Новые возможности архива для Microsoft Defender для удостоверений

В этой статье перечислены Microsoft Defender для удостоверений заметки о выпуске версий и компонентов, выпущенных более 6 месяцев назад.

Сведения о последних версиях и функциях см. в статье Новые возможности Microsoft Defender для удостоверений.

Примечание.

С 15 июня 2022 г. корпорация Майкрософт больше не будет поддерживать датчик Defender для удостоверений на устройствах, работающих Windows Server 2008 R2. Мы рекомендуем определить все оставшиеся контроллеры домена (DCs) или серверы AD FS, которые по-прежнему работают Windows Server 2008 R2 в качестве операционной системы, и запланировать их обновление до поддерживаемой операционной системы.

В течение двух месяцев после 15 июня 2022 года датчик будет продолжать функционировать. После этого двухмесячного периода, начиная с 15 августа 2022 г., датчик больше не будет работать на платформах Windows Server 2008 R2. Дополнительные сведения см. по адресу: https://aka.ms/mdi/2008r2

Июль 2023

Defender для удостоверений, выпуск 2.209

Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Поиск групп Active Directory в Microsoft Defender XDR (предварительная версия)

Теперь Microsoft Defender XDR глобальный поиск поддерживает поиск по имени группы Active Directory. Все найденные группы отображаются в результатах на отдельной вкладке Группы. Выберите группу Active Directory в результатах поиска, чтобы просмотреть дополнительные сведения, в том числе:

• Тип
• Scope
• Домен
• Имя SAM
• SID

• Время создания группы
• При первом наблюдении за действием группы
• Группы, содержащие выбранную группу
• Список всех участников группы

Например:

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений в Microsoft Defender XDR.

Новые отчеты о состоянии безопасности

Оценки безопасности удостоверений Defender для удостоверений позволяют заблаговременно обнаруживать и рекомендовать действия в конфигурациях локальная служба Active Directory.

В Microsoft Secure Score теперь доступны следующие новые оценки состояния безопасности:

• Удаление прав доступа для подозрительных учетных записей с разрешением АДМИНИСТРАТОР SDHolder
• Удаление учетных записей, не являющихся администраторами, с разрешениями DCSync
• Удаление локальных администраторов в ресурсах удостоверений
• Запуск развертывания Defender для удостоверений

Дополнительные сведения см. в статье Оценки состояния безопасности Microsoft Defender для удостоверений.

Автоматическое перенаправление для классического портала Defender для удостоверений

Интерфейс и функциональность портала Microsoft Defender для удостоверений интегрированы в платформу расширенного обнаружения и реагирования (XDR) Корпорации Майкрософт, Microsoft Defender XDR. С 6 июля 2023 г. клиенты, использующие классический портал Defender для удостоверений, автоматически перенаправляются на Microsoft Defender XDR без возможности отменить изменения обратно на классический портал.

Дополнительные сведения см. в записи блога и Microsoft Defender для удостоверений в Microsoft Defender XDR.

Скачивание и планирование отчетов Defender для удостоверений в Microsoft Defender XDR (предварительная версия)

Теперь вы можете скачивать и планировать периодические отчеты Defender для удостоверений на портале Microsoft Defender, создавая четность функций отчетов с классическим классическим порталом Defender для удостоверений.

Скачайте и запланируйте отчеты в Microsoft Defender XDR на странице Управление отчетами параметров > удостоверения>. Например:

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений отчетов в Microsoft Defender XDR.

Defender для удостоверений, выпуск 2.208

• Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Defender для удостоверений, выпуск 2.207

• Эта версия предоставляет новый параметр установки AccessKeyFile . Используйте параметр AccessKeyFile во время автоматической установки датчика Defender для удостоверений, чтобы задать ключ доступа рабочей области из предоставленного текстового пути. Дополнительные сведения см. в разделе Установка датчика Microsoft Defender для удостоверений.

• Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

2023 июня

Defender для удостоверений, выпуск 2.206

• Эта версия включает улучшения и исправления ошибок для облачных служб и датчика Defender для удостоверений.

Расширенная охота с помощью расширенной таблицы IdentityInfo

• Для клиентов с развернутой защитой для удостоверений таблица расширенной охоты microsoft 365 IdentityInfo теперь содержит больше атрибутов для каждого удостоверения и удостоверений, обнаруженных датчиком Defender для удостоверений из локальной среды.

Дополнительные сведения см. в документации по Microsoft Defender XDR расширенной охоты.

Defender для удостоверений, выпуск 2.205

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2023

Расширенные функции контроля учетных записей Active Directory

На странице сведений о пользователе Microsoft Defender XDR Identity> теперь содержатся новые данные управления учетными записями Active Directory.

На вкладке Обзор сведений о пользователях мы добавили новые элементы управления учетными записями Active Directory карта, чтобы выделить важные параметры безопасности и элементы управления Active Directory. Например, используйте этот карта, чтобы узнать, может ли конкретный пользователь обходить требования к паролю или имеет пароль, срок действия которого никогда не истекает.

Например:

Дополнительные сведения см. в документации по атрибуту User-Account-Control .

Defender для удостоверений, выпуск 2.204

Выпущено 29 мая 2023 г.

• Новое оповещение о работоспособности для сбоев приема данных интеграции VPN (radius). Дополнительные сведения см. в разделе оповещения о работоспособности датчиков Microsoft Defender для удостоверений.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.203

Выпущено 15 мая 2023 г.

• Новое оповещение о работоспособности для проверки правильности настройки аудита контейнеров ADFS. Дополнительные сведения см. в разделе оповещения о работоспособности датчиков Microsoft Defender для удостоверений.

• На странице удостоверений Microsoft Defender 365 содержатся обновления пользовательского интерфейса для интерфейса пути бокового смещения. Функциональные возможности не были изменены. Дополнительные сведения см. в статье Общие сведения о путях бокового перемещения (LMP) с помощью Microsoft Defender для удостоверений.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Усовершенствования временная шкала удостоверений

Вкладка "Временная шкала удостоверений" теперь содержит новые и улучшенные функции. С помощью обновленного временная шкала теперь можно выполнять фильтрацию по типу действия, протоколу и расположению в дополнение к исходным фильтрам. Вы также можете экспортировать временная шкала в CSV-файл и найти дополнительные сведения о действиях, связанных с MITRE ATT&методами CK. Дополнительные сведения см. в статье Исследование пользователей в Microsoft Defender XDR.

Настройка оповещений в Microsoft Defender XDR

Настройка оповещений, теперь доступна в Microsoft Defender XDR, позволяет настраивать оповещения и оптимизировать их. Настройка оповещений сокращает количество ложных срабатываний, позволяет командам SOC сосредоточиться на высокоприоритетных оповещениях и улучшает охват обнаружения угроз в вашей системе.

В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правил, который соответствует вашим условиям. Дополнительные сведения см. в разделе Настройка оповещения.

Апрель 2023 г.

Defender для удостоверений, выпуск 2.202

Выпущено 23 апреля 2023 г.

• Новое оповещение о работоспособности для проверки правильности настройки аудита контейнера конфигурации служб каталогов, как описано на странице оповещений о работоспособности.
• Новые рабочие области для клиентов AD, сопоставленных с Новой Зеландией, создаются в регионе Восточная Австралия. Самый актуальный список региональных развертываний см. в разделе Компоненты Defender для удостоверений.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2023 г.

Defender для удостоверений, выпуск 2.201

Выпущено 27 марта 2023 г.

• Мы отключаем оповещение SAM-R honeytoken. Хотя эти типы учетных записей никогда не должны быть доступны или запрашиваются, некоторые устаревшие системы могут использовать эти учетные записи в рамках своих регулярных операций. Если эта функция вам необходима, вы всегда можете создать расширенный запрос охоты и использовать его в качестве пользовательского обнаружения. Мы также рассмотрим оповещение LDAP honeytoken в течение ближайших недель, но пока остается функциональным.

• Исправлены проблемы с логикой обнаружения в оповещении о работоспособности аудита объектов служб каталогов для операционных систем, отличных от английского языка, и для Windows 2012 со схемами служб каталогов, предшествующими версии 87.

• Мы удалили предварительные требования для настройки учетной записи служб каталогов для запуска датчиков. Дополнительные сведения см. в статье рекомендации по учетным записям службы каталогов Microsoft Defender для удостоверений.

• Нам больше не требуется ведение журнала событий 1644. Если этот параметр реестра включен, его можно удалить. Дополнительные сведения см. в разделе Идентификатор события 1644.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.200

Выпущено 16 марта 2023 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.199

Выпущено 5 марта 2023 г.

• Некоторые исключения для Honeytoken, запрашиваемые через оповещение SAM-R, не работали должным образом. В этих случаях оповещения активировались даже для исключенных сущностей. Эта ошибка исправлена.

• Обновлено имя протокола NTLM для таблиц Расширенной охоты на удостоверения. Старое имя Ntlm протокола теперь отображается в качестве нового имени NTLM протокола в таблицах удостоверений расширенной охоты: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Если в настоящее время вы используете Ntlm протокол в формате с учетом регистра из таблиц событий удостоверений, его следует изменить на NTLM.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2023 г.

Defender для удостоверений, выпуск 2.198

Выпущено 15 февраля 2023 г.

• Временная шкала удостоверений теперь доступна как часть новой страницы удостоверений в Microsoft Defender XDR: обновленная страница пользователя в Microsoft Defender XDR теперь имеет новый внешний вид с расширенным представлением связанных ресурсов и новой выделенной вкладкой временная шкала. Временная шкала представляет действия и оповещения за последние 30 дней и объединяет записи удостоверений пользователя во всех доступных рабочих нагрузках (Defender для удостоверений,Defender for Cloud Apps/Defender для конечной точки). Используя временная шкала, вы можете легко сосредоточиться на действиях, которые пользователь выполнил (или выполнял на них) в определенные сроки. Дополнительные сведения см. в статье Исследование пользователей в Microsoft Defender XDR

• Дальнейшие улучшения оповещений honeytoken. В выпуске 2.191 мы представили несколько новых сценариев оповещения о действиях honeytoken.

  На основе отзывов клиентов мы решили разделить оповещение о действиях honeytoken на пять отдельных оповещений:

  • Пользователь Honeytoken был запрошен через SAM-R.
  • Пользователь Honeytoken был запрошен через LDAP.
  • Действие проверки подлинности пользователя Honeytoken
  • Атрибуты пользователя Honeytoken были изменены.
  • Изменено членство в группах Honeytoken.

  Кроме того, мы добавили исключения для этих оповещений, предоставляя настраиваемый интерфейс для вашей среды.

  Мы с нетерпением ждем ваших отзывов, чтобы мы могли продолжать совершенствоваться.

• Новое оповещение системы безопасности. Подозрительное использование сертификата по протоколу Kerberos (PKINIT).Многие методы злоупотребления службами сертификатов Active Directory (AD CS) связаны с использованием сертификата на определенном этапе атаки. Microsoft Defender для удостоверений теперь оповещает пользователей при обнаружении таких подозрительных сертификатов. Такой подход к мониторингу поведения обеспечивает комплексную защиту от атак AD CS, вызывая оповещение при попытке проверки подлинности подозрительного сертификата в контроллере домена с установленным датчиком Defender для удостоверений. Дополнительные сведения см. в статье Microsoft Defender для удостоверений теперь обнаруживает подозрительное использование сертификатов.

• Автоматическое прерывание атак. Defender для удостоверений теперь работает вместе с Microsoft Defender XDR, чтобы предложить автоматическое прерывание атаки. Эта интеграция означает, что для сигналов, поступающих от Microsoft Defender XDR, можно активировать действие Отключить пользователя. Эти действия инициируются сигналами XDR с высокой точностью в сочетании с аналитическими сведениями, полученными в ходе непрерывного исследования тысяч инцидентов исследовательскими группами Майкрософт. Действие приостанавливает скомпрометированную учетную запись пользователя в Active Directory и синхронизирует эти сведения с Microsoft Entra ID. Дополнительные сведения об автоматическом прерывании атаки см. в записи блога от Microsoft Defender XDR.

  Вы также можете исключить определенных пользователей из действий автоматического реагирования. Дополнительные сведения см. в разделе Настройка исключений автоматического ответа Defender для удостоверений.

• Удалить период обучения. Оповещения, созданные Defender для удостоверений, основаны на различных факторах, таких как профилирование, детерминированное обнаружение, машинное обучение и алгоритмы поведения, которые он узнал о вашей сети. Полный процесс обучения Defender для удостоверений может занять до 30 дней на контроллер домена. Однако могут возникать случаи, когда вы хотите получать оповещения еще до завершения полного процесса обучения. Например, при установке нового датчика на контроллере домена или при оценке продукта может потребоваться немедленно получать оповещения. В таких случаях вы можете отключить период обучения для затронутых оповещений, включив функцию Удалить период обучения . Дополнительные сведения см. в статье Advanced settings.

• Новый способ отправки оповещений в M365D. Год назад мы объявили, что все возможности Microsoft Defender для удостоверений доступны на портале Microsoft Defender. Наш основной конвейер оповещений постепенно переходит с Defender для удостоверений > Defender for Cloud Apps > Microsoft Defender XDR на Defender для удостоверений > Microsoft Defender XDR. Такая интеграция означает, что обновления состояния в Defender for Cloud Apps не будут отражены в Microsoft Defender XDR и наоборот. Это изменение должно значительно сократить время, необходимое для отображения оповещений на портале Microsoft Defender. В рамках этой миграции все политики Defender для удостоверений больше не будут доступны на портале Defender for Cloud Apps с 5 марта. Как всегда, мы рекомендуем использовать портал Microsoft Defender для всех возможностей Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2023 г.

Defender для удостоверений, выпуск 2.197

Выпущено 22 января 2023 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.196

Выпущено 10 января 2023 г.

• Новое оповещение о работоспособности для проверки правильности настройки аудита объектов служб каталогов, как описано на странице оповещений о работоспособности.

• Новое оповещение о работоспособности для проверки оптимальной производительности параметров питания датчика, как описано на странице оповещений о работоспособности.

• Мы добавили сведения о MITRE ATT&CK в таблицы IdentityLogonEvents, IdentityDirectoryEvents и IdentityQueryEvents в Microsoft Defender XDR Advanced Hunting. В столбце AdditionalFields можно найти сведения о методах атаки и тактике (категория), связанных с некоторыми из наших логических действий.

• Так как все основные функции Microsoft Defender для удостоверений теперь доступны на портале Microsoft Defender, параметр перенаправления портала автоматически включается для каждого клиента с 31 января 2023 г. Дополнительные сведения см. в статье Перенаправление учетных записей из Microsoft Defender для удостоверений в Microsoft Defender XDR.

Декабрь 2022 г.

Defender для удостоверений, выпуск 2.195

Выпущено 7 декабря 2022 г.

• Центры обработки данных Defender для удостоверений теперь также развернуты в регионе Восточная Австралия. Самый актуальный список региональных развертываний см. в разделе Компоненты Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2022 г.

Defender для удостоверений, выпуск 2.194

Выпущено 10 ноября 2022 г.

• Новое оповещение о работоспособности для проверки правильности настройки расширенного аудита служб каталогов, как описано на странице оповещений о работоспособности.

• Некоторые изменения, внесенные в Defender для удостоверений версии 2.191 , касающиеся оповещений honeytoken, были включены неправильно. Эти проблемы устранены.

• С конца ноября ручная интеграция с Microsoft Defender для конечной точки больше не поддерживается. Однако настоятельно рекомендуется использовать портал Microsoft Defender (https://security.microsoft.com), который имеет встроенную интеграцию.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Октябрь 2022

Defender для удостоверений, выпуск 2.193

Выпущено 30 октября 2022 г.

• Новое оповещение системы безопасности: аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с использованием подозрительного сертификата
  Этот новый метод связан с печально известным субъектом NOBELIUM и был назван "MagicWeb" - он позволяет злоумышленнику имплантировать backdoor на скомпрометированных серверах AD FS, что позволит олицетворение любого пользователя домена и, следовательно, доступ к внешним ресурсам. Дополнительные сведения об этой атаке см. в этой записи блога.

• Defender для удостоверений теперь может использовать учетную запись LocalSystem на контроллере домена для выполнения действий по исправлению (включение и отключение пользователя, принудительный сброс пароля пользователя) в дополнение к параметру gMSA, который был доступен ранее. Это обеспечивает готовую поддержку действий по исправлению. Дополнительные сведения см. в статье учетные записи действий Microsoft Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.192

Выпущено 23 октября 2022 г.

• Новое оповещение о работоспособности для проверки включения аудита NTLM, как описано на странице оповещений о работоспособности.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2022 г.

Defender для удостоверений, выпуск 2.191

Выпущено 19 сентября 2022 г.

• Дополнительные действия по активации оповещений honeytoken
  Microsoft Defender для удостоверений позволяет определять учетные записи honeytoken, которые используются в качестве ловушек для злоумышленников. Любая проверка подлинности, связанная с этими учетными записями honeytoken (обычно неактивная), активирует оповещение о действиях honeytoken (внешний идентификатор 2014). Впервые для этой версии любой запрос LDAP или SAMR к этим учетным записям honeytoken активирует оповещение. Кроме того, если выполняется аудит события 5136, оповещение будет срабатывать при изменении одного из атрибутов honeytoken или при изменении членства в группе honeytoken.

Дополнительные сведения см. в разделе Настройка коллекции событий Windows.

Defender для удостоверений, выпуск 2.190

Выпущено 11 сентября 2022 г.

• Обновленная оценка: небезопасные конфигурации домена
  Оценка небезопасной конфигурации домена, доступная с помощью microsoft Secure Score, теперь оценивает конфигурацию политики подписывания LDAP контроллера домена и оповещает, если обнаруживает небезопасную конфигурацию. Дополнительные сведения см. в статье Оценка безопасности: небезопасные конфигурации домена.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.189

Выпущено 4 сентября 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2022 г.

Defender для удостоверений, выпуск 2.188

Выпущено 28 августа 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.187

Выпущено 18 августа 2022 г.

• Мы изменили некоторые логики, лежащие в основе того, как мы запускаем оповещение о предполагаемой атаке DCSync (репликация служб каталогов) (внешний идентификатор 2006). Этот детектор теперь охватывает случаи, когда исходный IP-адрес, видимый датчиком, представляется устройством NAT.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.186

Выпущено 10 августа 2022 г.

• Оповещения о работоспособности теперь будут отображать полное доменное имя (FQDN) датчика вместо netBIOS-имени.

• Новые оповещения о работоспособности доступны для записи типа и конфигурации компонентов, как описано на странице оповещений о работоспособности.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2022 г.

Defender для удостоверений, выпуск 2.185

Выпущено 18 июля 2022 г.

• Исправлена проблема, из-за которой предполагаемое использование Golden Ticket (несуществующая учетная запись) (внешний идентификатор 2027) ошибочно обнаруживал устройства macOS.

• Действия пользователя. Мы решили разделить действие Отключить пользователя на странице пользователя на два разных действия:

  • Отключить пользователя — отключает пользователя на уровне Active Directory.
  • Приостановка пользователя— отключает пользователя на уровне Microsoft Entra ID

  Мы понимаем, что время, затрачиваемое на синхронизацию из Active Directory в Microsoft Entra ID, может иметь решающее значение, поэтому теперь вы можете отключить пользователей один за другим, чтобы удалить зависимость от самой синхронизации. Обратите внимание, что пользователь, отключенный только в Microsoft Entra ID, будет перезаписан Active Directory, если пользователь по-прежнему активен там.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.184

Выпущено 10 июля 2022 г.

• Новые оценки безопасности
  Defender для удостоверений теперь включает следующую новую оценку безопасности:

  • Небезопасные конфигурации домена
    Microsoft Defender для удостоверений постоянно отслеживает среду, чтобы определить домены со значениями конфигурации, которые подвергаются риску безопасности, и отчеты об этих доменах, чтобы помочь вам защитить среду. Дополнительные сведения см. в статье Оценка безопасности: небезопасные конфигурации домена.

• Пакет установки Defender для удостоверений теперь установит компонент Npcap вместо драйверов WinPcap. Дополнительные сведения см. в статье Драйверы WinPcap и Npcap.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июнь 2022 г.

Defender для удостоверений, выпуск 2.183.15436.10558 (исправление)

Выпущено 20 июня 2022 г. (обновлено 4 июля 2022 г.)

• Новое оповещение системы безопасности: предполагаемая атака DFSCoerce с использованием протокола распределенной файловой системы
  В ответ на публикацию недавнего средства атаки, использующее поток в протоколе DFS, Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник использует этот метод атаки. Дополнительные сведения об этой атаке см. в записи блога.

Defender для удостоверений, выпуск 2.183

Выпущено 20 июня 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.182

Выпущено 4 июня 2022 г.

• Доступна новая страница "О программе" для Defender для удостоверений. Его можно найти на портале Microsoft Defender в разделе Параметры ->Удостоверения ->О программе. Он содержит несколько важных сведений об экземпляре Defender для удостоверений, включая имя экземпляра, версию, идентификатор и географическое расположение экземпляра. Эти сведения могут быть полезны при устранении неполадок и открытии запросов в службу поддержки.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2022 г.

Defender для удостоверений, выпуск 2.181

Выпущено 22 мая 2022 г.

• Теперь вы можете выполнять действия по исправлению непосредственно в локальных учетных записях с помощью Microsoft Defender для удостоверений.

  • Отключить пользователя — это временно не позволит пользователю войти в сеть. Это может помочь предотвратить скомпрометированные пользователи от бокового перемещения и попытки эксфильтрации данных или дальнейшего компрометации сети.
  • Сброс пароля пользователя — при следующем входе пользователю будет предложено изменить пароль, что гарантирует, что эту учетную запись нельзя будет использовать для дальнейших попыток олицетворения.

  Эти действия можно выполнять из нескольких расположений в Microsoft Defender XDR: страницы пользователя, боковой панели страницы пользователя, расширенной охоты и даже пользовательского обнаружения. Для этого необходимо настроить привилегированную учетную запись gMSA, которую Microsoft Defender для удостоверений будет использовать для выполнения действий. Дополнительные сведения о требованиях см. в разделе учетные записи действий Microsoft Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.180

Выпущено 12 мая 2022 г.

• Новое оповещение системы безопасности: подозрительное изменение атрибута dNSHostName (CVE-2022-26923)
  В ответ на публикацию недавнего CVE Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать CVE-2022 -26923. Дополнительные сведения об этой атаке см. в записи блога.

• В версии 2.177 мы выпустили дополнительные действия LDAP, которые могут быть охвачены Defender для удостоверений. Однако мы обнаружили ошибку, которая приводила к тому, что события не отображаются и не будут приниматься на портале Defender для удостоверений. Это исправлено в этом выпуске. Начиная с версии 2.180, при включении события с идентификатором 1644 вы не только получаете видимость действий LDAP через веб-службы Active Directory, но и другие действия LDAP будут включать пользователя, выполнившего действие LDAP на исходном компьютере. Это относится к оповещениям системы безопасности и логическим действиям, основанным на событиях LDAP.

• В ответ на недавнюю эксплуатацию KrbRelayUp мы выпустили бесшумный детектор, чтобы помочь нам оценить наш ответ на эту эксплуатацию. Автоматический детектор позволит нам оценить эффективность обнаружения и собрать информацию на основе собираемых событий. Если это обнаружение будет отображаться в высоком качестве, мы выпустим новое оповещение системы безопасности в следующей версии.

• Мы переименовали удаленное выполнение кода через DNS на Удаленная попытка выполнения кода через DNS, так как она лучше отражает логику этих оповещений системы безопасности.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.179

Выпущено 1 мая 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Апрель 2022 г.

Defender для удостоверений, выпуск 2.178

Выпущено 10 апреля 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2022 г.

Defender для удостоверений, выпуск 2.177

Выпущено 27 марта 2022 г.

• Microsoft Defender для удостоверений теперь могут отслеживать дополнительные запросы LDAP в сети. Эти действия LDAP отправляются по протоколу веб-службы Active Directory и действуют как обычные запросы LDAP. Чтобы обеспечить видимость этих действий, необходимо включить событие 1644 на контроллерах домена. Это событие охватывает действия LDAP в вашем домене и в основном используется для выявления дорогостоящих, неэффективных или медленных поисков LDAP, обслуживаемых контроллерами домена Active Directory. Дополнительные сведения см. в разделе Устаревшие конфигурации.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.176

Выпущено 16 марта 2022 г.

• Начиная с этой версии, при установке датчика из нового пакета версия датчика в разделе Установка и удаление программ будет отображаться с полным номером версии (например, 2.176.x.y) в отличие от ранее показанного статического 2.0.0.0. Эта версия будет по-прежнему отображаться (установленная через пакет), даже если версия будет обновлена с помощью автоматических обновлений из облачных служб Defender для удостоверений. Реальную версию можно увидеть на странице параметров датчика на портале, в пути к исполняемому файлу или в версии файла.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.175

Выпущено 6 марта 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2022 г.

Defender для удостоверений, выпуск 2.174

Выпущено 20 февраля 2022 г.

• Мы добавили полное доменное имя shost учетной записи, участвуя в оповещении, в сообщение, отправленное в SIEM. Дополнительные сведения см. в статье справочник по журналам SIEM Microsoft Defender для удостоверений.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.173

Выпущено 13 февраля 2022 г.

• Все функции Microsoft Defender для удостоверений теперь доступны на портале Microsoft Defender. Дополнительные сведения см. в этой записи блога.

• Этот выпуск устраняет проблемы при установке датчика на Windows Server 2019 с установленным KB5009557 или на сервере с защищенными разрешениями EventLog.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.172

Выпущено 8 февраля 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2022 г.

Defender для удостоверений, выпуск 2.171

Выпущено 31 января 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.170

Выпущено 24 января 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.169

Выпущено 17 января 2022 г.

• Мы рады выпустить возможность настройки учетной записи действий для Microsoft Defender для удостоверений. Это первый шаг в возможности выполнять действия с пользователями непосредственно из продукта. В качестве первого шага можно определить учетную запись gMSA, Microsoft Defender для удостоверений будет использоваться для выполнения действий. Мы настоятельно рекомендуем приступить к созданию этих пользователей, чтобы воспользоваться функцией Действий после ее запуска. Дополнительные сведения см. в разделе Управление учетными записями действий.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.168

Выпущено 9 января 2022 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2021 г.

Defender для удостоверений, выпуск 2.167

Выпущено 29 декабря 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.166

Выпущено 27 декабря 2021 г.

• Версия включает новое оповещение системы безопасности: подозрительное изменение атрибута sAMNameAccount (cve-2021-42278 и CVE-2021-42287) (внешний идентификатор 2419).
  В ответ на публикацию последних CVEs Microsoft Defender для удостоверений будет активировать оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать CVE-2021-42278 и CVE-2021-42287. Дополнительные сведения об этой атаке см. в записи блога.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.165

Выпущено 6 декабря 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2021 г.

Defender для удостоверений, выпуск 2.164

Выпущено 17 ноября 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.163

Выпущено 8 ноября 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.162

Выпущено 1 ноября 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2021 г.

Defender для удостоверений, выпуск 2.161

Выпущено 12 сентября 2021 г.

• Версия включает в себя новые отслеживаемые действия: пароль учетной записи gMSA был получен пользователем. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений отслеживаемых действий.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2021 г.

Defender для удостоверений, выпуск 2.160

Выпущено 22 августа 2021 г.

• Версия включает различные улучшения и охватывает больше сценариев в соответствии с последними изменениями в эксплуатации PetitPotam.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.159

Выпущено 15 августа 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.
• Версия включает улучшение недавно опубликованного оповещения: подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).
  Мы расширили поддержку этого обнаружения, чтобы активировать, когда потенциальный злоумышленник обмен данными через зашифрованный EFS-RPCchannel. Оповещения, активированные при шифровании канала, будут рассматриваться как оповещение со средним уровнем серьезности, а не как "Высокий", если оно не зашифровано. Дополнительные сведения об оповещении см. в разделе Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).

Defender для удостоверений, выпуск 2.158

Выпущено 8 августа 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

• Версия включает новое оповещение системы безопасности: подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).
  В этом обнаружении Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать EFS-RPC в контроллере домена. Этот вектор атаки связан с недавней атакой PetitPotam. Дополнительные сведения об оповещении см. в разделе Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416).

• Версия включает новое оповещение системы безопасности: Exchange Server удаленное выполнение кода (CVE-2021-26855) (внешний идентификатор 2414)
  В этом обнаружении Microsoft Defender для удостоверений будет запускать оповещение системы безопасности каждый раз, когда злоумышленник пытается изменить атрибут msExchExternalHostName в объекте Exchange для удаленного выполнения кода. Дополнительные сведения об этом оповещении см. в статье Exchange Server удаленное выполнение кода (CVE-2021-26855) (внешний идентификатор 2414). Это обнаружение зависит от события Windows 4662, поэтому его необходимо включить заранее. Сведения о настройке и сборе этого события см. в статье Настройка коллекции событий Windows и следуйте инструкциям в разделе Включение аудита для объекта Exchange.

Defender для удостоверений, выпуск 2.157

Выпущено 1 августа 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2021

Defender для удостоверений, выпуск 2.156

Выпущено 25 июля 2021 г.

• Начиная с этой версии, мы добавляем исполняемый файл драйвера Npcap в пакет установки датчика. Дополнительные сведения см. в статье Драйверы WinPcap и Npcap.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.155

Выпущено 18 июля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.154

Выпущено 11 июля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.
• Версия включает в себя дополнительные улучшения и обнаружения для использования очереди печати, известного как Обнаружение PrintNightmare, чтобы охватить дополнительные сценарии атак.

Defender для удостоверений, выпуск 2.153

Выпущено 4 июля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

• Версия включает новое оповещение системы безопасности: предполагаемая попытка использования службы очереди печати Windows (эксплуатация CVE-2021-34527) (внешний идентификатор 2415).

  В этом обнаружении Defender для удостоверений активирует оповещение системы безопасности каждый раз, когда злоумышленник пытается использовать службу диспетчера очереди печати Windows для контроллера домена. Этот вектор атаки связан с эксплуатацией очереди печати и называется PrintNightmare. Узнайте больше об этом оповещении.

Июнь 2021

Defender для удостоверений, выпуск 2.152

Выпущено 27 июня 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.151

Выпущено 20 июня 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.150

Выпущено 13 июня 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2021

Defender для удостоверений, выпуск 2.149

Выпущено 31 мая 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.148

Выпущено 23 мая 2021 г.

• Если вы настроите и соберете событие с идентификатором 4662, Defender для удостоверений сообщит, какой пользователь изменил номер обновления (USN) на различные свойства объекта Active Directory. Например, если пароль учетной записи изменен и событие 4662 включено, событие будет записывать, кто изменил пароль.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.147

Выпущено 9 мая 2021 г.

• На основе отзывов клиентов мы увеличиваем число разрешенных датчиков по умолчанию с 200 до 350, а учетные данные служб каталогов — с 10 до 30.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.146

Выпущено 2 мая 2021 г.

• Email уведомления о проблемах работоспособности и оповещениях системы безопасности теперь будут иметь URL-адрес исследования как для Microsoft Defender для удостоверений, так и для Microsoft Defender XDR.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Апрель 2021 г.

Defender для удостоверений, выпуск 2.145

Выпущено 22 апреля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.144

Выпущено 12 апреля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2021 г.

Defender для удостоверений, выпуск 2.143

Выпущено 14 марта 2021 г.

• Мы добавили событие Windows 4741 для обнаружения учетных записей компьютеров, добавленных в действия Active Directory . Настройте новое событие для сбора с помощью Defender для удостоверений. После настройки собранные события будут доступны для просмотра в журнале действий, а также в Microsoft Defender XDR Расширенной охоты.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.142

Выпущено 7 марта 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2021 г.

Defender для удостоверений, выпуск 2.141

Выпущено 21 февраля 2021 г.

• Новое оповещение системы безопасности: предполагаемая атака AS-REP Roasting (внешний идентификатор 2412)
  Теперь доступно оповещение системы безопасности о предполагаемой атаке AS-REP в Defender для удостоверений (внешний идентификатор 2412). В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда злоумышленник нацеливается на учетные записи с отключенной предварительной проверки подлинности Kerberos и пытается получить данные TGT Kerberos. Целью злоумышленника может быть извлечение учетных данных из данных с помощью атак на взлом паролей в автономном режиме. Дополнительные сведения см. в статье Обжаривание Kerberos AS-REP (внешний идентификатор 2412).
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.140

Выпущено 14 февраля 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2021 г.

Defender для удостоверений, выпуск 2.139

Выпущено 31 января 2021 г.

• Мы обновили уровень серьезности для предполагаемого воздействия имени субъекта-службы Kerberos до высокого уровня, чтобы лучше отразить влияние оповещения. Дополнительные сведения об оповещении см. в статье Предполагаемое воздействие имени субъекта-службы Kerberos (внешний идентификатор 2410).
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.138

Выпущено 24 января 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.137

Выпущено 17 января 2021 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.136

Выпущено 3 января 2021 г.

• Defender для удостоверений теперь поддерживает установку датчиков на серверах службы федерации Active Directory (AD FS) (AD FS). Установка датчика на совместимых серверах AD FS расширяет Microsoft Defender для удостоверений видимость гибридной среды, отслеживая этот критически важный компонент инфраструктуры. Мы также обновили некоторые существующие обнаружения (создание подозрительной службы, предполагаемая атака методом подбора (LDAP),рекогносцировка перечисления учетных записей) для работы с данными AD FS. Чтобы начать развертывание датчика Microsoft Defender для удостоверений для сервера AD FS, скачайте последний пакет развертывания на странице конфигурации датчика.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2020 г.

Defender для удостоверений, выпуск 2.135

Выпущено 20 декабря 2020 г.

• Мы улучшили оповещение о рекогносцировке атрибутов Active Directory (LDAP) (внешний идентификатор 2210), чтобы также обнаруживать методы, используемые для получения сведений, необходимых для создания маркеров безопасности, например в рамках кампании Solorigate.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.134

Выпущено 13 декабря 2020 г.

• Недавно выпущенный детектор NetLogon был усовершенствован для работы при выполнении транзакции канала Netlogon через зашифрованный канал. Дополнительные сведения о детекторе см. в разделе Предполагаемая попытка повышения привилегий netlogon.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.133

Выпущено 6 декабря 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2020 г.

Defender для удостоверений, выпуск 2.132

Выпущено 17 ноября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Defender для удостоверений, выпуск 2.131

Выпущено 8 ноября 2020 г.

• Новое оповещение системы безопасности: предполагаемая уязвимость имени субъекта-службы Kerberos (внешний идентификатор 2410)
  Теперь доступно оповещение системы безопасности о предполагаемом воздействии имени субъекта-службы Kerberos (внешний идентификатор 2410) в Defender для удостоверений. В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда злоумышленник перечисляет учетные записи служб и соответствующие имена субъектов-служб, а затем запрашивает билеты kerberos TGS для служб. Целью злоумышленника может быть извлечение хэшей из билетов и их сохранение для последующего использования в атаках методом подбора в автономном режиме. Дополнительные сведения см. в статье Уязвимость имени субъекта-службы Kerberos.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Октябрь 2020

Defender для удостоверений, выпуск 2.130

Выпущено 25 октября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.129

Выпущено 18 октября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2020 г.

Azure ATP, выпуск 2.128

Выпущено 27 сентября 2020 г.

• Измененная конфигурация Уведомления по электронной почте
  Мы удаляем переключатели уведомления по почте для включения Уведомления по электронной почте. Чтобы получить Уведомления по электронной почте, просто добавьте адрес. Дополнительные сведения см. в разделе Настройка уведомлений.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.127

Выпущено 20 сентября 2020 г.

• Новое оповещение системы безопасности: предполагаемая попытка повышения привилегий netlogon (внешний идентификатор 2411)
  Теперь доступно оповещение системы безопасности о предполагаемом повышении привилегий netlogon Azure ATP (эксплуатация CVE-2020-1472) (внешний идентификатор 2411 ). В этом обнаружении оповещение системы безопасности Azure ATP активируется, когда злоумышленник устанавливает уязвимое подключение к безопасному каналу Netlogon к контроллеру домена с помощью удаленного протокола Netlogon (MS-NRPC), также известного как уязвимость повышения привилегий netlogon. Дополнительные сведения см. в разделе Предполагаемая попытка повышения привилегий netlogon.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.126

Выпущено 13 сентября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.125

Выпущено 6 сентября 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2020 г.

Azure ATP, выпуск 2.124

Выпущено 30 августа 2020 г.

• Новые оповещения системы безопасности
  Оповещения системы безопасности Azure ATP теперь включают следующие новые обнаружения:
  • Разведывательная разведка атрибутов Active Directory (LDAP) (внешний идентификатор 2210)
    При таком обнаружении оповещение системы безопасности Azure ATP активируется, когда злоумышленник подозревается в успешном получении критически важных сведений о домене для использования в цепочке атак. Дополнительные сведения см. в разделе Разведывательная разведка атрибутов Active Directory.
  • Предполагаемое использование сертификата Kerberos из изгоев (внешний идентификатор 2047)
    В этом обнаружении оповещение системы безопасности Azure ATP активируется, когда злоумышленник, который получил контроль над организацией путем компрометации сервера центра сертификации, подозревается в создании сертификатов, которые могут использоваться в качестве учетных записей backdoor в будущих атаках, таких как боковое перемещение в сети. Дополнительные сведения см. в статье Предполагаемое использование сертификата Kerberos из мошеннических устройств.
  • Предполагаемое использование золотого билета (аномалия билета с использованием RBCD) (внешний идентификатор 2040)
    Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса.
    Это кованое TGT называется "Золотым билетом", так как позволяет злоумышленникам достичь длительной сохраняемости сети с помощью ограниченного делегирования на основе ресурсов (RBCD). Поддельные золотые билеты этого типа имеют уникальные характеристики, для идентификации которых предназначено новое обнаружение. Дополнительные сведения см. в разделе Предполагаемое использование золотого билета (аномалия билета с помощью RBCD).
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.123

Выпущено 23 августа 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.122

Выпущено 16 августа 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.121

Выпущено 2 августа 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2020 г.

Azure ATP, выпуск 2.120

Выпущено 26 июля 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.119

Выпущено 5 июля 2020 г.

• Улучшение функций: вкладка "Новые исключенные контроллеры домена " в отчете Excel
  Чтобы повысить точность вычисления охвата контроллера домена, мы исключим контроллеры домена с внешним доверием из расчета, чтобы достичь 100 % охвата. Исключенные контроллеры домена будут отображаться на вкладке новые исключенные контроллеры домена при скачивании отчета Excel об охвате домена. Сведения о скачивании отчета см. в разделе Состояние контроллера домена.
• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июнь 2020 г.

Azure ATP, выпуск 2.118

Выпущено 28 июня 2020 г.

• Новые оценки безопасности
  Оценки безопасности Azure ATP теперь включают следующие новые оценки:

  • Наиболее рискованные пути бокового смещения
    Эта оценка постоянно отслеживает среду для выявления конфиденциальных учетных записей с наиболее рискованными путями бокового перемещения, которые подвергаются риску безопасности, и создает отчеты об этих учетных записях, чтобы помочь вам в управлении средой. Пути считаются рискованными, если у них есть три или более не конфиденциальных учетных записей, которые могут подвергать конфиденциальную учетную запись краже учетных данных злоумышленниками. Дополнительные сведения см. в разделе Оценка безопасности: наиболее рискованные пути бокового смещения (LMP).
  • Небезопасные атрибуты учетной записи
    Эта оценка Azure ATP постоянно отслеживает среду для выявления учетных записей со значениями атрибутов, которые подвергаются риску безопасности, и сообщает об этих учетных записях, чтобы помочь вам защитить среду. Дополнительные сведения см. в разделе Оценка безопасности: небезопасные атрибуты учетной записи.

• Обновлено определение конфиденциальности
  Мы расширяем определение конфиденциальности для локальных учетных записей, чтобы включить сущности, которым разрешено использовать репликацию Active Directory.

Azure ATP, выпуск 2.117

Выпущено 14 июня 2020 г.

• Улучшение функций: дополнительные сведения о действиях, доступные в едином интерфейсе SecOps.
  Мы расширили сведения об устройстве, отправляемые Defender for Cloud Apps включая имена устройств, IP-адреса, имена участников-пользователей учетных записей и используемый порт. Дополнительные сведения об интеграции с Defender for Cloud Apps см. в статье Использование Azure ATP с Defender for Cloud Apps.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.116

Выпущено 7 июня 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2020 г.

Azure ATP, выпуск 2.115

Выпущено 31 мая 2020 г.

• Новые оценки безопасности
  Оценки безопасности Azure ATP теперь включают следующие новые оценки:

  • Небезопасные атрибуты журнала sid
    Эта оценка сообщает об атрибутах журнала идентификаторов безопасности, которые могут использоваться злоумышленниками для получения доступа к вашей среде. Дополнительные сведения см. в статье Оценка безопасности: небезопасные атрибуты журнала безопасности.
  • Использование Microsoft LAPS
    Эта оценка сообщает об учетных записях локальных администраторов, которые не используют решение майкрософт для защиты паролей локального администратора (LAPS). Использование LAPS упрощает управление паролями, а также помогает защититься от кибератак. Дополнительные сведения см. в статье Оценка безопасности: использование Microsoft LAPS.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.114

Выпущено 17 мая 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.113

Выпущено 5 мая 2020 г.

• Усовершенствование функции: расширенный доступ к ресурсам с помощью NTLMv1
  Начиная с этой версии, Azure ATP теперь предоставляет сведения о действиях доступа к ресурсам, показывающие, использует ли ресурс проверку подлинности NTLMv1. Эта конфигурация ресурсов небезопасна и создает риск того, что злоумышленники могут принудительно использовать приложение в своих интересах. Дополнительные сведения о риске см. в статье Использование устаревших протоколов.

• Улучшение функции: предупреждение о предполагаемой атаке методом подбора (Kerberos, NTLM)
  Атака методом подбора используется злоумышленниками, чтобы закрепиться в вашей организации и является ключевым методом обнаружения угроз и рисков в Azure ATP. Чтобы помочь вам сосредоточиться на критических рисках для пользователей, это обновление упрощает и ускоряет анализ и устранение рисков, ограничивая и приоритизируя объем оповещений.

Март 2020 г.

Azure ATP, выпуск 2.112

Выпущено 15 марта 2020 г.

• Новые экземпляры Azure ATP автоматически интегрируются с Microsoft Defender for Cloud Apps
  При создании экземпляра Azure ATP (ранее экземпляра) интеграция с Microsoft Defender for Cloud Apps включена по умолчанию. Дополнительные сведения об интеграции см. в статье Использование Azure ATP с Microsoft Defender for Cloud Apps.

• Новые отслеживаемые действия
  Теперь доступны следующие мониторы действий:

  • Интерактивный вход с помощью сертификата

  • Сбой входа с помощью сертификата

  • Делегированный доступ к ресурсам

    Узнайте больше о том, какие действия отслеживает Azure ATP, а также как фильтровать и искать отслеживаемые действия на портале.

• Усовершенствование функции: расширенный доступ к ресурсам
  Начиная с этой версии, Azure ATP теперь предоставляет сведения о действиях доступа к ресурсам, показывающие, является ли ресурс доверенным для неограниченного делегирования. Эта конфигурация ресурсов небезопасна и создает риск того, что злоумышленники могут принудительно использовать приложение в своих интересах. Дополнительные сведения о риске см. в статье Оценка безопасности: небезопасное делегирование Kerberos.

• Предполагаемая обработка пакетов SMB (эксплуатация CVE-2020-0796) — (предварительная версия)
  Оповещение системы безопасности о предполагаемой обработке пакетов SMB Azure ATP теперь доступно в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности Azure ATP активируется, когда пакет SMBv3, подозреваемый в использовании уязвимости безопасности CVE-2020-0796 , создается в отношении контроллера домена в сети.

Azure ATP, выпуск 2.111

Выпущено 1 марта 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2020 г.

Azure ATP, выпуск 2.110

Выпущено 23 февраля 2020 г.

• Новая оценка безопасности: неуправляемые контроллеры домена
  Оценки безопасности Azure ATP теперь включают отчет о неуправляемых контроллерах домена, серверах без датчика, которые помогут вам управлять полным охватом вашей среды. Дополнительные сведения см. в разделе Неуправляемые контроллеры домена.

Azure ATP, выпуск 2.109

Выпущено 16 февраля 2020 г.

• Улучшение функций: конфиденциальные сущности
  Начиная с этой версии (2.109), компьютеры, определенные azure ATP как центр сертификации, DHCP или DNS-серверы, теперь автоматически помечаются как конфиденциальные.

Azure ATP, выпуск 2.108

Выпущено 9 февраля 2020 г.

• Новая функция: поддержка групповых управляемых учетных записей служб
  Azure ATP теперь поддерживает использование групповых управляемых учетных записей служб (gMSA) для повышения безопасности при подключении датчиков Azure ATP к Microsoft Entra лесам. Дополнительные сведения об использовании gMSA с датчиками Azure ATP см. в статье Подключение к лесу Active Directory.

• Улучшение функции: запланированный отчет с слишком большим объемом данных
  Если в запланированном отчете слишком много данных, сообщение электронной почты уведомляет вас об этом, отображая следующий текст: В течение указанного периода было слишком много данных для создания отчета. Это заменяет предыдущее поведение, обнаруживающее только факт после нажатия ссылки на отчет в сообщении электронной почты.

• Усовершенствование функций: обновлена логика покрытия контроллера домена
  Мы обновили логику отчета об охвате контроллера домена, чтобы включить дополнительную информацию из Microsoft Entra ID, что привело к более точному просмотру контроллеров домена без датчиков на них. Эта новая логика также должна положительно влиять на соответствующую оценку безопасности Майкрософт.

Azure ATP, выпуск 2.107

Выпущено 3 февраля 2020 г.

• Новое отслеживаемое действие: изменение журнала безопасности
  Изменение журнала безопасности теперь является отслеживаемым и фильтруемым действием. Узнайте больше о том, какие действия отслеживает Azure ATP, а также как фильтровать и искать отслеживаемые действия на портале.

• Улучшение функции: закрытые или подавленные оповещения больше не открываются повторно
  Когда оповещение закрывается или подавляется на портале Azure ATP, если в течение короткого периода времени снова обнаруживается то же действие, открывается новое оповещение. Ранее при аналогичных условиях оповещение было повторно открыто.

• Tls 1.2 требуется для доступа к порталу и датчиков
  Протокол TLS 1.2 теперь необходим для использования датчиков Azure ATP и облачной службы. Доступ к порталу Azure ATP больше не будет возможен с помощью браузеров, которые не поддерживают TLS 1.2.

Январь 2020 г.

Azure ATP, выпуск 2.106

Выпущено 19 января 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.105

Выпущено 12 января 2020 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2019 г.

Azure ATP, выпуск 2.104

Выпущено 23 декабря 2019 г.

• Исключены истечение срока действия версий датчика
  Срок действия пакетов для развертывания и установки датчиков Azure ATP больше не истекает после нескольких версий и теперь обновляется только один раз. Результатом этой функции является то, что ранее загруженные пакеты установки датчика теперь можно установить, даже если они старше, чем максимальное число устаревших версий.

• Подтверждение компрометации
  Теперь вы можете подтвердить компрометацию определенных пользователей Microsoft 365 и установить высокий уровень риска. Этот рабочий процесс предоставляет группам по операциям безопасности еще одну возможность реагирования, чтобы снизить пороговые значения времени для устранения инцидентов безопасности. Узнайте больше о том, как подтвердить компрометацию с помощью Azure ATP и Defender for Cloud Apps.

• Баннер "Новый интерфейс"
  На страницах портала Azure ATP, где на портале Defender for Cloud Apps доступен новый интерфейс, отображаются новые баннеры с описанием доступных ссылок для доступа.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.103

Выпущено 15 декабря 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.102

Выпущено 8 декабря 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2019 г.

Azure ATP, выпуск 2.101

Выпущено 24 ноября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.100

Выпущено 17 ноября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.99

Выпущено 3 ноября 2019 г.

• Усовершенствование функций: добавлено уведомление пользовательского интерфейса о доступности портала Defender for Cloud Apps на портале Azure ATP.
  Чтобы все пользователи знали о доступности расширенных функций, доступных с помощью портала Defender for Cloud Apps, для портала было добавлено уведомление из существующего временная шкала оповещения Azure ATP.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Октябрь 2019

Azure ATP, выпуск 2.98

Выпущено 27 октября 2019 г.

• Улучшение функции: предупреждение о предполагаемой атаке методом подбора
  Улучшено оповещение О предполагаемой атаке методом подбора (SMB) с помощью дополнительного анализа, а также улучшена логика обнаружения, чтобы уменьшить результаты оповещений о неопасных истинноположительных (B-TP) и ложноположительных (FP).

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.97

Выпущено 6 октября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сентябрь 2019

Azure ATP, выпуск 2.96

Выпущено 22 сентября 2019 г.

• Расширенные данные проверки подлинности NTLM с помощью события Windows 8004
  Датчики Azure ATP теперь могут автоматически считывать действия проверки подлинности NTLM и дополнять их данными сервера, когда аудит NTLM включен, а событие Windows 8004 включено. Azure ATP анализирует событие Windows 8004 для проверки подлинности NTLM, чтобы дополнить данные проверки подлинности NTLM, используемые для анализа угроз и оповещений Azure ATP. Эта расширенная возможность предоставляет действия доступа к ресурсам через данные NTLM, а также расширенные действия с ошибкой входа, включая конечный компьютер, к которому пользователь попытался получить доступ, но не смог получить доступ.

  Дополнительные сведения о действиях проверки подлинности NTLM с помощью события Windows 8004.

• Версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.95

Выпущено 15 сентября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.94

Выпущено 8 сентября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.93

Выпущено 1 сентября 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Август 2019

Azure ATP, выпуск 2.92

Выпущено 25 августа 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.91

Выпущено 18 августа 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.90

Выпущено 11 августа 2019 г.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.89

Выпущено 4 августа 2019 г.

• Улучшения методов датчика
  Чтобы избежать избыточного создания трафика NTLM при создании точных оценок пути бокового перемещения (LMP), в методы датчиков Azure ATP были внесены улучшения, чтобы меньше полагаться на использование NTLM и более значительное использование Kerberos.

• Улучшение оповещений: предполагаемое использование Golden Ticket (несуществующая учетная запись)
  Изменения имени SAM были добавлены в вспомогательные типы доказательств, перечисленные в этом типе оповещений. Дополнительные сведения об оповещении, в том числе о том, как предотвратить этот тип действий и устранить его, см. в статье Предполагаемое использование Золотого билета (несуществующая учетная запись).

• Общедоступная доступность: предполагаемое изменение проверки подлинности NTLM
  Оповещение о предполагаемом изменении проверки подлинности NTLM больше не находится в режиме предварительной версии и теперь общедоступно.

• Версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июль 2019

Azure ATP, выпуск 2.88

Выпущено 28 июля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.87

Выпущено 21 июля 2019 г.

• Улучшение функций: автоматизированный сбор событий системного журнала для автономных датчиков Azure ATP
  Входящие подключения системного журнала для автономных датчиков Azure ATP теперь полностью автоматизированы, при этом параметр переключателя удаляется с экрана конфигурации. Эти изменения не влияют на исходящие подключения системного журнала.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.86

Выпущено 14 июля 2019 г.

• Новое оповещение системы безопасности: подозрительное изменение проверки подлинности NTLM (внешний идентификатор 2039)
  Новое оповещение системы безопасности о предполагаемом изменении проверки подлинности NTLM azure ATP теперь доступно в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности Azure ATP активируется при подозрении на использование атаки "человек в середине" в успешном обходе проверки целостности сообщений NTLM (MIC), уязвимости безопасности, подробно описанной в microsoft CVE-2019-040. Эти типы атак пытаются понизить уровень функций безопасности NTLM и успешно пройти проверку подлинности, а конечная цель заключается в успешном боковом перемещении.

• Усовершенствование функций: расширенная идентификация операционной системы устройства
  До сих пор Azure ATP предоставляла сведения об операционной системе устройства сущности на основе доступного атрибута в Active Directory. Ранее, если сведения об операционной системе были недоступны в Active Directory, они также были недоступны на страницах сущностей Azure ATP. Начиная с этой версии, Azure ATP теперь предоставляет эти сведения для устройств, на которых Active Directory не имеет этих сведений или не зарегистрирован в Active Directory, с помощью расширенных методов идентификации операционной системы устройства.

  Добавление обогащенных данных идентификации операционной системы помогает выявлять незарегистрированные и нерегистрированные устройства, одновременно помогая в процессе исследования. Дополнительные сведения о разрешении сетевых имен в Azure ATP см. в статье Общие сведения о разрешении сетевых имен (NNR).

• Новая функция: прокси-сервер с проверкой подлинности — предварительная версия
  Azure ATP теперь поддерживает прокси-сервер с проверкой подлинности. Укажите URL-адрес прокси-сервера с помощью командной строки датчика и укажите имя пользователя или пароль для использования прокси-серверов, требующих проверки подлинности. Дополнительные сведения об использовании прокси-сервера с проверкой подлинности см. в разделе Настройка прокси-сервера.

• Усовершенствование функций: процесс автоматического синхронизатора домена
  Процесс назначения и добавления тегов контроллеров домена в качестве кандидатов синхронизаторов домена во время установки и текущей настройки теперь полностью автоматизирован. Параметр переключателя для ручного выбора контроллеров домена в качестве кандидатов синхронизатора домена удаляется.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.85

Выпущено 7 июля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.84

Выпущено 1 июля 2019 г.

• Поддержка нового расположения: центр обработки данных Azure в Великобритании
  Экземпляры Azure ATP теперь поддерживаются в центре обработки данных Azure в Великобритании. Дополнительные сведения о создании экземпляров Azure ATP и их расположениях в центрах обработки данных см. в разделе Шаг 1 установки Azure ATP.

• Улучшение функции: новое имя и функции для оповещения о подозрительных добавлениях в конфиденциальные группы (внешний идентификатор 2024)
  Оповещение подозрительных добавлений в конфиденциальные группы ранее называлось оповещением о подозрительных изменениях в конфиденциальных группах. Внешний идентификатор оповещения (id 2024) остается прежним. Изменение описательного имени более точно отражает цель оповещения о добавлении в конфиденциальные группы. Расширенное оповещение также содержит новые доказательства и улучшенные описания. Дополнительные сведения см. в разделе Подозрительные добавления в конфиденциальные группы.

• Новая функция документации: руководство по переходу с Advanced Threat Analytics на Azure ATP
  Эта новая статья содержит предварительные требования, рекомендации по планированию, а также инструкции по настройке и проверке для перехода с ATA на службу Azure ATP. Дополнительные сведения см. в статье Переход с ATA на Azure ATP.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Июнь 2019 г.

Azure ATP, выпуск 2.83

Выпущено 23 июня 2019 г.

• Улучшение функции: оповещение о подозрительном создании службы (внешний идентификатор 2026)
  Это оповещение теперь содержит улучшенную страницу оповещений с дополнительными доказательствами и новым описанием. Дополнительные сведения см. в разделе Оповещение системы безопасности о подозрительном создании службы.

• Поддержка именования экземпляров: добавлена поддержка префикса домена только для цифр.
  Добавлена поддержка создания экземпляра Azure ATP с использованием начальных префиксов домена, содержащих только цифры. Например, теперь поддерживается использование начальных префиксов домена только цифрами, таких как 123456.contoso.com.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.82

Выпущено 18 июня 2019 г.

• Новая общедоступная предварительная версия
  Интерфейс исследования угроз идентификации Azure ATP теперь доступен в общедоступной предварительной версии и доступен для всех клиентов, защищенных Azure ATP. Дополнительные сведения см. в статье Azure ATP Microsoft Defender for Cloud Apps опыт исследования.

• Общая доступность
  Поддержка Azure ATP для ненадежных лесов теперь доступна в общедоступной версии. Дополнительные сведения см. в статье Azure ATP с несколькими лесами .

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.81

Выпущено 10 июня 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.80

Выпущено 2 июня 2019 г.

• Усовершенствование функции: оповещение о подозрительном VPN-подключении
  Это оповещение теперь включает расширенные доказательства и тексты для повышения удобства использования. Дополнительные сведения о функциях оповещений и рекомендуемых шагах по исправлению и предотвращении см. в описании оповещений о подозрительном VPN-подключении.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Май 2019 г.

Azure ATP, выпуск 2.79

Выпущено 26 мая 2019 г.

• Общая доступность: рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038)

  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения об оповещении, функциях оповещений и предлагаемых исправлениях и предотвращении см. в описании оповещений субъекта безопасности (LDAP)

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.78

Выпущено 19 мая 2019 г.

• Улучшение функций: конфиденциальные сущности
  Добавление тегов с учетом вручную для серверов Exchange Server

  Теперь вы можете вручную пометить сущности как серверы Exchange Во время настройки.

  Чтобы вручную пометить сущность как Exchange Server:

  1. На портале Azure ATP выберите Конфигурация.
  2. В разделе Обнаружение выберите Теги сущностей, а затем — Конфиденциально.
  3. Выберите Серверы Exchange, а затем добавьте сущность, которую вы хотите пометить тегом.

  После пометки компьютера как Exchange Server он будет помечен как конфиденциальный и отобразится, что он помечен как Exchange Server. Тег "Конфиденциальный" появится в профиле сущности компьютера, и компьютер будет учитываться во всех обнаружениях, основанных на конфиденциальных учетных записях и путях бокового перемещения.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.77

Выпущено 12 мая 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.76

Выпущено 6 мая 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Апрель 2019 г.

Azure ATP, выпуск 2.75

Выпущено 28 апреля 2019 г.

• Улучшение функций: конфиденциальные сущности
  Начиная с этой версии (2.75), компьютеры, определенные Azure ATP как серверы Exchange Server, теперь автоматически помечаются как конфиденциальные.

  Сущности, которые автоматически помечены как конфиденциальные , так как они работают как серверы Exchange, перечисляют эту классификацию как причину, по которой они помечаются тегами.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.74

Выпущено 14 апреля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.73

Выпущено 10 апреля 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Март 2019 г.

Azure ATP, выпуск 2.72

Выпущено 31 марта 2019 г.

• Улучшение функции: глубина пути бокового смещения (LMP)
  Пути бокового смещения (LMP) — это ключевой метод обнаружения угроз и рисков в Azure ATP. Чтобы сосредоточиться на критических рисках для наиболее конфиденциальных пользователей, это обновление упрощает и ускоряет анализ и устранение рисков для конфиденциальных пользователей на каждом LMP, ограничивая область и глубину каждого отображаемого графика.

  Дополнительные сведения о том, как Azure ATP использует LMP для покрытия рисков доступа к каждой сущности в вашей среде, см. в статье Пути бокового перемещения .

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.71

Выпущено 24 марта 2019 г.

• Усовершенствование функций: оповещения о работоспособности разрешения сетевых имен (NNR)
  Добавлены оповещения о работоспособности для уровней доверия, связанных с оповещениями системы безопасности Azure ATP, основанными на NNR. Каждое оповещение о работоспособности содержит практические и подробные рекомендации, которые помогут устранить низкие показатели успешного выполнения NNR.

  Дополнительные сведения о том, как Azure ATP использует NNR и почему это важно для точности оповещений, см. в статье Что такое разрешение сетевых имен .

• Поддержка сервера: добавлена поддержка для Server 2019 с использованием KB4487044
  Добавлена поддержка использования Windows Server 2019 с уровнем исправления KB4487044. Использование Server 2019 без исправления не поддерживается и блокируется начиная с этого обновления.

• Усовершенствование функции: исключение оповещений на основе пользователей
  Параметры расширенного исключения оповещений теперь позволяют исключать конкретных пользователей из определенных оповещений. Исключения помогают избежать ситуаций, когда использование или настройка определенных типов внутреннего программного обеспечения неоднократно активировали небезопасные оповещения системы безопасности.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.70

Выпущено 17 марта 2019 г.

• Улучшение функции: уровень доверия разрешения сетевых имен (NNR) добавлен для нескольких оповещений Разрешение сетевых имен или (NNR) используется для положительной идентификации исходной сущности предполагаемых атак. Добавив уровни достоверности NNR в списки свидетельств оповещений Azure ATP, вы можете мгновенно оценить и понять уровень достоверности NNR, связанный с возможными источниками, и соответствующим образом исправить.

  Доказательства уровня достоверности NNR были добавлены к следующим оповещениям:

  • Разведывательная разведка сопоставления сети (DNS)
  • Подозрение на кражу удостоверений (pass-the-ticket)
  • Предполагаемая атака ретранслятора NTLM (учетная запись Exchange) — предварительная версия
  • Предполагаемая атака DCSync (репликация служб каталогов)

• Дополнительный сценарий оповещения о работоспособности: не удалось запустить службу датчика Azure ATP
  В случаях, когда не удалось запустить датчик Azure ATP из-за проблемы с драйвером захвата сети, теперь активируется оповещение о работоспособности датчика. Устранение неполадок датчика Azure ATP с журналами Azure ATP для получения дополнительных сведений о журналах Azure ATP и их использовании.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.69

Выпущено 10 марта 2019 г.

• Улучшение функции: оповещение о предполагаемой краже удостоверений (pass-the-ticket) Это оповещение теперь содержит новые свидетельства, показывающие сведения о подключениях, выполненных по протоколу удаленного рабочего стола (RDP). Добавленные доказательства упрощают устранение известной проблемы (B-TP) Benign-True положительных оповещений, вызванных использованием удаленной проверки учетных данных через подключения RDP.

• Усовершенствование функции: оповещение о удаленном выполнении кода через DNS
  Теперь в этом оповещении отображаются новые свидетельства о состоянии обновления безопасности контроллера домена, информирующие о необходимости обновлений.

• Новая функция документации: Оповещение системы безопасности Azure ATP MITRE ATT&матрица™ CK
  Чтобы объяснить и упростить сопоставление связи между оповещениями системы безопасности Azure ATP и знакомой матрицей MITRE ATT&CK, мы добавили соответствующие методы MITRE в списки оповещений системы безопасности Azure ATP. Этот дополнительный справочник упрощает понимание метода предполагаемой атаки, потенциально используемого при срабатывании оповещения системы безопасности Azure ATP. Дополнительные сведения см. в руководстве по оповещениям системы безопасности Azure ATP.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.68

Выпущено 3 марта 2019 г.

• Усовершенствование функции: предупреждение о предполагаемой атаке методом подбора (LDAP)
  В это оповещение системы безопасности были внесены значительные улучшения в удобство использования, включая измененное описание, предоставление дополнительных исходных сведений и сведения о попытке угадок для более быстрого исправления.
  Узнайте больше об оповещениях системы безопасности о предполагаемой атаке методом подбора (LDAP).

• Новая функция документации: лаборатория оповещений системы безопасности
  Чтобы объяснить возможности Azure ATP по обнаружению реальных угроз для рабочей среды, мы добавили в эту документацию новую лабораторию оповещений системы безопасности . Лаборатория оповещений системы безопасности помогает быстро настроить лабораторию или тестовую среду, а также объясняет лучшие защитные результаты против распространенных реальных угроз и атак.

  Пошаговая лаборатория предназначена для того, чтобы вы потратили минимальное время на создание и больше времени на изучение ландшафта угроз, доступных оповещений и защиты Azure ATP. Мы рады услышать ваши отзывы.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Февраль 2019 г.

Azure ATP, выпуск 2.67

Выпущено 24 февраля 2019 г.

• Новое оповещение системы безопасности: разведывательная проверка субъекта безопасности (LDAP) — (предварительная версия)
  Разведывательная разведка субъекта безопасности Azure ATP (LDAP) — предварительная версия оповещения системы безопасности теперь доступна в общедоступной предварительной версии. При таком обнаружении оповещение системы безопасности Azure ATP активируется, когда злоумышленники используют разведку субъекта безопасности для получения критически важных сведений о среде домена. Эти сведения помогают злоумышленникам сопоставить структуру домена, а также определить привилегированные учетные записи для использования на последующих шагах в цепочке уничтожения атак.

  Протокол LDAP — это один из самых популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory. Рекогносцировка, ориентированная на LDAP, обычно используется в качестве первого этапа атаки Kerberoasting. Атаки Kerberoasting используются для получения целевого списка имен субъектов безопасности (SPN), для которого злоумышленники затем пытаются получить билеты на сервер предоставления билетов (TGS).

• Усовершенствование функции: оповещение о рекогносцировки перечисления учетных записей (NTLM)
  Улучшено оповещение о переборе перечисления учетных записей (NTLM) с использованием дополнительного анализа и улучшена логика обнаружения для уменьшения результатов оповещений B-TP и FP .

• Усовершенствование функций: оповещение о рекогносцировки сетевого сопоставления (DNS)
  Новые типы обнаружения, добавленные в оповещения о рекогносцировках сетевого сопоставления (DNS). В дополнение к обнаружению подозрительных запросов AXFR Azure ATP теперь обнаруживает подозрительные типы запросов, исходящих с серверов, не относящихся к DNS, с использованием чрезмерного количества запросов.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.66

Выпущено 17 февраля 2019 г.

• Улучшение функции: предупреждение о предполагаемой атаке DCSync (репликация служб каталогов)
  В это оповещение системы безопасности были внесены улучшения в удобство использования, включая измененное описание, предоставление дополнительных исходных сведений, новую инфографику и дополнительные доказательства. Узнайте больше об оповещениях системы безопасности о предполагаемой атаке DCSync (репликация служб каталогов).

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.65

Выпущено 10 февраля 2019 г.

• Новое оповещение системы безопасности: предполагаемая атака ретранслятора NTLM (учетная запись Exchange) — (предварительная версия)
  Предполагаемая атака ретранслятора NTLM Azure ATP (учетная запись Exchange) — предварительная версия оповещения системы безопасности теперь доступна в общедоступной предварительной версии. При таком обнаружении при обнаружении учетных данных учетной записи Exchange из подозрительного источника активируется оповещение системы безопасности Azure ATP. Эти типы атак пытаются использовать методы ретрансляции NTLM для получения привилегий обмена контроллером домена и называются ExchangePriv. Дополнительные сведения о методе ExchangePriv см. в рекомендациях по ADV190007 , впервые опубликованных 31 января 2019 г., и в ответе на оповещения Azure ATP.

• Общая доступность: удаленное выполнение кода через DNS
  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения и функции оповещений см. на странице Описания оповещений удаленного выполнения кода через DNS.

• Общедоступная доступность: утечка данных через SMB
  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения и функции оповещений см. на странице Описания оповещений о краже данных через SMB.

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.64

Выпущено 4 февраля 2019 г.

• Общая доступность: предполагаемое использование Golden Ticket (аномалия билета)
  Это оповещение теперь находится в общедоступной версии (общедоступная версия). Дополнительные сведения и функции оповещений см. на странице описания оповещений о предполагаемом использовании золотого билета (аномалия билета).

• Улучшение функций: разведывательная разведка сетевого сопоставления (DNS)
  Улучшенная логика обнаружения оповещений, развернутая для этого оповещения, чтобы свести к минимуму ложные срабатывания и шум оповещений. Это оповещение теперь имеет период обучения в восемь дней, прежде чем оповещение может активироваться в первый раз. Дополнительные сведения об этом оповещении см. на странице описания оповещений о разведывательном сопоставлении сети (DNS).

  Из-за расширения этого оповещения метод nslookup больше не должен использоваться для проверки подключения Azure ATP во время начальной настройки.

• Усовершенствование функций:
  Эта версия включает переработанные страницы оповещений и новые доказательства, обеспечивающие более эффективное исследование оповещений.

  • Предполагаемая атака методом подбора (SMB)
  • Страница описания оповещений о предполагаемом использовании Golden Ticket (аномалия времени)
  • Предполагаемая атака путепровода с хэшом (Kerberos)
  • Предполагаемое использование платформы взлома Metasploit
  • Предполагаемая атака программы-шантажиста WannaCry

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Январь 2019 г.

Azure ATP, выпуск 2.63

Выпущено 27 января 2019 г.

• Новая функция: поддержка ненадежных лесов — (предварительная версия)
  Поддержка Azure ATP датчиков в недоверенных лесах теперь доступна в общедоступной предварительной версии. На странице Службы каталогов портала Azure ATP настройте дополнительные наборы учетных данных, чтобы позволить датчикам Azure ATP подключаться к разным лесам Active Directory и отправлять отчеты в службу Azure ATP. Дополнительные сведения см. в статье Azure ATP с несколькими лесами .

• Новая функция: охват контроллера домена
  Azure ATP теперь предоставляет сведения о покрытии для отслеживаемых контроллеров домена Azure ATP.
  На странице Датчики портала Azure ATP просмотрите количество отслеживаемых и неустранимых контроллеров домена, обнаруженных Azure ATP в вашей среде. Скачайте список отслеживаемых контроллеров домена для дальнейшего анализа и создания плана действий. Дополнительные сведения см. в руководстве по мониторингу контроллера домена .

• Усовершенствование функций: разведывательная разведка перечисления учетных записей
  Обнаружение рекогносцировки перечисления учетной записи Azure ATP теперь обнаруживает и выдает оповещения о попытках перечисления с помощью Kerberos и NTLM. Ранее обнаружение работало только для попыток с помощью Kerberos. Дополнительные сведения см. в статье Разведывательные оповещения Azure ATP .

• Усовершенствование функции: оповещение о попытке удаленного выполнения кода

  • Все действия удаленного выполнения, такие как создание службы, выполнение WMI и новое выполнение PowerShell, были добавлены в профиль временная шкала целевого компьютера. Конечный компьютер — это контроллер домена, на котором была выполнена команда.
  • Выполнение PowerShell добавлено в список действий удаленного выполнения кода, перечисленных в временная шкала оповещения профиля сущности.
  • Дополнительные сведения см. в статье Попытка удаленного выполнения кода .

• Windows Server 2019 проблема LSASS и Azure ATP
  В ответ на отзывы клиентов об использовании Azure ATP с контроллерами домена, работающими Windows Server 2019 г., это обновление включает в себя дополнительную логику, которая позволяет избежать активации сообщаемого поведения на компьютерах Windows Server 2019. Полная поддержка датчика Azure ATP в Windows Server 2019 планируется в будущем обновлении Azure ATP, однако установка и запуск Azure ATP на Windows Server 2019 в настоящее время не поддерживается. Дополнительные сведения см. в статье Требования к датчику Azure ATP .

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.62

Выпущено 20 января 2019 г.

• Новое оповещение системы безопасности: удаленное выполнение кода через DNS — (предварительная версия)
  Оповещение системы безопасности Удаленное выполнение кода Azure ATP через DNS теперь доступно в общедоступной предварительной версии. В этом обнаружении оповещение системы безопасности Azure ATP активируется, когда dns-запросы, подозреваемые в использовании уязвимости безопасности CVE-2018-8626 , выполняются к контроллеру домена в сети.

• Усовершенствование функции: 72-часовое обновление датчика с задержкой
  Изменен параметр для задержки обновлений датчиков на выбранных датчиках до 72 часов (вместо предыдущей 24-часовой задержки) после каждого обновления выпуска Azure ATP. Инструкции по настройке см. в статье Обновление датчика Azure ATP .

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.61

Выпущено 13 января 2019 г.

• Новое оповещение системы безопасности: утечка данных через SMB — (предварительная версия)
  Оповещение системы безопасности Azure ATP о краже данных через SMB теперь доступно в общедоступной предварительной версии. Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, злоумышленники могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса.

• Усовершенствование функции: оповещение системы безопасности о попытках удаленного выполнения кода
  Добавлены новое описание оповещений и дополнительные доказательства, которые помогут упростить понимание оповещений и улучшить рабочие процессы исследования.

• Усовершенствование функции: логические действия запросов DNS
  В отслеживаемые действия Azure ATP добавлены дополнительные типы запросов, включая TXT, MX, NS, SRV, ANY, DNSKEY.

• Улучшение функции: предполагаемое использование Golden Ticket (аномалия билета) и предполагаемое использование Golden Ticket (несуществующая учетная запись)
  Улучшенная логика обнаружения была применена к обоим оповещениям, чтобы уменьшить количество оповещений FP и обеспечить более точные результаты.

• Усовершенствование функций: документация по оповещениям системы безопасности Azure ATP
  Документация по оповещениям системы безопасности Azure ATP была усовершенствована и расширена, включив в нее более подробные описания оповещений, более точные классификации оповещений и объяснения доказательств, исправлений и предотвращения. Ознакомьтесь с новой документацией по оповещениям системы безопасности, используя следующие ссылки:

  • Оповещения системы безопасности Azure ATP
  • Основные сведения об оповещениях системы безопасности
    • Оповещения этапа рекогносцировки
    • Оповещения этапа компрометации учетных данных
    • Оповещения этапа бокового смещения
    • Оповещения этапа захвата управления доменом
    • Оповещения этапа кражи данных
  • Исследование компьютера
  • Исследование пользователя

• Эта версия также включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.60

Выпущено 6 января 2019 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Декабрь 2018 г.

Azure ATP, выпуск 2.59

Выпущено 16 декабря 2018 г.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.58

Выпущено 9 декабря 2018 г.

• Улучшение оповещений системы безопасности: разделение оповещений о необычной реализации протокола
  Серия оповещений системы безопасности о необычных реализациях протокола Azure ATP, которые ранее использовали 1 externalId (2002), теперь разделена на четыре отличительных оповещения с соответствующим уникальным внешним идентификатором.

Новые внешние идентификаторы оповещений

Новое имя оповещения системы безопасности	Предыдущее имя оповещения системы безопасности	Уникальный внешний идентификатор
Предполагаемая атака методом подбора (SMB)	Необычная реализация протокола (потенциальное использование вредоносных средств, таких как Hydra)	2033
Предполагаемая атака путепровода с хэшом (Kerberos)	Необычная реализация протокола Kerberos (потенциальная атака с помощью overpass-the-hash)	2002
Предполагаемое использование платформы взлома Metasploit	Необычная реализация протокола (возможное использование средств взлома Metasploit)	2034
Предполагаемая атака программы-шантажиста WannaCry	Необычная реализация протокола (потенциальная атака программы-шантажиста WannaCry)	2035

• Новое отслеживаемое действие: копирование файлов через SMB
  Копирование файлов с помощью SMB теперь является отслеживаемым и фильтруемым действием. Узнайте больше о том, какие действия отслеживает Azure ATP, а также как фильтровать и искать отслеживаемые действия на портале.

• Улучшение изображения большого бокового смещения
  При просмотре больших путей бокового смещения Azure ATP теперь выделяет только узлы, подключенные к выбранной сущности, вместо размытия других узлов. Это изменение значительно повышает скорость отрисовки больших LMP.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Azure ATP, выпуск 2.57

Выпущено 2 декабря 2018 г.

• Новое оповещение системы безопасности: предполагаемое использование билета Golden — аномалия билета (предварительная версия)
  Предполагаемое использование Золотого билета Azure ATP — оповещение системы безопасности об аномалии билета теперь доступно в общедоступной предварительной версии. Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, злоумышленники могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса.

  Этот кованый TGT называется "Золотым билетом", так как он позволяет злоумышленникам достичь длительной сетевой устойчивости. Поддельные золотые билеты этого типа имеют уникальные характеристики, для идентификации которых предназначено новое обнаружение.

• Усовершенствование функций: автоматическое создание экземпляра (экземпляра) Azure ATP
  С сегодняшнего дня экземпляры Azure ATP переименованы в экземпляры Azure ATP. Azure ATP теперь поддерживает один экземпляр Azure ATP для каждой учетной записи Azure ATP. Экземпляры для новых клиентов создаются с помощью мастера создания экземпляров на портале Azure ATP. С этим обновлением существующие экземпляры Azure ATP автоматически преобразуются в экземпляры Azure ATP.

  • Упрощенное создание экземпляра для ускорения развертывания и защиты с помощью создания экземпляра Azure ATP.
  • Конфиденциальность и соответствие данных остаются неизменными.

  Дополнительные сведения об экземплярах Azure ATP см. в статье Создание экземпляра Azure ATP.

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Ноябрь 2018 г.

Azure ATP, выпуск 2.56

Выпущено 25 ноября 2018 г.

• Усовершенствование функции: пути бокового перемещения (LMP)
  Для расширения возможностей пути бокового перемещения Azure ATP (LMP) добавлены две дополнительные функции:

  • Журнал LMP теперь сохраняется и обнаруживается для каждой сущности, а также при использовании отчетов LMP.
  • Следуйте за сущностью в LMP через действие временная шкала и исследуйте, используя дополнительные доказательства, предоставленные для обнаружения потенциальных путей атаки.

  Дополнительные сведения об использовании и исследовании с помощью расширенных LMP см. в статье Пути бокового перемещения Azure ATP .

• Улучшения документации: пути бокового перемещения, имена оповещений системы безопасности
  Добавлены и обновлены статьи Azure ATP с описанием и функциями пути бокового перемещения. Для всех экземпляров старых имен оповещений системы безопасности было добавлено сопоставление имен с новыми именами и внешними идентификаторами.

  • Дополнительные сведения см . в разделах Пути бокового перемещения Azure ATP, Исследование путей бокового перемещения и Руководство по оповещениям системы безопасности .

• Эта версия включает улучшения и исправления ошибок для внутренней инфраструктуры датчиков.

Сведения о каждом выпуске Defender для удостоверений до (и в том числе) выпуска 2.55 см. в справочнике по выпуску Defender для удостоверений.

Дальнейшие действия

Новые возможности Microsoft Defender для удостоверений