Novedades de Microsoft Defender for Identity

  • Artículo
  • Tiempo de lectura: 61 minutos

Este artículo se actualiza con frecuencia para informarle de las novedades de la versión más reciente de Microsoft Defender for Identity (antes Azure Advanced Threat Protection, conocido también como Azure ATP).

Fuente RSS: reciba notificaciones cuando esta página se actualice copiando y pegando la siguiente dirección URL en su lector de fuentes: https://docs.microsoft.com/api/search/rss?search=%22This+article+is+updated+frequently+to+let+you+know+what%27s+new+in+the+latest+release+of+Microsoft+Defender+for+Identity%22&locale=en-us

Para más información sobre las novedades de otros productos de seguridad de Microsoft Defender, consulte:

Nota

A partir del 15 de junio de 2022, Microsoft ya no admitirá el sensor de Defender for Identity en dispositivos que ejecuten Windows Server 2008 R2. Se recomienda identificar los controladores de dominio (DC) o los servidores (AD FS) restantes que todavía ejecuten Windows Server 2008 R2 como sistema operativo y planificar su actualización a un sistema operativo compatible.

Durante los dos meses siguientes al 15 de junio de 2022, el sensor seguirá funcionando. Después de este período de dos meses, a partir del 15 de agosto de 2022, el sensor ya no funcionará en las plataformas Windows Server 2008 R2. Encontrará más detalles en https://aka.ms/mdi/2008r2.

Defender for Identity, versión 2.185

Fecha de publicación: 18 de julio de 2022

  • Se ha corregido un problema por el que se detectaba erróneamente una sospecha de uso de golden ticket (cuenta inexistente) (id. externo 2027) en dispositivos macOS.

  • Acciones de usuario: Hemos decidido dividir la acción Deshabilitar usuario en la página del usuario en dos acciones diferentes:

    • Deshabilitar usuario, que deshabilita el usuario en el nivel de Active Directory.
    • Suspender usuario, que deshabilita el usuario en el nivel de Azure Active Directory.

    Entendemos que el tiempo que tarda la sincronización entre Active Directory y Azure Active Directory puede ser fundamental, por lo que ahora puede optar por deshabilitar los usuarios en uno después del otro, con el fin de eliminar la dependencia de la propia sincronización. Tenga en cuenta que Active Directory invalidará un usuario que solo se haya deshabilitado en Azure Active Directory, si el usuario todavía está activo ahí.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.184

Fecha de publicación: 10 de julio de 2022

  • Nuevas evaluaciones de seguridad
    Ahora, Defender for Identity incluye la siguiente nueva evaluación de seguridad:

    • Configuraciones de dominio no seguras
      Microsoft Defender for Identity supervisa continuamente su entorno para identificar dominios con valores de configuración que suponen un riesgo de seguridad e informa sobre estos dominios para ayudarle a proteger su entorno. Para obtener más información, consulte Evaluación de seguridad: Configuraciones de dominio no seguras.

  • Ahora, el paquete de instalación de Defender for Identity instalará el componente Npcap en lugar de los controladores WinPcap. Para obtener más información, vea Controladores WinPcap y Npcap.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.183.15436.10558 (Hotfix)

Publicado el 20 de junio de 2022 (actualizado el 4 de julio de 2022)

  • Nueva alerta de seguridad: Sospecha de ataque DFSCoerce mediante el Protocolo de sistema de archivos distribuido
    En respuesta a la publicación de una herramienta de ataque reciente que aprovecha un flujo en el protocolo DFS, Microsoft Defender for Identity desencadenará una alerta de seguridad cada vez que un atacante use este método de ataque. Para más información sobre este ataque, lea la entrada de blog.

Defender for Indentity, versión 2.183

Fecha de publicación: 20 de junio de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.182

Fecha de publicación: 4 de junio de 2022

  • Hay disponible una página Acerca de nueva para Defender for Identity. Puede encontrarla en el portal de Microsoft 365 Defender, en Configuración ->Identidades ->Acerca de. Proporciona varios detalles importantes sobre el área de trabajo de Defender for Identity, incluido el nombre del área de trabajo, la versión, el identificador y la geolocalización del área de trabajo. Esta información puede ser útil al solucionar problemas y abrir incidencias de soporte técnico.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.181

Fecha de publicación: 22 de mayo de 2022

  • Ahora puede realizar acciones de corrección directamente en las cuentas locales mediante Microsoft Defender for Identity.

    • Deshabilitar usuario: impide, de manera temporal, que un usuario inicie sesión en la red. Puede ayudar a evitar que los usuarios en peligro se muevan lateralmente e intenten filtrar datos o poner en peligro aún más la red.
    • Restablecer la contraseña de usuario: solicita al usuario que cambie la contraseña en el inicio de sesión siguiente, lo que permite garantizar que no se usará esta cuenta para realizar más intentos de suplantación.

    Estas acciones se pueden realizar desde varias ubicaciones en Microsoft 365 Defender: la página del usuario, el panel lateral de la página del usuario, la búsqueda avanzada e, incluso, las detecciones personalizadas. Esto requiere configurar una cuenta gMSA con privilegios que Microsoft Defender for Identity usará para realizar las acciones. Para más información sobre los requisitos, consulte el artículo sobre las cuentas de acción de Microsoft Defender for Identity.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.180

Fecha de publicación: 12 de mayo de 2022

  • Nueva alerta de seguridad: Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923)
    En respuesta a la publicación de las CVE recientes, Microsoft Defender for Identity desencadenará una alerta de seguridad cada vez que un atacante intente aprovechar CVE-2022-26923. Para más información sobre este ataque, lea la entrada de blog.

  • En la versión 2.177, publicamos actividades LDAP adicionales que puede cubrir Defender for Identity. Sin embargo, encontramos un error que hace que los eventos no se presenten ni ingieran en el portal de Defender for Identity. Esto se corrigió en esta versión. A partir de la versión 2.180, cuando se habilita el identificador de evento 1644, no solo se obtiene visibilidad de las actividades LDAP a través de los servicios web de Active Directory, sino que, además, otras actividades LDAP incluirán al usuario que hizo la actividad LDAP en el equipo de origen. Esto se aplica a las alertas de seguridad y las actividades lógicas que se basan en eventos LDAP.

  • Como respuesta a la vulnerabilidad de seguridad KrbRelayUp reciente, lanzamos un detector silencioso que nos permite evaluar nuestra respuesta frente a esta vulnerabilidad. Con el detector silencioso, podremos evaluar la eficacia de la detección y recopilar información en función de los eventos que recopilamos. Si esta detección se mostrará en alta calidad, publicaremos una alerta de seguridad nueva en la próxima versión.

  • Cambiamos el nombre de Ejecución remota de código sobre DNS a Intento de ejecución remota de código sobre DNS, porque refleja mejor la lógica detrás de estas alertas de seguridad.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.179

Fecha de publicación: 1 de mayo de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.178

Fecha de publicación: 10 de abril de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.177

Fecha de publicación: 27 de marzo de 2022

  • Microsoft Defender for Identity ahora puede supervisar consultas LDAP adicionales en la red. Estas actividades LDAP se envían a través del protocolo de servicio web de Active Directory y actúan como consultas LDAP normales. Para tener visibilidad sobre estas actividades, debe habilitar el evento 1644 en los controladores de dominio. Este evento abarca las actividades LDAP en el dominio y se usa principalmente para identificar búsquedas de protocolo ligero de acceso a directorios (LDAP) costosas, ineficaces o lentas que deben procesar controladores de dominio de Active Directory. Para obtener información sobre cómo habilitar este evento, consulte Id. de evento 1644.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.176

Fecha de publicación: 16 de marzo de 2022

  • A partir de esta versión, al instalar el sensor desde un paquete nuevo, la versión del sensor en Agregar o quitar programas aparecerá con el número de versión completo (por ejemplo, 2.176.x.y), en lugar de la estática 2.0.0.0 que se mostraba anteriormente. Seguirá mostrando esa versión (la que se instala a través del paquete) aunque la versión se actualizará a través de las actualizaciones automáticas de los servicios en la nube de Defender for Identity. La versión real se puede ver en la página de configuración del sensor en el portal, en la ruta de acceso ejecutable o en la versión del archivo.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.175

Fecha de publicación: 6 de marzo de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.174

Fecha de publicación: 20 de febrero de 2022

Defender for Identity, versión 2.173

Fecha de publicación: 13 de febrero de 2022

Defender for Identity, versión 2.172

Fecha de publicación: 8 de febrero de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.171

Fecha de publicación: 31 de enero de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.170

Fecha de publicación: 24 de enero de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.169

Fecha de publicación: 17 de enero de 2022

  • Nos complace publicar la capacidad de configurar una cuenta de acción para Microsoft Defender for Identity. Este es el primer paso en la capacidad de realizar acciones en los usuarios directamente desde el producto. Como primer paso, puede definir la cuenta de gMSA que Microsoft Defender for Identity usará para realizar las acciones. Se recomienda encarecidamente empezar a crear estos usuarios para disfrutar de la característica Acciones una vez que esté en activa. Para obtener más información, consulte Administrar cuentas de acción.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.168

Fecha de publicación: 9 de enero de 2022

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.167

Fecha de publicación: 29 de diciembre de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.166

Fecha de publicación: 27 de diciembre de 2021

Defender for Identity, versión 2.165

Fecha de publicación: 6 de diciembre de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.164

Fecha de publicación: 17 de noviembre de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.163

Fecha de publicación: 8 de noviembre de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.162

Fecha de publicación: 1 de noviembre de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.161

Fecha de publicación: 12 de septiembre de 2021

  • La versión incluye una nueva actividad supervisada: un usuario recuperó la contraseña de la cuenta gMSA. Para más información, consulte Actividades supervisadas de Microsoft Defender for Identity.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.160

Fecha de publicación: 22 de agosto de 2021

  • La versión incluye varias mejoras y cubre más escenarios según los cambios más recientes en la vulnerabilidad PetitPotam.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.159

Fecha de publicación: 15 de agosto de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.
  • La versión incluye una mejora en la alerta recién publicada: Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado (id. externo 2416).
    Ampliamos la compatibilidad para que esta detección se desencadene cuando un posible atacante se comunique a través de un canal EFS-RPC cifrado. Las alertas que se desencadenan cuando se cifra el canal se tratarán como una alerta de gravedad media, en lugar de alta (que es lo que ocurre cuando no está cifrado). Para obtener más información sobre la alerta, consulte Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado (id. externo 2416).

Defender for Identity, versión 2.158

Fecha de publicación: 8 de agosto de 2021

Defender for Identity, versión 2.157

Fecha de publicación: 1 de agosto de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.156

Fecha de publicación: 25 de julio de 2021

  • A partir de esta versión, agregamos el ejecutable del controlador Npcap al paquete de instalación del sensor. Para obtener más información, vea Controladores WinPcap y Npcap.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.155

Fecha de publicación: 18 de julio de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.154

Fecha de publicación: 11 de julio de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.
  • Esta versión incluye mejoras y detecciones agregadas para la vulnerabilidad de seguridad del servicio de impresión conocida como PrintNightmare, para cubrir más escenarios de ataque.

Defender for Identity, versión 2.153

Fecha de publicación: 4 de julio de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

  • La versión incluye una nueva alerta de seguridad: intento de aprovechamiento del servicio de Administrador de trabajos de impresión de Windows (CVE-2021-34527) (identificador externo 2415).

    En esta detección, Defender for Identity desencadena una alerta de seguridad cada vez que un atacante intenta aprovechar el servicio Administrador de trabajos de impresión de Windows en el controlador de dominio. Este vector de ataque está asociado al aprovechamiento del Administrador de trabajos de impresión y se conoce como PrintNightmare. Obtenga más información sobre esta alerta.

Defender for Identity, versión 2.152

Fecha de publicación: 27 de junio de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.151

Fecha de publicación: 20 de junio de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.150

Fecha de publicación: 13 de junio de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.149

Fecha de publicación: 31 de mayo de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.148

Fecha de publicación: 23 de mayo de 2021

  • Si configura y recopila el identificador de evento 4662, Defender for Identity notificará qué usuario realizó el cambio de número de secuencia de actualización (USN) a varias propiedades de objeto de Active Directory. Por ejemplo, si se cambia una contraseña de cuenta y el evento 4662 está habilitado, el evento registrará quién cambió la contraseña.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.147

Fecha de publicación: 9 de mayo de 2021

  • En respuesta a los comentarios de los clientes, estamos aumentando el número predeterminado de sensores permitidos de 200 a 350 y las credenciales de Servicios de directorio de 10 a 30.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.146

Fecha de publicación: 2 de mayo de 2021

  • Las notificaciones por correo electrónico para los problemas de estado y las alertas de seguridad ahora tendrán la dirección URL de la investigación tanto para Microsoft Defender for Identity como para Microsoft 365 Defender.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.145

Fecha de publicación: 22 de abril de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.144

Fecha de publicación: 12 de abril de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.143

Fecha de publicación: 14 de marzo de 2021

  • Hemos agregado el evento de Windows n.º 4741 para detectar cuentas del equipo agregadas a actividades de Active Directory. Configure el evento nuevo para que Defender for Cloud Apps pueda recopilarlo. Una vez definida la configuración, los eventos recopilados estarán disponibles para su consulta en el registro de actividades y la búsqueda avanzada de Microsoft 365 Defender.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.142

Fecha de publicación: 7 de marzo de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.141

Fecha de publicación: 21 de febrero de 2021

  • Nueva alerta de seguridad: Sospecha de ataque AS-REP Roasting (identificador externo 2412)
    La alerta de seguridad Sospecha de ataque AS-REP Roasting (identificador externo 2412) de Defender for Identity ya está disponible. En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando un usuario malintencionado ataca cuentas que no tienen habilitada la preautenticación Kerberos e intenta obtener los datos TGT de Kerberos. Puede que la intención del atacante sea extraer las credenciales de los datos mediante ataques de vulneración de contraseñas sin conexión. Para obtener más información, consulte Sospecha de ataque AS-REP Roasting (identificador externo 2412).
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.140

Fecha de publicación: 14 de febrero de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.139

Fecha de publicación: 31 de enero de 2021

  • Hemos actualizado la gravedad de la exposición del nombre de entidad de seguridad de servicio (SPN) de Kerberos a alta para reflejar mejor el impacto de la alerta. Para obtener más información sobre la alerta, consulte Exposición de SPN de Kerberos sospechosa (identificador externo 2410).
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.138

Fecha de publicación: 24 de enero de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.137

Fecha de publicación: 17 de enero de 2021

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.136

Fecha de publicación: 3 de enero de 2021

Defender for Identity, versión 2.135

Fecha de publicación: 20 de diciembre de 2020

Defender for Identity, versión 2.134

Fecha de publicación: 13 de diciembre de 2020

Defender for Identity, versión 2.133

Fecha de publicación: 6 de diciembre de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.132

Fecha de publicación: 17 de noviembre de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.131

Fecha de publicación: 8 de noviembre de 2020

  • Nueva alerta de seguridad: Exposición de SPN de Kerberos sospechosa (identificador externo 2410)
    Ya está disponible la alerta de seguridad de exposición sospechosa de SPN de Kerberos (identificador externo 2410) de Defender for Identity. En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando un atacante enumera las cuentas de servicio y sus respectivos SPN y, a continuación, solicita los vales de TGS de Kerberos de los servicios. La intención del atacante puede ser extraer los valores hash de los vales y guardarlos para su uso posterior en ataques por fuerza bruta sin conexión. Para más información, consulte Exposición de SPN de Kerberos.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Defender for Identity, versión 2.130

Fecha de publicación: 25 de octubre de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.129

Fecha de publicación: 18 de octubre de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.128

Fecha de publicación: 27 de septiembre de 2020

  • Se ha modificado la configuración de las notificaciones de correo electrónico
    Estamos quitando la notificación de correo para activar las notificaciones por correo electrónico. Para recibir notificaciones por correo electrónico, basta con agregar una dirección. Para obtener información, consulte cómo establecer las notificaciones.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.127

Fecha de publicación: 20 de septiembre de 2020

  • Nueva alerta de seguridad: sospecha de intento de elevación de privilegios de Netlogon (id. externo 2411)
    La alerta de seguridad Sospecha de intento de elevación de privilegios de Netlogon (abuso CVE-2020-1472) (id. externo 2411) de Azure ATP ya está disponible. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando un atacante establece una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio, a través el protocolo remoto Netlogon (MS-NRPC), que también se conoce como Vulnerabilidad de elevación de privilegios de Netlogon. Para más información, consulte Sospecha de intento de elevación de privilegios de Netlogon.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.126 de Azure ATP

Fecha de publicación: 13 de septiembre de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.125 de Azure ATP

Fecha de publicación: 6 de septiembre de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.124 de Azure ATP

Fecha de publicación: 30 de agosto de 2020

  • Nuevas alertas de seguridad
    Las alertas de seguridad de Azure ATP ahora incluyen las siguientes nuevas detecciones:
    • Reconocimiento de los atributos de Active Directory (LDAP) (id. externo 2210)
      En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha que un atacante obtiene correctamente información crítica sobre el dominio para su uso en la cadena de eliminación de ataques. Para obtener más información, vea Reconocimiento de atributos de Active Directory.
    • Uso de un certificado Kerberos sospechoso de no estar autorizado (id. externo 2047)
      En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando un atacante que ha obtenido el control sobre la organización al poner en peligro el servidor de la entidad emisora de certificados es sospechoso de generar certificados que se pueden usar como cuentas de puerta trasera en futuros ataques, por ejemplo, el movimiento lateral en la red. Para obtener más información, vea Uso de un certificado Kerberos sospechoso de no estar autorizado.
    • Sospecha de uso de golden ticket (anomalía del vale mediante RBCD) (id. externo 2040)
      Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Mediante la cuenta KRBTGT, pueden crear un vale de concesión de vales (TGT) de Kerberos que proporciona autorización a cualquier recurso.
      Este TGT falsificado se denomina "golden ticket" porque permite a los atacantes conseguir una persistencia de red duradera mediante la Delegación restringida basada en recursos (RBCD). Esta nueva detección está diseñada para identificar las características únicas que tienen los golden tickets falsificados de este tipo. Para obtener más información, vea Sospecha de uso de golden ticket (anomalía del vale mediante RBCD).
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.123

Fecha de publicación: 23 de agosto de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP versión 2.122

Fecha de publicación: 16 de agosto de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.121

Fecha de publicación: 2 de agosto de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.120

Fecha de publicación: 26 de julio de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.119

Fecha de publicación: 5 de julio de 2020

  • Mejora de características: Nueva pestaña Controladores de dominio excluidos en el informe de Excel
    Para mejorar la precisión del cálculo de la cobertura del controlador de dominio, excluiremos del cálculo aquellos controladores de dominio con relaciones de confianza externas con el fin de conseguir una cobertura del 100 %. Los controladores de dominio excluidos figurarán en la nueva pestaña Controladores de dominio excluidos, en el informe de Excel sobre la cobertura del dominio disponible para su descarga. Para obtener más información sobre la descarga del informe, consulte Estado de controlador de dominio.
  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.118

Fecha de publicación: 28 de junio de 2020

  • Nuevas evaluaciones de seguridad
    Las evaluaciones de seguridad de Azure ATP ahora incluyen las siguientes nuevas evaluaciones:

    • Rutas de desplazamiento lateral más arriesgadas
      Esta evaluación supervisa continuamente su entorno para identificar cuentas confidenciales con las rutas de desplazamiento lateral más arriesgadas y que, por tanto, supongan un riesgo de seguridad. También informa sobre estas cuentas para ayudarle a administrar su entorno. Las rutas se consideran de riesgo si cuentan con tres o más cuentas no confidenciales que puedan exponer la cuenta confidencial al robo de credenciales por parte de usuarios malintencionados. Para obtener más información, vea Evaluación de seguridad: Rutas de desplazamiento lateral de mayor riesgo (LMP).
    • Atributos de cuenta no seguros
      Con esta evaluación, Azure ATP supervisa continuamente su entorno para identificar cuentas con valores de atributo que suponen un riesgo de seguridad e informa sobre estas cuentas para ayudarle a proteger su entorno. Para obtener más información, vea Evaluación de seguridad: Atributos de cuenta no seguros.

  • Actualización de la definición de confidencialidad
    Vamos a ampliar nuestra definición de confidencialidad para las cuentas locales con el fin de incluir las entidades que tienen permiso para usar la replicación de Active Directory.

Azure ATP, versión 2.117

Fecha de publicación: 14 de junio de 2020

  • Mejora de características: Detalles de actividad adicionales disponibles en la experiencia de SecOps unificada
    Se ha ampliado la información de los dispositivos que se envía a Defender para Cloud Apps, lo que incluye nombres de dispositivos, direcciones IP, UPN de cuentas y puertos usados. Para obtener más información sobre la integración con Defender for Cloud Apps, consulte Uso de Azure ATP con Defender for Cloud Apps.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.116

Fecha de publicación: 7 de junio de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.115

Fecha de publicación: 31 de mayo de 2020

  • Nuevas evaluaciones de seguridad
    Las evaluaciones de seguridad de Azure ATP ahora incluyen las siguientes nuevas evaluaciones:

    • Atributos del historial de SID no seguros
      Esta evaluación notifica sobre los atributos del historial de SID que los atacantes malintencionados pueden usar para obtener acceso al entorno. Para obtener más información, vea Evaluación de seguridad: Atributos del historial de SID no seguros.
    • Uso de LAPS de Microsoft
      Esta evaluación notifica sobre las cuentas de administrador local que no usan la "Solución de contraseñas de administrador local" (LAPS) de Microsoft para proteger las contraseñas. El uso de LAPS simplifica la administración de contraseñas y además ayuda a defenderse contra ciberataques. Para obtener más información, vea Evaluación de seguridad: Uso de Microsoft LAPS.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.114

Fecha de publicación: 17 de mayo de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.113

Fecha de publicación: 5 de mayo de 2020

  • Mejora de características: actividad de acceso a recursos enriquecida con NTLMv1
    A partir de esta versión, Azure ATP proporciona información sobre las actividades de acceso a los recursos en la que se indica si el recurso emplea la autenticación NTLMv1. Esta configuración de recursos no es segura y supone un riesgo de que actores malintencionados puedan forzar la aplicación en su beneficio. Para más información sobre el riesgo, consulte Evaluación de seguridad: uso de protocolos heredados.

  • Mejora de características: alerta de sospecha de ataque por fuerza bruta (Kerberos, NTLM)
    Los atacantes recurren a ataques por fuerza bruta para inmiscuirse en su organización, un método clave para la detección de riesgos y amenazas en Azure ATP. Para ayudarle a centrarse en los riesgos críticos para los usuarios, esta actualización facilita y agiliza el análisis y la corrección de los riesgos, ya que limita y prioriza el volumen de alertas.

Azure ATP, versión 2.112

Fecha de publicación: 15 de marzo de 2020

  • Las nuevas instancias de Azure ATP se integran automáticamente con Microsoft Defender for Cloud Apps
    Al crear una instancia de Azure ATP (anteriormente área de trabajo), la integración con Microsoft Defender para Cloud Apps está habilitada de forma predeterminada. Para más información sobre la integración, consulte Uso de Azure ATP con Microsoft Defender for Cloud Apps.

  • Nuevas actividades supervisadas
    Los siguientes monitores de actividad ahora están disponibles:

  • Mejora de características: actividad de acceso a recursos enriquecida
    A partir de esta versión, Azure ATP ahora proporciona información sobre las actividades de acceso a los recursos que muestran si el recurso es de confianza para la delegación sin restricciones. Esta configuración de recursos no es segura y supone un riesgo de que actores malintencionados puedan forzar la aplicación en su beneficio. Para más información sobre el riesgo, consulte Evaluación de seguridad: delegación de Kerberos no segura.

  • Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796): (versión preliminar)
    La alerta de seguridad Sospecha de manipulación de paquetes SMB de Azure ATP ahora se encuentra en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha que un paquete de SMBv3 se está aprovechando de la vulnerabilidad de seguridad CVE-2020-0796 sobre un controlador de dominio de la red.

Azure ATP, versión 2.111

Publicado el 1 de marzo de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.110

Fecha de publicación: 23 de febrero de 2020

  • Nueva evaluación de seguridad: controladores de dominio no supervisados
    Las evaluaciones de seguridad de Azure ATP ahora incluyen un informe sobre controladores de dominio no supervisados, servidores sin sensor, para ayudarle a administrar la cobertura completa de su entorno. Para obtener más información, consulte Controladores de dominio no supervisados.

Azure ATP, versión 2.109

Fecha de publicación: 16 de febrero de 2020

  • Mejora de características: Entidades confidenciales
    A partir de esta versión (2.109), las máquinas que Azure ATP ha identificado como entidad de certificación, DHCP o servidores DNS se etiquetan ahora automáticamente como confidenciales.

Azure ATP, versión 2.108

Fecha de publicación: 9 de febrero de 2020

  • Nueva característica: Compatibilidad con las cuentas de servicio administradas de grupo
    Azure ATP admite ahora el uso de cuentas de servicio administradas de grupo (gMSA) para mejorar la seguridad al conectar sensores de Azure ATP a los bosques de Azure Active Directory (AD). Para obtener más información sobre el uso de gMSA con sensores de Azure ATP, consulte Conexión a un bosque de Active Directory.

  • Mejora de características: Informe programado con demasiados datos
    Cuando un informe programado tiene demasiados datos, el correo electrónico ahora informa del hecho al mostrar el siguiente texto: Había demasiados datos durante el período especificado para generar un informe. Esto reemplaza el comportamiento anterior, según el cual esto solo se detectaba después de hacer clic en el vínculo del informe en el correo electrónico.

  • Mejora de características: Actualización de la lógica de cobertura del controlador de dominio
    Hemos actualizado la lógica del informe de cobertura del controlador de dominio para incluir información adicional de Azure AD, lo que da lugar a una vista más precisa de los controladores de dominio sin sensores. Esta nueva lógica también debe tener un efecto positivo en la puntuación segura de Microsoft correspondiente.

Versión 2.107 de Azure ATP

Fecha de publicación: 3 de febrero de 2020

  • Nueva actividad supervisada: cambio del historial de SID
    Ahora el cambio del historial de SID es una actividad supervisada y que se puede filtrar. Obtenga más información sobre qué actividades supervisa Azure ATP y cómo filtrar y buscar actividades supervisadas en el portal.

  • Mejora de características: las alertas cerradas o suprimidas ya no se volverán a abrir
    Una vez que se cierre o suprima una alerta en el portal de Azure ATP, si la misma actividad se detecta de nuevo en un período de tiempo breve, se abrirá una nueva alerta. Anteriormente, en las mismas condiciones, la alerta se volvía a abrir.

  • TLS 1.2 necesario para el acceso al portal y los sensores
    TLS 1.2 es ahora necesario para usar sensores de Azure ATP y el servicio en la nube. El acceso al portal de Azure ATP ya no será posible mediante exploradores que no admitan TLS 1.2.

Versión 2.106 de Azure ATP

Fecha de publicación: 19 de enero de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.105

Fecha de publicación: 12 de enero de 2020

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.104

Fecha de publicación: 23 de diciembre de 2019

  • Se eliminaron las expiraciones de las versiones del sensor
    Los paquetes de instalación del sensor y la implementación de sensores de Azure ATP ya no expiran después de un número de versiones y ahora solamente se actualizan. El resultado de esta característica es que ahora se pueden instalar los paquetes de instalación del sensor descargados anteriormente, aunque sean más antiguos que el número máximo de versiones caducadas.

  • Confirmar que se encuentra en peligro
    Ahora puede confirmar la exposición de usuarios específicos de Microsoft 365 y establecer su nivel de riesgo en alto. Este flujo de trabajo permite a los equipos de operaciones de seguridad otra funcionalidad de respuesta para reducir los umbrales de tiempo de resolución de incidentes de seguridad. Obtenga más información sobre cómo confirmar que se encuentra en peligro mediante Azure ATP y Defender for Cloud Apps.

  • Banner de experiencia nueva
    En las páginas del portal de Azure ATP donde haya disponible una experiencia nueva en el portal de Defender for Cloud Apps, se muestran banners nuevos que describen lo que hay disponible con vínculos de acceso.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2103

Fecha de publicación: 15 de diciembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2102

Fecha de publicación: 8 de diciembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.101

Fecha de publicación: 24 de noviembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.100

Fecha de publicación: 17 de noviembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.99 de Azure ATP

Fecha de publicación: 3 de noviembre de 2019

  • Mejora de características: se ha agregado la notificación de la interfaz de usuario de la disponibilidad del portal de Defender for Cloud Apps al portal de Azure ATP
    Para tener la seguridad de que todos los usuarios están al tanto de la disponibilidad de las características mejoradas mediante el portal de Defender for Cloud Apps, se ha agregado una notificación al portal desde la escala de tiempo existente de alertas de Azure ATP.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.98 de Azure ATP

Fecha de publicación: 27 de octubre de 2019

  • Mejora de características: sospecha de ataque por fuerza bruta
    Se ha mejorado la alerta de sospecha de ataque por fuerza bruta (SMB) con análisis adicional, así como la lógica de detección con el fin de reducir los resultados de alerta positivo verdadero inofensivo (B-TP) y falso positivo (FP) .

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.97

Publicado el 6 de octubre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.96

Publicado el 22 de septiembre de 2019

  • Autenticación NTLM enriquecida mediante el evento 8004 de Windows
    Los sensores de Azure ATP ahora pueden leer y enriquecer automáticamente las actividades de autenticación NTLM con los datos de servidor a los que ha tenido acceso cuando la auditoría NTLM está habilitada y el evento 8004 de Windows está activado. Azure ATP analiza el evento 8004 de Windows para las autenticaciones NTLM con el fin de enriquecer los datos de autenticación NTLM usados para las alertas y el análisis de amenazas de Azure ATP. Esta funcionalidad mejorada proporciona la actividad de acceso a los recursos a través de los datos de NTLM, así como las actividades de inicio de sesión con errores enriquecidas, incluido el equipo de destino al que el usuario intentó tener acceso pero no pudo.

    Obtenga más información sobre las actividades de autenticación NTLM con el evento 8004 de Windows.

  • La versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.95 de Azure ATP

Publicado el 15 de septiembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.94 de Azure ATP

Publicada el 8 de septiembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.93 de Azure ATP

Publicada el 1 de septiembre de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.92 de Azure ATP

Publicado el 25 de agosto de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.91 de Azure ATP

Publicado el 18 de agosto de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.90 de Azure ATP

Publicado el 11 de agosto de 2019

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.89 de Azure ATP

Publicado el 4 de agosto de 2019

  • Mejoras en el método del sensor
    Para evitar una generación de tráfico de NTLM excesiva en la creación de evaluaciones precisas de ruta de desplazamiento lateral (LMP), se han realizado mejoras en los métodos del sensor de Azure ATP para confiar menos en el uso de NTLM y hacer un uso más significativo de Kerberos.

  • Mejora de la alerta: Sospecha de uso de golden ticket (cuenta inexistente)
    Se han agregado cambios en el nombre de SAM a los tipos de evidencia de soporte que se enumeran en este tipo de alerta. Para más información sobre la alerta, incluida la forma de evitar este tipo de actividad y su corrección, vea Sospecha de uso de golden ticket (cuenta inexistente).

  • Disponibilidad general: Sospecha de alteración de la autenticación NTLM
    La alerta Sospecha de alteración de la autenticación NTLM ya no existe en modo de versión preliminar y ahora está disponible con carácter general.

  • La versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.88 de Azure ATP

Publicado el 28 de julio de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.87 de Azure ATP

Publicado el 21 de julio de 2019

  • Mejora de características: recopilación automatizada de eventos Syslog para sensores independientes de Azure ATP
    Las conexiones de Syslog entrantes para sensores independientes de Azure ATP ya están totalmente automatizadas, al mismo tiempo que se quita la opción de alternancia de la pantalla de configuración. Estos cambios no tienen ningún efecto en las conexiones de Syslog salientes.

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.86 de Azure ATP

Publicada el 14 de julio de 2019

  • Nueva alerta de seguridad: Sospecha de alteración de la autenticación NTLM (id. externo: 2039)
    La nueva alerta de seguridad Sospecha de alteración de la autenticación NTLM de Azure ATP ya está en fase de versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se sospecha que un ataque de tipo "Man in the middle" ha soslayado correctamente la comprobación de integridad de mensajes (MIC) de NTLM, una vulnerabilidad de seguridad detallada en CVE-2019-040 de Microsoft. Estos tipos de ataques intentan degradar las características de seguridad de NTLM y autenticarse correctamente, con el objetivo final de realizar movimientos laterales correctos.

  • Mejora de características: identificación del sistema operativo del dispositivo enriquecido
    Hasta ahora, Azure ATP proporcionaba información sobre el sistema operativo del dispositivo de entidad en función del atributo disponible en Active Directory. Antes, si la información del sistema operativo no estaba disponible en Active Directory, tampoco lo estaba en las páginas de entidad de Azure ATP. A partir de esta versión, Azure ATP proporciona esta información sobre los dispositivos de los que Active Directory no tiene dicha información (o que no están registrados en Active Directory) mediante el uso de métodos de identificación del sistema operativo del dispositivo enriquecido.

    La incorporación de datos de identificación del sistema operativo del dispositivo enriquecido ayuda a identificar los dispositivos sin registrar y que no sean de Windows, lo que al mismo tiempo contribuye al proceso de investigación. Para más información sobre la resolución de nombres de red en Azure ATP, vea Descripción de Resolución de nombres de red (NNR).

  • Nueva característica: Proxy autenticado (versión preliminar)
    Ahora, Azure ATP admite servidores proxy autenticados. Especifique la dirección URL del proxy mediante la línea de comandos del sensor y especifique un nombre de usuario y una contraseña para usar servidores proxy que requieran autenticación. Para más información sobre cómo usar un servidor proxy autenticado, consulte Configuración del proxy.

  • Mejora de características: Proceso del sincronizador de dominio automatizado
    Ahora, el proceso de designar y etiquetar controladores de dominio como candidatos del sincronizador de dominio durante la instalación y configuración continua está totalmente automatizado. Se ha quitado la opción de alternancia para seleccionar manualmente controladores de dominio como candidatos del sincronizador de dominio.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.85 de Azure ATP

Publicada el 7 de julio de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.84 de Azure ATP

Publicada el 1 de julio de 2019

  • Nueva ubicación disponible: centro de datos de Azure en el Reino Unido
    En el centro de datos de Azure en el Reino Unido ahora se admiten instancias de Azure ATP. Para obtener más información sobre cómo crear instancias de Azure ATP y sus correspondientes ubicaciones del centro de datos, consulte el paso 1 de la instalación de Azure ATP.

  • Mejora de características: Nuevo nombre y características de la alerta Adiciones anómalas a grupos confidenciales (id. externo 2024)
    Anteriormente, la alerta Adiciones anómalas a grupos confidenciales se denominaba Modificaciones anómalas de grupos confidenciales. El identificador externo de la alerta (2024) sigue siendo el mismo. El cambio del nombre descriptivo refleja con más exactitud el propósito de las alertas relacionadas con las adiciones a sus grupos confidenciales. La versión mejorada de esta alerta también incluye nuevas pruebas y descripciones mejoradas. Para obtener más información, consulte Adiciones anómalas a grupos confidenciales.

  • Documentación de característica nueva: Guía para pasar de Advanced Threat Analytics a Azure ATP
    Este nuevo artículo incluye los requisitos previos, la guía de planeamiento, y los pasos de configuración y verificación para pasar de ATA al servicio Azure ATP. Para obtener más información, consulte Pasar de ATA a Azure ATP.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.83 de Azure ATP

Publicada el 23 de junio de 2019

  • Mejora de características: Alerta de creación de servicios sospechosos (id. externo 2026)
    Esta alerta ahora cuenta con una página de alertas mejorada que incluye pruebas adicionales y una nueva descripción. Para obtener más información, consulte Creación de servicios sospechosos.

  • Nombres de instancias admitidos: Prefijos de dominio de solo dígitos
    Ahora se permite crear instancias de Azure ATP con prefijos de dominio que solo contengan dígitos. Por ejemplo, ahora es posible utilizar prefijos de dominio solo con dígitos, como 123456.contoso.com.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.82 de Azure ATP

Publicada el 18 de junio de 2019

  • Nueva versión preliminar pública
    La experiencia de investigación de amenazas para la identidad de Azure ATP ahora se encuentra en versión preliminar pública y está disponible para todos los inquilinos protegidos de Azure ATP. Para más información, consulte el artículo sobre la experiencia de investigación de Microsoft Defender for Cloud Apps de Azure ATP.

  • Disponibilidad general
    La compatibilidad de Azure ATP con bosques que no son de confianza ahora está disponible con carácter general. Para obtener más información, vea Compatibilidad con varios bosques de Azure ATP.

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.81 de Azure ATP

Publicada el 10 de junio de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.80 de Azure ATP

Publicada el 2 de junio de 2019

  • Mejora de características: alerta de conexión de VPN sospechosa
    Esta alerta incluye ahora mejores evidencias y textos para facilitar el uso. Para obtener más información sobre las características de alerta, así como sobre la corrección y los pasos de prevención sugeridos, consulte la descripción de la alerta Conexión de VPN sospechosa.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.79 de Azure ATP

Fecha de publicación: 26 de mayo de 2019

  • Disponibilidad general: Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038)

    Esta alerta está ahora disponible con carácter general (GA). Para obtener más información sobre la alerta, las características de alerta, y la corrección sugerida y los pasos de prevención, consulte Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038).

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.78 de Azure ATP

Fecha de publicación: 19 de mayo de 2019

  • Mejora de características: Entidades confidenciales
    Etiquetado manual como confidencial para servidores Exchange

    Ahora puede etiquetar manualmente las entidades como servidores Exchange durante la configuración.

    Para etiquetar manualmente una entidad como un servidor Exchange:

    1. En el portal de Azure ATP, seleccione Configuración.
    2. En Detección, seleccione Etiquetas de entidad y luego Confidencial.
    3. Seleccione Servidores Exchange y, a continuación, agregue la entidad que desea etiquetar.

    Después de etiquetar un equipo como un servidor de Exchange Server, se etiquetará como confidencial y mostrará que se ha etiquetado como un servidor de Exchange Server. La etiqueta Confidencial aparecerá en el perfil de la entidad del equipo, y este se tendrá en cuenta en todas las detecciones basadas en cuentas confidenciales y rutas de desplazamiento lateral.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.77 de Azure ATP

Fecha de publicación: 12 de mayo de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.76

Fecha de publicación: 6 de mayo de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.75

Fecha de publicación: 28 de abril de 2019

  • Mejora de características: Entidades confidenciales
    A partir de esta versión (2.75), las máquinas que Azure ATP ha identificado como servidores de Exchange se etiquetan ahora automáticamente como confidenciales.

    Las entidades que se etiquetan automáticamente como confidenciales porque funcionan como servidores de Exchange muestran esta clasificación como razón de que estén etiquetadas.

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.74 de Azure ATP

Fecha de publicación: 14 de abril de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.73 de Azure ATP

Fecha de publicación: 10 de abril de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.72 de Azure ATP

Fecha de publicación: 31 de marzo de 2019

  • Mejora de características: Profundidad con ámbito de la ruta de desplazamiento lateral (LMP)
    Las rutas de desplazamiento lateral (LMP) son un método clave para la detección de amenazas y riesgo en Azure ATP. Para ayudar a mantener el foco en los riesgos críticos para los usuarios más confidenciales, esta actualización facilita y agiliza el análisis y la reparación de los riesgos para los usuarios confidenciales en cada LMP, al limitar el ámbito y la profundidad de cada gráfico mostrado.

    Consulte Rutas de desplazamiento lateral para aprender más sobre cómo Azure ATP usa estas rutas para hacer emerger los riesgos de acceso a cada entidad en el entorno.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.71 de Azure ATP

Fecha de publicación: 24 de marzo de 2019

  • Mejora de características: Alertas de estado de resolución de nombres de red (NNR)
    Se han agregado alertas de estado para los niveles de confianza asociados con las alertas de seguridad de Azure ATP que se basan en NNR. Cada alerta de estado incluye recomendaciones detalladas y prácticas para ayudar a resolver las tasas de éxito bajas de NNR.

    Consulte ¿Qué es la resolución de nombres de red? para aprender más acerca de cómo Azure ATP usa NNR y por qué es importante para la precisión de la alerta.

  • Compatibilidad con Windows Server: Compatibilidad agregada para Server 2019 con el uso de KB4487044
    Compatibilidad agregada para uso de Windows Server 2019, con un nivel de revisión de KB4487044. No se admite el uso de Server 2019 sin la revisión y está bloqueado a partir de esta actualización.

  • Mejora de características: Exclusión de alerta basada en usuario
    Las opciones de exclusión de alertas extendidas ahora permiten excluir a usuarios específicos de alertas específicas. Las exclusiones pueden ayudar a evitar situaciones en las que el uso o la configuración de ciertos tipos de software interno desencadenan repetidamente alertas de seguridad benignas.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.70 de Azure ATP

Fecha de publicación: 17 de marzo de 2019

Versión 2.69 de Azure ATP

Fecha de publicación: 10 de marzo de 2019

  • Mejora de características: alerta Sospecha de robo de identidad (pass-the-ticket). Esta alerta ahora cuenta con nuevas pruebas que muestran los detalles de las conexiones realizadas mediante un protocolo de escritorio remoto (RDP). Las pruebas que se han agregado facilitan la solución del problema conocido relacionado con las alertas de positivos verdaderos inofensivos (B-TP) causadas por el uso de Credential Guard remoto a través de conexiones RDP.

  • Mejora de características: alerta Ejecución remota de código sobre DNS
    Esta alerta ahora cuenta con nuevas pruebas que muestran el estado de actualización de la seguridad del controlador del dominio e informan de los casos en los que es necesario aplicar una actualización.

  • Documentación de característica nueva: alerta de seguridad de Azure ATP MITRE ATT&CK Matrix™
    Para explicar y facilitar la asignación de relaciones entre las alertas de seguridad de Azure ATP y MITRE ATT&CK Matrix, hemos agregado las técnicas MITRE pertinentes a la lista de alertas de seguridad de Azure ATP. Esta referencia adicional hace que sea más fácil comprender la técnica del ataque sospechoso que posiblemente esté en uso al desencadenarse una alerta de seguridad de Azure ATP. Obtenga más información en Alertas de seguridad de Azure ATP.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.68 de Azure ATP

Fecha de publicación: 3 de marzo de 2019

  • Mejora de características: Alerta de sospecha de ataque por fuerza bruta (LDAP)
    Se realizaron importantes mejoras en la facilidad de uso de esta alerta de seguridad, incluida una descripción revisada, el aprovisionamiento de información de origen adicional y detalles de los intentos de adivinación para una corrección más rápida.
    Obtenga más información sobre las alertas de seguridad de ataques por fuerza bruta (LDAP) sospechosos.

  • Documentación de característica nueva: laboratorio de alertas de seguridad
    Para explicar la eficacia de Azure ATP en la detección de las amenazas reales para el entorno de trabajo, agregamos un laboratorio de alertas de seguridad nuevo a esta documentación. El laboratorio de alertas de seguridad lo ayuda a configurar rápidamente un entorno de prueba o de laboratorio y explica la mejor postura defensiva contra ataques y amenazas comunes reales.

    El laboratorio paso a paso está diseñado para garantizar que dedique un mínimo de tiempo para compilación y más tiempo para aprender sobre el panorama de amenazas y la protección y las alertas disponibles de Azure ATP. Nos encanta conocer sus comentarios.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.67 de Azure ATP

Fecha de publicación: 24 de febrero de 2019

  • Nueva alerta de seguridad: Reconocimiento de entidad de seguridad (LDAP) - versión preliminar
    La alerta de seguridad Reconocimiento de entidad de seguridad (LMP) - versión preliminar de Azure ATP ahora se encuentra en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando el reconocimiento de entidad de seguridad se usa por los atacantes para obtener información crítica sobre el entorno de dominio. Esta información ayuda a los atacantes a asignar la estructura de dominios, así como a identificar las cuentas con privilegios para su uso en pasos posteriores de su cadena de interrupción de ataque.

    El protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares utilizados con fines legítimos y malintencionados para consultar en Active Directory. El reconocimiento de la entidad de seguridad centrado en LDAP se utiliza normalmente como la primera fase de un ataque de Kerberoasting. Los ataques de Kerberoasting se utilizan para obtener una lista de destino de los nombres de entidad de seguridad (SPN), para los cuales, a continuación, los atacantes intentan obtener vales del servidor de concesión de vales.

  • Mejora de características: alerta de reconocimiento de enumeración de cuentas (NTLM)
    Se ha mejorado la alerta de reconocimiento de enumeración de cuentas (NTLM) mediante el análisis adicional, y se ha mejorado la lógica de detección para reducir los resultados de las alertas B-TP y FP.

  • Mejora de características: alerta de reconocimiento de asignación de redes (DNS)
    Se agregaron nuevos tipos de detecciones a las alertas de reconocimiento de asignación de redes (DNS). Además de detectar solicitudes AXFR sospechosas, Azure ATP ahora detecta tipos sospechosos de solicitudes procedentes de servidores distintos de DNS que usan una cantidad excesiva de solicitudes.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.66 de Azure ATP

Fecha de publicación: 17 de febrero de 2019

  • Mejora de características: alerta Sospecha de ataque DCSync (replicación de servicios de directorio)
    Se ha mejorado la facilidad de uso de esta alerta de seguridad; por ejemplo, se ha revisado la descripción, se ha proporcionado información de origen adicional, infografía nueva y más evidencias. Más información sobre las alertas de seguridad Sospecha de ataque DCSync (replicación de servicios de directorio).

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.65 de Azure ATP

Publicado el 10 de febrero de 2019

  • Nueva alerta de seguridad: Sospecha de ataque de retransmisión de NTLM (cuenta de Exchange): versión preliminar
    La alerta de seguridad Sospecha de ataque de retransmisión de NTLM (cuenta de Exchange): versión preliminar de Azure ATP está ahora en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se identifica el uso de credenciales de una cuenta de Exchange desde un origen sospechoso. Estos tipos de ataques intentan usar técnicas de retransmisión de NTLM para obtener privilegios de intercambio de controlador de dominio y se conocen como ExchangePriv. Aprenda más sobre la técnica ExchangePriv del Aviso ADV190007 (publicado por primera vez el 31 de enero de 2019) y la Respuesta de alerta de Azure ATP.

  • Disponibilidad general: ejecución remota de código sobre DNS
    Esta alerta está ahora disponible con carácter general (GA). Para más información y conocer las características de la alerta, consulte la página de descripción de la alerta Ejecución remota de código sobre DNS.

  • Disponibilidad general: filtración de datos a través de SMB
    Esta alerta está ahora disponible con carácter general (GA). Para más información y conocer las características de la alerta, consulte la página de descripción de la alerta Filtración de datos a través de SMB.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP versión 2.64

Fecha de publicación: 4 de febrero de 2019

Azure ATP, versión 2.63

Fecha de publicación: 27 de enero de 2019

  • Nueva característica: Compatibilidad con bosques que no sean de confianza (versión preliminar)
    La compatibilidad de Azure ATP con los sensores ubicados en bosques que no sean de confianza ya está disponible como versión preliminar pública. En la página Servicios de directorio del portal de Azure ATP, puede configurar conjuntos de credenciales adicionales para permitir que los sensores de Azure ATP se puedan conectar a distintos bosques de Active Directory e informar al servicio de Azure ATP. Para obtener más información, vea Compatibilidad con varios bosques de Azure ATP.

  • Nueva característica: Cobertura de controlador de dominio
    Azure ATP ahora proporciona la información de cobertura de los controladores de dominio supervisados en el servicio.
    En la página Sensores del portal de Azure ATP, puede consultar el número de controladores de dominio supervisados y no supervisados que Azure ATP haya detectado en el entorno. Descargue la lista de controladores de dominio supervisados para analizarlos con más detalle y crear un plan de acción. Para obtener más información, vea la guía paso a paso Supervisión de los controladores de dominio.

  • Mejora de características: Reconocimiento de enumeración de cuentas
    La detección de reconocimiento de enumeración de cuentas de Azure ATP ahora permite detectar y enviar alertas relativas a intentos de enumeración con Kerberos y NTLM. Anteriormente, la detección solo funcionaba para los intentos con Kerberos. Para obtener más información, vea Alertas de seguridad de la fase de reconocimiento de Azure ATP.

  • Mejora de características: Alerta de intento de ejecución remota de código

    • Todas las actividades de ejecución remota, como la creación de servicios, la ejecución de WMI y la ejecución del nuevo PowerShell, se han agregado a la escala del tiempo del perfil de la máquina de destino. La máquina destino es el controlador de dominio en el que se ha ejecutado el comando.
    • La ejecución de PowerShell se ha agregado a la lista de actividades de ejecución remota de código que se muestra en la escala de tiempo de alertas del perfil de la entidad.
    • Para obtener más información, vea Intento de ejecución remota de código.

  • Problema de Windows Server 2019 LSASS y Azure ATP
    En respuesta a los comentarios de los clientes con respecto al uso de Azure ATP con controladores de dominio que ejecutan Windows Server 2019, esta actualización incluye una lógica adicional diseñada para evitar la activación del comportamiento detectado en equipos con Windows Server 2019. La compatibilidad total con el sensor de Azure ATP en Windows Server 2019 está prevista para una próxima actualización de Azure ATP, pero en la actualidad la instalación y la ejecución de Azure ATP no se admiten en Windows Server 2019. Para obtener más información, vea Requisitos del sensor de Azure ATP.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.62 de Azure ATP

Fecha de publicación: 20 de enero de 2019

  • Nueva alerta de seguridad: Ejecución remota de código sobre DNS: versión preliminar
    La alerta de seguridad de ejecución remota de código sobre DNS de Azure ATP se encuentra ahora en versión preliminar pública. En esta detección, se desencadena una alerta de seguridad de Azure ATP cuando se realizan consultas DNS sospechosas de explotar la vulnerabilidad de seguridad CVE-2018-8626 en un controlador de dominio en la red.

  • Mejora de características: actualización del sensor retrasada 72 horas
    Opción cambiada para retrasar las actualizaciones de los sensores seleccionados a 72 horas (en lugar del retraso anterior de 24 horas) después de cada actualización de versión de Azure ATP. Vea Actualización de los sensores de Azure ATP para obtener las instrucciones de configuración.

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.61 de Azure ATP

Fecha de publicación: 13 de enero de 2019

  • Nueva alerta de seguridad: Filtración de datos a través de SMB (versión preliminar)
    La alerta de seguridad de filtración de datos a través de SMB de Azure ATP está ahora en versión preliminar pública. Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Mediante el uso de la cuenta KRBTGT, los atacantes pueden crear un vale de concesión de vales (TGT) de Kerberos que proporciona autorización a cualquier recurso.

  • Mejora de características: alerta de seguridad por intento de ejecución de código remoto
    Se ha agregado una nueva descripción de la alerta y evidencias adicionales para facilitar la comprensión de la alerta y mejorar los flujos de trabajo de investigación.

  • Mejora de características: Actividades lógicas de consulta de DNS
    Se han agregado otros tipos de consulta a las actividades supervisadas por Azure ATP, incluidos: TXT, MX, NS, SRV, ANY y DNSKEY.

  • Mejora de características: Sospecha de uso de golden ticket (anomalía de vale) y sospecha de uso de golden ticket (cuenta inexistente)
    Se ha aplicado la lógica de detección mejorada a ambas alertas para reducir el número de alertas FP y ofrecer resultados más precisos.

  • Mejora de características: Documentación sobre las alertas de seguridad de Azure ATP
    La documentación sobre alertas de seguridad de Azure ATP se ha mejorado y expandido para incluir mejores descripciones de alertas, clasificaciones de alerta más precisas y explicaciones de evidencia, corrección y prevención. Siga estos vínculos si quiere familiarizarse con el nuevo diseño de la documentación de alertas de seguridad:

  • Esta versión también incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.60

Fecha de publicación: 6 de enero de 2019

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.59

Fecha de publicación: 16 de diciembre de 2018

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Azure ATP, versión 2.58

Fecha de publicación: 9 de diciembre de 2018

  • Mejora de alertas de seguridad: División de alertas de implementación no habitual de protocolos
    La serie de alertas de seguridad de la implementación no habitual de protocolos de Azure ATP que anteriormente compartían un externalId (2002) ahora se divide en cuatro alertas distintas, con su correspondiente identificador externo único.

Nuevos externalId de alerta

Nuevo nombre de alerta de seguridad Nombre de alerta de seguridad anterior Id. externo único
Sospecha de ataque por fuerza bruta (LDAP) Implementación no habitual del protocolo (posible uso de las herramientas malintencionadas, como Hydra) 2033
Sospecha de ataque Overpass-The-Hash (Kerberos) Implementación no habitual del protocolo Kerberos (posible ataque Overpass-the-Hash) 2002
Sospecha de uso del marco de pirateo Metasploit Implementación no habitual del protocolo (posible uso de herramientas de pirateo Metasploit) 2034
Sospecha de ataque del ransomware WannaCry Implementación no habitual del protocolo (posible ataque del ransomware WannaCry) 2035

  • Nueva actividad supervisada: Copia de archivos a través de SMB
    La copia de los archivos mediante SMB ahora es una actividad supervisada y que se puede filtrar. Obtenga más información sobre qué actividades supervisa Azure ATP y cómo filtrar y buscar actividades supervisadas en el portal.

  • Mejora de imágenes de rutas de desplazamiento lateral grandes
    Al ver las rutas de desplazamiento lateral grandes, Azure ATP ahora resalta solo los nodos conectados a una entidad seleccionada, en lugar de desenfocar los demás nodos. Este cambio ofrece una mejora considerable en la velocidad de representación de LMP grandes.

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.57 de Azure ATP

Fecha de publicación: 2 de diciembre de 2018

  • Nueva alerta de seguridad: Uso sospechoso de golden ticket (anomalía de vale): versión preliminar
    La alerta de seguridad Uso sospechoso de golden ticket (anomalía de vale) de Azure ATP se encuentra ahora en versión preliminar pública. Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Mediante el uso de la cuenta KRBTGT, los atacantes pueden crear un vale de concesión de vales (TGT) de Kerberos que proporciona autorización a cualquier recurso.

    Este TGT falsificado se denomina "golden ticket" porque permite a los atacantes conseguir una persistencia de red duradera. Esta nueva detección está diseñada para identificar las características únicas que tienen los golden tickets falsificados de este tipo.

  • Mejora de características: Creación de una instancia automatizada de Azure ATP (área de trabajo)
    A partir de hoy, las áreas de trabajo de Azure ATP se denominan instancias de Azure ATP. Azure ATP ahora admite una instancia de Azure ATP por cada cuenta de Azure ATP. Las instancias de los clientes nuevos se crean mediante el asistente para creación de instancias del portal de Azure ATP. Con esta actualización, las áreas de trabajo de Azure ATP existentes pasan a ser instancias de Azure ATP de forma automática.

    Para más información sobre las instancias de Azure ATP, vea Creación de una instancia de Azure ATP.

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Versión 2.56 de Azure ATP

Fecha de publicación: 25 de noviembre de 2018

  • Mejora de características: Rutas de desplazamiento lateral (LMP)
    Se han agregado dos características adicionales para mejorar las capacidades de Ruta de desplazamiento lateral (LMP) de Azure ATP:

    • El historial de la LMP ahora se guarda y se puede detectar tanto por cada identidad como al usar los informes de la LMP.
    • Siga una entidad en una LMP a través de la escala de tiempo de actividad y realice sus investigaciones mediante el uso de evidencias adicionales proporcionadas para la detección de potenciales rutas de acceso para un ataque.

    Vea Rutas de desplazamiento lateral de Azure ATP para obtener más información sobre cómo usar las LMP mejoradas, también para la investigación.

  • Mejoras en la documentación: Rutas de desplazamiento lateral y nombres de alertas de seguridad
    Se han actualizado y completado los artículos de Azure ATP en los que se describen las características y las descripciones relativas a la Ruta de desplazamiento lateral. También se ha agregado a los nombres y valores externalId nuevos la asignación de nombres de todas las instancias de los nombres antiguos de las alertas de seguridad.

  • Esta versión incluye mejoras y correcciones de errores de la infraestructura del sensor interno.

Para más información sobre cada versión anterior de Defender for Identity hasta la versión 2.55 (inclusive), consulte la referencia de las versiones de Defender for Identity.

Consulte también