Microsoft 发布 Advanced Threat Analytics v1.8,其中包含多项新功能和改进
2分钟读
发表于
分享此文章
改进本指南
Microsoft 高级威胁分析 (ATA) 是一个本地平台,通过使用来自其网络中多个数据源的信息来了解用户和其他实体的行为,帮助保护企业免受多种类型的高级目标网络攻击和内部威胁。通过利用 ATA 的专有网络解析引擎来捕获和解析多个协议的网络流量,组织并构建关于它们的行为配置文件。
微软有 最近 发布了具有多项新功能和改进的 Advanced Threat Analytics v1.8 更新。 随着黑客发现新型攻击,Microsoft 会定期更新其 ATA 引擎,以改进对已知和未知攻击的检测。 在下方查找此更新中包含的新检测和更新检测。
- 敏感组异常修饰: 作为攻击权限提升阶段的一部分,攻击者修改具有高权限的组以获取对敏感资源的访问权限。 ATA 现在可以检测具有提升权限的组(即敏感组)何时发生异常变化。
- 可疑的身份验证失败(行为蛮力): 攻击者经常尝试对凭据使用暴力破解来破坏帐户。 ATA 现在会在检测到异常失败的身份验证行为时发出警报。
- 远程执行尝试 - WMI exec: 攻击者可以尝试通过在您的域控制器上远程运行代码来控制您的网络。 ATA 添加了一个远程执行检测,利用 WMI 方法远程运行代码。
此更新还将授权安全操作人员通过以下方式对可疑活动进行分类:
- 压制 从警报中重复出现的可疑活动。
- 排除 实体提出未来的可疑活动,以防止 ATA 在检测到良性真阳性(例如管理员运行远程代码或使用 nslookup)时发出警报。
- 删除 攻击时间线上的可疑活动。
Microsoft 还添加了一些新报告,可以轻松分析和调查安全问题。 添加了新的摘要报告,使您能够查看来自 ATA 的所有汇总数据,包括可疑活动、健康问题等。 并且改进了敏感组报告,使您能够查看敏感组在特定时间段内所做的所有更改。
查找完整的更改日志 相关信息.
