Wat is er nieuw in Microsoft Defender for Identity

Dit artikel wordt regelmatig bijgewerkt om u te laten weten wat er nieuw is in de nieuwste versies van Microsoft Defender for Identity (voorheen Azure Advanced Threat Protection, ook wel Bekend als Azure ATP).

RSS-feed: Ontvang een melding wanneer deze pagina wordt bijgewerkt door de volgende URL te kopiëren en te plakken in de feedlezer: https://docs.microsoft.com/api/search/rss?search=%22This+article+is+updated+frequently+to+let+you+know+what%27s+new+in+the+latest+release+of+Microsoft+Defender+for+Identity%22&locale=en-us

Zie voor meer informatie over wat er nieuw is in andere Microsoft Defender-beveiligingsproducten:

• Wat is er nieuw in Microsoft 365 Defender
• Wat is er nieuw in Microsoft Defender voor Eindpunt
• Wat is er nieuw in Microsoft Defender for Cloud Apps

Notitie

Vanaf 15 juni 2022 biedt Microsoft geen ondersteuning meer voor de Defender for Identity-sensor op apparaten met Windows Server 2008 R2. U wordt aangeraden alle resterende domeincontrollers (DC's) of (AD FS)-servers te identificeren waarop Windows Server 2008 R2 nog steeds wordt uitgevoerd als besturingssysteem en plannen te maken om ze bij te werken naar een ondersteund besturingssysteem.

Gedurende de twee maanden na 15 juni 2022 blijft de sensor functioneren. Na deze periode van twee maanden vanaf 15 augustus 2022 werkt de sensor niet meer op Windows Server 2008 R2-platforms. Meer informatie vindt u op: https://aka.ms/mdi/2008r2

Defender for Identity release 2.185

Uitgebracht op 18 juli 2022

• Er is een probleem opgelost waarbij verdacht Golden Ticket-gebruik (niet-bestaand account) (externe id 2027) macOS-apparaten onjuist zou detecteren.

• Gebruikersacties: We hebben besloten om de actie Gebruiker uitschakelen op de gebruikerspagina te verdelen in twee verschillende acties:

  • Gebruiker uitschakelen, waardoor de gebruiker op Active Directory-niveau wordt uitgeschakeld
  • Gebruiker onderbreken, waardoor de gebruiker op Azure Active Directory-niveau wordt uitgeschakeld

  We begrijpen dat de tijd die nodig is om te synchroniseren van Active Directory naar Azure Active Directory cruciaal kan zijn, dus u kunt nu ervoor kiezen om gebruikers in één na elkaar uit te schakelen om de afhankelijkheid van de synchronisatie zelf te verwijderen. Houd er rekening mee dat een gebruiker die alleen is uitgeschakeld in Azure Active Directory, wordt overschreven door Active Directory, als de gebruiker daar nog actief is.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.184

Uitgebracht op 10 juli 2022

• Nieuwe beveiligingsevaluaties
  Defender for Identity bevat nu de volgende nieuwe beveiligingsevaluatie:

  • Niet-beveiligde domeinconfiguraties
    Microsoft Defender for Identity uw omgeving continu bewaakt om domeinen te identificeren met configuratiewaarden die een beveiligingsrisico blootstellen en rapporten over deze domeinen om u te helpen bij het beveiligen van uw omgeving. Zie Beveiligingsevaluatie: Niet-beveiligde domeinconfiguraties voor meer informatie.

• Het Defender for Identity-installatiepakket installeert nu het Npcap-onderdeel in plaats van de WinPcap-stuurprogramma's. Zie WinPcap- en Npcap-stuurprogramma's voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity-release 2.183.15436.10558 (hotfix)

Uitgebracht op 20 juni 2022 (bijgewerkt op 4 juli 2022)

• Nieuwe beveiligingswaarschuwing: Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol
  Als reactie op het publiceren van een recent aanvalsprogramma dat gebruikmaakt van een stroom in het DFS-protocol, activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller deze aanvalsmethode gebruikt. Lees de blogpost voor meer informatie over deze aanval.

Defender for Identity release 2.183

Uitgebracht op 20 juni 2022

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.182

Uitgebracht op 4 juni 2022

• Er is een nieuwe infopagina voor Defender for Identity beschikbaar. U vindt deze in de Microsoft 365 Defender-portal onder Instellingen ->Identities ->About. Het biedt verschillende belangrijke informatie over uw Defender for Identity-werkruimte, waaronder de naam van de werkruimte, versie, id en de geolocatie van uw werkruimte. Deze informatie kan nuttig zijn bij het oplossen van problemen en het openen van ondersteuningstickets.
• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.181

Uitgebracht op 22 mei 2022

• U kunt nu herstelacties rechtstreeks op uw on-premises accounts uitvoeren met behulp van Microsoft Defender for Identity.

  • Gebruiker uitschakelen : hierdoor voorkomt u tijdelijk dat een gebruiker zich aanmeldt bij het netwerk. Het kan helpen voorkomen dat gecompromitteerde gebruikers zich zijdelings verplaatsen en proberen gegevens te exfiltreren of het netwerk verder te compromitteren.
  • Gebruikerswachtwoord opnieuw instellen : hiermee wordt de gebruiker gevraagd zijn of haar wachtwoord te wijzigen bij de volgende aanmelding, zodat dit account niet kan worden gebruikt voor verdere imitatiepogingen.

  Deze acties kunnen worden uitgevoerd vanaf verschillende locaties in Microsoft 365 Defender: de gebruikerspagina, het deelvenster aan de gebruikerspagina, geavanceerde opsporing en zelfs aangepaste detecties. Hiervoor moet u een bevoegde gMSA-account instellen dat Microsoft Defender for Identity gebruikt om de acties uit te voeren. Zie Microsoft Defender for Identity actieaccounts voor meer informatie over de vereisten.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.180

Uitgebracht op 12 mei 2022

• Nieuwe beveiligingswaarschuwing: Verdachte wijziging van een dNSHostName-kenmerk (CVE-2022-26923)
  In reactie op de publicatie van een recente CVE activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert CVE-2022 -26923 te misbruiken. Lees de blogpost voor meer informatie over deze aanval.

• In versie 2.177 hebben we extra LDAP-activiteiten uitgebracht die kunnen worden gedekt door Defender for Identity. Er is echter een fout gevonden waardoor de gebeurtenissen niet worden gepresenteerd en opgenomen in de Defender for Identity-portal. Dit is opgelost in deze release. Vanaf versie 2.180, wanneer u gebeurtenis-id 1644 inschakelt, krijgt u niet alleen inzicht in LDAP-activiteiten via Active Directory-webservices, maar ook andere LDAP-activiteiten omvatten de gebruiker die de LDAP-activiteit op de broncomputer heeft uitgevoerd. Dit geldt voor beveiligingswaarschuwingen en logische activiteiten die zijn gebaseerd op LDAP-gebeurtenissen.

• Als reactie op de recente KrbRelayUp-exploitatie hebben we een stille detector uitgebracht om ons antwoord op deze exploitatie te evalueren. Met de stille detector kunnen we de effectiviteit van de detectie evalueren en informatie verzamelen op basis van gebeurtenissen die we verzamelen. Als deze detectie van hoge kwaliteit wordt weergegeven, geven we in de volgende versie een nieuwe beveiligingswaarschuwing uit.

• De naam van de uitvoering van externe code via DNS is gewijzigd in externe code-uitvoering via DNS, omdat de logica achter deze beveiligingswaarschuwingen beter wordt weergegeven.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.179

Uitgebracht op 1 mei 2022

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.178

Uitgebracht op 10 april 2022

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.177

Uitgebracht op 27 maart 2022

• Microsoft Defender for Identity kunt nu extra LDAP-query's in uw netwerk bewaken. Deze LDAP-activiteiten worden verzonden via het Active Directory-webserviceprotocol en fungeren als normale LDAP-query's. Als u inzicht wilt hebben in deze activiteiten, moet u gebeurtenis 1644 inschakelen op uw domeincontrollers. Deze gebeurtenis behandelt LDAP-activiteiten in uw domein en wordt voornamelijk gebruikt om dure, inefficiënte of trage LDAP-zoekopdrachten (Lightweight Directory Access Protocol) te identificeren die worden onderhouden door Active Directory-domeincontrollers. Zie Gebeurtenis-id 1644 voor meer informatie over het inschakelen van deze gebeurtenis.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.176

Uitgebracht op 16 maart 2022

• Vanaf deze versie wordt bij het installeren van de sensor vanuit een nieuw pakket de versie van de sensor onder Programma's toevoegen/verwijderen weergegeven met het volledige versienummer (bijvoorbeeld 2.176.x.y), in plaats van de statische 2.0.0.0.0 die eerder werd weergegeven. Deze versie wordt nog steeds weergegeven (de versie die via het pakket is geïnstalleerd), ook al wordt de versie bijgewerkt via de automatische updates van de Defender for Identity-cloudservices. De echte versie is te zien op de pagina sensorinstellingen in de portal, in het uitvoerbare pad of in de bestandsversie.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.175

Uitgebracht op 6 maart 2022

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Defender for Identity release 2.174

Uitgebracht op 20 februari 2022

• We hebben de SHOST-FQDN van het account dat bij de waarschuwing betrokken is, toegevoegd aan het bericht dat naar de SIEM is verzonden. Zie Microsoft Defender for Identity SIEM-logboekreferentie voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.173

Uitgebracht op 13 februari 2022

• Alle Microsoft Defender for Identity functies zijn nu beschikbaar in de Microsoft 365 Defender-portal. Lees dit blogbericht voor meer informatie.

• In deze release worden problemen opgelost bij het installeren van de sensor in Windows Server 2019 waarop KB5009557 is geïnstalleerd of op een server met beperkte EventLog-machtigingen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.172

Uitgebracht op 8 februari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.171

Uitgebracht op 31 januari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.170

Uitgebracht op 24 januari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.169

Uitgebracht op 17 januari 2022

• We geven graag de mogelijkheid om een actieaccount voor Microsoft Defender for Identity te configureren. Dit is de eerste stap in de mogelijkheid om rechtstreeks vanuit het product acties uit te voeren op gebruikers. Als eerste stap kunt u het gMSA-account definiëren dat Microsoft Defender for Identity gebruikt om de acties uit te voeren. We raden u ten zeerste aan deze gebruikers te maken om te genieten van de functie Acties zodra deze live is. Zie Actieaccounts beheren voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.168

Uitgebracht op 9 januari 2022

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.167

Uitgebracht op 29 december 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.166

Uitgebracht op 27 december 2021

• Versie bevat een nieuwe beveiligingswaarschuwing: Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) (externe id 2419).
  In reactie op het publiceren van recente CV's activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert te misbruiken van CVE-2021-42278 en CVE-2021-42287. Lees het blogbericht voor meer informatie over deze aanval.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.165

Uitgebracht op 6 december 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.164

Uitgebracht op 17 november 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.163

Uitgebracht op 8 november 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.162

Uitgebracht op 1 november 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.161

Uitgebracht op 12 september 2021

• Versie bevat nieuwe bewaakte activiteit: het wachtwoord van het gMSA-account is opgehaald door een gebruiker. Zie Microsoft Defender for Identity bewaakte activiteiten voor meer informatie
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.160

Uitgebracht op 22 augustus 2021

• De versie bevat verschillende verbeteringen en behandelt meer scenario's volgens de meest recente wijzigingen in de PetitPotam-exploitatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.159

Uitgebracht op 15 augustus 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.
• Versie bevat een verbetering van de zojuist gepubliceerde waarschuwing: Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416).
  We hebben de ondersteuning voor deze detectie uitgebreid om te activeren wanneer een potentiële aanvaller communiceert via een versleuteld EFS-RPCchannel. Waarschuwingen die worden geactiveerd wanneer het kanaal wordt versleuteld, worden behandeld als een waarschuwing voor gemiddelde ernst, in plaats van Hoog wanneer het niet is versleuteld. Zie Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416) voor meer informatie over de waarschuwing.

Defender for Identity release 2.158

Uitgebracht op 8 augustus 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

• Versie bevat een nieuwe beveiligingswaarschuwing: Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416).
  In deze detectie activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller de EFS-RPC probeert te misbruiken tegen de domeincontroller. Deze aanvalsvector is gekoppeld aan de recente PetitPotam-aanval. Zie Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416) voor meer informatie over de waarschuwing.

• Versie bevat een nieuwe beveiligingswaarschuwing: Exchange Server Uitvoering van externe code (CVE-2021-26855) (externe id 2414)
  In deze detectie activeert Microsoft Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert het kenmerk msExchExternalHostName op het Exchange-object te wijzigen voor uitvoering van externe code. Zie Exchange Server Uitvoering van externe code (CVE-2021-26855) (externe id 2414) voor meer informatie over deze waarschuwing. Deze detectie is afhankelijk van Windows-gebeurtenis 4662, dus moet deze vooraf worden ingeschakeld. Zie Windows-gebeurtenisverzameling configureren en verzamelen voor informatie over het configureren en verzamelen van deze gebeurtenis en volg de instructies voor het inschakelen van controle op een Exchange-object.

Defender for Identity release 2.157

Uitgebracht op 1 augustus 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.156

Uitgebracht op 25 juli 2021

• Vanaf deze versie voegen we het uitvoerbare npcap-stuurprogramma toe aan het sensorinstallatiepakket. Zie WinPcap- en Npcap-stuurprogramma's voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.155

Uitgebracht op 18 juli 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.154

Uitgebracht op 11 juli 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.
• De versie bevat toegevoegde verbeteringen en detecties voor de afdrukspooler-exploitatie, ook wel PrintNightmare-detectie genoemd, om meer aanvalsscenario's te behandelen.

Defender for Identity release 2.153

Uitgebracht op 4 juli 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

• Versie bevat een nieuwe beveiligingswaarschuwing: Vermoedelijke misbruik van Windows Print Spooler-service (CVE-2021-34527-exploitatie) (externe id 2415).

  In deze detectie activeert Defender for Identity een beveiligingswaarschuwing wanneer een aanvaller probeert de Windows Print Spooler-service te misbruiken op de domeincontroller. Deze aanvalsvector is gekoppeld aan de print spooler-exploitatie en staat bekend als PrintNightmare. Meer informatie over deze waarschuwing.

Defender for Identity release 2.152

Uitgebracht op 27 juni 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.151

Uitgebracht op 20 juni 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.150

Uitgebracht op 13 juni 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.149

Uitgebracht op 31 mei 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.148

Uitgebracht op 23 mei 2021

• Als u gebeurtenis-id 4662 configureert en verzamelt , rapporteert Defender for Identity welke gebruiker de USN (Update Sequence Number) heeft gewijzigd in verschillende Active Directory-objecteigenschappen. Als een accountwachtwoord bijvoorbeeld wordt gewijzigd en gebeurtenis 4662 is ingeschakeld, wordt met de gebeurtenis vastgelegd wie het wachtwoord heeft gewijzigd.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.147

Uitgebracht op 9 mei 2021

• Op basis van feedback van klanten verhogen we het standaardaantal toegestane sensoren van 200 tot 350 en de referenties van Directory Services van 10 tot 30.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.146

Uitgebracht op 2 mei 2021

• Email meldingen voor zowel statusproblemen als beveiligingswaarschuwingen hebben nu de onderzoeks-URL voor zowel Microsoft Defender for Identity als Microsoft 365 Defender.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.145

Uitgebracht op 22 april 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.144

Uitgebracht op 12 april 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.143

Uitgebracht op 14 maart 2021

• We hebben Windows Event 4741 toegevoegd om computeraccounts te detecteren die zijn toegevoegd aan Active Directory-activiteiten . Configureer de nieuwe gebeurtenis die moet worden verzameld door Defender for Identity. Zodra de configuratie is geconfigureerd, zijn verzamelde gebeurtenissen beschikbaar om te bekijken in het activiteitenlogboek en de Microsoft 365 Defender Geavanceerde opsporing.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.142

Uitgebracht op 7 maart 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.141

Uitgebracht op 21 februari 2021

• Nieuwe beveiligingswaarschuwing: Verdachte AS-REP-brandaanval (externe id 2412)
  Defender for Identity's Suspected AS-REP Roasting attack (external ID 2412) security alert is now available. In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer een aanvaller accounts met uitgeschakelde Kerberos-verificatie richt en probeert Kerberos TGT-gegevens te verkrijgen. De bedoeling van de aanvaller kan zijn om de referenties uit de gegevens te extraheren met behulp van aanvallen met offline wachtwoordkraken. Zie Voor meer informatie Kerberos AS-REP Branding blootstelling (externe id 2412).
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.140

Uitgebracht op 14 februari 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.139

Uitgebracht op 31 januari 2021

• We hebben de ernst voor de verdachte Kerberos SPN-blootstelling bijgewerkt om de impact van de waarschuwing beter weer te geven. Zie Voor meer informatie over de waarschuwing verdachte Kerberos SPN-blootstelling (externe id 2410)
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.138

Uitgebracht op 24 januari 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.137

Uitgebracht op 17 januari 2021

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.136

Uitgebracht op 3 januari 2021

• Defender for Identity ondersteunt nu het installeren van sensoren op ad FS-servers (Active Directory Federation Services). Het installeren van de sensor op compatibele AD FS-servers breidt Microsoft Defender for Identity zichtbaarheid uit in een hybride omgeving door dit kritieke infrastructuuronderdeel te bewaken. We hebben ook enkele van onze bestaande detecties vernieuwd (Suspicious service creation, Suspicious Brute Force attack (LDAP), Account inventarisatie reconnaissance) om ook te werken aan AD FS-gegevens. Als u de implementatie van de Microsoft Defender voor identiteitssensor voor AD FS-server wilt starten, downloadt u het meest recente implementatiepakket op de pagina sensorconfiguratie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.135

Uitgebracht op 20 december 2020

• We hebben onze LDAP-waarschuwing (Active Directory attributes reconnaissance) (externe id 2210) verbeterd om ook technieken te detecteren die worden gebruikt om de benodigde informatie te verkrijgen om beveiligingstokens te genereren, zoals gezien als onderdeel van de Solorigate-campagne.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.134

Uitgebracht op 13 december 2020

• Onze onlangs uitgebrachte NetLogon-detector is verbeterd om ook te werken wanneer de Netlogon-kanaaltransactie plaatsvindt via een versleuteld kanaal. Zie Suspected Netlogon privilege elevationpoging voor meer informatie over de detector.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.133

Uitgebracht op 6 december 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.132

Uitgebracht op 17 november 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.131

Uitgebracht op 8 november 2020

• Nieuwe beveiligingswaarschuwing: Verdachte Kerberos SPN-blootstelling (externe id 2410)
  Defender for Identity's Suspected Kerberos SPN exposure (external ID 2410) security alert is now available. In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer een aanvaller serviceaccounts en hun respectieve SPN's opsommen en vervolgens Kerberos TGS-tickets voor de services aanvraagt. De bedoeling van de aanvaller kan zijn om de hashes uit de tickets te extraheren en deze op te slaan voor later gebruik bij offline brute force-aanvallen. Zie Kerberos SPN-blootstelling voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Defender for Identity release 2.130

Uitgebracht op 25 oktober 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.129

Uitgebracht op 18 oktober 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.128

Uitgebracht op 27 september 2020

• Configuratie van e-mailmeldingen gewijzigd
  We verwijderen de wisselknop voor e-mailmeldingen voor het inschakelen van e-mailmeldingen. Als u e-mailmeldingen wilt ontvangen, voegt u gewoon een adres toe. Zie Meldingen instellen voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.127

Uitgebracht op 20 september 2020

• Nieuwe beveiligingswaarschuwing: Verdachte poging tot uitbreiding van netlogon-bevoegdheden (externe id 2411)
  De beveiligingswaarschuwing voor verdachte Netlogon-bevoegdheden van Azure ATP (CVE-2020-1472-exploitatie) (externe id 2411) is nu beschikbaar. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer een aanvaller een kwetsbare Netlogon-beveiligde kanaalverbinding tot stand brengt met een domeincontroller, met behulp van netlogon Remote Protocol (MS-NRPC), ook wel netlogon-uitbreiding van beveiligingsproblemen met bevoegdheden genoemd. Zie Suspected Netlogon privilege elevationpoging voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.126

Uitgebracht op 13 september 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.125

Uitgebracht op 6 september 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.124

Uitgebracht op 30 augustus 2020

• Nieuwe beveiligingswaarschuwingen
  Azure ATP-beveiligingswaarschuwingen bevatten nu de volgende nieuwe detecties:
  • Active Directory-kenmerken reconnaissance (LDAP) (externe id 2210)
    In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer een aanvaller vermoedt dat hij kritieke informatie over het domein heeft gekregen voor gebruik in de kill chain voor aanvallen. Zie Reconnaissance van Active Directory-kenmerken voor meer informatie.
  • Verdacht kerberos-certificaatgebruik (externe id 2047)
    In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer een aanvaller die controle over de organisatie heeft verkregen door de server van de certificeringsinstantie in gevaar te brengen, wordt vermoed dat certificaten worden gegenereerd die kunnen worden gebruikt als achterdeuraccounts in toekomstige aanvallen, zoals lateraal verplaatsen in uw netwerk. Zie Suspected rogue Kerberos certificate usage voor meer informatie.
  • Verdacht golden ticketgebruik (ticketafwijking met RBCD) (externe id 2040)
    Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket voor tickettoekenning (TGT) maken dat autorisatie biedt aan elke resource.
    Deze vervalste TGT wordt een 'Golden Ticket' genoemd, omdat aanvallers duurzame netwerkpersistentie kunnen bereiken met behulp van RBCD (Resource Based Constrained Delegation). Gesmede Golden Tickets van dit type hebben unieke kenmerken die deze nieuwe detectie is ontworpen om te identificeren. Zie Suspected golden ticket usage (ticket anomalie using RBCD) voor meer informatie.
• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.123

Uitgebracht op 23 augustus 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.122

Uitgebracht op 16 augustus 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.121

Uitgebracht op 2 augustus 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.120

Uitgebracht op 26 juli 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.119

Uitgebracht op 5 juli 2020

• Functieverbetering: tabblad Nieuwe uitgesloten domeincontrollers in Excel-rapport
  Om de nauwkeurigheid van de berekening van de dekking van de domeincontroller te verbeteren, sluiten we domeincontrollers met externe vertrouwensrelaties uit de berekening voor het bereiken van 100% dekking. Uitgesloten domeincontrollers worden weergegeven op het nieuwe tabblad uitgesloten domeincontrollers in het Excel-rapport voor domeindekking downloaden. Zie de status van de domeincontroller voor informatie over het downloaden van het rapport.
• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.118

Uitgebracht op 28 juni 2020

• Nieuwe beveiligingsevaluaties
  Azure ATP-beveiligingsevaluaties bevatten nu de volgende nieuwe evaluaties:

  • Paden voor zijdelingse verplaatsingen met het meeste risico
    Deze evaluatie bewaakt uw omgeving continu om gevoelige accounts te identificeren met de meest riskante laterale verplaatsingspaden die een beveiligingsrisico blootstellen, en rapporteert over deze accounts om u te helpen bij het beheren van uw omgeving. Paden worden als riskant beschouwd als ze drie of meer niet-gevoelige accounts hebben die het gevoelige account kunnen blootstellen aan referentiediefstal door kwaadwillende actoren. Zie Beveiligingsevaluatie: Riskante laterale verplaatsingspaden (LMP) voor meer informatie.
  • Kenmerken van een onbeveiligd account
    Met deze evaluatie bewaakt Azure ATP uw omgeving continu om accounts te identificeren met kenmerkwaarden die een beveiligingsrisico blootstellen en rapporten over deze accounts om u te helpen bij het beveiligen van uw omgeving. Zie Beveiligingsevaluatie: Onbeveiligde accountkenmerken voor meer informatie.

• Bijgewerkte gevoeligheidsdefinitie
  We breiden onze gevoeligheidsdefinitie voor on-premises accounts uit met entiteiten die Active Directory-replicatie mogen gebruiken.

Azure ATP-release 2.117

Uitgebracht op 14 juni 2020

• Functieverbetering: Aanvullende activiteitsgegevens die beschikbaar zijn in de geïntegreerde SecOps-ervaring
  We hebben de apparaatgegevens die we verzenden, uitgebreid naar Defender for Cloud Apps, waaronder apparaatnamen, IP-adressen, UPN's van accounts en gebruikte poort. Zie Azure ATP gebruiken met Defender voor Cloud Apps voor meer informatie over onze integratie met Defender for Cloud Apps.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.116

Uitgebracht op 7 juni 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.115

Uitgebracht op 31 mei 2020

• Nieuwe beveiligingsevaluaties
  Azure ATP-beveiligingsevaluaties bevatten nu de volgende nieuwe evaluaties:

  • Onbeveiligde SID-geschiedeniskenmerken
    Deze evaluatie rapporteert over sid-geschiedeniskenmerken die kunnen worden gebruikt door kwaadwillende aanvallers om toegang te krijgen tot uw omgeving. Zie Beveiligingsevaluatie: Onbeveiligde SID-geschiedeniskenmerken voor meer informatie.
  • Microsoft LAPS-gebruik
    Deze evaluatie rapporteert over lokale beheerdersaccounts die niet gebruikmaken van de 'Local Administrator Password Solution' (LAPS) van Microsoft om hun wachtwoorden te beveiligen. Het gebruik van LAPS vereenvoudigt wachtwoordbeheer en helpt ook bij het beschermen tegen cyberaanvallen. Zie Beveiligingsevaluatie: Microsoft LAPS-gebruik voor meer informatie.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.114

Uitgebracht op 17 mei 2020

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.113

Uitgebracht op 5 mei 2020

• Functieverbetering: Activiteit van verrijkte resourcetoegang met NTLMv1
  Vanaf deze versie biedt Azure ATP nu informatie voor resourcetoegangsactiviteiten die aangeven of de resource gebruikmaakt van NTLMv1-verificatie. Deze resourceconfiguratie is onveilig en vormt een risico dat kwaadwillende actoren de toepassing naar hun voordeel kunnen dwingen. Zie Het gebruik van verouderde protocollen voor meer informatie over het risico.

• Functieverbetering: Waarschuwing verdachte beveiligingsaanval (Kerberos, NTLM)
  Brute Force-aanvallen worden door aanvallers gebruikt om een voet in uw organisatie te krijgen en is een belangrijke methode voor bedreigings- en risicodetectie in Azure ATP. Om u te helpen zich te concentreren op de kritieke risico's voor uw gebruikers, maakt deze update het eenvoudiger en sneller om risico's te analyseren en op te lossen door het aantal waarschuwingen te beperken en prioriteit te geven.

Azure ATP-release 2.112

Uitgebracht op 15 maart 2020

• Nieuwe Azure ATP-exemplaren worden automatisch geïntegreerd met Microsoft Defender for Cloud Apps
  Bij het maken van een Azure ATP-exemplaar (voorheen werkruimte) is de integratie met Microsoft Defender for Cloud Apps standaard ingeschakeld. Zie Azure ATP gebruiken met Microsoft Defender for Cloud Apps voor meer informatie over de integratie.

• Nieuwe bewaakte activiteiten
  De volgende activiteitsmonitoren zijn nu beschikbaar:

  • Interactieve aanmelding met certificaat

  • Aanmelden met certificaat is mislukt

  • Gedelegeerde resourcetoegang

    Meer informatie over welke activiteiten Azure ATP bewaakt en hoe u bewaakte activiteiten filtert en doorzoekt in de portal.

• Functieverbetering: Verrijkte resourcetoegangsactiviteit
  Vanaf deze versie biedt Azure ATP nu informatie over resourcetoegangsactiviteiten die aangeven of de resource wordt vertrouwd voor niet-getrainde delegatie. Deze resourceconfiguratie is onbeveiligd en vormt een risico dat kwaadwillende actoren de toepassing naar hun voordeel kunnen dwingen. Zie Beveiligingsevaluatie: Onbeveiligde Kerberos-delegatie voor meer informatie over het risico.

• Verdachte SMB-pakketmanipulatie (CVE-2020-0796-exploitatie) - (preview)
  De beveiligingswaarschuwing voor verdachte SMB-pakketmanipulatie van Azure ATP is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer SMBv3-pakket vermoedt dat het beveiligingsprobleem CVE-2020-0796 wordt misbruikt tegen een domeincontroller in het netwerk.

Azure ATP release 2.111

Uitgebracht op 1 maart 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.110

Uitgebracht op 23 februari 2020

• Nieuwe beveiligingsevaluatie: Niet-bewaakte domeincontrollers
  Azure ATP-beveiligingsevaluaties bevatten nu een rapport over niet-bewaakte domeincontrollers, servers zonder sensor, om u te helpen bij het beheren van volledige dekking van uw omgeving. Zie Niet-bewaakte domeincontrollers voor meer informatie.

Azure ATP release 2.109

Uitgebracht op 16 februari 2020

• Functieverbetering: Gevoelige entiteiten
  Vanaf deze versie (2.109) worden computers die zijn geïdentificeerd als certificeringsinstantie, DHCP of DNS-servers van Azure ATP, nu automatisch gelabeld als Gevoelig.

Azure ATP-release 2.108

Uitgebracht op 9 februari 2020

• Nieuwe functie: Ondersteuning voor beheerde serviceaccounts voor groepen
  Azure ATP biedt nu ondersteuning voor het gebruik van beheerde serviceaccounts (gMSA) voor een betere beveiliging bij het verbinden van Azure ATP-sensoren met uw Azure Active Directory-forests (AD). Zie Verbinding maken met uw Active Directory-forest voor meer informatie over het gebruik van gMSA met Azure ATP-sensoren.

• Functieverbetering: Gepland rapport met te veel gegevens
  Wanneer een gepland rapport te veel gegevens bevat, informeert de e-mail u nu over het feit door de volgende tekst weer te geven: Er waren te veel gegevens tijdens de opgegeven periode om een rapport te genereren. Dit vervangt het vorige gedrag om alleen het feit te detecteren nadat u op de rapportkoppeling in het e-mailbericht hebt geklikt.

• Functieverbetering: Bijgewerkte dekkingslogica voor domeincontrollers
  We hebben onze rapportlogica voor domeincontrollerdekking bijgewerkt om aanvullende informatie van Azure AD op te nemen, wat resulteert in een nauwkeurigere weergave van domeincontrollers zonder sensoren erop. Deze nieuwe logica moet ook een positief effect hebben op de bijbehorende Microsoft Secure Score.

Azure ATP-release 2.107

Uitgebracht op 3 februari 2020

• Nieuwe bewaakte activiteit: WIJZIGING VAN SID-geschiedenis
  Sid-geschiedeniswijziging is nu een bewaakte en filterbare activiteit. Meer informatie over welke activiteiten Azure ATP bewaakt en hoe u bewaakte activiteiten filtert en doorzoekt in de portal.

• Functieverbetering: gesloten of onderdrukte waarschuwingen worden niet meer opnieuw geopend
  Zodra een waarschuwing is gesloten of onderdrukt in de Azure ATP-portal, wordt er binnen een korte periode een nieuwe waarschuwing geopend als dezelfde activiteit opnieuw wordt gedetecteerd. Voorheen werd de waarschuwing onder dezelfde omstandigheden opnieuw geopend.

• TLS 1.2 vereist voor portaltoegang en sensoren
  TLS 1.2 is nu vereist voor het gebruik van Azure ATP-sensoren en de cloudservice. Toegang tot de Azure ATP-portal is niet langer mogelijk met browsers die geen ondersteuning bieden voor TLS 1.2.

Azure ATP-release 2.106

Uitgebracht op 19 januari 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.105

Uitgebracht op 12 januari 2020

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.104

Uitgebracht op 23 december 2019

• Verlooptijd van sensorversie is uitgeschakeld
  Implementatie- en sensorinstallatiepakketten van Azure ATP-sensor verlopen niet meer na een aantal versies en worden nu slechts één keer bijgewerkt. Het resultaat van deze functie is dat eerder gedownloade sensorinstallatiepakketten nu kunnen worden geïnstalleerd, zelfs als ze ouder zijn dan ons maximum aantal verlopen versies.

• Inbraak bevestigen
  U kunt nu het compromis van specifieke Microsoft 365-gebruikers bevestigen en hun risiconiveau op hoog instellen. Met deze werkstroom kunnen uw beveiligingsteams een andere reactiemogelijkheid gebruiken om hun drempelwaarden voor tijd-om-oplossen te verminderen. Meer informatie over het bevestigen van inbreuk met Behulp van Azure ATP en Defender for Cloud Apps.

• Banner voor nieuwe ervaring
  Op azure ATP-portalpagina's waar een nieuwe ervaring beschikbaar is in de Defender for Cloud Apps-portal, worden nieuwe banners weergegeven waarin wordt beschreven wat er beschikbaar is met toegangskoppelingen.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.103

Uitgebracht op 15 december 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.102

Uitgebracht op 8 december 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.101

Uitgebracht op 24 november 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP release 2.100

Uitgebracht op 17 november 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.99

Uitgebracht op 3 november 2019

• Functieverbetering: Er is een melding van de gebruikersinterface toegevoegd over de beschikbaarheid van de Defender for Cloud Apps-portal in de Azure ATP-portal
  Ervoor zorgen dat alle gebruikers op de hoogte zijn van de beschikbaarheid van de verbeterde functies die beschikbaar zijn via de Defender for Cloud Apps-portal, is er een melding toegevoegd voor de portal vanuit de bestaande tijdlijn voor Azure ATP-waarschuwingen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.98

Uitgebracht op 27 oktober 2019

• Functieverbetering: Waarschuwing verdachte beveiligingsaanval
  Verbeterde SMB-waarschuwing (Suspected Brute Force Attack) met behulp van aanvullende analyse en verbeterde detectielogica om goedaardige terecht-positieve (B-TP) en fout-positieve (FP) waarschuwingsresultaten te verminderen.

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.97

Uitgebracht op 6 oktober 2019

• De versie bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.96

Uitgebracht op 22 september 2019

• Verrijkte NTLM-verificatiegegevens met Windows Event 8004
  Azure ATP-sensoren kunnen nu automatisch de activiteiten van NTLM-verificaties lezen en verrijken met uw geopende servergegevens wanneer NTLM-controle is ingeschakeld en Windows Event 8004 is ingeschakeld. Azure ATP parseert Windows Event 8004 voor NTLM-verificaties om de NTLM-verificatiegegevens te verrijken die worden gebruikt voor Azure ATP-bedreigingsanalyse en -waarschuwingen. Deze verbeterde mogelijkheid biedt resourcetoegangsactiviteiten via NTLM-gegevens en verrijkte mislukte aanmeldingsactiviteiten, waaronder de doelcomputer die de gebruiker heeft geprobeerd maar geen toegang heeft.

  Meer informatie over NTLM-verificatieactiviteiten met Windows Event 8004.

• De versie bevat ook verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.95

Uitgebracht op 15 september 2019

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.94

Uitgebracht op 8 september 2019

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.93

Uitgebracht op 1 september 2019

• ersion bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.92

Uitgebracht op 25 augustus 2019

• ersion bevat verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.91

Uitgebracht op 18 augustus 2019

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.90

Uitgebracht op 11 augustus 2019

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.89

Uitgebracht op 4 augustus 2019

• Verbeteringen van sensormethode
  Om overtollige NTLM-verkeersgeneratie te voorkomen bij het maken van nauwkeurige LMP-evaluaties (Lateral Movement Path), zijn er verbeteringen aangebracht in Azure ATP-sensormethoden om minder te vertrouwen op NTLM-gebruik en om aanzienlijker gebruik te maken van Kerberos.

• Waarschuwingsverbetering: Verdacht Golden Ticket-gebruik (niet-bestaand account)
  Sam-naamwijzigingen zijn toegevoegd aan de ondersteunende bewijstypen die worden vermeld in dit type waarschuwing. Zie Suspected Golden Ticket Usage (niet-bestaand account) voor meer informatie over de waarschuwing, waaronder hoe u dit type activiteit kunt voorkomen en herstellen.

• Algemene beschikbaarheid: Vermoedelijke manipulatie van NTLM-verificatie
  De waarschuwing voor verdachte NTLM-verificatie is niet meer beschikbaar in de preview-modus en is nu algemeen beschikbaar.

• De versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.88

Uitgebracht op 28 juli 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.87

Uitgebracht op 21 juli 2019

• Functieverbetering: Geautomatiseerde Syslog-gebeurtenisverzameling voor zelfstandige Azure ATP-sensoren
  Binnenkomende Syslog-verbindingen voor zelfstandige Azure ATP-sensoren zijn nu volledig geautomatiseerd, terwijl de wisselknop wordt verwijderd uit het configuratiescherm. Deze wijzigingen hebben geen invloed op uitgaande Syslog-verbindingen.

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.86

Uitgebracht op 14 juli 2019

• Nieuwe beveiligingswaarschuwing: Verdachte manipulatie van NTLM-verificatie (externe id 2039)
  De nieuwe beveiligingswaarschuwing voor verdachte NTLM-verificatie van Azure ATP is nu in openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer het gebruik van een man-in-the-middle-aanval wordt vermoed dat NTLM Message Integrity Check (MIC) wordt overgeslagen, een beveiligingsprobleem dat wordt beschreven in Microsoft CVE-2019-040. Deze soorten aanvallen proberen NTLM-beveiligingsfuncties te downgraden en te verifiëren, met het uiteindelijke doel om succesvolle laterale verplaatsingen te maken.

• Functieverbetering: Identificatie van verrijkt apparaatbesturingssysteem
  Tot nu toe heeft Azure ATP informatie over het besturingssysteem van het entiteitsapparaat verstrekt op basis van het beschikbare kenmerk in Active Directory. Als informatie van het besturingssysteem voorheen niet beschikbaar was in Active Directory, was de informatie ook niet beschikbaar op Azure ATP-entiteitspagina's. Vanaf deze versie biedt Azure ATP nu deze informatie voor apparaten waar Active Directory niet over de informatie beschikt, of niet is geregistreerd in Active Directory, met behulp van identificatiemethoden voor verrijkt apparaatbesturingssysteem.

  Door de toevoeging van verrijkte apparaatbesturingssysteemidentificatiegegevens kunt u niet-geregistreerde en niet-Windows-apparaten identificeren, terwijl u tegelijkertijd hulp krijgt bij uw onderzoeksproces. Zie Understanding Network Name Resolution (NNR) voor meer informatie over netwerknaamomzetting in Azure ATP.

• Nieuwe functie: geverifieerde proxy - preview
  Azure ATP ondersteunt nu geverifieerde proxy. Geef de proxy-URL op met behulp van de opdrachtregel van de sensor en geef gebruikersnaam/wachtwoord op om proxy's te gebruiken waarvoor verificatie is vereist. Zie De proxy configureren voor meer informatie over het gebruik van geverifieerde proxy.

• Functieverbetering: Proces van geautomatiseerde domeinsynchronisatieroutine
  Het proces van het toewijzen en taggen van domeincontrollers als kandidaten voor domeinsynchronisatieroutines tijdens de installatie en doorlopende configuratie is nu volledig geautomatiseerd. De wisselknop voor het handmatig selecteren van domeincontrollers als kandidaten voor domeinsynchronisatieroutines wordt verwijderd.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.85

Uitgebracht op 7 juli 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.84

Uitgebracht op 1 juli 2019

• Ondersteuning voor nieuwe locatie: Azure UK-datacenter
  Azure ATP-exemplaren worden nu ondersteund in het Azure UK-datacenter. Zie stap 1 van de Azure ATP-installatie voor meer informatie over het maken van Azure ATP-exemplaren en de bijbehorende datacentrumlocaties.

• Functieverbetering: Nieuwe naam en functies voor verdachte toevoegingen aan waarschuwing voor gevoelige groepen (externe id 2024)
  De waarschuwing Verdachte toevoegingen aan gevoelige groepen werden eerder de verdachte wijzigingen in de waarschuwing voor gevoelige groepen genoemd. De externe id van de waarschuwing (id 2024) blijft hetzelfde. De beschrijvende naamwijziging komt nauwkeuriger overeen met het doel van waarschuwingen bij toevoegingen aan uw gevoelige groepen. De verbeterde waarschuwing bevat ook nieuw bewijs en verbeterde beschrijvingen. Zie Verdachte toevoegingen aan gevoelige groepen voor meer informatie.

• Nieuwe documentatiefunctie: Handleiding voor het overstappen van Advanced Threat Analytics naar Azure ATP
  Dit nieuwe artikel bevat vereisten, planningsrichtlijnen en configuratie- en verificatiestappen voor het overstappen van ATA naar Azure ATP-service. Zie Overstappen van ATA naar Azure ATP voor meer informatie.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.83

Uitgebracht op 23 juni 2019

• Functieverbetering: Waarschuwing voor het maken van verdachte services (externe id 2026)
  Deze waarschuwing bevat nu een verbeterde waarschuwingspagina met extra bewijs en een nieuwe beschrijving. Zie De beveiligingswaarschuwing voor het maken van verdachte services voor meer informatie.

• Ondersteuning voor naamgeving van exemplaren: ondersteuning toegevoegd voor alleen het domeinvoorvoegsel voor cijfers
  Ondersteuning toegevoegd voor het maken van azure ATP-exemplaren met initiële domeinvoorvoegsels die alleen cijfers bevatten. Het gebruik van alleen eerste domeinvoorvoegsels van cijfers, zoals 123456.contoso.com, wordt nu ondersteund.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.82

Uitgebracht op 18 juni 2019

• Nieuwe openbare preview
  Het onderzoek naar identiteitsrisico's van Azure ATP is nu beschikbaar in openbare preview en beschikbaar voor alle met Azure ATP beveiligde tenants. Zie azure ATP Microsoft Defender for Cloud Apps onderzoekservaring voor meer informatie.

• Algemene beschikbaarheid
  Azure ATP-ondersteuning voor niet-vertrouwde forests is nu algemeen beschikbaar. Zie Azure ATP met meerdere forests voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.81

Uitgebracht op 10 juni 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.80

Uitgebracht op 2 juni 2019

• Functieverbetering: Waarschuwing voor verdachte VPN-verbindingen
  Deze waarschuwing bevat nu verbeterde bewijzen en teksten voor een betere bruikbaarheid. Zie de beschrijving van de waarschuwingswaarschuwing voor verdachte VPN-verbindingen voor meer informatie over waarschuwingsfuncties en voorgestelde herstelstappen en -preventie.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.79

Uitgebracht op 26 mei 2019

• Algemene beschikbaarheid: Verkenning van beveiligingsprincipaal (LDAP) (externe id 2038)

  Deze waarschuwing is nu beschikbaar (algemene beschikbaarheid). Zie de beschrijving van de LDAP-waarschuwing (Security Principal Reconnaissance) voor meer informatie over de waarschuwingsfuncties, waarschuwingsfuncties en voorgestelde herstel- en preventiefuncties

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.78

Uitgebracht op 19 mei 2019

• Functieverbetering: Gevoelige entiteiten
  Handmatige gevoelige tagging voor Exchange-servers

  U kunt entiteiten nu handmatig taggen als Exchange-servers tijdens de configuratie.

  Een entiteit handmatig labelen als een Exchange Server:

  1. Selecteer Configuratie in de Azure ATP-portal.
  2. Selecteer onder Detectieentiteitstags en selecteer Vervolgens Gevoelig.
  3. Selecteer Exchange-servers en voeg vervolgens de entiteit toe die u wilt taggen.

  Nadat u een computer als een Exchange Server hebt gelabeld, wordt deze gemarkeerd als Gevoelig en wordt weergegeven dat deze is gelabeld als een Exchange Server. De tag Gevoelig wordt weergegeven in het entiteitsprofiel van de computer en de computer wordt beschouwd in alle detecties die zijn gebaseerd op gevoelige accounts en laterale verplaatsingspaden.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.77

Uitgebracht op 12 mei 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.76

Uitgebracht op 6 mei 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.75

Uitgebracht op 28 april 2019

• Functieverbetering: Gevoelige entiteiten
  Vanaf deze versie (2.75) worden computers die door Azure ATP zijn geïdentificeerd als Exchange-servers, nu automatisch gelabeld als Gevoelig.

  Entiteiten die automatisch als gevoelig worden gelabeld omdat ze als Exchange-servers fungeren, geven deze classificatie weer als de reden waarom ze zijn gelabeld.

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.74

Uitgebracht op 14 april 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.73

Uitgebracht op 10 april 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.72

Uitgebracht op 31 maart 2019

• Functieverbetering: Diepte van lateraal verplaatsingspad (LMP)
  Laterale verplaatsingspaden (LMP's) zijn een belangrijke methode voor bedreigings- en risicodetectie in Azure ATP. Om u te concentreren op de kritieke risico's voor uw meest gevoelige gebruikers, maakt deze update het eenvoudiger en sneller om risico's voor de gevoelige gebruikers op elke LMP te analyseren en op te lossen door het bereik en de diepte van elke weergegeven grafiek te beperken.

  Zie Laterale verplaatsingspaden voor meer informatie over hoe Azure ATP LMP gebruikt om toegangsrisico's voor elke entiteit in uw omgeving aan te bieden.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.71

Uitgebracht op 24 maart 2019

• Functieverbetering: statuswaarschuwingen van NNR (Network Name Resolution)
  Statuswaarschuwingen zijn toegevoegd voor betrouwbaarheidsniveaus die zijn gekoppeld aan Azure ATP-beveiligingswaarschuwingen die zijn gebaseerd op NNR. Elke statuswaarschuwing bevat bruikbare en gedetailleerde aanbevelingen om lage NNR-slagingspercentages op te lossen.

  Zie Wat is Netwerknaamomzetting voor meer informatie over hoe Azure ATP NNR gebruikt en waarom het belangrijk is voor de nauwkeurigheid van waarschuwingen.

• Serverondersteuning: Ondersteuning toegevoegd voor Server 2019 met behulp van KB4487044
  Ondersteuning toegevoegd voor het gebruik van Windows Server 2019, met een patchniveau van KB4487044. Het gebruik van Server 2019 zonder de patch wordt niet ondersteund en wordt geblokkeerd vanaf deze update.

• Functieverbetering: Uitsluiting van waarschuwingen op basis van gebruikers
  Uitgebreide opties voor het uitsluiten van waarschuwingen bieden nu de mogelijkheid om specifieke gebruikers van specifieke waarschuwingen uit te sluiten. Uitsluitingen kunnen situaties voorkomen waarin het gebruik of de configuratie van bepaalde typen interne software herhaaldelijk goedaardige beveiligingswaarschuwingen veroorzaakt.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.70

Uitgebracht op 17 maart 2019

• Functieverbetering: het betrouwbaarheidsniveau Network Name Resolution (NNR) toegevoegd aan meerdere waarschuwingen Network Name Resolution of (NNR) wordt gebruikt om de identiteit van de bronentiteit van verdachte aanvallen positief te identificeren. Door de NNR-betrouwbaarheidsniveaus toe te voegen aan azure ATP-waarschuwingsoverzichten, kunt u nu direct het niveau van NNR-betrouwbaarheid beoordelen en begrijpen met betrekking tot de mogelijke geïdentificeerde bronnen en op de juiste wijze herstellen.

  Het bewijs op nnr-betrouwbaarheidsniveau is toegevoegd aan de volgende waarschuwingen:

  • Reconnaissance voor netwerktoewijzing (DNS)
  • Verdachte identiteitsdiefstal (pass-the-ticket)
  • Verdachte NTLM Relay-aanval (Exchange-account)-preview
  • Verdachte DCSync-aanval (replicatie van adreslijstservices)

• Aanvullend scenario voor statuswaarschuwingen: Azure ATP-sensorservice kan niet worden gestart
  In gevallen waarin de Azure ATP-sensor niet kon worden gestart vanwege een probleem met het vastleggen van stuurprogramma's in het netwerk, wordt er nu een sensorstatuswaarschuwing geactiveerd. Problemen met Azure ATP-sensor oplossen met Azure ATP-logboeken voor meer informatie over Azure ATP-logboeken en hoe u deze kunt gebruiken.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.69

Uitgebracht op 10 maart 2019

• Functieverbetering: Verdachte identiteitsdiefstal (pass-the-ticket)-waarschuwing Deze waarschuwing bevat nu nieuw bewijs met de details van verbindingen die zijn gemaakt met behulp van remote desktop protocol (RDP). Met het toegevoegde bewijs kunt u eenvoudig het bekende probleem van (B-TP) Benign-True positieve waarschuwingen oplossen die worden veroorzaakt door het gebruik van Remote Credential Guard via RDP-verbindingen.

• Functieverbetering: uitvoering van externe code via DNS-waarschuwing
  Deze waarschuwing bevat nu nieuw bewijs met de status van de beveiligingsupdate van uw domeincontroller, waarin u wordt geïnformeerd wanneer updates vereist zijn.

• Nieuwe documentatiefunctie: Azure ATP-beveiligingswaarschuwing MITRE ATT&CK Matrix™
  Om de relatie tussen Azure ATP-beveiligingswaarschuwingen en de vertrouwde MITRE ATT&CK Matrix toe te wijzen en gemakkelijker te maken, hebben we de relevante MITRE-technieken toegevoegd aan Azure ATP-beveiligingswaarschuwingen. Deze aanvullende verwijzing maakt het gemakkelijker om inzicht te hebben in de vermoedelijke aanvalstechniek die mogelijk wordt gebruikt wanneer een Azure ATP-beveiligingswaarschuwing wordt geactiveerd. Meer informatie over de beveiligingswaarschuwingshandleiding voor Azure ATP.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.68

Uitgebracht op 3 maart 2019

• Functieverbetering: Waarschuwing voor verdachte beveiligingsaanvallen (LDAP)
  Er zijn aanzienlijke bruikbaarheidsverbeteringen aangebracht in deze beveiligingswaarschuwing, waaronder een herziene beschrijving, het inrichten van aanvullende broninformatie en schattingspogingsdetails voor snellere herstel.
  Meer informatie over Suspected brute force attack (LDAP) beveiligingswaarschuwingen.

• Nieuwe documentatiefunctie: Beveiligingswaarschuwingslab
  Om de kracht van Azure ATP uit te leggen bij het detecteren van de echte bedreigingen voor uw werkomgeving, hebben we een nieuw beveiligingswaarschuwingslab toegevoegd aan deze documentatie. Met het beveiligingswaarschuwingslab kunt u snel een testomgeving instellen en wordt uitgelegd wat de beste verdediging is tegen veelvoorkomende, echte bedreigingen en aanvallen.

  Het stapsgewijze lab is ontworpen om ervoor te zorgen dat u zo min mogelijk tijd besteedt aan het bouwen en meer tijd besteden aan het leren over uw bedreigingslandschap en beschikbare Azure ATP-waarschuwingen en -beveiliging. We horen graag uw feedback.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.67

Uitgebracht op 24 februari 2019

• Nieuwe beveiligingswaarschuwing: Ldap (Security Principal Reconnaissance) – (preview)
  Azure ATP's Security Principal Reconnaissance (LDAP): preview-beveiligingswaarschuwing is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer verkenning van beveiligingsprincipals wordt gebruikt door aanvallers om essentiële informatie over de domeinomgeving te verkrijgen. Met deze informatie kunnen aanvallers de domeinstructuur toewijzen, en bevoegde accounts identificeren voor gebruik in latere stappen in hun kill chain voor aanvallen.

  Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om query's uit te voeren op Active Directory. Ldap-gerichte verkenning van beveiligingsprincipals wordt vaak gebruikt als de eerste fase van een Kerberoasting-aanval. Kerberoasting-aanvallen worden gebruikt om een doellijst met SPN's (Security Principal Names) op te halen waarvoor aanvallers vervolgens TGS-tickets (Ticket Granting Server) proberen op te halen.

• Functieverbetering: Waarschuwing voor verkenning van accounts (NTLM)
  Verbeterde NTLM-waarschuwing (Account enumeration Reconnaissance) met behulp van aanvullende analyse en verbeterde detectielogica om B-TP- en FP-waarschuwingsresultaten te verminderen.

• Functieverbetering: DNS-waarschuwing (Network mapping reconnaissance)
  Nieuwe typen detecties toegevoegd aan DNS-waarschuwingen (Network Mapping Reconnaissance). Naast het detecteren van verdachte AXFR-aanvragen detecteert Azure ATP nu verdachte typen aanvragen die afkomstig zijn van niet-DNS-servers met een overmatig aantal aanvragen.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.66

Uitgebracht op 17 februari 2019

• Functieverbetering: Verdachte DCSync-aanval (replicatie van adreslijstservices) waarschuwing
  Bruikbaarheidsverbeteringen zijn aangebracht in deze beveiligingswaarschuwing, waaronder een herziene beschrijving, het inrichten van aanvullende broninformatie, nieuwe infographic en meer bewijsmateriaal. Meer informatie over verdachte DCSync-aanvallen (replicatie van adreslijstservices) beveiligingswaarschuwingen.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.65

Uitgebracht op 10 februari 2019

• Nieuwe beveiligingswaarschuwing: Verdachte NTLM Relay-aanval (Exchange-account) – (preview)
  Verdachte NTLM Relay-aanval (Exchange-account) van Azure ATP: preview-beveiligingswaarschuwing is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer het gebruik van Exchange-accountreferenties van een verdachte bron wordt geïdentificeerd. Deze typen aanvallen proberen gebruik te maken van NTLM Relay-technieken om exchange-bevoegdheden voor domeincontrollers te verkrijgen en worden ExchangePriv genoemd. Meer informatie over de ExchangePriv-techniek van het ADV190007-advies is gepubliceerd op 31 januari 2019 en het azure ATP-waarschuwingsantwoord.

• Algemene beschikbaarheid: uitvoering van externe code via DNS
  Deze waarschuwing is nu beschikbaar in ga (algemene beschikbaarheid). Zie voor meer informatie en waarschuwingsfuncties de pagina voor het uitvoeren van externe code via de beschrijvingspagina van DNS-waarschuwingen.

• Algemene beschikbaarheid: Gegevensexfiltratie via SMB
  Deze waarschuwing is nu beschikbaar in ga (algemene beschikbaarheid). Zie de pagina Gegevensexfiltratie via de beschrijvingspagina van SMB-waarschuwingen voor meer informatie en waarschuwingsfuncties.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.64

Uitgebracht op 4 februari 2019

• Algemene beschikbaarheid: Verdacht Golden Ticket-gebruik (ticketafwijking)
  Deze waarschuwing is nu beschikbaar in ga (algemene beschikbaarheid). Zie voor meer informatie en waarschuwingsfuncties de beschrijvingspagina van de waarschuwing Suspected Golden Ticket Usage (ticket anomalie).

• Functieverbetering: Reconnaissance voor netwerktoewijzing (DNS)
  Verbeterde logica voor waarschuwingsdetectie geïmplementeerd voor deze waarschuwing om fout-positieven en waarschuwingsruis te minimaliseren. Deze waarschuwing heeft nu een leerperiode van acht dagen voordat de waarschuwing voor het eerst wordt geactiveerd. Zie de beschrijvingspagina voor netwerktoewijzingen (DNS) voor meer informatie over deze waarschuwing.

  Vanwege de uitbreiding van deze waarschuwing mag de nslookup-methode niet langer worden gebruikt om Azure ATP-connectiviteit te testen tijdens de eerste configuratie.

• Functieverbetering:
  Deze versie bevat opnieuw ontworpen waarschuwingspagina's en nieuw bewijsmateriaal, waarmee beter waarschuwingsonderzoek wordt geboden.

  • Verdachte brute force-aanval (SMB)
  • Verdachte Golden Ticket-gebruikspagina (tijdafwijking) waarschuwingsbeschrijvingspagina
  • Verdachte overpass-the-hash-aanval (Kerberos)
  • Verdacht gebruik van metasploit hacking framework
  • Verdachte WannaCry ransomware aanval

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.63

Uitgebracht op 27 januari 2019

• Nieuwe functie: Niet-vertrouwde forestondersteuning – (preview)
  De ondersteuning van Azure ATP voor sensoren in niet-vertrouwde forests is nu beschikbaar als openbare preview. Configureer op de pagina Directory-services van De Azure ATP-portal aanvullende sets met referenties om Azure ATP-sensoren in staat te stellen verbinding te maken met verschillende Active Directory-forests en weer te rapporteren aan de Azure ATP-service. Zie Azure ATP met meerdere forests voor meer informatie.

• Nieuwe functie: Dekking van domeincontroller
  Azure ATP biedt nu dekkingsgegevens voor door Azure ATP bewaakte domeincontrollers.
  Bekijk op de pagina Sensoren van de Azure ATP-portal het aantal bewaakte en niet-bewaakte domeincontrollers dat door Azure ATP in uw omgeving is gedetecteerd. Download de lijst met bewaakte domeincontrollers voor verdere analyse en bouw een actieplan. Zie de instructies voor het bewaken van domeincontrollers voor meer informatie.

• Functieverbetering: Reconnaissance van accountumeratie
  De verkenningsdetectie van het Azure ATP-account detecteert en geeft waarschuwingen voor opsommingspogingen met Behulp van Kerberos en NTLM. Voorheen werkte de detectie alleen voor pogingen met behulp van Kerberos. Zie Azure ATP-verkenningswaarschuwingen voor meer informatie.

• Functieverbetering: Waarschuwing voor uitvoering van externe code

  • Alle externe uitvoeringsactiviteiten, zoals het maken van services, WMI-uitvoering en de nieuwe PowerShell-uitvoering , zijn toegevoegd aan de profieltijdlijn van de doelcomputer. De doelcomputer is de domeincontroller waarop de opdracht is uitgevoerd.
  • PowerShell-uitvoering is toegevoegd aan de lijst met externe codeuitvoeringsactiviteiten die worden vermeld in de tijdlijn van de waarschuwing voor entiteitsprofielen.
  • Zie De poging om externe code uit te voeren voor meer informatie.

• Probleem met Windows Server 2019 LSASS en Azure ATP
  Als reactie op feedback van klanten met betrekking tot het gebruik van Azure ATP met domeincontrollers met Windows Server 2019, bevat deze update aanvullende logica om te voorkomen dat het gerapporteerde gedrag wordt geactiveerd op Windows Server 2019-machines. Volledige ondersteuning voor Azure ATP-sensor op Windows Server 2019 is gepland voor een toekomstige Azure ATP-update, maar het installeren en uitvoeren van Azure ATP op Windows Servers 2019 wordt momenteel niet ondersteund. Zie vereisten voor Azure ATP-sensor voor meer informatie.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.62

Uitgebracht op 20 januari 2019

• Nieuwe beveiligingswaarschuwing: uitvoering van externe code via DNS - (preview)
  Uitvoering van externe code van Azure ATP via DNS-beveiligingswaarschuwing is nu beschikbaar als openbare preview. In deze detectie wordt een Azure ATP-beveiligingswaarschuwing geactiveerd wanneer DNS-query's vermoeden dat er misbruik wordt gemaakt van beveiligingsproblemen CVE-2018-8626 op een domeincontroller in het netwerk.

• Functieverbetering: 72 uur vertraagde sensorupdate
  Optie gewijzigd om sensorupdates op geselecteerde sensoren te vertragen naar 72 uur (in plaats van de vorige 24-uursvertraging) na elke release-update van Azure ATP. Zie de update van de Azure ATP-sensor voor configuratie-instructies.

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.61

Uitgebracht op 13 januari 2019

• Nieuwe beveiligingswaarschuwing: Gegevensexfiltratie via SMB - (preview)
  De gegevensexfiltratie van Azure ATP via SMB-beveiligingswaarschuwing is nu beschikbaar als openbare preview. Aanvallers met domeinbeheerdersrechten kunnen het KRBTGT-account in gevaar komen. Met behulp van het KRBTGT-account kunnen aanvallers een Kerberos-ticket voor het verlenen van een ticket (TGT) maken die autorisatie bieden aan elke resource.

• Functieverbetering: Beveiligingswaarschuwing voor uitvoering van externe code
  Er is een nieuwe waarschuwingsbeschrijving en aanvullende bewijzen toegevoegd om de waarschuwing beter te begrijpen en om betere onderzoekswerkstromen te bieden.

• Functieverbetering: logische activiteiten voor DNS-query's
  Er zijn extra querytypen toegevoegd aan bewaakte Activiteiten van Azure ATP , waaronder: TXT, MX, NS, SRV, ANY, DNSKEY.

• Functieverbetering: Verdacht Golden Ticket-gebruik (ticketafwijking) en Verdacht Golden Ticket-gebruik (niet-bestaand account)
  Verbeterde detectielogica is toegepast op beide waarschuwingen om het aantal FP-waarschuwingen te verminderen en nauwkeurigere resultaten te leveren.

• Functieverbetering: Documentatie voor Azure ATP-beveiligingswaarschuwingen
  Documentatie voor Azure ATP-beveiligingswaarschuwingen is uitgebreid en uitgebreid met betere beschrijvingen van waarschuwingen, nauwkeurigere waarschuwingsclassificaties en uitleg over bewijs, herstel en preventie. Maak kennis met het nieuwe ontwerp van beveiligingswaarschuwingsdocumentatie met behulp van de volgende koppelingen:

  • Azure ATP-beveiligingswaarschuwingen
  • Inzicht in beveiligingswaarschuwingen
    • Waarschuwingen voor reconnaissancefase
    • Waarschuwingen voor gecompromitteerde referentiefase
    • Waarschuwingen voor laterale verplaatsingsfase
    • Waarschuwingen voor domeindominantiefase
    • Waarschuwingen voor exfiltratiefasen
  • Een computer onderzoeken
  • Een gebruiker onderzoeken

• Deze versie bevat ook verbeteringen en bugfixes voor interne sensorinfrastructuur.

Azure ATP-release 2.60

Uitgebracht op 6 januari 2019

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.59

Uitgebracht op 16 december 2018

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.58

Uitgebracht op 9 december 2018

• Uitbreiding van beveiligingswaarschuwingen: Waarschuwing voor ongebruikelijke protocol-implementatie gesplitst
  De reeks ongebruikelijke beveiligingswaarschuwingen voor protocolimplementatie van Azure ATP die eerder 1 externalId (2002) hebben gedeeld, worden nu opgesplitst in vier onderscheidende waarschuwingen, met een bijbehorende unieke externe id.

Nieuwe waarschuwing externalIds

Nieuwe naam van beveiligingswaarschuwing	Vorige naam van beveiligingswaarschuwing	Unieke externe id
Verdachte beveiligingsaanval (SMB)	Ongebruikelijke protocol-implementatie (mogelijk gebruik van schadelijke hulpprogramma's zoals Hydra)	2033
Verdachte overpass-the-hash-aanval (Kerberos)	Ongebruikelijke Implementatie van kerberos-protocol (mogelijke overpass-the-hash-aanval)	2002
Verdacht gebruik van metasploit-hackframework	Ongebruikelijke protocol-implementatie (mogelijk gebruik van hackhulpprogramma's voor Metasploit)	2034
Verdachte WannaCry ransomware-aanval	Ongebruikelijke protocol-implementatie (mogelijke WannaCry ransomware-aanval)	2035

• Nieuwe bewaakte activiteit: Bestandskopie via SMB
  Het kopiëren van bestanden met behulp van SMB is nu een bewaakte en filterbare activiteit. Meer informatie over welke activiteiten Azure ATP bewaakt en hoe u bewaakte activiteiten filtert en doorzoekt in de portal.

• Uitbreiding van afbeelding van grote laterale verplaatsingspad
  Wanneer u grote laterale verplaatsingspaden bekijkt, markeert Azure ATP nu alleen de knooppunten die zijn verbonden met een geselecteerde entiteit, in plaats van de andere knooppunten te vervagen. Deze wijziging introduceert een aanzienlijke verbetering in de hoge LMP-renderingsnelheid.

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.57

Uitgebracht op 2 december 2018

• Nieuwe beveiligingswaarschuwing: Verdacht golden ticketgebruik- afwijking van ticket (preview)
  Het verdachte Golden Ticket-gebruik van Azure ATP: waarschuwing over anomaliebeveiliging van tickets is nu beschikbaar als openbare preview. Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen aanvallers een Kerberos-ticket maken dat ticket verleent (TGT) dat autorisatie biedt aan elke resource.

  Deze vervalste TGT wordt een 'Golden Ticket' genoemd, omdat aanvallers hiermee duurzame netwerkpersistentie kunnen bereiken. Gesmede Golden Tickets van dit type hebben unieke kenmerken die deze nieuwe detectie is ontworpen om te identificeren.

• Functieverbetering: Geautomatiseerd azure ATP-exemplaar (werkruimte) maken
  Vanaf vandaag worden Azure ATP-werkruimten hernoemd naar Azure ATP-exemplaren. Azure ATP ondersteunt nu één Azure ATP-exemplaar per Azure ATP-account. Exemplaren voor nieuwe klanten worden gemaakt met behulp van de wizard voor het maken van exemplaren in de Azure ATP-portal. Bestaande Azure ATP-werkruimten worden met deze update automatisch geconverteerd naar Azure ATP-exemplaren.

  • Vereenvoudigd maken van exemplaren voor snellere implementatie en beveiliging met behulp van het maken van uw Azure ATP-exemplaar.
  • Alle privacy en naleving van gegevens blijven hetzelfde.

  Zie Uw Azure ATP-exemplaar maken voor meer informatie over Azure ATP-exemplaren.

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Azure ATP-release 2.56

Uitgebracht op 25 november 2018

• Functieverbetering: laterale verplaatsingspaden (LMP's)
  Er worden twee extra functies toegevoegd om de mogelijkheden van Azure ATP Lateral Movement Path (LMP) te verbeteren:

  • LMP-geschiedenis wordt nu opgeslagen en detecteerbaar per entiteit en wanneer u LMP-rapporten gebruikt.
  • Volg een entiteit in een LMP via de activiteitentijdlijn en onderzoek het gebruik van extra bewijs dat is opgegeven voor de detectie van mogelijke aanvalspaden.

  Zie Lateral Movement Paths van Azure ATP voor meer informatie over het gebruik en onderzoek met verbeterde LMP's.

• Documentatieverbeteringen: laterale verplaatsingspaden, namen van beveiligingswaarschuwingen
  Toevoegingen en updates zijn aangebracht in Azure ATP-artikelen met beschrijvingen van laterale verplaatsingspaden en -functies. De naamtoewijzing is toegevoegd voor alle exemplaren van oude namen van beveiligingswaarschuwingen aan nieuwe namen en externalIds.

  • Zie De laterale verplaatsingspaden van Azure ATP, onderzoek laterale verplaatsingspaden en handleiding voor beveiligingswaarschuwingen voor meer informatie.

• Deze versie bevat verbeteringen en bugfixes voor de interne sensorinfrastructuur.

Zie de releaseverwijzing voor Defender for Identity voor meer informatie over elke Defender for Identity-release vóór (en inclusief) release 2.55.

Zie ook

• Wat is Microsoft Defender for Identity?
• Veelgestelde vragen
• Vereisten voor Defender for Identity
• Capaciteitsplanning van Defender for Identity
• Bekijk het Defender for Identity-forum.