版本 1.9 中的新增功能
可以从下载中心下载 ATA 的最新更新版本。
这些发行说明提供了此版本高级威胁分析中的更新、新功能、缺陷修复和已知问题的信息。
新检测和更新检测
- 可疑服务创建:攻击者试图在网络上运行可疑服务。 现在,当 ATA 识别到有人在域控制器上运行看似可疑的新服务时,则会发出警报。 此检测基于事件(而非网络流量),有关更多信息,请参阅可疑活动指南。
帮助进行调查的新报告
使用以明文形式公开的密码,可以检测帐户(敏感和非敏感帐户)何时以纯文本形式发送帐户凭据。 这样可以调查并减少在环境中使用 LDAP 简单绑定,从而提高网络安全级别。 此报告将替换服务和敏感帐户明文可疑活动警报。
敏感帐户的横向移动路径列出了通过横向移动路径公开的敏感帐户。 这样可以缓解这些路径并强化网络,从而最大程度地降低攻击面风险。 这样可以防止横向移动,攻击者就无法在用户和计算机之间跨网络移动,直到他们获得虚拟安全头奖:敏感管理员帐户凭据。
改进的调查
ATA 1.9 包含改进的新实体配置文件。 实体配置文件提供了一个仪表板,旨在用户、访问的资源及其历史记录进行全面深入地调查。 使用实体配置文件,还可以识别可通过横向移动路径访问的敏感用户。
使用 ATA 1.9 可以手动标记组或帐户为敏感,以增强检测。 这种标记会影响许多 ATA 检测,例如敏感组修改检测和横向移动路径,取决于哪些组和帐户被视为敏感。
性能改进
- ATA 中心基础结构的性能得到了改进:流量的聚合视图可优化 CPU 和数据包管道,并可重复使用域控制器的套接字,以最大程度地减少到 DC 的 SSL 会话。
其他更改
- 安装新版本的 ATA 后,工具栏中会显示新增功能图标,让你了解最新版本中的更改。 其还提供指向深入版本更改日志的链接。
已删除和弃用的功能
- 已删除“失信的可疑活动”警报。
- 已删除明文可疑活动中公开的密码。 其已替换为明文报告中公开的密码。