Spoločnosť Microsoft vydáva Advanced Threat Analytics v1.8 s niekoľkými novými funkciami a vylepšeniami
2 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Microsoft Advanced Threat Analytics (ATA) je lokálna platforma, ktorá pomáha chrániť podnik pred viacerými typmi pokročilých cielených kybernetických útokov a vnútorných hrozieb tým, že využíva informácie z viacerých zdrojov údajov v ich sieti na zistenie správania používateľov a iných subjektov v organizáciu a vybudovanie profilu správania o nich a využitím proprietárneho sieťového analyzátora ATA na zachytávanie a analýzu sieťovej prevádzky viacerých protokolov.
Microsoft má nedávno vydala aktualizáciu Advanced Threat Analytics v1.8 s niekoľkými novými funkciami a vylepšeniami. Ako hackeri nachádzajú nový typ útokov, Microsoft pravidelne aktualizuje svoj ATA engine, aby zlepšil detekciu známych a neznámych útokov. Nižšie nájdete nové a aktualizované detekcie zahrnuté v tejto aktualizácii.
- Abnormálna modifikácia citlivých skupín: V rámci fázy eskalácie privilégií pri útoku útočníci upravujú skupiny s vysokými privilégiami, aby získali prístup k citlivým zdrojom. ATA teraz zisťuje, keď dôjde k abnormálnej zmene v skupine so zvýšenými privilégiami (tj citlivá skupina).
- Podozrivé zlyhania autentifikácie (Behaviorálna hrubá sila): Útočníci sa často pokúšajú použiť hrubú silu na prihlasovacie údaje na kompromitáciu účtov. ATA teraz zobrazí výstrahu, keď sa zistí abnormálne neúspešné správanie pri autentifikácii.
- Vzdialený pokus o spustenie – WMI exec: Útočníci sa môžu pokúsiť ovládnuť vašu sieť diaľkovým spustením kódu na vašom radiči domény. ATA pridalo detekciu pre vzdialené spustenie využívajúce metódy WMI na spustenie kódu na diaľku.
Táto aktualizácia tiež umožní bezpečnostným operáciám triediť podozrivé aktivity:
- Potláčanie opakujúce sa podozrivé aktivity z upozornenia.
- Nepočítajúc entity v vyvolávaní budúcich podozrivých aktivít, aby sa zabránilo tomu, že ATA upozorní, keď zistí neškodné skutočné pozitíva (ako je napríklad správca spustený vzdialený kód alebo pomocou nslookup).
- mazanie podozrivé aktivity z časovej línie útoku.
Spoločnosť Microsoft tiež pridala niekoľko nových správ, ktoré uľahčia analýzu a skúmanie bezpečnostných problémov. Nová súhrnná správa bola pridaná, aby vám umožnila zobraziť všetky súhrnné údaje z ATA, vrátane podozrivých aktivít, zdravotných problémov a ďalších. A prehľad citlivých skupín bol vylepšený, aby ste mohli vidieť všetky zmeny vykonané v citlivých skupinách za určité obdobie.
Nájdite úplný denník zmien tu.
