Kimlik için Microsoft Defender için yenilikler arşivi

Bu makalede, 6 ay önce yayınlanan sürümler ve özellikler için Kimlik için Microsoft Defender sürüm notları listelenmektedir.

En son sürümler ve özellikler hakkında bilgi için bkz. Kimlik için Microsoft Defender'deki yenilikler.

Temmuz 2023

Kimlik için Defender sürüm 2.209

Bu sürüm, bulut hizmetleri ve Kimlik için Defender algılayıcısı için iyileştirmeler ve hata düzeltmeleri içerir.

Microsoft Defender XDR'de Active Directory gruplarını arama (Önizleme)

Microsoft Defender XDR genel arama artık Active Directory grup adına göre aramayı destekliyor. Bulunan tüm gruplar, sonuçlarda ayrı bir Gruplar sekmesinde gösterilir. Aşağıdakiler gibi diğer ayrıntıları görmek için arama sonuçlarınızdan bir Active Directory grubu seçin:

• Tür
• Kapsam
• Etki alanı
• SAM adı
• SID

• Grup oluşturma zamanı
• Grup tarafından ilk kez bir etkinlik gözlemlendi
• Seçili grubu içeren Gruplar
• Tüm grup üyelerinin listesi

Örneğin:

Daha fazla bilgi için bkz. Microsoft Defender XDR'da Kimlik için Microsoft Defender.

Yeni güvenlik duruşu raporları

Kimlik için Defender'ın kimlik güvenliği duruşu değerlendirmeleri, şirket içi Active Directory yapılandırmalarınızda eylemleri proaktif olarak algılar ve önerir.

Aşağıdaki yeni güvenlik duruşu değerlendirmeleri artık Microsoft Güvenli Puanı'nda kullanılabilir:

• Yönetici SDHolder izniyle şüpheli hesaplardaki erişim haklarını kaldırma
• DCSync izinlerine sahip yönetici olmayan hesapları kaldırma
• Kimlik varlıklarında yerel yöneticileri kaldırma
• Kimlik için Defender dağıtımınızı başlatma

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender güvenlik duruşu değerlendirmeleri.

Klasik Kimlik için Defender portalı için otomatik yeniden yönlendirme

Kimlik için Microsoft Defender portalı deneyimi ve işlevselliği Microsoft'un genişletilmiş algılama ve yanıt (XDR) platformuyla Microsoft Defender XDR. 6 Temmuz 2023 itibarıyla klasik Kimlik için Defender portalını kullanan müşteriler otomatik olarak Microsoft Defender XDR'a yönlendirilir ve klasik portala geri dönme seçeneği yoktur.

Daha fazla bilgi için Microsoft Defender XDR'daki blog gönderimize ve Kimlik için Microsoft Defender bakın.

Kimlik için Defender raporu indirmeleri ve Microsoft Defender XDR 'de zamanlama (Önizleme)

Artık Microsoft Defender portalından düzenli aralıklarla Kimlik için Defender raporlarını indirebilir ve zamanlayabilir ve eski klasik Kimlik için Defender portalıyla rapor işlevselliğinde eşlik oluşturabilirsiniz.

Ayarlar > Kimlikleri > Raporu yönetim sayfasından Microsoft Defender XDR raporları indirin ve zamanlayın. Örneğin:

Daha fazla bilgi için bkz. Microsoft Defender XDR raporları Kimlik için Microsoft Defender.

Kimlik için Defender sürüm 2.208

• Bu sürüm, bulut hizmetleri ve Kimlik için Defender algılayıcısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.207

• Bu sürüm, yeni AccessKeyFile yükleme parametresini sağlar. Sağlanan bir metin yolundan Çalışma Alanı Erişim Anahtarı'nı ayarlamak için Kimlik için Defender algılayıcısının sessiz yüklemesi sırasında AccessKeyFile parametresini kullanın. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender algılayıcısını yükleme.

• Bu sürüm, bulut hizmetleri ve Kimlik için Defender algılayıcısı için iyileştirmeler ve hata düzeltmeleri içerir.

Haziran 2023

Kimlik için Defender sürüm 2.206

• Bu sürüm, bulut hizmetleri ve Kimlik için Defender algılayıcısı için iyileştirmeler ve hata düzeltmeleri içerir.

Gelişmiş IdentityInfo tablosuyla gelişmiş avcılık

• Kimlik için Defender dağıtılan kiracılar için, Microsoft 365 IdentityInfo gelişmiş tehdit avcılığı tablosu artık şirket içi ortamınızdan Kimlik için Defender algılayıcısı tarafından algılanan kimlik başına daha fazla öznitelik ve kimlik içeriyor.

Daha fazla bilgi için gelişmiş Microsoft Defender XDR avcılık belgelerine bakın.

Kimlik için Defender sürüm 2.205

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mayıs 2023

Gelişmiş Active Directory hesap denetimi vurguları

Microsoft Defender XDR Kimliği> kullanıcı ayrıntıları sayfası artık yeni Active Directory hesabı denetim verilerini içerir.

Kullanıcı ayrıntılarına Genel Bakış sekmesinde, önemli güvenlik ayarlarını ve Active Directory denetimlerini vurgulamak için yeni Active Directory hesap denetimleri kartını ekledik. Örneğin, belirli bir kullanıcının parola gereksinimlerini atlayıp atlayamayacağını veya süresi hiç dolmayan bir parolası olup olmadığını öğrenmek için bu kartı kullanın.

Örneğin:

Daha fazla bilgi için Bkz. User-Account-Control öznitelik belgeleri.

Kimlik için Defender sürüm 2.204

Yayın tarihi: 29 Mayıs 2023

• VPN (radius) tümleştirmesi veri alımı hataları için yeni sistem durumu uyarısı. Daha fazla bilgi için bkz. algılayıcı sistem durumu uyarılarını Kimlik için Microsoft Defender.

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.203

Yayın tarihi: 15 Mayıs 2023

• ADFS Kapsayıcı Denetimi'nin doğru yapılandırıldığını doğrulamak için yeni sistem durumu uyarısı. Daha fazla bilgi için bkz. algılayıcı sistem durumu uyarılarını Kimlik için Microsoft Defender.

• Microsoft Defender 365 Kimliği sayfası, yanal hareket yolu deneyimi için kullanıcı arabirimi güncelleştirmelerini içerir. Hiçbir işlev değiştirilmedi. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender ile YanAl Hareket Yollarını (LMP) anlama ve araştırma.

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik zaman çizelgesi geliştirmeleri

Kimlik Zaman Çizelgesi sekmesi artık yeni ve gelişmiş özellikler içeriyor! Güncelleştirilmiş zaman çizelgesiyle, artık özgün filtrelere ek olarak Etkinlik türüne, Protokole ve Konuma göre filtreleyebilirsiniz. Ayrıca zaman çizelgesini csv dosyasına aktarabilir ve MITRE ATT&CK teknikleriyle ilişkili etkinlikler hakkında ek bilgi bulabilirsiniz. Daha fazla bilgi için bkz. Microsoft Defender XDR'de kullanıcıları araştırma.

Microsoft Defender XDR'da uyarı ayarlama

Artık Microsoft Defender XDR'de kullanılabilen uyarı ayarlama, uyarılarınızı ayarlamanıza ve iyileştirmenize olanak tanır. Uyarı ayarlama hatalı pozitif sonuçları azaltır, SOC ekiplerinizin yüksek öncelikli uyarılara odaklanmasını sağlar ve sisteminizdeki tehdit algılama kapsamını geliştirir.

Microsoft Defender XDR,kanıt türlerine göre kural koşulları oluşturun ve kuralınızı koşullarınızla eşleşen herhangi bir kural türüne uygulayın. Daha fazla bilgi için bkz . Uyarı ayarlama.

Nisan 2023

Kimlik için Defender sürüm 2.202

Yayın tarihi: 23 Nisan 2023

• Sistem durumu uyarıları sayfasında açıklandığı gibi Dizin Hizmetleri Yapılandırma Kapsayıcı Denetimi'nin doğru yapılandırıldığını doğrulamak için yeni sistem durumu uyarısı.
• Yeni Zelanda ile eşlenen AD kiracıları için yeni çalışma alanları Avustralya Doğu bölgesinde oluşturulur. Bölgesel dağıtımın en güncel listesi için bkz. Kimlik için Defender bileşenleri.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mart 2023

Kimlik için Defender sürüm 2.201

Yayın tarihi: 27 Mart 2023

• SAM-R honeytoken uyarısını devre dışı bırakma sürecindeyiz. Bu tür hesaplara hiçbir zaman erişilmemeli veya sorgulanmamalıdır ancak bazı eski sistemler bu hesapları normal işlemlerinin bir parçası olarak kullanabilir. Bu işlevsellik sizin için gerekliyse, her zaman gelişmiş bir tehdit avcılığı sorgusu oluşturabilir ve bunu özel algılama olarak kullanabilirsiniz. Önümüzdeki haftalarda LDAP honeytoken uyarısını da gözden geçiriyoruz ancak şimdilik işlevsel olmaya devam ediyoruz.

• İngilizce olmayan işletim sistemleri için Dizin Hizmetleri Nesne Denetimi sistem durumu uyarısında ve Sürüm 87'den önceki Dizin Hizmetleri şemalarıyla Windows 2012 için algılama mantığı sorunlarını giderdik.

• Algılayıcıların başlaması için dizin hizmetleri hesabı yapılandırma önkoşulunu kaldırdık. Daha fazla bilgi için bkz. dizin hizmeti hesabı önerileri Kimlik için Microsoft Defender.

• Artık 1644 olaylarının günlüğe kaydedilmesi gerekmez. Bu kayıt defteri ayarını etkinleştirdiyseniz, kaldırabilirsiniz. Daha fazla bilgi için bkz . Olay Kimliği 1644.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.200

Yayın tarihi: 16 Mart 2023

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.199

Yayın tarihi: 5 Mart 2023

• Honeytoken için bazı dışlamalar SAM-R uyarısıyla sorgulandı ve düzgün çalışmıyordu. Bu durumlarda, dışlanan varlıklar için bile uyarılar tetikleniyordu. Bu hata düzeltildi.

• Identity Advanced Hunting tabloları için NTLM protokol adı güncelleştirildi: Eski protokol adı Ntlm artık Gelişmiş Tehdit Avcılığı Kimliği tablolarında yeni protokol adı NTLM olarak listelenmiştir: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Protokolü şu anda Identity olay tablolarından büyük/küçük harfe duyarlı biçimde kullanıyorsanız Ntlm olarak değiştirmeniz NTLMgerekir.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Şubat 2023

Kimlik için Defender sürüm 2.198

Yayın tarihi: 15 Şubat 2023

• Kimlik zaman çizelgesi artık Microsoft Defender XDR'deki yeni Kimlik sayfasının bir parçası olarak kullanılabilir: Microsoft Defender XDR'daki güncelleştirilmiş Kullanıcı sayfası, artık ilgili varlıkların genişletilmiş görünümü ve yeni bir ayrılmış zaman çizelgesi sekmesiyle yeni bir görünüme sahiptir. Zaman çizelgesi, son 30 güne ait etkinlikleri ve uyarıları temsil eder ve kullanılabilir tüm iş yüklerinde (Kimlik için Defender/Defender for Cloud Apps/Uç Nokta için Defender) kullanıcının kimlik girdilerini birlandırır. Zaman çizelgesini kullanarak, kullanıcının belirli zaman çerçevelerinde gerçekleştirdiği (veya üzerinde gerçekleştirildiği) etkinliklere kolayca odaklanabilirsiniz. Daha fazla bilgi için bkz. Microsoft Defender XDR'de kullanıcıları araştırma

• Honeytoken uyarıları için daha fazla iyileştirme: 2.191 sürümünde honeytoken etkinlik uyarısına birkaç yeni senaryo kullanıma sunulmuştur.

  Müşteri geri bildirimlerine dayanarak honeytoken etkinlik uyarısını beş ayrı uyarıya bölmeye karar verdik:

  • Honeytoken kullanıcısı SAM-R aracılığıyla sorgulandı.
  • Honeytoken kullanıcısı LDAP aracılığıyla sorgulandı.
  • Honeytoken kullanıcı kimlik doğrulaması etkinliği
  • Honeytoken kullanıcı özniteliklerini değiştirmişti.
  • Honeytoken grup üyeliği değişti.

  Ayrıca, ortamınız için özelleştirilmiş bir deneyim sağlayan bu uyarılar için dışlamalar ekledik.

  İyileştirmeye devam edebilmemiz için geri bildiriminizi duymak istiyoruz.

• Yeni güvenlik uyarısı - Kerberos protokolü (PKINIT) üzerinden şüpheli sertifika kullanımı.: Active Directory Sertifika Hizmetleri'ni (AD CS) kötüye kullanma tekniklerinin çoğu, saldırının bir aşamasında sertifika kullanımını içerir. Kimlik için Microsoft Defender artık bu tür şüpheli sertifika kullanımını gözlemlediğinde kullanıcıları uyarır. Bu davranışsal izleme yaklaşımı AD CS saldırılarına karşı kapsamlı koruma sağlar ve Kimlik için Defender algılayıcısı yüklü bir etki alanı denetleyicisinde şüpheli sertifika kimlik doğrulaması denendiğinde uyarı tetikler. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender artık şüpheli sertifika kullanımını algılar.

• Otomatik saldırı kesintisi: Kimlik için Defender artık Microsoft Defender XDR ile birlikte çalışarak Otomatik Saldırı Kesintisi sunuyor. Bu tümleştirme, Microsoft Defender XDR gelen sinyaller için Kullanıcıyı Devre Dışı Bırak eylemini tetikleyebileceğimiz anlamına gelir. Bu eylemler, Microsoft'un araştırma ekipleri tarafından binlerce olayın sürekli araştırıldığı içgörülerle birlikte yüksek kaliteli XDR sinyalleriyle tetiklenir. Eylem, Active Directory'de güvenliği aşılmış kullanıcı hesabını askıya alır ve bu bilgileri Microsoft Entra ID ile eşitler. Otomatik saldırı kesintisi hakkında daha fazla bilgi için Microsoft Defender XDR blog gönderisini okuyun.

  Ayrıca, belirli kullanıcıları otomatik yanıt eylemlerinin dışında tutabilirsiniz. Daha fazla bilgi için bkz. Kimlik için Defender otomatik yanıt dışlamalarını yapılandırma.

• Öğrenme süresini kaldırma: Kimlik için Defender tarafından oluşturulan uyarılar, ağınız hakkında öğrendiği profil oluşturma, belirleyici algılama, makine öğrenmesi ve davranışsal algoritmalar gibi çeşitli faktörleri temel alır. Kimlik için Defender'ın tam öğrenme süreci, etki alanı denetleyicisi başına 30 güne kadar sürebilir. Ancak, tam öğrenme işlemi tamamlanmadan önce bile uyarı almak istediğiniz örnekler olabilir. Örneğin, etki alanı denetleyicisine yeni bir algılayıcı yüklediğinizde veya ürünü değerlendirirken hemen uyarı almak isteyebilirsiniz. Bu gibi durumlarda, öğrenme dönemini kaldır özelliğini etkinleştirerek etkilenen uyarılar için öğrenme süresini kapatabilirsiniz. Daha fazla bilgi için bkz . Gelişmiş ayarlar.

• M365D'ye uyarı göndermenin yeni yolu: Bir yıl önce tüm Kimlik için Microsoft Defender deneyimlerinin Microsoft Defender portalında kullanılabilir olduğunu duyurmuştuk. Birincil uyarı işlem hattımız artık kimlik için Defender Defender for Cloud Apps Microsoft Defender XDR > kimlik Microsoft Defender XDR >için > Defender'a aşamalı olarak geçiş yapmaktır. Bu tümleştirme, Defender for Cloud Apps durum güncelleştirmelerinin Microsoft Defender XDR yansıtılmayacağı anlamına gelir. Bu değişiklik, uyarıların Microsoft Defender portalında görünmesi için gereken süreyi önemli ölçüde azaltmalıdır. Bu geçişin bir parçası olarak, 5 Mart itibarıyla tüm Kimlik için Defender ilkeleri artık Defender for Cloud Apps portalında kullanılamayacak. Her zaman olduğu gibi, tüm Kimlik için Defender deneyimleri için Microsoft Defender portalını kullanmanızı öneririz.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ocak 2023

Kimlik için Defender sürüm 2.197

Yayın tarihi: 22 Ocak 2023

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.196

Yayın tarihi: 10 Ocak 2023

• Sistem durumu uyarıları sayfasında açıklandığı gibi Dizin Hizmetleri Nesne Denetimi'nin doğru yapılandırıldığını doğrulamak için yeni sistem durumu uyarısı.

• Sistem durumu uyarıları sayfasında açıklandığı gibi algılayıcının güç ayarlarının en iyi performans için yapılandırıldığını doğrulamak için yeni sistem durumu uyarısı.

• Microsoft Defender XDR Gelişmiş Avcılık'taki IdentityLogonEvents, IdentityDirectoryEvents ve IdentityQueryEvents tablolarına MITRE ATT&CK bilgileri ekledik. AdditionalFields sütununda, bazı mantıksal etkinliklerimizle ilişkili Saldırı Teknikleri ve Taktik (Kategori) hakkındaki ayrıntıları bulabilirsiniz.

• Tüm önemli Kimlik için Microsoft Defender özellikleri artık Microsoft Defender portalında kullanılabildiğinden, portal yeniden yönlendirme ayarı 31 Ocak 2023'ten itibaren her kiracı için otomatik olarak etkinleştirilir. Daha fazla bilgi için bkz. Hesapları Kimlik için Microsoft Defender Microsoft Defender XDR yönlendirme.

Aralık 2022

Kimlik için Defender sürüm 2.195

Yayın tarihi: 7 Aralık 2022

• Kimlik için Defender veri merkezleri artık Avustralya Doğu bölgesinde de dağıtılmaktadır. Bölgesel dağıtımın en güncel listesi için bkz. Kimlik için Defender bileşenleri.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

2022 Kasım

Kimlik için Defender sürüm 2.194

Yayın tarihi: 10 Kasım 2022

• Sistem durumu uyarıları sayfasında açıklandığı gibi Dizin Hizmetleri Gelişmiş Denetimi'nin doğru yapılandırıldığını doğrulamak için yeni sistem durumu uyarısı.

• Kimlik için Defender sürüm 2.191'de honeytoken uyarılarıyla ilgili olarak sunulan değişikliklerden bazıları düzgün etkinleştirilmedi. Bu sorunlar artık çözüldü.

• Kasım sonundan itibaren Uç Nokta için Microsoft Defender ile el ile tümleştirme artık desteklenmiyor. Ancak tümleştirmenin yerleşik olduğu Microsoft Defender portalını (https://security.microsoft.com) kullanmanızı kesinlikle öneririz.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ekim 2022

Kimlik için Defender sürüm 2.193

Yayın tarihi: 30 Ekim 2022

• Yeni güvenlik uyarısı: Şüpheli sertifika kullanan anormal Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kimlik doğrulaması
  Bu yeni teknik, ünlü NOBELIUM aktörüyle bağlantılıdır ve "MagicWeb" olarak adlandırıldı - bir saldırganın güvenliği aşılmış AD FS sunucularına bir arka kapı yerleştirmesine olanak tanır, bu da herhangi bir etki alanı kullanıcısı olarak kimliğe bürünmeye ve dolayısıyla dış kaynaklara erişime olanak tanır. Bu saldırı hakkında daha fazla bilgi edinmek için bu blog gönderisini okuyun.

• Kimlik için Defender artık etki alanı denetleyicisindeki LocalSystem hesabını kullanarak daha önce kullanılabilir olan gMSA seçeneğine ek olarak düzeltme eylemleri gerçekleştirebilir (kullanıcıyı etkinleştirme/devre dışı bırakma, parola sıfırlamaya zorlama). Bu, düzeltme eylemleri için kullanıma hazır destek sağlar. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender eylem hesapları.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.192

Yayın tarihi: 23 Ekim 2022

• Sistem durumu uyarıları sayfasında açıklandığı gibi NTLM Denetiminin etkinleştirildiğini doğrulamak için yeni sistem durumu uyarısı.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Eylül 2022

Kimlik için Defender sürüm 2.191

Yayın tarihi: 19 Eylül 2022

• Honeytoken uyarılarını tetikleyen diğer etkinlikler
  Kimlik için Microsoft Defender, kötü amaçlı aktörler için tuzak olarak kullanılan honeytoken hesaplarını tanımlama olanağı sunar. Bu honeytoken hesaplarıyla ilişkili herhangi bir kimlik doğrulaması (normalde uykuda olmayan), honeytoken etkinliği (dış kimlik 2014) uyarısı tetikler. Bu sürüm için yeni olan bu honeytoken hesaplarına yönelik tüm LDAP veya SAMR sorguları bir uyarı tetikler. Ayrıca, olay 5136 denetlenirse, honeytoken'in özniteliklerinden biri değiştirildiğinde veya honeytoken'in grup üyeliği değiştirildiğinde bir uyarı tetiklenir.

Daha fazla bilgi için bkz . Windows Olay koleksiyonunu yapılandırma.

Kimlik için Defender sürüm 2.190

Yayın tarihi: 11 Eylül 2022

• Güncelleştirilmiş değerlendirme: Güvenli olmayan etki alanı yapılandırmaları
  Microsoft Güvenli Puan aracılığıyla sağlanan güvenli olmayan etki alanı yapılandırma değerlendirmesi artık güvenli olmayan bir yapılandırma bulursa etki alanı denetleyicisi LDAP imzalama ilkesi yapılandırmasını ve uyarılarını değerlendirir. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Güvenli olmayan etki alanı yapılandırmaları.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.189

Yayın tarihi: 4 Eylül 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ağustos 2022

Kimlik için Defender sürüm 2.188

Yayın tarihi: 28 Ağustos 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.187

Yayın tarihi: 18 Ağustos 2022

• Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı) (dış kimlik 2006) uyarısını tetiklemenin ardındaki mantığın bazılarını değiştirdik. Bu algılayıcı artık algılayıcı tarafından görülen kaynak IP adresinin nat cihazı gibi göründüğü durumları kapsar.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.186

Yayın tarihi: 10 Ağustos 2022

• Sistem durumu uyarıları artık NetBIOS adı yerine algılayıcının tam etki alanı adını (FQDN) gösterir.

• Sistem durumu uyarıları sayfasında açıklandığı gibi bileşen türünü ve yapılandırmasını yakalamak için yeni sistem durumu uyarıları kullanılabilir.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Temmuz 2022

Kimlik için Defender sürüm 2.185

Yayın tarihi: 18 Temmuz 2022

• Şüpheli Altın Anahtar kullanımının (var olmayan hesap) (harici kimlik 2027) macOS cihazlarını yanlış algıladığı bir sorun düzeltildi.

• Kullanıcı eylemleri: Kullanıcı sayfasındaki Kullanıcıyı Devre Dışı Bırak eylemini iki farklı eyleme bölmeye karar verdik:

  • Kullanıcıyı Devre Dışı Bırak – Bu, kullanıcıyı Active Directory düzeyinde devre dışı bırakır
  • Kullanıcıyı Askıya Al – kullanıcıyı Microsoft Entra ID düzeyinde devre dışı bırakır

  Active Directory'den Microsoft Entra ID eşitlemenin ne kadar sürdüğünün çok önemli olabileceğini anlıyoruz, bu nedenle artık eşitlemenin kendisine bağımlılığı kaldırmak için kullanıcıları birbiri ardına devre dışı bırakabilirsiniz. Yalnızca Microsoft Entra ID'de devre dışı bırakılan bir kullanıcının, etkin durumdaysa Active Directory tarafından üzerine yazılacağını unutmayın.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.184

Yayın tarihi: 10 Temmuz 2022

• Yeni güvenlik değerlendirmeleri
  Kimlik için Defender artık aşağıdaki yeni güvenlik değerlendirmesini içerir:

  • Güvenli olmayan etki alanı yapılandırmaları
    Kimlik için Microsoft Defender, güvenlik riskini ortaya çıkaran yapılandırma değerlerine sahip etki alanlarını belirlemek için ortamınızı sürekli izler ve ortamınızı korumanıza yardımcı olmak için bu etki alanları hakkında raporlar. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Güvenli olmayan etki alanı yapılandırmaları.

• Kimlik için Defender yükleme paketi artık WinPcap sürücüleri yerine Npcap bileşenini yükler. Daha fazla bilgi için bkz. WinPcap ve Npcap sürücüleri.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Haziran 2022

Kimlik için Defender sürümü 2.183.15436.10558 (Düzeltme)

Yayın tarihi: 20 Haziran 2022 (güncelleştirme tarihi: 4 Temmuz 2022)

• Yeni güvenlik uyarısı: Dağıtılmış Dosya Sistemi Protokolü kullanılarak DFSCoerce saldırısı olduğundan şüphelenildi
  DFS protokolündeki bir akışdan yararlanan son saldırı aracının yayımlanmasına yanıt olarak, Kimlik için Microsoft Defender bir saldırgan bu saldırı yöntemini kullandığında bir güvenlik uyarısı tetikler. Bu saldırı hakkında daha fazla bilgi edinmek için blog gönderisini okuyun.

Kimlik için Defender sürüm 2.183

Yayın tarihi: 20 Haziran 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.182

Yayın tarihi: 4 Haziran 2022

• Kimlik için Defender için yeni bir Hakkında sayfası kullanılabilir. Microsoft Defender portalındaAyarlar -Kimlikler ->>Hakkında altında bulabilirsiniz. Örnek adı, sürümü, kimliği ve örneğinizin coğrafi konumu da dahil olmak üzere Kimlik için Defender örneğinle ilgili birkaç önemli ayrıntı sağlar. Bu bilgiler sorunları giderirken ve destek biletlerini açarken yararlı olabilir.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mayıs 2022

Kimlik için Defender sürüm 2.181

Yayın tarihi: 22 Mayıs 2022

• Artık Kimlik için Microsoft Defender kullanarak doğrudan şirket içi hesaplarınızda düzeltme eylemleri gerçekleştirebilirsiniz.

  • Kullanıcıyı devre dışı bırak – Bu, kullanıcının ağda oturum açmasını geçici olarak engeller. Güvenliği aşılmış kullanıcıların yanlışlıkla hareket etmesini ve verileri sızdırmaya veya ağı daha fazla tehlikeye atmaya çalışmalarını önlemeye yardımcı olabilir.
  • Kullanıcı parolasını sıfırla – Bu, kullanıcıdan bir sonraki oturum açmada parolasını değiştirmesini ister ve bu hesabın daha fazla kimliğe bürünme girişiminde kullanılamamasını sağlar.

  Bu eylemler Microsoft Defender XDR çeşitli konumlardan gerçekleştirilebilir: kullanıcı sayfası, kullanıcı sayfası yan paneli, gelişmiş avcılık ve hatta özel algılamalar. Bu, eylemleri gerçekleştirmek için Kimlik için Microsoft Defender kullanacağı ayrıcalıklı bir gMSA hesabı ayarlamayı gerektirir. Gereksinimler hakkında daha fazla bilgi için bkz. Kimlik için Microsoft Defender eylem hesapları.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.180

Yayın tarihi: 12 Mayıs 2022

• Yeni güvenlik uyarısı: dNSHostName özniteliğinin şüpheli değişikliği (CVE-2022-26923)
  Son bir CVE'nin yayımlanmasına yanıt olarak, bir saldırgan CVE-2022 -26923'den yararlanmaya çalıştığında Kimlik için Microsoft Defender bir güvenlik uyarısı tetikler. Bu saldırı hakkında daha fazla bilgi edinmek için blog gönderisini okuyun.

• Sürüm 2.177'de, Kimlik için Defender tarafından kapsanabilecek ek LDAP etkinlikleri yayımladık. Ancak, Kimlik için Defender portalında olayların sunulmaması ve alınmamasıyla ilgili bir hata bulduk. Bu, bu sürümde düzeltilmiştir. Sürüm 2.180'den itibaren, olay kimliği 1644'i etkinleştirdiğinizde yalnızca Active Directory Web Hizmetleri üzerinden LDAP etkinliklerine görünürlük elde etmezsiniz, aynı zamanda diğer LDAP etkinlikleri de kaynak bilgisayarda LDAP etkinliğini gerçekleştiren kullanıcıyı içerir. Bu, LDAP olaylarını temel alan güvenlik uyarıları ve mantıksal etkinlikler için geçerlidir.

• Son KrbRelayUp kötüye kullanma işlemine yanıt olarak, bu sömürüye verilen yanıtı değerlendirmemize yardımcı olmak için sessiz bir algılayıcı yayımladık. Sessiz algılayıcı algılamanın etkinliğini değerlendirmemize ve topladığımız olaylara göre bilgi toplamamıza olanak sağlar. Bu algılamanın yüksek kaliteli olduğu gösteriliyorsa, sonraki sürümde yeni bir güvenlik uyarısı yayınlarız.

• Dns üzerinden uzaktan kod yürütmeyi DNS üzerindenuzaktan kod yürütme denemesi olarak yeniden adlandırdık çünkü bu güvenlik uyarılarının arkasındaki mantığı daha iyi yansıtıyor.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.179

Yayın tarihi: 1 Mayıs 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Nisan 2022

Kimlik için Defender sürüm 2.178

Yayın tarihi: 10 Nisan 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mart 2022

Kimlik için Defender sürüm 2.177

Yayın tarihi: 27 Mart 2022

• Kimlik için Microsoft Defender artık ağınızdaki ek LDAP sorgularını izleyebilir. Bu LDAP etkinlikleri Active Directory Web Hizmeti protokolü üzerinden gönderilir ve normal LDAP sorguları gibi davranır. Bu etkinliklerin görünürlüğünü elde etmek için etki alanı denetleyicilerinizde olay 1644'i etkinleştirmeniz gerekir. Bu olay, etki alanınızdaki LDAP etkinliklerini kapsar ve öncelikli olarak Active Directory etki alanı denetleyicileri tarafından hizmet edilen pahalı, verimsiz veya yavaş Basit Dizin Erişim Protokolü (LDAP) aramalarını tanımlamak için kullanılır. Daha fazla bilgi için bkz . Eski yapılandırmalar.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.176

Yayın tarihi: 16 Mart 2022

• Bu sürümden başlayarak, algılayıcıyı yeni bir paketten yüklerken, algılayıcının Program Ekle/Kaldır altındaki sürümü, daha önce gösterilen statik 2.0.0.0 yerine tam sürüm numarasıyla (örneğin, 2.176.x.y) görünür. Sürüm, Kimlik için Defender bulut hizmetlerinden otomatik güncelleştirmeler aracılığıyla güncelleştirilse bile bu sürümü (paket aracılığıyla yüklenen sürüm) göstermeye devam eder. Gerçek sürüm portaldaki algılayıcı ayarları sayfasında , yürütülebilir yolda veya dosya sürümünde görülebilir.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.175

Yayın tarihi: 6 Mart 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Şubat 2022

Kimlik için Defender sürüm 2.174

Yayın tarihi: 20 Şubat 2022

• Uyarıda yer alan hesabın shost FQDN'sini SIEM'e gönderilen iletiye ekledik. Daha fazla bilgi için bkz. SIEM günlük başvurusu Kimlik için Microsoft Defender.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.173

Yayın tarihi: 13 Şubat 2022

• Tüm Kimlik için Microsoft Defender özellikleri artık Microsoft Defender portalında kullanılabilir. Daha fazla bilgi için bu blog gönderisini inceleyin.

• Bu sürüm, algılayıcıyı KB5009557 yüklü Windows Server 2019'a veya sağlamlaştırılmış EventLog izinlerine sahip bir sunucuya yüklerken karşılaşılan sorunları giderir.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürümü 2.172

Yayın tarihi: 8 Şubat 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ocak 2022

Kimlik için Defender sürüm 2.171

Yayın tarihi: 31 Ocak 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.170

Yayın tarihi: 24 Ocak 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.169

Yayın tarihi: 17 Ocak 2022

• Kimlik için Microsoft Defender için bir eylem hesabı yapılandırma özelliğini kullanıma sunduğumuzdan mutluluk duyuyoruz. Bu, kullanıcılar üzerinde doğrudan üründen eylem gerçekleştirme özelliğinin ilk adımıdır. İlk adım olarak, Kimlik için Microsoft Defender eylemleri gerçekleştirirken kullanacağı gMSA hesabını tanımlayabilirsiniz. Canlı yayında Eylemler özelliğinin keyfini çıkarmak için bu kullanıcıları oluşturmaya başlamanızı kesinlikle öneririz. Daha fazla bilgi için bkz. Eylem hesaplarını yönetme.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.168

Yayın tarihi: 9 Ocak 2022

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Aralık 2021

Kimlik için Defender sürüm 2.167

Yayın tarihi: 29 Aralık 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.166

Yayın tarihi: 27 Aralık 2021

• Sürüm yeni bir güvenlik uyarısı içeriyor: sAMNameAccount özniteliğinin şüpheli değiştirilmesi (CVE-2021-42278 ve CVE-2021-42287 yararlanma) (dış kimlik 2419).
  En son CVE'leri yayımlamaya yanıt olarak, bir saldırgan CVE-2021-42278 ve CVE-2021-42287'den yararlanmaya çalıştığında Kimlik için Microsoft Defender bir güvenlik uyarısı tetikler. Bu saldırı hakkında daha fazla bilgi edinmek için blog gönderisini okuyun.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.165

Yayın tarihi: 6 Aralık 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kasım 2021

Kimlik için Defender sürüm 2.164

Yayın tarihi: 17 Kasım 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.163

Yayın tarihi: 8 Kasım 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.162

Yayın tarihi: 1 Kasım 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Eylül 2021

Kimlik için Defender sürüm 2.161

Yayın tarihi: 12 Eylül 2021

• Sürüm, yeni izlenen etkinliği içerir: gMSA hesabı parolası bir kullanıcı tarafından alındı. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender izlenen etkinlikler
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ağustos 2021

Kimlik için Defender sürüm 2.160

Yayın tarihi: 22 Ağustos 2021

• Sürüm çeşitli iyileştirmeler içerir ve PetitPotam kötüye kullanmadaki en son değişikliklere göre daha fazla senaryoyu kapsar.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.159

Yayın tarihi: 15 Ağustos 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.
• Sürüm, yeni yayımlanan uyarıya yönelik bir iyileştirme içerir: Şifreleme Dosya Sistemi Uzak Protokolü (dış kimlik 2416) üzerinden şüpheli ağ bağlantısı.
  Bu algılama desteğini, şifrelenmiş bir EFS-RPCchannel üzerinden iletişim kurabilecek potansiyel bir saldırgan olduğunda tetiklenmek üzere genişletildi. Kanal şifrelendiğinde tetiklenen uyarılar, şifrelenmediğinde Yüksek'in aksine Orta önem derecesi uyarısı olarak kabul edilir. Uyarı hakkında daha fazla bilgi edinmek için bkz. Şifreleme Dosya Sistemi Uzak Protokolü üzerinden şüpheli ağ bağlantısı (dış kimlik 2416).

Kimlik için Defender sürüm 2.158

Yayın tarihi: 8 Ağustos 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

• Sürüm yeni bir güvenlik uyarısı içerir: Şifreleme Dosya Sistemi Uzak Protokolü (dış kimlik 2416) üzerinden şüpheli ağ bağlantısı.
  Bu algılamada, Kimlik için Microsoft Defender bir saldırgan etki alanı denetleyicisine karşı EFS-RPC'den yararlanmaya çalıştığında bir güvenlik uyarısı tetikler. Bu saldırı vektöru son PetitPotam saldırısıyla ilişkilidir. Uyarı hakkında daha fazla bilgi edinmek için bkz. Şifreleme Dosya Sistemi Uzak Protokolü üzerinden şüpheli ağ bağlantısı (dış kimlik 2416).

• Sürüm yeni bir güvenlik uyarısı içeriyor: Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) (dış kimlik 2414)
  Bu algılamada, Kimlik için Microsoft Defender bir saldırgan exchange nesnesindeki "msExchExternalHostName" özniteliğini uzaktan kod yürütme için değiştirmeye çalıştığında bir güvenlik uyarısı tetikler. Bu uyarı hakkında daha fazla bilgi edinmek için bkz. Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) (dış kimlik 2414). Bu algılama, Windows olay 4662'ye dayanır, bu nedenle önceden etkinleştirilmesi gerekir. Bu olayı yapılandırma ve toplama hakkında bilgi için bkz . Windows Olay koleksiyonunu yapılandırma ve Exchange nesnesinde denetimi etkinleştirme yönergelerini izleyin.

Kimlik için Defender sürüm 2.157

Yayın tarihi: 1 Ağustos 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Temmuz 2021

Kimlik için Defender sürüm 2.156

Yayın tarihi: 25 Temmuz 2021

• Bu sürümden başlayarak, Npcap sürücüsünün yürütülebilir dosyasını algılayıcı yükleme paketine ekliyoruz. Daha fazla bilgi için bkz. WinPcap ve Npcap sürücüleri.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.155

Yayın tarihi: 18 Temmuz 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.154

Yayın tarihi: 11 Temmuz 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.
• Sürüm, daha fazla saldırı senaryolarını kapsayacak şekilde PrintNightmare algılama olarak bilinen yazdırma biriktiricisi yararlanmasına yönelik ek iyileştirmeler ve algılamalar içerir.

Kimlik için Defender sürüm 2.153

Yayın tarihi: 4 Temmuz 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

• Sürüm yeni bir güvenlik uyarısı içeriyor: Şüpheli Windows Yazdırma Biriktiricisi hizmet yararlanma girişimi (CVE-2021-34527 yararlanma) (dış kimlik 2415).

  Bu algılamada Kimlik için Defender, bir saldırgan etki alanı denetleyicisine karşı Windows Yazdırma Biriktiricisi Hizmeti'ni kullanmaya çalıştığında bir güvenlik uyarısı tetikler. Bu saldırı vektörü yazdırma biriktiricisi kötüye kullanımıyla ilişkilidir ve PrintNightmare olarak bilinir. Bu uyarı hakkında daha fazla bilgi edinin.

Haziran 2021

Kimlik için Defender sürüm 2.152

Yayın tarihi: 27 Haziran 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.151

Yayın tarihi: 20 Haziran 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.150

Yayın tarihi: 13 Haziran 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mayıs 2021

Kimlik için Defender sürüm 2.149

Yayın tarihi: 31 Mayıs 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.148

Yayın tarihi: 23 Mayıs 2021

• 4662 olay kimliğini yapılandırıp toplarsanız , Kimlik için Defender hangi kullanıcının Güncelleştirme Sırası Numarası (USN) değişikliğini çeşitli Active Directory nesne özelliklerine yaptığını bildirir. Örneğin, bir hesap parolası değiştirilirse ve olay 4662 etkinleştirilirse, olay parolayı kimin değiştirdiğini kaydeder.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.147

Yayın tarihi: 9 Mayıs 2021

• Müşteri geri bildirimlerine dayanarak varsayılan izin verilen algılayıcı sayısını 200'den 350'ye ve Dizin Hizmetleri kimlik bilgilerini 10'dan 30'a yükseltiyoruz.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.146

Yayın tarihi: 2 Mayıs 2021

• Hem sistem durumu sorunları hem de güvenlik uyarıları için Email bildirimleri artık hem Kimlik için Microsoft Defender hem de Microsoft Defender XDR için araştırma URL'sine sahip olacaktır.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Nisan 2021

Kimlik için Defender sürüm 2.145

Yayın tarihi: 22 Nisan 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.144

Yayın tarihi: 12 Nisan 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mart 2021

Kimlik için Defender sürüm 2.143

Yayın tarihi: 14 Mart 2021

• Active Directory etkinliklerine eklenen bilgisayar hesaplarını algılamak için Windows Olay 4741'i ekledik. Kimlik için Defender tarafından toplanacak yeni olayı yapılandırın. Yapılandırıldıktan sonra, toplanan olaylar etkinlik günlüğünde ve gelişmiş avcılık Microsoft Defender XDR görüntülenebilir.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.142

Yayın tarihi: 7 Mart 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Şubat 2021

Kimlik için Defender sürüm 2.141

Yayın tarihi: 21 Şubat 2021

• Yeni güvenlik uyarısı: ŞÜPHELI AS-REP Kavurma saldırısı (dış kimlik 2412)
  Kimlik için Defender'ın Şüpheli AS-REP Kavurma saldırısı (dış kimlik 2412) güvenlik uyarısı kullanıma sunuldu. Bu algılamada, bir saldırgan devre dışı Bırakılmış Kerberos ön kimlik doğrulamasına sahip hesapları hedeflediğinde ve Kerberos TGT verilerini almayı denediğinde kimlik için Defender güvenlik uyarısı tetikleniyor. Saldırganın amacı, çevrimdışı parola çözme saldırılarını kullanarak verilerden kimlik bilgilerini ayıklamak olabilir. Daha fazla bilgi için bkz. Kerberos AS-REP Kavurma maruziyeti (dış kimlik 2412).
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.140

Yayın tarihi: 14 Şubat 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ocak 2021

Kimlik için Defender sürüm 2.139

Yayın tarihi: 31 Ocak 2021

• Uyarının etkisini daha iyi yansıtacak şekilde Şüpheli Kerberos SPN'sinin yüksek kullanıma açık olması için önem derecesini güncelleştirdik. Uyarı hakkında daha fazla bilgi için bkz. Şüpheli Kerberos SPN açığa çıkarma (dış kimlik 2410)
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.138

Yayın tarihi: 24 Ocak 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.137

Yayın tarihi: 17 Ocak 2021

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.136

Yayın tarihi: 3 Ocak 2021

• Kimlik için Defender artık Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sunucularına algılayıcı yüklemeyi destekliyor. Algılayıcının uyumlu AD FS Sunucularına yüklenmesi, bu kritik altyapı bileşenini izleyerek hibrit ortama Kimlik için Microsoft Defender görünürlüğü genişletir. Ayrıca AD FS verileri üzerinde çalışmak için mevcut algılamalarımızdan bazılarını (Şüpheli hizmet oluşturma, Şüpheli Deneme Yanılma saldırısı (LDAP), Hesap listeleme keşfi) yeniledik. AD FS sunucusu için Kimlik için Microsoft Defender algılayıcısının dağıtımını başlatmak için algılayıcı yapılandırma sayfasından en son dağıtım paketini indirin.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Aralık 2020

Kimlik için Defender sürüm 2.135

Yayın tarihi: 20 Aralık 2020

• Active Directory öznitelikleri keşfi (LDAP) (dış kimlik 2210) uyarımızı, Solorigate kampanyasının bir parçası gibi güvenlik belirteçleri oluşturmak için gereken bilgileri elde etmek için kullanılan teknikleri de algılamak için geliştirdik.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.134

Yayın tarihi: 13 Aralık 2020

• Kısa süre önce piyasaya sürülen NetLogon algılayıcımız, Netlogon kanal işlemi şifrelenmiş bir kanal üzerinden gerçekleştiğinde de çalışacak şekilde geliştirildi. Algılayıcı hakkında daha fazla bilgi için bkz. Şüpheli Netlogon ayrıcalık yükseltme girişimi.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.133

Yayın tarihi: 6 Aralık 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kasım 2020

Kimlik için Defender sürüm 2.132

Yayın tarihi: 17 Kasım 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kimlik için Defender sürüm 2.131

Yayın tarihi: 8 Kasım 2020

• Yeni güvenlik uyarısı: Şüpheli Kerberos SPN açığa çıkarma (dış kimlik 2410)
  Kimlik için Defender'ın Şüpheli Kerberos SPN açığa çıkarma (dış kimlik 2410) güvenlik uyarısı kullanıma sunuldu. Bu algılamada, bir saldırgan hizmet hesaplarını ve ilgili SPN'lerini numaralandırdığında ve ardından hizmetler için Kerberos TGS biletleri istediğinde kimlik için Defender güvenlik uyarısı tetiklenir. Saldırganın amacı, biletlerdeki karmaları ayıklamak ve daha sonra çevrimdışı deneme yanılma saldırılarında kullanmak üzere kaydetmek olabilir. Daha fazla bilgi için bkz. Kerberos SPN açığa çıkarma.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ekim 2020

Kimlik için Defender sürüm 2.130

Yayın tarihi: 25 Ekim 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.129

Yayın tarihi: 18 Ekim 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Eylül 2020

Azure ATP sürüm 2.128

Yayın tarihi: 27 Eylül 2020

• Değiştirilen e-posta bildirimleri yapılandırması
  E-posta bildirimlerini açmak için Posta bildirimi iki durumlu düğmelerini kaldırıyoruz. E-posta bildirimleri almak için bir adres eklemeniz yeterlidir. Daha fazla bilgi için bkz. Bildirimleri ayarlama.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.127

Yayın tarihi: 20 Eylül 2020

• Yeni güvenlik uyarısı: Şüpheli Netlogon ayrıcalık yükseltme girişimi (dış kimlik 2411)
  Azure ATP'nin Şüpheli Netlogon ayrıcalık yükseltme girişimi (CVE-2020-1472 yararlanma) (dış kimlik 2411) güvenlik uyarısı kullanıma sunuldu. Bu algılamada, bir saldırgan Netlogon Ayrıcalıkların Yükseltilmesi Güvenlik Açığı olarak da bilinen Netlogon Uzak Protokolü (MS-NRPC) kullanılarak bir etki alanı denetleyicisine savunmasız bir Netlogon güvenli kanal bağlantısı kurduğunda bir Azure ATP güvenlik uyarısı tetiklenir. Daha fazla bilgi için bkz . Şüpheli Netlogon ayrıcalık yükseltme girişimi.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.126

Yayın tarihi: 13 Eylül 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.125

Yayın tarihi: 6 Eylül 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ağustos 2020

Azure ATP sürüm 2.124

Yayın tarihi: 30 Ağustos 2020

• Yeni güvenlik uyarıları
  Azure ATP güvenlik uyarıları artık aşağıdaki yeni algılamaları içerir:
  • Active Directory öznitelikleri keşfi (LDAP) (dış kimlik 2210)
    Bu algılamada, bir saldırganın saldırı sonlandırma zincirinde kullanmak üzere etki alanı hakkında kritik bilgileri başarıyla elde ettiğinden şüphelenildiğinde bir Azure ATP güvenlik uyarısı tetikleniyor. Daha fazla bilgi için bkz. Active Directory öznitelikleri keşfi.
  • Şüpheli hatalı Kerberos sertifika kullanımı (dış kimlik 2047)
    Bu algılamada, sertifika yetkilisi sunucusunun güvenliğini tehlikeye atarak kuruluş üzerinde denetim sahibi olan bir saldırganın ağınızda yan yana hareket etme gibi sonraki saldırılarda arka kapı hesapları olarak kullanılabilecek sertifikalar oluşturduğundan şüphelenildiğinde bir Azure ATP güvenlik uyarısı tetikleniyor. Daha fazla bilgi için bkz. Şüpheli hatalı Kerberos sertifika kullanımı.
  • Şüpheli altın bilet kullanımı (RBCD kullanan bilet anomalisi) (dış kimlik 2040)
    Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. KRBTGT hesabını kullanarak, herhangi bir kaynağa yetkilendirme sağlayan bir Kerberos anahtar verme anahtarı (TGT) oluşturabilirler.
    Bu sahte TGT, saldırganların Kaynak Tabanlı Kısıtlanmış Temsilci (RBCD) kullanarak kalıcı ağ kalıcılığı elde etmesine olanak sağladığından "Altın Anahtar" olarak adlandırılır. Bu tür sahte Altın Biletler, bu yeni algılamanın tanımlamak için tasarlandığı benzersiz özelliklere sahiptir. Daha fazla bilgi için bkz . Şüpheli altın anahtar kullanımı (RBCD kullanan bilet anomalisi).
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.123

Yayın tarihi: 23 Ağustos 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.122

Yayın tarihi: 16 Ağustos 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.121

Yayın tarihi: 2 Ağustos 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Temmuz 2020

Azure ATP sürüm 2.120

Yayın tarihi: 26 Temmuz 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.119

Yayın tarihi: 5 Temmuz 2020

• Özellik geliştirmesi: Excel raporunda Yeni Dışlanan etki alanı denetleyicileri sekmesi
  Etki alanı denetleyicisi kapsamı hesaplamamızın doğruluğunu geliştirmek için dış güvenleri olan etki alanı denetleyicilerini %100 kapsama ulaşma hesaplamasından dışlayacağız. Dışlanan etki alanı denetleyicileri, etki alanı kapsamı Excel rapor indirmesinin yeni dışlanan etki alanı denetleyicileri sekmesinde gösterilir. Raporu indirme hakkında bilgi için bkz. Etki alanı denetleyicisi durumu.
• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Haziran 2020

Azure ATP sürüm 2.118

Yayın tarihi: 28 Haziran 2020

• Yeni güvenlik değerlendirmeleri
  Azure ATP güvenlik değerlendirmeleri artık aşağıdaki yeni değerlendirmeleri içerir:

  • En riskli yanal hareket yolları
    Bu değerlendirme, güvenlik riskini ortaya çıkaran en riskli yanal hareket yollarına sahip hassas hesapları belirlemek için ortamınızı sürekli izler ve ortamınızı yönetmenize yardımcı olmak için bu hesaplarla ilgili raporlar sunar. Yollar, hassas hesabı kötü amaçlı aktörler tarafından kimlik bilgisi hırsızlığına maruz bırakabilecek üç veya daha fazla hassas olmayan hesabı varsa riskli kabul edilir. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: En riskli yanal hareket yolları (LMP).
  • Güvenli olmayan hesap öznitelikleri
    Bu değerlendirme Azure ATP, güvenlik riski oluşturan öznitelik değerlerine sahip hesapları belirlemek için ortamınızı sürekli izler ve ortamınızı korumanıza yardımcı olmak için bu hesaplarla ilgili raporlar sunar. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Güvenli olmayan hesap öznitelikleri.

• Duyarlılık tanımı güncelleştirildi
  Şirket içi hesaplar için duyarlılık tanımımızı Active Directory çoğaltmasını kullanmasına izin verilen varlıkları içerecek şekilde genişletiyoruz.

Azure ATP sürüm 2.117

Yayın tarihi: 14 Haziran 2020

• Özellik geliştirme: Birleşik SecOps deneyiminde sağlanan ek etkinlik ayrıntıları
  Cihaz adları, IP adresleri, hesap UPN'leri ve kullanılan bağlantı noktası dahil olmak üzere gönderdiğimiz cihaz bilgilerini Defender for Cloud Apps genişlettik. Defender for Cloud Apps ile tümleştirmemiz hakkında daha fazla bilgi için bkz. Azure ATP'yi Defender for Cloud Apps ile kullanma.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.116

Yayın tarihi: 7 Haziran 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mayıs 2020

Azure ATP sürüm 2.115

Yayın tarihi: 31 Mayıs 2020

• Yeni güvenlik değerlendirmeleri
  Azure ATP güvenlik değerlendirmeleri artık aşağıdaki yeni değerlendirmeleri içerir:

  • Güvenli olmayan SID Geçmişi öznitelikleri
    Bu değerlendirme, ortamınıza erişim kazanmak için kötü amaçlı saldırganlar tarafından kullanılabilecek SID Geçmişi özniteliklerini raporlar. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Güvenli olmayan SID Geçmişi öznitelikleri.
  • Microsoft LAPS kullanımı
    Bu değerlendirme, parolalarının güvenliğini sağlamak için Microsoft'un "Yerel Yönetici Parola Çözümü" (LAPS) kullanmayan yerel yönetici hesaplarıyla ilgili raporlar. LAPS'nin kullanılması parola yönetimini basitleştirir ve siber saldırılara karşı savunmaya yardımcı olur. Daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Microsoft LAPS kullanımı.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.114

Yayın tarihi: 17 Mayıs 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.113

Yayın tarihi: 5 Mayıs 2020

• Özellik geliştirmesi: NTLMv1 ile Zenginleştirilmiş Kaynak Erişimi Etkinliği
  Bu sürümden başlayarak, Azure ATP artık kaynağın NTLMv1 kimlik doğrulamasını kullanıp kullanmadığını gösteren kaynak erişim etkinliklerine yönelik bilgiler sağlar. Bu kaynak yapılandırması güvenli değildir ve kötü amaçlı aktörlerin uygulamayı kendi avantajlarına zorlama riski oluşturur. Risk hakkında daha fazla bilgi için bkz . Eski protokol kullanımı.

• Özellik geliştirme: Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM) uyarısı
  Deneme Yanılma saldırısı, saldırganlar tarafından kuruluşunuza ayak basmak için kullanılır ve Azure ATP'de tehdit ve risk bulma için önemli bir yöntemdir. Bu güncelleştirme, kullanıcılarınız için kritik risklere odaklanmanıza yardımcı olmak için uyarı hacmini sınırlayıp öncelik sırasına getirerek riskleri analiz edip düzeltmeyi daha kolay ve hızlı hale getirir.

Mart 2020

Azure ATP sürüm 2.112

Yayın Tarihi: 15 Mart 2020

• Yeni Azure ATP örnekleri Microsoft Defender for Cloud Apps ile otomatik olarak tümleşir
  Azure ATP örneği oluştururken (eski örnek), Microsoft Defender for Cloud Apps ile tümleştirme varsayılan olarak etkindir. Tümleştirme hakkında daha fazla bilgi için bkz. azure ATP'yi Microsoft Defender for Cloud Apps ile kullanma.

• Yeni izlenen etkinlikler
  Aşağıdaki etkinlik izleyicileri artık kullanılabilir:

  • Sertifika ile Etkileşimli Oturum Açma

  • Sertifikayla Başarısız Oturum Açma

  • TemsilciLi Kaynak Erişimi

    Azure ATP'nin hangi etkinlikleri izlediği ve portalda izlenen etkinlikleri nasıl filtreleyip arayacağınızı öğrenin.

• Özellik geliştirmesi: Zenginleştirilmiş Kaynak Erişimi Etkinliği
  Bu sürümden başlayarak, Azure ATP artık kaynağın kısıtlanmamış temsil için güvenilir olup olmadığını gösteren kaynak erişim etkinliklerine yönelik bilgiler sağlar. Bu kaynak yapılandırması güvenli değildir ve kötü amaçlı aktörlerin uygulamayı kendi avantajlarına zorlama riski oluşturur. Risk hakkında daha fazla bilgi için bkz . Güvenlik değerlendirmesi: Güvenli olmayan Kerberos temsilcisi.

• Şüpheli SMB paket işlemesi (CVE-2020-0796 yararlanma) - (önizleme)
  Azure ATP'nin Şüpheli SMB paket işleme güvenlik uyarısı artık genel önizleme aşamasındadır. Bu algılamada, SMBv3 paketinin ağdaki bir etki alanı denetleyicisine karşı CVE-2020-0796 güvenlik açığından yararlanıldığından şüphelenildiğinde bir Azure ATP güvenlik uyarısı tetiklenir.

Azure ATP sürüm 2.111

Yayın tarihi: 1 Mart 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Şubat 2020

Azure ATP sürüm 2.110

Yayın tarihi: 23 Şubat 2020

• Yeni güvenlik değerlendirmesi: İzlenmeyen etki alanı denetleyicileri
  Azure ATP güvenlik değerlendirmeleri artık ortamınızın tam kapsamını yönetmenize yardımcı olmak için izlenmeyen etki alanı denetleyicileri, algılayıcısı olmayan sunucular hakkında bir rapor içerir. Daha fazla bilgi için bkz. İzlenmeyen etki alanı denetleyicileri.

Azure ATP sürüm 2.109

Yayın tarihi: 16 Şubat 2020

• Özellik geliştirme: Hassas varlıklar
  Bu sürümden (2.109) başlayarak, Azure ATP tarafından Sertifika Yetkilisi, DHCP veya DNS Sunucuları olarak tanımlanan makineler artık otomatik olarak Hassas olarak etiketlenir.

Azure ATP sürüm 2.108

Yayın tarihi: 9 Şubat 2020

• Yeni özellik: Grup Tarafından Yönetilen Hizmet Hesapları desteği
  Azure ATP artık Azure ATP algılayıcılarını Microsoft Entra ormanlarınıza bağlarken gelişmiş güvenlik için grup Yönetilen Hizmet Hesaplarının (gMSA) kullanılmasını destekliyor. Azure ATP algılayıcılarıyla gMSA kullanma hakkında daha fazla bilgi için bkz. Active Directory Ormanınıza bağlanma.

• Özellik geliştirme: Çok fazla veri içeren zamanlanmış rapor
  Zamanlanmış raporda çok fazla veri olduğunda, e-posta artık aşağıdaki metni görüntüleyerek sizi bilgilendiriyor: Belirtilen süre boyunca rapor oluşturmak için çok fazla veri vardı. Bu, yalnızca e-postadaki rapor bağlantısına tıkladıktan sonra gerçeği bulma davranışının yerini alır.

• Özellik iyileştirmesi: Güncelleştirilmiş etki alanı denetleyicisi kapsam mantığı
  Etki alanı denetleyicisi kapsamı rapor mantığımızı Microsoft Entra ID ek bilgiler içerecek şekilde güncelleştirdik ve bu da etki alanı denetleyicilerinin üzerinde algılayıcılar olmadan daha doğru bir görünüm elde etmelerine neden oldu. Bu yeni mantığın ilgili Microsoft Güvenli Puanı üzerinde de olumlu bir etkisi olmalıdır.

Azure ATP sürüm 2.107

Yayın tarihi: 3 Şubat 2020

• Yeni izlenen etkinlik: SID geçmişi değişikliği
  SID geçmişi değişikliği artık izlenen ve filtrelenebilir bir etkinliktir. Azure ATP'nin hangi etkinlikleri izlediği ve portalda izlenen etkinlikleri nasıl filtreleyip arayacağınızı öğrenin.

• Özellik geliştirme: Kapatılan veya gizlenen uyarılar artık yeniden açılmamaktadır
  Azure ATP portalında bir uyarı kapatıldıktan veya gizlendikten sonra, kısa bir süre içinde aynı etkinlik yeniden algılanırsa yeni bir uyarı açılır. Daha önce, aynı koşullar altında uyarı yeniden açılmıştı.

• Portal erişimi ve algılayıcılar için TLS 1.2 gereklidir
  TLS 1.2 artık Azure ATP algılayıcılarını ve bulut hizmetini kullanmak için gereklidir. TLS 1.2'yi desteklemeyen tarayıcılar kullanılarak Azure ATP portalına erişim artık mümkün olmayacaktır.

Ocak 2020

Azure ATP sürüm 2.106

Yayın tarihi: 19 Ocak 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.105

Yayın tarihi: 12 Ocak 2020

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Aralık 2019

Azure ATP sürüm 2.104

Yayın tarihi: 23 Aralık 2019

• Algılayıcı sürümü süre sonu ortadan kaldırıldı
  Azure ATP algılayıcı dağıtım ve algılayıcı yükleme paketlerinin süresi artık bir dizi sürümden sonra sona erer ve artık yalnızca bir kez güncelleştirilir. Bu özelliğin sonucu, daha önce indirilen algılayıcı yükleme paketlerinin artık maksimum atlamalı sürüm sayısından daha eski olsalar bile yüklenebileceğidir.

• Güvenliğin aşılmasına onay ver
  Artık belirli Microsoft 365 kullanıcılarının gizliliğinin ihlal edildiğini onaylayabilir ve risk düzeylerini yüksek olarak ayarlayabilirsiniz. Bu iş akışı, güvenlik operasyonları ekiplerinizin güvenlik olaylarını Çözme Süresi eşiklerini azaltmaya yönelik başka bir yanıt özelliğine sahip olmasını sağlar. Azure ATP ve Defender for Cloud Apps kullanarak güvenliğin aşılmasına onay verme hakkında daha fazla bilgi edinin.

• Yeni deneyim başlığı
  Defender for Cloud Apps portalında yeni bir deneyimin kullanılabildiği Azure ATP portalı sayfalarında, erişim bağlantılarıyla sunulan özellikleri açıklayan yeni başlıklar görüntülenir.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.103

Yayın tarihi: 15 Aralık 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.102

Yayın tarihi: 8 Aralık 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

2019 Kasım

Azure ATP sürüm 2.101

Yayın tarihi: 24 Kasım 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.100

Yayın tarihi: 17 Kasım 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.99

Yayın tarihi: 3 Kasım 2019

• Özellik geliştirmesi: Azure ATP portalına Defender for Cloud Apps portalın kullanılabilirliğine ilişkin kullanıcı arabirimi bildirimi eklendi
  Tüm kullanıcıların Defender for Cloud Apps portalını kullanarak sağlanan gelişmiş özelliklerin kullanılabilirliğini fark etmelerini sağlamak için, mevcut Azure ATP uyarı zaman çizelgesinden portal için bildirim eklendi.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ekim 2019

Azure ATP sürüm 2.98

Yayın tarihi: 27 Ekim 2019

• Özellik geliştirmesi: Şüpheli deneme yanılma saldırısı uyarısı
  Ek analiz kullanılarak Şüpheli deneme yanılma saldırısı (SMB) uyarısı geliştirildi ve iyi huylu gerçek pozitif (B-TP) ve hatalı pozitif (FP) uyarı sonuçlarını azaltmak için geliştirilmiş algılama mantığı.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.97

Yayın tarihi: 6 Ekim 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Eylül 2019

Azure ATP sürüm 2.96

Yayın tarihi: 22 Eylül 2019

• Windows Olay 8004 kullanılarak zenginleştirilmiş NTLM kimlik doğrulama verileri
  Azure ATP algılayıcıları, NTLM denetimi etkinleştirildiğinde ve Windows Olay 8004 etkinleştirildiğinde erişilen sunucu verilerinizle NTLM kimlik doğrulama etkinliklerini otomatik olarak okuyabilir ve zenginleştirebiliyor. Azure ATP, Azure ATP tehdit analizi ve uyarıları için kullanılan NTLM kimlik doğrulama verilerini zenginleştirmek amacıyla NTLM kimlik doğrulamaları için Windows Olay 8004'i ayrıştırmaktadır. Bu gelişmiş özellik, NTLM verileri üzerinden kaynak erişimi etkinliğinin yanı sıra kullanıcının denemesine rağmen erişemediği hedef bilgisayar da dahil olmak üzere zenginleştirilmiş başarısız oturum açma etkinlikleri sağlar.

  Windows Olay 8004 kullanarak NTLM kimlik doğrulama etkinlikleri hakkında daha fazla bilgi edinin.

• Sürüm ayrıca iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.95

Yayın tarihi: 15 Eylül 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.94

Yayın tarihi: 8 Eylül 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.93

Yayın tarihi: 1 Eylül 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Ağustos 2019

Azure ATP sürüm 2.92

Yayın tarihi: 25 Ağustos 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.91

Yayın tarihi: 18 Ağustos 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.90

Yayın tarihi: 11 Ağustos 2019

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.89

Yayın tarihi: 4 Ağustos 2019

• Algılayıcı yöntemi geliştirmeleri
  Doğru YanAl Hareket Yolu (LMP) değerlendirmelerinin oluşturulmasında ntlm trafiğinin fazla oluşturulmasını önlemek için, NtLM kullanımına daha az güvenmek ve Kerberos'un daha önemli bir şekilde kullanılmasını sağlamak için Azure ATP algılayıcı yöntemlerinde iyileştirmeler yapılmıştır.

• Uyarı geliştirmesi: Şüpheli Altın Bilet kullanımı (var olmayan hesap)
  SAM adı değişiklikleri, bu uyarı türünde listelenen destekleyici kanıt türlerine eklendi. Bu tür etkinlikleri önleme ve düzeltme de dahil olmak üzere uyarı hakkında daha fazla bilgi edinmek için bkz. Şüpheli Altın Anahtar kullanımı (var olmayan hesap).

• Genel kullanılabilirlik: Şüpheli NTLM kimlik doğrulaması kurcalaması
  Şüpheli NTLM kimlik doğrulaması kurcalama uyarısı artık önizleme modunda değil ve genel kullanıma sunuldu.

• Sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Temmuz 2019

Azure ATP sürüm 2.88

Yayın tarihi: 28 Temmuz 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.87

Yayın tarihi: 21 Temmuz 2019

• Özellik geliştirme: Azure ATP tek başına algılayıcıları için otomatik Syslog olay koleksiyonu
  Azure ATP tek başına algılayıcıları için gelen Syslog bağlantıları artık tamamen otomatikleştirilmiştir ve yapılandırma ekranından iki durumlu düğme seçeneği kaldırılır. Bu değişikliklerin giden Syslog bağlantıları üzerinde hiçbir etkisi yoktur.

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.86

Yayın tarihi: 14 Temmuz 2019

• Yeni güvenlik uyarısı: NTLM kimlik doğrulamasında değişiklik olduğundan şüphelenildi (dış kimlik 2039)
  Azure ATP'nin yeni Şüpheli NTLM kimlik doğrulaması kurcalama güvenlik uyarısı artık genel önizleme aşamasındadır. Bu algılamada, Microsoft CVE-2019-040'ta ayrıntılarıyla belirtilen bir güvenlik açığı olan NTLM İleti Bütünlüğü Denetimi'ni (MIC) başarıyla atladığından şüphelenilen "ortadaki adam" saldırısı kullanıldığında bir Azure ATP güvenlik uyarısı tetikleniyor. Bu tür saldırılar, ntlm güvenlik özelliklerini düşürmeye ve başarılı yanal hareketlerde bulunma hedefiyle başarıyla kimlik doğrulaması yapmaya çalışır.

• Özellik geliştirme: Zenginleştirilmiş cihaz işletim sistemi tanımlaması
  Şimdiye kadar Azure ATP, Active Directory'deki kullanılabilir özniteliği temel alan varlık cihazı işletim sistemi bilgilerini sağlamıştı. Daha önce, Active Directory'de işletim sistemi bilgileri kullanılamıyorsa, bilgiler Azure ATP varlık sayfalarında da kullanılamıyordu. Bu sürümden başlayarak, Azure ATP artık zenginleştirilmiş cihaz işletim sistemi tanımlama yöntemlerini kullanarak Active Directory'nin bilgilerine sahip olmadığı veya Active Directory'ye kayıtlı olmadığı cihazlar için bu bilgileri sağlar.

  Zenginleştirilmiş cihaz işletim sistemi tanımlama verilerinin eklenmesi, kayıtlı olmayan ve Windows dışı cihazların tanımlanmasına yardımcı olurken, araştırma sürecinize de aynı anda yardımcı olur. Azure ATP'de Ağ Adı Çözümlemesi hakkında daha fazla bilgi için bkz. Ağ Adı Çözümlemesini (NNR) Anlama.

• Yeni özellik: Kimliği doğrulanmış ara sunucu - önizleme
  Azure ATP artık kimliği doğrulanmış ara sunucuyu destekliyor. Algılayıcı komut satırını kullanarak proxy URL'sini belirtin ve kimlik doğrulaması gerektiren proxy'leri kullanmak için Kullanıcı Adı/Parola belirtin. Kimliği doğrulanmış ara sunucuyu kullanma hakkında daha fazla bilgi için bkz. Ara sunucuyu yapılandırma.

• Özellik geliştirme: Otomatik etki alanı eşitleyici işlemi
  Kurulum ve devam eden yapılandırma sırasında etki alanı denetleyicilerini etki alanı eşitleyici adayları olarak belirleme ve etiketleme işlemi artık tamamen otomatikleştirilmiştir. Etki alanı eşitleyici adayı olarak etki alanı denetleyicilerini el ile seçme iki durumlu düğmesi kaldırılır.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.85

Yayın tarihi: 7 Temmuz 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.84

Yayın tarihi: 1 Temmuz 2019

• Yeni konum desteği: Azure Uk veri merkezi
  Azure ATP örnekleri artık Azure Birleşik Krallık veri merkezinde desteklenmektedir. Azure ATP örnekleri ve ilgili veri merkezi konumlarını oluşturma hakkında daha fazla bilgi edinmek için bkz. Azure ATP yüklemesinin 1. Adımı.

• Özellik geliştirmesi: Hassas gruplara şüpheli eklemeler uyarısı için yeni ad ve özellikler (dış kimlik 2024)
  Hassas gruplara şüpheli eklemeler uyarısı daha önce Hassas gruplarda şüpheli değişiklikler uyarısı olarak adlandırılmıştı. Uyarının dış kimliği (ID 2024) aynı kalır. Açıklayıcı ad değişikliği , hassas gruplarınıza yapılan eklemelerle ilgili uyarı vermenin amacını daha doğru yansıtır. Gelişmiş uyarı ayrıca yeni kanıtlar ve geliştirilmiş açıklamalar içerir. Daha fazla bilgi için bkz . Hassas gruplara şüpheli eklemeler.

• Yeni belge özelliği: Gelişmiş Tehdit Analizi'nden Azure ATP'ye geçiş kılavuzu
  Bu yeni makale önkoşulları, planlama kılavuzlarını ve ATA'dan Azure ATP hizmetine geçiş için yapılandırma ve doğrulama adımlarını içerir. Daha fazla bilgi için bkz. ATA'dan Azure ATP'ye geçiş.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Haziran 2019

Azure ATP sürüm 2.83

Yayın tarihi: 23 Haziran 2019

• Özellik geliştirme: Şüpheli hizmet oluşturma uyarısı (dış kimlik 2026)
  Bu uyarı artık ek kanıtlar ve yeni bir açıklama içeren geliştirilmiş bir uyarı sayfası içerir. Daha fazla bilgi için bkz . Şüpheli hizmet oluşturma güvenlik uyarısı.

• Örnek adlandırma desteği: Yalnızca basamak etki alanı ön eki için destek eklendi
  Yalnızca basamak içeren ilk etki alanı ön ekleri kullanılarak Azure ATP örneği oluşturma desteği eklendi. Örneğin, 123456.contoso.com gibi yalnızca ilk etki alanı ön eklerinin basamak kullanımı artık desteklenmektedir.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.82

Yayın tarihi: 18 Haziran 2019

• Yeni genel önizleme
  Azure ATP'nin kimlik tehdidi araştırma deneyimi artık Genel Önizleme aşamasındadır ve tüm Azure ATP korumalı kiracılar tarafından kullanılabilir. Daha fazla bilgi edinmek için bkz. Azure ATP Microsoft Defender for Cloud Apps araştırma deneyimi.

• Genel kullanılabilirlik
  Güvenilmeyen ormanlar için Azure ATP desteği artık genel kullanıma hazır. Daha fazla bilgi edinmek için bkz. Azure ATP çoklu ormanı .

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.81

Yayın tarihi: 10 Haziran 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.80

Yayın tarihi: 2 Haziran 2019

• Özellik geliştirmesi: Şüpheli VPN bağlantısı uyarısı
  Bu uyarı artık daha iyi kullanılabilirlik için gelişmiş kanıt ve metinler içerir. Uyarı özellikleri ve önerilen düzeltme adımları ve önleme hakkında daha fazla bilgi için Şüpheli VPN bağlantısı uyarı açıklamasına bakın.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Mayıs 2019

Azure ATP sürüm 2.79

Yayın tarihi: 26 Mayıs 2019

• Genel kullanılabilirlik: Güvenlik sorumlusu keşfi (LDAP) (dış kimlik 2038)

  Bu uyarı artık GA'dadır (genel kullanılabilirlik). Uyarı, uyarı özellikleri ve önerilen düzeltme ve önleme hakkında daha fazla bilgi için güvenlik sorumlusu keşfi (LDAP) uyarı açıklamasına bakın

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.78

Yayın tarihi: 19 Mayıs 2019

• Özellik geliştirme: Hassas varlıklar
  Exchange Sunucuları için El ile Hassas etiketleme

  Artık yapılandırma sırasında varlıkları Exchange Sunucuları olarak el ile etiketleyebilirsiniz.

  Bir varlığı el ile Exchange Server olarak etiketlemek için:

  1. Azure ATP portalında Yapılandırma'yı seçin.
  2. Algılama'nın altında Varlık etiketleri'ne ve ardından Hassas'a tıklayın.
  3. Exchange Sunucuları'nı seçin ve etiketlemek istediğiniz varlığı ekleyin.

  Bir bilgisayarı Exchange Server olarak etiketledikten sonra Hassas olarak etiketlenir ve Exchange Server olarak etiketlendiğini gösterir. Hassas etiketi bilgisayarın varlık profilinde görünür ve bilgisayar, Hassas hesapları ve YanAl Hareket Yollarını temel alan tüm algılamalarda dikkate alınır.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.77

Yayın tarihi: 12 Mayıs 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.76

Yayın tarihi: 6 Mayıs 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Nisan 2019

Azure ATP sürüm 2.75

Yayın tarihi: 28 Nisan 2019

• Özellik geliştirme: Hassas varlıklar
  Bu sürümden (2.75) başlayarak, Azure ATP tarafından Exchange Sunucuları olarak tanımlanan makineler artık otomatik olarak Hassas olarak etiketlenir.

  Exchange Sunucuları olarak çalıştıkları için otomatik olarak Hassas olarak etiketlenen varlıklar, bu sınıflandırmayı etiketli olmasının nedeni olarak listeler.

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.74

Yayın tarihi: 14 Nisan 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.73

Yayın tarihi: 10 Nisan 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Mart 2019

Azure ATP sürüm 2.72

Yayın tarihi: 31 Mart 2019

• Özellik geliştirme: YanAl Hareket Yolu (LMP) kapsamlı derinlik
  Yanal hareket yolları (LMP), Azure ATP'de tehdit ve risk bulma için önemli bir yöntemdir. Bu güncelleştirme, en hassas kullanıcılarınız için kritik risklere odaklanmaya yardımcı olmak için, görüntülenen her grafiğin kapsamını ve derinliğini sınırlayarak her LMP'de hassas kullanıcılara yönelik riskleri analiz edip düzeltmeyi daha kolay ve hızlı hale getirir.

  Azure ATP'nin ortamınızdaki her bir varlığa erişim risklerini ortaya çıkarma amacıyla LMP'leri nasıl kullandığı hakkında daha fazla bilgi edinmek için bkz. YanAl Taşıma Yolları .

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.71

Yayın tarihi: 24 Mart 2019

• Özellik geliştirme: Ağ Adı Çözümlemesi (NNR) sistem durumu uyarıları
  NNR tabanlı Azure ATP güvenlik uyarıları ile ilişkili güvenilirlik düzeyleri için sistem durumu uyarıları eklendi. Her sistem durumu uyarısı, düşük NNR başarı oranlarını çözmeye yardımcı olmak için eyleme dönüştürülebilir ve ayrıntılı öneriler içerir.

  Azure ATP'nin NNR'yi nasıl kullandığı ve uyarı doğruluğu açısından neden önemli olduğu hakkında daha fazla bilgi edinmek için bkz. Ağ Adı Çözümlemesi nedir ?

• Sunucu desteği: KB4487044 kullanımıyla Server 2019 desteği eklendi
  Düzeltme eki düzeyi KB4487044 olan Windows Server 2019'un kullanımı için destek eklendi. Sunucu 2019'un düzeltme eki olmadan kullanılması desteklenmez ve bu güncelleştirmeden itibaren engellenir.

• Özellik geliştirme: Kullanıcı tabanlı uyarı dışlama
  Genişletilmiş uyarı dışlama seçenekleri artık belirli kullanıcıların belirli uyarılardan dışlanmasına olanak sağlar. Dışlamalar, belirli iç yazılım türlerinin tekrar tekrar iyi huylu güvenlik uyarılarını tetiklediği durumlardan kaçınmaya yardımcı olabilir.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.70

Yayın tarihi: 17 Mart 2019

• Özellik geliştirme: Ağ Adı Çözümlemesi (NNR) güvenilirlik düzeyi birden çok uyarıya eklendi Ağ Adı Çözümlemesi veya (NNR), şüpheli saldırıların kaynak varlık kimliğinin pozitif olarak tanımlanmasına yardımcı olmak için kullanılır. NNR güvenilirlik düzeylerini Azure ATP uyarı kanıt listelerine ekleyerek artık tanımlanan olası kaynaklarla ilgili NNR güvenilirlik düzeyini anında değerlendirebilir ve anlayabilir ve uygun şekilde düzeltebilirsiniz.

  NNR güvenilirlik düzeyi kanıtı aşağıdaki uyarılara eklendi:

  • Ağ eşleme keşfi (DNS)
  • Şüpheli kimlik hırsızlığı (pass-the-ticket)
  • Şüpheli NTLM geçiş saldırısı (Exchange hesabı)-önizleme
  • Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı)

• Ek sistem durumu uyarısı senaryosu: Azure ATP algılayıcı hizmeti başlatılamadı
  Ağ yakalama sürücüsü sorunu nedeniyle Azure ATP algılayıcısının başlatılamadığı durumlarda bir algılayıcı sistem durumu uyarısı tetikleniyor. Azure ATP günlükleri ve bunların nasıl kullanılacağı hakkında daha fazla bilgi için Azure ATP günlükleriyle Azure ATP algılayıcısı sorunlarını giderme.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.69

Yayın tarihi: 10 Mart 2019

• Özellik geliştirmesi: Şüpheli kimlik hırsızlığı (anahtar geçişi) uyarısı Bu uyarı artık uzak masaüstü protokolü (RDP) kullanılarak yapılan bağlantıların ayrıntılarını gösteren yeni kanıtlar içerir. Eklenen kanıt, RDP bağlantıları üzerinden Uzak Kimlik Bilgisi Koruması'nın kullanılmasından kaynaklanan pozitif uyarılar Benign-True bilinen (B-TP) sorununu düzeltmeyi kolaylaştırır.

• Özellik geliştirme: DNS uyarısı üzerinden uzaktan kod yürütme
  Bu uyarı artık etki alanı denetleyicisi güvenlik güncelleştirme durumunu gösteren ve güncelleştirmelerin ne zaman gerekli olduğunu bildiren yeni kanıtlar içerir.

• Yeni belge özelliği: Azure ATP Güvenlik uyarısı MITRE ATT&CK Matrisi™
  Azure ATP güvenlik uyarıları ile tanıdık MITRE ATT&CK Matrisi arasındaki ilişkiyi açıklama ve eşlemeyi kolaylaştırmak için Azure ATP güvenlik uyarısı listelerine ilgili MITRE tekniklerini ekledik. Bu ek başvuru, bir Azure ATP güvenlik uyarısı tetiklendiğinde kullanımda olabilecek şüpheli saldırı tekniğinin anlaşılmasını kolaylaştırır. Azure ATP güvenlik uyarısı kılavuzu hakkında daha fazla bilgi edinin.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.68

Yayın tarihi: 3 Mart 2019

• Özellik geliştirmesi: Şüpheli deneme yanılma saldırısı (LDAP) uyarısı
  Düzeltilmiş bir açıklama, ek kaynak bilgilerinin sağlanması ve daha hızlı düzeltme için tahmin girişimi ayrıntıları da dahil olmak üzere bu güvenlik uyarısı için önemli kullanılabilirlik iyileştirmeleri yapıldı.
  Şüpheli deneme yanılma saldırısı (LDAP) güvenlik uyarıları hakkında daha fazla bilgi edinin.

• Yeni belge özelliği: Güvenlik uyarısı laboratuvarı
  Azure ATP'nin çalışma ortamınıza yönelik gerçek tehditleri algılamadaki gücünü açıklamak için bu belgelere yeni bir Güvenlik uyarısı laboratuvarı ekledik. Güvenlik uyarısı laboratuvarı hızlı bir şekilde laboratuvar veya test ortamı ayarlamanıza yardımcı olur ve yaygın, gerçek dünyadaki tehditlere ve saldırılara karşı en iyi savunma duruşunu açıklar.

  Adım adım laboratuvar, tehdit ortamınız ve kullanılabilir Azure ATP uyarıları ve koruması hakkında bilgi edinmek için çok az zaman harcayıp daha fazla zaman harcamanızı sağlamak için tasarlanmıştır. Geri bildiriminizi duymak bizim için heyecan verici.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Şubat 2019

Azure ATP sürüm 2.67

Yayın tarihi: 24 Şubat 2019

• Yeni güvenlik uyarısı: Güvenlik sorumlusu keşfi (LDAP) – (önizleme)
  Azure ATP'nin Güvenlik sorumlusu keşfi (LDAP) - önizleme güvenlik uyarısı artık genel önizleme aşamasındadır. Bu algılamada, etki alanı ortamı hakkında kritik bilgiler edinmek için saldırganlar tarafından güvenlik sorumlusu keşfi kullanıldığında bir Azure ATP güvenlik uyarısı tetikleniyor. Bu bilgiler, saldırganların etki alanı yapısını eşlemelerine ve saldırı sonlandırma zincirinin sonraki adımlarında kullanmak üzere ayrıcalıklı hesapları tanımlamalarına yardımcı olur.

  Basit Dizin Erişim Protokolü (LDAP), Active Directory'yi sorgulamak için hem meşru hem de kötü amaçlı amaçlar için kullanılan en popüler yöntemlerden biridir. LDAP odaklı güvenlik sorumlusu keşfi genellikle Kerberoasting saldırısının ilk aşaması olarak kullanılır. Kerberoasting saldırıları, saldırganların anahtar verme sunucusu (TGS) biletlerini almaya çalıştığı Güvenlik Asıl Adlarının (SPN) hedef listesini almak için kullanılır.

• Özellik geliştirme: Hesap numaralandırması keşfi (NTLM) uyarısı
  Ek analiz kullanılarak geliştirilmiş Hesap numaralandırması keşfi (NTLM) uyarısı ve B-TP ve FP uyarı sonuçlarını azaltmak için geliştirilmiş algılama mantığı.

• Özellik geliştirme: Ağ eşleme keşfi (DNS) uyarısı
  Ağ eşleme keşfi (DNS) uyarılarına yeni tür algılamalar eklendi. Azure ATP, şüpheli AXFR isteklerini algılamaya ek olarak, artık aşırı sayıda istek kullanarak DNS dışı sunuculardan kaynaklanan şüpheli istek türlerini algılar.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.66

Yayın tarihi: 17 Şubat 2019

• Özellik geliştirmesi: Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı) uyarısı
  Düzeltilmiş bir açıklama, ek kaynak bilgilerinin sağlanması, yeni bilgi grafiği ve daha fazla kanıt dahil olmak üzere bu güvenlik uyarısını kullanılabilirlik iyileştirmeleri yapılmıştır. Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltması) güvenlik uyarıları hakkında daha fazla bilgi edinin.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.65

Yayın tarihi: 10 Şubat 2019

• Yeni güvenlik uyarısı: Şüpheli NTLM geçiş saldırısı (Exchange hesabı) – (önizleme)
  Azure ATP'nin Şüpheli NTLM geçiş saldırısı (Exchange hesabı) - önizleme güvenlik uyarısı artık genel önizleme aşamasındadır. Bu algılamada, şüpheli bir kaynaktan Exchange hesabı kimlik bilgilerinin kullanımı belirlendiğinde bir Azure ATP güvenlik uyarısı tetikleniyor. Bu tür saldırılar, etki alanı denetleyicisi değişim ayrıcalıkları kazanmak için NTLM geçiş tekniklerinden yararlanmaya çalışır ve ExchangePriv olarak bilinir. 31 Ocak 2019'da yayımlanan ADV190007 danışmanlığından ve Azure ATP uyarı yanıtındanExchangePriv tekniği hakkında daha fazla bilgi edinin.

• Genel kullanılabilirlik: DNS üzerinden uzaktan kod yürütme
  Bu uyarı artık GA'dadır (genel kullanılabilirlik). Daha fazla bilgi ve uyarı özellikleri için DNS uyarı açıklaması üzerinden uzaktan kod yürütme sayfasına bakın.

• Genel kullanılabilirlik: SMB üzerinden veri sızdırma
  Bu uyarı artık GA'dadır (genel kullanılabilirlik). Daha fazla bilgi ve uyarı özellikleri için SMB üzerinden veri sızdırma uyarı açıklaması sayfasına bakın.

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.64

Yayın tarihi: 4 Şubat 2019

• Genel kullanılabilirlik: Şüpheli Altın Bilet kullanımı (bilet anomalisi)
  Bu uyarı artık GA'dadır (genel kullanılabilirlik). Daha fazla bilgi ve uyarı özellikleri için Şüpheli Altın Bilet kullanımı (bilet anomalisi) uyarı açıklaması sayfasına bakın.

• Özellik geliştirme: Ağ eşleme keşfi (DNS)
  Hatalı pozitif sonuçları ve uyarı gürültüsünü en aza indirmek için bu uyarı için dağıtılan uyarı algılama mantığı iyileştirildi. Artık bu uyarının ilk kez tetiklenecek olması için sekiz günlük bir öğrenme süresi vardır. Bu uyarı hakkında daha fazla bilgi için bkz . Ağ eşleme keşfi (DNS) uyarı açıklaması sayfası.

  Bu uyarının geliştirilmesi nedeniyle ilk yapılandırma sırasında Azure ATP bağlantısını test etmek için nslookup yöntemi artık kullanılmamalıdır.

• Özellik geliştirmesi:
  Bu sürüm, yeniden tasarlanan uyarı sayfalarını ve daha iyi uyarı araştırması sağlayan yeni kanıtları içerir.

  • Şüpheli deneme yanılma saldırısı (SMB)
  • Şüpheli Altın Bilet kullanımı (zaman anomalisi) uyarı açıklaması sayfası
  • Karma üst geçit saldırısı (Kerberos) olduğundan şüphelenildi
  • Metasploit hackleme çerçevesinin kullanımından şüphelenilenler
  • Şüpheli WannaCry fidye yazılımı saldırısı

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Ocak 2019

Azure ATP sürüm 2.63

Yayın tarihi: 27 Ocak 2019

• Yeni özellik: Güvenilmeyen orman desteği – (önizleme)
  Azure ATP'nin güvenilmeyen ormanlardaki algılayıcılara yönelik desteği artık genel önizleme aşamasındadır. Azure ATP portalı Dizin hizmetleri sayfasından, Azure ATP algılayıcılarının farklı Active Directory ormanlarına bağlanmasını sağlamak için ek kimlik bilgileri kümeleri yapılandırın ve Azure ATP hizmetine geri rapor edin. Daha fazla bilgi edinmek için bkz. Azure ATP çoklu ormanı .

• Yeni özellik: Etki alanı denetleyicisi kapsamı
  Azure ATP artık Azure ATP tarafından izlenen etki alanı denetleyicileri için kapsam bilgileri sağlar.
  Azure ATP portalı Algılayıcılar sayfasında, ortamınızda Azure ATP tarafından algılanan izlenen ve izlenmeyen etki alanı denetleyicilerinin sayısını görüntüleyin. Daha fazla analiz yapmak ve eylem planı oluşturmak için izlenen etki alanı denetleyicisi listesini indirin. Daha fazla bilgi edinmek için Etki alanı denetleyicisi izleme nasıl yapılır kılavuzuna bakın.

• Özellik geliştirmesi: Hesap numaralandırma keşfi
  Azure ATP hesap numaralandırması keşfi algılaması artık Kerberos ve NTLM kullanarak numaralandırma girişimleri için uyarıları algılar ve yayımlar. Daha önce algılama yalnızca Kerberos kullanan girişimler için çalışıyordu. Daha fazla bilgi edinmek için bkz. Azure ATP keşif uyarıları .

• Özellik geliştirme: Uzaktan kod yürütme girişimi uyarısı

  • Hizmet oluşturma, WMI yürütme ve yeni PowerShell yürütme gibi tüm uzaktan yürütme etkinlikleri hedef makinenin profil zaman çizelgesine eklendi. Hedef makine, komutun yürütüleceği etki alanı denetleyicisidir.
  • PowerShell yürütmesi, varlık profili uyarı zaman çizelgesinde listelenen uzak kod yürütme etkinlikleri listesine eklendi.
  • Daha fazla bilgi edinmek için bkz. Uzaktan kod yürütme girişimi .

• Windows Server 2019 LSASS sorunu ve Azure ATP
  Windows Server 2019 çalıştıran etki alanı denetleyicileriyle Azure ATP kullanımıyla ilgili müşteri geri bildirimlerine yanıt olarak, bu güncelleştirme Windows Server 2019 makinelerinde bildirilen davranışı tetiklememek için ek mantık içerir. Windows Server 2019'da Azure ATP algılayıcısı için tam destek gelecekteki bir Azure ATP güncelleştirmesi için planlanır, ancak Windows Server 2019'da Azure ATP'yi yükleme ve çalıştırma şu anda desteklenmemektedir. Daha fazla bilgi edinmek için bkz. Azure ATP algılayıcı gereksinimleri .

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.62

Yayın tarihi: 20 Ocak 2019

• Yeni güvenlik uyarısı: DNS üzerinden uzaktan kod yürütme – (önizleme)
  Azure ATP'nin DNS güvenlik uyarısı üzerinden uzaktan kod yürütmesi artık genel önizleme aşamasındadır. Bu algılamada, cve-2018-8626 güvenlik açığından yararlanıldığından şüphelenilen DNS sorguları ağdaki bir etki alanı denetleyicisine karşı yapıldığında bir Azure ATP güvenlik uyarısı tetiklenir.

• Özellik Geliştirmesi: 72 saat gecikmeli sensör güncelleştirmesi
  Azure ATP'nin her yayın güncelleştirmesinin ardından seçilen algılayıcı güncelleştirmelerini 72 saat (önceki 24 saatlik gecikme yerine) geciktirme seçeneği değiştirildi. Yapılandırma yönergeleri için bkz. Azure ATP algılayıcı güncelleştirmesi .

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.61

Yayın tarihi: 13 Ocak 2019

• Yeni Güvenlik Uyarısı: SMB üzerinden veri sızdırma - (önizleme)
  Azure ATP'nin SMB güvenlik uyarısı üzerinden veri sızdırması artık genel önizleme aşamasındadır. Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. Saldırganlar KRBTGT hesabını kullanarak herhangi bir kaynağa yetkilendirme sağlayan bir Kerberos anahtarı (TGT) oluşturabilir.

• Özellik Geliştirme: Uzaktan kod yürütme girişimi güvenlik uyarısı
  Uyarının anlaşılmasını kolaylaştırmaya ve daha iyi araştırma iş akışları sağlamaya yardımcı olmak için yeni bir uyarı açıklaması ve ek kanıt eklendi.

• Özellik Geliştirme: DNS sorgu mantıksal etkinlikleri
  Azure ATP tarafından izlenen etkinlikleretxt, MX, NS, SRV, ANY, DNSKEY gibi ek sorgu türleri eklendi.

• Özellik Geliştirmesi: Şüpheli Altın Bilet kullanımı (bilet anomalisi) ve Şüpheli Altın Bilet kullanımı (var olmayan hesap)
  FP uyarılarının sayısını azaltmak ve daha doğru sonuçlar sunmak için her iki uyarıya da geliştirilmiş algılama mantığı uygulandı.

• Özellik Geliştirme: Azure ATP Güvenlik Uyarısı belgeleri
  Azure ATP güvenlik uyarısı belgeleri daha iyi uyarı açıklamaları, daha doğru uyarı sınıflandırmaları ve kanıt, düzeltme ve önleme açıklamalarını içerecek şekilde geliştirilmiş ve genişletilmiştir. Aşağıdaki bağlantıları kullanarak yeni güvenlik uyarısı belge tasarımı hakkında bilgi edinin:

  • Azure ATP Güvenlik Uyarıları
  • Güvenlik uyarılarını anlama
    • Keşif aşaması uyarıları
    • Güvenliği aşılmış kimlik bilgisi aşaması uyarıları
    • Yanal hareket aşaması uyarıları
    • Etki alanı hakimiyeti aşaması uyarıları
    • Sızdırma aşaması uyarıları
  • Bilgisayarı araştırma
  • Kullanıcıyı araştırma

• Bu sürüm ayrıca iç algılayıcı altyapısına yönelik iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.60

Yayın tarihi: 6 Ocak 2019

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Aralık 2018

Azure ATP sürüm 2.59

Yayın tarihi: 16 Aralık 2018

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.58

Yayın tarihi: 9 Aralık 2018

• Güvenlik Uyarısı Geliştirmesi: Olağan Dışı Protokol Uygulaması uyarı bölme
  Azure ATP'nin daha önce 1 externalId (2002) paylaşan Sıra dışı Protokol Uygulama güvenlik uyarıları serisi, artık karşılık gelen benzersiz bir dış kimlikle dört farklı uyarıya bölünmüştür.

Yeni uyarı externalId'leri

Yeni güvenlik uyarısı adı	Önceki güvenlik uyarısı adı	Benzersiz dış kimlik
Şüpheli deneme yanılma saldırısı (SMB)	Olağan dışı protokol uygulaması (Hydra gibi kötü amaçlı araçların olası kullanımı)	2033
Karma üst geçit saldırısı (Kerberos) olduğundan şüphelenildi	Olağan dışı Kerberos protokolü uygulaması (olası karma üst geçiş saldırısı)	2002
Metasploit hackleme çerçevesinin kullanımından şüphelenilenler	Olağan dışı protokol uygulaması (Metasploit korsanlık araçlarının olası kullanımı)	2034
Şüpheli WannaCry fidye yazılımı saldırısı	Olağan dışı protokol uygulaması (olası WannaCry fidye yazılımı saldırısı)	2035

• Yeni izlenen etkinlik: SMB aracılığıyla dosya kopyalama
  SMB kullanarak dosyaların kopyalanması artık izlenen ve filtrelenebilir bir etkinliktir. Azure ATP'nin hangi etkinlikleri izlediği ve portalda izlenen etkinlikleri nasıl filtreleyip arayacağınızı öğrenin.

• Büyük YanAl Hareket Yolu görüntü geliştirmesi
  Büyük yanal hareket yollarını görüntülerken Azure ATP artık diğer düğümleri bulanıklaştırmak yerine yalnızca seçili bir varlığa bağlı düğümleri vurgular. Bu değişiklik, büyük LMP işleme hızında önemli bir gelişme sağlar.

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Azure ATP sürüm 2.57

Yayın tarihi: 2 Aralık 2018

• Yeni Güvenlik Uyarısı: Şüpheli Altın bilet kullanımı - bilet anomalisi (önizleme)
  Azure ATP'nin Şüpheli Altın Bilet kullanımı - bilet anomalisi güvenlik uyarısı artık genel önizleme aşamasındadır. Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. Saldırganlar KRBTGT hesabını kullanarak herhangi bir kaynağa yetkilendirme sağlayan bir Kerberos anahtarı (TGT) oluşturabilir.

  Bu sahte TGT, saldırganların kalıcı ağ kalıcılığı elde etmesine olanak tanıdığından "Altın Anahtar" olarak adlandırılır. Bu tür sahte Altın Biletler, bu yeni algılamanın tanımlamak için tasarlandığı benzersiz özelliklere sahiptir.

• Özellik Geliştirmesi: Otomatik Azure ATP örneği (örnek) oluşturma
  Bugünden itibaren Azure ATP örnekleri Azure ATP örnekleri olarak yeniden adlandırılıyor. Azure ATP artık Azure ATP hesabı başına bir Azure ATP örneğini destekliyor. Yeni müşteriler için örnekler , Azure ATP portalındaki örnek oluşturma sihirbazı kullanılarak oluşturulur. Mevcut Azure ATP örnekleri, bu güncelleştirmeyle otomatik olarak Azure ATP örneklerine dönüştürülür.

  • Azure ATP örneğinizi oluşturarak daha hızlı dağıtım ve koruma için basitleştirilmiş örnek oluşturma.
  • Tüm veri gizliliği ve uyumluluğu aynı kalır.

  Azure ATP örnekleri hakkında daha fazla bilgi edinmek için bkz. Azure ATP örneğinizi oluşturma.

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

Kasım 2018

Azure ATP sürüm 2.56

Yayın tarihi: 25 Kasım 2018

• Özellik Geliştirmesi: YanAl Hareket Yolları (LMP' ler)
  Azure ATP YanAl Hareket Yolu (LMP) özelliklerini geliştirmek için iki ek özellik eklenir:

  • LMP geçmişi artık varlık başına ve LMP raporları kullanılırken kaydedilir ve bulunabilir.
  • Etkinlik zaman çizelgesi aracılığıyla LMP'deki bir varlığı takip edin ve olası saldırı yollarını bulmak için sağlanan ek kanıtları kullanarak araştırma yapın.

  Gelişmiş LMP'leri kullanma ve araştırma hakkında daha fazla bilgi edinmek için bkz. Azure ATP YanAl Hareket Yolları .

• Belge geliştirmeleri: YanAl Taşıma Yolları, Güvenlik Uyarısı adları
  YanAl Hareket Yolu açıklamalarını ve özelliklerini açıklayan Azure ATP makalelerine eklemeler ve güncelleştirmeler yapıldı, yeni adlara ve externalId'lere eski güvenlik uyarısı adlarının tüm örnekleri için ad eşlemesi eklendi.

  • Daha fazla bilgi edinmek için bkz. Azure ATP YanAl Hareket Yolları, YanAl Hareket Yollarını Araştırma ve Güvenlik Uyarısı Kılavuzu .

• Bu sürüm, iç algılayıcı altyapısı için iyileştirmeler ve hata düzeltmeleri içerir.

2.55 sürümünden önceki (ve dahil) her Kimlik için Defender sürümünün ayrıntıları için bkz. Kimlik için Defender sürüm başvurusu.

Sonraki adımlar