alerta SAM-R não estavam funcionando corretamente. Nesses casos, os alertas estavam sendo disparados mesmo para entidades excluídas. Esse erro agora foi corrigido.

• Nome do protocolo NTLM atualizado para as tabelas de Busca Avançada de Identidade: O nome antigo do protocolo Ntlm agora está listado como o novo nome do protocolo NTLM nas tabelas de Identidade de Busca Avançada: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Se você estiver usando atualmente o protocolo Ntlm em formato que diferencia maiúsculas de minúsculas das tabelas de eventos de Identidade, altere-o para NTLM.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Fevereiro de 2023

Defender para Identidade versão 2.198

Lançado em 15 de fevereiro de 2023

• A linha do tempo de identidade agora está disponível como parte da nova página de Identidade no Microsoft Defender XDR: a página de usuário atualizada no Microsoft Defender XDR agora tem um novo aspecto e usabilidade, com um modo de exibição expandido de ativos relacionados e uma nova guia de linha do tempo dedicada. A linha do tempo representa atividades e alertas dos últimos 30 dias e unifica as entradas de identidade do usuário em todas as cargas de trabalho disponíveis (Defender para Identidade/Defender para Aplicativos na Nuvem/Defender para Ponto de Extremidade). Usando a linha do tempo, você pode se concentrar facilmente nas atividades que um usuário executou (ou nas atividades realizadas nele) em intervalos de tempo específicos. Para saber mais, confira: Investigar usuários no Microsoft Defender XDR

• Outras melhorias para alertas de honeytoken: Na versão 2.191, introduzimos vários novos cenários para o alerta de atividade de honeytoken.

  Com base no feedback dos clientes, decidimos dividir o alerta de atividade de honeytoken em cinco alertas separados:

  • O usuário Honeytoken foi consultado via SAM-R.
  • O usuário Honeytoken foi consultado via LDAP.
  • Atividade de autenticação de usuário Honeytoken
  • O usuário Honeytoken teve atributos modificados.
  • A associação ao grupo Honeytoken foi alterada.

  Além disso, adicionamos exclusões para esses alertas, fornecendo uma experiência personalizada para o seu ambiente.

  Estamos ansiosos para ouvir seus comentários para que possamos continuar a melhorar.

• Novo alerta de segurança - Uso suspeito de certificado sobre o protocolo Kerberos (PKINIT).: Muitas das técnicas para abuso dos Serviços de Certificados do Active Directory (AD CS) envolvem o uso de um certificado em alguma fase do ataque. O Microsoft Defender para Identidade agora alerta os usuários quando observa esse uso de certificado suspeito. Essa abordagem de monitoramento comportamental fornece proteção abrangente contra ataques do AD CS, disparando um alerta quando uma autenticação de certificado suspeita é tentada contra um controlador de domínio que tem um sensor do Defender para Identidade instalado. Para obter mais informações, consulte Microsoft Defender para Identidade agora detecta uso suspeito de certificado.

• Interrupção automática de ataque: o Defender para Identidade agora trabalha em conjunto com o Microsoft Defender XDR para oferecer interrupção de ataque automatizada. Essa integração significa que, para sinais vindos do Microsoft Defender XDR, podemos acionar a ação Desabilitar usuário. Essas ações são acionadas por sinais XDR de alta fidelidade, combinados com insights da investigação contínua de milhares de incidentes pelas equipes de pesquisa da Microsoft. A ação suspende a conta de usuário comprometida no Active Directory e sincroniza essas informações com o Microsoft Entra ID. Para obter mais informações sobre a interrupção automática de ataques, leia a postagem de blog do Microsoft Defender XDR.

  Você também pode excluir usuários específicos das ações de resposta automatizada. Para obter mais informações, consulte Configurar exclusões de respostas automatizadas do Defender para Identidade.

• Remover período de aprendizado: os alertas gerados pelo Defender para Identidade são baseados em vários fatores, como criação de perfil, detecção determinística, aprendizado de máquina e algoritmos comportamentais que ele aprendeu sobre sua rede. O processo de aprendizado completo do Defender para Identidade pode levar até 30 dias por controlador de domínio. No entanto, pode haver casos em que você gostaria de receber alertas antes mesmo da conclusão do processo de aprendizado completo. Por exemplo, quando você instala um novo sensor em um controlador de domínio ou quando está avaliando o produto, convém receber alertas imediatamente. Nesses casos, você pode desativar o período de aprendizado para os alertas afetados ativando o recurso Remover período de aprendizado. Para obter mais informações, confira Configurações avançadas.

• Nova forma de enviar alertas para o M365D: há um ano, anunciamos que todas as experiências do Microsoft Defender para Identidade estão disponíveis no portal do Microsoft Defender. Nosso pipeline de alerta principal agora está mudando gradualmente do Defender para Identidade > Defender para Aplicativos de Nuvem > Microsoft Defender XDR para Defender para Identidade > Microsoft Defender XDR. Essa integração significa que as atualizações de status no Defender para Aplicativos de Nuvem não serão refletidas no Microsoft Defender XDR e vice-versa. Essa alteração deve reduzir significativamente o tempo necessário para que os alertas apareçam no portal do Microsoft Defender. Como parte dessa migração, todas as políticas do Defender para Identidade não estarão mais disponíveis no portal do Defender para Aplicativos de Nuvem a partir de 5 de março. Como sempre, recomendamos usar o portal do Microsoft Defender para todas as experiências do Defender para Identidade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Janeiro de 2023

Defender para Identidade versão 2.197

Lançado em 22 de janeiro de 2023

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.196

Lançado em 10 de janeiro de 2023

• Novo alerta de integridade para verificar se a Auditoria de Objetos dos Serviços de Diretório está configurada corretamente, conforme descrito na página de alertas de integridade.

• Novo alerta de integridade para verificação se as configurações de poder do sensor estão configuradas para um desempenho ideal, conforme descrito na página de alertas de integridade.

• Adicionamos informações do MITRE ATT&CK às tabelas IdentityLogonEvents, IdentityDirectoryEvents e IdentityQueryEvents na Busca Avançada do Microsoft Defender XDR. Na coluna AdditionalFields, você pode encontrar detalhes sobre as Técnicas de Ataque e a Tática (Categoria) associadas a algumas de nossas atividades lógicas.

• Como todos os principais recursos do Microsoft Defender para Identidade agora estão disponíveis no portal do Microsoft Defender, a configuração de redirecionamento do portal é habilitada automaticamente para cada locatário a partir de 31 de janeiro de 2023. Para obter mais informações, confira Redirecionar contas do Microsoft Defender para Identidade Microsoft Defender XDR.

Dezembro de 2022

Defender para Identidade versão 2.195

Lançado em 7 de dezembro de 2022

• Os data centers do Defender para Identidade agora também estão implantados na região Leste da Austrália. Para obter a lista mais atual de implantação regional, consulte Componentes do Defender para Identidade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Novembro de 2022

Defender para Identidade versão 2.194

Lançado em 10 de novembro de 2022

• Novo alerta de integridade para verificar se a Auditoria Avançada dos Serviços de Diretório está configurada corretamente, conforme descrito na página de alertas de integridade.

• Algumas das alterações introduzidas no Defender para Identidade versão 2.191 em relação aos alertas de honeytoken não foram habilitadas corretamente. Essas questões foram resolvidas agora.

• A partir do final de novembro, a integração manual com o Microsoft Defender para Ponto de Extremidade não é mais suportada. No entanto, é altamente recomendável usar o portal do Microsoft Defender (https://security.microsoft.com), que tem a integração integrada.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Outubro de 2022

Defender para Identidade versão 2.193

Lançado em 30 de outubro de 2022

• Novo alerta de segurança: autenticação anormal dos Serviços de Federação do Active Directory (AD FS) usando um certificado suspeito
  Essa nova técnica está vinculada ao infame ator NOBELIUM e foi apelidada de "MagicWeb" – ela permite que um adversário implante um backdoor em servidores comprometidos do AD FS, o que permitirá a representação como qualquer usuário de domínio e, assim, o acesso a recursos externos. Para saber mais sobre esse ataque, leia essa postagem no blog.

• O Defender para Identidade agora pode usar a conta LocalSystem no controlador de domínio para executar ações de correção (habilitar/desabilitar usuário, forçar a redefinição de senha do usuário), além da opção gMSA que estava disponível antes. Isso permite o suporte imediato para ações de correção. Para obter mais informações, consulte Contas de ação do Microsoft Defender para Identidade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.192

Lançado em 23 de outubro de 2022

• Novo alerta de integridade para verificar se a Auditoria NTLM está habilitada, conforme descrito na página de alertas de integridade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Setembro de 2022

Defender para Identidade versão 2.191

Lançada em 19 de setembro de 2022

• Mais atividades para disparar alertas honeytoken
  O Microsoft Defender para Identidade oferece a capacidade de definir contas honeytoken, que são usadas como armadilhas para atores mal-intencionados. Qualquer autenticação associada a essas contas honeytoken (normalmente inativas), dispara um alerta de atividade honeytoken (ID externa 2014). Novidades dessa versão: qualquer consulta LDAP ou SAMR nessas contas honeytoken disparará um alerta. Além disso, se o evento 5136 for auditado, um alerta será disparado quando um dos atributos do honeytoken for alterado ou se a associação ao grupo do honeytoken tiver sido alterada.

Para mais informações, consulte Configurar a coleta de Eventos do Windows.

Defender para Identidade versão 2.190

Lançado em 11 de setembro de 2022

• Avaliação atualizada: configurações de domínio não seguro
  A avaliação de configuração de domínio não seguro disponível por meio do Microsoft Secure Score agora avalia a configuração de política de assinatura LDAP do controlador de domínio e alertas se encontrar uma configuração não segura. Para obter mais informações, confira Avaliação de segurança: atributos de conta não seguros.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.189

Lançada em 4 de setembro de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Agosto de 2022

Defender para Identidade versão 2.188

Lançada em 28 de agosto de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.187

Lançado em 18 de agosto de 2022

• Alteramos parte da lógica por trás de como disparamos o alerta de suspeita de ataque DCSync (replicação de serviços de diretório) (ID externo 2006). Esse detector agora aborda casos em que o endereço IP de origem visto pelo sensor parece ser um dispositivo NAT.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.186

Lançada em 10 de agosto de 2022

• Os alertas de integridade agora mostrarão o FQDN (nome de domínio totalmente qualificado) do sensor em vez do nome NetBIOS.

• Novos alertas de integridade estão disponíveis para capturar o tipo e a configuração do componente, conforme descrito na página de alertas de integridade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Julho de 2022

Defender para Identidade versão 2.185

Lançado em 18 de julho de 2022

• Foi corrigido um problema em que o Uso suspeito do Golden Ticket (conta inexistente) (ID externa 2027) detectava injustamente dispositivos macOS.

• Ações do usuário: decidimos dividir a ação Desabilitar o Usuário na página do usuário em duas ações diferentes:

  • Desabilitar Usuário – que desabilita o usuário no nível do Active Directory
  • Suspender usuário – que desabilita o usuário no nível de Microsoft Entra ID

  Entendemos que o tempo necessário para sincronizar do Active Directory para o Microsoft Entra ID pode ser crucial. Por isso, agora você pode optar por desabilitar usuários em um após o outro, para remover a dependência da própria sincronização. Observe que um usuário desabilitado somente no Microsoft Entra ID será substituído pelo Active Directory se o usuário ainda estiver ativo lá.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.184

Lançado em 10 de julho de 2022

• Novas avaliações de segurança
  O Defender para Identidade agora inclui esta nova avaliação de segurança:

  • Configurações de domínio não seguras
    O Microsoft Defender para Identidade monitora continuamente o ambiente para identificar domínios com valores de configuração que expõem um risco de segurança e os relata para ajudar você a proteger o ambiente. Para obter mais informações, confira Avaliação de segurança: atributos de conta não seguros.

• O pacote de instalação do Defender para Identidade agora vai instalar o componente Npcap em vez dos drivers WinPcap. Para obter mais informações, consulte Drivers WinPcap e Npcap.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Junho de 2022

Defender para Identidade versão 2.183.15436.10558 (Hotfix)

Lançado em 20 de junho de 2022 (atualizado em 4 de julho de 2022)

• Novo alerta de segurança: suspeita de ataque DFSCoerce usando o Protocolo do Sistema de Arquivos Distribuído
  Em resposta à publicação de uma nova ferramenta de ataque que usa um fluxo no protocolo DFS, o Microsoft Defender para Identidade disparará um alerta de segurança sempre que um invasor estiver usando esse método de ataque. Para saber mais sobre esse ataque, leia a postagem no blog.

Defender para Identidade versão 2.183

Lançado em 20 de junho de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.182

Lançado em 4 de junho de 2022

• Uma nova página Sobre o Defender para Identidade está disponível. Você pode encontrá-la no portal do Microsoft Defender, em Configurações –>Identidades –>Sobre. Ela fornece vários detalhes importantes sobre a sua instância do Defender para Identidade, incluindo o nome da instância, a versão, a ID e a localização geográfica da sua instância. Essas informações podem ser úteis ao solucionar problemas e abrir tíquetes de suporte.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Maio de 2022

Defender para Identidade versão 2.181

Lançado em 22 de maio de 2022

• Agora você pode executar ações de correção diretamente em suas contas locais, usando Microsoft Defender para Identidade.

  • Desabilitar o usuário – impede temporariamente que um usuário entre na rede. Pode ajudar a impedir que usuários comprometidos se movam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.
  • Redefinir a senha do usuário – solicita que o usuário altere sua senha na próxima entrada, garantindo que essa conta não possa ser usada para novas tentativas de representação.

  Essas ações podem ser executadas de vários locais no Microsoft Defender XDR: página do usuário, painel lateral da página do usuário, busca avançada e até mesmo das detecções personalizadas. Isso requer a configuração de uma conta gMSA com privilégios que o Microsoft Defender para Identidade usará para executar as ações. Para obter mais informações sobre os requisitos, confira Contas de ação do Microsoft Defender para Identidade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.180

Lançado em 12 de maio de 2022

• Novo alerta de segurança: modificação suspeita de um atributo dNSHostName (CVE-2022-26923)
  Em resposta à publicação de CVEs recentes, o Microsoft Defender para Identidade disparará um alerta de segurança sempre que um invasor estiver tentando explorar o CVE-2022 e CVE-26923. Para saber mais sobre esse ataque, leia a postagem no blog.

• Na versão 2.177, lançamos outras atividades LDAP que podem ser abordadas pelo Defender para Identidade. No entanto, encontramos um bug que faz com que os eventos não sejam apresentados e ingeridos no portal do Defender para Identidade. Isso foi corrigido nessa versão. A partir da versão 2.180, ao habilitar a ID do evento 1644, você não apenas obterá visibilidade das atividades LDAP nos Active Directory Web Services, mas também outras atividades LDAP incluirão o usuário que executou a atividade LDAP no computador de origem. Isso se aplica a alertas de segurança e atividades lógicas baseadas em eventos LDAP.

• Como resposta à recente exploração de KrbRelayUp, lançamos um detector silencioso para nos ajudar a avaliar nossa resposta a essa exploração. O detector silencioso nos permitirá avaliar a eficácia da detecção e coletar informações com base nos eventos que estamos coletando. Se essa detecção tiver alta qualidade, lançaremos um novo alerta de segurança na próxima versão.

• Renomeamos Execução de código remoto por DNS para Tentativa de execução de código remoto por DNS, pois reflete melhor a lógica por trás desses alertas de segurança.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.179

Lançado em 1º de maio de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Abril 2022

Defender para Identidade versão 2.178

Lançado em 10 de abril de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Março de 2022

Defender para Identidade versão 2.177

Lançado em 27 de março de 2022

• Agora o Microsoft Defender para Identidade pode monitorar consultas LDAP adicionais na sua rede. Essas atividades LDAP são enviadas pelo protocolo de Serviço Web do Active Directory e funcionam como consultas LDAP normais. Para ter visibilidade sobre essas atividades, você precisa habilitar o evento 1644 em seus controladores de domínio. Esse evento aborda as atividades LDAP em seu domínio e é usado principalmente para identificar pesquisas LDAP (Lightweight Directory Access Protocol) caras, ineficientes ou lentas que são atendidas por controladores de domínio do Active Directory. Para obter informações, consulte Configurações herdadas.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.176

Lançado em 16 de março de 2022

• A partir dessa versão, ao instalar o sensor de um novo pacote, a versão do sensor em Adicionar/Remover Programas será exibida com o número de versão completo (por exemplo, 2.176.x.y), em vez da versão 2.0.0.0 estática mostrada anteriormente. Ele continuará a mostrar essa versão (aquela instalada por meio do pacote), embora ela seja atualizada por meio das atualizações automáticas dos serviços de nuvem do Defender para Identidade. A versão real pode ser vista na página de configurações do sensor no portal, no caminho executável ou na versão do arquivo.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.175

Lançado em 6 de março de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Fevereiro de 2022

Defender para Identidade versão 2.174

Lançado em 20 de fevereiro de 2022

• Adicionamos o FQDN curto da conta envolvida no alerta na mensagem enviada ao SIEM. Para saber mais, confira Referência do log de SIEM do Microsoft Defender para Identidade.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.173

Lançado em 13 de fevereiro de 2022

• Todos os recursos do Microsoft Defender para Identidade já estão disponíveis no portal do Microsoft Defender. Para saber mais, consulte esta postagem no blog.

• Esta versão corrige problemas ao instalar o sensor no Windows Server 2019 com o KB5009557 instalado, ou em um servidor com permissões de EventLog protegidas.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.172

Lançado em 8 de fevereiro de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Janeiro de 2022

Defender para Identidade versão 2.171

Lançado em 31 de janeiro de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.170

Lançado em 24 de janeiro de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.169

Lançado em 17 de janeiro de 2022

• Estamos felizes em lançar a capacidade de configurar uma conta de ação para o Microsoft Defender para Identidade. Esta é a primeira etapa da capacidade de executar ações em usuários diretamente do produto. Como primeira etapa, você pode definir a conta gMSA que o Microsoft Defender para Identidade usará para executar as ações. Recomendamos fortemente que você comece a criar esses usuários para aproveitar o recurso Ações quando ele estiver ativo. Saiba mais em Gerenciar contas online.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.168

Lançado em 9 de janeiro de 2022

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Dezembro de 2021

Defender para Identidade versão 2.167

Lançado em 29 de dezembro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.166

Lançado em 27 de dezembro de 2021

• A versão inclui um novo alerta de segurança: modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) (ID 2419 externa).
  Em resposta à publicação de CVEs recentes, o Microsoft Defender para Identidade disparará um alerta de segurança sempre que um invasor estiver tentando explorar CVE-2021-42278 e CVE-2021-42287. Para saber mais sobre esse ataque, leia a postagem no blog.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.165

Lançado em 6 de dezembro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Novembro de 2021

Defender para Identidade versão 2.164

Lançado em 17 de novembro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.163

Lançado em 8 de novembro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.162

Lançado em 1 de novembro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Setembro de 2021

Defender para Identidade versão 2.161

Lançada em 12 de setembro de 2021

• A versão inclui nova atividade monitorada: a senha da conta gMSA foi recuperada por um usuário. Para obter mais informações, consulte Atividades monitoradas do Microsoft Defender para Identidade
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Agosto de 2021

Defender para Identidade versão 2.160

Lançado em 22 de agosto de 2021

• A versão inclui várias melhorias e cobre mais cenários de acordo com as últimas mudanças na exploração PetitPotam.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.159

Lançado em 15 de agosto de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.
• A versão inclui uma melhoria no alerta recém-publicado: Conexão de rede suspeita sobre o protocolo remoto do Encrypting File System (ID externo 2416).
  Estendemos o suporte para essa detecção para disparar quando um invasor em potencial se comunica por um canal EFS-RPC criptografado. Os alertas acionados quando o canal é criptografado serão tratados como um alerta de severidade Média em vez de Alta quando não estiverem criptografados. Para saber mais sobre esse alerta, consulte Conexão de rede suspeita pelo protocolo remoto do Encrypting File System (ID externo 2416).

Defender para Identidade versão 2.158

Lançado em 8 de agosto de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

• A versão inclui um novo alerta de segurança: Conexão de rede suspeita sobre o protocolo remoto do Encrypting File System (ID externo 2416).
  Nessa detecção, o Microsoft Defender para Identidade dispara um alerta de segurança sempre que um invasor estiver tentando explorar o EFS-RPC contra o controlador de domínio. Este vetor de ataque está associado ao recente ataque PetitPotam. Para saber mais sobre esse alerta, consulte Conexão de rede suspeita pelo protocolo remoto do Encrypting File System (ID externo 2416).

• A versão inclui um novo alerta de segurança: Execução Remota de Código do Exchange Server (CVE-2021-26855) (ID externa 2414)
  Nessa detecção, o Microsoft Defender para Identidade dispara um alerta de segurança sempre que um invasor tenta alterar o atributo "msExchExternalHostName" no objeto do Exchange para execução remota de código. Para saber mais sobre esse alerta, consulte Execução remota de código do Exchange Server (CVE-2021-26855) (ID externa 2414). Essa detecção depende do evento 4662 do Windows, portanto, ele deve ser habilitado previamente. Para obter informações sobre como configurar e coletar este evento, consulte Configurar a coleta de eventos do Windows e siga as instruções para Habilitar auditoria em um objeto do Exchange.

Defender para Identidade versão 2.157

Lançado em 1 de agosto de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Julho de 2021

Defender para Identidade versão 2.156

Lançado em 25 de julho de 2021

• A partir desta versão, estamos adicionando o executável do driver Npcap ao pacote de instalação do sensor. Para obter mais informações, consulte Drivers WinPcap e Npcap.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.155

Lançado em 18 de julho de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.154

Lançado em 11 de julho de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.
• A versão inclui melhorias e detecções adicionais para a exploração do spooler de impressão conhecida como detecção PrintNightmare, para cobrir mais cenários de ataque.

Defender para Identidade versão 2.153

Lançado em 4 de julho de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

• A versão inclui um novo alerta de segurança: Tentativa suspeita de exploração do serviço Spooler de Impressão do Windows (exploração CVE-2021-34527) (ID externa 2415).

  Nessa detecção, o Microsoft Defender para Identidade dispara um alerta de segurança sempre que um invasor estiver tentando explorar o Serviço Spooler de Impressão do Windows contra o controlador de domínio. Esse vetor de ataque está associado à exploração do spooler de impressão e é conhecido como PrintNightmare. Saiba mais sobre este alerta.

Junho de 2021

Defender para Identidade versão 2.152

Lançado em 27 de junho de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.151

Lançado em 20 de junho de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.150

Lançado em 13 de junho de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Maio de 2021

Defender para Identidade versão 2.149

Lançado em 31 de maio de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.148

Lançado em 23 de maio de 2021

• Se você configurar e coletar a ID de evento 4662, o Defender para Identidade informará qual usuário fez a alteração do USN (Número de Sequência de Atualização) em várias propriedades de objeto do Active Directory. Por exemplo, se uma senha de conta for alterada e o evento 4662 estiver habilitado, o evento registrará quem alterou a senha.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.147

Lançado em 9 de maio de 2021

• Com base no feedback dos clientes, estamos aumentando o número padrão de sensores permitidos de 200 para 350 e as credenciais dos Serviços de Diretório de 10 para 30.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.146

Lançado em 2 de maio de 2021

• As notificações por email para problemas de integridade e alertas de segurança agora terão a URL de investigação para o Microsoft Defender para Identidade e o Microsoft Defender XDR.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Abril de 2021

Defender para Identidade versão 2.145

Lançado em 22 de abril de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.144

Lançado em 12 de abril de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Março de 2021

Defender para Identidade versão 2.143

Lançado em 14 de março de 2021

• Adicionamos o Evento 4741 do Windows para detectar atividades de contas de computador adicionadas ao Active Directory. Configure o novo evento para ser coletado pelo Defender para Identidade. Depois de configurados, os eventos coletados estarão disponíveis para exibição no log de atividades, bem como no Microsoft Defender XDR Advanced Hunting.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.142

Lançado em 7 de março de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Fevereiro de 2021

Defender para Identidade versão 2.141

Lançado em 21 de fevereiro de 2021

• Novo alerta de segurança: Suspeita de ataque AS-REP Roasting (ID externo 2412)
  O alerta de segurança de suspeita de ataque AS-REP Roasting (ID externa 2412) do Defender para Identidade já está disponível. Nessa detecção, um alerta de segurança do Defender para Identidade é disparado quando um invasor atinge contas com a pré-autenticação Kerberos desabilitada e tenta obter dados de TGT Kerberos. A intenção do invasor pode ser extrair as credenciais dos dados usando ataques de quebra de senha offline. Para obter mais informações, consulte Exposição a Kerberos AS-REP Roasting (ID externa 2412).
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.140

Lançado em 14 de fevereiro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Janeiro de 2021

Defender para Identidade versão 2.139

Lançado em 31 de janeiro de 2021

• Atualizamos a gravidade da exposição suspeita de Kerberos SPN para alta para refletir melhor o impacto do alerta. Para obter mais informações sobre o alerta, consulte Exposição suspeita do Kerberos SPN (ID externo 2410)
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.138

Lançado em 24 de janeiro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.137

Lançado em 17 de janeiro de 2021

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.136

Lançado em 3 de janeiro de 2021

• O Defender para Identidade agora dá suporte à instalação de sensores em servidores do AD FS (Serviços de Federação do Active Directory). A instalação do sensor em Servidores AD FS compatíveis amplia a visibilidade do Microsoft Defender para Identidade no ambiente híbrido monitorando esse componente de infraestrutura crítica. Também atualizamos algumas de nossas detecções existentes (Criação de serviço suspeito, Suspeita de ataque de força bruta (LDAP), Reconhecimento de enumeração de conta) para funcionar também nos dados do AD FS. Para iniciar a implantação do sensor Microsoft Defender para Identidade para servidor AD FS, baixe o pacote de implantação mais recente a partir da página de configuração do sensor.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Dezembro de 2020

Defender para Identidade versão 2.135

Lançado em 20 de dezembro de 2020

• Melhoramos nosso alerta de reconhecimento de atributos do Active Directory (LDAP) (ID externo 2210) para também detectar técnicas usadas para obter as informações necessárias para gerar tokens de segurança, como parte da campanha Solorigate.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.134

Lançado em 13 de dezembro de 2020

• Nosso detector NetLogon lançado recentemente foi aprimorado para também funcionar quando a transação de canal Netlogon ocorre em um canal criptografado. Para obter mais informações sobre o detector, consulte Tentativa suspeita de elevação de privilégio do Netlogon.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.133

Lançado em 6 de dezembro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Novembro de 2020

Defender para Identidade versão 2.132

Lançado em 17 de novembro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Defender para Identidade versão 2.131

Lançado em 8 de novembro de 2020

• Novo alerta de segurança: Suspeita de exposição ao SPN Kerberos (ID externo 2410)
  O alerta de segurança Suspeita de exposição do SPN do Kerberos (ID externa 2410) do Defender para Identidade já está disponível. Nessa detecção, um alerta de segurança do Defender para Identidade é disparado quando um invasor enumera contas de serviço e os respectivos SPNs e solicita tíquetes Kerberos TGS para os serviços. A intenção do atacante pode ser extrair os hashes dos tickets e salvá-los para uso posterior em ataques de força bruta offline. Para obter mais informações, consulte Exposição ao SPN Kerberos.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Outubro de 2020

Defender para Identidade versão 2.130

Lançado em 25 de outubro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.129

Lançado em 18 de outubro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Setembro de 2020

ATP do Azure versão 2.128

Lançado em 27 de setembro de 2020

• Configuração de notificações por e-mail modificada
  Estamos removendo os botões de Notificação por Mail para ativar as notificações por email. Para receber notificações por email, basta adicionar um endereço de email. Para obter mais informações, consulte Definir notificações.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.127

Lançado em 20 de setembro de 2020

• Novo alerta de segurança: tentativa de elevação de privilégio do Netlogon suspeita (ID externa 2411)
  O alerta de segurança Tentativa de elevação de privilégio do Netlogon suspeita (exploração CVE-2020-1472) (ID externa 2411) do ATP do Azure agora está disponível. Nesta detecção, um alerta de segurança do ATP do Azure é disparado quando um invasor estabelece uma conexão vulnerável de canal de segurança Netlogon com um controlador de domínio, usando o protocolo remoto Netlogon (MS-NRPC), também conhecida como Vulnerabilidade de Elevação de Privilégio do Netlogon. Para obter mais informações, consulte Tentativa suspeita de elevação de privilégio do Netlogon.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.126

Lançado em 13 de setembro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.125

Lançado em 6 de setembro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Agosto de 2020

ATP do Azure versão 2.124

Lançado em 30 de agosto de 2020

• Novos alertas de segurança
  Os alertas de segurança do ATP do Azure agora incluem as seguintes novas detecções:
  • Reconhecimento de atributos do Active Directory (LDAP) (ID externo 2210)
    Nessa detecção, um alerta de segurança do ATP do Azure é acionado quando um invasor é suspeito de obter com êxito informações críticas sobre o domínio para uso em sua cadeia de eliminação do ataque. Para obter mais informações, consulte: Reconhecimento de atributos do Active Directory.
  • Suspeita de uso de certificado Kerberos fraudulento (ID externo 2047)
    Nessa detecção, um alerta de segurança do ATP do Azure é acionado quando um invasor que ganhou controle sobre a organização comprometendo o servidor da autoridade de certificação é suspeito de gerar certificados que podem ser usados como contas backdoor em ataques futuros, como mover-se lateralmente em sua rede. Para obter mais informações, consulte Uso suspeito de de certificado Kerberos não autorizado.
  • Suspeita de uso de Golden Ticket (anomalia de tíquete usando RBCD) (ID externo 2040)
    Invasores com direitos de administrador de domínio podem comprometer sua conta KRBTGT. Usando a conta KRBTGT, eles podem criar um TGT (Tíquete de Concessão de Tíquete) do Kerberos, que fornece autorização para qualquer recurso.
    Esse TGT forjado é chamado de "Golden Ticket" porque permite que os invasores alcancem uma persistência de rede duradoura usando a Delegação Restrita Baseada em Recursos (RBCD). Os Golden Tickets forjados desse tipo têm características exclusivas que essa nova detecção é projetada para identificar. Para obter mais informações, consulte Suspeita de uso de Golden Ticket (anomalia de tíquete usando RBCD).
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.123

Lançado em 23 de agosto de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.122

Lançado em 16 de agosto de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.121

Lançado em 2 de agosto de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Julho de 2020

ATP do Azure versão 2.120

Lançado em 26 de julho de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.119

Lançado em 5 de julho de 2020

• Aprimoramento de recurso: nova guia Controladores de domínio excluídos no relatório Excel
  Para melhorar a precisão do nosso cálculo de cobertura do controlador de domínio, excluiremos controladores de domínio com confianças externas do cálculo para alcançar 100% de cobertura. Os controladores de domínio excluídos aparecerão na nova guia Controladores de domínio excluídos no download do relatório Excel de cobertura de domínio. Para obter informações sobre como baixar o relatório, consulte Status do controlador de domínio.
• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Junho de 2020

ATP do Azure versão 2.118

Lançado em 28 de junho de 2020

• Novas avaliações de segurança
  As avaliações de segurança do ATP do Azure agora incluem as seguintes novas avaliações:

  • Caminhos de movimentação lateral mais arriscados
    Essa avaliação monitora continuamente seu ambiente para identificar contas confidenciais com os caminhos de movimentação lateral mais arriscados que expõem um risco de segurança, e emite relatórios sobre essas contas para ajudá-lo a gerenciar seu ambiente. Os caminhos são considerados arriscados se tiverem três ou mais contas não confidenciais que possam expor a conta confidencial ao roubo de credenciais por agentes mal-intencionados. Para obter mais informações, consulte Avaliação de segurança: caminhos de movimento lateral mais arriscados (LMP).
  • Atributos de contas não seguros
    Esta avaliação do ATP do Azure monitora continuamente o ambiente para identificar contas com valores de atributo que expõem um risco de segurança e os relata para ajudar você a proteger o ambiente. Para obter mais informações, consulte Avaliação de segurança: atributos de conta não seguros.

• Definição de sensibilidade atualizada
  Estamos expandindo nossa definição de confidencialidade para contas locais para incluir entidades que têm permissão para usar a replicação do Active Directory.

ATP do Azure versão 2.117

Lançado em 14 de junho de 2020

• Aprimoramento de recurso: detalhes adicionais da atividade disponíveis na experiência unificada de SecOps
  Estendemos as informações do dispositivo que enviamos para o Defender for Cloud Apps, incluindo nomes de dispositivo, endereços IP, UPNs de conta e porta usada. Para obter mais informações sobre a integração ao Defender for Cloud Apps, confira Usar o ATP do Azure com o Defender for Cloud Apps.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.116

Lançado em 7 de junho de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Maio de 2020

ATP do Azure versão 2.115

Lançado em 31 de maio de 2020

• Novas avaliações de segurança
  As avaliações de segurança do ATP do Azure agora incluem as seguintes novas avaliações:

  • Atributos de histórico de SID não seguros
    Essa avaliação relata os atributos do Histórico do SID que podem ser usados por invasores mal-intencionados para obter acesso ao seu ambiente. Para obter mais informações, consulte Avaliação de segurança: Histórico doSID não seguro.
  • Uso do Microsoft LAPS
    Esta avaliação relata contas de administrador local que não usam a "Solução de Senha de Administrador Local" (LAPS) da Microsoft para proteger suas senhas. O uso do LAPS simplifica o gerenciamento de senhas e também ajuda a se defender contra ataques cibernéticos. Para obter mais informações, consulte Avaliação de segurança: uso do Microsoft LAPS.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.114

Lançado em 17 de maio de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.113

Lançado em 5 de maio de 2020

• Aprimoramento de recurso: atividade de acesso a recursos enriquecida com NTLMv1
  A partir desta versão, o Azure ATP agora fornece informações para atividades de acesso a recursos, mostrando se o recurso usa autenticação NTLMv1. Essa configuração de recurso não é segura e representa um risco de que agentes mal-intencionados possam forçar o aplicativo a seu favor. Para obter mais informações sobre o risco, consulte Uso de protocolos herdados.

• Aprimoramento de recurso: alerta de suspeita de ataque de Força Bruta (Kerberos, NTLM)
  O ataque de Força Bruta é usado por invasores para obter uma posição em sua organização e é um método fundamental para a descoberta de ameaças e riscos no Azure ATP. Para ajudá-lo a se concentrar nos riscos críticos para seus usuários, essa atualização torna mais fácil e rápido analisar e corrigir riscos, limitando e priorizando o volume de alertas.

Março de 2020

ATP do Azure versão 2.112

Lançado em 15 de março de 2020

• Novas instâncias do ATP do Azure são integradas automaticamente com o Microsoft Defender for Cloud Apps
  Ao criar uma instância do ATP do Azure (anteriormente instância), a integração com o Microsoft Defender para Aplicativos de Nuvem será habilitada por padrão. Para saber mais sobre a integração, confira Usar o ATP do Azure com o Microsoft Defender for Cloud Apps.

• Novas atividades monitoradas
  Os seguintes monitores de atividade estão agora disponíveis:

  • Logon interativo com certificado

  • Falha em logon com certificado

  • Acesso a recurso delegado

    Saiba mais sobre quais atividades o ATP do Azure monitora e como filtrar e pesquisar atividades monitoradas no portal.

• Aprimoramento de recurso: atividade de acesso a recursos enriquecida
  A partir desta versão, o ATP do Azure agora fornece informações para atividades de acesso a recursos, mostrando se o recurso tem confiança para delegação sem restrições. Essa configuração de recurso não é segura e representa um risco de que agentes mal-intencionados possam forçar o aplicativo a seu favor. Para obter mais informações sobre o risco, consulte Avaliação de segurança: delegação Kerberos não segura.

• Suspeita de manipulação de pacote SMB (exploração CVE-2020-0796) - (versão prévia)
  O alerta de segurança Suspeita de manipulação de pacote SMB do ATP do Azure está agora em versão prévia pública. Nessa detecção, um alerta de segurança do ATP do Azure é disparado quando é feito um pacote SMBv3 suspeito de explorar a vulnerabilidade de segurança CVE-2020-0796 em um controlador de domínio na rede.

ATP do Azure versão 2.111

Lançado em 1 de março de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Fevereiro de 2020

ATP do Azure versão 2.110

Lançamento em 23 de fevereiro de 2020

• Nova avaliação de segurança: controladores de domínio não monitorados
  As avaliações de segurança do ATP do Azure agora incluem um relatório sobre controladores de domínio não monitorados, servidores sem um sensor, para ajudá-lo a gerenciar a cobertura total do seu ambiente. Para obter mais informações, consulte Controladores de domínio não monitorados.

ATP do Azure versão 2.109

Lançamento em 16 de fevereiro de 2020

• Aprimoramento de recurso: entidades confidenciais
  A partir desta versão (2.109), os computadores identificados como Autoridade de Certificação, DHCP ou Servidores DNS pelo ATP do Azure agora são automaticamente marcados como Confidenciais.

ATP do Azure versão 2.108

Lançamento em 9 de fevereiro de 2020

• Novo recurso: Suporte para Contas de Serviço Gerenciado de Grupo
  O ATP do Azure agora oferece suporte ao uso de Contas de Serviço Gerenciado (gMSA) de grupo para melhorar a segurança ao conectar sensores do ATP do Azure às suas florestas do Microsoft Entra. Para obter mais informações sobre como usar o gMSA com sensores do ATP do Azure, consulte Conectar-se à sua floresta do Active Directory.

• Aprimoramento de recurso: relatório agendado com muitos dados
  Quando um relatório agendado tem dados demais, o e-mail agora informa o fato exibindo o seguinte texto: Havia muitos dados durante o período especificado para gerar um relatório. Isso substitui o comportamento anterior de descobrir o fato somente depois de clicar no link do relatório no e-mail.

• Aprimoramento de recurso: lógica de cobertura do controlador de domínio atualizada
  Atualizamos nossa lógica de relatório de cobertura de controlador de domínio para incluir informações adicionais do Microsoft Entra ID, resultando em uma visão mais precisa dos controladores de domínio sem sensores neles. Essa nova lógica também deve ter um efeito positivo no Microsoft Secure Score correspondente.

ATP do Azure versão 2.107

Lançamento em 3 de fevereiro de 2020

• Nova atividade monitorada: alteração do histórico do SID
  A alteração do histórico do SID agora é uma atividade monitorada e filtrável. Saiba mais sobre quais atividades o ATP do Azure monitora e como filtrar e pesquisar atividades monitoradas no portal.

• Aprimoramento de recurso: alertas fechados ou suprimidos não são mais reabertos
  Depois que um alerta é fechado ou suprimido no portal do ATP do Azure, se a mesma atividade for detectada novamente em um curto período de tempo, um novo alerta será aberto. Anteriormente, nas mesmas condições, o alerta era reaberto.

• TLS 1.2 necessário para acesso ao portal e sensores
  O TLS 1.2 agora é necessário para usar os sensores do ATP do Azure e o serviço de nuvem. O acesso ao portal do ATP do Azure não será mais possível usando navegadores que não oferecem suporte ao TLS 1.2.

Janeiro de 2020

ATP do Azure versão 2.106

Lançado em 19 de julho de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.105

Lançado em 12 de janeiro de 2020

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Dezembro de 2019

ATP do Azure versão 2.104

Lançado em 23 de dezembro de 2019

• Expirações da versão do sensor eliminadas
  Os pacotes de implantação e instalação de sensores do ATP do Azure não expiram mais após um número de versões e agora só se atualizam uma vez. O resultado desse recurso é que os pacotes de instalação de sensores baixados anteriormente agora podem ser instalados mesmo que sejam mais antigos do que nosso número máximo de versões vencidas.

• Confirmar comprometimento
  Agora você pode confirmar o comprometimento de usuários específicos do Microsoft 365 e definir seu nível de risco como alto. Esse fluxo de trabalho permite que suas equipes de operações de segurança tenham outro recurso de resposta para reduzir seus limites de tempo para resolver incidentes de segurança. Saiba mais sobre como confirmar o comprometimento usando o ATP do Azure e o Defender for Cloud Apps.

• Novo banner de experiência
  Nas páginas do portal do ATP do Azure em que uma nova experiência está disponível no portal do Defender for Cloud Apps, são exibidas novas faixas que descrevem o que está disponível nos links de acesso.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.103

Lançado em 15 de dezembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.102

Lançado em 8 de dezembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Novembro de 2019

ATP do Azure versão 2.101

Lançado em 24 de novembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.100

Lançado em 17 de novembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.99

Lançado em 3 de novembro de 2019

• Aprimoramento de recurso: adição da notificação da interface do usuário da disponibilidade do portal do Defender for Cloud Apps para o portal do ATP do Azure
  Para garantir que todos os usuários estejam cientes da disponibilidade dos recursos aprimorados no portal do Defender for Cloud Apps, uma notificação foi adicionada ao portal na linha do tempo de alertas do ATP do Azure.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Outubro de 2019

ATP do Azure versão 2.98

Lançado em 27 de outubro de 2019

• Aprimoramento de recurso: alerta de suspeita de ataque de Força Bruta
  Melhorou o alerta de suspeita de ataque de força bruta (SMB) usando análise adicional e melhorou a lógica de detecção para reduzir os resultados de alerta de alerta verdadeiro positivo benigno (B-TP) e falso positivo (FP).

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.97

Lançado em 6 de outubro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Setembro de 2019

ATP do Azure versão 2.96

Lançado em 22 de setembro de 2019

• Dados de autenticação NTLM enriquecidos usando o Evento 8004 do Windows
  Os sensores do ATP do Azure agora podem ler e enriquecer automaticamente as atividades de autenticações NTLM com os dados do servidor acessado quando a auditoria NTLM está habilitada e o Evento 8004 do Windows está ativado. O ATP do Azure analisa o Evento 8004 do Windows para autenticações NTLM para enriquecer os dados de autenticação NTLM usados para análise e alertas de ameaças do ATP do Azure. Essa capacidade aprimorada fornece atividade de acesso a recursos sobre dados NTLM, bem como atividades de logon com falha enriquecidas, incluindo o computador de destino que o usuário tentou, mas não conseguiu acessar.

  Saiba mais sobre as atividades de autenticação NTLM usando o Evento 8004 do Windows.

• A versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.95

Lançado em 15 de setembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.94

Lançado em 8 de setembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.93

Lançado em 1 de setembro de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Agosto de 2019

ATP do Azure versão 2.92

Lançado em 25 de agosto de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.91

Lançado em 18 de agosto de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.90

Lançado em 11 de agosto de 2019

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

ATP do Azure versão 2.89

Lançado em 4 de agosto de 2019

• Melhorias no método do sensor
  Para evitar a geração de tráfego NTLM excessivo na criação de avaliações precisas do Caminho de Movimento Lateral (LMP), foram feitas melhorias nos métodos de sensor do ATP do Azure para depender menos do uso do NTLM e fazer uso mais significativo do Kerberos.

• Aprimoramento de alerta: Suspeita de uso de Golden Ticket (conta inexistente)
  As alterações de nome do SAM foram adicionadas aos tipos de evidência de suporte listados nesse tipo de alerta. Para saber mais sobre o alerta, incluindo como evitar e corrigir esse tipo de atividade, confira Uso suspeito do Golden Ticket (conta inexistente).

• Disponibilidade geral: suspeita de violação de autenticação NTLM
  O alerta Suspeita de violação de autenticação NTLM não está mais no modo de versão prévia e agora está em disponibilidade geral.

• A versão inclui melhorias e correções de bugs para a infraestrutura do sensor interno.

Julho de 2019

ATP do Azure versão 2.88

Lançado em 28 de julho de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.87

Lançado em 21 de julho de 2019

• Aprimoramento de recurso: coleta automatizada de eventos do Syslog para sensores autônomos do ATP do Azure
  As conexões Syslog de entrada para sensores autônomos do ATP do Azure agora são totalmente automatizadas, e removem a opção de alternância da tela de configuração. Essas alterações não têm efeito sobre as conexões Syslog de saída.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.86

Lançado em 14 de julho de 2019

• Novo alerta de segurança: Suspeita de adulteração de autenticação NTLM (ID externo 2039)
  O novo alerta de segurança Suspeita de violação de autenticação NTLM do ATP do Azure ATP agora em versão prévia pública. Nessa detecção, um alerta de segurança do ATP do Azure é acionado quando há suspeita de que o uso de um ataque "man-in-the-middle" tenha contornado com êxito a Verificação de Integridade de Mensagens NTLM (MIC), uma vulnerabilidade de segurança detalhada no Microsoft CVE-2019-040. Esses tipos de ataques tentam fazer downgrade dos recursos de segurança NTLM e autenticar com sucesso, com o objetivo final de fazer movimentos laterais bem-sucedidos.

• Aprimoramento de recurso: identificação enriquecida do sistema operacional do dispositivo
  Até agora, o ATP do Azure fornecia informações do sistema operacional do dispositivo da entidade com base no atributo disponível no Active Directory. Anteriormente, se as informações do sistema operacional não estivessem disponíveis no Active Directory, as informações também não estavam disponíveis nas páginas da entidade no ATP do Azure. A partir desta versão, o ATP do Azure ATP agora fornece essas informações para dispositivos quando o Active Directory não tem as informações ou não está registrado no Active Directory, usando métodos enriquecidos de identificação do sistema operacional de dispositivo.

  A adição de dados da identificação enriquecida do sistema operacional de dispositivos ajuda a identificar dispositivos não registrados e não Windows, ao mesmo tempo em que ajuda no processo de investigação. Para saber mais sobre a Resolução de Nomes de Rede no ATP do Azure, consulte Noções básicas sobre NNR (Network Name Resolution).

• Novo recurso: Proxy autenticado - versão prévia
  O ATP do Azure agora oferece suporte a proxy autenticado. Especifique a URL do proxy usando a linha de comando do sensor e especifique Nome de usuário/Senha para usar proxies que exigem autenticação. Para obter mais informações sobre como usar o proxy autenticado, consulte Configurar o proxy.

• Aprimoramento de recurso: processo automatizado de sincronizador de domínio
  O processo de designar e marcar controladores de domínio como candidatos a sincronizadores de domínio durante a instalação e a configuração em andamento agora é totalmente automatizado. A opção de ativação/desativação para selecionar manualmente controladores de domínio como candidatos a sincronizador de domínio foi removida.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.85

Lançado em 7 de julho de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.84

Lançado em 1 de julho de 2019

• Suporte a novo local: data center do Azure no Reino Unido
  As instâncias do ATP do Azure agora têm suporte no data center do Azure no Reino Unido. Para saber mais sobre como criar instâncias do ATP do Azure ATP as localizações de seus data centers correspondentes, consulte Etapa 1 da instalação do ATP do Azure.

• Aprimoramento de recurso: novo nome e recursos para o alerta Adições suspeitas a grupos confidenciais (ID externo 2024)
  O alerta Adições suspeitas a grupos confidenciais era denominado anteriormente alerta Modificações suspeitas em grupos confidenciais. A ID externa do alerta (ID 2024) permanece a mesma. A alteração de nome descritivo reflete com mais precisão o propósito de alertar sobre adições a seus grupos confidenciais. O alerta aprimorado também apresenta novas evidências e descrições aprimoradas. Para obter mais informações, consulte Adições suspeitas a grupos confidenciais.

• Novo recurso de documentação: Guia para migrar da Análise Avançada de Ameaças para o ATP do Azure
  Este novo artigo inclui pré-requisitos, orientação de planejamento, bem como etapas de configuração e verificação para migrar do ATA para o serviço ATP do Azure. Para saber mais, consulte Mover dados do ATA para o ATP do Azure.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

Junho de 2019

ATP do Azure versão 2.83

Lançado em 23 de junho de 2019

• Aprimoramento de recurso: alerta de criação de serviço suspeito (ID externo 2026)
  Este alerta agora apresenta uma página de alerta aprimorada com evidências adicionais e uma nova descrição. Para obter mais informações, consulte Alerta de segurança de criação de serviço suspeito.

• Suporte à nomeação de instâncias: suporte adicionado para prefixo de domínio com apenas dígitos
  Suporte adicionado para a criação de instância do ATP do Azure usando prefixos de domínio inicial que contêm apenas dígitos. Por exemplo, agora há suporte para o uso de prefixos de domínio inicial de apenas dígitos como 123456.contoso.com.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.82

Lançado em 18 de junho de 2019

• Nova versão prévia pública
  A experiência de investigação de ameaças de identidade do ATP do Azure agora está em Versão Prévia Pública e disponível para todos os locatários protegidos pelo ATP do Azure. Confira Experiência de investigação do Microsoft Defender for Cloud Apps do ATP do Azure para saber mais.

• Disponibilidade Geral
  O suporte do ATP do Azure para florestas não confiáveis agora está em disponibilidade geral. Consulte Multifloresta do ATP do Azure para saber mais.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.81

Lançado em 10 de junho de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.80

Lançado em 2 de junho de 2019

• Aprimoramento de recurso: alerta de conexão VPN suspeita
  Esse alerta agora inclui evidências e textos aprimorados para melhor usabilidade. Para obter mais informações sobre recursos de alerta e sugestões de etapas de correção e prevenção, consulte Descrição do alerta de conexão VPN suspeita.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

Maio de 2019

ATP do Azure versão 2.79

Lançamento em 26 de maio de 2019

• Disponibilidade geral: Reconhecimento de entidade de segurança (LDAP) (ID 2038 externa)

  Este alerta agora está em GA (disponibilidade geral). Para obter mais informações sobre o alerta, os recursos do alerta e a correção e prevenção sugeridas, confira a descrição do alerta LDAP (Reconhecimento de entidade de segurança)

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.78

Lançamento em 19 de maio de 2019

• Aprimoramento de recurso: entidades confidenciais
  Marcação confidencial manual para servidores Exchange

  Agora você pode marcar manualmente entidades como Exchange Servers durante a configuração.

  Para marcar manualmente uma entidade como um Exchange Server:

  1. No portal do Azure, selecione Configuração.
  2. Em Detecção, selecione Marcas de entidade e, em seguida, selecione Confidencial.
  3. Selecione Exchange Servers e adicione a entidade que você deseja marcar.

  Depois de marcar um computador como um Exchange Server, ele será marcado como Confidencial e exibirá que foi marcado como um Exchange Server. A marca Confidencial aparecerá no perfil de entidade do computador e o computador será considerado em todas as detecções baseadas em contas Confidenciais e Caminhos de Movimento Lateral.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.77

Lançamento em 12 de maio de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.76

Lançamento em 6 de maio de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Abril de 2019

ATP do Azure versão 2.75

Lançado em 28 de abril de 2019

• Aprimoramento de recurso: entidades confidenciais
  A partir desta versão (2.75), os computadores identificados como Exchange Serves pelo ATP do Azure agora são automaticamente marcados como Confidenciais.

  As entidades que são marcadas automaticamente como Confidenciais porque funcionam como Exchange Servers listam essa classificação como o motivo pelo qual são marcadas.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.74

lançado em 14 de abril de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.73

Lançado em 10 de abril de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Março de 2019

ATP do Azure versão 2.72

Lançado em 31 de março de 2019

• Aprimoramento de recurso: profundidade de escopo do Caminho de Movimento Lateral (LMP)
  Os LMPs (caminhos de movimento lateral) são um método chave para a descoberta de ameaças e riscos no ATP do Azure. Para ajudar a manter o foco nos riscos críticos para seus usuários mais sensíveis, esta atualização torna mais fácil e rápida a análise e correção de riscos para os usuários confidenciais em cada LMP, limitando o escopo e a profundidade de cada gráfico exibido.

  Consulte Caminhos de movimento lateral para saber mais sobre como o ATP do Azure usa LMPs para exibir riscos de acesso a cada entidade em seu ambiente.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.71

Lançado em 24 de março de 2019

• Aprimoramento de recurso: alertas de integridade da Resolução de Nomes de Rede (NNR)
  Foram adicionados alertas de integridade para níveis de confiança associados aos alertas de segurança do ATP do Azure que são baseados em NNR. Cada alerta de integridade inclui recomendações acionáveis e detalhadas para ajudar a resolver baixas taxas de sucesso de NNR.

  Consulte O que é Resolução de Nomes de Rede para saber mais sobre como o ATP do Azure usa NNR e por que é importante para a precisão do alerta.

• Suporte ao servidor: suporte adicionado para o Server 2019 com o uso do KB4487044
  Suporte adicionado para uso do Windows Server 2019, com um nível de patch de KB4487044. O uso do Server 2019 sem o patch não é suportado e é bloqueado a partir desta atualização.

• Aprimoramento de recurso: exclusão de alerta baseado no usuário
  As opções estendidas de exclusão de alertas agora permitem excluir usuários específicos de alertas específicos. As exclusões podem ajudar a evitar situações em que o uso ou a configuração de determinados tipos de software interno dispararam repetidamente alertas de segurança benignos.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.70

Lançado em 17 de março de 2019

• Aprimoramento de recurso: adição do nível de confiança NNR (Resolução de Nomes de Rede) a vários alertas A NNR ou a Resolução de Nomes de Rede é usada para ajudar a identificar de maneira positiva a identidade da entidade de origem dos ataques suspeitos. Ao adicionar os níveis de confiança NNR às listas de evidências de alerta do ATP do Azure, agora você pode avaliar e entender instantaneamente o nível de confiança NNR relacionado às possíveis fontes identificadas e corrigir adequadamente.

  Evidências do nível de confiança do NNR foram adicionadas aos seguintes alertas:

  • Reconhecimento de mapeamento de rede (DNS)
  • Suspeita de roubo de identidade (Pass-the-Ticket)
  • Suspeita de ataque de retransmissão de NTLM (conta do Exchange) - versão prévia
  • Suspeita de ataque DCSync (replicação de serviços de diretório)

• Cenário de alerta de integridade adicional: falha ao iniciar o serviço de sensor do ATP do Azure
  Nos casos em que o sensor do ATP do Azure falhou ao iniciar devido a um problema de driver de captura de rede, um alerta de integridade do sensor agora é disparado. Solução de problemas do sensor do ATP do Azure com logs do ATP do Azure para obter mais informações sobre os logs do ATP do Azure e como usá-los.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.69

Lançado em 10 de março de 2019

• Aprimoramento de recurso: alerta de suspeita de roubo de identidade (Pass-the-Ticket) Este alerta agora apresenta uma nova evidência que mostra os detalhes das conexões feitas por meio do protocolo RDP. A evidência adicionada facilita a correção do problema conhecido de alertas Beningno-Verdadeiro Positivo (B-TP) causado pelo uso do Remote Credential Guard em conexões RDP.

• Aprimoramento de recurso: alerta de execução remota de código sobre DNS
  Esse alerta agora apresenta novas evidências mostrando o status da atualização de segurança do controlador de domínio, informando quando as atualizações são necessárias.

• Novo recurso de documentação: alerta de segurança do ATP do Azure MITRE ATT&CK Matrix™
  Para explicar e facilitar o mapeamento da relação entre alertas de segurança do ATP do Azure e o MITRE ATT&CK Matrix conhecido, adicionamos as técnicas MITRE relevantes para listagens de alertas de segurança do ATP do Azure. Essa referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente em uso quando um alerta de segurança do ATP do Azure é acionado. Saiba mais sobre o Guia de alertas de segurança do ATP do Azure.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.68

Lançado em 3 de março de 2019

• Aprimoramento de recurso: alerta de suspeita de ataque de Força Bruta (LDAP)
  Foram feitas melhorias significativas de usabilidade neste alerta de segurança, incluindo uma descrição revisada, fornecimento de informações adicionais sobre a fonte e detalhes de tentativa de adivinhação para correção mais rápida.
  Saiba mais sobre alertas de segurança de suspeita de ataque de força bruta (LDAP).

• Novo recurso de documentação: Laboratório de alertas de segurança
  Para explicar o poder do ATP do Azure na detecção de ameaças reais ao seu ambiente de trabalho, adicionamos um novo laboratório de alerta de segurança a esta documentação. O laboratório de alertas de segurança ajuda você a configurar rapidamente um laboratório ou ambiente de teste e explica a melhor postura defensiva contra ameaças e ataques comuns do mundo real.

  O laboratório passo a passo foi projetado para garantir que você gaste o mínimo de tempo compilando e mais tempo aprendendo sobre seu cenário de ameaças e alertas e proteção disponíveis do ATP do Azure. Estamos entusiasmados em ouvir seu feedback.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

Fevereiro de 2019

ATP do Azure versão 2.67

Lançada em 24 de fevereiro de 2019

• Novo alerta de segurança: reconhecimento de entidade de segurança (LDAP) - (versão prévia)
  O alerta de segurança Reconhecimento de entidade de segurança (LDAP) - versão prévia do ATP do Azure agora está em versão prévia pública. Nessa detecção, um alerta de segurança do ATP do Azure é acionado quando o reconhecimento da entidade de segurança é usado por invasores para obter informações críticas sobre o ambiente de domínio. Essa informação ajuda os invasores a mapear a estrutura do domínio, bem como identificar contas privilegiadas para uso em etapas posteriores na kill chain de ataque.

  O protocolo LDAP é um dos métodos mais populares usados em consultas do Active Directory, tanto para fins legítimos quanto mal-intencionados. O reconhecimento da entidade de segurança baseado no LDAP é comumente usado como a primeira fase de um ataque de Kerberoasting. Os ataques de Kerberoasting são usados para obter uma lista de destino de SPNs (Nomes de Entidades de Segurança), que são usados pelos invasores para tentar obter tíquetes de TGS (Servidor de Concessão de Tíquetes).

• Aprimoramento de recurso: alerta de reconhecimento de enumeração de conta (NTLM)
  Alerta de Reconhecimento de enumeração de conta (NTLM) aprimorado usando análise adicional e lógica de detecção aprimorada para reduzir os resultados de alertas B-TP e FP.

• Aprimoramento de recurso: alerta de reconhecimento de mapeamento de rede (DNS)
  Novos tipos de detecções adicionados aos alertas de reconhecimento de mapeamento de rede (DNS). Além de detectar solicitações AXFR suspeitas, o ATP do Azure agora detecta tipos suspeitos de solicitações originadas de servidores não DNS usando um número excessivo de solicitações.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.66

Lançada em 17 de fevereiro de 2019

• Aprimoramento de recurso: Alerta de suspeita de ataque DCSync (replicação de serviços de diretório)
  Foram feitas melhorias de usabilidade neste alerta de segurança, incluindo uma descrição revisada, fornecimento de informações adicionais sobre a fonte, novo infográfico e mais evidências. Saiba mais sobre alertas de segurança de Suspeita de ataque DCSync (replicação de serviços de diretório).

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.65

Lançado em 10 de fevereiro de 2019

• Novo alerta de segurança: Suspeita de ataque de retransmissão de NTLM (conta do Exchange) (versão prévia)
  O alerta de segurança Suspeita de ataque de retransmissão de NTLM (conta do Exchange) - versão prévia do ATP do Azure agora está em versão prévia pública. Nessa detecção, um alerta de segurança do ATP do Azure é disparado quando é identificado o uso de credenciais de conta do Exchange de uma fonte suspeita. Esses tipos de ataques tentam aproveitar as técnicas de retransmissão NTLM para obter privilégios de troca de controlador de domínio e são conhecidos como ExchangePriv. Saiba mais sobre a técnica ExchangePriv no aviso ADV190007 publicado pela primeira vez em 31 de janeiro de 2019 e a resposta de alerta do ATP do Azure.

• Disponibilidade geral: Execução remota de código sobre DNS
  Este alerta agora está em GA (disponibilidade geral). Para obter mais informações e recursos de alerta, consulte a página Descrição do alerta Execução remota de código sobre DNS.

• Disponibilidade geral: Exfiltração de dados sobre SMB
  Este alerta agora está em GA (disponibilidade geral). Para obter mais informações e recursos de alerta, consulte a página Descrição do alerta de exfiltração de dados sobre SMB.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.64

Lançado em 4 de fevereiro de 2019

• Disponibilidade geral: Suspeita de uso de Golden Ticket (anomalia de tíquete)
  Este alerta agora está em GA (disponibilidade geral). Para obter mais informações e recursos do alerta, consulte a página de descrição do alerta Uso suspeito do Golden Ticket (anomalia de ticket).

• Aprimoramento de recurso: reconhecimento de mapeamento de rede (DNS)
  Lógica de detecção de alerta aprimorada implantada para esse alerta para minimizar falsos positivos e ruído de alerta. Este alerta tem agora um período de aprendizagem de oito dias antes de o alerta poder ser acionado pela primeira vez. Para obter mais informações sobre esse alerta, consulte a página de descrição do alerta Reconhecimento de mapeamento de rede (DNS).

  Devido ao aprimoramento desse alerta, o método nslookup não deve mais ser usado para testar a conectividade do ATP do Azure durante a configuração inicial.

• Aprimoramento do recurso:
  Esta versão inclui páginas de alerta redesenhadas e novas evidências, fornecendo uma melhor investigação de alertas.

  • Suspeita de ataque de força bruta (SMB)
  • Página de descrição do alerta Suspeita de uso de Golden Ticket (anomalia de tempo)
  • Suspeita de ataque overpass-the-hash (Kerberos)
  • Suspeita de uso de estrutura de hacking Metasploit
  • Suspeita de ataque de ransomware WannaCry

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

Janeiro de 2019

ATP do Azure versão 2.63

Lançado em 27 de janeiro de 2019

• Novo recurso: Suporte para floresta não confiável (versão prévia)
  O suporte do ATP do Azure para sensores em florestas não confiáveis agora está em versão prévia pública. Na página Serviços de diretório do portal do ATP do Azure, configure conjuntos adicionais de credenciais para permitir que os sensores do ATP do Azure se conectem a diferentes florestas do Active Directory e relatem ao serviço do ATP do Azure. Consulte Multifloresta do ATP do Azure para saber mais.

• Novo recurso: Cobertura do controlador de domínio
  O ATP do Azure agora fornece informações de cobertura para controladores de domínio monitorados do ATP do Azure.
  Na página Sensores do portal do ATP do Azure, exiba o número de controladores de domínio monitorados e não monitorados detectados pelo ATP do Azure em seu ambiente. Baixe a lista de controladores de domínio monitorados para análise adicional e para criar um plano de ação. Consulte o guia de instruções Monitoramento do controlador de domínio para saber mais.

• Aprimoramento de recurso: reconhecimento de enumeração de conta
  A detecção de reconhecimento de enumeração de conta do ATP do Azure agora detecta e emite alertas para tentativas de enumeração usando Kerberos e NTLM. Anteriormente, a detecção só funcionava para tentativas usando Kerberos. Consulte Alertas de reconhecimento do ATP do Azure para saber mais.

• Aprimoramento de recurso: alerta de execução remota de código

  • Todas as atividades de execução remota, como criação de serviço, execução WMI e a nova execução de PowerShell, foram adicionadas à linha do tempo do perfil da máquina de destino. A máquina de destino é o controlador de domínio no qual o comando foi executado.
  • A execução do PowerShell foi adicionada à lista de atividades de execução remota de código listadas na linha do tempo do alerta de perfil de entidade.
  • Consulte Tentativa de execução remota de código para saber mais.

• Problema LSASS do Windows Server 2019 e ATP do Azure
  Em resposta aos comentários dos clientes sobre o uso do ATP do Azure com controladores de domínio que executam o Windows Server 2019, esta atualização inclui lógica adicional para evitar o disparo do comportamento relatado em computadores no Windows Server 2019. O suporte completo para o sensor do ATP do Azure no Windows Server 2019 está planejado para uma atualização futura do ATP do Azure, no entanto, a instalação e a execução do ATP do Azure no Windows Server 2019 não têm suporte no momento. Consulte Requisitos do sensor do ATP do Azure para saber mais.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.62

Lançado em 20 de janeiro de 2019

• Novo alerta de segurança: Execução remota de código com DNS (versão prévia)
  O alerta de segurança Execução remota de código sobre DNS do ATP do Azure agora está em versão prévia pública. Nessa detecção, um alerta de segurança do ATP do Azure é disparado quando são feitas consultas de DNS suspeitas de explorar a vulnerabilidade de segurança CVE-2018-8626 em um controlador de domínio na rede.

• Aprimoramento de recurso: Atualização do sensor com atraso de 72 horas
  Opção alterada para atrasar as atualizações de sensor em sensores selecionados para 72 horas (em vez do atraso anterior de 24 horas) após cada atualização de versão do ATP do Azure. Consulte Atualização do sensor do ATP do Azure para obter instruções de configuração.

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.61

Lançado em 13 de janeiro de 2019

• Novo alerta de segurança: Exfiltração de dados sobre SMB - (versão prévia)
  O alerta de segurança Exfiltração de dados sobre SMB do ATP do Azure está agora em versão prévia pública. Invasores com direitos de administrador de domínio podem comprometer sua conta KRBTGT. Usando a conta KRBTGT, invasores podem criar um TGT (Tíquete de Concessão de Tíquete) do Kerberos, que fornece autorização para qualquer recurso.

• Aprimoramento de recurso: alerta de segurança tentativa de execução remota de código
  Uma nova descrição de alerta e evidências adicionais foram adicionadas para ajudar a tornar o alerta mais fácil de entender e fornecer melhores fluxos de trabalho de investigação.

• Aprimoramento de recurso: atividades lógicas de consulta DNS
  Tipos de consulta adicionais foram adicionados às atividades monitoradas do ATP do Azure, incluindo: TXT, MX, NS, SRV, ANY, DNSKEY.

• Aprimoramento do recurso: Suspeita de uso do Golden Ticket (anomalia do ticket) e suspeita de uso do Golden Ticket (conta inexistente)
  A lógica de detecção aprimorada foi aplicada a ambos os alertas para reduzir o número de alertas FP e fornecer resultados mais precisos.

• Aprimoramento de recurso: documentação do Alerta de Segurança do ATP do Azure
  A documentação de alertas de segurança do ATP do Azure ATP foi aprimorada e expandida para incluir melhores descrições de alerta, classificações de alerta mais precisas e explicações de evidências, correção e prevenção. Familiarize-se com o novo design da documentação de alerta de segurança usando os seguintes links:

  • Alertas de segurança do ATP do Azure
  • Noções básicas sobre alertas de segurança
    • Alertas de fase de reconhecimento
    • Alertas da fase de credenciais comprometidas
    • Alertas da fase de movimentação lateral
    • Alertas da fase de predominância de domínio
    • Alertas de fase de exfiltração
  • Investigar um computador
  • Investigar um usuário

• Esta versão inclui também melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.60

Lançado em 6 de janeiro de 2019

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Dezembro de 2018

ATP do Azure versão 2.59

Lançado em 16 de dezembro de 2018

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.58

Lançado em 9 de dezembro de 2018

• Aprimoramento de alerta de segurança: divisão de alerta de implementação de protocolo incomum
  A série de alertas de segurança de Implementação de Protocolo Incomum do TP do Azure que anteriormente compartilhava 1 externalId (2002), agora está dividida em quatro alertas distintos, com uma ID externa exclusiva correspondente.

Novo alerta externalIds

Novo nome de alerta de segurança	Nome do alerta de segurança anterior	ID externo exclusivo
Suspeita de ataque de força bruta (SMB)	Implementação de protocolo incomum (uso potencial de ferramentas maliciosas, como o Hydra)	2033
Suspeita de ataque overpass-the-hash (Kerberos)	Implementação incomum do protocolo Kerberos (possível ataque Overpass-the-Hash)	2002
Suspeita de uso de estrutura de hacking Metasploit	Implementação de protocolo incomum (uso potencial de ferramentas de hacking Metasploit)	2034
Suspeita de ataque de ransomware WannaCry	Implementação de protocolo incomum (ataque potencial de ransomware WannaCry)	2035

• Nova atividade monitorada: cópia de arquivo por meio de SMB
  A cópia de arquivos usando SMB agora é uma atividade monitorada e filtrável. Saiba mais sobre quais atividades o ATP do Azure monitora e como filtrar e pesquisar atividades monitoradas no portal.

• Aprimoramento da imagem do Caminho de Movimento Lateral Grande
  Ao visualizar grandes caminhos de movimentação lateral, o ATP do Azure agora destaca apenas os nós conectados a uma entidade escolhida, em vez de desfocar os outros nós. Essa alteração introduz uma melhoria significativa na grande velocidade de renderização LMP.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

ATP do Azure versão 2.57

Lançado em 2 de dezembro de 2018

• Novo alerta de segurança: Suspeita de uso de Golden Ticket - anomalia de ticket (versão prévia)
  O alerta de segurança Uso suspeito do Golden Ticket - anomalia de ticket do ATP do Azure agora está em versão prévia pública. Invasores com direitos de administrador de domínio podem comprometer sua conta KRBTGT. Usando a conta KRBTGT, invasores podem criar um TGT (Tíquete de Concessão de Tíquete) do Kerberos, que fornece autorização para qualquer recurso.

  Esse TGT falso é chamado de "Golden Ticket" e permite que os invasores obtenham persistência da rede duradoura. Os Golden Tickets forjados desse tipo têm características exclusivas que essa nova detecção é projetada para identificar.

• Aprimoramento de recurso: criação automatizada de instância (instância) do ATP do Azure
  A partir de hoje, as instâncias do ATP do Azure são renomeadas como instâncias do ATP do Azure. O ATP do Azure ATP agora oferece suporte a uma instância do ATP do Azure por conta do ATP do Azure. As instâncias para novos clientes são criadas usando o assistente de criação de instância no portal do ATP do Azure. As instâncias existentes do ATP do Azure são convertidas automaticamente em instâncias do ATP do Azure com esta atualização.

  • Criação simplificada de instância para implantação e proteção mais rápidas usando criar sua instância do Azure ATP.
  • Toda a privacidade e conformidade de dados permanece a mesma.

  Para saber mais sobre instâncias do ATP do Azure, consulte Criar sua instância do ATP do Azure.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Novembro de 2018

ATP do Azure versão 2.56

Lançado em 25 de novembro de 2018

• Aprimoramento de recurso: caminhos de movimento lateral (LMPs)
  Dois recursos adicionais são adicionados para aprimorar os recursos do Caminho de Movimento Lateral (LMP) do ATP do Azure:

  • O histórico do LMP agora é salvo e detectável por entidade e ao usar relatórios do LMP.
  • Siga uma entidade em um LMP por meio da linha do tempo da atividade e investigue usando evidências adicionais fornecidas para a descoberta de possíveis caminhos de ataque.

  Consulte Caminhos de movimento lateral do ATP do Azure para saber mais sobre como usar e investigar com LMPs avançados.

• Aprimoramentos na documentação: Caminhos de movimento lateral, nomes de alertas de segurança
  Foram feitas adições e atualizações em artigos do ATP do Azure que descrevem descrições e recursos do Caminho de Movimento Lateral, o mapeamento de nomes foi adicionado para todas as instâncias de nomes de alertas de segurança antigos para novos nomes e externalIds.

  • Confira Caminhos de movimentação lateral do ATP do Azure, Investigar caminhos de movimentação lateral e Guia de alerta de segurança para saber mais.

• Esta versão inclui melhorias e correções de bugs para a infraestrutura interna do sensor.

Para obter detalhes de cada versão do Defender para Identidade até (e incluindo) a versão 2.55, confira a referência de versão do Defender para Identidade.

Próximas etapas

Novidades do Microsoft Defender para Identidade