Novità di Microsoft Defender per identità

  • Articolo
  • 57 minuti per la lettura

Questo articolo viene aggiornato frequentemente per informare le novità delle versioni più recenti di Microsoft Defender per identità (in precedenza Azure Advanced Threat Protection, noto anche come Azure ATP).

Feed RSS: è possibile ricevere una notifica quando questa pagina viene aggiornata copiando e incollando l'URL seguente nel lettore di feed: https://docs.microsoft.com/api/search/rss?search=%22This+article+is+updated+frequently+to+let+you+know+what%27s+new+in+the+latest+release+of+Microsoft+Defender+for+Identity%22&locale=en-us

Per altre informazioni sulle novità di altri prodotti di sicurezza di Microsoft Defender, vedere:

Nota

A partire dal 15 giugno 2022, Microsoft non supporterà più il sensore Defender for Identity nei dispositivi che eseguono Windows Server 2008 R2. È consigliabile identificare eventuali controller di dominio rimanenti o (AD FS) che eseguono ancora Windows Server 2008 R2 come sistema operativo e apportare piani per aggiornarli a un sistema operativo supportato.

Per i due mesi successivi al 15 giugno 2022, il sensore continuerà a funzionare. Dopo questo periodo di due mesi, a partire dal 15 agosto 2022, il sensore non funzionerà più nelle piattaforme Windows Server 2008 R2. Altre informazioni sono disponibili in: https://aka.ms/mdi/2008r2

Defender for Identity versione 2.185

Data di rilascio: 18 luglio 2022

  • È stato risolto un problema a causa del quale l'utilizzo di Golden Ticket sospetto (account non esistente) (ID esterno 2027) rileverebbe erroneamente i dispositivi macOS.

  • Azioni utente: è stato deciso di dividere l'azione Disabilita utente nella pagina utente in due azioni diverse:

    • Disabilita utente: che disabilita l'utente a livello di Active Directory
    • Sospensione utente: che disabilita l'utente a livello di Azure Active Directory

    Il tempo necessario per la sincronizzazione da Active Directory ad Azure Active Directory può essere fondamentale, quindi ora è possibile scegliere di disabilitare gli utenti in una dopo l'altra, per rimuovere la dipendenza dalla sincronizzazione stessa. Si noti che un utente disabilitato solo in Azure Active Directory verrà sovrascritto da Active Directory, se l'utente è ancora attivo.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.184

Data di rilascio: 10 luglio 2022

  • Nuove valutazioni della sicurezza
    Defender for Identity include ora la nuova valutazione della sicurezza seguente:

    • Configurazioni di dominio non sicure
      Microsoft Defender per identità monitora continuamente l'ambiente per identificare i domini con valori di configurazione che espongono un rischio di sicurezza e report su questi domini per facilitare la protezione dell'ambiente. Per altre informazioni, vedere Valutazione della sicurezza: configurazioni di dominio non sicure.

  • Il pacchetto di installazione Defender for Identity ora installerà il componente Npcap anziché i driver WinPcap. Per altre informazioni, vedere Driver WinPcap e Npcap.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.183.15436.10558 (hotfix)

Data di rilascio: 20 giugno 2022 (aggiornato il 4 luglio 2022)

  • Nuovo avviso di sicurezza: Sospetto attacco DFSCoerce tramite Il protocollo di file system distribuito
    In risposta alla pubblicazione di uno strumento di attacco recente che sfrutta un flusso nel protocollo DFS, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato usa questo metodo di attacco. Per altre informazioni su questo attacco, leggere il post di blog.

Defender for Identity versione 2.183

Data di rilascio: 20 giugno 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.182

Data di rilascio: 4 giugno 2022

  • È disponibile una nuova pagina Informazioni per Defender per identità. È possibile trovarlo nel portale di Microsoft 365 Defender, in Impostazioni -Identità ->>Informazioni. Fornisce diversi dettagli importanti sull'area di lavoro Defender per identità, tra cui il nome dell'area di lavoro, la versione, l'ID e la georilevazione dell'area di lavoro. Queste informazioni possono essere utili durante la risoluzione dei problemi e l'apertura dei ticket di supporto.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.181

Data di rilascio: 22 maggio 2022

  • È ora possibile eseguire azioni di correzione direttamente sugli account locali usando Microsoft Defender per identità.

    • Disabilitare l'utente: questo impedisce temporaneamente a un utente di accedere alla rete. Può aiutare a impedire agli utenti compromessi di spostarsi in un secondo momento e tentare di esfiltrare i dati o compromettere ulteriormente la rete.
    • Reimposta password utente : questo richiede all'utente di modificare la password all'accesso successivo, assicurandosi che questo account non possa essere usato per ulteriori tentativi di rappresentazione.

    Queste azioni possono essere eseguite da diverse posizioni in Microsoft 365 Defender: la pagina utente, il pannello laterale della pagina utente, la ricerca avanzata e anche i rilevamenti personalizzati. Ciò richiede la configurazione di un account gMSA con privilegi che Microsoft Defender per identità userà per eseguire le azioni. Per altre informazioni sui requisiti, vedere account azione Microsoft Defender per identità.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.180

Data di rilascio: 12 maggio 2022

  • Nuovo avviso di sicurezza: modifica sospetta di un attributo dNSHostName (CVE-2022-26923)
    In risposta alla pubblicazione di un cve recente, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato sta tentando di sfruttare CVE-2022 -26923. Per altre informazioni su questo attacco, leggere il post di blog.

  • Nella versione 2.177 sono stati rilasciate attività LDAP aggiuntive che possono essere coperte da Defender for Identity. È stato tuttavia rilevato un bug che causa la presentazione degli eventi e l'inserimento nel portale Defender for Identity. Tale problema è stato risolto in questa versione. Dalla versione 2.180 in poi, quando si abilita l'ID evento 1644 non si ottiene solo visibilità sulle attività LDAP su Servizi Web Active Directory, ma anche altre attività LDAP includono l'utente che ha eseguito l'attività LDAP nel computer di origine. Questo vale per gli avvisi di sicurezza e le attività logiche basate sugli eventi LDAP.

  • Come risposta al recente sfruttamento di KrbRelayUp, abbiamo rilasciato un rilevatore silenzioso per aiutarci a valutare la nostra risposta a questo sfruttamento. Il rilevatore invisibile all'utente consente di valutare l'efficacia del rilevamento e di raccogliere informazioni in base agli eventi raccolti. Se questo rilevamento verrà visualizzato in qualità elevata, verrà rilasciato un nuovo avviso di sicurezza nella versione successiva.

  • È stata rinominata l'esecuzione del codice remoto su DNS per il tentativo di esecuzione del codice remoto su DNS, in quanto riflette meglio la logica dietro questi avvisi di sicurezza.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.179

Data di rilascio: 1 maggio 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.178

Data di rilascio: 10 aprile 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.177

Data di rilascio: 27 marzo 2022

  • Microsoft Defender per identità ora può monitorare altre query LDAP nella rete. Queste attività LDAP vengono inviate tramite il protocollo del servizio Web Active Directory e fungono da query LDAP normali. Per avere visibilità su queste attività, è necessario abilitare l'evento 1644 nei controller di dominio. Questo evento illustra le attività LDAP nel dominio e viene usato principalmente per identificare ricerche LDAP (Lightweight Directory Access Protocol) costose, inefficienti o lente che vengono eseguite dai controller di dominio Active Directory. Per informazioni su come abilitare questo evento, vedere ID evento 1644.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.176

Data di rilascio: 16 marzo 2022

  • A partire da questa versione, quando si installa il sensore da un nuovo pacchetto, la versione del sensore in Aggiungi/Rimuovi programmi verrà visualizzata con il numero di versione completo (ad esempio, 2.176.x.y), anziché quello statico 2.0.0.0.0 visualizzato in precedenza. Continuerà a mostrare tale versione (quella installata tramite il pacchetto) anche se la versione verrà aggiornata tramite gli aggiornamenti automatici dai servizi cloud Defender for Identity. La versione reale può essere visualizzata nella pagina delle impostazioni del sensore nel portale, nel percorso eseguibile o nella versione del file.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.175

Data di rilascio: 6 marzo 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.174

Data di rilascio: 20 febbraio 2022

Defender for Identity versione 2.173

Data di rilascio: 13 febbraio 2022

Defender for Identity versione 2.172

Data di rilascio: 8 febbraio 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.171

Data di rilascio: 31 gennaio 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.170

Data di rilascio: 24 gennaio 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.169

Data di rilascio: 17 gennaio 2022

  • Siamo lieti di rilasciare la possibilità di configurare un account azione per Microsoft Defender per identità. Questo è il primo passaggio nella possibilità di eseguire azioni sugli utenti direttamente dal prodotto. Come primo passaggio, è possibile definire l'account gMSA Microsoft Defender per identità userà per eseguire le azioni. È consigliabile iniziare a creare questi utenti per godere della funzionalità Azioni una volta che è attiva. Per altre informazioni, vedere Gestire gli account azione.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.168

Data di rilascio: 9 gennaio 2022

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.167

Data di rilascio: 29 dicembre 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.166

Data di rilascio: 27 dicembre 2021

Defender for Identity versione 2.165

Data di rilascio: 6 dicembre 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.164

Data di rilascio: 17 novembre 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.163

Data di rilascio: 8 novembre 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.162

Data di rilascio: 1 novembre 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.161

Data di rilascio: 12 settembre 2021

  • La versione include una nuova attività monitorata: la password dell'account gMSA è stata recuperata da un utente. Per altre informazioni, vedere Microsoft Defender per identità attività monitorate
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.160

Data di rilascio: 22 agosto 2021

  • La versione include vari miglioramenti e illustra più scenari in base alle ultime modifiche apportate allo sfruttamento di PetitPotam.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.159

Data di rilascio: 15 agosto 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.
  • La versione include un miglioramento dell'avviso appena pubblicato: connessione di rete sospetta tramite Encrypting File System Remote Protocol (ID esterno 2416).
    È stato esteso il supporto per questo rilevamento per attivare quando un potenziale utente malintenzionato comunica su un canale EFS-RPCchannel crittografato. Gli avvisi attivati quando il canale viene crittografato verranno considerati come un avviso di gravità media, anziché High quando non è crittografato. Per altre informazioni sull'avviso, vedere Connessione di rete sospetta tramite Crittografia del protocollo remoto del file system (ID esterno 2416).

Defender for Identity versione 2.158

Data di rilascio: 8 agosto 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

  • La versione include un nuovo avviso di sicurezza: connessione di rete sospetta tramite Encrypting File System Remote Protocol (ID esterno 2416).
    In questo rilevamento, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato sta tentando di sfruttare EFS-RPC sul controller di dominio. Questo vettore di attacco è associato all'attacco PetitPotam recente. Per altre informazioni sull'avviso, vedere Connessione di rete sospetta tramite Crittografia del protocollo remoto del file system (ID esterno 2416).

  • La versione include un nuovo avviso di sicurezza: Exchange Server esecuzione del codice remoto (CVE-2021-26855) (ID esterno 2414)
    In questo rilevamento, Microsoft Defender per identità attiverà un avviso di sicurezza ogni volta che un utente malintenzionato tenta di modificare l'attributo "msExchExternalHostName" nell'oggetto Exchange per l'esecuzione del codice remoto. Per altre informazioni su questo avviso, vedere Exchange Server esecuzione del codice remoto (CVE-2021-26855) (ID esterno 2414). Questo rilevamento si basa sull'evento Windows 4662, quindi deve essere abilitato in anticipo. Per informazioni su come configurare e raccogliere questo evento, vedere Configurare la raccolta eventi di Windows e seguire le istruzioni per Abilitare il controllo in un oggetto Exchange.

Defender for Identity versione 2.157

Data di rilascio: 1 agosto 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.156

Data di rilascio: 25 luglio 2021

  • A partire da questa versione, si aggiunge il file eseguibile del driver Npcap al pacchetto di installazione del sensore. Per altre informazioni, vedere Driver WinPcap e Npcap.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.155

Data di rilascio: 18 luglio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender for Identity versione 2.154

Data di rilascio: 11 luglio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.
  • La versione include miglioramenti e rilevamenti aggiunti per lo sfruttamento dello spooler di stampa noto come rilevamento printNightmare, per coprire più scenari di attacco.

Defender for Identity versione 2.153

Data di rilascio: 4 luglio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

  • La versione include un nuovo avviso di sicurezza: tentativo di sfruttamento del servizio Spooler di Stampa windows sospetto (CVE-2021-34527) (ID esterno 2415).

    In questo rilevamento, Defender for Identity attiva un avviso di sicurezza ogni volta che un utente malintenzionato tenta di sfruttare il servizio Spooler di Stampa windows sul controller di dominio. Questo vettore di attacco è associato allo sfruttamento dello spooler di stampa ed è noto come PrintNightmare. Altre informazioni su questo avviso.

Defender for Identity versione 2.152

Data di rilascio: 27 giugno 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.151

Data di rilascio: 20 giugno 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.150

Data di rilascio: 13 giugno 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.149

Data di rilascio: 31 maggio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.148

Data di rilascio: 23 maggio 2021

  • Se si configura e si raccoglie l'ID evento 4662, Defender per identità segnala l'utente che ha apportato la modifica del numero di sequenza di aggiornamento (USN) a varie proprietà dell'oggetto Active Directory. Ad esempio, se viene modificata una password dell'account e l'evento 4662 è abilitato, l'evento registrerà chi ha modificato la password.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.147

Data di rilascio: 9 maggio 2021

  • In base al feedback dei clienti, stiamo aumentando il numero predefinito di sensori consentiti da 200 a 350 e le credenziali di Servizi directory da 10 a 30.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.146

Data di rilascio: 2 maggio 2021

  • Email notifiche per i problemi di integrità e gli avvisi di sicurezza avranno ora l'URL di indagine per Microsoft Defender per identità e Microsoft 365 Defender.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.145

Data di rilascio: 22 aprile 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.144

Data di rilascio: 12 aprile 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.143

Data di rilascio: 14 marzo 2021

  • È stato aggiunto l'evento di Windows 4741 per rilevare gli account computer aggiunti alle attività di Active Directory . Configurare il nuovo evento da raccogliere da Defender per identità. Una volta configurati, gli eventi raccolti saranno disponibili per la visualizzazione nel log attività e nel Microsoft 365 Defender Ricerca avanzata.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.142

Data di rilascio: 7 marzo 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.141

Data di rilascio: 21 febbraio 2021

  • Nuovo avviso di sicurezza: Sospetto attacco AS-REP Roasting (ID esterno 2412)
    È ora disponibile l'avviso di sicurezza Sospetto attacco AS-REP Roasting di Defender per identità (ID esterno 2412 ). In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando un utente malintenzionato ha come destinazione gli account con preautenticazione Kerberos disabilitata e tenta di ottenere i dati TGT Kerberos. L'intento dell'utente malintenzionato può essere quello di estrarre le credenziali dai dati usando attacchi di cracking delle password offline. Per altre informazioni, vedere Esposizione a tostatura AS-REP Kerberos (ID esterno 2412).For more information, see Kerberos AS-REP Roasting exposure (external ID 2412).
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.140

Data di rilascio: 14 febbraio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.139

Data di rilascio: 31 gennaio 2021

  • È stata aggiornata la gravità per l'esposizione sospetta del nome SPN Kerberos a elevato per riflettere meglio l'impatto dell'avviso. Per altre informazioni sull'avviso, vedere Sospetto esposizione SPN Kerberos (ID esterno 2410)
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.138

Data di rilascio: 24 gennaio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.137

Data di rilascio: 17 gennaio 2021

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.136

Data di rilascio: 3 gennaio 2021

Defender per identità versione 2.135

Data di rilascio: 20 dicembre 2020

Defender per identità versione 2.134

Data di rilascio: 13 dicembre 2020

Defender per identità versione 2.133

Data di rilascio: 6 dicembre 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.132

Data di rilascio: 17 novembre 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.131

Data di rilascio: 8 novembre 2020

  • Nuovo avviso di sicurezza: Sospetto esposizione SPN Kerberos (ID esterno 2410)
    L'avviso di sicurezza sospetto SPN Kerberos di Defender per identità (ID esterno 2410) è ora disponibile. In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando un utente malintenzionato enumera gli account del servizio e i rispettivi NOMI SPN e quindi richiede ticket TGS Kerberos per i servizi. La finalità dell'utente malintenzionato potrebbe essere quella di estrarre gli hash dai ticket e salvarli per un uso successivo in attacchi di forza bruta offline. Per altre informazioni, vedere Esposizione del nome dell'entità servizio Kerberos.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Defender per identità versione 2.130

Data di rilascio: 25 ottobre 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.129

Data di rilascio: 18 ottobre 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.128

Data di rilascio: 27 settembre 2020

  • Configurazione delle notifiche di posta elettronica modificata
    Viene rimossa l'alternanza Mail notification (Notifica di posta elettronica) per attivare le notifiche tramite posta elettronica. Per ricevere notifiche tramite posta elettronica è sufficiente aggiungere un indirizzo. Per altre informazioni, vedere Impostare le notifiche.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.127

Data di rilascio: 20 settembre 2020

  • Nuovo avviso di sicurezza: sospetto tentativo di elevazione dei privilegi Netlogon (ID esterno 2411)
    È ora disponibile l'avviso di sicurezza Sospetto tentativo di elevazione dei privilegi Netlogon di Azure ATP (CVE-2020-1472) (ID esterno 2411). Con questo tipo di rilevamento, viene attivato un avviso di sicurezza Azure ATP quando un utente malintenzionato stabilisce una connessione tra un canale sicuro Netlogon vulnerabile e un controller di dominio, usando il protocollo di accesso remoto Netlogon (MS-NRPC). Tale vulnerabilità è nota anche con il nome Vulnerabilità di elevazione dei privilegi di Netlogon. Per altre informazioni, vedere Sospetto tentativo di elevazione dei privilegi di Netlogon.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.126

Data di rilascio: 13 settembre 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.125

Data di rilascio: 6 settembre 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.124

Data di rilascio: 30 agosto 2020

  • Nuovi avvisi di sicurezza
    Gli avvisi di sicurezza di Azure ATP includono ora i nuovi rilevamenti seguenti:
    • Perlustrazione degli attributi di Active Directory con LDAP (ID esterno 2210)
      In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando si sospetta che un utente malintenzionato possa riuscire a ottenere informazioni critiche sul dominio da usare nella kill chain dell'attacco. Per altre informazioni, vedere Perlustrazione degli attributi di Active Directory.
    • Utilizzo di un certificato Kerberos non autorizzato sospetto (ID esterno 2047)
      In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando un utente malintenzionato che ha acquisito il controllo dell'organizzazione compromettendo il server dell'autorità di certificazione è sospettato di generare certificati che possono essere usati come account backdoor per attacchi futuri, ad esempio per spostamenti laterali nella rete. Per altre informazioni, vedere Utilizzo di un certificato Kerberos non autorizzato sospetto.
    • Sospetto utilizzo di Golden Ticket (anomalia nel ticket con delega con vincoli in base alle risorse) (ID esterno 2040)
      Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Tramite l'account KRBTGT, gli utenti malintenzionati possono creare un TGT (Ticket Granting Ticket) Kerberos, che concede l'autorizzazione a qualsiasi risorsa.
      Questo TGT contraffatto è denominato "Golden Ticket" perché consente agli utenti malintenzionati di ottenere una lunga persistenza nella rete usando la delega con vincoli in base alle risorse. Un Golden Ticket contraffatto di questo tipo presenta particolari caratteristiche che questo nuovo rilevamento è in grado di identificare. Per altre informazioni, vedere Sospetto utilizzo di Golden Ticket (anomalia nel ticket con delega con vincoli in base alle risorse).
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.123

Data di rilascio: 23 agosto 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.122

Data di rilascio: 16 agosto 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.121

Data di rilascio: 2 agosto 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.120

Data di rilascio 26 luglio 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.119

Data di rilascio: 5 luglio 2020

  • Miglioramento della funzionalità: Nuova scheda Controller di dominio esclusi nel report di Excel
    Per migliorare l'accuratezza del calcolo della copertura dei controller di dominio, verranno esclusi i controller di dominio con trust esterni dal calcolo per il raggiungimento del 100% di copertura. I controller di dominio esclusi verranno esposti nella nuova scheda Controller di dominio esclusi nel download del report di Excel di copertura dei domini. Per informazioni sul download del report, vedere Stato del controller di dominio.
  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.118

Data di rilascio: 28 giugno 2020

  • Nuove valutazioni della sicurezza
    Le valutazioni della sicurezza di Azure ATP includono ora le nuove valutazioni seguenti:

    • Percorsi di spostamento laterale più rischiosi
      Questa valutazione monitora continuamente l'ambiente per identificare gli account sensibili con i percorsi di spostamento laterale più rischiosi che espongono a rischi per la sicurezza e segnala questi account per facilitare la gestione dell'ambiente. I percorsi sono considerati rischiosi se sono presenti tre o più account non sensibili che possono esporre l'account sensibile al furto delle credenziali da parte di attori malintenzionati. Per altre informazioni, vedere Valutazione della sicurezza: Percorsi di spostamento laterale più rischiosi.
    • Attributi dell'account non sicuri
      Questa valutazione di Azure ATP monitora continuamente l'ambiente per identificare gli account con valori di attributo che espongono a rischi per la sicurezza e segnala questi account per facilitare la protezione dell'ambiente. Per altre informazioni, vedere Valutazione della sicurezza: Attributi dell'account non sicuri.

  • Definizione di riservatezza aggiornata
    È in corso l'espansione della definizione di riservatezza per gli account locali per includere le entità che possono usare la replica di Active Directory.

Azure ATP versione 2.117

Data di rilascio: 14 giugno 2020

  • Miglioramento della funzionalità: ulteriori dettagli sulle attività disponibili nell'esperienza SecOps unificata
    Le informazioni sul dispositivo inviate a Defender for Cloud Apps sono stati estesi, inclusi i nomi dei dispositivi, gli indirizzi IP, gli UPN dell'account e la porta usata. Per altre informazioni sull'integrazione con Defender for Cloud Apps, vedere Uso di Azure ATP con Defender for Cloud Apps.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.116

Data di rilascio: 7 giugno 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.115

Data di rilascio: 31 maggio 2020

  • Nuove valutazioni della sicurezza
    Le valutazioni della sicurezza di Azure ATP includono ora le nuove valutazioni seguenti:

    • Attributi di cronologia SID non sicuri
      Questa valutazione segnala gli attributi della cronologia SID che possono essere usati da utenti malintenzionati per accedere all'ambiente. Per altre informazioni, vedere Valutazione della sicurezza: Attributi di cronologia SID non sicuri.
    • Utilizzo di Microsoft LAPS
      Questa valutazione segnala gli account di amministratore locale che non usano la "Soluzione password dell'amministratore locale (LAPS)" di Microsoft per proteggere le password. L'uso di LAPS semplifica la gestione delle password e consente anche di difendersi da attacchi cibernetici. Per altre informazioni, vedere Valutazione della sicurezza: Utilizzo di Microsoft LAPS.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.114

Data di rilascio: 17 maggio 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.113

Data di rilascio: 5 maggio 2020

  • Miglioramento della funzionalità: Attività migliorata per l'accesso alle risorse con NTLMv1
    A partire da questa versione, Azure ATP offre informazioni per le attività di accesso alle risorse che indicano se la risorsa usa l'autenticazione NTLMv1. Questa configurazione di risorsa non è sicura e rappresenta un rischio, tant'è che gli utenti malintenzionati possano forzare l'applicazione a proprio vantaggio. Per altre informazioni sul rischio, vedere Utilizzo di protocolli legacy.

  • Miglioramento della funzionalità: Avviso per sospetto attacco di forza bruta (Kerberos, NTLM)
    L'attacco di forza bruta viene usato dagli utenti malintenzionati per ottenere un punto di ingresso nell'organizzazione ed è un metodo chiave per l'individuazione di minacce e rischi in Azure ATP. Per consentire di concentrarsi sui rischi cruciali per gli utenti, questo aggiornamento rende più semplice e veloce analizzare e correggere i rischi, limitando il volume degli avvisi e definendone la priorità.

Azure ATP versione 2.112

Data di rilascio: 15 marzo 2020

  • Le nuove istanze di Azure ATP si integrano automaticamente con Microsoft Defender for Cloud Apps
    Quando si crea un'istanza di Azure ATP (in precedenza area di lavoro), l'integrazione con Microsoft Defender for Cloud Apps è abilitata per impostazione predefinita. Per altre informazioni sull'integrazione, vedere Uso di Azure ATP con Microsoft Defender for Cloud Apps.

  • Nuove attività monitorate
    Sono ora disponibili i monitoraggi per le attività seguenti:

  • Miglioramento della funzionalità: Attività migliorata per l'accesso alle risorse
    A partire da questa versione, Azure ATP offre informazioni per le attività di accesso alle risorse che indicano se la risorsa è attendibile per la delega senza vincoli. Questa configurazione di risorsa non è sicura e rappresenta un rischio, tant'è che gli utenti malintenzionati possano forzare l'applicazione a proprio vantaggio. Per altre informazioni sul rischio, vedere Valutazione della sicurezza: Delega Kerberos senza protezione.

  • Manipolazione di pacchetto SMB sospetto (sfruttamento CVE-2020-0796) - (anteprima)
    L'avviso di sicurezza Manipolazione di pacchetto SMB sospetto di Azure ATP è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP in presenza di un pacchetto SMBv3 sospetto di sfruttare la vulnerabilità di sicurezza CVE-2020-0796 per un controller di dominio nella rete.

Azure ATP versione 2.111

Data di rilascio: 1 marzo 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.110

Data di rilascio: 23 febbraio 2020

  • Nuova valutazione della sicurezza: Controller di dominio non monitorati
    Le valutazioni della sicurezza di Azure ATP includono ora un report sui controller di dominio non monitorati, sui server senza un sensore, per facilitare la gestione della copertura completa dell'ambiente. Per altre informazioni, vedere Controller di dominio non monitorati.

Azure ATP versione 2.109

Data di rilascio: 16 febbraio 2020

  • Miglioramento della funzionalità: Entità sensibili
    A partire da questa versione (2.109), qualsiasi computer identificato da Azure ATP come server dell'autorità di certificazione, DHCP o DNS viene automaticamente contrassegnato come Sensibile.

Azure ATP versione 2.108

Data di rilascio: 9 febbraio 2020

  • Nuova funzionalità: Supporto per gli account del servizio gestito del gruppo
    Azure ATP ora supporta ora l'uso di account del servizio gestito dal gruppo (gMSA) per garantire una maggior sicurezza quando si connettono i sensori di Azure ATP alle foreste di Azure Active Directory (AD). Per altre informazioni sull'uso di account del servizio gestito del gruppo con i sensori di Azure ATP, vedere Connettersi alla foresta Active Directory.

  • Miglioramento della funzionalità: Report pianificati con una quantità eccessiva di dati
    Quando un report pianificato include una quantità eccessiva di dati, il messaggio di posta elettronica ora segnala la situazione visualizzando il testo seguente: Il periodo specificato include una quantità di dati troppo elevata per la generazione di un report. Questa operazione sostituisce il comportamento precedente, per cui era possibile scoprire questa situazione solo quando si faceva clic sul collegamento al report nel messaggio di posta elettronica.

  • Miglioramento della funzionalità: Aggiornamento del codice per la copertura del controller di dominio
    La logica del report per la copertura del controller di dominio è stata aggiornata per includere informazioni aggiuntive da Azure AD. Il risultato è una vista più accurata dei controller di dominio senza i relativi sensori. Questo nuovo codice potrebbe avere anche un effetto positivo sul Microsoft Secure Score corrispondente.

Azure ATP versione 2.107

Data di rilascio: 3 febbraio 2020

  • Nuova attività monitorata: modifica della cronologia SID
    La modifica della cronologia SID è ora un'attività monitorata e filtrabile. Altre informazioni sulle attività monitorate da Azure ATP e su come filtrare e cercare le attività monitorate sono disponibili nel portale.

  • Miglioramento della funzionalità: gli avvisi chiusi o eliminati non vengono più riaperti
    Dopo che un avviso è stato chiuso o eliminato nel portale di Azure ATP, se viene nuovamente rilevata la stessa attività entro un breve intervallo, viene aperto un nuovo avviso. In precedenza, in presenza delle stesse condizioni, veniva riaperto l'avviso pre-esistente.

  • TLS 1.2 obbligatorio per l'accesso al portale e i sensori
    TLS 1.2 è ora obbligatorio per l'uso dei sensori di Azure ATP e del servizio cloud. L'accesso al portale Azure ATP non sarà più possibile con browser che non supportano TLS 1.2.

Azure ATP versione 2.106

Data di rilascio: 19 gennaio 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.105

Data di rilascio: 12 gennaio 2020

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.104

Data di rilascio: 23 dicembre 2019

  • Eliminazione delle scadenze della versione del sensore
    I pacchetti di distribuzione e installazione del sensore Azure ATP non scadono più dopo un numero di versioni e ora vengono aggiornati una sola volta. Grazie a questa funzionalità ora è possibile installare i pacchetti di installazione del sensore scaricato in precedenza anche se sono meno recenti rispetto al numero massimo di versioni scadute.

  • Conferma della compromissione
    È ora possibile confermare la compromissione di specifici utenti di Microsoft 365 e impostare il livello di rischio su elevato. Questo flusso di lavoro offre ai team delle operazioni di sicurezza un'altra funzionalità di risposta che consente di ridurre le soglie di tempo per la risoluzione degli eventi imprevisti per la sicurezza. Altre informazioni su come confermare la compromissione usando Azure ATP e Defender for Cloud Apps.

  • Banner della nuova esperienza
    Nelle pagine del portale di Azure ATP in cui è disponibile una nuova esperienza nel portale di Defender for Cloud Apps vengono visualizzati nuovi banner che descrivono cosa è disponibile con i collegamenti di accesso.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.103

Data di rilascio: 15 dicembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.102

Data di rilascio: 08 dicembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.101

Data di rilascio: 24 novembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.100

Data di rilascio: 17 novembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.99

Data di rilascio: 3 novembre 2019

  • Miglioramento delle funzionalità: aggiunta della notifica dell'interfaccia utente della disponibilità del portale di Defender for Cloud Apps al portale di Azure ATP
    Assicurarsi che tutti gli utenti siano consapevoli della disponibilità delle funzionalità avanzate disponibili tramite il portale di Defender for Cloud Apps, è stata aggiunta una notifica per il portale dalla sequenza temporale degli avvisi di Azure ATP esistente.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.98

Data di rilascio: 27 ottobre 2019

  • Miglioramento della funzionalità: Avviso per sospetto attacco di forza bruta
    Migliorato l'avviso per Sospetto attacco di forza bruta (SMB) usando un'analisi aggiuntiva e miglioramento della logica di rilevamento per ridurre i risultati degli avvisi positivi non dannosi (B-TP) e falsi positivi (FP) .

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.97

Data di rilascio: 6 ottobre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.96

Data di rilascio: 22 settembre 2019

  • Dati di autenticazione NTLM arricchiti con l'evento 8004 di Windows
    I sensori di Azure ATP sono ora in grado di leggere e arricchire automaticamente le attività di autenticazione NTLM con i dati del server a cui si accede quando è abilitato il controllo NTLM e l'evento di Windows 8004 è attivato. Azure ATP analizza l'evento 8004 di Windows per le autenticazioni NTLM allo scopo di arricchire i dati di autenticazione NTLM usati per l'analisi delle minacce e gli avvisi di Azure ATP. Questa funzionalità avanzata offre l'attività di accesso alle risorse per i dati NTLM nonché attività di accesso non riuscito ottimizzate, tra cui il computer di destinazione a cui l'utente ha tentato di accedere senza riuscirvi.

    Altre informazioni sulle attività di autenticazione NTLM usando l'evento 8004 di Windows.

  • La versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.95

Data di rilascio: 15 settembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.94

Data di rilascio: 8 settembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.93

Data di rilascio: 1 settembre 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.92

Data di rilascio: 25 agosto 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.91

Data di rilascio: 18 agosto 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.90

Data di rilascio: 11 agosto 2019

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.89

Rilasciata il 4 agosto 2019

  • Miglioramenti dei metodi dei sensori
    Per evitare la generazione di traffico NTLM in eccesso durante la creazione di valutazioni accurate per il percorso di spostamento laterale (LMP) sono stati apportati miglioramenti ai metodi dei sensori di Azure ATP, in modo da ridurre l'uso di NTLM e incrementare l'uso di Kerberos.

  • Miglioramento dell'avviso: Sospetto utilizzo di Golden Ticket (account inesistente)
    Le modifiche dei nomi SAM sono state aggiunte ai tipi di evidenza di supporto elencati in questo tipo di avviso. Per altre informazioni sull'avviso, tra cui come evitare questo tipo di attività e correggere, vedere Sospetto utilizzo di Golden Ticket (account inesistente).

  • Disponibilità generale: Sospetta manomissione dell'autenticazione NTLM
    L' avviso Sospetta manomissione dell'autenticazione NTLM non è più in modalità di anteprima ed è ora disponibile a livello generale.

  • La versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.88

Data di rilascio: 28 luglio 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.87

Data di rilascio: 21 luglio 2019

  • Miglioramento della funzionalità: Raccolta di eventi Syslog automatizzati per i sensori autonomi Azure ATP
    Le connessioni Syslog in ingresso per i sensori autonomi Azure ATP sono ora completamente automatizzate ed è stata rimossa l'opzione di attivazione dalla schermata di configurazione. Queste modifiche non hanno effetto sulle connessioni Syslog in uscita.

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.86

Data di rilascio: 14 luglio 2019

  • Nuovo avviso di sicurezza: Sospetta manomissione dell'autenticazione NTLM (ID esterno 2039)
    Il nuovo avviso di sicurezza di Azure ATP Sospetta manomissione dell'autenticazione NTLM è ora disponibile in anteprima pubblica. Questa attività di rilevamento attiva un avviso di sicurezza di Azure ATP quando sospetta che un attacco "man-in-the-middle" sia riuscito a oltrepassare il controllo di integrità dei messaggi NTLM, una vulnerabilità di sicurezza descritta in CVE-2019-040 di Microsoft. Questi tipi di attacchi tentano di effettuare il downgrade delle funzionalità di sicurezza NTLM e di riuscire a eseguire l'autenticazione, con l'obiettivo finale di attuare movimenti laterali.

  • Miglioramento della funzionalità: identificazione migliorata del sistema operativo del dispositivo
    Fino ad ora Azure ATP offriva informazioni sul sistema operativo del dispositivo dell'entità in base all'attributo disponibile in Active Directory. In precedenza, se le informazioni sul sistema operativo non erano disponibili in Active Directory, non erano disponibili neanche nelle pagine delle entità di Azure ATP. A partire da questa versione, Azure ATP specifica queste informazioni per i dispositivi per i quali le informazioni non sono disponibili o non sono registrate in Active Directory, usando metodi migliorati di identificazione del sistema operativo del dispositivo.

    L'aggiunta di dati migliorati identificazione del sistema operativo del dispositivo consente di identificare i dispositivi non registrati e non Windows e di semplificare il processo di indagine. Per altre informazioni sulla risoluzione dei nomi di rete in Azure ATP, vedere Informazioni sulla risoluzione dei nomi di rete.

  • Nuova funzionalità: proxy autenticato - anteprima
    Azure ATP ora supporta il proxy autenticato. Specificare l'URL del proxy usando la riga di comando del sensore e specificare il nome utente e la password per usare i proxy che richiedono l'autenticazione. Per altre informazioni su come usare il proxy autenticato, vedere Configurare il proxy.

  • Miglioramento della funzionalità: processo di sincronizzazione del dominio automatizzato
    Il processo di designazione e assegnazione di tag ai controller di dominio perché diventino candidati alla sincronizzatore del dominio durante l'installazione e la configurazione è ora completamente automatizzato. L'opzione di attivazione/disattivazione per selezionare manualmente i controller di dominio candidati alla sincronizzazione è stata rimossa.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.85

Data di rilascio: 7 luglio 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.84

Data di rilascio: 1° luglio 2019

  • Nuova località di supporto: data center di Azure nel Regno Unito
    Le istanze di Azure ATP sono ora supportate nel data center di Azure nel Regno Unito. Per altre informazioni sulla creazione di istanze di Azure ATP e sulle località dei data center corrispondenti, vedere il passaggio 1 dell'installazione di Azure ATP.

  • Miglioramento della funzionalità: nuovo nome e nuove funzionalità per l'avviso Aggiunte sospette a gruppi riservati (ID esterno 2024)
    L'avviso Aggiunte sospette a gruppi riservati in precedenza era denominato Modifica sospetta di gruppi riservati. L'ID esterno dell'avviso (ID 2024) rimane invariato. La modifica apportata al nome descrittivo riflette in modo più accurato la finalità di inviare avvisi relativi alle aggiunte ai gruppi riservati. L'avviso migliorato include anche nuove prove e descrizioni migliorate. Per altre informazioni, vedere Aggiunte sospette a gruppi riservati.

  • Nuova documentazione: guida per il passaggio da Advanced Threat Analytics ad Azure ATP
    Questo nuovo articolo include i prerequisiti, le indicazioni di pianificazione e i passaggi di configurazione e verifica per passare da ATA al servizio Azure ATP. Per altre informazioni, vedere Passare da ATA ad Azure ATP.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.83

Data di rilascio: 23 giugno 2019

  • Miglioramento della funzionalità: avviso Creazione di servizio sospetto (ID esterno 2026)
    L'avviso ora include una pagina di avviso migliorata con prove aggiuntive e una nuova descrizione. Per altre informazioni, vedere l'avviso di sicurezza Creazione di servizio sospetto.

  • Supporto per l'assegnazione di nomi alle istanze: aggiunto il supporto per il prefisso di domino di sole cifre
    È stato aggiunto il supporto per la creazione di istanze di Azure ATP che usano prefissi di dominio iniziale contenenti solo cifre. Ad esempio, è ora supportato l'uso di prefissi di dominio iniziali, ad esempio 123456.contoso.com.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.82

Data di rilascio: 18 giugno 2019

  • Nuova anteprima pubblica
    L'esperienza di analisi delle minacce per le identità è ora in anteprima pubblica ed è disponibile per tutti i tenant protetti con Azure ATP. Per altre informazioni, vedere Azure ATP Microsoft Defender for Cloud Apps'esperienza di indagine.

  • Disponibilità generale
    Il supporto di Azure ATP per le foreste non trusted è ora disponibile a livello generale. Per altre informazioni, vedere Supporto di più foreste di Azure ATP.

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.81

Data di rilascio: 10 giugno 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.80

Data di rilascio: 2 giugno 2019

  • Miglioramento della funzionalità: avviso Connessione VPN sospetta
    Questo avviso include ora evidenza e testi ottimizzati per una migliore usabilità. Per altre informazioni sulle funzionalità dell'avviso, sulla procedura di correzione consigliata e sulla prevenzione, vedere la descrizione dell'avviso Connessione VPN sospetta.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.79

Data di rilascio: 26 maggio 2019

  • Disponibilità generale: Ricognizione tramite entità di sicurezza (LDAP) (ID 2038 esterno)

    Questo avviso è ora disponibile a livello generale. Per altre informazioni sull'avviso, sulle funzionalità di avviso e sulla prevenzione suggerite, vedere la descrizione dell'avviso dell'entità sicurezza (LDAP)

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.78

Data di rilascio: 19 maggio 2019

  • Miglioramento della funzionalità: Entità sensibili
    Assegnazione manuale del tag Riservato ai server di Exchange

    È ora possibile ora assegnare tag manualmente a entità come i server di Exchange durante la configurazione.

    Per assegnare manualmente tag a un'entità come un server di Exchange:

    1. Nel portale di Azure ATP selezionare Configurazione.
    2. In Rilevamento selezionare Tag di entità e quindi selezionare Riservato.
    3. Selezionare Server di Exchange e quindi aggiungere l'entità desiderata al tag.

    Dopo aver contrassegnato un computer come server di Exchange, a tale server verrà assegnato il tag Riservato e verrà indicato che è stato contrassegnato come server di Exchange. Il tag Riservato verrà visualizzato nel profilo di entità del computer e il computer verrà preso in considerazione per tutti i rilevamenti basati su account riservati e percorsi di spostamento laterale.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.77

Data di rilascio: 12 maggio 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.76

Data di rilascio: 6 maggio 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.75

Data di rilascio: 28 aprile 2019

  • Miglioramento della funzionalità: Entità sensibili
    A partire da questa versione (2.75), i computer identificati come server Exchange da Azure ATP vengono ora automaticamente contrassegnati come sensibili.

    Le entità che vengono contrassegnate automaticamente come sensibili perché rappresentano server Exchange indicano questa classificazione come motivo del contrassegno.

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.74

Data di rilascio: 14 aprile 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.73

Data di rilascio: 10 aprile 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.72

Data di rilascio: 31 marzo 2019

  • Miglioramento della funzionalità: ambito e profondità per i percorsi di spostamento laterale
    I percorsi di spostamento laterale rappresentano un metodo chiave per il rilevamento di minacce e rischi in Azure ATP. Per potersi concentrare sui rischi critici per gli utenti più sensibili, questo aggiornamento rende più facili e veloci l'analisi e la correzione dei rischi per gli utenti sensibili in ogni percorso di spostamento laterale, limitando l'ambito e la profondità di ogni grafico visualizzato.

    Vedere Percorsi di spostamento laterale per altre informazioni su come Azure ATP usa i percorsi di spostamento laterale per evidenziare i rischi di accesso a ogni entità nell'ambiente in uso.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.71

Data di rilascio: 24 marzo 2019

  • Miglioramento della funzionalità: avvisi di integrità della risoluzione dei nomi di rete
    Sono stati aggiunti avvisi di integrità per i livelli di attendibilità associati agli avvisi di sicurezza di Azure ATP basati sulla risoluzione dei nomi di rete. Ogni avviso di integrità include consigli dettagliati e di utilità pratica per risolvere i problemi correlati a basse percentuali di riuscita delle operazioni di risoluzione dei nomi di rete.

    Vedere What is Network Name Resolution (Che cos'è la risoluzione dei nomi di rete?) per altre informazioni su come Azure ATP usa la risoluzione dei nomi di rete e perché è importante per l'accuratezza degli avvisi.

  • Supporto del server: è stato aggiunto il supporto di Windows Server 2019 con l'aggiornamento KB4487044
    È stato aggiunto il supporto per l'uso di Windows Server 2019, con il livello di patch KB4487044. L'uso di Windows Server 2019 senza la patch non è supportato e viene bloccato partire da questo aggiornamento.

  • Miglioramento della funzionalità: esclusione di avvisi in base all'utente
    Le opzioni estese per l'esclusione degli avvisi consentono ora di escludere utenti specifici da avvisi specifici. Le esclusioni possono essere utili per evitare situazioni in cui l'uso o la configurazione di determinati tipi di software interno attivano ripetutamente gli avvisi di sicurezza di tipo non dannoso.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.70

Data di rilascio: 17 marzo 2019

Azure ATP versione 2.69

Data di rilascio: 10 marzo 2019

  • Miglioramento della funzionalità: sospetto furto di identità (avviso pass-the-ticket) Questo avviso offre ora nuove prove che mostrano i dettagli delle connessioni effettuate usando il protocollo Desktop remoto (RDP). Le informazioni aggiunte semplificano la risoluzione del problema noto degli avvisi Vero positivo non dannoso (B-TP, Benign-True Positive) causato dell'uso di Remote Credential Guard nelle connessioni RDP.

  • Miglioramento della funzionalità: Avviso di esecuzione di codice remoto su DNS
    L'avviso include ora nuove informazioni con lo stato di aggiornamento della sicurezza del controller di dominio che indicano quando è necessario eseguire gli aggiornamenti.

  • Nuova funzionalità della documentazione: Avviso di sicurezza di Azure ATP MITRE ATT&CK Matrix™
    Per spiegare e semplificare il mapping della relazione tra gli avvisi di sicurezza di Azure ATP e la matrice MITRE ATT&CK familiare, sono state aggiunte le tecniche MITRE pertinenti agli elenchi di avvisi di sicurezza di Azure ATP. Questo riferimento aggiuntivo rende più semplice comprendere la tecnica di attacco sospetto potenzialmente in uso quando viene attivato un avviso di sicurezza di Azure ATP. Altre informazioni sono disponibili nella Guida agli avvisi di sicurezza di Azure ATP.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.68

Data di rilascio: 3 marzo 2019

  • Miglioramento della funzionalità: Avviso di sospetto attacco di forza bruta (LDAP)
    Sono stati apportati miglioramenti significativi per quanto riguarda l'usabilità di questo avviso di sicurezza, tra cui una descrizione modificata, maggiori informazioni sull'origine e ipotesi dettagliate per un più rapido rimedio.
    Leggere altre informazioni sugli avvisi di sicurezza di sospetto attacco di forza bruta (LDAP).

  • Nuova documentazione: Lab per gli avvisi di sicurezza
    Per illustrare la potenza di Azure ATP nel rilevamento delle minacce reali nell'ambiente di lavoro, è stato aggiunto a questa documentazione un nuovo lab per gli avvisi di sicurezza. Il lab per gli avvisi di sicurezza consente di configurare rapidamente un ambiente lab o di test e illustra le strategie di difesa migliori contro attacchi e minacce comuni e reali.

    Il lab dettagliato è progettato per permettere di dedicare meno tempo alla compilazione e più tempo alla comprensione del panorama delle minacce, oltre che degli avvisi e delle modalità di protezione disponibili in Azure ATP. Il feedback degli utenti sarà molto apprezzato.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.67

Data di rilascio: 24 febbraio 2019

  • Nuovo avviso di sicurezza: Ricognizione tramite entità di sicurezza (LDAP) - (anteprima)
    L'avviso di sicurezza Ricognizione delle entità di sicurezza (LDAP) - Anteprima di Azure ATP è ora disponibile in anteprima pubblica. In questo rilevamento viene generato un avviso di sicurezza di Azure ATP quando la ricognizione tramite entità di sicurezza viene usata dagli utenti malintenzionati per ottenere informazioni di importanza critica sull'ambiente del dominio. Queste informazioni aiutano gli utenti malintenzionati a mappare la struttura del dominio, oltre a identificare gli account con privilegi da usare successivamente nella kill chain dell'attacco.

    Lightweight Directory Access Protocol (LDAP) è uno dei metodi più noti usati per eseguire query su Active Directory con finalità sia legittime che dannose. La ricognizione tramite entità di sicurezza incentrata su LDAP viene generalmente usata come prima fase di un attacco Kerberoast. Gli attacchi Kerberoast vengono usati per ottenere un elenco di destinazione di nomi dell'entità di sicurezza (SPN), per i quali gli utenti malintenzionati tenteranno poi di ottenere ticket TGS (Ticket Granting Service).

  • Miglioramento della funzionalità: avviso di ricognizione tramite enumerazione account (NTLM)
    Avviso di ricognizione tramite enumerazione account (NTLM) migliorato con analisi aggiuntive e logica di rilevamento migliorata per ridurre i risultati degli avvisi vero positivo non dannoso e falso positivo.

  • Miglioramento della funzionalità: avviso di ricognizione con mapping della rete (DNS)
    Nuovi tipi di rilevamenti aggiunti agli avvisi di ricognizione con mapping della rete (DNS). Oltre a rilevare le richieste AXFR sospette, Azure ATP ora rileva anche i tipi sospetti di richieste provenienti da server non DNS che usano un numero eccessivo di richieste.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.66

Data di rilascio: 17 febbraio 2019

  • Miglioramento della funzionalità: Sospetto attacco DCSync (replica di servizi directory)
    Sono stati apportati miglioramenti di usabilità per questo avviso di sicurezza, tra cui una descrizione modificata, il provisioning di altre informazioni sull'origine, una nuova infografica e ulteriori prove. Altre informazioni sugli avvisi di sicurezza Sospetto attacco DCSync (replica di servizi directory).

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.65

Data di rilascio: 10 febbraio 2019

  • Nuovo avviso di sicurezza: Sospetto attacco di tipo relay NTLM (account di Exchange) - Anteprima
    L'avviso di sicurezza Attacco di inoltro NTLM sospetto (account Exchange) - Anteprima di Azure ATP è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando viene identificato l'uso delle credenziali dell'account di Exchange da un'origine sospetta. Questi tipi di attacco tentano di usare le tecniche di inoltro NTLM per ottenere i privilegi Exchange del controller di dominio e sono chiamati ExchangePriv. Per altre informazioni sulla tecnica di ExchangePriv, vedere ADV190007 advisory (Avviso ADV190007) pubblicato per la prima volta il 31 gennaio 2019 e Azure ATP alert response (Risposta agli avvisi di Azure ATP).

  • Disponibilità generale: Esecuzione di codice remoto su DNS
    Questo avviso è ora disponibile a livello generale. Per altre informazioni e per le funzionalità di avviso, vedere la pagina di descrizione dell'avviso Esecuzione del codice da remoto su DNS.

  • Disponibilità generale: Esfiltrazione di dati su SMB
    Questo avviso è ora disponibile a livello generale. Per altre informazioni e per le funzionalità di avviso, vedere la pagina di descrizione dell'avviso Esfiltrazione dei dati su SMB.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.64

Data di rilascio: 4 febbraio 2019

Azure ATP versione 2.63

Data di rilascio: 27 gennaio 2019

  • Nuova funzionalità: Supporto di foreste non attendibili - (anteprima)
    Il supporto di Azure ATP per sensori in foreste non attendibili è ora disponibile in anteprima pubblica. Nella pagina Directory services (Servizi directory) nel portale di Azure ATP configurare set di credenziali aggiuntivi affinché i sensori Azure ATP possano connettersi a foreste Active Directory diverse e inviare segnalazioni al servizio Azure ATP. Per altre informazioni, vedere Supporto di più foreste di Azure ATP.

  • Nuova funzionalità: Copertura del controller di dominio
    Azure ATP offre ora informazioni sulla copertura per i controller di dominio monitorati di Azure ATP.
    Nella pagina Sensors (Sensori) nel portale di Azure ATP visualizzare il numero di controller di dominio monitorati e non monitorati rilevati da Azure ATP nell'ambiente. Scaricare l'elenco dei controller di dominio monitorati per un'analisi approfondita e creare un piano di azione. Vedere Domain controller monitoring (Monitoraggio dei controller di dominio).

  • Miglioramento della funzionalità: Ricognizione tramite enumerazione account
    Il rilevamento ricognizione tramite enumerazione account di Azure ATP ora rileva e genera avvisi per i tentativi di enumerazione tramite Kerberos e NTLM. In precedenza, il rilevamento funzionava solo per i tentativi tramite Kerberos. Per altre informazioni, vedere Avvisi di ricognizione di Azure ATP.

  • Miglioramento della funzionalità: Avviso di tentativo di esecuzione del codice da remoto

    • Tutte le attività eseguite da remoto, ad esempio la creazione di un servizio, l'esecuzione WMI e la nuova esecuzione PowerShell, sono state aggiunte alla sequenza temporale del profilo del computer di destinazione. Il computer di destinazione è il controller di dominio in cui è stato eseguito il comando.
    • L'esecuzione PowerShell è stata aggiunta all'elenco delle attività di esecuzione del codice da remoto specificate nella sequenza temporale di avviso del profilo di entità.
    • Per altre informazioni, vedere Tentativo di esecuzione del codice da remoto.

  • Versione di LSASS e Azure ATP in Windows Server 2019 LSASS
    In risposta ai commenti e suggerimenti dei clienti sull'uso di Azure ATP con controller di dominio che eseguono Windows Server 2019, questo aggiornamento include logica aggiuntiva per evitare il comportamento segnalato nei computer Windows Server 2019. È previsto un futuro aggiornamento di Azure ATP per il supporto completo del sensore Azure ATP in Windows Server 2019. Attualmente l'installazione e l'esecuzione di Azure ATP in Windows Servers 2019 non sono comunque supportate. Per altre informazioni, vedere Requisiti del sensore Azure ATP.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.62

Data di rilascio: 20 gennaio 2019

  • Nuovo avviso di sicurezza: Esecuzione del codice da remoto su DNS - (anteprima)
    L'avviso di sicurezza di Azure ATP Esecuzione di codice remoto su DNS è ora disponibile in anteprima pubblica. In questo rilevamento viene attivato un avviso di sicurezza di Azure ATP quando vengono eseguite query DNS che si sospetta sfruttino la vulnerabilità di sicurezza CVE-2018-8626 su un controller di dominio nella rete.

  • Miglioramento della funzionalità: Aggiornamento del sensore ritardato di 72 ore
    È stata modificata l'opzione per ritardare gli aggiornamenti del sensore di 72 ore (invece del ritardo di 24 ore precedente) dopo ogni aggiornamento di versione di Azure ATP. Vedere Aggiornare i sensori di ATP per le istruzioni di configurazione.

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.61

Ultimo aggiornamento: gennaio 13, 2019

  • Nuovo avviso di sicurezza: Esfiltrazione dei dati su SMB - (anteprima)
    L'avviso di sicurezza di Azure ATP Estrazione di dati su SMB è ora disponibile in anteprima pubblica. Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. L'account KRBTGT consente agli utenti malintenzionati di creare un TGT (Ticket Granting Ticket) Kerberos, che concede l'autorizzazione a qualsiasi risorsa.

  • Miglioramento della funzionalità: Avviso di sicurezza del tentativo di esecuzione remota del codice
    Sono stati aggiunti una nuova descrizione avviso ed evidenze aggiuntive per contribuire a semplificare la comprensione dell'avviso e fornire flussi di lavoro di analisi migliori.

  • Miglioramento della funzionalità: Attività logiche di query DNS
    Sono stati aggiunti tipi di query aggiuntivi alle attività monitorate di Azure ATP tra cui: TXT, MX, NS, SRV, ANY, DNSKEY.

  • Miglioramento della funzionalità: Sospetto utilizzo di Golden Ticket (anomalia nel ticket) e sospetto utilizzo di Golden Ticket (account non esistente)
    È stata applicata una migliore logica di rilevamento a entrambi gli allarmi per ridurre il numero di allarmi FP e fornire risultati più accurati.

  • Miglioramento della funzionalità: Documentazione degli avvisi di sicurezza in Azure ATP
    La documentazione degli avvisi di sicurezza in Azure ATP è stata migliorata e ampliata per includere descrizioni migliori, classificazioni più accurate e spiegazioni di evidenze, rimedi e prevenzione. Acquisire familiarità con la nuova progettazione della documentazione degli avvisi di sicurezza mediante i collegamenti seguenti:

  • Questa versione include anche miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.60

Data di rilascio: 06 gennaio 2019

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.59

Data di rilascio: 16 dicembre 2018

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.58

Data di rilascio: 9 dicembre 2018

  • Miglioramento degli avvisi di sicurezza: suddivisione degli avvisi sull'implementazione insolita dei protocolli
    Le serie di avvisi di sicurezza di Azure ATP sull'implementazione insolita dei protocolli che in precedenza condividevano un externalId (2002) sono ora suddivise in quattro avvisi distinti, con un ID esterno univoco corrispondente.

Nuovi externalId degli avvisi

Nuovo nome dell'avviso di sicurezza Nome precedente dell'avviso di sicurezza ID esterno univoco
Sospetto attacco di forza bruta (SMB) Implementazione insolita di protocollo (potenziale uso di strumenti dannosi, ad esempio Hydra) 2033
Sospetto attacco Overpass-the-Hash (Kerberos) Implementazione insolita del protocollo Kerberos (potenziale attacco Overpass-the-Hash) 2002
Sospetto utilizzo del framework di pirateria informatica Metasploit Implementazione insolita di protocollo (potenziale uso di strumenti di pirateria informatica Metasploit) 2034
Sospetto attacco ransomware WannaCry Implementazione insolita di protocollo (potenziale attacco ransomware WannaCry) 2035

  • Nuova attività monitorata: copia dei file tramite SMB
    La copia dei file tramite SMB è ora un'attività monitorata e filtrabile. Altre informazioni sulle attività monitorate da Azure ATP e su come filtrare e cercare le attività monitorate sono disponibili nel portale.

  • Miglioramento delle immagini dei percorsi di spostamento laterale di grandi dimensioni
    Quando si visualizzano percorsi di spostamento laterale di grandi dimensioni, Azure ATP evidenzia ora solo i nodi connessi a un'entità selezionata, anziché offuscare gli altri nodi. Questa modifica introduce un miglioramento significativo nella velocità di rendering dei percorsi di spostamento laterale di grandi dimensioni.

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.57

Data di rilascio: 2 dicembre 2018

  • Nuovo avviso di sicurezza: sospetto utilizzo di Golden Ticket - Anomalia nel ticket (anteprima)
    L'avviso di sicurezza di Azure ATP Utilizzo sospetto di Golden Ticket (anomalia del ticket) è ora disponibile in anteprima pubblica. Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. L'account KRBTGT consente agli utenti malintenzionati di creare un TGT (Ticket Granting Ticket) Kerberos, che concede l'autorizzazione a qualsiasi risorsa.

    Questo TGT contraffatto viene denominato "Golden Ticket" perché consente agli utenti malintenzionati di ottenere una lunga persistenza nella rete. Un Golden Ticket contraffatto di questo tipo presenta particolari caratteristiche che questo nuovo rilevamento è in grado di identificare.

  • Miglioramento della funzionalità: creazione automatica dell'istanza (area di lavoro) di Azure ATP
    Da oggi, le aree di lavoro di Azure ATP vengono rinominate istanze di Azure ATP. Azure ATP ora supporta un'istanza di Azure ATP per ogni account di Azure ATP. Le istanze per i nuovi clienti vengono create con la procedura guidata di creazione delle istanze del portale di Azure ATP. In seguito a questo aggiornamento, le aree di lavoro di Azure ATP esistenti vengono convertite automaticamente in istanze di Azure ATP.

    Per altre informazioni sulle istanze di Azure ATP, vedere Creare l'istanza di Azure ATP.

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Azure ATP versione 2.56

Data di rilascio: 25 novembre 2018

  • Miglioramento della funzionalità: percorsi di spostamento laterale
    Per migliorare le funzionalità di Azure ATP nell'ambito dei percorsi di spostamento laterale, sono state aggiunte due funzioni:

    • La cronologia dei percorsi di spostamento laterale ora è salvata e ricercabile per ogni entità, nonché disponibile per i report.
    • È possibile seguire un'entità in un percorso di spostamento laterale tramite la sequenza temporale delle attività ed eseguire analisi utilizzando più elementi messi a disposizione per l'individuazione di potenziali percorsi di attacco.

    Vedere Percorsi di spostamento laterale di Azure ATP per altre informazioni su come usare ed eseguire analisi con i percorsi di spostamento laterale.

  • Miglioramenti della documentazione: percorsi di spostamento laterale, nomi degli avvisi di sicurezza
    Agli articoli di Azure ATP sono stati apportati aggiornamenti e aggiunte che descrivono i percorsi di spostamento laterale e ne indicano le funzionalità. Per tutte le istanze, è stato aggiunto il mapping dai vecchi nomi degli avvisi di sicurezza ai nuovi nomi e agli externalId.

  • Questa versione include miglioramenti e correzioni di bug per l'infrastruttura di sensori interni.

Per informazioni dettagliate su ogni versione di Defender for Identity prima di (e inclusa) versione 2.55, vedere il riferimento alla versione di Defender for Identity.

Vedere anche