Archiv novinek pro Microsoft Defender for Identity

Tento článek obsahuje Microsoft Defender for Identity poznámky k verzi pro verze a funkce vydané před více než 6 měsíci.

Informace o nejnovějších verzích a funkcích najdete v tématu Co je nového v Microsoft Defender for Identity.

Poznámka

Od 15. června 2022 přestane Microsoft podporovat senzor Defenderu for Identity na zařízeních se systémem Windows Server 2008 R2. Doporučujeme, abyste identifikovali všechny zbývající řadiče domény (DC) nebo servery služby AD FS, které stále používají Windows Server 2008 R2, jako operační systém a plánovali jejich aktualizaci na podporovaný operační systém.

Dva měsíce po 15. červnu 2022 bude senzor dál fungovat. Po tomto dvouměsíčním období, počínaje 15. srpnem 2022, přestane senzor fungovat na platformách Windows Server 2008 R2. Další podrobnosti najdete tady: https://aka.ms/mdi/2008r2

Červenec 2023

Defender for Identity verze 2.209

Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Hledání skupin Active Directory v Microsoft Defender XDR (Preview)

Microsoft Defender XDR globální vyhledávání teď podporuje vyhledávání podle názvu skupiny služby Active Directory. Všechny nalezené skupiny se zobrazí ve výsledcích na samostatné kartě Skupiny. Vyberte skupinu Služby Active Directory z výsledků hledání a zobrazte další podrobnosti, například:

• Typ
• Rozsah
• Domain (Doména)
• Název SAM
• SID

• Čas vytvoření skupiny
• První pozorování aktivity skupiny
• Skupiny obsahující vybranou skupinu
• Seznam všech členů skupiny

Příklady:

Další informace najdete v tématu Microsoft Defender for Identity v Microsoft Defender XDR.

Nové sestavy stavu zabezpečení

Posouzení stavu zabezpečení identity v Defenderu for Identity proaktivně detekuje a doporučuje akce napříč konfiguracemi místní Active Directory.

Ve službě Microsoft Secure Score jsou teď k dispozici následující nová hodnocení stavu zabezpečení:

• Odebrání přístupových práv k podezřelým účtům s oprávněním Správa SDHolder
• Odebrání účtů bez oprávnění správce s oprávněními DCSync
• Odebrání místních správců prostředků identit
• Spuštění nasazení Defenderu for Identity

Další informace najdete v tématu posouzení stavu zabezpečení Microsoft Defender for Identity.

Automatické přesměrování klasického portálu Defender for Identity

Prostředí a funkce portálu Microsoft Defender for Identity se konvergují s platformou XDR (Extended Detection and Response) společnosti Microsoft, Microsoft Defender XDR. Od 6. července 2023 se zákazníci, kteří používají portál Classic Defender for Identity, automaticky přesměrují na Microsoft Defender XDR bez možnosti vrátit se zpět na klasický portál.

Další informace najdete v našem blogovém příspěvku a Microsoft Defender for Identity v Microsoft Defender XDR.

Stahování a plánování sestav Defenderu for Identity v Microsoft Defender XDR (Preview)

Teď si můžete z portálu Microsoft Defender stahovat a plánovat pravidelné sestavy služby Defender for Identity a vytvářet tak paritu funkcí sestav se starší verzí klasického portálu Defender for Identity.

Stáhněte a naplánujte sestavy v Microsoft Defender XDR ze stránky Správa sestav identit > nastavení>. Příklady:

Další informace najdete v tématu Microsoft Defender for Identity sestav v Microsoft Defender XDR.

Defender for Identity verze 2.208

• Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Defender for Identity verze 2.207

• Tato verze poskytuje nový instalační parametr AccessKeyFile . Během bezobslužné instalace senzoru Defenderu for Identity použijte parametr AccessKeyFile k nastavení přístupového klíče pracovního prostoru ze zadané textové cesty. Další informace najdete v tématu Instalace senzoru Microsoft Defender for Identity.

• Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Červen 2023

Defender for Identity verze 2.206

• Tato verze obsahuje vylepšení a opravy chyb pro cloudové služby a senzor Defender for Identity.

Rozšířené proaktivní vyhledávání s vylepšenou tabulkou IdentityInfo

• U tenantů s nasazeným defenderem for Identity teď tabulka rozšířeného proaktivního vyhledávání Informací o identitě Microsoft 365 obsahuje více atributů na identitu a identity zjištěné senzorem Defenderu for Identity z místního prostředí.

Další informace najdete v dokumentaci Microsoft Defender XDR rozšířeného proaktivního vyhledávání.

Defender for Identity verze 2.205

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Květen 2023

Zvýraznění rozšířeného řízení účtů služby Active Directory

Stránka s podrobnostmi o uživateli Microsoft Defender XDR Identity> teď obsahuje nová data řízení účtů služby Active Directory.

Na kartě Přehled podrobností o uživateli jsme přidali novou kartu ovládacích prvků účtu služby Active Directory , která zvýrazňuje důležitá nastavení zabezpečení a ovládací prvky Active Directory. Pomocí této karty můžete například zjistit, jestli je konkrétní uživatel schopen obejít požadavky na heslo nebo jestli má heslo, jehož platnost nikdy nevyprší.

Příklady:

Další informace najdete v dokumentaci k atributu User-Account-Control .

Defender for Identity verze 2.204

Vydáno 29. května 2023

• Nové upozornění na stav pro selhání příjmu dat integrace sítě VPN (radius). Další informace najdete v tématu Microsoft Defender for Identity upozornění na stav senzoru.

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.203

Vydáno 15. května 2023

• Nové upozornění na stav pro ověření správné konfigurace auditování kontejnerů AD FS Další informace najdete v tématu Microsoft Defender for Identity upozornění na stav senzoru.

• Stránka identit Microsoft Defender 365 obsahuje aktualizace uživatelského rozhraní pro prostředí s laterálním pohybem. Žádné funkce se nezměnily. Další informace najdete v tématu Vysvětlení a zkoumání cest laterálního pohybu (LMPs) s Microsoft Defender for Identity.

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Vylepšení časové osy identit

Karta Časová osa identity teď obsahuje nové a vylepšené funkce. S aktualizovanou časovou osou teď můžete kromě původních filtrů filtrovat podle typu aktivity, protokolu a umístění. Časovou osu můžete také exportovat do souboru CSV a najít další informace o aktivitách spojených s MITRE ATT&technikami CK. Další informace najdete v tématu Zkoumání uživatelů v Microsoft Defender XDR.

Ladění upozornění v Microsoft Defender XDR

Ladění výstrah, které je teď dostupné v Microsoft Defender XDR, umožňuje upravit upozornění a optimalizovat je. Ladění výstrah snižuje počet falešně pozitivních výsledků, umožňuje týmům SOC soustředit se na výstrahy s vysokou prioritou a zlepšuje pokrytí detekce hrozeb v celém systému.

V Microsoft Defender XDR vytvořte podmínky pravidla založené na typech důkazů a pak pravidlo použijte pro jakýkoli typ pravidla, který odpovídá vašim podmínkám. Další informace najdete v tématu Ladění upozornění.

Duben 2023

Defender for Identity verze 2.202

Vydáno 23. dubna 2023

• Nové upozornění na stav pro ověření správné konfigurace auditování kontejneru adresářových služeb, jak je popsáno na stránce upozornění na stav.
• Nové pracovní prostory pro tenanty AD namapované na Nový Zéland se vytvářejí v oblasti Austrálie – východ. Nejnovější seznam místního nasazení najdete v tématu Součásti Defenderu for Identity.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Březen 2023

Defender for Identity verze 2.201

Vydáno 27. března 2023

• Právě zakazujeme upozornění honeytokenu SAM-R. I když by se k těmto typům účtů nikdy nemělo přistupovat ani dotazovat, některé starší systémy můžou tyto účty používat jako součást svých běžných operací. Pokud je tato funkce pro vás nezbytná, můžete vždy vytvořit rozšířený dotaz proaktivního vyhledávání a použít ho jako vlastní detekci. V nadcházejících týdnech také kontrolujeme upozornění honeytokenu LDAP, ale prozatím zůstává funkční.

• Opravili jsme problémy s logikou detekce v upozornění na stav auditování objektů adresářových služeb pro neanglické operační systémy a pro Windows 2012 se schématy adresářových služeb starší než verze 87.

• Odebrali jsme předpoklad konfigurace účtu adresářových služeb, aby se senzory spustily. Další informace najdete v tématu doporučení k účtům Microsoft Defender for Identity adresářové služby.

• Už nevyžadujeme protokolování událostí 1644. Pokud máte toto nastavení registru povolené, můžete ho odebrat. Další informace najdete v tématu ID události 1644.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.200

Vydáno 16. března 2023

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.199

Vydáno 5. března 2023

• Některá vyloučení pro Honeytoken byl dotazován prostřednictvím upozornění SAM-R nefungují správně. V těchto případech se výstrahy aktivovaly i pro vyloučené entity. Tato chyba byla opravena.

• Aktualizoval se název protokolu NTLM pro tabulky rozšířeného proaktivního vyhledávání identit: Původní název Ntlm protokolu je teď uvedený jako nový název NTLM protokolu v tabulkách rozšířeného proaktivního vyhledávání identit: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Pokud aktuálně používáte Ntlm protokol ve formátu rozlišující malá a malá písmena z tabulek událostí identity, měli byste ho změnit na NTLM.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Únor 2023

Defender for Identity verze 2.198

Vydáno 15. února 2023

• Časová osa identity je teď dostupná jako součást nové stránky Identita v Microsoft Defender XDR: Aktualizovaná stránka Uživatel v Microsoft Defender XDR teď má nový vzhled a chování s rozbaleným zobrazením souvisejících prostředků a novou vyhrazenou kartou časová osa. Časová osa představuje aktivity a výstrahy za posledních 30 dnů a sjednocuje položky identity uživatele napříč všemi dostupnými úlohami (Defender for Identity/Defender for Cloud Apps/Defender for Endpoint). Pomocí časové osy se můžete snadno zaměřit na aktivity, které uživatel provedl (nebo na nich provedl) v konkrétních časových rámcích. Další informace najdete v tématu Zkoumání uživatelů v Microsoft Defender XDR

• Další vylepšení upozornění honeytokenu: Ve verzi 2.191 jsme zavedli několik nových scénářů upozornění na aktivitu honeytokenu.

  Na základě zpětné vazby od zákazníků jsme se rozhodli rozdělit upozornění na aktivitu honeytokenu do pěti samostatných upozornění:

  • Uživatel Honeytokenu byl dotazován přes SAM-R.
  • Uživatel Honeytokenu byl dotazován prostřednictvím protokolu LDAP.
  • Aktivita ověřování uživatelů Honeytokenu
  • Uživatel honeytokenu měl změněné atributy.
  • Změnilo se členství ve skupině Honeytoken.

  Kromě toho jsme pro tato upozornění přidali vyloučení, která poskytují přizpůsobené prostředí pro vaše prostředí.

  Těšíme se na vaši zpětnou vazbu, abychom se mohli dál zlepšovat.

• Nová výstraha zabezpečení – Podezřelé využití certifikátu přes protokol Kerberos (PKINIT): Řada technik pro zneužití služby Ad CS (Active Directory Certificate Services) zahrnuje použití certifikátu v určité fázi útoku. Microsoft Defender for Identity teď uživatele upozorní, když pozorují takové podezřelé využití certifikátů. Tento přístup k monitorování chování poskytuje komplexní ochranu před útoky služby AD CS a aktivuje výstrahu při pokusu o ověření podezřelým certifikátem na řadiči domény s nainstalovaným senzorem Defenderu for Identity. Další informace najdete v tématu Microsoft Defender for Identity teď zjišťuje podezřelé využití certifikátů.

• Automatické přerušení útoku: Defender for Identity teď spolupracuje s Microsoft Defender XDR a nabízí automatické přerušení útoků. Tato integrace znamená, že u signálů přicházejících z Microsoft Defender XDR můžeme aktivovat akci Zakázat uživatele. Tyto akce jsou spouštěny vysoce věrnými signály XDR v kombinaci s přehledy z nepřetržitého vyšetřování tisíců incidentů výzkumnými týmy Microsoftu. Akce pozastaví ohrožený uživatelský účet ve službě Active Directory a synchronizuje tyto informace s Microsoft Entra ID. Další informace o automatickém přerušení útoku najdete v blogovém příspěvku od Microsoft Defender XDR.

  Z automatizovaných akcí odpovědí můžete také vyloučit konkrétní uživatele. Další informace najdete v tématu Konfigurace vyloučení automatizovaných odpovědí Defenderu for Identity.

• Odebrat období výuky: Upozornění generovaná defenderem for Identity jsou založená na různých faktorech, jako je profilace, deterministická detekce, strojové učení a behaviorální algoritmy, které se naučila o vaší síti. Celý proces učení pro Defender for Identity může trvat až 30 dní na řadič domény. Mohou však existovat případy, kdy chcete dostávat upozornění ještě před dokončením úplného procesu učení. Když například nainstalujete nový senzor na řadič domény nebo když vyhodnocujete produkt, můžete chtít dostávat upozornění okamžitě. V takových případech můžete období výuky pro ovlivněná upozornění vypnout tak, že povolíte funkci Odebrat období výuky . Další informace najdete v tématu Upřesňující nastavení.

• Nový způsob odesílání upozornění do M365D: Před rokem jsme oznámili, že na portálu Microsoft Defender jsou k dispozici všechna Microsoft Defender for Identity prostředí. Náš primární kanál upozornění teď postupně přechází z Defender for Cloud Apps Microsoft Defender XDR > Defender for Identity > na Microsoft Defender XDR Defender for Identity>. Tato integrace znamená, že aktualizace stavu v Defender for Cloud Apps se neprojeví v Microsoft Defender XDR a naopak. Tato změna by měla výrazně zkrátit dobu, po které se upozornění zobrazují na portálu Microsoft Defender. V rámci této migrace už nebudou od 5. března na portálu Defender for Cloud Apps dostupné všechny zásady Defenderu for Identity. Jako vždy doporučujeme používat portál Microsoft Defender pro všechna prostředí Defenderu for Identity.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Leden 2023

Defender for Identity verze 2.197

Vydáno 22. ledna 2023

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.196

Vydáno 10. ledna 2023

• Nové upozornění na stav pro ověření správné konfigurace auditování objektů adresářových služeb, jak je popsáno na stránce upozornění na stav.

• Nové upozornění na stav pro ověření, že nastavení napájení senzoru je nakonfigurované pro optimální výkon, jak je popsáno na stránce upozornění na stav.

• Přidali jsme mitre ATT&informace CK do tabulek IdentityLogonEvents, IdentityDirectoryEvents a IdentityQueryEvents v Microsoft Defender XDR Rozšířené proaktivní vyhledávání. Ve sloupci AdditionalFields najdete podrobnosti o technikách útoku a taktikě (kategorii) spojených s některými logickými aktivitami.

• Vzhledem k tomu, že všechny hlavní funkce Microsoft Defender for Identity jsou teď dostupné na portálu Microsoft Defender, nastavení přesměrování portálu se automaticky povolí pro každého tenanta od 31. ledna 2023. Další informace najdete v tématu Přesměrování účtů z Microsoft Defender for Identity na Microsoft Defender XDR.

Prosinec 2022

Defender for Identity verze 2.195

Vydáno 7. prosince 2022

• Datová centra Defenderu for Identity jsou teď také nasazená v oblasti Austrálie – východ. Nejnovější seznam místního nasazení najdete v tématu Součásti Defenderu for Identity.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Listopad 2022

Defender for Identity verze 2.194

Vydáno 10. listopadu 2022

• Nové upozornění na stav pro ověření správné konfigurace rozšířeného auditování adresářových služeb, jak je popsáno na stránce upozornění na stav.

• Některé změny zavedené ve verzi 2.191 defenderu for Identity týkající se upozornění honeytokenu nebyly správně povoleny. Tyto problémy jsou nyní vyřešeny.

• Od konce listopadu už není ruční integrace s Microsoft Defender for Endpoint podporována. Důrazně ale doporučujeme použít portál Microsoft Defender (https://security.microsoft.com), který má integrovanou integraci.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Říjen 2022

Defender for Identity verze 2.193

Vydáno 30. října 2022

• Nová výstraha zabezpečení: Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) pomocí podezřelého certifikátu
  Tato nová technika je spojena s nechvalně proslulým aktérem NOBELIUM a byla přezdívána "MagicWeb" – umožňuje nežádoucímu uživateli implantovat zadní vrátka na ohrožených serverech AD FS, což umožní zosobnění jako jakýkoli uživatel domény a tím přístup k externím prostředkům. Další informace o tomto útoku najdete v tomto blogovém příspěvku.

• Defender for Identity teď může používat účet LocalSystem na řadiči domény k provádění nápravných akcí (povolení/zakázání uživatele, vynucení resetování hesla uživatele) kromě možnosti gMSA, která byla k dispozici dříve. To umožňuje podporu akcí nápravy. Další informace najdete v tématu Microsoft Defender for Identity účty akcí.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.192

Vydáno 23. října 2022

• Nové upozornění na stav pro ověření, jestli je povolené auditování PROTOKOLU NTLM, jak je popsáno na stránce upozornění na stav.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Září 2022

Defender for Identity verze 2.191

Vydáno 19. září 2022

• Další aktivity pro aktivaci upozornění honeytokenu
  Microsoft Defender for Identity nabízí možnost definovat účty honeytokenu, které se používají jako pasti pro aktéry se zlými úmysly. Jakékoli ověřování přidružené k těmto účtům honeytoken (obvykle neaktivní) aktivuje upozornění na aktivitu honeytokenu (externí ID 2014). Novinkou pro tuto verzi je, že všechny dotazy LDAP nebo SAMR na tyto účty honeytokenu aktivují upozornění. Kromě toho se v případě auditování události 5136 aktivuje upozornění, když se změnil jeden z atributů honeytokenu nebo se změnilo členství honeytokenu ve skupině.

Další informace najdete v tématu Konfigurace shromažďování událostí systému Windows.

Defender for Identity verze 2.190

Vydáno 11. září 2022

• Aktualizované hodnocení: Nezabezpečené konfigurace domény
  Posouzení nezabezpečené konfigurace domény, které je dostupné prostřednictvím Microsoft Secure Score, teď vyhodnotí konfiguraci zásad podepisování LDAP řadiče domény a upozorní, pokud najde nezabezpečenou konfiguraci. Další informace najdete v tématu Posouzení zabezpečení: Nezabezpečené konfigurace domény.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.189

Vydáno 4. září 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Srpen 2022

Defender for Identity verze 2.188

Vydáno 28. srpna 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.187

Vydáno 18. srpna 2022

• Změnili jsme určitou logiku toho, jak aktivujeme upozornění Na podezřelý útok DCSync (replikace adresářových služeb) (externí ID 2006). Tento detektor teď pokrývá případy, kdy se zdrojová IP adresa, kterou senzor vidí, jeví jako zařízení NAT.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.186

Vydáno 10. srpna 2022

• Upozornění na stav teď místo názvu netBIOS zobrazí plně kvalifikovaný název domény (FQDN) senzoru.

• Pro zachytávání typu a konfigurace součásti jsou k dispozici nová upozornění na stav, jak je popsáno na stránce upozornění na stav.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Červenec 2022

Defender for Identity verze 2.185

Vydáno 18. července 2022

• Opravili jsme problém, kdy podezřelé použití zlatého lístku (neexistující účet) (externí ID 2027) nesprávně rozpoznalo zařízení s macOS.

• Akce uživatelů: Rozhodli jsme se rozdělit akci Zakázat uživatele na stránce uživatele na dvě různé akce:

  • Zakázat uživatele – tím zakážete uživatele na úrovni služby Active Directory.
  • Pozastavit uživatele – tím zakážete uživatele na úrovni Microsoft Entra ID.

  Chápeme, že doba potřebná k synchronizaci ze služby Active Directory do Microsoft Entra ID může být velmi důležitá, takže teď můžete jednu po druhé zakázat uživatele a odebrat tak závislost na samotné synchronizaci. Všimněte si, že uživatel zakázaný pouze v Microsoft Entra ID bude přepsán službou Active Directory, pokud je tam stále aktivní.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.184

Vydáno 10. července 2022

• Nová posouzení zabezpečení
  Defender for Identity teď obsahuje následující nové posouzení zabezpečení:

  • Nezabezpečené konfigurace domény
    Microsoft Defender for Identity nepřetržitě monitoruje vaše prostředí, aby identifikovala domény s konfiguračními hodnotami, které vystavují bezpečnostní riziko, a sestavy těchto domén, které vám pomůžou při ochraně vašeho prostředí. Další informace najdete v tématu Posouzení zabezpečení: Nezabezpečené konfigurace domény.

• Instalační balíček Defenderu for Identity teď místo ovladačů WinPcap nainstaluje komponentu Npcap. Další informace najdete v tématu Ovladače WinPcap a Npcap.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Červen 2022

Defender for Identity verze 2.183.15436.10558 (oprava hotfix)

Vydáno 20. června 2022 (aktualizováno 4. července 2022)

• Nová výstraha zabezpečení: Podezření na útok DFSCoerce pomocí protokolu DISTRIBUTED File System Protocol
  V reakci na publikování nedávného nástroje útoku, který využívá tok v protokolu DFS, Microsoft Defender for Identity aktivuje výstrahu zabezpečení vždy, když útočník tuto metodu útoku používá. Další informace o tomto útoku najdete v blogovém příspěvku.

Defender for Identity verze 2.183

Vydáno 20. června 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.182

Vydáno 4. června 2022

• K dispozici je nová stránka O programu Defender for Identity. Najdete ho na portálu Microsoft Defender v části Nastavení ->Identity ->About. Poskytuje několik důležitých podrobností o vaší instanci Defenderu for Identity, včetně názvu instance, verze, ID a geografické polohy vaší instance. Tyto informace můžou být užitečné při řešení potíží a otevírání lístků podpory.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Květen 2022

Defender for Identity verze 2.181

Vydáno 22. května 2022

• Nápravné akce teď můžete provádět přímo na místních účtech pomocí Microsoft Defender for Identity.

  • Zakázat uživatele – tím dočasně zabráníte uživateli v přihlášení k síti. Může to pomoct zabránit ohroženým uživatelům v laterálně přesunu a pokusu o exfiltraci dat nebo dalšímu ohrožení sítě.
  • Resetovat heslo uživatele – Při příštím přihlášení se uživateli zobrazí výzva ke změně hesla a zajistí, že tento účet nebude možné použít k dalším pokusům o zosobnění.

  Tyto akce je možné provádět z několika míst v Microsoft Defender XDR: z uživatelské stránky, bočního panelu stránky uživatele, rozšířeného vyhledávání a dokonce i z vlastních detekcí. To vyžaduje nastavení privilegovaného účtu gMSA, který Microsoft Defender for Identity použije k provádění akcí. Další informace o požadavcích najdete v tématu Microsoft Defender for Identity účty akcí.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.180

Vydáno 12. května 2022

• Nová výstraha zabezpečení: Podezřelá změna atributu dNSHostName (CVE-2022-26923)
  V reakci na publikování nedávného CVE Microsoft Defender for Identity aktivuje výstrahu zabezpečení pokaždé, když se útočník pokusí zneužít cve-2022 -26923. Další informace o tomto útoku najdete v blogovém příspěvku.

• Ve verzi 2.177 jsme vydali další aktivity PROTOKOLU LDAP, které může program Defender for Identity pokrýt. Zjistili jsme ale chybu, která způsobuje, že se události nezobrazují a ingestují na portálu Defender for Identity. V této verzi jsme to opravili. Od verze 2.180 platí, že když povolíte id události 1644, nebudete mít jenom přehled o aktivitách LDAP prostřednictvím webových služeb Active Directory, ale také další aktivity LDAP budou zahrnovat uživatele, který aktivitu LDAP provedl na zdrojovém počítači. To platí pro výstrahy zabezpečení a logické aktivity založené na událostech PROTOKOLU LDAP.

• V reakci na nedávné zneužití KrbRelayUp jsme vydali tichý detektor, který nám pomůže vyhodnotit naši reakci na toto zneužití. Tichý detektor nám umožní vyhodnotit účinnost detekce a shromáždit informace na základě událostí, které shromažďujeme. Pokud se ukáže, že tato detekce je ve vysoké kvalitě, vydáme novou výstrahu zabezpečení v příští verzi.

• Vzdálené spuštění kódu přes DNS jsme přejmenovali na Vzdálený pokus o spuštění kódu přes DNS, protože lépe odráží logiku těchto výstrah zabezpečení.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.179

Vydáno 1. května 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Duben 2022

Defender for Identity verze 2.178

Vydáno 10. dubna 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Březen 2022

Defender for Identity verze 2.177

Vydáno 27. března 2022

• Microsoft Defender for Identity teď může monitorovat další dotazy LDAP ve vaší síti. Tyto aktivity LDAP se odesílají přes protokol webové služby Active Directory a fungují jako běžné dotazy LDAP. Pokud chcete mít o těchto aktivitách přehled, musíte na řadičích domény povolit událost 1644. Tato událost zahrnuje aktivity protokolu LDAP ve vaší doméně a primárně se používá k identifikaci nákladná, neefektivní nebo pomalá hledání protokolu LDAP (Lightweight Directory Access Protocol), která obsluhují řadiče domény služby Active Directory. Další informace najdete v tématu Starší konfigurace.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.176

Vydáno 16. března 2022

• Počínaje touto verzí se při instalaci senzoru z nového balíčku zobrazí verze senzoru v části Přidat nebo odebrat programy s úplným číslem verze (například 2.176.x.y) na rozdíl od statické verze 2.0.0.0, která byla zobrazena dříve. Tato verze se bude dál zobrazovat (verze nainstalovaná prostřednictvím balíčku), i když se bude aktualizovat prostřednictvím automatických aktualizací z cloudových služeb Defenderu for Identity. Skutečnou verzi najdete na stránce nastavení senzoru na portálu, ve spustitelné cestě nebo ve verzi souboru.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.175

Vydáno 6. března 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Únor 2022

Defender for Identity verze 2.174

Vydáno 20. února 2022

• Přidali jsme plně kvalifikovaný název domény hostitele účtu, který je součástí výstrahy, do zprávy odeslané do SIEM. Další informace najdete v tématu Microsoft Defender for Identity referenční informace k protokolu SIEM.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.173

Vydáno 13. února 2022

• Všechny Microsoft Defender for Identity funkce jsou teď dostupné na portálu Microsoft Defender. Další informace najdete v tomto blogovém příspěvku.

• Tato verze opravuje problémy při instalaci senzoru na Windows Server 2019 s nainstalovaným KB5009557 nebo na serveru s posílenými oprávněními EventLog.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.172

Vydáno 8. února 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Leden 2022

Defender for Identity verze 2.171

Vydáno 31. ledna 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.170

Vydáno 24. ledna 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.169

Vydáno 17. ledna 2022

• S radostí uvolníme možnost nakonfigurovat účet akce pro Microsoft Defender for Identity. Toto je první krok ve schopnosti provádět akce s uživateli přímo z produktu. Jako první krok můžete definovat účet gMSA, Microsoft Defender for Identity použije k provedení akcí. Důrazně doporučujeme, abyste začali vytvářet tyto uživatele, aby si mohli funkci Akce vychutnat, jakmile bude aktivní. Další informace najdete v tématu Správa účtů akcí.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.168

Vydáno 9. ledna 2022

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Prosinec 2021

Defender for Identity verze 2.167

Vydáno 29. prosince 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.166

Vydáno 27. prosince 2021

• Verze obsahuje novou výstrahu zabezpečení: Podezřelá změna atributu sAMNameAccount (CVE-2021-42278 a CVE-2021-42287 zneužití) (externí ID 2419).
  V reakci na publikování nedávných CVR aktivuje Microsoft Defender for Identity výstrahu zabezpečení pokaždé, když se útočník pokusí zneužít cve-2021-42278 a CVE-2021-42287. Další informace o tomto útoku najdete v blogovém příspěvku.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.165

Vydáno 6. prosince 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Listopad 2021

Defender for Identity verze 2.164

Vydáno 17. listopadu 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.163

Vydáno 8. listopadu 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.162

Vydáno 1. listopadu 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Září 2021

Defender for Identity verze 2.161

Vydáno 12. září 2021

• Verze obsahuje novou monitorovanou aktivitu: heslo účtu gMSA bylo načteno uživatelem. Další informace najdete v tématu Microsoft Defender for Identity monitorovaných aktivit.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Srpen 2021

Defender for Identity verze 2.160

Vydáno 22. srpna 2021

• Verze obsahuje různá vylepšení a pokrývá více scénářů podle nejnovějších změn v rámci využívání PetitPotam.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.159

Vydáno 15. srpna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.
• Verze zahrnuje vylepšení nově publikované výstrahy: Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol (externí ID 2416).
  Rozšířili jsme podporu tohoto zjišťování, aby se aktivovalo, když potenciální útočník komunikuje přes šifrovaný kanál EFS-RPCchannel. Výstrahy aktivované při zašifrování kanálu se budou považovat za výstrahu střední závažnosti na rozdíl od výstrahy Vysoké, pokud není zašifrovaná. Další informace o upozornění najdete v tématu Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol (externí ID 2416).

Defender for Identity verze 2.158

Vydáno 8. srpna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

• Verze obsahuje novou výstrahu zabezpečení: Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol (externí ID 2416).
  Při tomto zjišťování Microsoft Defender for Identity aktivuje výstrahu zabezpečení pokaždé, když se útočník pokusí zneužít efs-RPC proti řadiči domény. Tento vektor útoku je přidružený k nedávnému útoku PetitPotam. Další informace o upozornění najdete v tématu Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol (externí ID 2416).

• Verze obsahuje novou výstrahu zabezpečení: Exchange Server vzdálené spuštění kódu (CVE-2021-26855) (externí ID 2414)
  Při tomto zjišťování Microsoft Defender for Identity aktivuje výstrahu zabezpečení pokaždé, když se útočník pokusí změnit atribut "msExchExternalHostName" u objektu Exchange pro vzdálené spuštění kódu. Další informace o této výstraze najdete v tématu Exchange Server vzdálené spuštění kódu (CVE-2021-26855) (externí ID 2414). Toto zjišťování závisí na události Windows 4662, takže musí být povolené předem. Informace o tom, jak nakonfigurovat a shromáždit tuto událost, najdete v tématu Konfigurace shromažďování událostí systému Windows a postupujte podle pokynů pro povolení auditování u objektu Exchange.

Defender for Identity verze 2.157

Vydáno 1. srpna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Červenec 2021

Defender for Identity verze 2.156

Vydáno 25. července 2021

• Od této verze přidáváme spustitelný soubor ovladače Npcap do instalačního balíčku senzoru. Další informace najdete v tématu Ovladače WinPcap a Npcap.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.155

Vydáno 18. července 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.154

Vydáno 11. července 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.
• Verze obsahuje přidaná vylepšení a detekce zneužití služby zařazování tisku označované jako detekce PrintNightmare, aby bylo možné pokrýt další scénáře útoku.

Defender for Identity verze 2.153

Vydáno 4. července 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

• Verze obsahuje novou výstrahu zabezpečení: Podezřelý pokus o zneužití služby zařazování tisku systému Windows (CVE-2021-34527 zneužití) (externí ID 2415).

  Při této detekci defender for Identity aktivuje výstrahu zabezpečení pokaždé, když se útočník pokusí zneužít službu zařazování tisku systému Windows proti řadiči domény. Tento vektor útoku je přidružen ke zneužití zařazování tisku a je známý jako PrintNightmare. Přečtěte si další informace o tomto upozornění.

Červen 2021

Defender for Identity verze 2.152

Vydáno 27. června 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.151

Vydáno 20. června 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.150

Vydáno 13. června 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

květen 2021

Defender for Identity verze 2.149

Vydáno 31. května 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.148

Vydáno 23. května 2021

• Pokud nakonfigurujete a shromáždíte ID události 4662, Defender for Identity nahlásí, který uživatel provedl změnu pořadového čísla aktualizace (USN) na různé vlastnosti objektu služby Active Directory. Pokud se například změní heslo účtu a je povolená událost 4662, událost zaznamená, kdo heslo změnil.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.147

Vydáno 9. května 2021

• Na základě zpětné vazby zákazníků zvyšujeme výchozí počet povolených senzorů z 200 na 350 a přihlašovacích údajů adresářových služeb z 10 na 30.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.146

Vydáno 2. května 2021

• Email oznámení o problémech se stavem i výstrahách zabezpečení teď budou obsahovat adresu URL šetření pro Microsoft Defender for Identity i Microsoft Defender XDR.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

duben 2021

Defender for Identity verze 2.145

Vydáno 22. dubna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.144

Vydáno 12. dubna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

březen 2021

Defender for Identity verze 2.143

Vydáno 14. března 2021

• Přidali jsme událost Windows 4741, která zjišťuje účty počítačů přidané do aktivit služby Active Directory . Nakonfigurujte novou událost tak, aby ji shromáždil Defender for Identity. Po nakonfigurování budou shromážděné události k dispozici k zobrazení v protokolu aktivit i v Microsoft Defender XDR rozšířeném proaktivním vyhledávání.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.142

Vydáno 7. března 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

únor 2021

Defender for Identity verze 2.141

Vydáno 21. února 2021

• Nová výstraha zabezpečení: Podezřelý útok AS-REP Roasting (externí ID 2412)
  Nyní je k dispozici výstraha zabezpečení pro podezření na útok AS-REP Roasting (externí ID 2412) služby Defender for Identity. Při této detekci se aktivuje výstraha zabezpečení defenderu for Identity, když útočník zacílí na účty se zakázaným předběžným ověřením kerberos a pokusí se získat data protokolu Kerberos TGT. Záměrem útočníka může být extrakce přihlašovacích údajů z dat pomocí offline útoků na prolomení hesla. Další informace najdete v tématu Vystavení při pražení protokolu Kerberos AS-REP (externí ID 2412).
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.140

Vydáno 14. února 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

leden 2021

Defender for Identity verze 2.139

Vydáno 31. ledna 2021

• Aktualizovali jsme závažnost podezřelého hlavního názvu služby Kerberos na vysokou, aby lépe odrážela dopad výstrahy. Další informace o upozornění najdete v tématu Podezření na ohrožení hlavního názvu služby Kerberos (externí ID 2410).
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.138

Vydáno 24. ledna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.137

Vydáno 17. ledna 2021

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.136

Vydáno 3. ledna 2021

• Defender for Identity teď podporuje instalaci senzorů na servery Active Directory Federation Services (AD FS) (AD FS). Instalace senzoru na kompatibilní servery AD FS rozšiřuje Microsoft Defender for Identity přehled o hybridním prostředí monitorováním této důležité součásti infrastruktury. Aktualizovali jsme také některé z našich stávajících detekcí (vytvoření podezřelé služby, útoku podezřelou hrubou silou (LDAP), rekognoskace výčtu účtů) tak, aby fungovaly i na datech služby AD FS. Pokud chcete zahájit nasazení senzoru Microsoft Defender for Identity pro server SLUŽBY AD FS, stáhněte si nejnovější balíček nasazení ze stránky konfigurace senzoru.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Prosinec 2020

Defender for Identity verze 2.135

Vydáno 20. prosince 2020

• Vylepšili jsme upozornění na rekognoskaci atributů služby Active Directory (LDAP) (externí ID 2210) tak, aby také detekovalo techniky používané k získání informací potřebných ke generování tokenů zabezpečení, například v rámci kampaně Solorigate.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.134

Vydáno 13. prosince 2020

• Náš nedávno vydaný detektor NetLogon byl vylepšen tak, aby fungoval i v případě, že transakce kanálu Netlogon probíhá přes šifrovaný kanál. Další informace o detektoru najdete v tématu Podezřelý pokus o zvýšení oprávnění Netlogon.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.133

Vydáno 6. prosince 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Listopad 2020

Defender for Identity verze 2.132

Vydáno 17. listopadu 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Defender for Identity verze 2.131

Vydáno 8. listopadu 2020

• Nová výstraha zabezpečení: Podezření na ohrožení hlavního názvu služby Kerberos (externí ID 2410)
  Teď je k dispozici výstraha zabezpečení s podezřením na ohrožení hlavního názvu služby Kerberos (externí ID 2410) služby Defender for Identity. Při této detekci se aktivuje výstraha zabezpečení Defenderu for Identity, když útočník vytvoří výčet účtů služby a jejich příslušných hlavních názvů služeb a pak pro tyto služby požádá o lístky Kerberos TGS. Záměrem útočníka může být extrahovat hodnoty hash z lístků a uložit je pro pozdější použití při offline útocích hrubou silou. Další informace najdete v tématu Ohrožení hlavního názvu služby (SPN) protokolu Kerberos.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Říjen 2020

Defender for Identity verze 2.130

Vydáno 25. října 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.129

Vydáno 18. října 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Září 2020

Azure ATP verze 2.128

Vydáno 27. září 2020

• Změna konfigurace e-mailových oznámení
  Odebíráme přepínače e-mailových oznámení pro zapnutí e-mailových oznámení. Pokud chcete dostávat e-mailová oznámení, jednoduše přidejte adresu. Další informace najdete v tématu Nastavení oznámení.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.127

Vydáno 20. září 2020

• Nové upozornění zabezpečení: Podezřelý pokus o zvýšení oprávnění Netlogon (externí ID 2411)
  Nyní je k dispozici výstraha zabezpečení s podezřením na pokus o zvýšení oprávnění Netlogon služby Azure ATP (zneužití cve-2020-1472) (externí ID 2411). Při této detekci se aktivuje výstraha zabezpečení Azure ATP, když útočník naváže připojení zabezpečeného kanálu Netlogon k řadiči domény pomocí protokolu Netlogon Remote Protocol (MS-NRPC), označovaného také jako ohrožení zabezpečení z důvodu zvýšení oprávnění netlogonu. Další informace najdete v tématu Podezřelý pokus o zvýšení oprávnění Netlogon.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.126

Vydáno 13. září 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.125

Vydáno 6. září 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Srpen 2020

Azure ATP verze 2.124

Vydáno 30. srpna 2020

• Nové výstrahy zabezpečení
  Výstrahy zabezpečení Azure ATP teď zahrnují následující nové detekce:
  • Rekognoskace atributů služby Active Directory (LDAP) (externí ID 2210)
    Při této detekci se aktivuje výstraha zabezpečení Azure ATP, když je útočník podezřelý z úspěšného získání důležitých informací o doméně pro použití v řetězci ukončení útoku. Další informace najdete v tématu Rekognoskace atributů služby Active Directory.
  • Podezření na zneužití podvodného certifikátu Kerberos (externí ID 2047)
    Při této detekci se výstraha zabezpečení Azure ATP aktivuje v případě, že útočník, který získal kontrolu nad organizací tím, že zneužil zabezpečení serveru certifikační autority, je podezřelý z vygenerování certifikátů, které lze použít jako účty zadních vrátek při budoucích útocích, jako je například laterálně přesun ve vaší síti. Další informace najdete v tématu Podezření na zneužití podvodného certifikátu Kerberos.
  • Podezření na využití zlatého lístku (anomálie lístku pomocí RBCD) (externí ID 2040)
    Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek TGT (Ticket-Grant Ticket) protokolu Kerberos, který poskytuje autorizaci pro libovolný prostředek.
    Tento zkameněný TGT se nazývá "zlatý lístek", protože umožňuje útočníkům dosáhnout trvalé trvalosti sítě pomocí omezeného delegování na základě prostředků (RBCD). Kované zlaté lístky tohoto typu mají jedinečné vlastnosti, které tato nová detekce identifikuje. Další informace najdete v tématu Podezřelé využití zlatého lístku (anomálie lístků pomocí RBCD).
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.123

Vydáno 23. srpna 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.122

Vydáno 16. srpna 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.121

Vydáno 2. srpna 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Červenec 2020

Azure ATP verze 2.120

Vydáno 26. července 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.119

Vydáno 5. července 2020

• Vylepšení funkcí: Nová karta Vyloučené řadiče domény v excelové sestavě
  Abychom zlepšili přesnost výpočtu pokrytí řadiče domény, vyloučíme řadiče domény s externími vztahy důvěryhodnosti z výpočtu směrem k dosažení 100% pokrytí. Vyloučené řadiče domény se zobrazí na nové kartě vyloučené řadiče domény ve stažení sestavy Excelu pokrytí domény. Informace o stažení sestavy najdete v tématu Stav řadiče domény.
• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Červen 2020

Azure ATP verze 2.118

Vydáno 28. června 2020

• Nová posouzení zabezpečení
  Posouzení zabezpečení Azure ATP teď zahrnují následující nová hodnocení:

  • Nejrizičí cesty laterálního pohybu
    Toto hodnocení nepřetržitě monitoruje vaše prostředí, aby identifikovalo citlivé účty s nejrizičími cestami laterálního pohybu, které vystavují bezpečnostní riziko, a sestavy těchto účtů, které vám pomůžou při správě prostředí. Cesty se považují za rizikové, pokud mají tři nebo více necitlivých účtů, které můžou vystavit citlivý účet krádeži přihlašovacích údajů ze strany zlými úmysly. Další informace najdete v tématu Posouzení zabezpečení: Nejrizičí cesty laterálního pohybu (LMP).
  • Nezabezpečené atributy účtu
    Toto hodnocení Azure ATP nepřetržitě monitoruje vaše prostředí, aby identifikovala účty s hodnotami atributů, které vystavují bezpečnostní riziko, a hlásí o těchto účtech, aby vám pomohla chránit vaše prostředí. Další informace najdete v tématu Posouzení zabezpečení: Nezabezpečené atributy účtu.

• Aktualizovaná definice citlivosti
  Rozšiřujeme definici citlivosti pro místní účty tak, aby zahrnovala entity, které mají povoleno používat replikaci služby Active Directory.

Azure ATP verze 2.117

Vydáno 14. června 2020

• Vylepšení funkcí: Další podrobnosti o aktivitě jsou k dispozici ve sjednoceném prostředí SecOps.
  Rozšířili jsme informace o zařízení, které odesíláme do Defender for Cloud Apps, včetně názvů zařízení, IP adres, hlavních názvů uživatelů účtu a použitých portů. Další informace o integraci s Defender for Cloud Apps najdete v tématu Použití Azure ATP s Defender for Cloud Apps.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.116

Vydáno 7. června 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Květen 2020

Azure ATP verze 2.115

Vydáno 31. května 2020

• Nová posouzení zabezpečení
  Posouzení zabezpečení Azure ATP teď zahrnují následující nová hodnocení:

  • Nezabezpečené atributy historie SID
    Toto hodnocení hlásí atributy historie identifikátorů SID, které můžou útočníci se zlými úmysly použít k získání přístupu k vašemu prostředí. Další informace najdete v tématu Posouzení zabezpečení: Nezabezpečené atributy historie SID.
  • Využití Microsoft LAPS
    Toto hodnocení hlásí účty místních správců, které nepoužívají řešení microsoftu LAPS (Local Administrator Password Solution) k zabezpečení hesel. Použití nástroje LAPS zjednodušuje správu hesel a také pomáhá chránit před kybernetickými útoky. Další informace najdete v tématu Posouzení zabezpečení: Využití Microsoft LAPS.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.114

Vydáno 17. května 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.113

Vydáno 5. května 2020

• Vylepšení funkcí: Rozšířená aktivita přístupu k prostředkům s protokolem NTLMv1
  Od této verze teď Azure ATP poskytuje informace o aktivitách přístupu k prostředkům, které ukazují, jestli prostředek používá ověřování NTLMv1. Tato konfigurace prostředků je nezabezpečená a představuje riziko, že aktéři se zlými úmysly můžou aplikaci vynutit ve svůj prospěch. Další informace o riziku najdete v tématu Využití starších protokolů.

• Vylepšení funkcí: Upozornění na podezřelý útok hrubou silou (Kerberos, NTLM)
  Útok hrubou silou útočníci využívají k získání opony ve vaší organizaci a je klíčovou metodou zjišťování hrozeb a rizik v Azure ATP. Abychom vám pomohli soustředit se na kritická rizika pro vaše uživatele, tato aktualizace usnadňuje a urychluje analýzu a nápravu rizik tím, že omezuje a upřednostňuje objem výstrah.

Březen 2020

Azure ATP verze 2.112

Vydáno 15. března 2020

• Nové instance Azure ATP se automaticky integrují s Microsoft Defender for Cloud Apps
  Při vytváření instance Azure ATP (dříve instance) je integrace s Microsoft Defender for Cloud Apps ve výchozím nastavení povolená. Další informace o integraci najdete v tématu Použití Azure ATP s Microsoft Defender for Cloud Apps.

• Nové monitorované aktivity
  Nyní jsou k dispozici následující monitorování aktivit:

  • Interaktivní přihlášení pomocí certifikátu

  • Neúspěšné přihlášení s certifikátem

  • Delegovaný přístup k prostředkům

    Přečtěte si další informace o tom, které aktivity Azure ATP monitoruje, a o tom, jak filtrovat a prohledávat monitorované aktivity na portálu.

• Vylepšení funkcí: Aktivita rozšířeného přístupu k prostředkům
  Od této verze teď Azure ATP poskytuje informace o aktivitách přístupu k prostředkům, které ukazují, jestli je prostředek důvěryhodný pro nespoutané delegování. Tato konfigurace prostředků je nezabezpečená a představuje riziko, že aktéři se zlými úmysly můžou aplikaci vynutit ve svůj prospěch. Další informace o riziku najdete v tématu Posouzení zabezpečení: Nezabezpečené delegování protokolu Kerberos.

• Podezření na manipulaci s pakety SMB (CVE-2020-0796 zneužití) – (Preview)
  Výstraha zabezpečení Pro podezření na manipulaci s pakety SMB v Azure ATP je teď ve verzi Public Preview. Při této detekci se aktivuje výstraha zabezpečení Azure ATP, když paket SMBv3 podezřelý z zneužití chyby zabezpečení CVE-2020-0796 vůči řadiči domény v síti.

Azure ATP verze 2.111

Vydáno 1. března 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Únor 2020

Azure ATP verze 2.110

Vydáno 23. února 2020

• Nové posouzení zabezpečení: Nemonitorované řadiče domény
  Posouzení zabezpečení Azure ATP teď zahrnují sestavu nemonitorovaných řadičů domény, serverů bez senzoru, která vám pomůže se správou úplného pokrytí vašeho prostředí. Další informace najdete v tématu Nemonitorované řadiče domény.

Azure ATP verze 2.109

Vydáno 16. února 2020

• Vylepšení funkcí: Citlivé entity
  Od této verze (2.109) jsou teď počítače, které Azure ATP identifikoval jako certifikační autorita, DHCP nebo servery DNS, automaticky označené jako citlivé.

Azure ATP verze 2.108

Vydáno 9. února 2020

• Nová funkce: Podpora skupinových účtů spravované služby
  Azure ATP teď podporuje použití skupinových účtů spravované služby (gMSA) pro lepší zabezpečení při připojování senzorů Azure ATP k vašim Microsoft Entra doménovým strukturám. Další informace o používání gMSA se senzory Azure ATP najdete v tématu Připojení k doménové struktuře Služby Active Directory.

• Vylepšení funkcí: Naplánovaná sestava s příliš velkým objemem dat
  Pokud má naplánovaná sestava příliš mnoho dat, e-mail vás teď informuje o skutečnosti zobrazením následujícího textu: Během zadaného období bylo příliš mnoho dat na to, aby se sestava vygenerovala. Tím se nahradí předchozí chování zjišťování faktu pouze po kliknutí na odkaz sestavy v e-mailu.

• Vylepšení funkcí: Aktualizovaná logika pokrytí řadiče domény
  Aktualizovali jsme logiku sestavy pokrytí řadiče domény tak, aby obsahovala další informace z Microsoft Entra ID, což vede k přesnějšímu zobrazení řadičů domény bez snímačů. Tato nová logika by také měla mít pozitivní vliv na odpovídající bezpečnostní skóre Microsoftu.

Azure ATP verze 2.107

Vydáno 3. února 2020

• Nová monitorovaná aktivita: Změna historie SID
  Změna historie IDENTIFIKÁTORŮ SID je teď monitorovanou a filtrovatelnou aktivitou. Přečtěte si další informace o tom, které aktivity Azure ATP monitoruje, a o tom, jak filtrovat a prohledávat monitorované aktivity na portálu.

• Vylepšení funkcí: Zavřená nebo potlačovaná upozornění se už znovu neotevřejí.
  Jakmile se výstraha na portálu Azure ATP zavře nebo potlačí a během krátké doby se znovu zjistí stejná aktivita, otevře se nová výstraha. Dříve se za stejných podmínek výstraha znovu otevřela.

• Vyžaduje se protokol TLS 1.2 pro přístup k portálu a senzory.
  K používání senzorů Azure ATP a cloudové služby se teď vyžaduje protokol TLS 1.2. Přístup k portálu Azure ATP už nebude možný pomocí prohlížečů, které nepodporují protokol TLS 1.2.

Leden 2020

Azure ATP verze 2.106

Vydáno 19. ledna 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.105

Vydáno 12. ledna 2020

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Prosinec 2019

Azure ATP verze 2.104

Vydáno 23. prosince 2019

• Eliminováno vypršení platnosti verzí senzoru
  Nasazení senzorů Azure ATP a instalační balíčky senzorů už nevyprší platnost po několika verzích a teď se aktualizují jenom jednou. Výsledkem této funkce je, že dříve stažené instalační balíčky senzorů se teď dají nainstalovat, i když jsou starší než náš maximální počet vyřazených verzí.

• Potvrdit ohrožení zabezpečení
  Teď můžete potvrdit ohrožení zabezpečení konkrétních uživatelů Microsoftu 365 a nastavit jejich úroveň rizika na vysokou. Tento pracovní postup umožňuje týmům pro operace zabezpečení další možnost reakce, aby se snížily prahové hodnoty času k vyřešení incidentů zabezpečení. Přečtěte si další informace o tom, jak ověřit ohrožení zabezpečení pomocí Azure ATP a Defender for Cloud Apps.

• Banner nového prostředí
  Na stránkách portálu Azure ATP, kde je na portálu Defender for Cloud Apps k dispozici nové prostředí, se zobrazují nové bannery s popisem dostupných přístupových odkazů.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.103

Vydáno 15. prosince 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.102

Vydáno 8. prosince 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Listopad 2019

Azure ATP verze 2.101

Vydáno 24. listopadu 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.100

Vydáno 17. listopadu 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.99

Vydáno 3. listopadu 2019

• Vylepšení funkcí: Přidání oznámení uživatelského rozhraní o dostupnosti portálu Defender for Cloud Apps na portál Azure ATP
  Aby všichni uživatelé věděli o dostupnosti rozšířených funkcí dostupných na portálu Defender for Cloud Apps, přidali jsme pro portál oznámení z existující časové osy upozornění Azure ATP.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

říjen 2019

Azure ATP verze 2.98

Vydáno 27. října 2019

• Vylepšení funkcí: Upozornění na útok hrubou silou
  Vylepšili jsme upozornění na podezřelý útok hrubou silou (SMB) pomocí další analýzy a vylepšili logiku detekce, aby se snížily výsledky neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP).

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.97

Vydáno 6. října 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

září 2019

Azure ATP verze 2.96

Vydáno 22. září 2019

• Rozšířená ověřovací data PROTOKOLU NTLM pomocí události 8004 systému Windows
  Když je povolené auditování PROTOKOLU NTLM a je zapnutá událost Windows 8004, senzory Azure ATP teď můžou automaticky číst a rozšiřovat aktivity ověřování NTLM o data vašeho serveru. Azure ATP analyzuje událost Windows 8004 pro ověřování NTLM za účelem obohacení ověřovacích dat NTLM používaných pro analýzu hrozeb a výstrahy Azure ATP. Tato rozšířená funkce poskytuje aktivitu přístupu k prostředkům přes data protokolu NTLM a také rozšířené aktivity neúspěšného přihlášení, včetně cílového počítače, ke kterému se uživatel pokusil, ale nepodařilo se mu získat přístup.

  Přečtěte si další informace o aktivitách ověřování NTLM pomocí události 8004 systému Windows.

• Verze také zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.95

Vydáno 15. září 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.94

Vydáno 8. září 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.93

Vydáno 1. září 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

srpen 2019

Azure ATP verze 2.92

Vydáno 25. srpna 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.91

Vydáno 18. srpna 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.90

Vydáno 11. srpna 2019

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.89

Vydáno 4. srpna 2019

• Vylepšení metody senzoru
  Aby se zabránilo nadměrnému generování provozu NTLM při vytváření přesných posouzení cesty laterálního pohybu (LMP), byly provedeny vylepšení metod snímačů Azure ATP tak, aby se méně spoléhaly na využití protokolu NTLM a výrazněji využívaly protokol Kerberos.

• Vylepšení upozornění: Podezřelé použití zlatého lístku (neexistující účet)
  Změny názvů SAM byly přidány do podpůrných typů důkazů uvedených v tomto typu výstrahy. Další informace o upozornění, včetně toho, jak zabránit tomuto typu aktivity a jak ji napravit, najdete v tématu o podezřelém využití zlatého lístku (neexistující účet).

• Obecná dostupnost: Podezřelá manipulace s ověřováním NTLM
  Upozornění na podezřelou manipulaci s ověřováním NTLM už není v režimu preview a je teď obecně dostupné.

• Verze zahrnuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

červenec 2019

Azure ATP verze 2.88

Vydáno 28. července 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.87

Vydáno 21. července 2019

• Vylepšení funkcí: Automatizované shromažďování událostí Syslogu pro samostatné senzory Azure ATP
  Příchozí připojení Syslogu pro samostatné senzory Azure ATP jsou teď plně automatizovaná, přičemž možnost přepínače se odebere z obrazovky konfigurace. Tyto změny nemají žádný vliv na odchozí připojení Syslogu.

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.86

Vydáno 14. července 2019

• Nová výstraha zabezpečení: Podezření na manipulaci s ověřováním NTLM (externí ID 2039)
  Nová výstraha zabezpečení Pro podezření na manipulaci s ověřováním NTLM v Azure ATP je teď ve verzi Public Preview. Při této detekci se aktivuje výstraha zabezpečení Azure ATP, když je podezření na použití útoku "man-in-the-middle" z úspěšného obejití kontroly integrity zpráv NTLM (MIC), což je chyba zabezpečení podrobně popsána v článku Microsoft CVE-2019-040. Tyto typy útoků se pokoušejí downgradovat funkce zabezpečení NTLM a úspěšně se ověřit s konečným cílem provést úspěšné laterální pohyby.

• Vylepšení funkcí: Identifikace rozšířeného operačního systému zařízení
  Azure ATP doteď poskytovala informace o operačním systému zařízení entit na základě dostupného atributu ve službě Active Directory. Pokud dříve nebyly informace o operačním systému dostupné ve službě Active Directory, nebyly dostupné ani na stránkách entit Azure ATP. Od této verze teď Azure ATP poskytuje tyto informace pro zařízení, kde Active Directory tyto informace nemá nebo nejsou zaregistrovaná ve službě Active Directory, pomocí metod identifikace rozšířeného operačního systému zařízení.

  Přidání obohacených identifikačních dat operačního systému pomáhá identifikovat neregistrovaná zařízení a zařízení bez Windows a současně pomáhá při vyšetřování. Další informace o překladu síťových názvů v Azure ATP najdete v tématu Principy překladu síťových názvů (NNR).

• Nová funkce: Ověřený proxy server – Preview
  Azure ATP teď podporuje ověřený proxy server. Zadejte adresu URL proxy serveru pomocí příkazového řádku senzoru a zadejte Uživatelské jméno a heslo pro použití proxy serverů, které vyžadují ověření. Další informace o použití ověřeného proxy serveru najdete v tématu Konfigurace proxy serveru.

• Vylepšení funkcí: Proces automatizovaného synchronizátoru domény
  Proces určení a označování řadičů domény jako kandidátů na synchronizátora domény během instalace a probíhající konfigurace je teď plně automatizovaný. Možnost přepínacího tlačítka pro ruční výběr řadičů domény jako kandidátů na synchronizátora domény se odebere.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.85

Vydáno 7. července 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.84

Vydáno 1. července 2019

• Nová podpora umístění: Datové centrum Azure Pro Spojené království
  Instance Azure ATP se teď podporují v datacentru Azure pro Spojené království. Další informace o vytváření instancí Azure ATP a jejich odpovídajících umístěních datacentra najdete v kroku 1 instalace Azure ATP.

• Vylepšení funkcí: Nový název a funkce pro upozornění Na podezřelé přidání citlivých skupin (externí ID 2024)
  Upozornění Na podezřelé přidání citlivých skupin se dříve jmenovalo Upozornění Na podezřelé změny citlivých skupin . Externí ID výstrahy (ID 2024) zůstává stejné. Změna popisného názvu přesněji odráží účel upozorňování na přidání do citlivých skupin. Vylepšené upozornění obsahuje také nové důkazy a vylepšené popisy. Další informace najdete v tématu Podezřelá přidání do citlivých skupin.

• Nová funkce dokumentace: Průvodce přechodem z Advanced Threat Analytics na Azure ATP
  Tento nový článek obsahuje požadavky, pokyny k plánování a také kroky konfigurace a ověření pro přechod z ATA na službu Azure ATP. Další informace najdete v tématu Přechod z ATA na Azure ATP.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Červen 2019

Azure ATP verze 2.83

Vydáno 23. června 2019

• Vylepšení funkcí: Upozornění na podezřelé vytvoření služby (externí ID 2026)
  Toto upozornění teď obsahuje vylepšenou stránku upozornění s dalšími důkazy a novým popisem. Další informace najdete v tématu Výstraha zabezpečení podezřelého vytvoření služby.

• Podpora pojmenování instancí: Přidání podpory pro předponu domény pouze číslice
  Přidali jsme podporu pro vytváření instancí Azure ATP pomocí počátečních předpon domén, které obsahují pouze číslice. Teď se například podporuje použití pouze počátečních předpon domény číslic, jako je 123456.contoso.com.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.82

Vydáno 18. června 2019

• Nová verze Public Preview
  Prostředí pro zkoumání hrozeb identity v Azure ATP je teď ve verzi Public Preview a dostupné pro všechny tenanty chráněné službou Azure ATP. Další informace najdete v tématu Prostředí pro šetření Microsoft Defender for Cloud Apps Azure ATP.

• Obecná dostupnost
  Podpora Azure ATP pro nedůvěryhodné doménové struktury je teď obecně dostupná. Další informace najdete v tématu Azure ATP s více doménovými strukturami .

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.81

Vydáno 10. června 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.80

Vydáno 2. června 2019

• Vylepšení funkcí: Upozornění na podezřelé připojení VPN
  Tato výstraha teď obsahuje vylepšené důkazy a texty pro lepší použitelnost. Další informace o funkcích upozornění a navrhovaných nápravných krocích a prevenci najdete v popisu upozornění na podezřelé připojení VPN.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Květen 2019

Azure ATP verze 2.79

Vydáno 26. května 2019

• Obecná dostupnost: Průzkum objektů zabezpečení (LDAP) (externí ID 2038)

  Toto upozornění je teď ve stavu GA (obecná dostupnost). Další informace o výstrahách, funkcích upozornění a navrhované nápravě a prevenci najdete v popisu výstrahy protokolu LDAP (Security Principal Reconnaissance).

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.78

Vydáno 19. května 2019

• Vylepšení funkcí: Citlivé entity
  Ruční citlivé označování pro servery Exchange

  Entity teď můžete během konfigurace ručně označit jako servery Exchange.

  Ruční označení entity jako Exchange Server:

  1. Na portálu Azure ATP vyberte Konfigurace.
  2. V části Detekce vyberte Značky entit a pak vyberte Citlivé.
  3. Vyberte Exchange Servers a pak přidejte entitu, kterou chcete označit.

  Po označení počítače jako Exchange Server se počítač označí jako Citlivý a zobrazí se, že byl označený jako Exchange Server. Značka Citlivé se zobrazí v profilu entity počítače a počítač se bude brát v úvahu ve všech detekcích založených na citlivých účtech a cestách laterálního pohybu.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.77

Vydáno 12. května 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.76

Vydáno 6. května 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Duben 2019

Azure ATP verze 2.75

Vydáno 28. dubna 2019

• Vylepšení funkcí: Citlivé entity
  Od této verze (2.75) se počítače, které Služba Azure ATP identifikovala jako servery Exchange, automaticky označí jako citlivé.

  Entity, které jsou automaticky označené jako citlivé , protože fungují jako servery Exchange, uvádějí tuto klasifikaci jako důvod, proč jsou označené.

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.74

Vydání 14. dubna 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.73

Vydáno 10. dubna 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

březen 2019

Azure ATP verze 2.72

Vydáno 31. března 2019

• Vylepšení funkcí: Hloubka v rozsahu LMP (Lateral Movement Path)
  Cesty laterálního pohybu (LVP) jsou klíčovou metodou zjišťování hrozeb a rizik v Azure ATP. Abychom se mohli soustředit na kritická rizika pro nejcitlivější uživatele, tato aktualizace usnadňuje a urychluje analýzu a nápravu rizik pro citlivé uživatele v každém LMP tím, že omezuje rozsah a hloubku každého zobrazeného grafu.

  Další informace o tom, jak Azure ATP využívá LVP k zobrazení rizik přístupu k jednotlivým entitám ve vašem prostředí, najdete v tématu Cesty laterálního pohybu .

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.71

Vydáno 24. března 2019

• Vylepšení funkcí: Upozornění na stav překladu síťových názvů (NNR)
  Přidali jsme upozornění na stav pro úrovně spolehlivosti spojené s výstrahami zabezpečení Azure ATP, které jsou založené na npr. Každé upozornění na stav obsahuje užitečná a podrobná doporučení, která vám pomůžou vyřešit nízkou míru úspěšnosti NNR.

  Další informace o tom, jak Azure ATP používá službu NNR a proč je důležité pro přesnost upozornění, najdete v tématu Co je překlad síťových názvů.

• Podpora serveru: Přidání podpory pro Server 2019 s využitím KB4487044
  Byla přidána podpora pro použití Windows Server 2019 s úrovní opravy KB4487044. Použití Serveru 2019 bez opravy se nepodporuje a od této aktualizace je blokováno.

• Vylepšení funkcí: Vyloučení upozornění na základě uživatelů
  Rozšířené možnosti vyloučení výstrah teď umožňují vyloučit konkrétní uživatele z konkrétních výstrah. Vyloučení můžou pomoct vyhnout se situacím, kdy použití nebo konfigurace určitých typů interního softwaru opakovaně aktivovalo neškodné výstrahy zabezpečení.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.70

Vydáno 17. března 2019

• Vylepšení funkcí: Úroveň spolehlivosti překladu síťových názvů (NNR) byla přidána k několika upozorněním Překlad síťových názvů (NNR) se používá k pozitivní identifikaci identity zdrojové entity podezřelých útoků. Přidáním úrovní spolehlivosti NNR do seznamů důkazů výstrah Azure ATP teď můžete okamžitě vyhodnotit a pochopit úroveň spolehlivosti NNR související s možnými identifikovanými zdroji a odpovídajícím způsobem napravit.

  Do následujících výstrah byly přidány důkazy o úrovni spolehlivosti NNR:

  • Rekognoskace mapování sítě (DNS)
  • Podezření na krádež identity (pass-the-ticket)
  • Podezřelý útok na přenos protokolu NTLM (účet Exchange)-Preview
  • Podezřelý útok DCSync (replikace adresářových služeb)

• Další scénář upozornění na stav: Službu senzoru Azure ATP se nepodařilo spustit
  V případech, kdy se senzor Azure ATP nepodařilo spustit kvůli problému se zachytáváním ovladače sítě, se teď aktivuje upozornění na stav senzoru. Řešení potíží se senzorem Azure ATP s protokoly Azure ATP , kde najdete další informace o protokolech Azure ATP a o tom, jak je používat.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.69

Vydáno 10. března 2019

• Vylepšení funkcí: Upozornění na podezření na krádež identity (pass-the-ticket) Tato výstraha teď obsahuje nové důkazy ukazující podrobnosti o připojeních vytvořená pomocí protokolu RDP (Remote Desktop Protocol). Přidané důkazy usnadňují nápravu známého problému (B-TP) Benign-True pozitivních výstrah způsobených použitím funkce Remote Credential Guard přes připojení RDP.

• Vylepšení funkcí: Vzdálené spuštění kódu přes upozornění DNS
  Tato výstraha teď obsahuje nové důkazy o stavu aktualizace zabezpečení řadiče domény, které vás informují, když se vyžadují aktualizace.

• Nová funkce dokumentace: Azure ATP Security alert MITRE ATT&CK Matrix™
  Abychom vysvětlili a usnadnili mapování vztahu mezi výstrahami zabezpečení Azure ATP a známým mitre ATT&CK Matrix, přidali jsme do výpisů výstrah zabezpečení Azure ATP příslušné techniky MITRE. Tento další odkaz usnadňuje pochopení techniky podezření na útok, která se může používat při aktivaci výstrahy zabezpečení Azure ATP. Přečtěte si další informace o průvodci upozorněními zabezpečení Azure ATP.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.68

Vydáno 3. března 2019

• Vylepšení funkcí: Upozornění na podezřelý útok hrubou silou (LDAP)
  Byla provedena významná vylepšení použitelnosti této výstrahy zabezpečení, včetně revidovaného popisu, poskytnutí dalších informací o zdroji a podrobností o pokusu o odhad pro rychlejší nápravu.
  Přečtěte si další informace o výstrahách zabezpečení s podezřením na útok hrubou silou (LDAP).

• Nová funkce dokumentace: Testovací prostředí pro výstrahy zabezpečení
  Abychom vysvětlili sílu Azure ATP při zjišťování skutečných hrozeb pro vaše pracovní prostředí, přidali jsme do této dokumentace nové testovací prostředí pro výstrahy zabezpečení . Cvičení Výstrahy zabezpečení vám pomůže rychle nastavit testovací nebo testovací prostředí a vysvětluje nejlepší obrannou situaci proti běžným hrozbám a útokům z reálného světa.

  Podrobné testovací prostředí je navržené tak, abyste strávili co nejméně času sestavováním a více času se seznamováním s prostředím hrozeb a dostupnými výstrahami a ochranou Azure ATP. Jsme rádi, že uslyšíme vaši zpětnou vazbu.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Únor 2019

Azure ATP verze 2.67

Vydáno 24. února 2019

• Nová výstraha zabezpečení: Rekognoskace objektů zabezpečení (LDAP) – (Preview)
  Výstraha zabezpečení Pro rekognoskaci objektů zabezpečení (LDAP) služby Azure ATP (Security Principal Reconnaissance– Preview) je teď ve verzi Public Preview. Při této detekci se aktivuje výstraha zabezpečení Azure ATP, když útočníci použijí rekognoskaci objektů zabezpečení k získání důležitých informací o prostředí domény. Tyto informace pomáhají útočníkům mapovat strukturu domény a také identifikovat privilegované účty pro použití v pozdějších krocích v řetězu útoků.

  Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory. Rekognoskace objektů zabezpečení zaměřená na protokol LDAP se běžně používá jako první fáze útoku Kerberoasting. Kerberoasting útoky se používají k získání cílového seznamu hlavních názvů zabezpečení (SPN), pro které se útočníci pokusí získat lístky TGS (Ticket Grant Server).

• Vylepšení funkcí: Upozornění na rekognoskaci výčtu účtů (NTLM)
  Vylepšená výstraha NTLM (Account Enumeration Reconnaissance) s využitím další analýzy a vylepšená logika detekce, která snižuje počet výsledků upozornění B-TP a FP .

• Vylepšení funkcí: Upozornění na rekognoskaci mapování sítě (DNS)
  Do výstrah DNS (Network Mapping Reconnaissance) se přidaly nové typy detekcí. Kromě detekce podezřelých požadavků AXFR teď Azure ATP detekuje podezřelé typy požadavků pocházejících ze serverů bez DNS s využitím nadměrného počtu požadavků.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.66

Vydáno 17. února 2019

• Vylepšení funkcí: Upozornění na podezřelý útok DCSync (replikace adresářových služeb)
  Byla provedena vylepšení použitelnosti této výstrahy zabezpečení, včetně revidovaného popisu, poskytnutí dalších informací o zdroji, nové infografiky a dalších důkazů. Přečtěte si další informace o výstrahách zabezpečení podezřelých útoků DCSync (replikace adresářových služeb).

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.65

Vydáno 10. února 2019

• Nová výstraha zabezpečení: Podezřelý útok na přenos NTLM (účet Exchange) – (Preview)
  Podezřelý útok na přenos přes protokol NTLM (účet Exchange) služby Azure ATP – Výstraha zabezpečení ve verzi Preview je teď ve verzi Public Preview. Při této detekci se aktivuje výstraha zabezpečení Azure ATP při identifikaci přihlašovacích údajů účtu Exchange z podezřelého zdroje. Tyto typy útoků se pokoušejí využít techniky přenosu protokolu NTLM k získání oprávnění k výměně řadiče domény a označují se jako ExchangePriv. Přečtěte si další informace o technice ExchangePriv z ADV190007 poradce poprvé publikovaného 31. ledna 2019 a odpovědi na upozornění Azure ATP.

• Obecná dostupnost: Vzdálené spouštění kódu přes DNS
  Toto upozornění je teď ve stavu GA (obecná dostupnost). Další informace a funkce upozornění najdete na stránce s popisem upozornění vzdáleného spuštění kódu přes DNS.

• Obecná dostupnost: Exfiltrace dat přes protokol SMB
  Toto upozornění je teď ve stavu GA (obecná dostupnost). Další informace a funkce upozornění najdete na stránce s popisem upozornění exfiltrace dat přes protokol SMB.

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.64

Vydáno 4. února 2019

• Obecná dostupnost: Podezření na využití zlatého lístku (anomálie lístku)
  Toto upozornění je teď ve stavu GA (obecná dostupnost). Další informace a funkce upozornění najdete na stránce s popisem upozornění na podezřelé využití zlatého lístku (anomálie lístku).

• Vylepšení funkcí: Rekognoskace mapování sítě (DNS)
  Vylepšená logika detekce výstrah nasazená pro tuto výstrahu, která minimalizuje falešně pozitivní výsledky a šum upozornění. Tato výstraha má teď dobu učení osm dní, než se výstraha pravděpodobně poprvé aktivuje. Další informace o této výstraze najdete na stránce s popisem upozornění DNS (Network Mapping Reconnaissance).

  Vzhledem k vylepšení tohoto upozornění by se metoda nslookup už neměla používat k testování připojení Azure ATP během počáteční konfigurace.

• Vylepšení funkcí:
  Tato verze obsahuje přepracované stránky upozornění a nové důkazy, které poskytují lepší prověřování výstrah.

  • Podezřelý útok hrubou silou (SMB)
  • Stránka s popisem upozornění na podezřelé využití zlatého lístku (časová anomálie)
  • Podezření na útok overpass-the-hash (Kerberos)
  • Podezření na použití architektury hackingu Metasploit
  • Podezření na útok ransomware WannaCry

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Leden 2019

Azure ATP verze 2.63

Vydáno 27. ledna 2019

• Nová funkce: Podpora nedůvěryhodné doménové struktury – (Preview)
  Podpora senzorů v nedůvěryhodných doménových strukturách v Azure ATP je teď ve verzi Public Preview. Na stránce Adresářové služby portálu Azure ATP nakonfigurujte další sady přihlašovacích údajů, aby se senzory Azure ATP mohly připojovat k různým doménovým strukturám Active Directory a hlásit se zpět službě Azure ATP. Další informace najdete v tématu Azure ATP s více doménovými strukturami .

• Nová funkce: Pokrytí řadiče domény
  Azure ATP teď poskytuje informace o pokrytí pro řadiče domény monitorované službou Azure ATP.
  Na stránce Senzory portálu Azure ATP zobrazte počet monitorovaných a nemonitorovaných řadičů domény detekovaných službou Azure ATP ve vašem prostředí. Stáhněte si seznam monitorovaných řadičů domény pro další analýzu a sestavení akčního plánu. Další informace najdete v průvodci monitorováním řadiče domény .

• Vylepšení funkcí: Rekognoskace výčtu účtů
  Detekce rekognoskace výčtu účtu Azure ATP teď zjišťuje a vydává upozornění na pokusy o výčet pomocí protokolů Kerberos a NTLM. Dříve detekce fungovala pouze u pokusů pomocí protokolu Kerberos. Další informace najdete v tématu Upozornění na rekognoskaci Azure ATP .

• Vylepšení funkcí: Upozornění na pokus o vzdálené spuštění kódu

  • Všechny aktivity vzdáleného spuštění, jako je vytvoření služby, spuštění rozhraní WMI a nové spuštění PowerShellu , byly přidány na časovou osu profilu cílového počítače. Cílový počítač je řadič domény, na který se příkaz spustil.
  • Spuštění PowerShellu bylo přidáno do seznamu aktivit vzdáleného spuštění kódu uvedených na časové ose upozornění profilu entity.
  • Další informace najdete v tématu Pokus o vzdálené spuštění kódu .

• Windows Server 2019 – Problém se službou LSASS a Azure ATP
  V reakci na zpětnou vazbu zákazníků týkající se využití Azure ATP u řadičů domény se systémem Windows Server 2019 tato aktualizace obsahuje další logiku, která zabrání aktivaci hlášeného chování na počítačích Windows Server 2019. Úplná podpora senzoru Azure ATP na Windows Server 2019 se plánuje pro budoucí aktualizaci Azure ATP, ale instalace a spuštění Azure ATP na Windows Serverech 2019 se v současné době nepodporuje. Další informace najdete v tématu Požadavky na senzory Azure ATP .

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.62

Vydáno 20. ledna 2019

• Nová výstraha zabezpečení: Vzdálené spouštění kódu přes DNS – (Preview)
  Výstraha zabezpečení vzdáleného spuštění kódu přes DNS služby Azure ATP je teď ve verzi Public Preview. Při této detekci se aktivuje upozornění zabezpečení Azure ATP, když jsou dotazy DNS podezřelé z zneužití ohrožení zabezpečení CVE-2018-8626 vůči řadiči domény v síti.

• Vylepšení funkcí: 72hodinová zpožděná aktualizace senzoru
  Změna možnosti odložení aktualizací senzorů na vybraných senzorech na 72 hodin (místo předchozího 24hodinového zpoždění) po každé aktualizaci verze Azure ATP Pokyny ke konfiguraci najdete v tématu Aktualizace senzoru Azure ATP .

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.61

Vydáno 13. ledna 2019

• Nové upozornění zabezpečení: Exfiltrace dat přes protokol SMB – (Preview)
  Exfiltrace dat přes výstrahu zabezpečení PROTOKOLU SMB v Azure ATP je teď ve verzi Public Preview. Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT můžou útočníci vytvořit lístek TGT (Ticket) protokolu Kerberos, který poskytuje autorizaci pro libovolný prostředek.

• Vylepšení funkcí: Výstraha zabezpečení při pokusu o vzdálené spuštění kódu
  Byl přidán nový popis upozornění a další důkazy, které usnadňují pochopení výstrahy a poskytují lepší pracovní postupy vyšetřování.

• Vylepšení funkcí: Logické aktivity dotazů DNS
  Do monitorovaných aktivit Azure ATP byly přidány další typy dotazů, včetně : TXT, MX, NS, SRV, ANY a DNSKEY.

• Vylepšení funkcí: Podezření na využití zlatého lístku (anomálie lístku) a podezřelé využití zlatého lístku (neexistující účet)
  U obou výstrah se použila vylepšená logika detekce, aby se snížil počet upozornění FP a poskytovaly se přesnější výsledky.

• Vylepšení funkcí: Dokumentace k upozorněním zabezpečení Azure ATP
  Dokumentace k upozorněním zabezpečení Azure ATP byla vylepšena a rozšířena o lepší popisy výstrah, přesnější klasifikace výstrah a vysvětlení důkazů, nápravy a prevence. Seznamte se s návrhem nové dokumentace k upozorněním zabezpečení pomocí následujících odkazů:

  • Výstrahy zabezpečení Azure ATP
  • Principy výstrah zabezpečení
    • Upozornění fáze rekognoskace
    • Upozornění na fázi ohrožení zabezpečení přihlašovacích údajů
    • Upozornění fáze laterálního pohybu
    • Upozornění na fázi dominance v doméně
    • Upozornění fáze exfiltrace
  • Prozkoumání počítače
  • Prozkoumání uživatele

• Tato verze obsahuje také vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.60

Vydáno 6. ledna 2019

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Prosinec 2018

Azure ATP verze 2.59

Vydáno 16. prosince 2018

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.58

Vydáno 9. prosince 2018

• Vylepšení výstrah zabezpečení: Rozdělení upozornění na neobvyklou implementaci protokolu
  Řada výstrah zabezpečení neobvyklé implementace protokolu azure ATP, která dříve sdílela 1 externalId (2002), je teď rozdělená do čtyř jedinečných výstrah s odpovídajícím jedinečným externím ID.

Nové identifikátory externích identifikátorů výstrah

Název nové výstrahy zabezpečení	Název předchozího upozornění zabezpečení	Jedinečné externí ID
Podezřelý útok hrubou silou (SMB)	Neobvyklá implementace protokolu (potenciální použití škodlivých nástrojů, jako je Hydra)	2033
Podezření na útok overpass-the-hash (Kerberos)	Neobvyklá implementace protokolu Kerberos (potenciální útok overpass-the-hash)	2002
Podezření na použití architektury hackingu Metasploit	Neobvyklá implementace protokolu (potenciální použití nástrojů pro hackování Metasploit)	2034
Podezření na útok ransomware WannaCry	Neobvyklá implementace protokolu (potenciální útok ransomwarem WannaCry)	2035

• Nová monitorovaná aktivita: Kopírování souborů prostřednictvím protokolu SMB
  Kopírování souborů pomocí protokolu SMB je teď monitorovaná a filtrovatelná aktivita. Přečtěte si další informace o tom, které aktivity Azure ATP monitoruje, a o tom, jak filtrovat a prohledávat monitorované aktivity na portálu.

• Vylepšení obrázku s velkým laterálním pohybem
  Při zobrazení velkých cest laterálního pohybu teď Azure ATP zvýrazňuje jenom uzly připojené k vybrané entitě, místo aby rozmazala ostatní uzly. Tato změna přináší výrazné zlepšení rychlosti vykreslování velkého LMP.

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Azure ATP verze 2.57

Vydáno 2. prosince 2018

• Nové upozornění zabezpečení: Podezření na využití zlatého lístku – anomálie lístku (Preview)
  Výstraha zabezpečení s podezřením na využití zlatého lístku služby Azure ATP – anomálie lístku je teď ve verzi Public Preview. Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou útočníci vytvořit lístek TGT (Kerberos Ticket grant ticket), který poskytuje autorizaci pro jakýkoli prostředek.

  Tento zkameněný TGT se nazývá "zlatý lístek", protože umožňuje útočníkům dosáhnout trvalé trvalosti sítě. Kované zlaté lístky tohoto typu mají jedinečné vlastnosti, které tato nová detekce identifikuje.

• Vylepšení funkcí: Automatizované vytváření instancí (instancí) Azure ATP
  Od dnešního dne se instance Azure ATP přejmenovávají na instance Azure ATP. Azure ATP teď podporuje jednu instanci Azure ATP na účet Azure ATP. Instance pro nové zákazníky se vytvářejí pomocí průvodce vytvořením instance na portálu Azure ATP. Stávající instance Azure ATP se s touto aktualizací automaticky převedou na instance Azure ATP.

  • Zjednodušené vytváření instancí pro rychlejší nasazení a ochranu pomocí vytvoření instance Azure ATP
  • Všechna ochrana osobních údajů a dodržování předpisů zůstávají stejná.

  Další informace o instancích Azure ATP najdete v tématu Vytvoření instance Azure ATP.

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

listopad 2018

Azure ATP verze 2.56

Vydáno 25. listopadu 2018

• Vylepšení funkcí: Lateral Movement Paths (LMPs)
  Byly přidány dvě další funkce, které vylepšují možnosti Azure ATP Lateral Movement Path (LMP):

  • Historie LMP je teď uložená a zjistitelná pro každou entitu a při použití sestav LMP.
  • Sledujte entitu v LMP prostřednictvím časové osy aktivity a prošetřete další důkazy poskytnuté pro zjištění potenciálních cest útoku.

  Další informace o tom, jak používat a zkoumat s využitím vylepšených LMP, najdete v tématu Cesty laterálního pohybu v Azure ATP .

• Vylepšení dokumentace: Cesty laterálního pohybu, názvy výstrah zabezpečení
  V článcích Azure ATP byly přidány a aktualizovány popisy a funkce cest laterálního pohybu, bylo přidáno mapování názvů pro všechny instance starých názvů výstrah zabezpečení na nové názvy a externalId.

  • Další informace najdete v tématech Cesty laterálního pohybu Azure ATP, Prozkoumání cest laterálního pohybu a Průvodce výstrahou zabezpečení .

• Tato verze obsahuje vylepšení a opravy chyb pro interní infrastrukturu senzorů.

Podrobnosti o jednotlivých verzích Defenderu for Identity před (a včetně) verze 2.55 najdete v referenčních informacích k verzi Defender for Identity.

Další kroky

Co je nového v Microsoft Defender for Identity