Новые возможности архива для Microsoft Defender для удостоверений

В этой статье перечислены Microsoft Defender для удостоверений заметки о выпуске версий и компонентов, выпущенных более 6 месяцев назад.

Сведения о последних версиях и функциях см. в статье Новые возможности Microsoft Defender для удостоверений.

Июль 2023

Defender для удостоверений, выпуск 2.209

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Поиск групп Active Directory в Microsoft Defender XDR (предварительная версия)

Теперь Microsoft Defender XDR глобальный поиск поддерживает поиск по имени группы Active Directory. Все найденные группы отображаются в результатах на отдельной вкладке Группы . Выберите группу Active Directory в результатах поиска, чтобы просмотреть дополнительные сведения, в том числе:

Например:

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений в Microsoft Defender XDR.

Новые отчеты о состоянии безопасности

Оценки безопасности удостоверений Defender для удостоверений позволяют заблаговременно обнаруживать и рекомендовать действия в конфигурациях локальная служба Active Directory.

В Microsoft Secure Score теперь доступны следующие новые оценки состояния безопасности:

• Удаление прав доступа для подозрительных учетных записей с разрешением АДМИНИСТРАТОР SDHolder
• Удаление учетных записей, не являющихся администраторами, с разрешениями DCSync
• Удаление локальных администраторов в ресурсах удостоверений
• Запуск развертывания Defender для удостоверений

Дополнительные сведения см. в статье Оценки состояния безопасности Microsoft Defender для удостоверений.

Автоматическое перенаправление для классического портала Defender для удостоверений

Интерфейс и функциональность портала Microsoft Defender для удостоверений интегрированы в платформу расширенного обнаружения и реагирования (XDR) Корпорации Майкрософт, Microsoft Defender XDR. С 6 июля 2023 г. клиенты, использующие классический портал Defender для удостоверений, автоматически перенаправляются на Microsoft Defender XDR без возможности отменить изменения обратно на классический портал.

Дополнительные сведения см. в записи блога и Microsoft Defender для удостоверений в Microsoft Defender XDR.

Скачивание и планирование отчетов Defender для удостоверений в Microsoft Defender XDR (предварительная версия)

Теперь вы можете скачивать и планировать периодические отчеты Defender для удостоверений на портале Microsoft Defender, создавая четность функций отчетов с классическим классическим порталом Defender для удостоверений.

Скачайте и запланируйте отчеты в Microsoft Defender XDR на странице Управление отчетами параметров > удостоверения>. Например:

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений отчетов в Microsoft Defender XDR.

Defender для удостоверений, выпуск 2.208

• Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.207

• Эта версия предоставляет новый параметр установки AccessKeyFile . Используйте параметр AccessKeyFile во время автоматической установки датчика Defender для удостоверений, чтобы задать ключ доступа рабочей области из предоставленного текстового пути. Дополнительные сведения см. в разделе Установка датчика Microsoft Defender для удостоверений.

• Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

2023 июня

Defender для удостоверений, выпуск 2.206

• Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Расширенная охота с помощью расширенной таблицы IdentityInfo

• Для клиентов с развернутой защитой для удостоверений таблица расширенной охоты microsoft 365 IdentityInfo теперь содержит больше атрибутов для каждого удостоверения и удостоверений, обнаруженных датчиком Defender для удостоверений из локальной среды.

Дополнительные сведения см. в документации по Microsoft Defender XDR расширенной охоты.

Defender для удостоверений, выпуск 2.205

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2023

Расширенные функции контроля учетных записей Active Directory

На странице сведений о пользователе Microsoft Defender XDR Identity> теперь содержатся новые данные управления учетными записями Active Directory.

На вкладке Обзор сведений о пользователях мы добавили новые элементы управления учетными записями Active Directory карта, чтобы выделить важные параметры безопасности и элементы управления Active Directory. Например, используйте этот карта, чтобы узнать, может ли конкретный пользователь обходить требования к паролю или имеет пароль, срок действия которого никогда не истекает.

Например:

Дополнительные сведения см. в документации по атрибуту User-Account-Control .

Defender для удостоверений, выпуск 2.204

Выпущено 29 мая 2023 г.

• Новое оповещение о работоспособности для сбоев приема данных интеграции VPN (radius). Дополнительные сведения см. в разделе оповещения о работоспособности датчиков Microsoft Defender для удостоверений.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.203

Выпущено 15 мая 2023 г.

• Новое оповещение о работоспособности для проверки правильности настройки аудита контейнеров ADFS. Дополнительные сведения см. в разделе оповещения о работоспособности датчиков Microsoft Defender для удостоверений.

• На странице удостоверений Microsoft Defender 365 содержатся обновления пользовательского интерфейса для интерфейса пути бокового смещения. Функциональные возможности не были изменены. Дополнительные сведения см. в статье Общие сведения о путях бокового перемещения (LMP) с помощью Microsoft Defender для удостоверений.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Усовершенствования временная шкала удостоверений

Вкладка "Временная шкала удостоверений" теперь содержит новые и улучшенные функции. С помощью обновленного временная шкала теперь можно выполнять фильтрацию по типу действия, протоколу и расположению в дополнение к исходным фильтрам. Вы также можете экспортировать временная шкала в CSV-файл и найти дополнительные сведения о действиях, связанных с MITRE ATT&методами CK. Дополнительные сведения см. в статье Исследование пользователей в Microsoft Defender XDR.

Настройка оповещений в Microsoft Defender XDR

Настройка оповещений, теперь доступна в Microsoft Defender XDR, позволяет настраивать оповещения и оптимизировать их. Настройка оповещений сокращает количество ложных срабатываний, позволяет командам SOC сосредоточиться на высокоприоритетных оповещениях и улучшает охват обнаружения угроз в вашей системе.

В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правил, который соответствует вашим условиям. Дополнительные сведения см. в разделе Настройка оповещения.

Апрель 2023 г.

Defender для удостоверений, выпуск 2.202

Выпущено 23 апреля 2023 г.

• Новое оповещение о работоспособности для проверки правильности настройки аудита контейнера конфигурации служб каталогов, как описано на странице оповещений о работоспособности.
• Новые рабочие области для клиентов AD, сопоставленных с Новой Зеландией, создаются в регионе Восточная Австралия. Самый актуальный список региональных развертываний см. в разделе Компоненты Defender для удостоверений.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2023 г.

Defender для удостоверений, выпуск 2.201

Выпущено 27 марта 2023 г.

• Мы отключаем оповещение SAM-R honeytoken. Хотя эти типы учетных записей никогда не должны быть доступны или запрашиваются, некоторые устаревшие системы могут использовать эти учетные записи в рамках своих регулярных операций. Если эта функция вам необходима, вы всегда можете создать расширенный запрос охоты и использовать его в качестве пользовательского обнаружения. Мы также рассмотрим оповещение LDAP honeytoken в течение ближайших недель, но пока остается функциональным.

• Исправлены проблемы с логикой обнаружения в оповещении о работоспособности аудита объектов служб каталогов для операционных систем, отличных от английского языка, и для Windows 2012 со схемами служб каталогов, предшествующими версии 87.

• Мы удалили предварительные требования для настройки учетной записи служб каталогов для запуска датчиков. Дополнительные сведения см. в статье рекомендации по учетным записям службы каталогов Microsoft Defender для удостоверений.

• Нам больше не требуется ведение журнала событий 1644. Если этот параметр реестра включен, его можно удалить. Дополнительные сведения см. в разделе Идентификатор события 1644.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.200

Выпущено 16 марта 2023 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.199

Выпущено 5 марта 2023 г.

• Некоторые исключения для Honeytoken, запрашиваемые через оповещение SAM-R, не работали должным образом. В этих случаях оповещения активировались даже для исключенных сущностей. Эта ошибка исправлена.

• Обновлено имя протокола NTLM для таблиц Расширенной охоты на удостоверения. Старое имя Ntlm протокола теперь отображается в качестве нового имени NTLM протокола в таблицах удостоверений расширенной охоты: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Если в настоящее время вы используете Ntlm протокол в формате с учетом регистра из таблиц событий удостоверений, его следует изменить на NTLM.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2023 г.

Defender для удостоверений, выпуск 2.198

Выпущено 15 февраля 2023 г.

• Временная шкала удостоверений теперь доступна как часть новой страницы удостоверений в Microsoft Defender XDR: обновленная страница пользователя в Microsoft Defender XDR теперь имеет новый внешний вид с расширенным представлением связанных ресурсов и новой выделенной вкладкой временная шкала. Временная шкала представляет действия и оповещения за последние 30 дней и объединяет записи удостоверений пользователя во всех доступных рабочих нагрузках (Defender для удостоверений,Defender for Cloud Apps/Defender для конечной точки). Используя временная шкала, вы можете легко сосредоточиться на действиях, которые пользователь выполнил (или выполнял на них) в определенные сроки. Дополнительные сведения см. в статье Исследование пользователей в Microsoft Defender XDR

• Дальнейшие улучшения оповещений honeytoken. В выпуске 2.191 мы представили несколько новых сценариев оповещения о действиях honeytoken.

  На основе отзывов клиентов мы решили разделить оповещение о действиях honeytoken на пять отдельных оповещений:

  • Пользователь Honeytoken был запрошен через SAM-R.
  • Пользователь Honeytoken был запрошен через LDAP.
  • Действие проверки подлинности пользователя Honeytoken
  • Атрибуты пользователя Honeytoken были изменены.
  • Изменено членство в группах Honeytoken.

  Кроме того, мы добавили исключения для этих оповещений, предоставляя настраиваемый интерфейс для вашей среды.

  Мы с нетерпением ждем ваших отзывов, чтобы мы могли продолжать совершенствоваться.

• Новое оповещение системы безопасности. Подозрительное использование сертификата по протоколу Kerberos (PKINIT).Многие методы злоупотребления службами сертификатов Active Directory (AD CS) связаны с использованием сертификата на определенном этапе атаки. Microsoft Defender для удостоверений теперь оповещает пользователей при обнаружении таких подозрительных сертификатов. Такой подход к мониторингу поведения обеспечивает комплексную защиту от атак AD CS, вызывая оповещение при попытке проверки подлинности подозрительного сертификата в контроллере домена с установленным датчиком Defender для удостоверений. Дополнительные сведения см. в статье Microsoft Defender для удостоверений теперь обнаруживает подозрительное использование сертификатов.

• Автоматическое прерывание атак. Defender для удостоверений теперь работает вместе с Microsoft Defender XDR, чтобы предложить автоматическое прерывание атаки. Эта интеграция означает, что для сигналов, поступающих от Microsoft Defender XDR, можно активировать действие Отключить пользователя. Эти действия инициируются сигналами XDR с высокой точностью в сочетании с аналитическими сведениями, полученными в ходе непрерывного исследования тысяч инцидентов исследовательскими группами Майкрософт. Действие приостанавливает скомпрометированную учетную запись пользователя в Active Directory и синхронизирует эти сведения с Microsoft Entra ID. Дополнительные сведения об автоматическом прерывании атаки см. в записи блога от Microsoft Defender XDR.

  Вы также можете исключить определенных пользователей из действий автоматического реагирования. Дополнительные сведения см. в разделе Настройка исключений автоматического ответа Defender для удостоверений.

• Удалить период обучения. Оповещения, созданные Defender для удостоверений, основаны на различных факторах, таких как профилирование, детерминированное обнаружение, машинное обучение и алгоритмы поведения, которые он узнал о вашей сети. Полный процесс обучения Defender для удостоверений может занять до 30 дней на контроллер домена. Однако могут возникать случаи, когда вы хотите получать оповещения еще до завершения полного процесса обучения. Например, при установке нового датчика на контроллере домена или при оценке продукта может потребоваться немедленно получать оповещения. В таких случаях вы можете отключить период обучения для затронутых оповещений, включив функцию Удалить период обучения . Дополнительные сведения см. в статье Advanced settings.

• Новый способ отправки оповещений в M365D. Год назад мы объявили, что все возможности Microsoft Defender для удостоверений доступны на портале Microsoft Defender. Наш основной конвейер оповещений постепенно переходит с Defender для удостоверений > Defender for Cloud Apps > Microsoft Defender XDR на Defender для удостоверений > Microsoft Defender XDR. Такая интеграция означает, что обновления состояния в Defender for Cloud Apps не будут отражены в Microsoft Defender XDR и наоборот. Это изменение должно значительно сократить время, необходимое для отображения оповещений на портале Microsoft Defender. В рамках этой миграции все политики Defender для удостоверений больше не будут доступны на портале Defender for Cloud Apps с 5 марта. Как всегда, мы рекомендуем использовать портал Microsoft Defender для всех возможностей Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2023 г.

Defender для удостоверений, выпуск 2.197

Выпущено 22 января 2023 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.196

Выпущено 10 января 2023 г.

• Новое оповещение о работоспособности для проверки правильности настройки аудита объектов служб каталогов, как описано на странице оповещений о работоспособности.

• Новое оповещение о работоспособности для проверки оптимальной производительности параметров питания датчика, как описано на странице оповещений о работоспособности.

• Мы добавили сведения о MITRE ATT&CK в таблицы IdentityLogonEvents, IdentityDirectoryEvents и IdentityQueryEvents в Microsoft Defender XDR Advanced Hunting. В столбце AdditionalFields можно найти сведения о методах атаки и тактике (категория), связанных с некоторыми из наших логических действий.

• Так как все основные функции Microsoft Defender для удостоверений теперь доступны на портале Microsoft Defender, параметр перенаправления портала автоматически включается для каждого клиента с 31 января 2023 г. Дополнительные сведения см. в статье Перенаправление учетных записей из Microsoft Defender для удостоверений в Microsoft Defender XDR.

Декабрь 2022 г.

Defender для удостоверений, выпуск 2.195

Выпущено 7 декабря 2022 г.

• Центры обработки данных Defender для удостоверений теперь также развернуты в регионе Восточная Австралия. Самый актуальный список региональных развертываний см. в разделе Компоненты Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2022 г.

Defender для удостоверений, выпуск 2.194

Выпущено 10 ноября 2022 г.

• Новое оповещение о работоспособности для проверки правильности настройки расширенного аудита служб каталогов, как описано на странице оповещений о работоспособности.

• Некоторые изменения, внесенные в Defender для удостоверений версии 2.191 , касающиеся оповещений honeytoken, были включены неправильно. Эти проблемы устранены.

• С конца ноября ручная интеграция с Microsoft Defender для конечной точки больше не поддерживается. Однако настоятельно рекомендуется использовать портал Microsoft Defender (https://security.microsoft.com), который имеет встроенную интеграцию.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Октябрь 2022

Defender для удостоверений, выпуск 2.193

Выпущено 30 октября 2022 г.

• Новое оповещение системы безопасности: аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с использованием подозрительного сертификата
  Этот новый метод связан с печально известным субъектом NOBELIUM и был назван "MagicWeb" - он позволяет злоумышленнику имплантировать backdoor на скомпрометированных серверах AD FS, что позволит олицетворение любого пользователя домена и, следовательно, доступ к внешним ресурсам. Дополнительные сведения об этой атаке см. в этой записи блога.

• Defender для удостоверений теперь может использовать учетную запись LocalSystem на контроллере домена для выполнения действий по исправлению (включение и отключение пользователя, принудительный сброс пароля пользователя) в дополнение к параметру gMSA, который был доступен ранее. Это обеспечивает готовую поддержку действий по исправлению. Дополнительные сведения см. в статье учетные записи действий Microsoft Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.192

Выпущено 23 октября 2022 г.

• Новое оповещение о работоспособности для проверки включения аудита NTLM, как описано на странице оповещений о работоспособности.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2022 г.

Defender для удостоверений, выпуск 2.191

Выпущено 19 сентября 2022 г.

• Дополнительные действия по активации оповещений honeytoken
  Microsoft Defender для удостоверений позволяет определять учетные записи honeytoken, которые используются в качестве ловушек для злоумышленников. Любая проверка подлинности, связанная с этими учетными записями honeytoken (обычно неактивная), активирует оповещение о действиях honeytoken (внешний идентификатор 2014). Впервые для этой версии любой запрос LDAP или SAMR к этим учетным записям honeytoken активирует оповещение. Кроме того, если выполняется аудит события 5136, оповещение будет срабатывать при изменении одного из атрибутов honeytoken или при изменении членства в группе honeytoken.

Дополнительные сведения см. в разделе Настройка коллекции событий Windows.

Defender для удостоверений, выпуск 2.190

Выпущено 11 сентября 2022 г.

• Обновленная оценка: небезопасные конфигурации домена
  Оценка небезопасной конфигурации домена, доступная с помощью microsoft Secure Score, теперь оценивает конфигурацию политики подписывания LDAP контроллера домена и оповещает, если обнаруживает небезопасную конфигурацию. Дополнительные сведения см. в статье Оценка безопасности: небезопасные конфигурации домена.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.189

Выпущено 4 сентября 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2022 г.

Defender для удостоверений, выпуск 2.188

Выпущено 28 августа 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.187

Выпущено 18 августа 2022 г.

• Мы изменили некоторые логики, лежащие в основе того, как мы запускаем оповещение о предполагаемой атаке DCSync (репликация служб каталогов) (внешний идентификатор 2006). Этот детектор теперь охватывает случаи, когда исходный IP-адрес, видимый датчиком, представляется устройством NAT.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.186

Выпущено 10 августа 2022 г.

• Оповещения о работоспособности теперь будут отображать полное доменное имя (FQDN) датчика вместо netBIOS-имени.

• Новые оповещения о работоспособности доступны для записи типа и конфигурации компонентов, как описано на странице оповещений о работоспособности.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2022 г.

Defender для удостоверений, выпуск 2.185

Выпущено 18 июля 2022 г.

• Исправлена проблема, из-за которой предполагаемое использование Golden Ticket (несуществующая учетная запись) (внешний идентификатор 2027) ошибочно обнаруживал устройства macOS.

• Действия пользователя. Мы решили разделить действие Отключить пользователя на странице пользователя на два разных действия:

  • Отключить пользователя — отключает пользователя на уровне Active Directory.
  • Приостановка пользователя— отключает пользователя на уровне Microsoft Entra ID

  Мы понимаем, что время, затрачиваемое на синхронизацию из Active Directory в Microsoft Entra ID, может иметь решающее значение, поэтому теперь вы можете отключить пользователей один за другим, чтобы удалить зависимость от самой синхронизации. Обратите внимание, что пользователь, отключенный только в Microsoft Entra ID, будет перезаписан Active Directory, если пользователь по-прежнему активен там.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.184

Выпущено 10 июля 2022 г.

• Новые оценки безопасности
  Defender для удостоверений теперь включает следующую новую оценку безопасности:

  • Небезопасные конфигурации домена
    Microsoft Defender для удостоверений постоянно отслеживает среду, чтобы определить домены со значениями конфигурации, которые подвергаются риску безопасности, и отчеты об этих доменах, чтобы помочь вам защитить среду. Дополнительные сведения см. в статье Оценка безопасности: небезопасные конфигурации домена.

• Пакет установки Defender для удостоверений теперь установит компонент Npcap вместо драйверов WinPcap. Дополнительные сведения см. в статье Драйверы WinPcap и Npcap.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июнь 2022 г.

Defender для удостоверений, выпуск 2.183.15436.10558 (исправление)

Выпущено 20 июня 2022 г. (обновлено 4 июля 2022 г.)

• Новое оповещение системы безопасности: предполагаемая атака DFSCoerce с использованием протокола распределенной файловой системы
  В ответ на публикацию недавнего средства атаки, использующее поток в протоколе DFS, Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник использует этот метод атаки. Дополнительные сведения об этой атаке см. в записи блога.

Defender для удостоверений, выпуск 2.183

Выпущено 20 июня 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.182

Выпущено 4 июня 2022 г.

• Доступна новая страница "О программе" для Defender для удостоверений. Его можно найти на портале Microsoft Defender в разделе Параметры ->Удостоверения ->О программе. Он содержит несколько важных сведений об экземпляре Defender для удостоверений, включая имя экземпляра, версию, идентификатор и географическое расположение экземпляра. Эти сведения могут быть полезны при устранении неполадок и открытии запросов в службу поддержки.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2022 г.

Defender для удостоверений, выпуск 2.181

Выпущено 22 мая 2022 г.

• Теперь вы можете выполнять действия по исправлению непосредственно в локальных учетных записях с помощью Microsoft Defender для удостоверений.

  • Отключить пользователя — это временно не позволит пользователю войти в сеть. Это может помочь предотвратить скомпрометированные пользователи от бокового перемещения и попытки эксфильтрации данных или дальнейшего компрометации сети.
  • Сброс пароля пользователя — при следующем входе пользователю будет предложено изменить пароль, что гарантирует, что эту учетную запись нельзя будет использовать для дальнейших попыток олицетворения.

  Эти действия можно выполнять из нескольких расположений в Microsoft Defender XDR: страницы пользователя, боковой панели страницы пользователя, расширенной охоты и даже пользовательского обнаружения. Для этого необходимо настроить привилегированную учетную запись gMSA, которую Microsoft Defender для удостоверений будет использовать для выполнения действий. Дополнительные сведения о требованиях см. в разделе учетные записи действий Microsoft Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.180

Выпущено 12 мая 2022 г.

• Новое оповещение системы безопасности: подозрительное изменение атрибута dNSHostName (CVE-2022-26923)
  В ответ на публикацию недавнего CVE Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать CVE-2022 -26923. Дополнительные сведения об этой атаке см. в записи блога.

• В версии 2.177 мы выпустили дополнительные действия LDAP, которые могут быть охвачены Defender для удостоверений. Однако мы обнаружили ошибку, которая приводила к тому, что события не отображаются и не будут приниматься на портале Defender для удостоверений. Это исправлено в этом выпуске. Начиная с версии 2.180, при включении события с идентификатором 1644 вы не только получаете видимость действий LDAP через веб-службы Active Directory, но и другие действия LDAP будут включать пользователя, выполнившего действие LDAP на исходном компьютере. Это относится к оповещениям системы безопасности и логическим действиям, основанным на событиях LDAP.

• В ответ на недавнюю эксплуатацию KrbRelayUp мы выпустили бесшумный детектор, чтобы помочь нам оценить наш ответ на эту эксплуатацию. Автоматический детектор позволит нам оценить эффективность обнаружения и собрать информацию на основе собираемых событий. Если это обнаружение будет отображаться в высоком качестве, мы выпустим новое оповещение системы безопасности в следующей версии.

• Мы переименовали удаленное выполнение кода через DNS на Удаленная попытка выполнения кода через DNS, так как она лучше отражает логику этих оповещений системы безопасности.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.179

Выпущено 1 мая 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Апрель 2022 г.

Defender для удостоверений, выпуск 2.178

Выпущено 10 апреля 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2022 г.

Defender для удостоверений, выпуск 2.177

Выпущено 27 марта 2022 г.

• Microsoft Defender для удостоверений теперь могут отслеживать дополнительные запросы LDAP в сети. Эти действия LDAP отправляются по протоколу веб-службы Active Directory и действуют как обычные запросы LDAP. Чтобы обеспечить видимость этих действий, необходимо включить событие 1644 на контроллерах домена. Это событие охватывает действия LDAP в вашем домене и в основном используется для выявления дорогостоящих, неэффективных или медленных поисков LDAP, обслуживаемых контроллерами домена Active Directory. Дополнительные сведения см. в разделе Устаревшие конфигурации.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.176

Выпущено 16 марта 2022 г.

• Начиная с этой версии, при установке датчика из нового пакета версия датчика в разделе Установка и удаление программ будет отображаться с полным номером версии (например, 2.176.x.y) в отличие от ранее показанного статического 2.0.0.0. Эта версия будет по-прежнему отображаться (установленная через пакет), даже если версия будет обновлена с помощью автоматических обновлений из облачных служб Defender для удостоверений. Реальную версию можно увидеть на странице параметров датчика на портале, в пути к исполняемому файлу или в версии файла.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.175

Выпущено 6 марта 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2022 г.

Defender для удостоверений, выпуск 2.174

Выпущено 20 февраля 2022 г.

• Мы добавили полное доменное имя shost учетной записи, участвуя в оповещении, в сообщение, отправленное в SIEM. Дополнительные сведения см. в статье справочник по журналам SIEM Microsoft Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.173

Выпущено 13 февраля 2022 г.

• Все функции Microsoft Defender для удостоверений теперь доступны на портале Microsoft Defender. Дополнительные сведения см. в этой записи блога.

• Этот выпуск устраняет проблемы при установке датчика на Windows Server 2019 с установленным KB5009557 или на сервере с защищенными разрешениями EventLog.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.172

Выпущено 8 февраля 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2022 г.

Defender для удостоверений, выпуск 2.171

Выпущено 31 января 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.170

Выпущено 24 января 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.169

Выпущено 17 января 2022 г.

• Мы рады выпустить возможность настройки учетной записи действий для Microsoft Defender для удостоверений. Это первый шаг в возможности выполнять действия с пользователями непосредственно из продукта. В качестве первого шага можно определить учетную запись gMSA, Microsoft Defender для удостоверений будет использоваться для выполнения действий. Мы настоятельно рекомендуем приступить к созданию этих пользователей, чтобы воспользоваться функцией Действий после ее запуска. Дополнительные сведения см. в разделе Управление учетными записями действий.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.168

Выпущено 9 января 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2021 г.

Defender для удостоверений, выпуск 2.167

Выпущено 29 декабря 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.166

Выпущено 27 декабря 2021 г.

• Версия включает новое оповещение системы безопасности: подозрительное изменение атрибута sAMNameAccount (cve-2021-42278 и CVE-2021-42287) (внешний идентификатор 2419).
  В ответ на публикацию последних CVEs Microsoft Defender для удостоверений будет активировать оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать CVE-2021-42278 и CVE-2021-42287. Дополнительные сведения об этой атаке см. в записи блога.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.165

Выпущено 6 декабря 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2021 г.

Defender для удостоверений, выпуск 2.164

Выпущено 17 ноября 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.163

Выпущено 8 ноября 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.162

Выпущено 1 ноября 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2021 г.

Defender для удостоверений, выпуск 2.161

Выпущено 12 сентября 2021 г.

• Версия включает в себя новые отслеживаемые действия: пароль учетной записи gMSA был получен пользователем. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений отслеживаемых действий.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2021 г.

Defender для удостоверений, выпуск 2.160

Выпущено 22 августа 2021 г.

• Версия включает различные улучшения и охватывает больше сценариев в соответствии с последними изменениями в эксплуатации PetitPotam.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.159

Выпущено 15 августа 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.
• Версия включает улучшение недавно опубликованного оповещения: подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).
  Мы расширили поддержку этого обнаружения, чтобы активировать, когда потенциальный злоумышленник обмен данными через зашифрованный EFS-RPCchannel. Оповещения, активированные при шифровании канала, будут рассматриваться как оповещение со средним уровнем серьезности, а не как "Высокий", если оно не зашифровано. Дополнительные сведения об оповещении см. в разделе Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).

Defender для удостоверений, выпуск 2.158

Выпущено 8 августа 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

• Версия включает новое оповещение системы безопасности: подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).
  В этом обнаружении Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать EFS-RPC в контроллере домена. Этот вектор атаки связан с недавней атакой PetitPotam. Дополнительные сведения об оповещении см. в разделе Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).

• Версия включает новое оповещение системы безопасности: Exchange Server удаленное выполнение кода (CVE-2021-26855) (внешний идентификатор 2414)
  В этом обнаружении Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник пытается изменить атрибут msExchExternalHostName в объекте Exchange для удаленного выполнения кода. Дополнительные сведения об этом оповещении см. в статье Exchange Server удаленное выполнение кода (CVE-2021-26855) (внешний идентификатор 2414). Это обнаружение зависит от события Windows 4662, поэтому его необходимо включить заранее. Сведения о настройке и сборе этого события см. в статье Настройка коллекции событий Windows и следуйте инструкциям в разделе Включение аудита для объекта Exchange.

Defender для удостоверений, выпуск 2.157

Выпущено 1 августа 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2021

Defender для удостоверений, выпуск 2.156

Выпущено 25 июля 2021 г.

• Начиная с этой версии, мы добавляем исполняемый файл драйвера Npcap в пакет установки датчика. Дополнительные сведения см. в статье Драйверы WinPcap и Npcap.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.155

Выпущено 18 июля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.154

Выпущено 11 июля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.
• Версия включает в себя дополнительные улучшения и обнаружения для использования очереди печати, известного как Обнаружение PrintNightmare, чтобы охватить дополнительные сценарии атак.

Defender для удостоверений, выпуск 2.153

Выпущено 4 июля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

• Версия включает новое оповещение системы безопасности: предполагаемая попытка использования службы очереди печати Windows (эксплуатация CVE-2021-34527) (внешний идентификатор 2415).

  В этом обнаружении Defender для удостоверений активирует оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать службу диспетчера очереди печати Windows для контроллера домена. Этот вектор атаки связан с эксплуатацией очереди печати и называется PrintNightmare. Узнайте больше об этом оповещении.

Июнь 2021

Defender для удостоверений, выпуск 2.152

Выпущено 27 июня 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.151

Выпущено 20 июня 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.150

Выпущено 13 июня 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2021

Defender для удостоверений, выпуск 2.149

Выпущено 31 мая 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.148

Выпущено 23 мая 2021 г.

• Если вы настроите и соберете событие с идентификатором 4662, Defender для удостоверений сообщит, какой пользователь изменил номер обновления (USN) на различные свойства объекта Active Directory. Например, если пароль учетной записи изменен и событие 4662 включено, событие будет записывать, кто изменил пароль.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.147

Выпущено 9 мая 2021 г.

• На основе отзывов клиентов мы увеличиваем число разрешенных датчиков по умолчанию с 200 до 350, а учетные данные служб каталогов — с 10 до 30.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.146

Выпущено 2 мая 2021 г.

• Email уведомления о проблемах работоспособности и оповещениях системы безопасности теперь будут иметь URL-адрес исследования как для Microsoft Defender для удостоверений, так и для Microsoft Defender XDR.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Апрель 2021 г.

Defender для удостоверений, выпуск 2.145

Выпущено 22 апреля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.144

Выпущено 12 апреля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2021 г.

Defender для удостоверений, выпуск 2.143

Выпущено 14 марта 2021 г.

• Мы добавили событие Windows 4741 для обнаружения учетных записей компьютеров, добавленных в действия Active Directory . Настройте новое событие для сбора с помощью Defender для удостоверений. После настройки собранные события будут доступны для просмотра в журнале действий, а также в Microsoft Defender XDR Расширенной охоты.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.142

Выпущено 7 марта 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2021 г.

Defender для удостоверений, выпуск 2.141

Выпущено 21 февраля 2021 г.

• Новое оповещение системы безопасности: предполагаемая атака AS-REP Roasting (внешний идентификатор 2412)
  Теперь доступно оповещение системы безопасности о предполагаемой атаке AS-REP в Defender для удостоверений (внешний идентификатор 2412). В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда злоумышленник нацеливается на учетные записи с отключенной предварительной проверки подлинности Kerberos и пытается получить данные TGT Kerberos. Целью злоумышленника может быть извлечение учетных данных из данных с помощью атак на взлом паролей в автономном режиме. Дополнительные сведения см. в статье Обжаривание Kerberos AS-REP (внешний идентификатор 2412).
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.140

Выпущено 14 февраля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2021 г.

Defender для удостоверений, выпуск 2.139

Выпущено 31 января 2021 г.

• Мы обновили уровень серьезности для предполагаемого воздействия имени субъекта-службы Kerberos до высокого уровня, чтобы лучше отразить влияние оповещения. Дополнительные сведения об оповещении см. в статье Предполагаемое воздействие имени субъекта-службы Kerberos (внешний идентификатор 2410).
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.138

Выпущено 24 января 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.137

Выпущено 17 января 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.136

Выпущено 3 января 2021 г.

• Defender для удостоверений теперь поддерживает установку датчиков на серверах службы федерации Active Directory (AD FS) (AD FS). Установка датчика на совместимых серверах AD FS расширяет Microsoft Defender для удостоверений видимость гибридной среды, отслеживая этот критически важный компонент инфраструктуры. Мы также обновили некоторые существующие обнаружения (создание подозрительной службы, предполагаемая атака методом подбора (LDAP),рекогносцировка перечисления учетных записей) для работы с данными AD FS. Чтобы начать развертывание датчика Microsoft Defender для удостоверений для сервера AD FS, скачайте последний пакет развертывания на странице конфигурации датчика.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2020 г.

Defender для удостоверений, выпуск 2.135

Выпущено 20 декабря 2020 г.

• Мы улучшили оповещение о рекогносцировке атрибутов Active Directory (LDAP) (внешний идентификатор 2210), чтобы также обнаруживать методы, используемые для получения сведений, необходимых для создания маркеров безопасности, например в рамках кампании Solorigate.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.134

Выпущено 13 декабря 2020 г.

• Недавно выпущенный детектор NetLogon был усовершенствован для работы при выполнении транзакции канала Netlogon через зашифрованный канал. Дополнительные сведения о детекторе см. в разделе Предполагаемая попытка повышения привилегий netlogon.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.133

Выпущено 6 декабря 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2020 г.

Defender для удостоверений, выпуск 2.132

Выпущено 17 ноября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.131

Выпущено 8 ноября 2020 г.

• Новое оповещение системы безопасности: предполагаемая уязвимость имени субъекта-службы Kerberos (внешний идентификатор 2410)
  Теперь доступно оповещение системы безопасности о предполагаемом воздействии имени субъекта-службы Kerberos (внешний идентификатор 2410) в Defender для удостоверений. В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда злоумышленник перечисляет учетные записи служб и соответствующие имена субъектов-служб, а затем запрашивает билеты kerberos TGS для служб. Целью злоумышленника может быть извлечение хэшей из билетов и их сохранение для последующего использования в атаках методом подбора в автономном режиме. Дополнительные сведения см. в статье Уязвимость имени субъекта-службы Kerberos.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Октябрь 2020

Defender для удостоверений, выпуск 2.130

Выпущено 25 октября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ВЫПУСК ATP 2.129

Выпущено 18 октября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2020 г.

Azure ВЫПУСК ATP 2.128

Выпущено 27 сентября 2020 г.

• Измененная конфигурация Уведомления по электронной почте
  Мы удаляем переключатели уведомления по почте для включения Уведомления по электронной почте. Чтобы получить Уведомления по электронной почте, просто добавьте адрес. Дополнительные сведения см. в разделе Настройка уведомлений.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.127

Выпущено 20 сентября 2020 г.

• Новое оповещение системы безопасности: предполагаемая попытка повышения привилегий netlogon (внешний идентификатор 2411)
  теперь доступно оповещение системы безопасности Azure предполагаемой попытке повышения привилегий netlogon ATP (использование CVE-2020-1472) (внешний идентификатор 2411). В этом обнаружении оповещение системы безопасности ATP Azure активируется, когда злоумышленник устанавливает уязвимое подключение к безопасному каналу Netlogon к контроллеру домена с помощью удаленного протокола Netlogon (MS-NRPC), также известного как уязвимость netlogon с повышением привилегий. Дополнительные сведения см. в разделе Предполагаемая попытка повышения привилегий netlogon.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.126

Выпущено 13 сентября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.125

Выпущено 6 сентября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2020 г.

Azure ATP, выпуск 2.124

Выпущено 30 августа 2020 г.

• Новые оповещения системы безопасности
  Azure оповещения системы безопасности ATP теперь включают следующие новые обнаружения:
  • Разведывательная разведка атрибутов Active Directory (LDAP) (внешний идентификатор 2210)
    При таком обнаружении оповещение системы безопасности AZURE ATP активируется, когда злоумышленник подозревается в успешном получении критически важных сведений о домене для использования в цепочке уничтожения атак. Дополнительные сведения см. в разделе Разведывательная разведка атрибутов Active Directory.
  • Предполагаемое использование сертификата Kerberos из изгоев (внешний идентификатор 2047)
    В этом обнаружении оповещение системы безопасности AZURE ATP активируется, когда злоумышленник, который получил контроль над организацией, компрометировав сервер центра сертификации, подозревается в создании сертификатов, которые могут использоваться в качестве учетных записей backdoor в будущих атаках, таких как боковое перемещение в сети. Дополнительные сведения см. в статье Предполагаемое использование сертификата Kerberos из мошеннических устройств.
  • Предполагаемое использование золотого билета (аномалия билета с использованием RBCD) (внешний идентификатор 2040)
    Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса.
    Это кованое TGT называется "Золотым билетом", так как позволяет злоумышленникам достичь длительной сохраняемости сети с помощью ограниченного делегирования на основе ресурсов (RBCD). Поддельные золотые билеты этого типа имеют уникальные характеристики, для идентификации которых предназначено новое обнаружение. Дополнительные сведения см. в разделе Предполагаемое использование золотого билета (аномалия билета с помощью RBCD).
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.123

Выпущено 23 августа 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск AZURE ATP 2.122

Выпущено 16 августа 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.121

Выпущено 2 августа 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2020 г.

Azure atp, выпуск 2.120

Выпущено 26 июля 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.119

Выпущено 5 июля 2020 г.

• Улучшение функций: вкладка "Новые исключенные контроллеры домена " в отчете Excel
  Чтобы повысить точность вычисления охвата контроллера домена, мы исключим контроллеры домена с внешним доверием из расчета, чтобы достичь 100 % охвата. Исключенные контроллеры домена будут отображаться на вкладке новые исключенные контроллеры домена при скачивании отчета Excel об охвате домена. Сведения о скачивании отчета см. в разделе Состояние контроллера домена.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июнь 2020 г.

Azure ВЫПУСК ATP 2.118

Выпущено 28 июня 2020 г.

• Новые оценки безопасности
  Azure оценки безопасности ATP теперь включают следующие новые оценки:

  • Наиболее рискованные пути бокового смещения
    Эта оценка постоянно отслеживает среду для выявления конфиденциальных учетных записей с наиболее рискованными путями бокового перемещения, которые подвергаются риску безопасности, и создает отчеты об этих учетных записях, чтобы помочь вам в управлении средой. Пути считаются рискованными, если у них есть три или более не конфиденциальных учетных записей, которые могут подвергать конфиденциальную учетную запись краже учетных данных злоумышленниками. Дополнительные сведения см. в разделе Оценка безопасности: наиболее рискованные пути бокового смещения (LMP).
  • Небезопасные атрибуты учетной записи
    Эта оценка Azure ATP постоянно отслеживает вашу среду для выявления учетных записей со значениями атрибутов, которые подвергаются риску безопасности, и сообщает об этих учетных записях, чтобы помочь в защите вашей среды. Дополнительные сведения см. в разделе Оценка безопасности: небезопасные атрибуты учетной записи.

• Обновлено определение конфиденциальности
  Мы расширяем определение конфиденциальности для локальных учетных записей, чтобы включить сущности, которым разрешено использовать репликацию Active Directory.

Azure выпуск ATP 2.117

Выпущено 14 июня 2020 г.

• Усовершенствование функций: доступны дополнительные сведения о действиях
  Мы расширили сведения об устройстве, отправляемые Defender for Cloud Apps включая имена устройств, IP-адреса, имена участников-пользователей учетных записей и используемый порт. Дополнительные сведения об интеграции с Defender for Cloud Apps см. в статье Использование Azure ATP с Defender for Cloud Apps.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.116

Выпущено 7 июня 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2020 г.

выпуск Azure ATP 2.115

Выпущено 31 мая 2020 г.

• Новые оценки безопасности
  Azure оценки безопасности ATP теперь включают следующие новые оценки:

  • Небезопасные атрибуты журнала sid
    Эта оценка сообщает об атрибутах журнала идентификаторов безопасности, которые могут использоваться злоумышленниками для получения доступа к вашей среде. Дополнительные сведения см. в статье Оценка безопасности: небезопасные атрибуты журнала безопасности.
  • Использование Microsoft LAPS
    Эта оценка сообщает об учетных записях локальных администраторов, которые не используют решение майкрософт для защиты паролей локального администратора (LAPS). Использование LAPS упрощает управление паролями, а также помогает защититься от кибератак. Дополнительные сведения см. в статье Оценка безопасности: использование Microsoft LAPS.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.114

Выпущено 17 мая 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.113

Выпущено 5 мая 2020 г.

• Усовершенствование функции: расширенный доступ к ресурсам с помощью NTLMv1
  Начиная с этой версии, Azure ATP теперь предоставляет сведения о действиях доступа к ресурсам, показывающие, использует ли ресурс проверку подлинности NTLMv1. Эта конфигурация ресурсов небезопасна и создает риск того, что злоумышленники могут принудительно использовать приложение в своих интересах. Дополнительные сведения о риске см. в статье Использование устаревших протоколов.

• Улучшение функции: предупреждение о предполагаемой атаке методом подбора (Kerberos, NTLM)
  Атака методом подбора используется злоумышленниками, чтобы закрепиться в вашей организации и является ключевым методом обнаружения угроз и рисков в Azure ATP. Чтобы помочь вам сосредоточиться на критических рисках для пользователей, это обновление упрощает и ускоряет анализ и устранение рисков, ограничивая и приоритизируя объем оповещений.

Март 2020 г.

Azure ATP, выпуск 2.112

Выпущено 15 марта 2020 г.

• Новые экземпляры ATP Azure автоматически интегрируются с Microsoft Defender for Cloud Apps
  При создании экземпляра ATP Azure (ранее экземпляра) интеграция с Microsoft Defender for Cloud Apps включена по умолчанию. Дополнительные сведения об интеграции см. в статье Использование Azure ATP с Microsoft Defender for Cloud Apps.

• Новые отслеживаемые действия
  Теперь доступны следующие мониторы действий:

  • Интерактивный вход с помощью сертификата

  • Сбой входа с помощью сертификата

  • Делегированный доступ к ресурсам

    Узнайте больше о действиях, Azure мониторах ATP, а также о фильтрации и поиске отслеживаемых действий на портале.

• Усовершенствование функции: расширенный доступ к ресурсам
  Начиная с этой версии, Azure ATP теперь предоставляет сведения о действиях доступа к ресурсам, показывающие, является ли ресурс доверенным для неограниченного делегирования. Эта конфигурация ресурсов небезопасна и создает риск того, что злоумышленники могут принудительно использовать приложение в своих интересах. Дополнительные сведения о риске см. в статье Оценка безопасности: небезопасное делегирование Kerberos.

• Предполагаемая обработка пакетов SMB (эксплуатация CVE-2020-0796) — (предварительная версия)
  Azure оповещение системы безопасности о предполагаемом манипулирование пакетами SMB ATP теперь доступно в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности ATP Azure активируется, когда пакет SMBv3 подозревается в использовании уязвимости безопасности CVE-2020-0796 в отношении контроллера домена в сети.

Azure ВЫПУСК ATP 2.111

Выпущено 1 марта 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2020 г.

Azure ATP, выпуск 2.110

Выпущено 23 февраля 2020 г.

• Новая оценка безопасности: неуправляемые контроллеры домена
  Azure оценки безопасности ATP теперь включают отчет о неуправляемых контроллерах домена, серверах без датчика, чтобы помочь вам в управлении полным охватом вашей среды. Дополнительные сведения см. в разделе Неуправляемые контроллеры домена.

Azure ATP, выпуск 2.109

Выпущено 16 февраля 2020 г.

• Улучшение функций: конфиденциальные сущности
  Начиная с этой версии (2.109), компьютеры, определенные как центр сертификации, DHCP или DNS-серверы Azure ATP, теперь автоматически помечаются как конфиденциальные.

Azure ATP, выпуск 2.108

Выпущено 9 февраля 2020 г.

• Новая функция: поддержка групповых управляемых учетных записей служб
  Azure ATP теперь поддерживает использование групповых управляемых учетных записей служб (gMSA) для повышения безопасности при подключении Azure датчиков ATP к Microsoft Entra лесам. Дополнительные сведения об использовании gMSA с Azure датчиками ATP см. в разделе Подключение к лесу Active Directory.

• Улучшение функции: запланированный отчет с слишком большим объемом данных
  Если в запланированном отчете слишком много данных, сообщение электронной почты уведомляет вас об этом, отображая следующий текст: В течение указанного периода было слишком много данных для создания отчета. Это заменяет предыдущее поведение, обнаруживающее только факт после нажатия ссылки на отчет в сообщении электронной почты.

• Усовершенствование функций: обновлена логика покрытия контроллера домена
  Мы обновили логику отчета об охвате контроллера домена, чтобы включить дополнительную информацию из Microsoft Entra ID, что привело к более точному просмотру контроллеров домена без датчиков на них. Эта новая логика также должна положительно влиять на соответствующую оценку безопасности Майкрософт.

Azure ATP, выпуск 2.107

Выпущено 3 февраля 2020 г.

• Новое отслеживаемое действие: изменение журнала безопасности
  Изменение журнала безопасности теперь является отслеживаемым и фильтруемым действием. Узнайте больше о действиях, Azure мониторах ATP, а также о фильтрации и поиске отслеживаемых действий на портале.

• Улучшение функции: закрытые или подавленные оповещения больше не открываются повторно
  Когда оповещение закрывается или подавляется на портале ATP Azure, если в течение короткого периода времени обнаруживается то же самое действие, открывается новое оповещение. Ранее при аналогичных условиях оповещение было повторно открыто.

• Tls 1.2 требуется для доступа к порталу и датчиков
  Протокол TLS 1.2 теперь необходим для использования Azure датчиков ATP и облачной службы. Доступ к порталу ATP Azure больше не будет возможен с помощью браузеров, которые не поддерживают TLS 1.2.

Январь 2020 г.

Azure ATP, выпуск 2.106

Выпущено 19 января 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.105

Выпущено 12 января 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2019 г.

выпуск Azure ATP 2.104

Выпущено 23 декабря 2019 г.

• Исключены истечение срока действия версий датчика
  Azure развертывания и установки датчиков ATP срок действия пакетов больше не истекает после нескольких версий и теперь обновляется только один раз. Результатом этой функции является то, что ранее загруженные пакеты установки датчика теперь можно установить, даже если они старше, чем максимальное число устаревших версий.

• Подтверждение компрометации
  Теперь вы можете подтвердить компрометацию определенных пользователей Microsoft 365 и установить высокий уровень риска. Этот рабочий процесс предоставляет группам по операциям безопасности еще одну возможность реагирования, чтобы снизить пороговые значения времени для устранения инцидентов безопасности. Узнайте больше о том, как подтвердить компрометацию с помощью Azure ATP и Defender for Cloud Apps.

• Баннер "Новый интерфейс"
  На Azure страницах портала ATP, где на портале Defender for Cloud Apps доступен новый интерфейс, отображаются новые баннеры с описанием доступных ссылок доступа.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure выпуск ATP 2.103

Выпущено 15 декабря 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.102

Выпущено 8 декабря 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2019 г.

Azure выпуск ATP 2.101

Выпущено 24 ноября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.100

Выпущено 17 ноября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.99

Выпущено 3 ноября 2019 г.

• Усовершенствование функций: добавлено уведомление пользовательского интерфейса о доступности портала Defender for Cloud Apps на портале ATP Azure
  Чтобы все пользователи знали о доступности расширенных функций, доступных с помощью портала Defender for Cloud Apps, для портала было добавлено уведомление из существующего Azure оповещения ATP временная шкала.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Октябрь 2019

Azure ATP, выпуск 2.98

Выпущено 27 октября 2019 г.

• Улучшение функции: предупреждение о предполагаемой атаке методом подбора
  Улучшено оповещение О предполагаемой атаке методом подбора (SMB) с помощью дополнительного анализа, а также улучшена логика обнаружения, чтобы уменьшить результаты оповещений о неопасных истинноположительных (B-TP) и ложноположительных (FP).

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.97

Выпущено 6 октября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2019

выпуск Azure ATP 2.96

Выпущено 22 сентября 2019 г.

• Расширенные данные проверки подлинности NTLM с помощью события Windows 8004
  Azure датчики ATP теперь могут автоматически считывать действия проверки подлинности NTLM и дополнять их данными сервера, когда аудит NTLM включен, а событие Windows 8004 включено. Azure ATP анализирует событие Windows 8004 для проверки подлинности NTLM, чтобы дополнить данные проверки подлинности NTLM, используемые для анализа угроз и оповещений ATP Azure. Эта расширенная возможность предоставляет действия доступа к ресурсам через данные NTLM, а также расширенные действия с ошибкой входа, включая конечный компьютер, к которому пользователь попытался получить доступ, но не смог получить доступ.

  Дополнительные сведения о действиях проверки подлинности NTLM с помощью события Windows 8004.

• Версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.95

Выпущено 15 сентября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.94

Выпущено 8 сентября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.93

Выпущено 1 сентября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2019

выпуск AZURE ATP 2.92

Выпущено 25 августа 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.91

Выпущено 18 августа 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.90

Выпущено 11 августа 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.89

Выпущено 4 августа 2019 г.

• Улучшения методов датчика
  Чтобы избежать избыточного создания трафика NTLM при создании точных оценок пути бокового перемещения (LMP), были внесены улучшения в Azure методов датчика ATP, чтобы меньше полагаться на использование NTLM и более значительное использование Kerberos.

• Улучшение оповещений: предполагаемое использование Golden Ticket (несуществующая учетная запись)
  Изменения имени SAM были добавлены в вспомогательные типы доказательств, перечисленные в этом типе оповещений. Дополнительные сведения об оповещении, в том числе о том, как предотвратить этот тип действий и устранить его, см. в статье Предполагаемое использование Золотого билета (несуществующая учетная запись).

• Общедоступная доступность: предполагаемое изменение проверки подлинности NTLM
  Оповещение о предполагаемом изменении проверки подлинности NTLM больше не находится в режиме предварительной версии и теперь общедоступно.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2019

Azure ATP, выпуск 2.88

Выпущено 28 июля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.87

Выпущено 21 июля 2019 г.

• Усовершенствование функций: автоматизированный сбор событий системного журнала для автономных датчиков ATP Azure
  Входящие подключения системного журнала для автономных датчиков AZURE ATP теперь полностью автоматизированы, при этом параметр переключателя удаляется с экрана конфигурации. Эти изменения не влияют на исходящие подключения системного журнала.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.86

Выпущено 14 июля 2019 г.

• Новое оповещение системы безопасности: подозрительное изменение проверки подлинности NTLM (внешний идентификатор 2039)
  Azure новое оповещение системы безопасности о предполагаемом изменении проверки подлинности NTLM ATP теперь доступно в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности ATP Azure активируется, когда предполагается, что атака "человек в середине" успешно обходит проверку целостности сообщений NTLM (MIC), уязвимость системы безопасности, описанную в microsoft CVE-2019-040. Эти типы атак пытаются понизить уровень функций безопасности NTLM и успешно пройти проверку подлинности, а конечная цель заключается в успешном боковом перемещении.

• Усовершенствование функций: расширенная идентификация операционной системы устройства
  До сих пор Azure ATP предоставляла сведения об операционной системе устройства сущности на основе доступного атрибута в Active Directory. Ранее, если сведения об операционной системе были недоступны в Active Directory, они также были недоступны на Azure страницах сущностей ATP. Начиная с этой версии, Azure ATP теперь предоставляет эти сведения для устройств, на которых Active Directory не имеет этих сведений или не зарегистрирован в Active Directory, с помощью расширенных методов идентификации операционной системы устройства.

  Добавление обогащенных данных идентификации операционной системы помогает выявлять незарегистрированные и нерегистрированные устройства, одновременно помогая в процессе исследования. Дополнительные сведения о разрешении сетевых имен в Azure ATP см. в статье Общие сведения о разрешении сетевых имен (NNR).

• Новая функция: прокси-сервер с проверкой подлинности — предварительная версия
  Azure ATP теперь поддерживает прокси-сервер с проверкой подлинности. Укажите URL-адрес прокси-сервера с помощью командной строки датчика и укажите имя пользователя или пароль для использования прокси-серверов, требующих проверки подлинности. Дополнительные сведения об использовании прокси-сервера с проверкой подлинности см. в разделе Настройка прокси-сервера.

• Усовершенствование функций: процесс автоматического синхронизатора домена
  Процесс назначения и добавления тегов контроллеров домена в качестве кандидатов синхронизаторов домена во время установки и текущей настройки теперь полностью автоматизирован. Параметр переключателя для ручного выбора контроллеров домена в качестве кандидатов синхронизатора домена удаляется.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.85

Выпущено 7 июля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск AZURE ATP 2.84

Выпущено 1 июля 2019 г.

• Поддержка нового расположения: центр обработки данных Azure Великобритании
  Azure экземпляры ATP теперь поддерживаются в центре обработки данных Azure Великобритании. Дополнительные сведения о создании экземпляров ATP Azure и их расположениях в центрах обработки данных см. в разделе Шаг 1 Azure установки ATP.

• Улучшение функции: новое имя и функции для оповещения о подозрительных добавлениях в конфиденциальные группы (внешний идентификатор 2024)
  Оповещение подозрительных добавлений в конфиденциальные группы ранее называлось оповещением о подозрительных изменениях в конфиденциальных группах. Внешний идентификатор оповещения (id 2024) остается прежним. Изменение описательного имени более точно отражает цель оповещения о добавлении в конфиденциальные группы. Расширенное оповещение также содержит новые доказательства и улучшенные описания. Дополнительные сведения см. в разделе Подозрительные добавления в конфиденциальные группы.

• Новая функция документации: руководство по переходу с Advanced Threat Analytics на Azure ATP
  Эта новая статья содержит предварительные требования, рекомендации по планированию, а также шаги по настройке и проверке для перехода от ATA к Azure службе ATP. Дополнительные сведения см. в разделе Переход с ATA на Azure ATP.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июнь 2019 г.

Azure ВЫПУСК ATP 2.83

Выпущено 23 июня 2019 г.

• Улучшение функции: оповещение о подозрительном создании службы (внешний идентификатор 2026)
  Это оповещение теперь содержит улучшенную страницу оповещений с дополнительными доказательствами и новым описанием. Дополнительные сведения см. в разделе Оповещение системы безопасности о подозрительном создании службы.

• Поддержка именования экземпляров: добавлена поддержка префикса домена только для цифр.
  Добавлена поддержка создания экземпляра ATP Azure с использованием начальных префиксов домена, содержащих только цифры. Например, теперь поддерживается использование начальных префиксов домена только цифрами, таких как 123456.contoso.com.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.82

Выпущено 18 июня 2019 г.

• Новая общедоступная предварительная версия
  Azure анализ угроз идентификации ATP теперь доступен в общедоступной предварительной версии и доступен для всех клиентов, защищенных AZURE ATP. Дополнительные сведения см. в статье Azure опыте Microsoft Defender for Cloud Apps исследования ATP.

• Общая доступность
  Azure поддержка ATP для ненадежных лесов теперь доступна в общедоступной версии. Дополнительные сведения см. в разделе Azure ATP с несколькими лесами.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.81

Выпущено 10 июня 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.80

Выпущено 2 июня 2019 г.

• Усовершенствование функции: оповещение о подозрительном VPN-подключении
  Это оповещение теперь включает расширенные доказательства и тексты для повышения удобства использования. Дополнительные сведения о функциях оповещений и рекомендуемых шагах по исправлению и предотвращении см. в описании оповещений о подозрительном VPN-подключении.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2019 г.

Azure ATP, выпуск 2.79

Выпущено 26 мая 2019 г.

• Общая доступность: рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038)

  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения об оповещении, функциях оповещений и предлагаемых исправлениях и предотвращении см. в описании оповещений субъекта безопасности (LDAP)

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure atp, выпуск 2.78

Выпущено 19 мая 2019 г.

• Улучшение функций: конфиденциальные сущности
  Добавление тегов с учетом вручную для серверов Exchange Server

  Теперь вы можете вручную пометить сущности как серверы Exchange Во время настройки.

  Чтобы вручную пометить сущность как Exchange Server:

  1. На портале ATP Azure выберите Конфигурация.
  2. В разделе Обнаружение выберите Теги сущностей, а затем — Конфиденциально.
  3. Выберите Серверы Exchange, а затем добавьте сущность, которую вы хотите пометить тегом.

  После пометки компьютера как Exchange Server он будет помечен как конфиденциальный и отобразится, что он помечен как Exchange Server. Тег "Конфиденциальный" появится в профиле сущности компьютера, и компьютер будет учитываться во всех обнаружениях, основанных на конфиденциальных учетных записях и путях бокового перемещения.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.77

Выпущено 12 мая 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.76

Выпущено 6 мая 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Апрель 2019 г.

Azure ATP, выпуск 2.75

Выпущено 28 апреля 2019 г.

• Улучшение функций: конфиденциальные сущности
  Начиная с этой версии (2.75), компьютеры, идентифицированные как серверы Exchange Server Azure ATP, теперь автоматически помечаются как конфиденциальные.

  Сущности, которые автоматически помечены как конфиденциальные , так как они работают как серверы Exchange, перечисляют эту классификацию как причину, по которой они помечаются тегами.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.74

Выпущено 14 апреля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure atp, выпуск 2.73

Выпущено 10 апреля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2019 г.

выпуск AZURE ATP 2.72

Выпущено 31 марта 2019 г.

• Улучшение функции: глубина пути бокового смещения (LMP)
  Пути бокового смещения (LMP) — это ключевой метод обнаружения угроз и рисков в Azure ATP. Чтобы сосредоточиться на критических рисках для наиболее конфиденциальных пользователей, это обновление упрощает и ускоряет анализ и устранение рисков для конфиденциальных пользователей на каждом LMP, ограничивая область и глубину каждого отображаемого графика.

  Дополнительные сведения о том, как Azure ATP использует LMP для покрытия рисков доступа к каждой сущности в вашей среде, см. в статье Пути бокового перемещения.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.71

Выпущено 24 марта 2019 г.

• Усовершенствование функций: оповещения о работоспособности разрешения сетевых имен (NNR)
  Оповещения о работоспособности были добавлены для уровней достоверности, связанных с Azure оповещениями системы безопасности ATP, основанными на NNR. Каждое оповещение о работоспособности содержит практические и подробные рекомендации, которые помогут устранить низкие показатели успешного выполнения NNR.

  Дополнительные сведения о том, как Azure ATP использует NNR и почему это важно для точности оповещений, см. в статье Что такое разрешение сетевых имен.

• Поддержка сервера: добавлена поддержка для Server 2019 с использованием KB4487044
  Добавлена поддержка использования Windows Server 2019 с уровнем исправления KB4487044. Использование Server 2019 без исправления не поддерживается и блокируется начиная с этого обновления.

• Усовершенствование функции: исключение оповещений на основе пользователей
  Параметры расширенного исключения оповещений теперь позволяют исключать конкретных пользователей из определенных оповещений. Исключения помогают избежать ситуаций, когда использование или настройка определенных типов внутреннего программного обеспечения неоднократно активировали небезопасные оповещения системы безопасности.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.70

Выпущено 17 марта 2019 г.

• Улучшение функции: уровень доверия разрешения сетевых имен (NNR) добавлен для нескольких оповещений Разрешение сетевых имен или (NNR) используется для положительной идентификации исходной сущности предполагаемых атак. Добавив уровни достоверности NNR в Azure списки свидетельств оповещений ATP, вы можете мгновенно оценить и понять уровень достоверности NNR, связанный с возможными выявленными источниками, и соответствующим образом исправить.

  Доказательства уровня достоверности NNR были добавлены к следующим оповещениям:

  • Разведывательная разведка сопоставления сети (DNS)
  • Подозрение на кражу удостоверений (pass-the-ticket)
  • Предполагаемая атака ретранслятора NTLM (учетная запись Exchange) — предварительная версия
  • Предполагаемая атака DCSync (репликация служб каталогов)

• Дополнительный сценарий оповещений о работоспособности: не удалось запустить службу датчика ATP Azure
  В случаях, когда не удалось запустить датчик ATP Azure из-за проблемы с драйвером захвата сети, теперь активируется оповещение о работоспособности датчика. Устранение неполадок Azure датчика ATP с Azure журналов ATP для получения дополнительных сведений о Azure журналах ATP и способах их использования.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.69

Выпущено 10 марта 2019 г.

• Улучшение функции: оповещение о предполагаемой краже удостоверений (pass-the-ticket) Это оповещение теперь содержит новые свидетельства, показывающие сведения о подключениях, выполненных по протоколу удаленного рабочего стола (RDP). Добавленные доказательства упрощают устранение известной проблемы (B-TP) Benign-True положительных оповещений, вызванных использованием удаленной проверки учетных данных через подключения RDP.

• Усовершенствование функции: оповещение о удаленном выполнении кода через DNS
  Теперь в этом оповещении отображаются новые свидетельства о состоянии обновления безопасности контроллера домена, информирующие о необходимости обновлений.

• Новая функция документации: Azure оповещение системы безопасности ATP MITRE ATT&CK Matrix™
  Чтобы объяснить и упростить сопоставление связи между Azure оповещениями системы безопасности ATP и знакомой матрицей MITRE ATT&CK, мы добавили соответствующие методы MITRE для Azure списков оповещений системы безопасности ATP. Этот дополнительный справочник упрощает понимание предполагаемого метода атаки, потенциально используемого при срабатывании оповещения системы безопасности ATP Azure. Дополнительные сведения см. в руководстве по оповещению системы безопасности ATP Azure.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.68

Выпущено 3 марта 2019 г.

• Усовершенствование функции: предупреждение о предполагаемой атаке методом подбора (LDAP)
  В это оповещение системы безопасности были внесены значительные улучшения в удобство использования, включая измененное описание, предоставление дополнительных исходных сведений и сведения о попытке угадок для более быстрого исправления.
  Узнайте больше об оповещениях системы безопасности о предполагаемой атаке методом подбора (LDAP).

• Новая функция документации: лаборатория оповещений системы безопасности
  Чтобы объяснить возможности Azure ATP при обнаружении реальных угроз для рабочей среды, мы добавили в эту документацию новую лабораторию оповещений системы безопасности. Лаборатория оповещений системы безопасности помогает быстро настроить лабораторию или тестовую среду, а также объясняет лучшие защитные результаты против распространенных реальных угроз и атак.

  Пошаговая лаборатория предназначена для того, чтобы вы потратили минимальное время на создание и больше времени на изучение ландшафта угроз и доступных Azure оповещения и защиты ATP. Мы рады услышать ваши отзывы.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2019 г.

Azure ATP, выпуск 2.67

Выпущено 24 февраля 2019 г.

• Новое оповещение системы безопасности: разведывательная проверка субъекта безопасности (LDAP) — (предварительная версия)
  Azure разведывательная разведка субъекта безопасности ATP (LDAP) — предварительная версия оповещения системы безопасности теперь доступна в общедоступной предварительной версии. При таком обнаружении оповещение системы безопасности AZURE ATP активируется, когда злоумышленники используют разведку субъекта безопасности для получения критически важных сведений о среде домена. Эти сведения помогают злоумышленникам сопоставить структуру домена, а также определить привилегированные учетные записи для использования на последующих шагах в цепочке уничтожения атак.

  Протокол LDAP — это один из самых популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory. Рекогносцировка, ориентированная на LDAP, обычно используется в качестве первого этапа атаки Kerberoasting. Атаки Kerberoasting используются для получения целевого списка имен субъектов безопасности (SPN), для которого злоумышленники затем пытаются получить билеты на сервер предоставления билетов (TGS).

• Усовершенствование функции: оповещение о рекогносцировки перечисления учетных записей (NTLM)
  Улучшено оповещение о переборе перечисления учетных записей (NTLM) с использованием дополнительного анализа и улучшена логика обнаружения для уменьшения результатов оповещений B-TP и FP .

• Усовершенствование функций: оповещение о рекогносцировки сетевого сопоставления (DNS)
  Новые типы обнаружения, добавленные в оповещения о рекогносцировках сетевого сопоставления (DNS). В дополнение к обнаружению подозрительных запросов AXFR Azure ATP теперь обнаруживает подозрительные типы запросов, исходящих от серверов, не относящихся к DNS, с использованием чрезмерного количества запросов.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.66

Выпущено 17 февраля 2019 г.

• Улучшение функции: предупреждение о предполагаемой атаке DCSync (репликация служб каталогов)
  В это оповещение системы безопасности были внесены улучшения в удобство использования, включая измененное описание, предоставление дополнительных исходных сведений, новую инфографику и дополнительные доказательства. Узнайте больше об оповещениях системы безопасности о предполагаемой атаке DCSync (репликация служб каталогов).

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.65

Выпущено 10 февраля 2019 г.

• Новое оповещение системы безопасности: предполагаемая атака ретранслятора NTLM (учетная запись Exchange) — (предварительная версия)
  Azure предполагаемая атака с ретранслятором NTLM ATP (учетная запись Exchange) — предварительная версия оповещения системы безопасности теперь доступна в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности ATP Azure активируется при обнаружении использования учетных данных учетной записи Exchange из подозрительного источника. Эти типы атак пытаются использовать методы ретрансляции NTLM для получения привилегий обмена контроллером домена и называются ExchangePriv. Дополнительные сведения о методе ExchangePriv см. в рекомендациях по ADV190007, впервые опубликованных 31 января 2019 г., и в ответе на Azure оповещения ATP.

• Общая доступность: удаленное выполнение кода через DNS
  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения и функции оповещений см. на странице Описания оповещений удаленного выполнения кода через DNS.

• Общедоступная доступность: утечка данных через SMB
  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения и функции оповещений см. на странице Описания оповещений о краже данных через SMB.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск Azure ATP 2.64

Выпущено 4 февраля 2019 г.

• Общая доступность: предполагаемое использование Golden Ticket (аномалия билета)
  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения и функции оповещений см. на странице описания оповещений о предполагаемом использовании золотого билета (аномалия билета).

• Улучшение функций: разведывательная разведка сетевого сопоставления (DNS)
  Улучшенная логика обнаружения оповещений, развернутая для этого оповещения, чтобы свести к минимуму ложные срабатывания и шум оповещений. Это оповещение теперь имеет период обучения в восемь дней, прежде чем оповещение может активироваться в первый раз. Дополнительные сведения об этом оповещении см. на странице описания оповещений о разведывательном сопоставлении сети (DNS).

  Из-за расширения этого оповещения метод nslookup больше не следует использовать для проверки подключения Azure ATP во время начальной настройки.

• Усовершенствование функций:
  Эта версия включает переработанные страницы оповещений и новые доказательства, обеспечивающие более эффективное исследование оповещений.

  • Предполагаемая атака методом подбора (SMB)
  • Страница описания оповещений о предполагаемом использовании Golden Ticket (аномалия времени)
  • Предполагаемая атака путепровода с хэшом (Kerberos)
  • Предполагаемое использование платформы взлома Metasploit
  • Предполагаемая атака программы-шантажиста WannaCry

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2019 г.

Azure ATP, выпуск 2.63

Выпущено 27 января 2019 г.

• Новая функция: поддержка ненадежных лесов — (предварительная версия)
  Azure поддержка ATP датчиков в ненадежных лесах теперь доступна в общедоступной предварительной версии. На странице служб каталогов портала ATP Azure настройте дополнительные наборы учетных данных, чтобы разрешить Azure датчикам ATP подключаться к разным лесам Active Directory и отправлять отчеты в службу ATP Azure. Дополнительные сведения см. в разделе Azure ATP с несколькими лесами.

• Новая функция: охват контроллера домена
  Azure ATP теперь предоставляет сведения о покрытии для Azure отслеживаемых контроллеров домена ATP.
  На странице датчики Azure портала ATP просмотрите количество отслеживаемых и неустранимых контроллеров домена, обнаруженных Azure ATP в вашей среде. Скачайте список отслеживаемых контроллеров домена для дальнейшего анализа и создания плана действий. Дополнительные сведения см. в руководстве по мониторингу контроллера домена .

• Усовершенствование функций: разведывательная разведка перечисления учетных записей
  Обнаружение рекогносцировки перечисления учетной записи ATP Azure обнаруживает и выдает оповещения о попытках перечисления с помощью Kerberos и NTLM. Ранее обнаружение работало только для попыток с помощью Kerberos. Дополнительные сведения см. в Azure разведывательных оповещений ATP.

• Усовершенствование функции: оповещение о попытке удаленного выполнения кода

  • Все действия удаленного выполнения, такие как создание службы, выполнение WMI и новое выполнение PowerShell, были добавлены в профиль временная шкала целевого компьютера. Конечный компьютер — это контроллер домена, на котором была выполнена команда.
  • Выполнение PowerShell добавлено в список действий удаленного выполнения кода, перечисленных в временная шкала оповещения профиля сущности.
  • Дополнительные сведения см. в статье Попытка удаленного выполнения кода .

• Windows Server 2019 проблема LSASS и Azure ATP
  В ответ на отзывы клиентов о Azure использовании ATP с контроллерами домена, работающими Windows Server 2019 г., это обновление включает дополнительную логику, чтобы избежать активации сообщаемого поведения на компьютерах Windows Server 2019 года. Полная поддержка датчика ATP Azure в Windows Server 2019 года планируется в будущем обновлении ATP Azure, однако установка и запуск Azure ATP в Windows Server 2019 в настоящее время не поддерживается. Дополнительные сведения см. в Azure требованиях к датчику ATP.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.62

Выпущено 20 января 2019 г.

• Новое оповещение системы безопасности: удаленное выполнение кода через DNS — (предварительная версия)
  оповещение системы безопасности Azure ATP Об удаленном выполнении кода через DNS теперь доступно в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности AZURE ATP активируется при выполнении dns-запросов, подозреваемых в использовании уязвимости безопасности CVE-2018-8626 к контроллеру домена в сети.

• Усовершенствование функции: 72-часовое обновление датчика с задержкой
  Изменен параметр для задержки обновлений датчиков на выбранных датчиках до 72 часов (вместо предыдущей 24-часовой задержки) после каждого обновления выпуска Azure ATP. Инструкции по настройке см. в Azure обновлении датчика ATP.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.61

Выпущено 13 января 2019 г.

• Новое оповещение системы безопасности: утечка данных через SMB — (предварительная версия)
  Azure оповещение системы безопасности ATP о краже данных через SMB теперь доступно в общедоступной предварительной версии. Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, злоумышленники могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса.

• Усовершенствование функции: оповещение системы безопасности о попытках удаленного выполнения кода
  Добавлены новое описание оповещений и дополнительные доказательства, которые помогут упростить понимание оповещений и улучшить рабочие процессы исследования.

• Усовершенствование функции: логические действия запросов DNS
  В отслеживаемые действия ATP Azure добавлены дополнительные типы запросов, включая TXT, MX, NS, SRV, ANY, DNSKEY.

• Улучшение функции: предполагаемое использование Golden Ticket (аномалия билета) и предполагаемое использование Golden Ticket (несуществующая учетная запись)
  Улучшенная логика обнаружения была применена к обоим оповещениям, чтобы уменьшить количество оповещений FP и обеспечить более точные результаты.

• Усовершенствование функций: Azure документация по оповещению системы безопасности ATP
  Azure документация по оповещениям системы безопасности ATP была усовершенствована и расширена, включив в нее более подробные описания оповещений, более точные классификации оповещений и объяснения доказательств, исправлений и предотвращения. Ознакомьтесь с новой документацией по оповещениям системы безопасности, используя следующие ссылки:

  • Azure оповещения системы безопасности ATP
  • Основные сведения об оповещениях системы безопасности
    • Оповещения этапа рекогносцировки
    • Оповещения этапа компрометации учетных данных
    • Оповещения этапа бокового смещения
    • Оповещения этапа захвата управления доменом
    • Оповещения этапа кражи данных
  • Исследование компьютера
  • Исследование пользователя

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.60

Выпущено 6 января 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2018 г.

выпуск Azure ATP 2.59

Выпущено 16 декабря 2018 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.58

Выпущено 9 декабря 2018 г.

• Улучшение оповещений системы безопасности: разделение оповещений о необычной реализации протокола
  Azure серии оповещений системы безопасности о необычной реализации протокола ATP, которые ранее использовали 1 externalId (2002), теперь разделены на четыре отличительных оповещения с соответствующим уникальным внешним идентификатором.

Новые внешние идентификаторы оповещений

Новое имя оповещения системы безопасности	Предыдущее имя оповещения системы безопасности	Уникальный внешний идентификатор
Предполагаемая атака методом подбора (SMB)	Необычная реализация протокола (потенциальное использование вредоносных средств, таких как Hydra)	2033
Предполагаемая атака путепровода с хэшом (Kerberos)	Необычная реализация протокола Kerberos (потенциальная атака с помощью overpass-the-hash)	2002
Предполагаемое использование платформы взлома Metasploit	Необычная реализация протокола (возможное использование средств взлома Metasploit)	2034
Предполагаемая атака программы-шантажиста WannaCry	Необычная реализация протокола (потенциальная атака программы-шантажиста WannaCry)	2035

• Новое отслеживаемое действие: копирование файлов через SMB
  Копирование файлов с помощью SMB теперь является отслеживаемым и фильтруемым действием. Узнайте больше о действиях, Azure мониторах ATP, а также о фильтрации и поиске отслеживаемых действий на портале.

• Улучшение изображения большого бокового смещения
  При просмотре больших путей бокового смещения Azure ATP теперь выделяет только узлы, подключенные к выбранной сущности, вместо размытия других узлов. Это изменение значительно повышает скорость отрисовки больших LMP.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

выпуск AZURE ATP 2.57

Выпущено 2 декабря 2018 г.

• Новое оповещение системы безопасности: предполагаемое использование билета Golden — аномалия билета (предварительная версия)
  Azure предполагаемое использование золотого билета ATP — оповещение системы безопасности об аномалиях билета теперь доступно в общедоступной предварительной версии. Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, злоумышленники могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса.

  Этот кованый TGT называется "Золотым билетом", так как он позволяет злоумышленникам достичь длительной сетевой устойчивости. Поддельные золотые билеты этого типа имеют уникальные характеристики, для идентификации которых предназначено новое обнаружение.

• Усовершенствование функций: автоматическое создание экземпляра (экземпляра) ATP Azure
  С сегодняшнего дня Azure экземпляры ATP переименовываются Azure экземплярами ATP. Azure ATP теперь поддерживает один экземпляр ATP Azure на Azure учетную запись ATP. Экземпляры для новых клиентов создаются с помощью мастера создания экземпляров на портале AZURE ATP. Существующие экземпляры ATP Azure автоматически преобразуются в Azure экземпляры ATP с этим обновлением.

  • Упрощенное создание экземпляра для ускорения развертывания и защиты с помощью создания экземпляра ATP Azure.
  • Конфиденциальность и соответствие данных остаются неизменными.

  Дополнительные сведения об Azure экземплярах ATP см. в статье Создание экземпляра ATP Azure.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2018 г.

выпуск Azure ATP 2.56

Выпущено 25 ноября 2018 г.

• Усовершенствование функции: пути бокового перемещения (LMP)
  Для расширения возможностей Azure пути бокового перемещения ATP (LMP) добавлены две дополнительные функции:

  • Журнал LMP теперь сохраняется и обнаруживается для каждой сущности, а также при использовании отчетов LMP.
  • Следуйте за сущностью в LMP через действие временная шкала и исследуйте, используя дополнительные доказательства, предоставленные для обнаружения потенциальных путей атаки.

  Дополнительные сведения о том, как использовать и исследовать с помощью расширенных LMP, см. в Azure пути бокового см. в статье Пути бокового перемещения ATP.

• Улучшения документации: пути бокового перемещения, имена оповещений системы безопасности
  Добавлены и обновлены Azure статьи ATP с описанием и функциями пути бокового смещения. Для всех экземпляров старых имен оповещений системы безопасности было добавлено сопоставление имен с новыми именами и внешними идентификаторами.

  • Дополнительные сведения см. в разделах Azure пути бокового см. в статье Пути бокового перемещения ATP, Анализ путей бокового перемещения и Руководство по оповещениям системы безопасности.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сведения о каждом выпуске Defender для удостоверений до (и в том числе) выпуска 2.55 см. в справочнике по выпуску Defender для удостоверений.

Дальнейшие действия