Microsoft, 몇 가지 새로운 기능 및 개선 사항이 포함된 Advanced Threat Analytics v1.8 출시

Microsoft ATA(Advanced Threat Analytics)는 네트워크에 있는 여러 데이터 소스의 정보를 사용하여 네트워크에 있는 사용자 및 기타 엔터티의 행동을 학습함으로써 다양한 유형의 지능형 표적 사이버 공격 및 내부 위협으로부터 기업을 보호하는 온프레미스 플랫폼입니다. 여러 프로토콜의 네트워크 트래픽을 캡처 및 구문 분석하기 위해 ATA의 독점 네트워크 구문 분석 엔진을 활용하여 이에 대한 행동 프로필을 구성하고 구축합니다.

Microsoft는 최근에 몇 가지 새로운 기능과 개선 사항이 포함된 Advanced Threat Analytics v1.8 업데이트를 출시했습니다. 해커가 새로운 유형의 공격을 발견하면 Microsoft는 ATA 엔진을 주기적으로 업데이트하여 알려지거나 알려지지 않은 공격에 대한 탐지를 개선합니다. 아래에서 이 업데이트에 포함된 새롭고 업데이트된 탐지를 찾으십시오.

• 민감한 그룹의 비정상적인 수정: 공격의 권한 상승 단계의 일부로 공격자는 민감한 리소스에 대한 액세스 권한을 얻기 위해 높은 권한을 가진 그룹을 수정합니다. 이제 ATA는 상승된 권한을 가진 그룹(예: 민감한 그룹)에 비정상적인 변경이 있을 때 이를 감지합니다.
• 의심스러운 인증 실패(행동 무차별 대입): 공격자는 종종 계정을 손상시키기 위해 자격 증명에 무차별 대입을 시도합니다. 이제 비정상적으로 실패한 인증 동작이 감지되면 ATA에서 경고를 표시합니다.
• 원격 실행 시도 – WMI 실행: 공격자는 도메인 컨트롤러에서 원격으로 코드를 실행하여 네트워크 제어를 시도할 수 있습니다. ATA는 WMI 방법을 활용하여 코드를 원격으로 실행하는 원격 실행 감지 기능을 추가했습니다.

이 업데이트는 또한 보안 담당자가 다음을 통해 의심스러운 활동을 분류할 수 있도록 합니다.

• 억제 경고에서 반복되는 의심스러운 활동.
• 을 제외한 엔터티가 향후 의심스러운 활동을 발생시키지 않도록 하여 양성 참 양성(예: 원격 코드를 실행하거나 nslookup을 사용하는 관리자)을 감지할 때 ATA가 경고하지 않도록 합니다.
• 삭제 공격 타임 라인에서 의심스러운 활동.

Microsoft는 또한 보안 문제를 쉽게 분석하고 조사할 수 있는 몇 가지 새로운 보고서를 추가했습니다. 의심스러운 활동, 건강 문제 등을 포함하여 ATA에서 요약된 모든 데이터를 볼 수 있도록 새로운 요약 보고서가 추가되었습니다. 그리고 민감한 그룹 보고서가 개선되어 특정 기간 동안 민감한 그룹의 모든 변경 사항을 볼 수 있습니다.

전체 변경 로그 찾기 여기에서 지금 확인해 보세요..