Новые возможности Microsoft Defender для удостоверений

В этой часто обновляемой статье можно узнать о новых возможностях последних выпусков Defender для удостоверений (ранее — Azure Advanced Threat Protection, также известного как ATP).

Дополнительные сведения о предыдущих выпусках Defender для удостоверений до выпуска 2.55 (включительно) см. в справочнике по выпускам Defender для удостоверений.

RSS-канал: Получите уведомление об обновлении этой страницы, скопировав и вставив следующий URL-адрес в программу чтения каналов: https://docs.microsoft.com/api/search/rss?search=%22This+article+is+updated+frequently+to+let+you+know+what%27s+new+in+the+latest+release+of+Microsoft+Defender+for+Identity%22&locale=en-us

Важно!

Изменяются названия продуктов Майкрософт для защиты от угроз. Дополнительные сведения об этом и других обновлениях см. здесь. Начиная с выпуска 2.129 мы будем использовать новые названия.

Дополнительные сведения о новых возможностях других продуктов Microsoft Defender для обеспечения безопасности см. в следующих статьях:

Примечание

15 июня 2022 г. корпорация Майкрософт прекратит поддержку датчиков Defender для удостоверений на устройствах под управлением Windows Server 2008 R2. Рекомендуется выявить все оставшиеся контроллеры домена или серверы (AD FS), на которых работает Windows Server 2008 R2 в качестве операционной системы, и запланировать их обновление до поддерживаемой операционной системы.

После 15 июня 2022 г. датчик будет работать два месяца. Спустя этих два месяца, с 15 августа 2022 г., работа датчика на платформах Windows Server 2008 R2 прекратится.

Defender для удостоверений, выпуск 2.179

Дата выпуска: 1 мая, 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.178

Дата выпуска: 10 апреля 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.177

Дата выпуска: 27 марта 2022 г.

  • Теперь Microsoft Defender для удостоверений может отслеживать дополнительные запросы LDAP в вашей сети. Эти действия LDAP отправляются по протоколу веб-службы Active Directory и выполняются как обычные запросы LDAP. Чтобы просматривать эти действия, необходимо включить событие 1644 в контроллерах домена. Это событие предназначено для действий LDAP в вашем домене и в основном используется для выявления затратных, неэффективных или медленных поисков LDAP, которые обслуживаются контроллерами домена Active Directory. Чтобы узнать, как включить это событие, перейдите по ссылке Идентификатор события 1644.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.176

16 марта 2022 г.

  • Начиная с этой версии, в случае установки датчика с помощью нового пакета, версия датчика в разделе Программы и компоненты будет отображаться с полным номером, например 2.176.x.y, а не статическим 2.0.0.0, который показывался ранее. Эта версия (установленная с помощью пакета) будет отображаться и далее, даже после автоматических обновлений из облачных служб Defender для удостоверений. Фактическую версию можно просмотреть на странице параметров датчика на портале, а именно в пути к исполняемому файлу или в версии файла.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.175

6 марта 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.174

20 февраля 2022 г.

Defender для удостоверений, выпуск 2.173

Выпущено: 13 февраля 2022 г.

Defender для удостоверений, выпуск 2.172

Выпущено: 8 февраля 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.171

Дата выпуска: 31 января 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.170

Дата выпуска: 24 января 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.169

Дата выпуска: 17 января 2022 г.

  • Мы рады предоставить возможность настройки учетной записи действия для Microsoft Defender для удостоверений. Это первый шаг к возможности выполнять действия над пользователями непосредственно из продукта. В качестве первого шага вы можете определить учетную запись gMSA, которую Microsoft Defender для удостоверений будет использовать для выполнения действий. Мы настоятельно рекомендуем вам начать создавать этих пользователей, чтобы начать пользоваться функцией "Действия", как только она станет доступной. Дополнительные сведения см. в статье Управление учетными записями действий.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.168

Дата выпуска: 9 января 2022 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.167

Дата выпуска: 29 декабря 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.166

Дата выпуска: 27 декабря 2021 г.

Defender для удостоверений, выпуск 2.165

Дата выпуска: 6 декабря 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.164

Дата выпуска: 17 ноября 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.163

Дата выпуска: 8 ноября 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.162

Дата выпуска: 1 ноября 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.161

Дата выпуска: 12 сентября 2021 г.

  • Версия включает новое отслеживаемое действие: получение пользователем пароля к учетной записи gMSA. Дополнительные сведения см. в статье Отслеживаемые действия в Microsoft Defender для удостоверений.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.160

Дата выпуска: 22 августа 2021 г.

  • Версия включает разные улучшения и охватывает дополнительные сценарии в соответствии с последними изменениями в несанкционированном использовании PetitPotam.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.159

Дата выпуска: 15 августа 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.
  • Версия включает улучшение недавно опубликованного оповещения: "Подозрительное сетевое подключение по удаленному протоколу шифрованной файловой системы (внешний идентификатор 2416)".
    Мы расширили поддержку этого обнаружения, чтобы оно срабатывало, когда потенциальный злоумышленник обменивается данными по зашифрованному каналу EFS-RPCchannel. Оповещения, активируемые, когда канал зашифрован, будут рассматриваться как оповещения со средней степенью серьезности, в отличие от высокого уровня, когда шифрование не применяется. Дополнительные сведения об оповещении см. в разделе Подозрительное сетевое подключение через удаленный протокол шифрованной файловой системы (внешний идентификатор 2416).

Defender для удостоверений, выпуск 2.158

Дата выпуска: 8 августа 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

  • Версия включает новое оповещение системы безопасности: "Подозрительное сетевое подключение по удаленному протоколу шифрованной файловой системы (внешний идентификатор 2416)".
    При этом обнаружении Microsoft Defender для удостоверений активирует оповещение системы безопасности всякий раз, когда злоумышленник пытается использовать EFS-RPC против контроллера домена. Этот вектор атаки связан с недавней атакой PetitPotam. Дополнительные сведения об оповещении см. в разделе Подозрительное сетевое подключение через удаленный протокол шифрованной файловой системы (внешний идентификатор 2416).

  • Версия включает новое оповещение системы безопасности: удаленное выполнение кода Exchange Server (CVE-2021-26855) (внешний идентификатор 2414).
    При этом обнаружении Microsoft Defender для удостоверений активирует оповещение системы безопасности всякий раз, когда злоумышленник пытается изменить атрибут msExchExternalHostName в объекте Exchange для удаленного выполнения кода. Дополнительные сведения об этом оповещении см. в разделе Удаленное выполнение кода Exchange Server (CVE-2021-26855) (внешний идентификатор 2414). Это обнаружение основывается на событии Windows 4662, поэтому его необходимо настроить заранее. Сведения о настройке этого события и сбора данных о нем см. в статье Настройка сбора данных о событиях Windows и разделе Включение аудита для объекта Exchange.

Defender для удостоверений, выпуск 2.157

Дата выпуска: 1 августа 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.156

Дата выпуска: 25 июля 2021 г.

  • Начиная с этой версии, в пакет установки датчика будет добавлен исполняемый файл драйвера Npcap. Дополнительные сведения см. в разделе Драйверы WinPcap и Npcap.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.155

Дата выпуска: 18 июля 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.154

Дата выпуска: 11 июля 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.
  • В версию добавлены улучшения и обнаружения для уязвимости диспетчера очереди печати, известной как обнаружение PrintNightmare, для выявления других сценариев атак.

Defender для удостоверений, выпуск 2.153

Дата выпуска: 4 июля 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

  • Версия включает новое оповещение системы безопасности: предполагаемая попытка использования службы диспетчера очереди печати Windows (уязвимость CVE-2021-34527) (внешний идентификатор 2415).

    Если такая угроза обнаружена, Defender для удостоверений запускает оповещение системы безопасности при каждой попытке злоумышленника использовать службу диспетчера очереди печати Windows для контроллера домена. Этот вектор атаки связан с использованием диспетчера очереди печати и называется PrintNightmare. См. дополнительные сведения об этом оповещении.

Defender для удостоверений, выпуск 2.152

Дата выпуска: 27 июня 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.151

Дата выпуска: 20 июня 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.150

Дата выпуска: 13 июня 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.149

Дата выпуска: 31 мая 2021 г

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.148

Дата выпуска: 23 мая 2021 г

  • Если вы настроили и собираете событие с идентификатором 4662, Defender для удостоверений сообщит, какой пользователь внес изменения в номер последовательного обновления (USN) в разные свойства объекта Active Directory. Например, если изменен пароль учетной записи и включено событие 4662, событие запишет, кто изменил пароль.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.147

Дата выпуска: 9 мая 2021 г

  • Основываясь на отзывах клиентов, мы увеличивающим число допустимых датчиков с 200 до 350, а учетные данные служб каталогов — от 10 до 30.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.146

Дата выпуска: 2 мая 2021 г

  • Уведомления по электронной почте об ошибках работоспособности и оповещениях безопасности теперь будут иметь URL-адрес расследования для Microsoft Defender для удостоверений и Microsoft 365 Defender.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.145

Дата выпуска: 22 апреля 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.144

Дата выпуска: 12 апреля 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.143

Выпущено: 14 марта 2021 г.

  • Мы добавили событие Windows 4741 для обнаружения учетных записей компьютеров, добавленных в действия Active Directory. Настройте новое событие, которое будет собираться Defender для удостоверений. После настройки собранные события будут доступны для просмотра в журнале действий, а также при расширенной охоте Microsoft 365 Defender.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.142

Выпущено: 7 марта 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.141

Выпущено: 21 февраля 2021 г.

  • Новое оповещение системы безопасности: подозрение на атаку AS-REP Roasting (внешний идентификатор 2412)
    Теперь доступно оповещение системы безопасности Подозрение на атаку AS-REP Roasting (внешний идентификатор 2412) для Defender для удостоверений. При таком обнаружении оповещение системы безопасности для Defender для удостоверений срабатывает, когда злоумышленник обращается к учетным записям с отключенной предварительной проверкой подлинности Kerberos и пытается получить данные Kerberos TGT. Намерением злоумышленника может быть извлечение учетных данных из данных с помощью автономной атаки путем взлома пароля. Дополнительные сведения см. в разделе Уязвимость Kerberos AS-REP Roasting (внешний идентификатор 2412).
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.140

Дата выпуска: 14 февраля 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.139

Дата выпуска: 31 января 2021 г.

Defender для удостоверений, выпуск 2.138

Дата выпуска: 24 января 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.137

Дата выпуска: 17 января 2021 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.136

Дата выпуска: 3 января 2021 г.

Defender для удостоверений, выпуск 2.135

Дата выпуска: 20 декабря 2020 г.

Defender для удостоверений, выпуск 2.134

Дата выпуска: 13 декабря 2020 г.

Defender для удостоверений, выпуск 2.133

Дата выпуска: 6 декабря 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.132

Дата выпуска: 17 ноября 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.131

Дата выпуска: 8 ноября 2020 г.

  • Новое оповещение системы безопасности:  подозрение на раскрытие имени субъекта-службы Kerberos (внешний идентификатор 2410)
    Теперь доступно оповещение Defender для удостоверений Подозрение на раскрытие имени субъекта-службы Kerberos (внешний идентификатор 2410). Оповещение системы безопасности Defender для удостоверений срабатывает, когда злоумышленник перечисляет учетные записи служб и соответствующие имена субъектов-служб, а затем запрашивает TGS-билеты Kerberos для этих служб. Цель злоумышленника может заключаться в извлечении хэшей из билетов и сохранение их для последующего использования в автономных атаках методом подбора. Дополнительные сведения см. в статье Раскрытие имени субъекта-службы Kerberos.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.130

Дата выпуска: 25 октября 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.129

Дата выпуска: 18 октября 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.128

Дата выпуска: 27 сентября 2020 г.

  • Изменения настроек уведомлений по электронной почте
    Мы удалили переключатели Уведомление по электронной почте для включения таких уведомлений. Чтобы получать уведомления, просто добавьте адрес электронной почты. Дополнительные сведения см. в статье Настройка уведомлений.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.127

Дата выпуска: 20 сентября 2020 г.

  • Новое оповещение системы безопасности: предполагаемая попытка повышения прав доступа к службе Netlogon (внешний идентификатор: 2411)
    Доступно оповещение системы безопасности Azure ATP Предполагаемая попытка повышения прав доступа к службе Netlogon (использование уязвимости CVE-2020-1472)  (внешний идентификатор: 2411). Оповещение системы безопасности Azure ATP активируется при обнаружении этой уязвимости (также известной как повышение прав доступа к службе Netlogon), когда злоумышленник устанавливает уязвимое подключение по безопасному каналу Netlogon к контроллеру домена по протоколу Netlogon Remote Protocol (MS-NRPC). Дополнительные сведения см. в разделе Предполагаемая попытка повышения прав доступа к службе Netlogon (использование уязвимости CVE-2020-1472) (внешний идентификатор: 2411).
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.126

Дата выпуска: 13 сентября 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.125

Дата выпуска: 6 сентября 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.124

Дата выпуска: 30 августа 2020 г.

  • Новые оповещения системы безопасности
    Оповещения системы безопасности Azure ATP теперь включают следующие новые обнаружения:
    • Рекогносцировка атрибутов Active Directory (протокол LDAP) (внешний идентификатор 2210)
      Оповещение системы безопасности Azure ATP срабатывает, когда злоумышленник мог получить важную информацию о домене для использования в поэтапной атаке. Дополнительные сведения см. в разделе Рекогносцировка атрибутов Active Directory.
    • Подозрение на использование незаконного сертификата Kerberos (внешний идентификатор 2047)
      Оповещение системы безопасности Azure ATP срабатывает, когда злоумышленник, получивший контроль над организацией через сервер центра сертификации, может создавать сертификаты, которые можно использовать в качестве учетных записей в будущих атаках, таких как перемещение в сети. Дополнительные сведения см. в разделе Подозрение на использование незаконного сертификата Kerberos.
    • Предполагаемое использование Golden Ticket (аномалия билета с использованием RBCD) (внешний код 2040)
      Злоумышленники с правами администратора домена могут скомпрометировать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на получение билетов Kerberos (TGT), с помощью которого можно получить доступ к любому ресурсу.
      Такой подложный билет TGT называют Golden Ticket (золотой билет), так как он позволяет злоумышленникам добиться длительной сохраняемости сети с помощью ограниченного делегирования на основе ресурсов (RBCD). Подложные билеты Golden Ticket этого типа имеют уникальные характеристики, для выявления которых предназначено это новое обнаружение. Дополнительные сведения см. в разделе Вероятность использования золотого билета (аномалия билета с использованием RBCD).
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.123

Дата выпуска: 23 августа 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.122

Дата выпуска: 16 августа 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.121

Дата выпуска: 2 августа 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.120

Дата выпуска: 26 июля 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.119

Дата выпуска: 5 июля 2020 г.

  • Расширение функциональности: Новая вкладка Исключенные контроллеры домена в отчете Excel
    Чтобы повысить точность вычислений на основе контроллера домена, мы будем исключать контроллеры домена с внешними отношениями доверия из расчета до тех пор, пока не будет достигнуто покрытие в 100 %. Исключенные контроллеры домена будут отображаться на новой вкладке Исключенные контроллеры домена в скачанном отчете Excel о покрытии домена. Сведения о скачивании отчета см. в разделе Состояние контроллера домена.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.118

Дата выпуска: 28 июня 2020 г.

  • Новые оценки безопасности
    Оценки безопасности Azure ATP теперь включают следующие новые оценки:

    • Пути бокового движения с максимальным риском
      Эта оценка постоянно отслеживает вашу среду, чтобы выявлять конфиденциальные учетные записи с путями бокового движения с максимальным риском, представляющие риск для безопасности, и сообщает об этих учетных записях, помогая контролировать среду. Пути считаются рискованными, если они затрагивают как минимум три неконфиденциальные учетные записи, которые дают возможность кражи учетных данных конфиденциальной учетной записи злоумышленниками. Дополнительные сведения см. в статье Оценка безопасности: Пути бокового движения с максимальным риском (LMP).
    • Небезопасные атрибуты учетной записи
      Эта оценка Azure ATP постоянно отслеживает вашу среду, чтобы выявлять учетные записи со значениями атрибутов, которых создают риск для безопасности, и сообщает об этих учетных записях, помогая защищать среду. Дополнительные сведения см. в статье Оценка безопасности: Небезопасные атрибуты учетной записи.
  • Изменено определение конфиденциальности
    Мы расширяем определение конфиденциальности для локальных учетных записей, включая в него сущности, которым разрешено использовать репликацию Active Directory.

Azure ATP, выпуск 2.117

Дата выпуска: 14 июня 2020 г.

  • Расширение функциональности: дополнительные сведения о действиях в объединенном интерфейсе SecOps
    Мы расширили сведения об устройствах, отправляемые в Defender для облачных приложений, включая имена устройств, IP-адреса, имена субъекта-пользователя для учетных записей и используемый порт. Дополнительные сведения об интеграции с Defender для облачных приложений: Использование Azure ATP с Defender для облачных приложений.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.116

Дата выпуска: 7 июня 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.115

Дата выпуска: 31 мая 2020 г

  • Новые оценки безопасности
    Оценки безопасности Azure ATP теперь включают следующие новые оценки:

    • Небезопасные атрибуты журнала ИД безопасности
      Эта оценка сообщает об атрибутах журнала ИД безопасности, которые злоумышленники могут использовать для получения доступа к вашей среде. Дополнительные сведения см. в статье Оценка безопасности: Небезопасные атрибуты журнала ИД безопасности.
    • Использование Microsoft LAPS
      Эта оценка сообщает об учетных записях локального администратора, не использующих диспетчер паролей локальных администраторов (LAPS) от Майкрософт для защиты своих паролей. Использование LAPS упрощает управление паролями, а также помогает защититься от кибератак. Дополнительные сведения см. в статье Оценка безопасности: Использование Microsoft LAPS.
  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.114

Дата выпуска: 17 мая 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.113

Дата выпуска: 5 мая 2020 г.

  • Расширение функциональности: расширенное действие доступа к ресурсам с использованием NTLMv1
    Начиная с этой версии Azure ATP предоставляет сведения о действиях доступа к ресурсам. Это позволяет определить, использует ли ресурс проверку подлинности NTLMv1. Такая конфигурация ресурсов небезопасна. Она создает риск того, что злоумышленники могут использовать приложение в своих интересах. Дополнительные сведения о риске см. в статье Использование устаревших протоколов.

  • Расширение функциональности: оповещение о предполагаемой атаке методом подбора (Kerberos, NTLM)
    Атаки методом подбора используются злоумышленниками для внедрения в организацию и являются ключевым методом обнаружения угроз и рисков в Azure ATP. Чтобы вы могли сосредоточиться на критически важных рисках для пользователей, это обновление упрощает и ускоряет анализ и устранение рисков за счет ограничения объема оповещений и установки приоритетов оповещений.

Azure ATP, выпуск 2.112

Дата выпуска: 15 марта 2020 г.

  • Новые экземпляры Azure ATP автоматически интегрируются с Microsoft Defender для облачных приложений
    При создании экземпляра Azure ATP (прежнее название — рабочая область) интеграция с Microsoft Defender для облачных приложений включена по умолчанию. Дополнительные сведения об интеграции см. в статье об использовании Azure ATP с Defender для облачных приложений.

  • Новые отслеживаемые действия
    Теперь доступны следующие мониторы активности:

  • Расширение функциональности: расширенное действие доступа к ресурсам
    Начиная с этой версии, Azure ATP теперь предоставляет сведения о действиях доступа к ресурсам. Это позволяет определить, является ли ресурс доверенным для неограниченного делегирования. Такая конфигурация ресурсов небезопасна. Она создает риск того, что злоумышленники могут использовать приложение в своих интересах. Дополнительные сведения о риске см. в статье Оценка безопасности: небезопасное делегирование Kerberos.

  • Возможная манипуляция с пакетами SMB (использование уязвимости CVE-2020-0796) — (предварительная версия)
    Оповещение системы безопасности Azure ATP Возможная манипуляция с пакетами SMB теперь находится на этапе общедоступной предварительной версии. Если к контроллеру домена в сети отправляется пакет SMBv3, предположительно использующий уязвимость системы безопасности CVE-2020-0796, то в этом обнаружении выводится оповещение системы безопасности Azure ATP.

Azure ATP, выпуск 2.111

Дата выпуска: 1 марта 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.110

Дата выпуска: 23 февраля 2020 г.

  • Новая оценка безопасности: Неотслеживаемые контроллеры домена
    Оценки безопасности Azure ATP теперь включают отчет о неотслеживаемых контроллерах домена и серверах без датчика, чтобы помочь вам управлять средой в целом. Дополнительные сведения см. в разделе Неотслеживаемые контроллеры домена.

Azure ATP, выпуск 2.109

Дата выпуска: 16 февраля 2020 г.

  • Расширение функциональности: Конфиденциальные объекты
    Начиная с этой версии (2.109), компьютеры, которые служба Azure ATP идентифицирует как серверы центра сертификации, DHCP или DNS, теперь автоматически помечаются как конфиденциальные.

Azure ATP, выпуск 2.108

Дата выпуска: 9 февраля 2020 г.

  • Новая функция: Поддержка групповых управляемых учетных записей служб
    Azure ATP теперь поддерживает использование групповых управляемых учетных записей служб (gMSA) для повышения уровня безопасности при подключении датчиков Azure ATP к лесам Azure Active Directory (AD). Сведения об использовании gMSA с датчиками Azure ATP см. в руководстве по подключению к лесу Active Directory.

  • Расширение функциональности: Запланированный отчет с чрезмерным объемом данных
    Если в запланированном отчете содержится слишком много данных, вы узнаете об этом из сообщения электронной почты со следующим текстом: "There was too much data during the specified period to generate a report" (Объем данных за указанный период был слишком большим для создания отчета). Это заменяет предыдущее поведение, при котором это событие удавалось обнаружить только после щелчка ссылки на отчет в сообщении электронной почты.

  • Расширение функциональности: Обновленная логика покрытия контроллера домена
    Мы обновили логику отчета о покрытии контроллеров домена, чтобы включить дополнительные сведения из Azure AD. Это обеспечивает более точное отображение контроллеров домена без датчиков. Эта новая логика также должна оказывать положительное воздействие на Оценку безопасности (Майкрософт).

Azure ATP, выпуск 2.107

Дата выпуска: 3 февраля 2020 г.

  • Новое отслеживаемое действие: изменение журнала ИД безопасности
    Изменение журнала ИД безопасности теперь можно отслеживать и фильтровать. Узнайте о том, какие действия отслеживает Azure ATP и как отфильтровывать и искать отслеживаемые действия на портале.

  • Расширение функциональности: закрытые или заблокированные оповещения больше не открываются повторно
    Если оповещение закрыто или заблокировано на портале Azure ATP, а аналогичное действие возникает еще раз в течение короткого периода времени, откроется новое оповещение. Ранее при выполнении тех же условий оповещение открывалось повторно.

  • Для доступа к порталу и датчикам требуется TLS 1.2
    Для использования датчиков Azure ATP и облачной службы теперь требуется TLS 1.2. Портал Azure ATP будет недоступен для браузеров, которые не поддерживают TLS 1.2.

Azure ATP, выпуск 2.106

Дата выпуска: 19 января 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.105

Дата выпуска: 12 января 2020 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.104

Выпущено 23 декабря 2019 г.

  • Устранение истечения срока действия версий датчика
    Пакеты установки датчика и развертывания датчика Azure ATP больше не устареют после выхода нескольких версий и обновляются теперь только один раз. Результатом этой возможности является то, что ранее скачанные пакеты установки датчиков теперь можно установить, даже если они старше, чем максимальное число истекших версий.

  • Подтверждение компрометации
    Теперь можно подтвердить компрометацию определенных пользователей Microsoft 365 и задать им высокий уровень риска. Этот рабочий процесс дает командам безопасности возможность иначе реагировать, сократив пороговое время на решение инцидентов. Узнайте больше о том, как подтвердить компрометацию с помощью Azure ATP и Defender для облачных приложений.

  • Баннер нового интерфейса
    На страницах портала Azure ATP, на которых доступен новый интерфейс на портале Defender для облачных приложений, отображаются новые баннеры с описанием доступных ссылок доступа.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.103

Выпущено 15 декабря 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.102

Выпущено 8 декабря 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.101

Выпущено 24 ноября 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.100

Выпущено 17 ноября 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.99

Выпущен 3 ноября 2019 г.

  • Расширение функциональности: d пользовательский интерфейс добавлено уведомление о доступности портала Defender для облачных приложений на портале Azure ATP
    Чтобы гарантировать осведомленность всех пользователей о доступности улучшенных функций с использованием портала Defender для облачных приложений, для портала было добавлено уведомление из существующей временной шкалы оповещений Azure ATP.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.98

Дата выпуска: 27 октября 2019 г.

  • Расширение функциональности: Оповещение о предполагаемой атаке методом подбора
    Улучшено оповещение о предполагаемой атаке методом подбора (SMB) с применением дополнительного анализа. Также оптимизирована логика обнаружения, что позволило уменьшить количество истинноположительных (B-TP) и ложноположительных (FP) результатов оповещений.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.97

Дата выпуска: 6 октября 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.96

Выпущен 22 сентября 2019 г.

  • Обогащение данных аутентификации NTLM с использованием события Windows 8004
    Теперь датчики Azure ATP могут автоматически считывать и обогащать данные действий аутентификации NTLM при доступе к данным сервера во время аудита NTLM с включенным событием Windows 8004. Azure ATP анализирует событие Windows 8004, выявляя операции аутентификации NTLM и обогащая их данные для анализа угроз и создания оповещений в Azure ATP. Эта улучшенная возможность обеспечивает доступ к ресурсам по протоколу NTLM. Кроме того, предоставляются обогащенные данные о неудачных попытках входа в систему, включая сведения о конечном компьютере, к которому пользователь пытался получить доступ.

    Ознакомьтесь с дополнительными сведениями о действиях аутентификации NTLM с использованием события Windows 8004.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.95

Выпущено 15 сентября 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.94

Выпущен 8 сентября 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.93

Выпущен 1 сентября 2019 г.

  • Версия включает в себя улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.92

Дата выпуска: 25 августа 2019 г.

  • Версия включает в себя улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.91

Выпущено 18 августа 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.90

Выпущено 11 августа 2019 г.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.89

Выпущен 4 августа 2019 г.

  • Улучшенные методы датчиков
    Чтобы не создавать избыточный трафик NTLM при точной оценке путей горизонтального перемещения, улучшены методы датчиков Azure ATP: теперь они меньше опираются на NTLM и больше используют Kerberos.

  • Улучшение оповещений: предполагаемое использование Golden Ticket (несуществующая учетная запись).
    Для типов сопутствующих свидетельств, указанных в оповещении этого типа, изменены имена SAM. Дополнительные сведения об оповещении, в том числе о предотвращении действий такого типа и устранении их последствий, см. в разделе о предполагаемом использовании Golden Ticket (несуществующая учетная запись).

  • Общедоступная версия. Предполагаемые незаконные изменения при аутентификации NTLM.
    Предварительная версия оповещения о предполагаемых незаконных изменений при аутентификации NTLM преобразована в общедоступную.

  • Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.88

Выпущен 28 июля 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.87

Выпущен 21 июля 2019 г.

  • Расширение функциональности: Автоматический сбор событий системного журнала автономных датчиков Azure ATP
    Входящие подключения системного журнала для автономных датчиков Azure ATP теперь полностью автоматизированы. При этом параметр переключения удален с экрана конфигурации. Эти изменения не влияют на исходящие подключения системного журнала.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.86

Выпущено 14 июля 2019 г.

  • Новое оповещение системы безопасности: предполагаемые незаконные изменения при аутентификации NTLM (внешний ИД 2039).
    Вышла общедоступная предварительная версия нового оповещения системы безопасности Azure ATP о предполагаемых незаконных изменениях при проверке подлинности NTLM. Это обнаружение выдает оповещение системы безопасности Azure ATP при подозрении на атаку "человек посередине" с обходом проверки целостности сообщений (MIC) NTLM. Эта уязвимость системы безопасности описана в статье Майкрософт CVE-2019-040. Атаки такого типа пытаются понизить уровень безопасности NTLM и пройти проверку подлинности для дальнейшего горизонтального продвижения.

  • Расширение функциональности: идентификация расширенной операционной системы устройства
    Ранее служба Azure ATP предоставляла сведения об операционной системе устройства сущности на основе доступного атрибута в Active Directory. При этом если информация об операционной системе была недоступна в Active Directory, то она также была недоступна на страницах сущностей Azure ATP. Начиная с этой версии, Azure ATP предоставляет эти сведения для устройств, не зарегистрированных или не имеющих соответствующей информации в Active Directory, с помощью методов идентификации расширенной операционной системы устройства.

    Использование этих методов помогает выявлять незарегистрированные устройства и устройства с ОС, отличной от Windows, содействуя вам в процессе анализа. Дополнительные сведения о разрешении сетевых имен в Azure ATP: Разрешение сетевых имен (NNR).

  • Новая функция: проверка подлинности прокси-сервера — предварительная версия
    Azure ATP теперь поддерживает проверку подлинности на прокси-сервере. Для использования прокси-серверов, требующих проверки подлинности, укажите URL-адрес в командной строке датчика, а также имя пользователя и пароль. См. подробнее об использовании аутентифицированного прокси-сервера.

  • Расширение функциональности: автоматизированный процесс назначения синхронизатора домена
    Процесс назначения контроллеров домена в качестве кандидатов на роль синхронизатора домена и помечания их соответствующими тегами в ходе установки и текущей настройки теперь полностью автоматизирован. Переключатель ручного выбора контроллеров домена в качестве кандидатов на роль синхронизатора теперь удален.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.85

Выпущен 7 июля 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.84

Выпущен 1 июля 2019 г.

  • Поддержка нового региона: центр обработки данных Azure в Соединенном Королевстве
    Экземпляры Azure ATP теперь поддерживаются в центре обработки данных Azure в Соединенном Королевстве. Дополнительные сведения о создании экземпляров Azure ATP и о соответствующих регионах центров обработки данных: Установка Azure ATP. Шаг 1.

  • Расширение функциональности: Новое имя и возможности для оповещения "Подозрительные добавления в привилегированные группы" (внешний код 2024)
    Оповещение Подозрительные добавления в привилегированные группы ранее называлось Подозрительные изменения привилегированных групп. Внешний код оповещения (2024) не изменился. Новое описательное имя более точно отражает цель оповещения о добавлениях в ваши привилегированные группы. Усовершенствованное оповещение также предоставляет новые свидетельства и улучшенные описания. Дополнительные сведения: Подозрительные добавления в привилегированные группы.

  • Новая функция документации: Руководство по переходу с Advanced Threat Analytics на Azure ATP
    Эта новая статья содержит предварительные требования, руководство по планированию, а также действия для настройки и проверки при переходе с ATA на службу Azure ATP. Дополнительные сведения: Переход с ATA на Azure ATP.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.83

Выпущено 23 июня 2019 г.

  • Расширение функциональности: Предупреждение "Создание подозрительной службы" (внешний код 2026)
    Это предупреждение теперь включает улучшенную страницу сведений с дополнительными свидетельствами и новым описанием. Дополнительные сведения: Оповещение системы безопасности "Создание подозрительной службы".

  • Поддержка именования экземпляров: Добавлена поддержка префиксов домена, состоящих только из цифр
    Добавлена поддержка создания экземпляров Azure ATP с префиксами исходного домена, состоящими только из цифр. Например, теперь поддерживаются исключительно числовые префиксы исходного домена следующего вида: 123456.contoso.com.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.82

Выпущен 18 июня 2019 г.

  • Новая общедоступная предварительная версия
    Теперь предоставляется общедоступная предварительная версия интерфейса для исследования угроз Azure ATP. Она доступна для всех клиентов, защищенных Azure ATP. Дополнительные сведения см. в статье об интерфейсе для исследования угроз Microsoft Defender для облачных приложений в Azure ATP.

  • Общедоступная версия
    Поддержка Azure ATP в ненадежных лесах теперь общедоступна. Дополнительные сведения см. в разделе Несколько лесов Azure ATP.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.81

Выпущен 10 июня 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.80

Выпущен 2 июня 2019 г.

  • Расширение функциональности: предупреждение о подозрительном VPN-подключении
    Теперь это предупреждение содержит подробное свидетельство и сведения для повышения удобства. Подробные сведения о функциях предупреждений и предлагаемые действия по исправлению и профилактике см. в разделе Подозрительное VPN-подключение (внешний код 2025).

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.79

Выпущен 26 мая 2019 г.

  • Общедоступная версия. Рекогносцировка, направленная на субъект безопасности (LDAP) (внешний код 2038)

    Это оповещение теперь предоставляется в общедоступной версии. Дополнительные сведения о предупреждениях, функциях предупреждений, а также предлагаемые действия по исправлению и профилактике см. в описании оповещения "Рекогносцировка, направленная на субъект безопасности (LDAP)".

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.78

Выпущен 19 мая 2019 г.

  • Расширение функциональности: Конфиденциальные объекты
    Добавление тегов конфиденциальности вручную для серверов Exchange Server

    Теперь можно вручную отмечать сущности как серверы Exchange Server во время настройки.

    Чтобы вручную отметить сущность как Exchange Server, выполните следующее:

    1. На портале Azure ATP выберите раздел Конфигурация.
    2. В разделе Обнаружениевыберите Entity tags (Теги сущности), а затем — Конфиденциально.
    3. Выберите Серверы Exchange Server и добавьте сущность, которую требуется пометить.

    После того как компьютер отмечен как сервер Exchange Server, он отмечается как конфиденциальный, а также отображаются сведения о том, что компьютер отмечен как сервер Exchange Server. Тег конфиденциальности будет отображаться в профиле сущности компьютера, и компьютер будет учитываться во всех обнаружениях на основе конфиденциальных учетных записей и путях бокового смещения.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.77

Выпущен 12 мая 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.76

Дата выпуска: 6 мая 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.75

Дата выпуска: 28 апреля 2019 г.

  • Расширение функциональности: Конфиденциальные объекты
    Начиная с этой версии (2.75) компьютеры, которые служба Azure ATP идентифицирует как серверы Exchange Server, теперь автоматически помечаются как конфиденциальные.

    Таким образом, объектам, которые автоматически помечаются как конфиденциальные, потому что они работают как серверы Exchange Servers, присваивается эта категория с указанием соответствующей причины.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.74

Дата выпуска: 14 апреля 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.73

Дата выпуска: апрель 10, 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.72

Выпуск от 31 марта 2019 г.

  • Расширение функциональности: ограничение детализации путей бокового смещения (LMP)
    Пути бокового смещения (LMP) — основной метод обнаружения угроз и рисков в Azure ATP. Это обновление позволяет изучить критические риски для пользователей, которые нуждаются в защите конфиденциальности своих данных. Они также упрощают и ускоряют анализ и устранение таких рисков на каждом LMP, ограничивая детализацию в каждой отображаемой диаграмме.

    Подробные сведения о том, как в Azure ATP используются пути LMP для обнаружения рисков доступа для каждой сущности в вашей среде, см. в статье Пути бокового смещения Azure ATP (LMP).

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.71

Выпущено 24 марта 2019 г.

  • Расширение функциональности: оповещения о работоспособности на основе разрешения сетевых имен
    Добавлены оповещения о работоспособности для уровней достоверности, связанных с оповещениями системы безопасности Azure ATP, на основе механизма разрешения сетевых имен. Каждое оповещение о работоспособности содержит подробные практические рекомендации по устранению ошибок, связанных с разрешением сетевых имен.

    Дополнительные сведения о том, как в Azure ATP используется механизм разрешения сетевых имен и почему он важен для точности оповещений см. в обзорной статье о разрешении сетевых имен.

  • Поддержка Windows Server: добавлена поддержка Windows Server 2019 с установленным исправлением KB4487044
    Добавлена поддержка Windows Server 2019 с установленным исправлением KB4487044. Использование Windows Server 2019 без этого исправления не поддерживается и будет блокироваться, начиная с этого обновления.

  • Расширение функциональности: Исключение пользователей из рассылки оповещений
    Расширенная настройка исключения оповещений теперь позволяет исключать отдельных пользователей из рассылки определенных оповещений. Исключения позволяют избежать ситуаций, когда определенные конфигурации внутреннего программного обеспечения постоянно активируют ложные оповещения системы безопасности.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.70

Выпущено 17 марта 2019 г.

Azure ATP, выпуск 2.69

Выпущен: 10 марта 2019 г.

  • Расширение функциональности: оповещение о предполагаемой краже удостоверения (Pass-the-Ticket) Это оповещение теперь содержит новое свидетельство — сведения о подключениях, установленных по протоколу удаленного рабочего стола (RDP). Оно упрощает процедуру устранения известной проблемы, связанной с оповещениями B-TP (неопасный истинно положительный результат), которые возникают при использовании удаленного Credential Guard через подключения по протоколу RDP.

  • Расширение функциональности: оповещение об удаленном выполнении кода через DNS
    Это оповещение теперь содержит новое свидетельство — состояние обновления системы безопасности контроллера домена, информирующее о необходимости обновлений.

  • Новая функция документации: оповещения системы безопасности Azure ATP и матрица MITRE ATTCK Matrix™
    Чтобы пояснить и упростить связь между оповещениями системы безопасности Azure ATP и знакомой классификацией методов атак MITRE ATT&CK Matrix, мы добавили соответствующие методы MITRE в списки оповещений системы безопасности Azure ATP. Эти дополнительные справочные сведения помогают понять, какие предполагаемые атаки могут использоваться злоумышленниками при активации оповещений системы безопасности Azure ATP. Узнайте больше в руководстве по оповещениям системы безопасности Azure ATP.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.68

Выпущен: 3 мая 2019 г.

  • Расширение функциональности: оповещение о предполагаемой атаке методом подбора (LDAP)
    Мы сделали это оповещение системы безопасности намного удобнее в использовании: пересмотрено описание, расширены исходные сведения и приведены подробные данные о попытках подбора, чтобы можно было быстро принять необходимые меры.
    Дополнительные сведения об оповещениях системы безопасности о предполагаемой атаке методом подбора (LDAP) см. в этой статье.

  • Новая функция документации: занятие по оповещениям системы безопасности
    Чтобы описать все возможности Azure ATP в аспекте обнаружения реальных угроз в вашей рабочей среде, мы добавили к этой документации новое занятие по оповещениям системы безопасности. Занятие по оповещениям системы безопасности поможет вам быстро настроить лабораторию или тестовую среду и применить оптимальный подход к защите от распространенных реальных угроз и атак.

    Это занятие с пошаговыми инструкциями поможет ускорить разработку и лучше изучить спектр угроз, а также доступных оповещений и средств защиты Azure ATP. Мы с нетерпением ждем ваших отзывов.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.67

Выпущено 24 февраля 2019 г.

  • Новое оповещение системы безопасности: атака рекогносцировки, направленная на субъект безопасности (LDAP) (предварительная версия)
    Оповещение системы безопасности Azure ATP о разведывательной атаке, направленной на участника безопасности (LDAP) — предварительная версия теперь предоставляется в общем доступе. В случае такого обнаружения оповещение системы безопасности Azure ATP срабатывает, если злоумышленники используют разведывательную атаку, направленную на субъект безопасности, для получения важной информации об окружении домена. Такая информация помогает злоумышленникам определить структуру домена и привилегированные учетные записи, которые они в дальнейшем могут использовать для реализации цепочки атаки.

    Протокол LDAP — это один из самых популярных методов отправки запросов в Active Directory (в том числе и среди злоумышленников). Разведывательная атака с использованием LDAP, направленная на субъект безопасности, часто используется на первом этапе атаки типа Kerberoasting. Атаки типа Kerberoasting выполняются для получения целевого списка с именами субъектов безопасности (SPN), для которых злоумышленники затем пытаются получить билеты от сервера предоставления билетов (TGS).

  • Расширение функциональности: Оповещение о разведывательной атаке путем перечисления учетных записей (NTLM)
    Улучшенное оповещение о разведывательной атаке путем перечисления учетных записей (NTLM) с использованием традиционного анализа и улучшенной логики обнаружения для сокращения количества результатов оповещений B-TP и FP.

  • Расширение функциональности: Оповещение о разведывательной атаке путем сетевого сопоставления (DNS)
    В оповещения о разведывательной атаке путем сетевого сопоставления (DNS) добавлены новые типы обнаружения. Кроме подозрительных запросов AXFR, Azure ATP теперь позволяет обнаружить подозрительные типы запросов от серверов, которые не используют DNS и отправляют чрезмерное количество запросов.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.66

Выпущено 17 февраля 2019 г.

  • Расширение функциональности: оповещение о предполагаемой атаке DCSync (репликация служб каталогов)
    Мы сделали это оповещение системы безопасности удобнее в использовании. Пересмотрено описание, расширены исходные сведения, добавлена новая инфографика и дополнительные свидетельства. Узнайте больше об оповещениях системы безопасности о предполагаемой атаке DCSync (репликация служб каталогов).

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.65

Выпущено 10 февраля 2019 г.

  • Новое оповещение системы безопасности: потенциальная атака ретранслятора NTLM (учетная запись Exchange) — (предварительная версия)
    Оповещение системы безопасности о потенциальной атаке ретранслятора NTLM (учетная запись Exchange) — предварительная версия Azure ATP теперь в общем доступе. В этом случае оповещение системы безопасности Azure ATP срабатывает при использовании учетных данных Exchange из подозрительного источника. Атаки этого типа пытаются использовать методы ретранслятора NTLM, чтобы получить права Exchange контроллера домена. Они называются ExchangePriv. Дополнительные сведения о методе ExchangePriv см. в рекомендации ADV190007, которая впервые была опубликована 31 января 2019 г., и в записи блога об ответе на оповещение Azure ATP.

  • Общедоступная версия. Удаленное выполнение кода через DNS
    Это оповещение теперь предоставляется в общедоступной версии. Дополнительные сведения и описание функций оповещений см. в разделе об удаленном выполнении кода через DNS.

  • Общедоступная версия. Кража данных по SMB
    Это оповещение теперь предоставляется в общедоступной версии. Дополнительные сведения и описание функций оповещений см. в разделе о краже данных по SMB.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.64

Выпущено 4 февраля 2019 г.

Azure ATP, выпуск 2.63

Выпущен 27 января 2019 г.

  • Новая функция: поддержка недоверенных лесов (предварительная версия)
    Поддержка Azure ATP для датчиков в недоверенных лесах теперь включена в общедоступной предварительной версии. На портале Azure ATP на странице Службы каталогов настройте дополнительные наборы учетных данных, чтобы датчики Azure ATP могли подключаться к разным лесам Active Directory и передавать данные обратно в службу Azure ATP. Дополнительные сведения см. в разделе Несколько лесов Azure ATP.

  • Новая функция: покрытие контроллеров домена
    Теперь Azure ATP предоставляет данные о покрытии для отслеживаемых контроллеров домена Azure ATP.
    На странице Датчики портала Azure ATP просмотрите число отслеживаемых и неотслеживаемых контроллеров домена, обнаруженных Azure ATP в вашей среде. Скачайте список отслеживаемых контроллеров домена для дальнейшего анализа и выработки плана действий. Дополнительные сведения см. в практическом руководстве Мониторинг контроллеров домена.

  • Расширение функциональности: разведывательная атака путем перечисления учетных записей
    Теперь обнаружение разведывательной атаки путем перечисления учетных записей Azure ATP выявляет попытки перечисления с использованием Kerberos и NTLM и выдает оповещения. Ранее обнаружение поддерживало только протокол Kerberos. Подробнее см. в разделе Оповещения о разведывательных атаках Azure ATP.

  • Расширение функциональности: попытка удаленного выполнения кода

    • Все действия удаленного выполнения, такие как создание службы, выполнение WMI и новое выполнение PowerShell, добавлены на временную шкалу профиля на целевом компьютере. Целевым компьютером является контроллер домена, на котором была выполнена команда.
    • Выполнение PowerShell добавлено в список действий запуска удаленного кода, перечисленных на временной шкале оповещений в профиле сущности.
    • Подробнее см. в разделе, посвященном попыткам удаленного выполнения кода.
  • Проблема LSASS Windows Server 2019 и Azure ATP
    В ответ на отзывы клиентов об использовании Azure ATP с контроллерами домена под управлением Windows Server 2019, это обновление включает дополнительную логику, чтобы избежать возникновения указанного в отзывах поведения на компьютерах Windows Server 2019. Реализация полной поддержки датчиков Azure ATP в системе Windows Server 2019 запланирована в будущем обновлении Azure ATP, при этом установка и запуск Azure ATP в Windows Server 2019 в настоящее время не поддерживается. Подробнее см. в разделе Требования к датчику Azure ATP.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.62

Выпущен 20 января 2019 г.

  • Новое оповещение системы безопасности: удаленное выполнение программного кода через DNS (предварительная версия)
    Оповещение системы безопасности Azure ATP об удаленном выполнении кода через DNS теперь есть в общедоступной предварительной версии. Если запросы к DNS-серверу, предположительно использующие уязвимость системы безопасности CVE-2018-8626, выполняются в отношении контроллера домена в сети, в обнаружении выводится оповещение системы безопасности Azure ATP.

  • Расширение функциональности: Отложенное обновление датчиков (72 ч)
    Изменена возможность отложить обновление выбранных датчиков до 72 ч (вместо предыдущей отсрочки в 24 ч) после каждого обновления выпуска Azure ATP. См. инструкции по настройке обновления датчиков Azure ATP.

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.61

Выпущен 13 января 2019 г.

  • Новое оповещение системы безопасности: Кража данных по SMB (предварительная версия)
    Оповещение системы безопасности Azure ATP о краже данных по SMB теперь есть в общедоступной предварительной версии. Злоумышленники с правами администратора домена могут скомпрометировать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на получение билетов Kerberos (TGT), с помощью которого можно получить доступ к любому ресурсу.

  • Расширение функциональности: оповещение системы безопасности "Попытка удаленного выполнения кода"
    Добавлено новое описание оповещения и дополнительное свидетельство, чтобы сделать оповещение более понятным и обеспечить более эффективный рабочий процесс анализа.

  • Расширение функциональности: Логические действия запроса DNS
    В отслеживаемые действия Azure ATP добавлены дополнительные типы запросов, включая: TXT, MX, NS, SRV, ANY, DNSKEY.

  • Расширение функциональности: "Предполагаемое использование Golden Ticket (аномалия билета)" и "Предполагаемое использование Golden Ticket (несуществующая учетная запись)"
    Усовершенствованная логика обнаружения применена к обоим оповещениям, чтобы сократить число ложных срабатываний и обеспечить более точные результаты.

  • Расширение функциональности: документация по оповещениям системы безопасности Azure ATP
    Документация по оповещениям системы безопасности Azure ATP усовершенствована и расширена для включения более подробного описания оповещений, более точных классификаций оповещений и объяснения основных принципов свидетельств, исправления и предотвращения. Ознакомиться со структурой документации по оповещениям системы безопасности можно с помощью следующих ссылок:

  • Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.60

Выпущен 6 января 2019 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.59

Выпущен 16 декабря 2018 г.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.58

Выпущен 9 декабря 2018 г.

  • Улучшение оповещений системы безопасности: разделение оповещений о нестандартной реализации протоколов
    Серия оповещений системы безопасности Azure ATP о нестандартной реализации протоколов, которая ранее имела один общий код externalId (2002), теперь разделена на четыре отдельных оповещения с уникальными внешними кодами.

Новые идентификаторы externalId оповещений

Новое имя оповещения системы безопасности Предыдущее имя оповещения системы безопасности Уникальный внешний идентификатор
Предполагаемая атака методом подбора (SMB) Нестандартная реализация протоколов (потенциальное использование вредоносных средств, таких как Hydra) 2033
Предполагаемая атака Overpass-the-Hash (Kerberos) Нестандартная реализация протокола Kerberos (потенциальная атака Overpass-the-Hash) 2002
Предполагаемое использование платформы взлома Metasploit Нестандартная реализация протоколов (потенциальное использование средств взлома Metasploit) 2034
Предполагаемая атака программы-шантажиста WannaCry Нестандартная реализация протоколов (потенциальная атака программы-шантажиста WannaCry) 2035
  • Новое отслеживаемое действие: копирование файлов по протоколу SMB
    Копирование файлов по протоколу SMB теперь можно отслеживать и фильтровать. Узнайте о том, какие действия отслеживает Azure ATP и как отфильтровывать и искать отслеживаемые действия на портале.

  • Улучшение отображения большого пути бокового смещения (LMP)
    При просмотре больших путей бокового смещения Azure ATP теперь выделяет только те узлы, которые подключены к выбранной сущности, а не размывает другие узлы. Это значительным образом улучшает скорость отрисовки больших LMP.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.57

Выпущен 2 декабря 2018 г.

  • Новое оповещение системы безопасности: предполагаемое совершение атаки Golden Ticket (аномалия билета) — предварительная версия
    Оповещение системы безопасности Azure ATP о предполагаемом совершение атаки Golden Ticket — аномалия билета сейчас включено в общедоступной предварительной версии. Злоумышленники с правами администратора домена могут скомпрометировать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на получение билетов Kerberos (TGT), с помощью которого можно получить доступ к любому ресурсу.

    Такой подложный билет TGT называют Golden Ticket (золотой билет), так как он позволяет злоумышленникам добиться длительной сохраняемости сети. Подложные билеты Golden Ticket этого типа имеют уникальные характеристики, для выявления которых предназначено это новое обнаружение.

  • Расширение функциональности: автоматическое создание экземпляра (рабочей области) Azure ATP
    С сегодняшнего дня рабочие области Azure ATP будут переименованы в экземпляры Azure ATP. Azure ATP теперь поддерживает один экземпляр Azure ATP на одну учетную запись Azure ATP. Экземпляры для новых клиентов создаются с помощью мастера создания экземпляров на портале Azure ATP. Существующие рабочие области Azure ATP автоматически преобразуются в экземпляры Azure ATP в этом обновлении.

    Дополнительные сведения об экземплярах Azure ATP см. в разделе Создание экземпляра Azure ATP.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.56

Выпущен 25 ноября 2018 г.

  • Расширение функциональности: пути бокового смещения (LMP)
    Для расширения возможностей путей бокового смещения (LMP) в Azure ATP добавляются две дополнительные функции.

    • Журнал LMP-путей теперь сохраняется и подлежит обнаружению для каждой отдельной сущности, а также при использовании отчетов LMP.
    • Отследите сущность в LMP-пути через временную шкалу активности и проведите анализ с помощью дополнительных свидетельств для обнаружения потенциальных путей атаки.

    Дополнительные сведения о том, как использовать расширенные LMP-пути и выполнять анализ с их помощью, см. в разделе Пути бокового смещения в Azure ATP.

  • Улучшение документации: пути бокового смещения, имена оповещений системы безопасности
    В статьи по службе Azure ATP, описывающие пути бокового смещения и их функциональные возможности, были внесены изменения или дополнения, для всех экземпляров старых имен оповещений безопасности добавлено сопоставление с новыми именами и кодами externalIds.

  • Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Дополнительные сведения о каждом из выпусков Defender для удостоверений до выпуска 2.55 (включительно) см. в справочнике по выпускам Defender для удостоверений.

См. также: