Microsoft випускає Advanced Threat Analytics v1.8 з кількома новими функціями та покращеннями
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Microsoft Advanced Threat Analytics (ATA) — це локальна платформа, яка допомагає захистити підприємство від різних типів розширених цілеспрямованих кібератак та внутрішніх загроз, використовуючи інформацію з кількох джерел даних у їхній мережі, щоб дізнатися поведінку користувачів та інших організацій у організації та побудувати про них поведінковий профіль, а також за допомогою власного механізму розбору мережі ATA для захоплення та аналізу мережевого трафіку кількох протоколів.
У Microsoft є нещодавно випустила оновлення Advanced Threat Analytics v1.8 з кількома новими функціями та покращеннями. Оскільки хакери знаходять новий тип атак, Microsoft періодично оновлює свій механізм ATA, щоб покращити виявлення відомих і невідомих атак. Нижче знайдіть нові й оновлені виявлення, включені в це оновлення.
- Аномальна модифікація чутливих груп: У рамках фази ескалації привілеїв атаки зловмисники змінюють групи з високими привілеями, щоб отримати доступ до конфіденційних ресурсів. ATA тепер виявляє, коли в групі з підвищеними привілеями (тобто чутлива група) сталася ненормальна зміна.
- Підозрілі помилки автентифікації (поведінкова груба сила): Зловмисники часто намагаються застосувати грубу силу до облікових даних, щоб зламати облікові записи. ATA тепер викликає сповіщення, коли виявлено ненормальну поведінку невдалої автентифікації.
- Спроба віддаленого виконання – WMI exec: Зловмисники можуть спробувати контролювати вашу мережу, запустивши код віддалено на контролері домену. ATA додала виявлення для віддаленого виконання з використанням методів WMI для віддаленого запуску коду.
Це оновлення також дозволить службам безпеки сортувати підозрілі дії за допомогою:
- Придушення повторювані підозрілі дії з оповіщення.
- Виключаючи сутності від повідомлень про підозрілу діяльність у майбутньому, щоб запобігти сповіщенню ATA, коли він виявляє доброякісні істинні позитиви (наприклад, адміністратор, який запускає віддалений код або використовує nslookup).
- видалення підозрілі дії з лінії часу атаки.
Microsoft також додала кілька нових звітів, які полегшать аналіз і дослідження проблем безпеки. Новий підсумковий звіт був доданий, щоб ви могли бачити всі зведені дані від ATA, включаючи підозрілі дії, проблеми зі здоров’ям тощо. Звіт про делікатні групи було покращено, щоб ви могли бачити всі зміни, внесені в делікатних групах за певний період.
Знайдіть повний журнал змін тут.
