Microsoft izdaje Advanced Threat Analytics v1.8 s nekoliko novih značajki i poboljšanja
2 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Microsoft Advanced Threat Analytics (ATA) je on-premises platforma koja pomaže u zaštiti poduzeća od više vrsta naprednih ciljanih cyber napada i insajderskih prijetnji korištenjem informacija iz više izvora podataka u njihovoj mreži za učenje ponašanja korisnika i drugih entiteta u organizaciju i izgraditi profil ponašanja o njima i korištenjem ATA-ovog vlasničkog motora za analizu mreže za hvatanje i analizu mrežnog prometa više protokola.
Microsoft je imao nedavno izdao ažuriranje Advanced Threat Analytics v1.8 s nekoliko novih značajki i poboljšanja. Kako hakeri pronalaze novu vrstu napada, Microsoft povremeno ažurira svoj ATA mehanizam kako bi poboljšao otkrivanje poznatih i nepoznatih napada. U nastavku pronađite nove i ažurirane detekcije uključene u ovo ažuriranje.
- Abnormalna modifikacija osjetljivih skupina: Kao dio faze eskalacije privilegija napada, napadači modificiraju grupe s visokim privilegijama kako bi dobili pristup osjetljivim resursima. ATA sada otkriva kada dođe do abnormalne promjene u grupi s povišenim privilegijama (tj. osjetljivoj grupi).
- Sumnjivi neuspjesi provjere autentičnosti (Brute Force ponašanja): Napadači često pokušavaju upotrijebiti grubu silu na vjerodajnicama kako bi kompromitirali račune. ATA sada podiže upozorenje kada se otkrije nenormalno ponašanje neuspjele provjere autentičnosti.
- Pokušaj udaljenog izvršenja – WMI exec: Napadači mogu pokušati kontrolirati vašu mrežu pokretanjem koda na daljinu na vašem kontroleru domene. ATA je dodao detekciju za daljinsko izvršenje koristeći WMI metode za daljinsko pokretanje koda.
Ovo ažuriranje također će omogućiti sigurnosnim operacijama da trijaju sumnjive aktivnosti putem:
- suzbijanje ponavljajuće sumnjive aktivnosti od uzbunjivanja.
- izuzimajući entitete od pokretanja budućih sumnjivih aktivnosti, kako bi spriječio ATA da upozori kada otkrije benigne istinske pozitivne (kao što je administrator koji pokreće daljinski kod ili koristi nslookup).
- Brisanje sumnjive aktivnosti s vremenske crte napada.
Microsoft je također dodao nekoliko novih izvješća koja će olakšati analizu i istraživanje sigurnosnih problema. Novo sažeto izvješće dodano je kako bi vam omogućilo da vidite sve sažete podatke iz ATA, uključujući sumnjive aktivnosti, zdravstvene probleme i još mnogo toga. Izvješće o osjetljivim grupama poboljšano je kako bi vam omogućilo da vidite sve promjene napravljene u osjetljivim grupama tijekom određenog razdoblja.
Pronađite cijeli dnevnik promjena ovdje.
