Microsoft 發布 Advanced Threat Analytics v1.8,其中包含多項新功能和改進
2分鐘讀
發表於
分享此文章
改進本指南
Microsoft 高級威脅分析 (ATA) 是一個本地平台,通過使用來自其網絡中多個數據源的信息來了解用戶和其他實體的行為,幫助保護企業免受多種類型的高級目標網絡攻擊和內部威脅。通過利用 ATA 的專有網絡解析引擎來捕獲和解析多個協議的網絡流量,組織並構建關於它們的行為配置文件。
微軟已經 最近 發布了具有多項新功能和改進的 Advanced Threat Analytics v1.8 更新。 隨著黑客發現新型攻擊,Microsoft 會定期更新其 ATA 引擎,以改進對已知和未知攻擊的檢測。 在下方查找此更新中包含的新檢測和更新檢測。
- 敏感組異常修飾: 作為攻擊的特權升級階段的一部分,攻擊者修改具有高特權的組以獲得對敏感資源的訪問權限。 ATA 現在可以檢測具有提升權限的組(即敏感組)何時發生異常變化。
- 可疑的身份驗證失敗(行為蠻力): 攻擊者經常嘗試對憑據使用暴力破解來破壞帳戶。 ATA 現在會在檢測到異常失敗的身份驗證行為時發出警報。
- 遠程執行嘗試 - WMI exec: 攻擊者可以嘗試通過在您的域控制器上遠程運行代碼來控制您的網絡。 ATA 添加了一個遠程執行檢測,利用 WMI 方法遠程運行代碼。
此更新還將授權安全操作人員通過以下方式對可疑活動進行分類:
- 壓制 從警報中重複出現的可疑活動。
- 排除 實體提出未來的可疑活動,以防止 ATA 在檢測到良性真陽性(例如管理員運行遠程代碼或使用 nslookup)時發出警報。
- 刪除 來自攻擊時間線的可疑活動。
Microsoft 還添加了一些新報告,可以輕鬆分析和調查安全問題。 添加了新的匯總報告,使您能夠查看來自 ATA 的所有匯總數據,包括可疑活動、健康問題等。 並且改進了敏感組報告,使您能夠查看敏感組在特定時間段內所做的所有更改。
查找完整的更改日誌 点击這裡.
