マイクロソフトは、いくつかの新機能と改善を備えたAdvanced Threat Analyticsv1.8をリリースします
2分。 読んだ
上で公開
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
Microsoft Advanced Threat Analytics(ATA)は、ネットワーク内の複数のデータソースからの情報を使用して、組織化し、それらに関する動作プロファイルを構築し、ATA独自のネットワーク解析エンジンを活用して複数のプロトコルのネットワークトラフィックをキャプチャおよび解析します。
Microsoftには 最近 いくつかの新機能と改善を含むAdvancedThreatAnalyticsv1.8アップデートをリリースしました。 ハッカーが新しいタイプの攻撃を見つけると、MicrosoftはATAエンジンを定期的に更新して、既知および未知の攻撃の検出を改善します。 以下のこの更新に含まれる新しい検出と更新された検出を見つけてください。
- 敏感なグループの異常な変更: 攻撃の特権昇格フェーズの一部として、攻撃者は機密性の高いリソースにアクセスするために、高い特権を持つグループを変更します。 ATAは、昇格された特権を持つグループ(つまり、機密性の高いグループ)に異常な変化があったことを検出するようになりました。
- 疑わしい認証の失敗(行動ブルートフォース): 攻撃者は、アカウントを侵害するためにクレデンシャルにブルートフォースを使用しようとすることがよくあります。 ATAは、異常な認証の失敗が検出されたときにアラートを発行するようになりました。
- リモート実行の試行– WMI exec: 攻撃者は、ドメインコントローラでコードをリモートで実行することにより、ネットワークを制御しようとする可能性があります。 ATAは、WMIメソッドを利用してコードをリモートで実行するリモート実行の検出を追加しました。
この更新により、セキュリティ運用者は次の方法で疑わしいアクティビティをトリアージすることもできます。
- 抑制 警告からの繰り返しの疑わしい活動。
- 除きます エンティティが将来の疑わしいアクティビティを発生させないようにして、ATAが良性の真陽性(リモートコードを実行している管理者やnslookupを使用している管理者など)を検出したときにアラートを出さないようにします。
- 削除 攻撃のタイムラインからの疑わしいアクティビティ。
マイクロソフトはまた、セキュリティ問題の分析と調査を容易にするいくつかの新しいレポートを追加しました。 新しい要約レポートが追加され、疑わしいアクティビティ、健康上の問題などを含む、ATAからのすべての要約データを表示できるようになりました。 また、機密グループレポートが改善され、特定の期間に機密グループで行われたすべての変更を確認できるようになりました。
完全な変更ログを見つける こちら.