Microsoft lansează Advanced Threat Analytics v1.8 cu câteva funcții și îmbunătățiri noi

Microsoft Advanced Threat Analytics (ATA) este o platformă locală care ajută la protejarea întreprinderii de mai multe tipuri de atacuri cibernetice avansate și amenințări interne prin utilizarea informațiilor din mai multe surse de date din rețeaua lor pentru a afla comportamentul utilizatorilor și al altor entități din organizație și construiți un profil comportamental despre acestea și prin folosirea motorului proprietar de analiză a rețelei ATA pentru a captura și analiza traficul de rețea al mai multor protocoale.

Microsoft are recent a lansat actualizarea Advanced Threat Analytics v1.8 cu câteva funcții și îmbunătățiri noi. Pe măsură ce hackerii găsesc noi tipuri de atacuri, Microsoft își actualizează periodic motorul ATA pentru a îmbunătăți detectarea atacurilor cunoscute și necunoscute. Găsiți mai jos detectiile noi și actualizate incluse în această actualizare.

• Modificarea anormală a grupurilor sensibile: Ca parte a fazei de escaladare a privilegiilor a unui atac, atacatorii modifică grupurile cu privilegii mari pentru a obține acces la resurse sensibile. ATA detectează acum când există o schimbare anormală într-un grup cu privilegii ridicate (adică un grup sensibil).
• Eșecuri suspecte de autentificare (forță brută comportamentală): Atacatorii încearcă adesea să folosească forța brută asupra acreditărilor pentru a compromite conturile. ATA lansează acum o alertă atunci când este detectat un comportament anormal de autentificare eșuat.
• Încercarea de execuție de la distanță – WMI exec: Atacatorii pot încerca să vă controleze rețeaua rulând cod de la distanță pe controlerul dvs. de domeniu. ATA a adăugat o detectare pentru execuția de la distanță utilizând metodele WMI pentru a rula codul de la distanță.

Această actualizare va permite, de asemenea, operațiunilor de securitate să trieze activitățile suspecte prin:

• suprimarea activități suspecte recurente din alertă.
• F? r? entităților să dezvolte activități suspecte viitoare, pentru a preveni ATA să alerteze atunci când detectează pozitive adevărate benigne (cum ar fi un administrator care rulează cod de la distanță sau folosește nslookup).
• Ștergerea activități suspecte din timpul atacului.

Microsoft a adăugat, de asemenea, câteva rapoarte noi care vor facilita analiza și investigarea problemelor de securitate. Noul raport de rezumat a fost adăugat pentru a vă permite să vedeți toate datele rezumate de la ATA, inclusiv activitățile suspecte, problemele de sănătate și multe altele. Iar raportul privind grupurile sensibile a fost îmbunătățit pentru a vă permite să vedeți toate modificările făcute în grupurile sensibile într-o anumită perioadă.

Găsiți jurnalul complet de modificări aici.