Microsoft veröffentlicht Advanced Threat Analytics v1.8 mit mehreren neuen Funktionen und Verbesserungen

Startseite » Unternehmen

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Veröffentlicht am

by Pradeep Viswav 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Microsoft Advanced Threat Analytics (ATA) ist eine On-Premises-Plattform, die Unternehmen vor mehreren Arten von fortgeschrittenen gezielten Cyberangriffen und Insider-Bedrohungen schützt, indem sie Informationen aus mehreren Datenquellen in ihrem Netzwerk verwendet, um das Verhalten von Benutzern und anderen Entitäten im Netzwerk zu erfahren Organisation und Erstellen eines Verhaltensprofils über sie und durch Nutzung der proprietären Netzwerk-Parsing-Engine von ATA, um den Netzwerkverkehr mehrerer Protokolle zu erfassen und zu parsen.

Microsoft hat kürzlich veröffentlichtes Advanced Threat Analytics v1.8-Update mit mehreren neuen Funktionen und Verbesserungen. Da Hacker neue Arten von Angriffen finden, aktualisiert Microsoft seine ATA-Engine regelmäßig, um die Erkennung bekannter und unbekannter Angriffe zu verbessern. Nachfolgend finden Sie die neuen und aktualisierten Erkennungen, die in diesem Update enthalten sind.

  • Abnormale Modifikation sensibler Gruppen: Als Teil der Privilegien-Eskalationsphase eines Angriffs modifizieren Angreifer Gruppen mit hohen Privilegien, um Zugang zu sensiblen Ressourcen zu erhalten. ATA erkennt jetzt, wenn es eine anormale Änderung in einer Gruppe mit erhöhten Rechten (dh einer sensiblen Gruppe) gibt.
  • Verdächtige Authentifizierungsfehler (Behavioral Brute Force): Angreifer versuchen oft, Brute Force auf Anmeldeinformationen anzuwenden, um Konten zu kompromittieren. ATA löst jetzt eine Warnung aus, wenn ein anormales fehlgeschlagenes Authentifizierungsverhalten erkannt wird.
  • Remote-Ausführungsversuch – WMI-Exec: Angreifer können versuchen, Ihr Netzwerk zu kontrollieren, indem sie Code remote auf Ihrem Domänencontroller ausführen. ATA hat eine Erkennung für die Remoteausführung hinzugefügt, die WMI-Methoden nutzt, um Code remote auszuführen.

Dieses Update ermöglicht es Sicherheitskräften auch, verdächtige Aktivitäten zu selektieren, indem sie:

  • Unterdrücken wiederkehrende verdächtige Aktivitäten aus der Alarmierung.
  • Ohne Entitäten daran hindern, zukünftige verdächtige Aktivitäten zu melden, um zu verhindern, dass ATA warnt, wenn es gutartige True-Positives erkennt (z. B. wenn ein Administrator Remote-Code ausführt oder nslookup verwendet).
  • Löschen verdächtige Aktivitäten aus der Angriffszeitlinie.

Microsoft hat außerdem einige neue Berichte hinzugefügt, die die Analyse und Untersuchung der Sicherheitsprobleme vereinfachen. Der neue zusammenfassende Bericht wurde hinzugefügt, damit Sie alle zusammengefassten Daten von ATA sehen können, einschließlich verdächtiger Aktivitäten, Gesundheitsprobleme und mehr. Und der Bericht zu sensiblen Gruppen wurde verbessert, damit Sie alle Änderungen sehen können, die in sensiblen Gruppen über einen bestimmten Zeitraum vorgenommen wurden.

Finden Sie das vollständige Änderungsprotokoll hier.

Mehr zu den Themen: Erweiterte Bedrohungsanalyse, Erweiterte Bedrohungsanalyse v1.8, Microsoft Advanced Threat Analytics, Microsoft-ATA, Sicherheitdienst, Aktualisierung

Pradeep Viswav

Pradeep Viswav Schild

Experte für Software und Services

Pradeep ist Absolvent der Informatik und Ingenieurwissenschaften. Er war außerdem Microsoft Student Partner. Derzeit arbeitet er in einem führenden IT-Unternehmen.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *