Microsoft, birkaç yeni özellik ve iyileştirme ile Advanced Threat Analytics v1.8'i yayınladı

Microsoft Gelişmiş Tehdit Analizi (ATA), ağlarındaki kullanıcıların ve diğer varlıkların davranışlarını öğrenmek için ağlarındaki birden çok veri kaynağından gelen bilgileri kullanarak kuruluşu birden çok türde gelişmiş hedefli siber saldırıdan ve içeriden gelen tehditlerden korumaya yardımcı olan bir şirket içi platformdur. çok sayıda protokolün ağ trafiğini yakalamak ve ayrıştırmak için ATA'nın tescilli ağ ayrıştırma motorundan yararlanarak ve bunlar hakkında davranışsal bir profil oluşturun.

Microsoft'un sahip olduğu geçenlerde birkaç yeni özellik ve iyileştirme içeren Advanced Threat Analytics v1.8 güncellemesini yayınladı. Bilgisayar korsanları yeni tür saldırılar buldukça Microsoft, bilinen ve bilinmeyen saldırılara yönelik algılamaları iyileştirmek için ATA motorunu düzenli aralıklarla günceller. Bu güncellemede yer alan yeni ve güncellenmiş algılamaları aşağıda bulabilirsiniz.

• Hassas grupların anormal modifikasyonu: Bir saldırının ayrıcalık yükseltme aşamasının bir parçası olarak, saldırganlar hassas kaynaklara erişim elde etmek için yüksek ayrıcalıklara sahip grupları değiştirir. ATA artık yüksek ayrıcalıklara sahip bir grupta (yani hassas bir grup) anormal bir değişiklik olduğunda bunu algılıyor.
• Şüpheli kimlik doğrulama hataları (Davranışsal kaba kuvvet): Saldırganlar, hesapları tehlikeye atmak için genellikle kimlik bilgileri üzerinde kaba kuvvet kullanmaya çalışır. ATA artık anormal başarısız kimlik doğrulama davranışı algılandığında bir uyarı veriyor.
• Uzaktan yürütme girişimi – WMI yürütme: Saldırganlar, etki alanı denetleyicinizde uzaktan kod çalıştırarak ağınızı kontrol etmeye çalışabilir. ATA, kodu uzaktan çalıştırmak için WMI yöntemlerinden yararlanan bir uzaktan yürütme algılaması ekledi.

Bu güncelleme aynı zamanda güvenlik operasyonlarının şüpheli etkinlikleri şu şekilde öncelik sırasına koymasını sağlayacak:

• Bastırma uyarıdan yinelenen şüpheli etkinlikler.
• Hariç ATA'nın iyi huylu gerçek pozitifler (uzaktan kod çalıştıran veya nslookup kullanan bir yönetici gibi) algıladığında uyarı vermesini önlemek için varlıkların gelecekteki şüpheli etkinlikler oluşturmasını engeller.
• silme saldırı zaman çizgisinden şüpheli faaliyetler.

Microsoft ayrıca güvenlik sorunlarını analiz etmeyi ve araştırmayı kolaylaştıracak birkaç yeni rapor ekledi. Şüpheli etkinlikler, sağlık sorunları ve daha fazlası dahil olmak üzere ATA'dan alınan tüm özet verileri görmenizi sağlamak için yeni özet rapor eklendi. Ve hassas gruplar raporu, belirli bir dönemde hassas gruplarda yapılan tüm değişiklikleri görmenizi sağlamak için iyileştirildi.

Tam değişiklik günlüğünü bulun okuyun.