A Microsoft Defender for Identity új archívuma

Ez a cikk Microsoft Defender for Identity több mint 6 hónapja kiadott verziók és funkciók kibocsátási megjegyzéseit sorolja fel.

A legújabb verziókkal és funkciókkal kapcsolatos információkért lásd: A Microsoft Defender for Identity újdonságai.

2023. július

A Defender for Identity 2.209-es kiadása

Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Active Directory-csoportok keresése Microsoft Defender XDR (előzetes verzió)

A Microsoft Defender XDR globális keresés mostantól támogatja az Active Directory-csoportnév szerinti keresést. A talált csoportok egy külön Csoportok lapon jelennek meg az eredmények között. Válasszon ki egy Active Directory-csoportot a keresési eredmények közül a további részletek megtekintéséhez, például:

• Típus
• Kiterjedés
• Domain (Tartomány)
• SAM-név
• SID

• Csoportlétrehozás ideje
• A csoport tevékenységeinek első észlelése
• a kijelölt csoportot tartalmazó Csoportok
• Az összes csoporttag listája

Például:

További információt a Microsoft Defender XDR Microsoft Defender for Identity című témakörben talál.

Új biztonsági helyzetjelentések

A Defender for Identity identitásbiztonsági állapotfelmérései proaktívan észlelik és javasolják a helyi Active Directory konfigurációkon végrehajtott műveleteket.

A Következő új biztonsági helyzetértékelések érhetők el a Microsoft biztonsági pontszámában:

• Hozzáférési jogosultságok eltávolítása gyanús fiókokról az Rendszergazda SDHolder engedéllyel
• DCSync-engedélyekkel rendelkező nem felügyelt fiókok eltávolítása
• Helyi rendszergazdák eltávolítása identitáseszközökről
• A Defender for Identity üzembe helyezése

További információ: Microsoft Defender for Identity biztonsági helyzetértékelései.

Automatikus átirányítás a klasszikus Defender for Identity portálhoz

A Microsoft Defender for Identity portál felülete és funkciói átkerülnek a Microsoft kiterjesztett észlelési és reagálási (XDR) platformjára, Microsoft Defender XDR. 2023. július 6-ától a klasszikus Defender for Identity portált használó ügyfelek automatikusan át lesznek irányítva a Microsoft Defender XDR, és nem lehet visszaállítani a klasszikus portálra.

További információt a Microsoft Defender XDR-bentalálható blogbejegyzésünkben és Microsoft Defender for Identity talál.

A Defender for Identity jelentéseinek letöltése és ütemezése Microsoft Defender XDR (előzetes verzió)

Mostantól az Microsoft Defender portálról tölthet le és ütemezhet rendszeres Defender for Identity-jelentéseket, így paritást hozhat létre a jelentésfunkciókban az örökölt klasszikus Defender for Identity portállal.

Jelentések letöltése és ütemezése Microsoft Defender XDR a Beállítások > Identitások > Jelentéskezelés oldaláról. Például:

További információ: jelentések Microsoft Defender for Identity Microsoft Defender XDR.

A Defender for Identity 2.208-es kiadása

• Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.207-es kiadása

• Ez a verzió biztosítja az új AccessKeyFile telepítési paramétert. A Defender for Identity-érzékelő csendes telepítése során használja az AccessKeyFile paramétert a munkaterület hozzáférési kulcsának beállításához egy megadott szöveges elérési útból. További információ: Az Microsoft Defender for Identity érzékelő telepítése.

• Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

2023. június

A Defender for Identity 2.206-os kiadása

• Ez a verzió a felhőszolgáltatások és a Defender for Identity érzékelő fejlesztéseit és hibajavítását tartalmazza.

Speciális veszélyforrás-keresés továbbfejlesztett IdentityInfo-táblázattal

• Az identitáshoz készült Defenderrel rendelkező bérlők esetében a Microsoft 365 IdentityInfo speciális veszélyforrás-keresési táblázata mostantól identitásonként több attribútumot tartalmaz, valamint a Defender for Identity érzékelő által a helyszíni környezetből észlelt identitásokat.

További információ: Microsoft Defender XDR speciális veszélyforrás-keresés dokumentációja.

A Defender for Identity 2.205-ös kiadása

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2023. május

Továbbfejlesztett Active Directory-fiókvezérlés – kiemelések

Az Microsoft Defender XDR Identitás> felhasználói adatai lap mostantól új Active Directory-fiókvezérlési adatokat tartalmaz.

A felhasználói adatok Áttekintés lapján hozzáadtuk az új Active Directory-fiókvezérlő kártyát a fontos biztonsági beállítások és az Active Directory-vezérlők kiemeléséhez. Ezzel a kártyával például megtudhatja, hogy egy adott felhasználó meg tudja-e kerülni a jelszókövetelményeket, vagy olyan jelszóval rendelkezik-e, amely soha nem jár le.

Például:

További információ: User-Account-Control attribútum dokumentációja.

A Defender for Identity 2.204-es kiadása

Kiadás dátuma: 2023. május 29.

• Új állapotriasztás VPN-integrációs adatbetöltési hibák esetén. További információ: érzékelőállapot-riasztások Microsoft Defender for Identity.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.203-es kiadása

Kiadás dátuma: 2023. május 15.

• Új állapotriasztás annak ellenőrzéséhez, hogy az ADFS tárolónaplózása megfelelően van-e konfigurálva. További információ: érzékelőállapot-riasztások Microsoft Defender for Identity.

• A Microsoft Defender 365 Identity oldal az oldalirányú mozgási útvonal felhasználói felületének frissítéseit tartalmazza. A funkció nem módosult. További információ: Az oldalirányú mozgási útvonalak (LP-k) ismertetése és vizsgálata Microsoft Defender for Identity.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az identitás idővonalának fejlesztései

Az identitás idővonala lap új és továbbfejlesztett funkciókat tartalmaz! A frissített idősoron mostantól az eredeti szűrők mellett a Tevékenység típusa, a Protokoll és a Hely alapján is szűrhet. Az ütemtervet csv-fájlba is exportálhatja, és további információkat találhat a MITRE ATT&CK-technikákkal kapcsolatos tevékenységekről. További információ: Felhasználók vizsgálata Microsoft Defender XDR.

Riasztások finomhangolása Microsoft Defender XDR

A riasztások finomhangolása, amely mostantól elérhető Microsoft Defender XDR, lehetővé teszi a riasztások módosítását és optimalizálását. A riasztások finomhangolása csökkenti a téves riasztásokat, lehetővé teszi az SOC-csapatok számára, hogy a magas prioritású riasztásokra összpontosítsanak, és javítja a fenyegetésészlelési lefedettséget a rendszerben.

A Microsoft Defender XDR hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt a feltételeknek megfelelő bármely szabálytípusra. További információ: Riasztás hangolása.

2023. április

A Defender for Identity 2.202-es kiadása

Kiadás dátuma: 2023. április 23.

• Új állapotriasztás annak ellenőrzéséhez, hogy a Címtárszolgáltatások konfigurációjának tárolónaplózása megfelelően van-e konfigurálva az állapotriasztások oldalán leírtak szerint.
• Az Új-Zélandra leképezett AD-bérlők új munkaterületei az Ausztrália keleti régiójában jönnek létre. A regionális üzembe helyezés legfrissebb listájáért tekintse meg a Defender for Identity összetevőit.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2023. március

A Defender for Identity 2.201-es kiadása

Kiadás dátuma: 2023. március 27.

• Folyamatban van az SAM-R honeytoken riasztás letiltása. Bár az ilyen típusú fiókokat soha nem szabad elérni vagy lekérdezni, bizonyos örökölt rendszerek ezeket a fiókokat normál működésük részeként használhatják. Ha erre a funkcióra szüksége van, bármikor létrehozhat egy speciális veszélyforrás-keresési lekérdezést, és egyéni észlelésként használhatja. Az LDAP honeytoken riasztást is áttekintjük az elkövetkező hetekben, de egyelőre működőképes marad.

• Kijavítottuk a címtárszolgáltatások objektumnaplózási állapotriasztásának észlelési logikájával kapcsolatos problémákat a nem angol nyelvű operációs rendszerek esetében, valamint a 87-es verziónál korábbi Directory Services-sémákkal rendelkező Windows 2012-ben.

• Eltávolítottuk a Directory Services-fiók konfigurálásának előfeltételét az érzékelők indításához. További információ: Microsoft Defender for Identity Címtárszolgáltatás-fiókra vonatkozó javaslatok.

• Már nincs szükség 1644-események naplózására. Ha engedélyezve van ez a beállításjegyzék-beállítás, eltávolíthatja. További információ: 1644-ös eseményazonosító.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.200-es kiadása

Kiadás dátuma: 2023. március 16.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.199-es kiadása

Kiadás dátuma: 2023. március 5.

• A Honeytoken bizonyos kivételeit az SAM-R riasztáson keresztül kérdezték le , és nem működtek megfelelően. Ezekben az esetekben a riasztások még a kizárt entitások esetében is aktiválódtak. Ezt a hibát kijavítottuk.

• Frissített NTLM protokollnév az Identity Advanced Hunting tábláihoz: A régi protokollnév Ntlm mostantól új protokollnévként NTLM jelenik meg az Advanced Hunting Identity táblákban: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Ha az Identity eseménytábláiban a protokollt a kis- és nagybetűk megkülönböztetésével használja Ntlm , módosítsa a következőre NTLM: .

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2023. február

A Defender for Identity 2.198-es kiadása

Megjelent: 2023. február 15.

• Az identitás idővonala mostantól elérhető a Microsoft Defender XDR új Identitás lapjának részeként: A frissített Felhasználói lap a Microsoft Defender XDR-ban mostantól új megjelenéssel és működéssel rendelkezik, a kapcsolódó objektumok kibővített nézetével és egy új, dedikált idősorlaplal. Az idősor az elmúlt 30 nap tevékenységeit és riasztásait jelöli, és egyesíti a felhasználó identitásbejegyzéseit az összes rendelkezésre álló számítási feladatban (Defender for Identity/Defender for Cloud Apps/Végponthoz készült Defender). Az idősor használatával egyszerűen összpontosíthat a felhasználó által végrehajtott (vagy rajtuk végrehajtott) tevékenységekre adott időkeretekben. További információ: Felhasználók vizsgálata a Microsoft Defender XDR

• A honeytoken-riasztások további fejlesztései: A 2.191-es kiadásban számos új forgatókönyvet vezettünk be a honeytoken tevékenységriasztáshoz.

  Az ügyfelek visszajelzései alapján úgy döntöttünk, hogy a honeytoken tevékenységriasztást öt különálló riasztásra osztjuk fel:

  • A honeytoken felhasználót SAM-R-n keresztül kérdezték le.
  • A honeytoken felhasználót LDAP-n keresztül kérdezték le.
  • Honeytoken felhasználóhitelesítési tevékenység
  • A Honeytoken-felhasználó attribútumai módosultak.
  • A Honeytoken csoporttagság megváltozott.

  Emellett kizárásokat is hozzáadtunk ezekhez a riasztásokhoz, így testreszabott felhasználói élményt nyújtunk a környezet számára.

  Örömmel várjuk visszajelzését, hogy tovább javíthassunk.

• Új biztonsági riasztás – Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül.: Az Active Directory tanúsítványszolgáltatásokkal (AD CS) való használat számos technikája magában foglalja egy tanúsítvány használatát a támadás bizonyos fázisában. Microsoft Defender for Identity mostantól figyelmezteti a felhasználókat, ha ilyen gyanús tanúsítványhasználatot észlel. Ez a viselkedésmonitorozási megközelítés átfogó védelmet nyújt az AD CS-támadások ellen, és riasztást vált ki, ha gyanús tanúsítványhitelesítést kísérel meg egy tartományvezérlőn, amelyen telepítve van egy Defender for Identity-érzékelő. További információ: Microsoft Defender for Identity észleli a gyanús tanúsítványhasználatot.

• Automatikus támadáskimaradás: A Defender for Identity mostantól együttműködik Microsoft Defender XDR az automatikus támadás megszakításának felajánlásához. Ez az integráció azt jelenti, hogy a Microsoft Defender XDR érkező jelek esetében aktiválhatjuk a Felhasználó letiltása műveletet. Ezeket a műveleteket a nagy pontosságú XDR-jelek váltják ki, és a Microsoft kutatócsoportjai több ezer incidens folyamatos vizsgálatának megállapításaival kombinálják őket. A művelet felfüggeszti a feltört felhasználói fiókot az Active Directoryban, és szinkronizálja ezeket az információkat Microsoft Entra ID. Az automatikus támadás megszakításával kapcsolatos további információkért olvassa el a Microsoft Defender XDR blogbejegyzését.

  Bizonyos felhasználókat kizárhat az automatikus válaszműveletekből is. További információ: A Defender for Identity automatikus válaszkivételeinek konfigurálása.

• Tanulási időszak eltávolítása: A Defender for Identity által létrehozott riasztások különböző tényezőkön alapulnak, például a profilkészítésen, a determinisztikus észlelésen, a gépi tanuláson és a hálózatról tanult viselkedési algoritmusokon. A Defender for Identity teljes tanulási folyamata tartományvezérlőnként akár 30 napot is igénybe vehet. Előfordulhatnak azonban olyan esetek, amikor még a teljes tanulási folyamat befejezése előtt szeretne riasztásokat kapni. Ha például új érzékelőt telepít egy tartományvezérlőre, vagy amikor kiértékeli a terméket, érdemes lehet azonnal riasztásokat kapnia. Ilyen esetekben kikapcsolhatja az érintett riasztások tanulási időszakát a Tanulási időszak eltávolítása funkció engedélyezésével. További információ: Speciális beállítások.

• A riasztások M365D-be küldésének új módja: Egy évvel ezelőtt bejelentettük, hogy minden Microsoft Defender for Identity élmény elérhető az Microsoft Defender portálon. Az elsődleges riasztási folyamat mostantól fokozatosan vált a Defender for Identityről > Defender for Cloud Apps Microsoft Defender XDR > a Defender for Identityre > Microsoft Defender XDR. Ez az integráció azt jelenti, hogy a Defender for Cloud Apps állapotfrissítései nem jelennek meg Microsoft Defender XDR és fordítva. Ez a módosítás jelentősen csökkenti a riasztások Microsoft Defender portálon való megjelenítéséhez szükséges időt. A migrálás részeként a Defender for Identity összes szabályzata március 5-étől nem lesz elérhető a Defender for Cloud Apps portálon. Mint mindig, javasoljuk, hogy a Microsoft Defender portált használja az összes Identitáshoz készült Defender-élményhez.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2023. január

A Defender for Identity 2.197-es kiadása

Kiadás dátuma: 2023. január 22.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.196-os kiadása

Kiadás dátuma: 2023. január 10.

• Új állapotriasztás annak ellenőrzéséhez, hogy a Címtárszolgáltatások objektumnaplózása megfelelően van-e konfigurálva az állapotriasztások oldalán leírtak szerint.

• Új állapotriasztás annak ellenőrzéséhez, hogy az érzékelő energiabeállításai az optimális teljesítményre vannak-e konfigurálva az állapotriasztások oldalán leírtak szerint.

• Hozzáadtuk a MITRE ATT&CK-információkat az IdentityLogonEvents, az IdentityDirectoryEvents és az IdentityQueryEvents táblához Microsoft Defender XDR Speciális veszélyforrás-keresésben. Az AdditionalFields (További mezők ) oszlopban megtalálhatja a logikai tevékenységeinkhez társított támadási technikákat és taktikát (kategóriát).

• Mivel az összes fő Microsoft Defender for Identity funkció elérhető a Microsoft Defender portálon, a portál átirányítási beállítása 2023. január 31-től automatikusan engedélyezve lesz minden bérlőhöz. További információ: Fiókok átirányítása Microsoft Defender for Identity-ból Microsoft Defender XDR.

2022. december

A Defender for Identity 2.195-ös kiadása

Kiadás dátuma: 2022. december 7.

• A Defender for Identity adatközpontjai mostantól az Ausztrália keleti régiójában is üzembe vannak helyezve. A regionális üzembe helyezés legfrissebb listájáért tekintse meg a Defender for Identity összetevőit.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. november

A Defender for Identity 2.194-es kiadása

Kiadás dátuma: 2022. november 10.

• Új állapotriasztás annak ellenőrzéséhez, hogy a Címtárszolgáltatások speciális naplózása megfelelően van-e konfigurálva az állapotriasztások oldalán leírtak szerint.

• A Defender for Identity 2.191-es kiadásában a honeytoken riasztásokkal kapcsolatos egyes módosítások nem voltak megfelelően engedélyezve. Ezeket a problémákat már megoldottuk.

• November végétől a Végponthoz készült Microsoft Defender manuális integrációja már nem támogatott. Javasoljuk azonban a Microsoft Defender portál (https://security.microsoft.com) használatát, amely beépített integrációval rendelkezik.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. október

A Defender for Identity 2.193-es kiadása

Kiadás dátuma: 2022. október 30.

• Új biztonsági riasztás: Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvánnyal
  Ez az új technika kapcsolódik a hírhedt NOBELIUM színész, és nevezték "MagicWeb" - ez lehetővé teszi a támadó, hogy beültetjen egy backdoor a feltört AD FS szerverek, amely lehetővé teszi megszemélyesítés, mint bármely tartományi felhasználó, és így a külső erőforrásokhoz való hozzáférés. Ha többet szeretne megtudni erről a támadásról, olvassa el ezt a blogbejegyzést.

• A Defender for Identity mostantól a tartományvezérlő LocalSystem fiókját is használhatja a szervizelési műveletek végrehajtásához (felhasználó engedélyezése/letiltása, jelszó kérésének kényszerítése) a korábban elérhető gMSA-beállítás mellett. Ez azonnal lehetővé teszi a szervizelési műveletek támogatását. További információ: Microsoft Defender for Identity műveleti fiókok.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.192-es kiadása

Kiadás dátuma: 2022. október 23.

• Új állapotriasztás annak ellenőrzéséhez, hogy az NTLM-naplózás engedélyezve van-e az állapotriasztások oldalán leírtak szerint.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. szeptember

A Defender for Identity 2.191-es kiadása

Kiadás dátuma: 2022. szeptember 19.

• További tevékenységek a mézesmadzaga-riasztások aktiválásához
  Microsoft Defender for Identity lehetőséget nyújt a mézesmadzaga fiókok meghatározására, amelyeket a rosszindulatú szereplők trapként használnak. Az ezekhez a mézesmadzaga fiókokhoz (általában alvó) társított hitelesítés honeytoken tevékenység (külső azonosító: 2014) riasztást aktivál. A jelen verzió újdonsága, hogy a mézesmadzaga fiókokra irányuló LDAP- vagy SAMR-lekérdezések riasztást váltanak ki. Emellett ha az 5136-os eseményt naplózzák, a rendszer riasztást vált ki, ha a honeytoken egyik attribútuma megváltozott, vagy ha a honeytoken csoporttagsága megváltozott.

További információ: A Windows-eseménygyűjtés konfigurálása.

A Defender for Identity 2.190-es kiadása

Kiadás dátuma: 2022. szeptember 11.

• Frissített értékelés: Nem biztonságos tartománykonfigurációk
  A Microsoft biztonsági pontszámán keresztül elérhető nem biztonságos tartománykonfiguráció-értékelés mostantól kiértékeli a tartományvezérlő LDAP-aláírási szabályzatának konfigurációját, és riasztásokat küld, ha nem biztonságos konfigurációt talál. További információ: Biztonsági értékelés: Nem biztonságos tartománykonfigurációk.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.189-es kiadása

Kiadás dátuma: 2022. szeptember 4.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. augusztus

A Defender for Identity 2.188-es kiadása

Kiadás dátuma: 2022. augusztus 28.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.187-es kiadása

Kiadás dátuma: 2022. augusztus 18.

• Módosítottunk néhány logikát a gyanús DCSync-támadás (címtárszolgáltatások replikálása) (külső azonosító: 2006) riasztásának aktiválása mögött. Ez az érzékelő mostantól olyan esetekre is kiterjed, amikor az érzékelő által látott forrás IP-cím NAT-eszköznek tűnik.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.186-os kiadása

Kiadás dátuma: 2022. augusztus 10.

• Az állapotriasztások mostantól a NetBIOS-név helyett az érzékelő teljes tartománynevét (FQDN) jelenítik meg.

• Új állapotriasztások érhetők el az összetevő típusának és konfigurációjának rögzítéséhez, az állapotriasztások oldalán leírtak szerint.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. július

A Defender for Identity 2.185-ös kiadása

Kiadás dátuma: 2022. július 18.

• Kijavítottunk egy hibát, amely miatt az aranyjegy gyanús használata (nem létező fiók) (külső azonosító: 2027) helytelenül észlelte a macOS-eszközöket.

• Felhasználói műveletek: Úgy döntöttünk, hogy a felhasználói oldalon a Felhasználó letiltása műveletet két különböző műveletre osztjuk:

  • Felhasználó letiltása – ez letiltja a felhasználót az Active Directory szintjén
  • Felhasználó felfüggesztése – ez letiltja a felhasználót a Microsoft Entra ID szintjén

  Tisztában vagyunk azzal, hogy az Active Directoryból a Microsoft Entra ID való szinkronizáláshoz szükséges idő kritikus fontosságú lehet, ezért most dönthet úgy, hogy egymás után letiltja a felhasználókat, és eltávolítja magáról a szinkronizálástól való függőséget. Vegye figyelembe, hogy a csak Microsoft Entra ID letiltott felhasználókat felülírja az Active Directory, ha a felhasználó még aktív.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.184-es kiadása

Kiadás dátuma: 2022. július 10.

• Új biztonsági értékelések
  A Defender for Identity mostantól a következő új biztonsági értékelést tartalmazza:

  • Nem biztonságos tartománykonfigurációk
    Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy azonosítsa a tartományokat olyan konfigurációs értékekkel, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a tartományokról a környezet védelmének elősegítése érdekében. További információ: Biztonsági értékelés: Nem biztonságos tartománykonfigurációk.

• A Defender for Identity telepítőcsomagja mostantól az Npcap összetevőt telepíti a WinPcap-illesztőprogramok helyett. További információ: WinPcap és Npcap illesztőprogramok.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. június

A Defender for Identity 2.183.15436.10558-es kiadása (gyorsjavítás)

Megjelent: 2022. június 20. (frissítve: 2022. július 4.)

• Új biztonsági riasztás: Elosztott fájlrendszerprotokollt használó DFSCoerce-támadás gyanúja
  Válaszul egy olyan közelmúltbeli támadási eszköz közzétételére, amely a DFS protokoll egy folyamatát használja, Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó ezt a támadási módszert használja. Ha többet szeretne megtudni erről a támadásról, olvassa el a blogbejegyzést.

A Defender for Identity 2.183-es kiadása

Kiadás dátuma: 2022. június 20.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.182-es kiadása

Megjelent: 2022. június 4.

• Elérhető a Defender for Identity új Névjegy lapja. A Microsoft Defender portálBeállítások -Identitások ->>Névjegy területén található. Számos fontos részletet tartalmaz a Defender for Identity-példányról, beleértve a példány nevét, verzióját, azonosítóját és a példány földrajzi helyének adatait. Ezek az információk hasznosak lehetnek a problémák elhárításához és a támogatási jegyek megnyitásához.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. május

A Defender for Identity 2.181-es kiadása

Kiadás dátuma: 2022. május 22.

• Mostantól közvetlenül a helyszíni fiókokon végezhet szervizelési műveleteket a Microsoft Defender for Identity használatával.

  • Felhasználó letiltása – Ez ideiglenesen megakadályozza, hogy egy felhasználó bejelentkezjen a hálózatra. Megakadályozhatja, hogy a sérült felhasználók oldalirányú mozgást és adatok kiszűrését vagy a hálózat további sérülését kísérelje meg.
  • Felhasználói jelszó alaphelyzetbe állítása – Ez arra kéri a felhasználót, hogy a következő bejelentkezéskor módosítsa a jelszavát, biztosítva, hogy ez a fiók ne legyen használható további megszemélyesítési kísérletekhez.

  Ezek a műveletek a Microsoft Defender XDR több helyről is végrehajthatók: a felhasználói oldalról, a felhasználói oldal oldalpaneléről, a speciális veszélyforrás-keresésből, sőt akár egyéni észlelésekből is. Ehhez be kell állítania egy emelt szintű gMSA-fiókot, amelyet Microsoft Defender for Identity használni fog a műveletek végrehajtásához. További információ a követelményekről: Microsoft Defender for Identity műveleti fiókok.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.180-es kiadása

Kiadás dátuma: 2022. május 12.

• Új biztonsági riasztás: DNSHostName attribútum gyanús módosítása (CVE-2022-26923)
  Egy közelmúltbeli CVE közzétételére válaszul a Microsoft Defender for Identity biztonsági riasztást vált ki, amikor egy támadó megpróbálja kihasználni a CVE-2022 -26923-at. Ha többet szeretne megtudni erről a támadásról, olvassa el a blogbejegyzést.

• A 2.177-es verzióban további LDAP-tevékenységeket adtunk ki, amelyekre a Defender for Identity vonatkozhat. Találtunk azonban egy hibát, amely miatt az események nem jelennek meg és nem lesznek betöltve a Defender for Identity portálon. Ezt kijavítottuk ebben a kiadásban. A 2.180-es verziótól kezdve az 1644-es eseményazonosító engedélyezésekor nem csak az Active Directory Web Servicesen keresztüli LDAP-tevékenységek láthatók, hanem más LDAP-tevékenységek is magukban foglalják azt a felhasználót, aki az LDAP-tevékenységet a forrásszámítógépen végezte. Ez az LDAP-eseményeken alapuló biztonsági riasztásokra és logikai tevékenységekre vonatkozik.

• A KrbRelayUp közelmúltbeli kihasználására adott válaszként kiadtunk egy csendes detektort, amely segít kiértékelni a kizsákmányolásra adott válaszunkat. A csendes detektor lehetővé teszi számunkra, hogy értékeljük az észlelés hatékonyságát, és információkat gyűjtsünk az összegyűjtött események alapján. Ha ez az észlelés jó minőségű lesz, a következő verzióban új biztonsági riasztást adunk ki.

• Átneveztük a DNS-en keresztüli távoli kódvégrehajtásta DNS-en keresztüli távoli kódvégrehajtási kísérletre, mivel ez jobban tükrözi a biztonsági riasztások mögötti logikát.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.179-es kiadása

Kiadás dátuma: 2022. május 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. április

A Defender for Identity 2.178-es kiadása

Kiadás dátuma: 2022. április 10.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. március

A Defender for Identity 2.177-es kiadása

Kiadás dátuma: 2022. március 27.

• Microsoft Defender for Identity mostantól további LDAP-lekérdezéseket is figyelhet a hálózatban. Ezek az LDAP-tevékenységek az Active Directory Web Service protokollon keresztül lesznek elküldve, és normál LDAP-lekérdezésekhez hasonlóan működnek. Ezeknek a tevékenységeknek a megtekintéséhez engedélyeznie kell az 1644-es eseményt a tartományvezérlőkön. Ez az esemény a tartomány LDAP-tevékenységeit ismerteti, és elsősorban az Active Directory-tartományvezérlők által kiszolgált költséges, nem hatékony vagy lassú LdAP-keresések azonosítására szolgál. További információ: Örökölt konfigurációk.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.176-os kiadása

Kiadás dátuma: 2022. március 16.

• Ettől a verziótól kezdve az érzékelő új csomagból való telepítésekor az érzékelő Programok telepítése/törlése területén lévő verziója a teljes verziószámmal (például 2.176.x.y) jelenik meg, szemben a korábban bemutatott statikus 2.0.0.0-val. Továbbra is megjeleníti ezt a verziót (a csomagon keresztül telepített verziót), annak ellenére, hogy a verzió a Defender for Identity felhőszolgáltatásainak automatikus frissítéseivel frissül. A valós verzió a portál érzékelőbeállítási oldalán , a végrehajtható elérési úton vagy a fájlverzióban tekinthető meg.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.175-ös kiadása

Kiadás dátuma: 2022. március 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. február

A Defender for Identity 2.174-es kiadása

Kiadás dátuma: 2022. február 20.

• Hozzáadtuk a riasztásban érintett fiók shost FQDN-jét a SIEM-nek küldött üzenethez. További információ: Microsoft Defender for Identity SIEM-naplóreferenciája.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.173-es kiadása

Kiadás dátuma: 2022. február 13.

• Az összes Microsoft Defender for Identity funkció elérhető a Microsoft Defender portálon. További információt ebben a blogbejegyzésben talál.

• Ez a kiadás kijavítja azokat a problémákat, amelyek akkor merülnek fel, amikor az érzékelőt Windows Server 2019-ben telepítette, és KB5009557 telepítette, vagy ha egy kiszolgálón rögzített EventLog-engedélyekkel rendelkezik.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.172-es kiadása

Kiadás dátuma: 2022. február 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2022. január

A Defender for Identity 2.171-es kiadása

Kiadás dátuma: 2022. január 31.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.170-es kiadása

Kiadás dátuma: 2022. január 24.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.169-es kiadása

Kiadás dátuma: 2022. január 17.

• Örömmel adunk lehetőséget a Microsoft Defender for Identity műveleti fiókjának konfigurálására. Ez az első lépés abban a képességben, hogy műveleteket hajthat végre a felhasználókon közvetlenül a termékből. Első lépésként meghatározhatja a gMSA-fiókot, Microsoft Defender for Identity fogja használni a műveletek elvégzéséhez. Javasoljuk, hogy élőben kezdje el létrehozni ezeket a felhasználókat a Műveletek funkció használatához. További információ: Műveleti fiókok kezelése.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.168-es kiadása

Kiadás dátuma: 2022. január 9.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. december

A Defender for Identity 2.167-es kiadása

Kiadás dátuma: 2021. december 29.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.166-os kiadása

Kiadás dátuma: 2021. december 27.

• A verzió tartalmaz egy új biztonsági riasztást: SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) (külső azonosító: 2419).
  A legutóbbi CVE-k közzétételére válaszul a Microsoft Defender for Identity biztonsági riasztást vált ki, amikor egy támadó megpróbálja kihasználni a CVE-2021-42278 és a CVE-2021-42287 fájlt. Ha többet szeretne megtudni erről a támadásról, olvassa el a blogbejegyzést.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.165-ös kiadása

Kiadás dátuma: 2021. december 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. november

A Defender for Identity 2.164-es kiadása

Kiadás dátuma: 2021. november 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.163-es kiadása

Kiadás dátuma: 2021. november 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.162-es kiadása

Kiadás dátuma: 2021. november 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. szeptember

A Defender for Identity 2.161-es kiadása

Kiadás dátuma: 2021. szeptember 12.

• A verzió új figyelt tevékenységet tartalmaz: a gMSA-fiók jelszavát egy felhasználó lekérte. További információ: figyelt tevékenységek Microsoft Defender for Identity
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. augusztus

A Defender for Identity 2.160-es kiadása

Kiadás dátuma: 2021. augusztus 22.

• A verzió különböző fejlesztéseket tartalmaz, és a PetitPotam kihasználtságának legújabb változásainak megfelelően több forgatókönyvet is tartalmaz.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.159-es kiadása

Kiadás dátuma: 2021. augusztus 15.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.
• A verzió az újonnan közzétett riasztás továbbfejlesztését tartalmazza: Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416).
  Kiterjesztettük az észlelés támogatását, hogy kiváltsuk, ha egy potenciális támadó titkosított EFS-RPCchannelen keresztül kommunikál. A csatorna titkosításakor aktivált riasztások közepes súlyosságú riasztásként lesznek kezelve, szemben a Magas értékkel, ha nincs titkosítva. A riasztással kapcsolatos további információkért lásd: Gyanús hálózati kapcsolat titkosított fájlrendszerbeli távoli protokollon keresztül (külső azonosító: 2416).

A Defender for Identity 2.158-es kiadása

Kiadás dátuma: 2021. augusztus 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

• A verzió tartalmaz egy új biztonsági riasztást: Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416).
  Ebben az észlelésben Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja kihasználni az EFS-RPC-t a tartományvezérlőn. Ez a támadási vektor a legutóbbi PetitPotam-támadáshoz van társítva. A riasztással kapcsolatos további információkért lásd: Gyanús hálózati kapcsolat titkosított fájlrendszerbeli távoli protokollon keresztül (külső azonosító: 2416).

• A verzió tartalmaz egy új biztonsági riasztást: Exchange Server távoli kódvégrehajtás (CVE-2021-26855) (külső azonosító: 2414)
  Ebben az észlelésben Microsoft Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja módosítani az "msExchExternalHostName" attribútumot az Exchange-objektumon távoli kódvégrehajtás céljából. További információ erről a riasztásról: Exchange Server távoli kódfuttatás (CVE-2021-26855) (külső azonosító: 2414). Ez az észlelés a Windows 4662-eseményre támaszkodik, ezért előzetesen engedélyezni kell. Az esemény konfigurálásáról és gyűjtéséről további információt a Windows-eseménygyűjtés konfigurálása című témakörben talál, és kövesse a Naplózás engedélyezése Exchange-objektumon című témakör utasításait.

A Defender for Identity 2.157-es kiadása

Kiadás dátuma: 2021. augusztus 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. július

A Defender for Identity 2.156-os kiadása

Kiadás dátuma: 2021. július 25.

• Ettől a verziótól kezdve az Npcap-illesztőprogram végrehajtható fájljának hozzáadása az érzékelő telepítési csomaghoz. További információ: WinPcap és Npcap illesztőprogramok.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.155-ös kiadása

Kiadás dátuma: 2021. július 18.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.154-es kiadása

Kiadás dátuma: 2021. július 11.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.
• A verzió további fejlesztéseket és észleléseket tartalmaz a nyomtatásisor-kezelő PrintNightmare-észlelés néven ismert kihasználásához, hogy további támadási forgatókönyveket fedjen le.

A Defender for Identity 2.153-es kiadása

Kiadás dátuma: 2021. július 4.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

• A verzió tartalmaz egy új biztonsági riasztást: Gyanús Windows nyomtatásisor-kezelő szolgáltatás kihasználási kísérlete (CVE-2021-34527 kihasználtság) (külső azonosító: 2415).

  Ebben az észlelésben a Defender for Identity biztonsági riasztást aktivál, amikor egy támadó megpróbálja kihasználni a Windows nyomtatásisor-kezelő szolgáltatását a tartományvezérlőn. Ez a támadási vektor a nyomtatásisor-kezelő kihasználtságával van társítva, és PrintNightmare néven ismert. További információ erről a riasztásról.

2021. június

A Defender for Identity 2.152-es kiadása

Kiadás dátuma: 2021. június 27.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.151-es kiadása

Megjelent: 2021. június 20.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.150-es kiadása

Kiadás dátuma: 2021. június 13.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. május

A Defender for Identity 2.149-es kiadása

Kiadás dátuma: 2021. május 31.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.148-es kiadása

Kiadás dátuma: 2021. május 23.

• Ha a 4662-es eseményazonosítót konfigurálja és gyűjti, az Identitáshoz készült Defender jelenti, hogy melyik felhasználó módosította a frissítési sorszámot (USN) különböző Active Directory-objektumtulajdonságokra. Ha például megváltozik egy fiók jelszava, és a 4662-s esemény engedélyezve van, az esemény rögzíti, hogy ki módosította a jelszót.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.147-es kiadása

Kiadás dátuma: 2021. május 9.

• Az ügyfelek visszajelzései alapján az engedélyezett érzékelők alapértelmezett számát 200-ról 350-re, a Directory Services hitelesítő adatait pedig 10-ről 30-ra növeljük.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.146-os kiadása

Kiadás dátuma: 2021. május 2.

• Email állapotproblémákra és biztonsági riasztásokra vonatkozó értesítések mostantól Microsoft Defender for Identity és Microsoft Defender XDR vizsgálati URL-címével is rendelkeznek.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. április

A Defender for Identity 2.145-ös kiadása

Kiadás dátuma: 2021. április 22.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.144-es kiadása

Kiadás dátuma: 2021. április 12.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. március

A Defender for Identity 2.143-es kiadása

Kiadás dátuma: 2021. március 14.

• Hozzáadtuk a Windows 4741-eseményt az Active Directory-tevékenységekhez hozzáadott számítógépfiókok észleléséhez . Konfigurálja az új eseményt , amelyet a Defender for Identity gyűjt. A konfigurálást követően az összegyűjtött események megtekinthetők lesznek a tevékenységnaplóban, valamint a Microsoft Defender XDR Speciális veszélyforrás-keresésben.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.142-es kiadása

Kiadás dátuma: 2021. március 7.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. február

A Defender for Identity 2.141-es kiadása

Kiadás dátuma: 2021. február 21.

• Új biztonsági riasztás: As-REP pörkölési támadás gyanúja (külső azonosító: 2412)
  A Defender for Identity as-REP-pörkölési támadása (külső azonosító: 2412) már elérhető. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha egy támadó letiltott Kerberos-előhitelesítéssel rendelkező fiókokat céloz meg, és kerberos TGT-adatokat próbál lekérni. A támadó szándéka az lehet, hogy offline jelszóletörési támadásokkal nyerje ki a hitelesítő adatokat az adatokból. További információ: Kerberos AS-REP Pörkölés expozíció (külső azonosító: 2412).
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.140-es kiadása

Kiadás dátuma: 2021. február 14.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2021. január

A Defender for Identity 2.139-es kiadása

Kiadás dátuma: 2021. január 31.

• Frissítettük a Kerberos SPN vélhetően magasra való kitettségének súlyosságát, hogy jobban tükrözze a riasztás hatását. További információ a riasztásról: Gyanús Kerberos SPN-kitettség (külső azonosító: 2410)
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.138-es kiadása

Kiadás dátuma: 2021. január 24.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.137-es kiadása

Kiadás dátuma: 2021. január 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.136-os kiadása

Kiadás dátuma: 2021. január 3.

• A Defender for Identity mostantól támogatja az érzékelők telepítését Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókon. Az érzékelő kompatibilis AD FS-kiszolgálókra való telepítése Microsoft Defender for Identity hibrid környezetbe is kiterjeszti a láthatóságot a kritikus fontosságú infrastruktúra-összetevő monitorozásával. Frissítettünk néhány meglévő észlelést is (gyanús szolgáltatás létrehozása, találgatásos támadás (LDAP), fiókennumerálási felderítés), hogy az AD FS-adatokon is működjenek. Az AD FS-kiszolgáló Microsoft Defender for Identity érzékelőjének üzembe helyezéséhez töltse le a legújabb üzembehelyezési csomagot az érzékelő konfigurációs oldaláról.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. december

A Defender for Identity 2.135-ös kiadása

Kiadás dátuma: 2020. december 20.

• Továbbfejlesztettük az Active Directory-attribútumok felderítési (LDAP) (2210-es külső azonosítójú) riasztását, hogy észleljük a biztonsági jogkivonatok létrehozásához szükséges információk beszerzéséhez szükséges technikákat is, például a Solorigate-kampány részeként.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.134-es kiadása

Kiadás dátuma: 2020. december 13.

• A nemrég kiadott NetLogon-érzékelőt továbbfejlesztettük, hogy akkor is működjön, ha a Netlogon-csatorna tranzakciója titkosított csatornán keresztül történik. Az érzékelővel kapcsolatos további információkért lásd: Gyanús Netlogon-jogosultságszint-emelési kísérlet.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.133-es kiadása

Kiadás dátuma: 2020. december 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. november

A Defender for Identity 2.132-es kiadása

Kiadás dátuma: 2020. november 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.131-es kiadása

Kiadás dátuma: 2020. november 8.

• Új biztonsági riasztás: Kerberos SPN-kitettség gyanúja (külső azonosító: 2410)
  A Defender for Identity gyanús Kerberos SPN-kitettsége (külső azonosító: 2410) biztonsági riasztása már elérhető. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, amikor egy támadó számba adja a szolgáltatásfiókokat és a hozzájuk tartozó SPN-eket, majd Kerberos TGS-jegyeket kér a szolgáltatásokhoz. A támadó szándéka az lehet, hogy kinyerje a kivonatokat a jegyekből, és mentse őket későbbi használatra az offline találgatásos támadásokban. További információ: Kerberos SPN-kitettség.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. október

A Defender for Identity 2.130-es kiadása

Kiadás dátuma: 2020. október 25.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.129-es kiadása

Kiadás dátuma: 2020. október 18.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. szeptember

Az Azure ATP 2.128-es kiadása

Kiadás dátuma: 2020. szeptember 27.

• Módosított e-mail-értesítések konfigurációja
  Eltávolítjuk az e-mail-értesítések bekapcsolásához szükséges Levelezési értesítések kapcsolót. Az e-mail-értesítések fogadásához egyszerűen adjon meg egy címet. További információ: Értesítések beállítása.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.127-es kiadása

Kiadás dátuma: 2020. szeptember 20.

• Új biztonsági riasztás: Gyanús Netlogon-jogosultságszint-emelési kísérlet (külső azonosító: 2411)
  Az Azure ATP vélhetően Netlogon jogosultságszint-emelési kísérlete (CVE-2020-1472 kihasználtság) (külső azonosító: 2411) már elérhető. Ebben az észlelésben az Azure ATP biztonsági riasztás akkor aktiválódik, ha egy támadó sebezhető, biztonságos Netlogon-csatornakapcsolatot létesít egy tartományvezérlővel a Netlogon Remote Protocol (MS-NRPC) használatával, más néven a Netlogon jogosultságszint-emelési biztonsági résének használatával. További információ: Gyanús Netlogon-jogosultságszint-emelési kísérlet.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.126-os kiadása

Kiadás dátuma: 2020. szeptember 13.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.125-ös kiadása

Kiadás dátuma: 2020. szeptember 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. augusztus

Az Azure ATP 2.124-es kiadása

Kiadás dátuma: 2020. augusztus 30.

• Új biztonsági riasztások
  Az Azure ATP biztonsági riasztásai mostantól a következő új észleléseket tartalmazzák:
  • Active Directory-attribútumok felderítése (LDAP) (külső azonosító: 2210)
    Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha egy támadó gyanítja, hogy sikeresen megszerezték a tartomány kritikus fontosságú információinak megszerzését a támadási láncban való használathoz. További információ: Active Directory-attribútumok felderítése.
  • Gyanús, rosszindulatú Kerberos-tanúsítványhasználat (külső azonosító: 2047)
    Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha egy támadó, aki a hitelesítésszolgáltató kiszolgálójának veszélyeztetésével megszerezte az irányítást a szervezet felett, gyanítható, hogy olyan tanúsítványokat hoz létre, amelyek a későbbi támadások során háttérfiókként használhatók, például oldalirányú mozgást a hálózatban. További információ: Gyanús, rosszindulatú Kerberos-tanúsítványhasználat.
  • Aranyjegy használatának gyanúja (jegyanomália RBCD használatával) (külső azonosító: 2040)
    A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármilyen erőforráshoz biztosít engedélyezést.
    Ezt a hamisított TGT-t "aranyjegynek" nevezik, mert lehetővé teszi a támadók számára, hogy tartós hálózati megőrzést érjenek el az erőforrás-alapú korlátozott delegálás (RBCD) használatával. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az új észlelés azonosításra terveztek. További információ: Gyanús aranyjegy-használat (jegyanomália az RBCD használatával).
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.123-es kiadása

Kiadás dátuma: 2020. augusztus 23.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.122-es kiadása

Kiadás dátuma: 2020. augusztus 16.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.121-es kiadása

Kiadás dátuma: 2020. augusztus 2.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. július

Az Azure ATP 2.120-es kiadása

Kiadás dátuma: 2020. július 26.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.119-es kiadása

Kiadás dátuma: 2020. július 5.

• Funkciófejlesztés: Új kizárt tartományvezérlők lap az Excel-jelentésben
  A tartományvezérlő lefedettségi számításának pontosságának javítása érdekében kizárjuk a külső megbízhatósági kapcsolattal rendelkező tartományvezérlőket a számításból a 100%-os lefedettség elérése érdekében. A kizárt tartományvezérlők a tartománylefedettségi Excel-jelentés letöltésének új kizárt tartományvezérlők lapján jelennek meg. A jelentés letöltésével kapcsolatos információkért lásd: Tartományvezérlő állapota.
• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. június

Az Azure ATP 2.118-es kiadása

Kiadás dátuma: 2020. június 28.

• Új biztonsági értékelések
  Az Azure ATP biztonsági értékelései mostantól a következő új értékeléseket tartalmazzák:

  • A legkockázatosabb oldalirányú mozgási útvonalak
    Ez az értékelés folyamatosan figyeli a környezetet, hogy azonosítsa a bizalmas fiókokat a legkockázatosabb oldalirányú mozgási útvonalakkal, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet kezelésében. Az elérési utak akkor minősülnek kockázatosnak, ha három vagy több nem bizalmas fiókkal rendelkeznek, amelyek a bizalmas fiókot rosszindulatú szereplők hitelesítő adatainak ellopására tehetik közzé. További információ: Security assessment: Riskiest lateral movement paths (LMP).
  • Nem biztonságos fiókattribútumok
    Ez az azure ATP-értékelés folyamatosan monitorozza a környezetet, hogy azonosítsa a biztonsági kockázatot jelentő attribútumértékekkel rendelkező fiókokat, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet védelmében. További információ: Biztonsági értékelés: Nem biztonságos fiókattribútumok.

• Frissített bizalmassági definíció
  Kibővítjük a helyszíni fiókok bizalmassági definícióját, hogy olyan entitásokat is tartalmazzon, amelyek használhatják az Active Directory-replikációt.

Az Azure ATP 2.117-es kiadása

Megjelent: 2020. június 14.

• Funkciófejlesztés: További tevékenységadatok érhetők el az egyesített SecOps-felületen
  Kiterjesztettük a Defender for Cloud Apps küldött eszközadatokat, beleértve az eszközneveket, az IP-címeket, a fiók upn-jait és a használt portokat. A Defender for Cloud Apps való integrációval kapcsolatos további információkért lásd: Az Azure ATP használata Defender for Cloud Apps.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.116-os kiadása

Megjelent: 2020. június 7.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. május

Az Azure ATP 2.115-ös kiadása

Kiadás dátuma: 2020. május 31.

• Új biztonsági értékelések
  Az Azure ATP biztonsági értékelései mostantól a következő új értékeléseket tartalmazzák:

  • Nem biztonságos SID-előzményattribútumok
    Ez az értékelés a biztonsági azonosítók előzményeinek attribútumait jelenti, amelyeket rosszindulatú támadók használhatnak a környezethez való hozzáféréshez. További információ: Biztonsági értékelés: Nem biztonságos SID-előzményattribútumok.
  • Microsoft LAPS-használat
    Ez az értékelés arról számol be, hogy a helyi rendszergazdai fiókok nem használják a Microsoft "Helyi rendszergazdai jelszómegoldás" (LAPS) szolgáltatását a jelszavuk védelmére. A LAPS használata leegyszerűsíti a jelszókezelést, és segít a kibertámadások elleni védekezésben is. További információ: Biztonsági értékelés: Microsoft LAPS-használat.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.114-es kiadása

Kiadás dátuma: 2020. május 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.113-es kiadása

Kiadás dátuma: 2020. május 5.

• Funkciófejlesztés: Bővített erőforrás-hozzáférési tevékenység az NTLMv1 használatával
  Ettől a verziótól kezdve az Azure ATP mostantól információkat biztosít az erőforrás-hozzáférési tevékenységekről, amelyekből megtudhatja, hogy az erőforrás NTLMv1 hitelesítést használ-e. Ez az erőforrás-konfiguráció nem biztonságos, és kockázatot jelent, hogy a rosszindulatú szereplők az alkalmazást előnyükre kényszeríthetik. A kockázattal kapcsolatos további információkért lásd: Örökölt protokollok használata.

• Funkciófejlesztés: Gyanús találgatásos támadás (Kerberos, NTLM) riasztás
  A találgatásos támadást a támadók arra használják, hogy betekintést nyerjenek a szervezetbe, és kulcsfontosságú módszer a fenyegetések és a kockázatok felderítésére az Azure ATP-ben. A felhasználókat érintő kritikus kockázatokra való összpontosítás érdekében ez a frissítés megkönnyíti és gyorsítja a kockázatok elemzését és orvoslását a riasztások mennyiségének korlátozásával és rangsorolásával.

2020. március

Az Azure ATP 2.112-es kiadása

Kiadás dátuma: 2020. március 15.

• Az új Azure ATP-példányok automatikusan integrálódnak a Microsoft Defender for Cloud Apps
  Azure ATP-példány (korábbi nevén példány) létrehozásakor a Microsoft Defender for Cloud Apps integrációja alapértelmezés szerint engedélyezve van. Az integrációval kapcsolatos további információkért lásd: Az Azure ATP használata Microsoft Defender for Cloud Apps.

• Új figyelt tevékenységek
  A következő tevékenységfigyelők érhetők el:

  • Interaktív bejelentkezés tanúsítvánnyal

  • Sikertelen bejelentkezés tanúsítvánnyal

  • Delegált erőforrás-hozzáférés

    További információ arról, hogy az Azure ATP mely tevékenységeket monitorozza, és hogyan szűrheti és keresheti meg a figyelt tevékenységeket a portálon.

• Funkciófejlesztés: Bővített erőforrás-hozzáférési tevékenység
  Ettől a verziótól kezdve az Azure ATP mostantól információkat biztosít az erőforrás-hozzáférési tevékenységekről, amelyek azt mutatják, hogy az erőforrás megbízható-e a nem korlátozott delegáláshoz. Ez az erőforrás-konfiguráció nem biztonságos, és kockázatot jelent, hogy a rosszindulatú szereplők az alkalmazást előnyükre kényszeríthetik. A kockázattal kapcsolatos további információkért lásd : Biztonsági értékelés: Nem biztonságos Kerberos-delegálás.

• SMB-csomagok feltételezett manipulálása (CVE-2020-0796 kihasználása) – (előzetes verzió)
  Az Azure ATP vélhetően SMB-csomagmanipulációs biztonsági riasztása nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a CVE-2020-0796 biztonsági rés kihasználásával gyanús SMBv3-csomag a hálózat egyik tartományvezérlője ellen történik.

Az Azure ATP 2.111-es kiadása

Megjelent: 2020. március 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2020. február

Az Azure ATP 2.110-es kiadása

Kiadás dátuma: 2020. február 23.

• Új biztonsági értékelés: Nem figyelt tartományvezérlők
  Az Azure ATP biztonsági értékelései mostantól tartalmaznak egy jelentést a nem figyelt tartományvezérlőkről, az érzékelő nélküli kiszolgálókról, hogy segítsenek a környezet teljes lefedettségének kezelésében. További információ: Nem figyelt tartományvezérlők.

Az Azure ATP 2.109-es kiadása

Kiadás dátuma: 2020. február 16.

• Funkciófejlesztés: Bizalmas entitások
  Ettől a verziótól (2.109) kezdődően az Azure ATP által hitelesítésszolgáltatóként, DHCP-ként vagy DNS-kiszolgálóként azonosított gépek mostantól automatikusan bizalmasként vannak megjelölve.

Az Azure ATP 2.108-es kiadása

Megjelent: 2020. február 9.

• Új funkció: Csoportos felügyeltszolgáltatás-fiókok támogatása
  Az Azure ATP mostantól támogatja a csoportos felügyeltszolgáltatás-fiókok (gMSA) használatát a nagyobb biztonság érdekében, amikor Azure ATP-érzékelőket csatlakoztat a Microsoft Entra erdőkhöz. További információ a gMSA Azure ATP-érzékelőkkel való használatáról: Csatlakozás az Active Directory-erdőhöz.

• Funkciófejlesztés: Ütemezett jelentés túl sok adattal
  Ha egy ütemezett jelentés túl sok adattal rendelkezik, az e-mail a következő szöveg megjelenítésével tájékoztatja a tényről: Túl sok adat volt a megadott időszakban a jelentés létrehozásához. Ez felváltja azt a korábbi viselkedést, amely szerint csak akkor deríti fel a tényt, ha az e-mailben a jelentés hivatkozására kattint.

• Funkciófejlesztés: Frissített tartományvezérlő-lefedettségi logika
  Frissítettük a tartományvezérlő lefedettségi jelentésének logikáját, hogy az Microsoft Entra ID további információit is tartalmazza, így pontosabb képet kaphat a tartományvezérlőkről érzékelők nélkül. Ennek az új logikának pozitív hatással kell lennie a Microsoft megfelelő biztonsági pontszámára is.

Az Azure ATP 2.107-es kiadása

Megjelent: 2020. február 3.

• Új figyelt tevékenység: SID-előzmények módosítása
  A BIZTONSÁGI AZONOSÍTÓk előzményeinek módosítása mostantól monitorozott és szűrhető tevékenység. További információ arról, hogy az Azure ATP mely tevékenységeket monitorozza, és hogyan szűrheti és keresheti meg a figyelt tevékenységeket a portálon.

• Funkciófejlesztés: A bezárt vagy letiltott riasztások többé nem lesznek újra megnyitva
  Ha bezár vagy letilt egy riasztást az Azure ATP portálon, és a rendszer rövid időn belül ismét észleli ugyanazt a tevékenységet, új riasztás nyílik meg. Korábban ugyanezek a feltételek mellett újra megnyitották a riasztást.

• A portál eléréséhez és az érzékelőkhöz szükséges TLS 1.2
  A TLS 1.2-nek most már szüksége van az Azure ATP-érzékelők és a felhőszolgáltatás használatához. Az Azure ATP portálhoz való hozzáférés többé nem lesz lehetséges olyan böngészőkkel, amelyek nem támogatják a TLS 1.2-t.

2020. január

Az Azure ATP 2.106-os kiadása

Kiadás dátuma: 2020. január 19.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.105-ös kiadása

Megjelent: 2020. január 12.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. december

Az Azure ATP 2.104-es kiadása

Kiadás dátuma: 2019. december 23.

• Az érzékelő verziójának lejárata megszűnt
  Az Azure ATP érzékelőtelepítési és érzékelőtelepítési csomagjai több verzió után már nem járnak le, és most csak egyszer frissülnek. Ennek a funkciónak az az eredménye, hogy a korábban letöltött érzékelőtelepítési csomagok akkor is telepíthetők, ha régebbiek, mint az elévült verziók maximális száma.

• Biztonsági rés megerősítése
  Mostantól megerősítheti bizonyos Microsoft 365-felhasználók biztonságát, és magasra állíthatja a kockázati szintjüket. Ez a munkafolyamat lehetővé teszi, hogy a biztonsági üzemeltetési csapatok egy másik válaszképességgel csökkentsék a biztonsági incidensek megoldási időkorlátját. További információ arról, hogyan erősítheti meg a biztonsági rést az Azure ATP és a Defender for Cloud Apps használatával.

• Új felület szalagcíme
  Az Azure ATP portál oldalain, ahol új felület érhető el a Defender for Cloud Apps portálon, új szalagcímek jelennek meg, amelyek ismertetik a hozzáférési hivatkozásokkal elérhető lehetőségeket.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.103-es kiadása

Kiadás dátuma: 2019. december 15.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.102-es kiadása

Kiadás dátuma: 2019. december 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

November 2019.

Az Azure ATP 2.101-es kiadása

Kiadás dátuma: 2019. nov. 24.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.100-es kiadása

Kiadás dátuma: 2019. nov. 17.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.99-es kiadása

Kiadás dátuma: 2019. november 3.

• Funkciófejlesztés: Felhasználói felületi értesítés Defender for Cloud Apps portál elérhetőségéről az Azure ATP-portálon
  Annak biztosítása, hogy minden felhasználó tisztában legyen a Defender for Cloud Apps portálon elérhető továbbfejlesztett funkciók rendelkezésre állásával, a portál értesítése a meglévő Azure ATP riasztási ütemtervből lett hozzáadva.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. október

Az Azure ATP 2.98-es kiadása

Kiadás dátuma: 2019. október 27.

• Funkciófejlesztés: Találgatásos támadásra gyanús riasztás
  Továbbfejlesztettük a gyanús találgatásos támadásra (SMB) vonatkozó riasztást további elemzések és továbbfejlesztett észlelési logika segítségével, hogy csökkentsük a jóindulatú valódi pozitív (B-TP) és a hamis pozitív (FP) riasztások eredményeit.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.97-es kiadása

Kiadás dátuma: 2019. október 6.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. szeptember

Az Azure ATP 2.96-os kiadása

Kiadás dátuma: 2019. szeptember 22.

• Bővített NTLM-hitelesítési adatok a Windows 8004-esemény használatával
  Az Azure ATP-érzékelők mostantól automatikusan beolvashatják és bővíthetik az NTLM-hitelesítési tevékenységeket a elért kiszolgálóadatokkal, ha az NTLM-naplózás engedélyezve van, és a Windows Event 8004 be van kapcsolva. Az Azure ATP elemzi az NTLM-hitelesítésekhez használt Windows Event 8004 eseményt, hogy bővítse az Azure ATP fenyegetéselemzéséhez és riasztásaihoz használt NTLM-hitelesítési adatokat. Ez a továbbfejlesztett képesség erőforrás-hozzáférési tevékenységet biztosít az NTLM-adatokon keresztül, valamint bővített sikertelen bejelentkezési tevékenységeket, beleértve azt a célszámítógépet is, amelyet a felhasználó megpróbált elérni, de nem tudott hozzáférni.

  További információ az NTLM-hitelesítési tevékenységekről a Windows 8004-esemény használatával.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.95-ös kiadása

Kiadás dátuma: 2019. szeptember 15.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.94-es kiadása

Kiadás dátuma: 2019. szeptember 8.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.93-es kiadása

Kiadás dátuma: 2019. szeptember 1.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. augusztus

Az Azure ATP 2.92-es kiadása

Kiadás dátuma: 2019. augusztus 25.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.91-es kiadása

Kiadás dátuma: 2019. augusztus 18.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.90-es kiadása

Kiadás dátuma: 2019. augusztus 11.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.89-es kiadása

Kiadás dátuma: 2019. augusztus 4.

• Érzékelőmetódus fejlesztései
  Annak érdekében, hogy elkerülje a túlzott NTLM-forgalom generálását a pontos LMP-értékelések létrehozásakor, továbbfejlesztettük az Azure ATP-érzékelőmetszeteket, hogy kevesebbet támaszkodjanak az NTLM használatára, és hogy a Kerberost még jelentősebb mértékben használják.

• Riasztás fejlesztése: Gyanús aranyjegy-használat (nem létező fiók)
  A SAM-névmódosítások hozzá lettek adva az ilyen típusú riasztásokban felsorolt bizonyítéktípusokhoz. Ha többet szeretne megtudni a riasztásról, beleértve az ilyen típusú tevékenységek megelőzését és a szervizelést, tekintse meg az Aranyjegy használatának gyanúja (nem létező fiók) című témakört.

• Általános elérhetőség: Gyanús NTLM-hitelesítés illetéktelen módosításával
  A gyanús NTLM-hitelesítés illetéktelen módosításával figyelmeztető riasztás már nincs előzetes verziójú módban, és mostantól általánosan elérhető.

• A verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. július

Az Azure ATP 2.88-es kiadása

Kiadás dátuma: 2019. július 28.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.87-es kiadása

Kiadás dátuma: 2019. július 21.

• Funkciófejlesztés: Automatizált Syslog-eseménygyűjtés önálló Azure ATP-érzékelőkhöz
  Az Önálló Azure ATP-érzékelők bejövő Syslog-kapcsolatai most már teljesen automatizáltak, miközben eltávolítják a váltógombot a konfigurációs képernyőről. Ezek a módosítások nincsenek hatással a kimenő Syslog-kapcsolatokra.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.86-os kiadása

Kiadás dátuma: 2019. július 14.

• Új biztonsági riasztás: Gyanús NTLM-hitelesítés illetéktelen módosításával (külső azonosító: 2039)
  Az Azure ATP új , gyanús NTLM-hitelesítéssel kapcsolatos illetéktelen módosításra vonatkozó biztonsági riasztása nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a "közbeékelt" támadást gyanítják az NTLM üzenetintegritás-ellenőrzés (MIC) megkerülésével, amely a Microsoft CVE-2019-040 biztonsági rése. Az ilyen típusú támadások megpróbálják az NTLM biztonsági funkcióit visszaminősíteni és sikeresen hitelesíteni, azzal a végső céllal, hogy sikeres oldalirányú mozgásokat hajtsanak végre.

• Funkciófejlesztés: Bővített eszköz operációsrendszer-azonosítás
  Az Azure ATP eddig az Active Directoryban elérhető attribútum alapján adta meg az entitáseszköz operációs rendszerére vonatkozó információkat. Korábban, ha az operációs rendszer adatai nem érhetők el az Active Directoryban, az adatok az Azure ATP entitásoldalain sem érhetők el. Ettől a verziótól kezdve az Azure ATP bővített operációsrendszer-azonosítási módszerekkel biztosítja ezeket az információkat azoknak az eszközöknek, amelyeken az Active Directory nem rendelkezik az adatokkal, vagy nincsenek regisztrálva az Active Directoryban.

  A bővített eszköz operációsrendszer-azonosító adatainak hozzáadása segít azonosítani a nem regisztrált és a nem Windows rendszerű eszközöket, miközben egyidejűleg segíti a vizsgálati folyamatot. További információ az Azure ATP hálózatnévfeloldásáról: A hálózati névfeloldás (NNR) ismertetése.

• Új funkció: Hitelesített proxy – előzetes verzió
  Az Azure ATP mostantól támogatja a hitelesített proxyt. Adja meg a proxy URL-címét az érzékelő parancssorával, és adja meg a Felhasználónevet/jelszót a hitelesítést igénylő proxyk használatához. A hitelesített proxy használatával kapcsolatos további információkért lásd : A proxy konfigurálása.

• Funkciófejlesztés: Automatikus tartományszinkronizálási folyamat
  A tartományvezérlők tartományszinkronizálási jelöltként való kijelölésének és címkézésének folyamata a telepítés és a folyamatos konfigurálás során már teljesen automatizált. A tartományvezérlők tartományszinkronizálási jelöltként való manuális kiválasztására vonatkozó kapcsoló el lesz távolítva.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.85-ös kiadása

Kiadás dátuma: 2019. július 7.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.84-es kiadása

Kiadás dátuma: 2019. július 1.

• Új helytámogatás: Azure UK-adatközpont
  Az Azure ATP-példányok mostantól támogatottak az Azure Uk adatközpontjában. További információ az Azure ATP-példányok és a hozzájuk tartozó adatközpontok létrehozásáról: Az Azure ATP telepítésének 1. lépése.

• Funkciófejlesztés: Új név és funkciók a bizalmas csoportokra vonatkozó riasztás gyanús kiegészítéseihez (külső azonosító: 2024)
  A bizalmas csoportokra vonatkozó gyanús kiegészítések riasztást korábban a bizalmas csoportok gyanús módosításai riasztásnak nevezték. A riasztás külső azonosítója (2024-ös azonosító) változatlan marad. A leíró névmódosítás pontosabban tükrözi a bizalmas csoportok hozzáadására vonatkozó riasztás célját. A továbbfejlesztett riasztás új bizonyítékokkal és továbbfejlesztett leírásokkal is rendelkezik. További információ: Gyanús hozzáadások bizalmas csoportokhoz.

• Új dokumentációs funkció: Útmutató az Advanced Threat Analyticsről az Azure ATP-be való áttéréshez
  Ez az új cikk előfeltételeket, tervezési útmutatót, valamint konfigurációs és ellenőrzési lépéseket tartalmaz az ATA-ról az Azure ATP szolgáltatásra való áttéréshez. További információ: Áthelyezés az ATA-ból az Azure ATP-be.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

2019. június

Az Azure ATP 2.83-es kiadása

Megjelent: 2019. június 23.

• Funkciófejlesztés: Gyanús szolgáltatáslétrehozás riasztása (külső azonosító: 2026)
  Ez a riasztás mostantól egy továbbfejlesztett riasztási oldalt tartalmaz további bizonyítékokkal és új leírással. További információ: Gyanús szolgáltatáslétrehozás biztonsági riasztása.

• Példányelnevezés támogatása: Csak számjegyek tartományelőtagjának támogatása
  Az Azure ATP-példányok csak számjegyeket tartalmazó kezdeti tartományelőtagok használatával történő létrehozásához nyújtott támogatás. Mostantól például csak a számjegyek kezdeti tartományelőtagjainak ( például 123456.contoso.com ) használata támogatott.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.82-es kiadása

Megjelent: 2019. június 18.

• Új nyilvános előzetes verzió
  Az Azure ATP identitásfenyegetések vizsgálatának felülete mostantól nyilvános előzetes verzióban érhető el, és minden Azure ATP-vel védett bérlő számára elérhető. További információ: Az Azure ATP Microsoft Defender for Cloud Apps vizsgálati élménye.

• Általános elérhetőség
  A nem megbízható erdők Azure ATP-támogatása mostantól általánosan elérhető. További információ: Többerdős Azure ATP .

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.81-es kiadása

Megjelent: 2019. június 10.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.80-es kiadása

Megjelent: 2019. június 2.

• Funkcióbővítés: Gyanús VPN-kapcsolati riasztás
  Ez a riasztás mostantól továbbfejlesztett bizonyítékokat és szövegeket tartalmaz a jobb használhatóság érdekében. A riasztási funkciókról, valamint a javasolt javítási lépésekről és megelőzésről a Gyanús VPN-kapcsolat riasztási leírásában talál további információt.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

2019. május

Az Azure ATP 2.79-es kiadása

Kiadás dátuma: 2019. május 26.

• Általános rendelkezésre állás: Rendszerbiztonsági tag felderítése (LDAP) (külső azonosító: 2038)

  Ez a riasztás mostantól általánosan elérhető. A riasztással, a riasztási funkciókkal, valamint a javasolt szervizeléssel és megelőzéssel kapcsolatos további információkért tekintse meg a security principal reconnaissance (LDAP) riasztás leírását

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.78-es kiadása

Kiadás dátuma: 2019. május 19.

• Funkciófejlesztés: Bizalmas entitások
  Manuális bizalmas címkézés Exchange-kiszolgálókhoz

  Mostantól manuálisan is címkézhet entitásokat Exchange-kiszolgálóként a konfigurálás során.

  Entitás manuális címkézése Exchange Server:

  1. Az Azure ATP portálon válassza a Konfiguráció lehetőséget.
  2. Az Észlelés területen válassza az Entitáscímkék, majd a Bizalmas lehetőséget.
  3. Válassza az Exchange-kiszolgálók lehetőséget, majd adja hozzá a címkézni kívánt entitást.

  Miután Exchange Server címkézett egy számítógépet, bizalmasként lesz megjelölve, és megjeleníti, hogy Exchange Server címkézték. A Bizalmas címke megjelenik a számítógép entitásprofiljában, és a számítógép minden észlelésben figyelembe lesz véve, amely bizalmas fiókokon és oldalirányú mozgási útvonalakon alapul.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.77-es kiadása

Kiadás dátuma: 2019. május 12.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.76-os kiadása

Kiadás dátuma: 2019. május 6.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. április

Az Azure ATP 2.75-ös kiadása

Kiadás dátuma: 2019. április 28.

• Funkciófejlesztés: Bizalmas entitások
  Ettől a verziótól (2.75) kezdődően az Azure ATP Által Exchange-kiszolgálókként azonosított gépek mostantól automatikusan bizalmasként vannak megjelölve.

  Azok az entitások, amelyek automatikusan bizalmasként vannak megjelölve, mert Exchange-kiszolgálókként működnek, a besorolást a címkézésük okaként sorolják fel.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.74-es kiadása

Kiadás dátuma: 2019. április 14.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.73-es kiadása

Kiadás dátuma: 2019. április 10.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2019. március

Az Azure ATP 2.72-es kiadása

Kiadás dátuma: 2019. március 31.

• Funkciófejlesztés: Oldalirányú mozgásvonal (LMP) hatókörű mélysége
  Az oldalirányú mozgási útvonalak (LP-k) kulcsfontosságú módszer a fenyegetések és kockázatok felderítésére az Azure ATP-ben. Annak érdekében, hogy a legérzékenyebb felhasználókat érintő kritikus kockázatokra összpontosíthasson, ez a frissítés megkönnyíti és gyorsítja az egyes LMP-k bizalmas felhasználóira vonatkozó kockázatok elemzését és orvoslását, mivel korlátozza az egyes megjelenített gráfok hatókörét és mélységét.

  Az Oldalirányú mozgási útvonalak című cikkből többet is megtudhat arról, hogy az Azure ATP hogyan használja az LP-ket a környezet minden entitására vonatkozó hozzáférési kockázatok felszínre hozásához.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.71-es kiadása

Kiadás dátuma: 2019. március 24.

• Funkciófejlesztés: Hálózati névfeloldási (NNR) állapotriasztások
  Az NNR-en alapuló Azure ATP biztonsági riasztásokhoz társított megbízhatósági szintekhez állapotriasztások lettek hozzáadva. Minden állapotriasztás végrehajtható és részletes javaslatokat tartalmaz az alacsony NNR-sikerességi arányok megoldásához.

  A mi az a hálózatnévfeloldás ? című cikkből többet is megtudhat arról, hogy az Azure ATP hogyan használja az NNR-t, és miért fontos a riasztások pontossága.

• Kiszolgálótámogatás: Támogatás hozzáadva a Server 2019-hez a KB4487044 használatával
  Támogatás hozzáadva a Windows Server 2019-es verziójához, KB4487044 javításszinttel. A Server 2019 javítás nélküli használata nem támogatott, és a frissítéstől kezdve le van tiltva.

• Funkciófejlesztés: Felhasználóalapú riasztáskizárás
  A kiterjesztett riasztáskizárási lehetőségek mostantól lehetővé teszik adott felhasználók kizárását adott riasztásokból. A kizárások segíthetnek elkerülni azokat a helyzeteket, amikor bizonyos típusú belső szoftverek használata vagy konfigurálása ismételten jóindulatú biztonsági riasztásokat váltott ki.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.70-es kiadása

Kiadás dátuma: 2019. március 17.

• Funkciófejlesztés: Hálózati névfeloldási (NNR) megbízhatósági szint hozzáadva több riasztáshoz A hálózati névfeloldás vagy (NNR) a gyanús támadások forrásentitásának pozitív azonosítására szolgál. Ha hozzáadja az NNR-megbízhatósági szinteket az Azure ATP riasztási bizonyítéklistáihoz, azonnal felmérheti és megismerheti az azonosított lehetséges forrásokhoz kapcsolódó NNR-megbízhatósági szintet, és megfelelően szervizelheti azokat.

  Az NNR megbízhatósági szintű bizonyítéka a következő riasztásokhoz lett hozzáadva:

  • Hálózatleképezés felderítése (DNS)
  • Személyazonosság-lopás gyanúja (pass-the-ticket)
  • NTLM-továbbítási támadás (Exchange-fiók) – előzetes verzió
  • DCSync-támadás gyanúja (címtárszolgáltatások replikálása)

• További állapotriasztási forgatókönyv: Az Azure ATP érzékelőszolgáltatás nem indult el
  Azokban az esetekben, amikor az Azure ATP-érzékelő egy hálózati rögzítési illesztőprogram hibája miatt nem indult el, az érzékelő állapotriasztása aktiválódik. Az Azure ATP-érzékelő Azure ATP-naplókkal való hibaelhárítása az Azure ATP-naplókkal kapcsolatos további információkért és azok használatáról.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.69-es kiadása

Kiadás dátuma: 2019. március 10.

• Funkciófejlesztés: Gyanús identitáslopás (pass-the-ticket) riasztás Ez a riasztás most új bizonyítékokat tartalmaz, amelyek a távoli asztali protokoll (RDP) használatával létesített kapcsolatok részleteit mutatják be. A hozzáadott bizonyítékok megkönnyítik a Távoli credential Guard RDP-kapcsolatokon keresztüli használata által okozott ismert (B-TP) Benign-True pozitív riasztások elhárítását.

• Funkciófejlesztés: Távoli kódvégrehajtás DNS-riasztáson keresztül
  Ez a riasztás új bizonyítékokat tartalmaz, amelyek a tartományvezérlő biztonsági frissítési állapotát mutatják, és tájékoztatják, ha frissítésekre van szükség.

• Új dokumentációs funkció: Azure ATP biztonsági riasztás MITRE ATT&CK-mátrix™
  Az Azure ATP biztonsági riasztások és a jól ismert MITRE ATT&CK-mátrix közötti kapcsolat feltérképezése érdekében hozzáadtuk a vonatkozó MITRE-technikákat az Azure ATP biztonsági riasztási listáihoz. Ez a további referencia megkönnyíti az Azure ATP biztonsági riasztások aktiválásakor esetlegesen használt támadásgyanús támadási technika megértését. További információ az Azure ATP biztonsági riasztási útmutatójáról.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.68-es kiadása

Kiadás dátuma: 2019. március 3.

• Funkcióbővítés: Találgatásos támadásra (LDAP) vonatkozó riasztás
  Jelentős használhatósági fejlesztések történtek a biztonsági riasztásban, beleértve a módosított leírást, a további forrásadatok kiosztását és a találgatási kísérletek részleteit a gyorsabb szervizelés érdekében.
  További információ a gyanús találgatásos támadás (LDAP) biztonsági riasztásairól.

• Új dokumentációs funkció: Biztonsági riasztási tesztkörnyezet
  Annak bemutatására, hogy az Azure ATP hogyan képes észlelni a munkakörnyezetet fenyegető valós fenyegetéseket, új biztonsági riasztási tesztkörnyezetet adtunk hozzá ehhez a dokumentációhoz. A biztonsági riasztási tesztkörnyezet segít gyorsan beállítani egy tesztkörnyezetet vagy tesztkörnyezetet, és ismerteti a leggyakoribb, valós fenyegetések és támadások elleni legjobb védekező állapotot.

  A részletes labor úgy lett kialakítva, hogy minimális időt tölthessen a buildelésével, és több időt töltsön a fenyegetésekkel kapcsolatos környezettel, valamint az elérhető Azure ATP-riasztásokkal és -védelemmel. Örömmel várjuk visszajelzését.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

2019. február

Az Azure ATP 2.67-es kiadása

Megjelent: 2019. február 24.

• Új biztonsági riasztás: Rendszerbiztonsági tag felderítése (LDAP) – (előzetes verzió)
  Az Azure ATP rendszerbiztonsági tag felderítése (LDAP) – az előzetes verziójú biztonsági riasztás nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a támadók a rendszerbiztonsági tagok felderítése során kritikus fontosságú információkat szereznek a tartományi környezetről. Ezek az információk segítenek a támadóknak leképezni a tartományszerkezetet, valamint azonosítani a támadási lánc későbbi lépéseiben használható kiemelt fiókokat.

  A Lightweight Directory Access Protocol (LDAP) az egyik legnépszerűbb módszer, amelyet az Active Directory lekérdezéséhez mind törvényes, mind rosszindulatú célokra használnak. Az LDAP-központú rendszerbiztonsági tagok felderítése általában a Kerberoasting-támadások első fázisaként használatos. A Kerberoasting-támadásokkal lekérhető a rendszerbiztonsági tagok neveinek (SPN-ek) céllistája, amelyre a támadók megpróbálnak jegyet szerezni a jegykiadó kiszolgáló (TGS) számára.

• Funkciófejlesztés: Fiókembővítési felderítés (NTLM) riasztása
  Továbbfejlesztett fiók-enumerálási felderítés (NTLM) riasztás további elemzésekkel és továbbfejlesztett észlelési logikával a B-TP és az FP riasztási eredmények csökkentése érdekében.

• Funkciófejlesztés: Hálózatleképezés-felderítési (DNS-) riasztás
  Új típusú észlelések hozzáadva a hálózatleképezés-felderítési (DNS-) riasztásokhoz. Amellett, hogy észleli a gyanús AXFR-kéréseket, az Azure ATP a nem DNS-kiszolgálókról érkező, túl sok kérést használó gyanús típusú kéréseket is észlel.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.66-os kiadása

Megjelent: 2019. február 17.

• Funkcióbővítés: Gyanús DCSync-támadás (címtárszolgáltatások replikációja) riasztás
  A biztonsági riasztás használhatósága javult, beleértve a módosított leírást, a további forrásadatok rendelkezésre állását, az új infografikát és további bizonyítékokat. További információ a gyanús DCSync-támadásokról (címtárszolgáltatások replikációjáról) szóló biztonsági riasztásokról.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.65-ös kiadása

Megjelent: 2019. február 10.

• Új biztonsági riasztás: NTLM-továbbítási támadás gyanúja (Exchange-fiók) – (előzetes verzió)
  Az Azure ATP NTLM-továbbítási támadása (Exchange-fiók) – az előzetes verziójú biztonsági riasztás nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha gyanús forrásból származó Exchange-fiók hitelesítő adatait használják. Az ilyen típusú támadások NTLM-továbbítási technikákat próbálnak használni a tartományvezérlő exchange-jogosultságainak megszerzéséhez, és ExchangePriv néven ismertek. További információ a 2019. január 31-én közzétett ADV190007 tanácsadásexchangepriv technikájáról és az Azure ATP riasztási válaszáról.

• Általános elérhetőség: Távoli kódvégrehajtás DNS-en keresztül
  Ez a riasztás mostantól általánosan elérhető. További információ és riasztási funkciók: Távoli kódvégrehajtás DNS-riasztáson keresztül – leírási oldal.

• Általános rendelkezésre állás: Adatkiszivárgás SMB-vel
  Ez a riasztás mostantól általánosan elérhető. További információ és riasztási funkciók: Adatkiszivárgás az SMB-riasztások leírási oldalán.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.64-es kiadása

Megjelent: 2019. február 4.

• Általános elérhetőség: Gyanús aranyjegy-használat (jegyanomália)
  Ez a riasztás mostantól általánosan elérhető. További információkért és a riasztási funkciókért tekintse meg a Gyanús aranyjegy-használat (jegyanomália) riasztás leírási oldalát.

• Funkciófejlesztés: Hálózatleképezés felderítése (DNS)
  Továbbfejlesztett riasztásészlelési logika lett üzembe helyezve a riasztáshoz a téves riasztások és a riasztási zaj minimalizálása érdekében. Ez a riasztás most már nyolc napos tanulási időszaka van, mielőtt a riasztás valószínűleg első alkalommal aktiválódik. További információ erről a riasztásról: Hálózatleképezés-felderítési (DNS-) riasztások leírása.

  A riasztás továbbfejlesztése miatt az nslookup metódust a továbbiakban nem szabad használni az Azure ATP-kapcsolat teszteléséhez a kezdeti konfigurálás során.

• Funkciófejlesztés:
  Ez a verzió újratervezett riasztási oldalakat és új bizonyítékokat tartalmaz, amelyek jobb riasztási vizsgálatot biztosítanak.

  • Találgatásos támadás (SMB) gyanúja
  • Gyanús aranyjegy-használat (időanomália) riasztás leírási oldala
  • Vélhetően felüljáró-a-hash támadás (Kerberos)
  • A Metasploit hacking keretrendszer feltételezett használata
  • WannaCry zsarolóprogram-támadás gyanúja

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

2019. január

Az Azure ATP 2.63-es kiadása

Kiadás dátuma: 2019. január 27.

• Új funkció: Nem megbízható erdő támogatása – (előzetes verzió)
  Az Azure ATP nem megbízható erdők érzékelőinek támogatása mostantól nyilvános előzetes verzióban érhető el. Az Azure ATP portál Címtárszolgáltatások oldalán konfiguráljon további hitelesítőadat-készleteket, hogy az Azure ATP-érzékelők különböző Active Directory-erdőkhöz csatlakozhassanak, és jelentést készíthessenek az Azure ATP szolgáltatásnak. További információ: Többerdős Azure ATP .

• Új funkció: Tartományvezérlő lefedettsége
  Az Azure ATP mostantól lefedettségi információkat biztosít az Azure ATP által figyelt tartományvezérlőkhöz.
  Az Azure ATP portál Érzékelők oldalán tekintse meg az Azure ATP által a környezetben észlelt monitorozott és nem figyelt tartományvezérlők számát. Töltse le a figyelt tartományvezérlők listáját további elemzéshez és egy műveleti terv létrehozásához. További információért tekintse meg a tartományvezérlő monitorozásával kapcsolatos útmutatót.

• Funkciófejlesztés: Fiók számbavételének felderítése
  Az Azure ATP-fiók enumerálási felderítési észlelése mostantól észleli és riasztásokat ad ki a Kerberos és az NTLM használatával végzett enumerálási kísérletekhez. Korábban az észlelés csak a Kerberost használó kísérleteknél működött. További információ: Azure ATP-felderítési riasztások .

• Funkciófejlesztés: Távoli kódvégrehajtási kísérlet riasztása

  • Az összes távoli végrehajtási tevékenység, például a szolgáltatás létrehozása, a WMI-végrehajtás és az új PowerShell-végrehajtás hozzá lett adva a célgép profil-idővonalához. A célgép az a tartományvezérlő, amelyen a parancsot végrehajtották.
  • A PowerShell-végrehajtás hozzá lett adva az entitásprofil riasztási idővonalán felsorolt távoli kódvégrehajtási tevékenységek listájához.
  • További információért lásd: Távoli kódvégrehajtási kísérlet .

• Windows Server 2019 LSASS-probléma és az Azure ATP
  A 2019 Windows Server tartományvezérlőket futtató tartományvezérlők Azure ATP-használattal kapcsolatos felhasználói visszajelzéseire válaszul ez a frissítés további logikát is tartalmaz, hogy ne aktiválja a jelentett viselkedést Windows Server 2019-es gépeken. Az Azure ATP-érzékelő teljes körű támogatását a Windows Server 2019-es verzióra tervezik egy jövőbeli Azure ATP-frissítéshez, de az Azure ATP Telepítése és futtatása Windows Server 2019 rendszeren jelenleg nem támogatott. További információ: Az Azure ATP érzékelőkövetelményei .

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.62-es kiadása

Kiadás dátuma: 2019. január 20.

• Új biztonsági riasztás: Távoli kódvégrehajtás DNS-en keresztül – (előzetes verzió)
  Az Azure ATP DNS-alapú biztonsági riasztáson keresztüli távoli kódvégrehajtása mostantól nyilvános előzetes verzióban érhető el. Ebben az észlelésben az Azure ATP biztonsági riasztása akkor aktiválódik, ha a CVE-2018-8626 biztonsági rés kihasználásával gyanús DNS-lekérdezések a hálózat egyik tartományvezérlője ellen készülnek.

• Funkcióbővítés: 72 órás késleltetett érzékelőfrissítés
  Az Azure ATP minden egyes kiadási frissítése után 72 órára (az előző 24 órás késés helyett) módosítottuk a kiválasztott érzékelők érzékelőfrissítéseinek késleltetését. A konfigurációs utasításokért tekintse meg az Azure ATP-érzékelő frissítését ismertető cikket.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.61-es kiadása

Kiadás dátuma: 2019. január 13.

• Új biztonsági riasztás: SMB-n keresztüli adatkiszivárgás – (előzetes verzió)
  Az Azure ATP SMB biztonsági riasztáson keresztüli adatkiszivárgása mostantól nyilvános előzetes verzióban érhető el. A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával a támadók létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármilyen erőforráshoz biztosít engedélyezést.

• Funkciófejlesztés: Távoli kódvégrehajtási kísérlet biztonsági riasztása
  Új riasztási leírást és további bizonyítékokat adtunk hozzá, amelyek megkönnyítik a riasztás megértését, és jobb vizsgálati munkafolyamatokat biztosítanak.

• Funkciófejlesztés: DNS-lekérdezési logikai tevékenységek
  További lekérdezéstípusok lettek hozzáadva az Azure ATP által figyelt tevékenységekhez , például : TXT, MX, NS, SRV, ANY, DNSKEY.

• Funkcióbővítés: Gyanús aranyjegy-használat (jegyanomália) és gyanús aranyjegy-használat (nem létező fiók)
  Továbbfejlesztett észlelési logikát alkalmazunk mindkét riasztásra a FP-riasztások számának csökkentése és a pontosabb eredmények biztosítása érdekében.

• Funkciófejlesztés: Az Azure ATP biztonsági riasztási dokumentációja
  Az Azure ATP biztonsági riasztási dokumentációját továbbfejlesztettük és bővítettük, hogy jobb riasztási leírásokat, pontosabb riasztásbesorolásokat, valamint a bizonyítékok magyarázatát, szervizelést és megelőzést tartalmazzon. Az alábbi hivatkozások segítségével megismerkedhet az új biztonsági riasztások dokumentációjának kialakításával:

  • Az Azure ATP biztonsági riasztásai
  • A biztonsági riasztások ismertetése
    • Felderítési fázis riasztásai
    • Sérült hitelesítőadat-fázisú riasztások
    • Oldalirányú mozgási fázis riasztásai
    • Tartományi dominancia fázisú riasztások
    • Kiszivárgási fázis riasztásai
  • Számítógép vizsgálata
  • Felhasználó vizsgálata

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását is tartalmazza.

Az Azure ATP 2.60-es kiadása

Kiadás dátuma: 2019. január 6.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2018. december

Az Azure ATP 2.59-es kiadása

Kiadás dátuma: 2018. december 16.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.58-es kiadása

Kiadás dátuma: 2018. december 9.

• Biztonsági riasztás fejlesztése: Szokatlan protokollimplementáció riasztási felosztása
  Az Azure ATP szokatlan protokoll-implementálási biztonsági riasztásainak sorozata, amelyek korábban 1 externalId azonosítót (2002) osztottak meg, mostantól négy megkülönböztető riasztásra oszlanak, amelyekhez egy megfelelő egyedi külső azonosító tartozik.

Új riasztási externalId-azonosítók

Új biztonsági riasztás neve	Előző biztonsági riasztás neve	Egyedi külső azonosító
Találgatásos támadás (SMB) gyanúja	Szokatlan protokollmegvalósítás (rosszindulatú eszközök, például Hydra) lehetséges használata	2033
Vélhetően felüljáró-a-hash támadás (Kerberos)	Szokatlan Kerberos protokoll implementálása (lehetséges overpass-the-hash támadás)	2002
A Metasploit hacking keretrendszer feltételezett használata	Szokatlan protokoll implementálása (a Metasploit hacking eszközök lehetséges használata)	2034
WannaCry zsarolóprogram-támadás gyanúja	Szokatlan protokoll implementálása (lehetséges WannaCry zsarolóprogram-támadás)	2035

• Új figyelt tevékenység: Fájlmásolás az SMB-ben
  A fájlok SMB használatával történő másolása mostantól monitorozott és szűrhető tevékenység. További információ arról, hogy az Azure ATP mely tevékenységeket monitorozza, és hogyan szűrheti és keresheti meg a figyelt tevékenységeket a portálon.

• Nagy oldalirányú mozgás útvonal képének fejlesztése
  Nagy oldalirányú mozgási útvonalak megtekintésekor az Azure ATP mostantól csak a kijelölt entitáshoz csatlakoztatott csomópontokat emeli ki a többi csomópont elmosása helyett. Ez a változás jelentős javulást eredményez a nagy LMP-renderelési sebességben.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

Az Azure ATP 2.57-es kiadása

Kiadás dátuma: 2018. december 2.

• Új biztonsági riasztás: Gyanús aranyjegy-használat – jegyanomália (előzetes verzió)
  Az Azure ATP arany jegy használatának gyanúja – a jegyanomáliával kapcsolatos biztonsági riasztás nyilvános előzetes verzióban érhető el. A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával a támadók létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármilyen erőforráshoz biztosít engedélyezést.

  Ezt a hamisított TGT-t "Aranyjegynek" nevezik, mert lehetővé teszi a támadók számára, hogy tartós hálózati megőrzést érjenek el. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az új észlelés azonosításra terveztek.

• Funkciófejlesztés: Automatizált Azure ATP-példány (példány) létrehozása
  Mától az Azure ATP-példányokat átnevezik Az Azure ATP-példányok névre. Az Azure ATP mostantól azure ATP-fiókonként egy Azure ATP-példányt támogat. Az új ügyfelek példányai az Azure ATP portál példánylétrehozó varázslójának használatával jönnek létre. Ezzel a frissítéssel a meglévő Azure ATP-példányok automatikusan Azure ATP-példányokká lesznek konvertálva.

  • Egyszerűsített példánylétrehozás a gyorsabb üzembe helyezés és védelem érdekében az Azure ATP-példány létrehozásával.
  • Az adatvédelem és a megfelelőség változatlan marad.

  További információ az Azure ATP-példányokról: Az Azure ATP-példány létrehozása.

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

2018. november

Az Azure ATP 2.56-os kiadása

Kiadás dátuma: 2018. november 25.

• Funkciófejlesztés: Oldalirányú mozgási útvonalak (LMP-k)
  Két további funkcióval bővült az Azure ATP oldalirányú mozgási útvonal (LMP) képességeinek továbbfejlesztése:

  • Az LMP-előzmények mostantól entitásonként és LMP-jelentések használatakor is menthetők és felderíthetők.
  • Kövesse az LMP egy entitását a tevékenység idővonalán keresztül, és vizsgálja meg a lehetséges támadási útvonalak felderítéséhez rendelkezésre álló további bizonyítékokat.

  A továbbfejlesztett LMP-k használatával és vizsgálatával kapcsolatos további információkért tekintse meg az Azure ATP oldalirányú mozgási útvonalait .

• A dokumentáció fejlesztései: Oldalirányú mozgási útvonalak, biztonsági riasztások nevei
  Az Oldalirányú mozgás útvonalának leírását és funkcióit ismertető Azure ATP-cikkekhez hozzáadtuk a régi biztonsági riasztások neveinek névleképezését az új nevekhez és externalId-ekhez.

  • További információ: Az Azure ATP oldalirányú mozgási útvonalai, az oldalirányú mozgási útvonalak vizsgálata és biztonsági riasztások útmutatója .

• Ez a verzió a belső érzékelőinfrastruktúra fejlesztéseit és hibajavítását tartalmazza.

A Defender for Identity 2.55-ös kiadását megelőző (és azokat is tartalmazó) egyes Defender for Identity-kiadások részleteiért tekintse meg a Defender for Identity kiadási referenciáját.

Következő lépések