Nyheter för Microsoft Defender for Identity

Den här artikeln innehåller Microsoft Defender for Identity viktig information för versioner och funktioner som släpptes för över 6 månader sedan.

Information om de senaste versionerna och funktionerna finns i Nyheter i Microsoft Defender for Identity.

Obs!

Från och med den 15 juni 2022 kommer Microsoft inte längre att stödja Defender for Identity-sensorn på enheter som kör Windows Server 2008 R2. Vi rekommenderar att du identifierar eventuella återstående domänkontrollanter (DCs) eller AD FS-servrar som fortfarande kör Windows Server 2008 R2 som operativsystem och planerar att uppdatera dem till ett operativsystem som stöds.

Under de två månaderna efter den 15 juni 2022 fortsätter sensorn att fungera. Efter den här tvåmånadersperioden, från och med den 15 augusti 2022, kommer sensorn inte längre att fungera på Windows Server 2008 R2-plattformar. Mer information finns på: https://aka.ms/mdi/2008r2

Juli 2023

Defender for Identity version 2.209

Den här versionen innehåller förbättringar och felkorrigeringar för molntjänster och Defender for Identity-sensorn.

Sök efter Active Directory-grupper i Microsoft Defender XDR (förhandsversion)

Microsoft Defender XDR global sökning stöder nu sökning efter Active Directory-gruppnamn. Alla grupper som hittas visas i resultaten på en separat Grupper flik. Välj en Active Directory-grupp i sökresultatet om du vill se mer information, inklusive:

• Typ
• Omfattning
• Domän
• SAM-namn
• SID

• Tid då gruppen skapades
• Första gången en aktivitet av gruppen observerades
• Grupper som innehåller den valda gruppen
• En lista över alla gruppmedlemmar

Till exempel:

Mer information finns i Microsoft Defender for Identity i Microsoft Defender XDR.

Nya säkerhetsstatusrapporter

Defender for Identitys utvärderingar av identitetssäkerhetsstatus identifierar och rekommenderar proaktivt åtgärder i dina lokal Active Directory konfigurationer.

Följande nya utvärderingar av säkerhetsstatus är nu tillgängliga i Microsoft Secure Score:

• Ta bort åtkomsträttigheter för misstänkta konton med behörigheten Admin SDHolder
• Ta bort icke-administratörskonton med DCSync-behörigheter
• Ta bort lokala administratörer för identitetstillgångar
• Starta din Defender for Identity-distribution

Mer information finns i Microsoft Defender for Identity säkerhetsstatusutvärderingar.

Automatisk omdirigering för den klassiska Defender for Identity-portalen

Microsoft Defender for Identity-portalens upplevelse och funktioner konvergeras till Microsofts XDR-plattform (extended detection and response), Microsoft Defender XDR. Från och med den 6 juli 2023 omdirigeras kunder som använder den klassiska Defender för identitetsportalen automatiskt till Microsoft Defender XDR, utan möjlighet att återgå till den klassiska portalen.

Mer information finns i vårt blogginlägg och Microsoft Defender for Identity i Microsoft Defender XDR.

Nedladdning och schemaläggning av Defender for Identity-rapporter i Microsoft Defender XDR (förhandsversion)

Nu kan du ladda ned och schemalägga periodiska Defender for Identity-rapporter från Microsoft Defender-portalen, vilket skapar paritet i rapportfunktioner med den äldre klassiska Defender for Identity-portalen.

Ladda ned och schemalägga rapporter i Microsoft Defender XDR från sidan Hantering av inställningsidentiteter >>. Till exempel:

Mer information finns i Microsoft Defender for Identity rapporter i Microsoft Defender XDR.

Defender for Identity release 2.208

• Den här versionen innehåller förbättringar och felkorrigeringar för molntjänster och Defender for Identity-sensorn.

Defender for Identity version 2.207

• Den här versionen innehåller den nya installationsparametern AccessKeyFile . Använd parametern AccessKeyFile under en tyst installation av en Defender for Identity-sensor för att ange arbetsytans åtkomstnyckel från en angivet textsökväg. Mer information finns i Installera Microsoft Defender for Identity sensorn.

• Den här versionen innehåller förbättringar och felkorrigeringar för molntjänster och Defender for Identity-sensorn.

Juni 2023

Defender for Identity release 2.206

• Den här versionen innehåller förbättringar och felkorrigeringar för molntjänster och Defender for Identity-sensorn.

Avancerad jakt med en förbättrad IdentityInfo-tabell

• För klientorganisationer med Defender för identitet distribuerad innehåller den avancerade jakttabellen Microsoft 365 IdentityInfo nu fler attribut per identitet och identiteter som identifieras av Defender för identitetssensorn från din lokala miljö.

Mer information finns i Microsoft Defender XDR avancerad jaktdokumentation.

Defender for Identity version 2.205

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Maj 2023

Utökade markeringar för Active Directory-kontokontroll

Sidan Microsoft Defender XDR Identity-användarinformation> innehåller nu nya Active Directory-kontokontrolldata.

På fliken Översikt för användarinformation har vi lagt till det nya kortet för Active Directory-kontokontroller för att markera viktiga säkerhetsinställningar och Active Directory-kontroller. Använd till exempel det här kortet för att lära dig om en specifik användare kan kringgå lösenordskrav eller har ett lösenord som aldrig upphör att gälla.

Till exempel:

Mer information finns i dokumentationen för attributet User-Account-Control .

Defender for Identity version 2.204

Utgiven 29 maj 2023

• Ny hälsoavisering för inmatningsfel för VPN-integreringsdata (radius). Mer information finns i Microsoft Defender for Identity sensorhälsoaviseringar.

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.203

Utgiven 15 maj 2023

• Ny hälsoavisering för att verifiera att ADFS Container Auditing har konfigurerats korrekt. Mer information finns i Microsoft Defender for Identity sensorhälsoaviseringar.

• Sidan Microsoft Defender 365 Identity innehåller användargränssnittsuppdateringar för den laterala förflyttningsvägsupplevelsen. Inga funktioner har ändrats. Mer information finns i Förstå och undersöka laterala rörelsevägar (LMPs) med Microsoft Defender for Identity.

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Förbättringar av tidslinjen för identiteter

Fliken Tidslinje för identitet innehåller nu nya och förbättrade funktioner! Med den uppdaterade tidslinjen kan du nu filtrera efter aktivitetstyp, protokoll och plats, utöver de ursprungliga filtren. Du kan också exportera tidslinjen till en CSV-fil och hitta ytterligare information om aktiviteter som är associerade med MITRE ATT&CK-tekniker. Mer information finns i Undersöka användare i Microsoft Defender XDR.

Aviseringsjustering i Microsoft Defender XDR

Med aviseringsjustering, som nu finns i Microsoft Defender XDR, kan du justera aviseringarna och optimera dem. Aviseringsjustering minskar falska positiva identifieringar, gör att soc-teamen kan fokusera på aviseringar med hög prioritet och förbättra täckningen för hotidentifiering i hela systemet.

I Microsoft Defender XDR skapar du regelvillkor baserat på bevistyper och tillämpar sedan regeln på alla regeltyper som matchar dina villkor. Mer information finns i Justera en avisering.

April 2023

Defender for Identity version 2.202

Publicerad 23 april 2023

• Ny hälsoavisering för att verifiera att Katalogtjänsters konfigurationscontainergranskning är korrekt konfigurerad, enligt beskrivningen på sidan hälsoaviseringar.
• Nya arbetsytor för AD-klienter som mappas till Nya Zeeland skapas i regionen Australien, östra. Den senaste listan över regionala distributioner finns i Defender för identitetskomponenter.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Mars 2023

Defender for Identity release 2.201

Publicerad 27 mars 2023

• Vi håller på att inaktivera SAM-R honeytoken-aviseringen. Även om dessa typer av konton aldrig ska kommas åt eller efterfrågas, kan vissa äldre system använda dessa konton som en del av sina vanliga åtgärder. Om den här funktionen är nödvändig för dig kan du alltid skapa en avancerad jaktfråga och använda den som en anpassad identifiering. Vi granskar också LDAP honeytoken-aviseringen under de kommande veckorna, men fungerar fortfarande för tillfället.

• Vi har åtgärdat problem med identifieringslogik i hälsoaviseringen Katalogtjänsters objektgranskning för icke-engelska operativsystem och för Windows 2012 med Directory Services-scheman tidigare än version 87.

• Vi har tagit bort förutsättningen för att konfigurera ett Directory Services-konto för att sensorerna ska starta. Mer information finns i rekommendationer för Microsoft Defender for Identity Directory Service-konto.

• Vi behöver inte längre logga 1644-händelser. Om du har den här registerinställningen aktiverad kan du ta bort den. Mer information finns i Händelse-ID 1644.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.200

Publicerad 16 mars 2023

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.199

Publicerad 5 mars 2023

• Vissa undantag för Honeytoken efterfrågades via SAM-R-aviseringen fungerade inte korrekt. I dessa fall utlöstes aviseringar även för exkluderade entiteter. Det här felet har nu åtgärdats.

• Uppdaterat NTLM-protokollnamn för tabellerna Identity Advanced Hunting: Det gamla protokollnamnet Ntlm visas nu som det nya protokollnamnet NTLM i Advanced Hunting Identity-tabeller: IdentityLogonEvents, IdentityQueryEvents, IdentityDirectoryEvents. Om du för närvarande använder Ntlm protokollet i skiftlägeskänsligt format från identitetshändelsetabellerna bör du ändra det till NTLM.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Februari 2023

Defender for Identity release 2.198

Publicerad 15 februari 2023

• Tidslinjen för identiteter är nu tillgänglig som en del av den nya identitetssidan i Microsoft Defender XDR: Den uppdaterade användarsidan i Microsoft Defender XDR har nu ett nytt utseende, med en utökad vy över relaterade tillgångar och en ny dedikerad tidslinjeflik. Tidslinjen representerar aktiviteter och aviseringar från de senaste 30 dagarna och förenar användarens identitetsposter i alla tillgängliga arbetsbelastningar (Defender för identitet/Defender for Cloud Apps/Defender för Endpoint). Med hjälp av tidslinjen kan du enkelt fokusera på aktiviteter som användaren har utfört (eller utförts på dem) inom specifika tidsramar. Mer information finns i Undersöka användare i Microsoft Defender XDR

• Ytterligare förbättringar för honeytoken-aviseringar: I version 2.191 introducerade vi flera nya scenarier för honeytoken-aktivitetsaviseringen.

  Baserat på kundfeedback har vi beslutat att dela upp honeytoken-aktivitetsaviseringen i fem separata aviseringar:

  • Honeytoken-användaren efterfrågades via SAM-R.
  • Honeytoken-användaren efterfrågades via LDAP.
  • Honeytoken-användarautentiseringsaktivitet
  • Honeytoken-användaren fick attribut ändrade.
  • Honeytoken gruppmedlemskap ändrades.

  Dessutom har vi lagt till undantag för dessa aviseringar, vilket ger en anpassad upplevelse för din miljö.

  Vi ser fram emot att höra din feedback så att vi kan fortsätta att förbättra oss.

• Ny säkerhetsvarning – Misstänkt certifikatanvändning via Kerberos-protokoll (PKINIT).: Många av metoderna för att missbruka Active Directory Certificate Services (AD CS) omfattar användning av ett certifikat i någon fas av attacken. Microsoft Defender for Identity varnar nu användare när de observerar sådan misstänkt certifikatanvändning. Den här beteendeövervakningsmetoden ger ett omfattande skydd mot AD CS-attacker, vilket utlöser en avisering när en misstänkt certifikatautentisering görs mot en domänkontrollant med en Defender for Identity-sensor installerad. Mer information finns i Microsoft Defender for Identity nu identifierar misstänkt certifikatanvändning.

• Automatisk attackavbrott: Defender for Identity samarbetar nu med Microsoft Defender XDR för att erbjuda automatiserade attackstörningar. Den här integreringen innebär att vi för signaler från Microsoft Defender XDR kan utlösa åtgärden Inaktivera användare. Dessa åtgärder utlöses av XDR-signaler med hög återgivning i kombination med insikter från den kontinuerliga undersökningen av tusentals incidenter av Microsofts forskningsteam. Åtgärden inaktiverar det komprometterade användarkontot i Active Directory och synkroniserar den här informationen för att Microsoft Entra ID. Mer information om automatiska angreppsstörningar finns i blogginlägget från Microsoft Defender XDR.

  Du kan också utesluta specifika användare från de automatiserade svarsåtgärderna. Mer information finns i Konfigurera automatiserade svarsundantag i Defender för identitet.

• Ta bort inlärningsperiod: Aviseringarna som genereras av Defender for Identity baseras på olika faktorer som profilering, deterministisk identifiering, maskininlärning och beteendealgoritmer som den har lärt sig om ditt nätverk. Den fullständiga inlärningsprocessen för Defender för identitet kan ta upp till 30 dagar per domänkontrollant. Det kan dock finnas instanser där du vill få aviseringar redan innan den fullständiga inlärningsprocessen har slutförts. När du till exempel installerar en ny sensor på en domänkontrollant eller när du utvärderar produkten kanske du vill få aviseringar omedelbart. I sådana fall kan du inaktivera inlärningsperioden för de berörda aviseringarna genom att aktivera funktionen Ta bort inlärningsperiod . Mer information finns i Avancerade inställningar.

• Nytt sätt att skicka aviseringar till M365D: För ett år sedan meddelade vi att alla Microsoft Defender for Identity upplevelser är tillgängliga i Microsoft Defender-portalen. Vår primära aviseringspipeline byter nu gradvis från Defender for Identity > Defender for Cloud Apps > Microsoft Defender XDR till Defender for Identity > Microsoft Defender XDR. Den här integreringen innebär att statusuppdateringar i Defender for Cloud Apps inte återspeglas i Microsoft Defender XDR och vice versa. Den här ändringen bör avsevärt minska den tid det tar för aviseringar att visas i Microsoft Defender-portalen. Som en del av den här migreringen är alla Defender för identitetsprinciper inte längre tillgängliga i Defender for Cloud Apps-portalen från och med den 5 mars. Som alltid rekommenderar vi att du använder Microsoft Defender-portalen för alla Defender for Identity-upplevelser.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Januari 2023

Defender for Identity version 2.197

Publicerad 22 januari 2023

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.196

Publicerad 10 januari 2023

• Ny hälsoavisering för att verifiera att Directory Services-objektgranskning har konfigurerats korrekt, enligt beskrivningen på sidan hälsoaviseringar.

• Ny hälsoavisering för att verifiera att sensorns energiinställningar har konfigurerats för optimala prestanda, enligt beskrivningen på sidan hälsoaviseringar.

• Vi har lagt till MITRE ATT&CK-information i tabellerna IdentityLogonEvents, IdentityDirectoryEvents och IdentityQueryEvents i Microsoft Defender XDR Avancerad jakt. I kolumnen AdditionalFields hittar du information om de attacktekniker och taktiker (kategori) som är associerade med några av våra logiska aktiviteter.

• Eftersom alla större Microsoft Defender for Identity funktioner nu är tillgängliga i Microsoft Defender-portalen aktiveras inställningen för omdirigering av portalen automatiskt för varje klientorganisation från och med 31 januari 2023. Mer information finns i Omdirigera konton från Microsoft Defender for Identity till Microsoft Defender XDR.

December 2022

Defender for Identity version 2.195

Publicerad 7 december 2022

• Defender for Identity-datacenter distribueras nu också i regionen Australien, östra. Den senaste listan över regionala distributioner finns i Defender för identitetskomponenter.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

November 2022

Defender for Identity release 2.194

Publicerad 10 november 2022

• Ny hälsoavisering för att verifiera att Directory Services Advanced Auditing har konfigurerats korrekt, enligt beskrivningen på sidan hälsoaviseringar.

• Några av de ändringar som introducerades i Defender for Identity version 2.191 när det gäller honeytoken-aviseringar har inte aktiverats korrekt. Dessa problem har lösts nu.

• Från slutet av november stöds inte längre manuell integrering med Microsoft Defender för Endpoint. Vi rekommenderar dock starkt att du använder Microsoft Defender-portalen (https://security.microsoft.com) som har den inbyggda integreringen.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Oktober 2022

Defender for Identity version 2.193

Publicerad 30 oktober 2022

• Ny säkerhetsavisering: Autentisering med onormal Active Directory Federation Services (AD FS) (AD FS) med hjälp av ett misstänkt certifikat
  Den här nya tekniken är kopplad till den ökända NOBELIUM-skådespelaren och kallades "MagicWeb" – den tillåter en angripare att implantera en bakdörr på komprometterade AD FS-servrar, vilket möjliggör personifiering som alla domänanvändare och därmed åtkomst till externa resurser. Mer information om attacken finns i det här blogginlägget.

• Defender for Identity kan nu använda LocalSystem-kontot på domänkontrollanten för att utföra reparationsåtgärder (aktivera/inaktivera användare, framtvinga lösenord för användaråterställning) utöver det gMSA-alternativ som var tillgängligt tidigare. Detta aktiverar out-of-the-box-stöd för reparationsåtgärder. Mer information finns i Microsoft Defender for Identity åtgärdskonton.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.192

Utgiven 23 oktober 2022

• Ny hälsoavisering för att verifiera att NTLM-granskning är aktiverat, enligt beskrivningen på sidan hälsoaviseringar.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

September 2022

Defender for Identity version 2.191

Publicerad 19 september 2022

• Fler aktiviteter för att utlösa honeytoken-aviseringar
  Microsoft Defender for Identity erbjuder möjligheten att definiera honeytoken-konton, som används som traps för skadliga aktörer. All autentisering som är associerad med dessa honeytoken-konton (normalt vilande) utlöser en honeytoken-aktivitetsavisering (externt ID 2014). För den här versionen utlöser alla LDAP- eller SAMR-frågor mot dessa honeytoken-konton en avisering. Om händelse 5136 dessutom granskas utlöses en avisering när ett av attributen för honeytoken ändrades eller om honeytokens gruppmedlemskap ändrades.

Mer information finns i Konfigurera Windows-händelsesamling.

Defender for Identity release 2.190

Publicerad 11 september 2022

• Uppdaterad utvärdering: Osäkra domänkonfigurationer
  Utvärderingen av oskyddad domänkonfiguration som är tillgänglig via Microsoft Secure Score utvärderar nu konfigurationen av domänkontrollantens LDAP-signeringsprincip och aviseringar om den hittar en osäker konfiguration. Mer information finns i Säkerhetsutvärdering: Osäkra domänkonfigurationer.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.189

Publicerad 4 september 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Augusti 2022

Defender for Identity version 2.188

Utgiven 28 augusti 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.187

Utgiven 18 augusti 2022

• Vi har ändrat en del av logiken bakom hur vi utlöser den misstänkta DCSync-attacken (replikering av katalogtjänster) (externT ID 2006). Den här detektorn omfattar nu fall där käll-IP-adressen som sensorn ser ut att vara en NAT-enhet.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.186

Utgiven 10 augusti 2022

• Hälsoaviseringar visar nu sensorns fullständigt kvalificerade domännamn (FQDN) i stället för NetBIOS-namnet.

• Nya hälsoaviseringar är tillgängliga för insamling av komponenttyp och konfiguration, enligt beskrivningen på sidan hälsoaviseringar.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juli 2022

Defender for Identity version 2.185

Utgiven 18 juli 2022

• Ett problem har åtgärdats där misstänkt golden ticket-användning (obefintligt konto) (externt ID 2027) felaktigt skulle identifiera macOS-enheter.

• Användaråtgärder: Vi har beslutat att dela in åtgärden Inaktivera användare på användarsidan i två olika åtgärder:

  • Inaktivera användare – vilket inaktiverar användaren på Active Directory-nivå
  • Pausa användare – vilket inaktiverar användaren på Microsoft Entra ID nivå

  Vi förstår att den tid det tar att synkronisera från Active Directory till Microsoft Entra ID kan vara avgörande, så nu kan du välja att inaktivera användare i en efter en för att ta bort beroendet av själva synkroniseringen. Observera att en användare som endast är inaktiverad i Microsoft Entra ID skrivs över av Active Directory, om användaren fortfarande är aktiv där.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.184

Utgiven 10 juli 2022

• Nya säkerhetsutvärderingar
  Defender for Identity innehåller nu följande nya säkerhetsutvärdering:

  • Osäkra domänkonfigurationer
    Microsoft Defender for Identity övervakar kontinuerligt din miljö för att identifiera domäner med konfigurationsvärden som exponerar en säkerhetsrisk och rapporterar om dessa domäner för att hjälpa dig att skydda din miljö. Mer information finns i Säkerhetsutvärdering: Osäkra domänkonfigurationer.

• Installationspaketet för Defender for Identity installerar nu Npcap-komponenten i stället för WinPcap-drivrutinerna. Mer information finns i WinPcap- och Npcap-drivrutiner.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juni 2022

Defender for Identity release 2.183.15436.10558 (Snabbkorrigering)

Släpptes 20 juni 2022 (uppdaterad 4 juli 2022)

• Ny säkerhetsvarning: Misstänkt DFSCoerce-attack med Distributed File System Protocol
  Som svar på publiceringen av ett nyligen använt attackverktyg som utnyttjar ett flöde i DFS-protokollet utlöser Microsoft Defender for Identity en säkerhetsavisering när en angripare använder den här attackmetoden. Mer information om attacken finns i blogginlägget.

Defender for Identity release 2.183

Utgiven 20 juni 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.182

Utgiven 4 juni 2022

• Det finns en ny Om-sida för Defender för identitet. Du hittar den i Microsoft Defender portalen under Inställningar ->Identiteter ->Om. Den innehåller flera viktiga detaljer om din Defender for Identity-instans, inklusive instansnamn, version, ID och geoplats för din instans. Den här informationen kan vara användbar när du felsöker problem och öppnar supportärenden.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Maj 2022

Defender for Identity version 2.181

Utgiven 22 maj 2022

• Nu kan du vidta åtgärder direkt på dina lokala konton med hjälp av Microsoft Defender for Identity.

  • Inaktivera användare – Detta förhindrar tillfälligt att en användare loggar in på nätverket. Det kan hjälpa till att förhindra att komprometterade användare rör sig i sidled och försöker exfiltera data eller ytterligare kompromettera nätverket.
  • Återställ användarlösenord – Detta uppmanar användaren att ändra sitt lösenord vid nästa inloggning, vilket säkerställer att det här kontot inte kan användas för ytterligare personifieringsförsök.

  Dessa åtgärder kan utföras från flera platser i Microsoft Defender XDR: användarsidan, sidopanelen på användarsidan, avancerad jakt och till och med anpassade identifieringar. Detta kräver att du konfigurerar ett privilegierat gMSA-konto som Microsoft Defender for Identity använder för att utföra åtgärderna. Mer information om kraven finns i Microsoft Defender for Identity åtgärdskonton.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.180

Utgiven 12 maj 2022

• Ny säkerhetsavisering: Misstänkt ändring av ett dNSHostName-attribut (CVE-2022-26923)
  Som svar på publiceringen av en nyligen genomförd CVE utlöser Microsoft Defender for Identity en säkerhetsavisering när en angripare försöker utnyttja CVE-2022 -26923. Mer information om attacken finns i blogginlägget.

• I version 2.177 släppte vi ytterligare LDAP-aktiviteter som kan omfattas av Defender för identitet. Vi hittade dock en bugg som gör att händelserna inte visas och matas in i Defender för identitetsportalen. Detta har åtgärdats i den här versionen. När du aktiverar händelse-ID 1644 från och med version 2.180 får du inte bara insyn i LDAP-aktiviteter över Active Directory Web Services, utan även andra LDAP-aktiviteter inkluderar användaren som utförde LDAP-aktiviteten på källdatorn. Detta gäller för säkerhetsaviseringar och logiska aktiviteter som baseras på LDAP-händelser.

• Som ett svar på det senaste KrbRelayUp-utnyttjandet har vi släppt en tyst detektor för att hjälpa oss att utvärdera vårt svar på detta utnyttjande. Den tysta detektorn gör att vi kan utvärdera identifieringens effektivitet och samla in information baserat på händelser som vi samlar in. Om den här identifieringen visas vara av hög kvalitet släpper vi en ny säkerhetsavisering i nästa version.

• Vi har bytt namn på Fjärrkodkörning via DNS till Fjärrkodkörningsförsök över DNS, eftersom det bättre återspeglar logiken bakom dessa säkerhetsaviseringar.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.179

Utgiven 1 maj 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

April 2022

Defender for Identity version 2.178

Publicerad 10 april 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Mars 2022

Defender for Identity release 2.177

Publicerad 27 mars 2022

• Microsoft Defender for Identity kan nu övervaka ytterligare LDAP-frågor i nätverket. Dessa LDAP-aktiviteter skickas via Active Directory Web Service-protokollet och fungerar som vanliga LDAP-frågor. För att få insyn i dessa aktiviteter måste du aktivera händelse 1644 på domänkontrollanterna. Den här händelsen omfattar LDAP-aktiviteter i din domän och används främst för att identifiera dyra, ineffektiva eller långsamma LDAP-sökningar (Lightweight Directory Access Protocol) som hanteras av Active Directory-domänkontrollanter. Mer information finns i Äldre konfigurationer.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.176

Publicerad 16 mars 2022

• Från och med den här versionen visas sensorns version under Lägg till/ta bort program med det fullständiga versionsnumret (till exempel 2.176.x.y) när sensorn installeras under Lägg till/ta bort program med det fullständiga versionsnumret (till exempel 2.176.x.y), i motsats till den statiska 2.0.0.0 som visades tidigare. Den fortsätter att visa den versionen (den som installeras via paketet) även om versionen uppdateras via automatiska uppdateringar från Molntjänster för Defender för identitet. Den verkliga versionen kan visas på sidan sensorinställningar i portalen, i den körbara sökvägen eller i filversionen.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.175

Publicerad 6 mars 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Februari 2022

Defender for Identity release 2.174

Publicerad 20 februari 2022

• Vi har lagt till värd-FQDN för det konto som ingår i aviseringen i meddelandet som skickas till SIEM. Mer information finns i Microsoft Defender for Identity SIEM-loggreferens.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.173

Publicerad 13 februari 2022

• Alla Microsoft Defender for Identity funktioner är nu tillgängliga i Microsoft Defender-portalen. Mer information finns i det här blogginlägget.

• Den här versionen åtgärdar problem vid installation av sensorn på Windows Server 2019 med KB5009557 installerat eller på en server med härdade EventLog-behörigheter.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.172

Publicerad 8 februari 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Januari 2022

Defender for Identity release 2.171

Publicerad 31 januari 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.170

Publicerad 24 januari 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.169

Publicerad 17 januari 2022

• Vi släpper gärna möjligheten att konfigurera ett åtgärdskonto för Microsoft Defender for Identity. Det här är det första steget i möjligheten att vidta åtgärder för användare direkt från produkten. Som första steg kan du definiera det gMSA-konto som Microsoft Defender for Identity använder för att vidta åtgärderna. Vi rekommenderar starkt att du börjar skapa dessa användare så att du kan använda funktionen Åtgärder när den är live. Mer information finns i Hantera åtgärdskonton.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.168

Publicerad 9 januari 2022

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

December 2021

Defender for Identity release 2.167

Publicerad 29 december 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.166

Publicerad 27 december 2021

• Versionen innehåller en ny säkerhetsavisering: Misstänkt ändring av ett sAMNameAccount-attribut (CVE-2021-42278 och CVE-2021-42287-exploatering) (externt ID 2419).
  Som svar på publiceringen av de senaste CVE:erna utlöser Microsoft Defender for Identity en säkerhetsvarning när en angripare försöker utnyttja CVE-2021-42278 och CVE-2021-42287. Mer information om attacken finns i blogginlägget.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.165

Utgiven 6 december 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

November 2021

Defender for Identity release 2.164

Publicerad 17 november 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.163

Publicerad 8 november 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.162

Publicerad 1 november 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

September 2021

Defender for Identity version 2.161

Publicerad 12 september 2021

• Versionen innehåller ny övervakad aktivitet: gMSA-kontolösenordet hämtades av en användare. Mer information finns i Microsoft Defender for Identity övervakade aktiviteter
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Augusti 2021

Defender for Identity release 2.160

Utgiven 22 augusti 2021

• Versionen innehåller olika förbättringar och omfattar fler scenarier enligt de senaste ändringarna i PetitPotam-exploateringen.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.159

Utgiven 15 augusti 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.
• Versionen innehåller en förbättring av den nyligen publicerade aviseringen: Misstänkt nätverksanslutning via Kryptera filsystemets fjärrprotokoll (externt ID 2416).
  Vi utökade stödet för den här identifieringen till att utlösas när en potentiell angripare kommunicerar över en krypterad EFS-RPCchannel. Aviseringar som utlöses när kanalen krypteras behandlas som en avisering med medelhög allvarlighetsgrad, till skillnad från Hög när den inte är krypterad. Mer information om aviseringen finns i Misstänkt nätverksanslutning via Kryptera filsystemets fjärrprotokoll (externt ID 2416).

Defender for Identity version 2.158

Utgiven 8 augusti 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

• Versionen innehåller en ny säkerhetsavisering: Misstänkt nätverksanslutning via Kryptera filsystemets fjärrprotokoll (externt ID 2416).
  I den här identifieringen utlöser Microsoft Defender for Identity en säkerhetsavisering när en angripare försöker utnyttja EFS-RPC mot domänkontrollanten. Denna attackvektor är associerad med den senaste PetitPotam-attacken. Mer information om aviseringen finns i Misstänkt nätverksanslutning via Kryptera filsystemets fjärrprotokoll (externt ID 2416).

• Versionen innehåller en ny säkerhetsavisering: Exchange Server Fjärrkodkörning (CVE-2021-26855) (externt ID 2414)
  I den här identifieringen utlöser Microsoft Defender for Identity en säkerhetsavisering när en angripare försöker ändra attributet "msExchExternalHostName" på Exchange-objektet för fjärrkörning av kod. Mer information om den här aviseringen finns i Exchange Server Remote Code Execution (CVE-2021-26855) (externt ID 2414). Den här identifieringen förlitar sig på Windows-händelse 4662, så den måste vara aktiverad i förväg. Information om hur du konfigurerar och samlar in den här händelsen finns i Konfigurera Windows-händelsesamling och följ anvisningarna för Aktivera granskning av ett Exchange-objekt.

Defender for Identity version 2.157

Utgiven 1 augusti 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juli 2021

Defender for Identity release 2.156

Utgiven 25 juli 2021

• Från och med den här versionen lägger vi till den körbara Npcap-drivrutinen i sensorinstallationspaketet. Mer information finns i WinPcap- och Npcap-drivrutiner.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.155

Utgiven 18 juli 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.154

Utgiven 11 juli 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.
• Versionen innehåller ytterligare förbättringar och identifieringar för exploatering av utskriftshanteraren, som kallas PrintNightmare-identifiering, för att täcka fler attackscenarier.

Defender for Identity release 2.153

Utgiven 4 juli 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

• Versionen innehåller en ny säkerhetsvarning: Misstänkt försök att utnyttja Windows Print Spooler-tjänsten (CVE-2021-34527-exploatering) (externt ID 2415).

  I den här identifieringen utlöser Defender for Identity en säkerhetsavisering när en angripare försöker utnyttja Windows Print Spooler-tjänsten mot domänkontrollanten. Den här attackvektorn är associerad med exploateringen av utskriftshanteraren och kallas PrintNightmare. Läs mer om den här aviseringen.

Juni 2021

Defender for Identity version 2.152

Utgiven 27 juni 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.151

Utgiven 20 juni 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.150

Utgiven 13 juni 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Maj 2021

Defender for Identity release 2.149

Utgiven 31 maj 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.148

Utgiven 23 maj 2021

• Om du konfigurerar och samlar in händelse-ID 4662 rapporterar Defender for Identity vilken användare som har ändrat uppdateringssekvensnumret (USN) till olika Active Directory-objektegenskaper. Om ett kontolösenord till exempel ändras och händelse 4662 är aktiverad registrerar händelsen vem som ändrade lösenordet.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.147

Utgiven 9 maj 2021

• Baserat på kundfeedback ökar vi standardantalet tillåtna sensorer från 200 till 350 och autentiseringsuppgifterna för Directory Services från 10 till 30.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.146

Utgiven 2 maj 2021

• Email meddelanden för både hälsoproblem och säkerhetsaviseringar har nu undersöknings-URL:en för både Microsoft Defender for Identity och Microsoft Defender XDR.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

April 2021

Defender for Identity version 2.145

Publicerad 22 april 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.144

Publicerad 12 april 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Mars 2021

Defender for Identity release 2.143

Publicerad 14 mars 2021

• Vi har lagt till Windows Event 4741 för att identifiera datorkonton som lagts till i Active Directory-aktiviteter . Konfigurera den nya händelsen som ska samlas in av Defender for Identity. När de har konfigurerats kommer insamlade händelser att vara tillgängliga att visa i aktivitetsloggen samt Microsoft Defender XDR Avancerad jakt.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.142

Publicerad 7 mars 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Februari 2021

Defender for Identity release 2.141

Publicerad 21 februari 2021

• Ny säkerhetsvarning: Misstänkt AS-REP-rostningsattack (externt ID 2412)
  Defender for Identitys misstänkta AS-REP Roasting-attack (externT ID 2412) är nu tillgänglig. I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när en angripare riktar in sig på konton med inaktiverad Kerberos-förautentisering och försöker hämta Kerberos TGT-data. Angriparens avsikt kan vara att extrahera autentiseringsuppgifterna från data med hjälp av attacker med lösenordssprickor offline. Mer information finns i Kerberos AS-REP Roasting exposure (external ID 2412).
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.140

Publicerad 14 februari 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Januari 2021

Defender for Identity version 2.139

Publicerad 31 januari 2021

• Vi har uppdaterat allvarlighetsgraden för den misstänkta Kerberos SPN-exponeringen till hög för att bättre återspegla effekten av aviseringen. Mer information om aviseringen finns i Misstänkt Kerberos SPN-exponering (externt ID 2410)
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.138

Publicerad 24 januari 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.137

Publicerad 17 januari 2021

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.136

Publicerad 3 januari 2021

• Defender for Identity stöder nu installation av sensorer på Active Directory Federation Services (AD FS) servrar (AD FS). Genom att installera sensorn på kompatibla AD FS-servrar utökas Microsoft Defender for Identity insyn i hybridmiljön genom övervakning av den här kritiska infrastrukturkomponenten. Vi har också uppdaterat några av våra befintliga identifieringar (misstänkt tjänstskapande, misstänkt brute force-attack (LDAP), kontouppräkningsspaning) för att även arbeta med AD FS-data. Om du vill starta distributionen av Microsoft Defender for Identity sensorn för AD FS-servern laddar du ned det senaste distributionspaketet från sensorkonfigurationssidan.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

December 2020

Defender for Identity version 2.135

Utgiven 20 december 2020

• Vi har förbättrat aviseringen om Active Directory-attributs rekognosering (LDAP) (externt ID 2210) för att även identifiera tekniker som används för att hämta den information som behövs för att generera säkerhetstoken, till exempel som en del av Solorigate-kampanjen.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity release 2.134

Utgiven 13 december 2020

• Vår nyligen utgivna NetLogon-detektor har förbättrats så att den även fungerar när Netlogon-kanaltransaktionen sker via en krypterad kanal. Mer information om detektorn finns i Misstänkt försök till utökade Netlogon-privilegier.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.133

Utgiven 6 december 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

November 2020

Defender for Identity release 2.132

Publicerad 17 november 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Defender for Identity version 2.131

Utgiven 8 november 2020

• Ny säkerhetsvarning: Misstänkt Kerberos SPN-exponering (externt ID 2410)
  Säkerhetsaviseringen Defender for Identitys misstänkta Kerberos SPN-exponering (externt ID 2410) är nu tillgänglig. I den här identifieringen utlöses en defender for Identity-säkerhetsavisering när en angripare räknar upp tjänstkonton och deras respektive SPN och sedan begär Kerberos TGS-biljetter för tjänsterna. Angriparens avsikt kan vara att extrahera hashvärden från biljetterna och spara dem för senare användning i offline-brute force-attacker. Mer information finns i Kerberos SPN-exponering.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Oktober 2020

Defender for Identity release 2.130

Utgiven 25 oktober 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.129

Utgiven 18 oktober 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

September 2020

Azure ATP version 2.128

Utgiven 27 september 2020

• Konfiguration av ändrade e-postmeddelanden
  Vi tar bort växlingsknapparna e-postavisering för att aktivera e-postaviseringar. Om du vill ta emot e-postaviseringar lägger du bara till en adress. Mer information finns i Ange meddelanden.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.127

Utgiven 20 september 2020

• Ny säkerhetsvarning: Misstänkt försök till utökade Netlogon-privilegier (externt ID 2411)
  Azure ATP:s säkerhetsavisering om misstänkt netlogonprivilegiering (CVE-2020-1472-exploatering) (externt ID 2411) är nu tillgänglig. I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när en angripare upprättar en sårbar Netlogon-säker kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC), även kallat Netlogon Elevation of Privilege Vulnerability. Mer information finns i Misstänkt försök till utökade Netlogon-privilegier.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.126

Publicerad 13 september 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.125

Utgiven 6 september 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Augusti 2020

Azure ATP version 2.124

Utgiven 30 augusti 2020

• Nya säkerhetsaviseringar
  Azure ATP-säkerhetsaviseringar innehåller nu följande nya identifieringar:
  • Rekognosering av Active Directory-attribut (LDAP) (externt ID 2210)
    I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när en angripare misstänks ha fått viktig information om domänen för användning i attackkedjan. Mer information finns i Rekognosering av Active Directory-attribut.
  • Misstänkt oseriös Kerberos-certifikatanvändning (externt ID 2047)
    I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när en angripare som har fått kontroll över organisationen genom att kompromettera certifikatutfärdarservern misstänks generera certifikat som kan användas som bakdörrskonton i framtida attacker, till exempel flytta i efterhand i nätverket. Mer information finns i Misstänkt oseriös Kerberos-certifikatanvändning.
  • Misstänkt golden ticket-användning (biljettavvikelse med RBCD) (externt ID 2040)
    Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser.
    Denna förfalskade TGT kallas en "gyllene biljett" eftersom den gör det möjligt för angripare att uppnå varaktig nätverkspersistence med hjälp av resursbaserad begränsad delegering (RBCD). Förfalskade gyllene biljetter av den här typen har unika egenskaper som den nya identifieringen är utformad för att identifiera. Mer information finns i Misstänkt golden ticket-användning (biljettavvikelse med RBCD).
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.123

Utgiven 23 augusti 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.122

Utgiven 16 augusti 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.121

Utgiven 2 augusti 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juli 2020

Azure ATP version 2.120

Utgiven 26 juli 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.119

Utgiven 5 juli 2020

• Funktionsförbättring: Fliken Nya undantagna domänkontrollanter i Excel-rapporten
  För att förbättra noggrannheten i vår beräkningen av domänkontrollanternas täckning kommer vi att exkludera domänkontrollanter med externa förtroenden från beräkningen till att uppnå 100 % täckning. Exkluderade domänkontrollanter visas på den nya fliken exkluderade domänkontrollanter i excel-rapportnedladdningen för domäntäckning. Information om hur du laddar ned rapporten finns i Status för domänkontrollant.
• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juni 2020

Azure ATP version 2.118

Utgiven 28 juni 2020

• Nya säkerhetsutvärderingar
  Azure ATP-säkerhetsutvärderingar innehåller nu följande nya utvärderingar:

  • Mest riskfyllda laterala förflyttningsvägar
    Den här utvärderingen övervakar kontinuerligt din miljö för att identifiera känsliga konton med de mest riskfyllda laterala rörelsevägarna som exponerar en säkerhetsrisk och rapporterar om dessa konton för att hjälpa dig att hantera din miljö. Sökvägar anses vara riskfyllda om de har tre eller flera icke-känsliga konton som kan exponera det känsliga kontot för stöld av autentiseringsuppgifter av skadliga aktörer. Mer information finns i Security assessment: Riskiest lateral movement paths (LMP).
  • Osäkra kontoattribut
    Den här utvärderingen azure ATP övervakar kontinuerligt din miljö för att identifiera konton med attributvärden som exponerar en säkerhetsrisk och rapporterar om dessa konton för att hjälpa dig att skydda din miljö. Mer information finns i Säkerhetsutvärdering: Osäkra kontoattribut.

• Uppdaterad känslighetsdefinition
  Vi utökar vår känslighetsdefinition för lokala konton så att den omfattar entiteter som tillåts använda Active Directory-replikering.

Azure ATP version 2.117

Utgiven 14 juni 2020

• Funktionsförbättring: Ytterligare aktivitetsinformation som är tillgänglig i den enhetliga SecOps-upplevelsen
  Vi har utökat enhetsinformationen som vi skickar till Defender for Cloud Apps inklusive enhetsnamn, IP-adresser, konto-UPN och använd port. Mer information om vår integrering med Defender for Cloud Apps finns i Använda Azure ATP med Defender for Cloud Apps.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.116

Utgiven 7 juni 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Maj 2020

Azure ATP version 2.115

Utgiven 31 maj 2020

• Nya säkerhetsutvärderingar
  Azure ATP-säkerhetsutvärderingar innehåller nu följande nya utvärderingar:

  • Osäkra SID-historikattribut
    Den här utvärderingen rapporterar om SID-historikattribut som kan användas av angripare för att få åtkomst till din miljö. Mer information finns i Security assessment: Unsecure SID History attributes (Säkerhetsutvärdering: Ej säkerhetsskyddade SID-historikattribut).
  • Microsoft LAPS-användning
    Den här utvärderingen rapporterar om lokala administratörskonton som inte använder Microsofts "local administrator password solution" (LAPS) för att skydda sina lösenord. Att använda LAPS förenklar lösenordshanteringen och skyddar även mot cyberattacker. Mer information finns i Säkerhetsutvärdering: Microsoft LAPS-användning.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.114

Utgiven 17 maj 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.113

Utgiven 5 maj 2020

• Funktionsförbättring: Utökad resursåtkomstaktivitet med NTLMv1
  Från och med den här versionen innehåller Azure ATP nu information för resursåtkomstaktiviteter som visar om resursen använder NTLMv1-autentisering. Den här resurskonfigurationen är osäker och utgör en risk för att skadliga aktörer kan tvinga programmet till sin fördel. Mer information om risken finns i Äldre protokollanvändning.

• Funktionsförbättring: Misstänkt Brute Force-attack (Kerberos, NTLM) avisering
  Brute Force-attacker används av angripare för att få fotfäste i din organisation och är en viktig metod för identifiering av hot och risker i Azure ATP. För att hjälpa dig att fokusera på de kritiska riskerna för användarna gör den här uppdateringen det enklare och snabbare att analysera och åtgärda risker genom att begränsa och prioritera mängden aviseringar.

Mars 2020

Azure ATP version 2.112

Publicerad 15 mars 2020

• Nya Azure ATP-instanser integreras automatiskt med Microsoft Defender for Cloud Apps
  När du skapar en Azure ATP-instans (tidigare instans) är integreringen med Microsoft Defender for Cloud Apps aktiverad som standard. Mer information om integreringen finns i Använda Azure ATP med Microsoft Defender for Cloud Apps.

• Nya övervakade aktiviteter
  Följande aktivitetsövervakare är nu tillgängliga:

  • Interaktiv inloggning med certifikat

  • Misslyckad inloggning med certifikat

  • Delegerad resursåtkomst

    Läs mer om vilka aktiviteter Som Azure ATP övervakar och hur du filtrerar och söker efter övervakade aktiviteter i portalen.

• Funktionsförbättring: Utökad resursåtkomstaktivitet
  Från och med den här versionen innehåller Azure ATP nu information om resursåtkomstaktiviteter som visar om resursen är betrodd för obegränsad delegering. Den här resurskonfigurationen är osäker och utgör en risk för att skadliga aktörer kan tvinga programmet till sin fördel. Mer information om risken finns i Säkerhetsutvärdering: Oskyddad Kerberos-delegering.

• Misstänkt SMB-paketmanipulering (CVE-2020-0796-exploatering) – (förhandsversion)
  Azure ATP:s säkerhetsavisering om misstänkt SMB-paketmanipulering finns nu i offentlig förhandsversion. I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när SMBv3-paket som misstänks utnyttja säkerhetsrisken CVE-2020-0796 görs mot en domänkontrollant i nätverket.

Azure ATP version 2.111

Publicerad 1 mars 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Februari 2020

Azure ATP version 2.110

Utgiven 23 februari 2020

• Ny säkerhetsbedömning: Oövervakade domänkontrollanter
  Azure ATP-säkerhetsutvärderingar innehåller nu en rapport om oövervakade domänkontrollanter, servrar utan sensor, som hjälper dig att hantera fullständig täckning av din miljö. Mer information finns i Oövervakade domänkontrollanter.

Azure ATP version 2.109

Utgiven 16 februari 2020

• Funktionsförbättring: Känsliga entiteter
  Från och med den här versionen (2.109) märks datorer som identifieras som certifikatutfärdare, DHCP- eller DNS-servrar av Azure ATP nu automatiskt som känsliga.

Azure ATP version 2.108

Utgiven 9 februari 2020

• Ny funktion: Stöd för grupphanterade tjänstkonton
  Azure ATP stöder nu användning av grupphanterade tjänstkonton (gMSA) för bättre säkerhet vid anslutning av Azure ATP-sensorer till dina Microsoft Entra skogar. Mer information om hur du använder gMSA med Azure ATP-sensorer finns i Ansluta till din Active Directory-skog.

• Funktionsförbättring: Schemalagd rapport med för mycket data
  När en schemalagd rapport har för mycket data informerar e-postmeddelandet dig nu om detta genom att visa följande text: Det fanns för mycket data under den angivna perioden för att generera en rapport. Detta ersätter det tidigare beteendet att bara identifiera det faktum när du har klickat på rapportlänken i e-postmeddelandet.

• Funktionsförbättring: Uppdaterad täckningslogik för domänkontrollanter
  Vi har uppdaterat vår rapportlogik för domänkontrollantens täckning så att den innehåller ytterligare information från Microsoft Entra ID, vilket resulterar i en mer exakt vy över domänkontrollanter utan sensorer på dem. Den här nya logiken bör också ha en positiv effekt på motsvarande Microsoft Secure Score.

Azure ATP version 2.107

Utgiven 3 februari 2020

• Ny övervakad aktivitet: SID-historikändring
  SID-historikändring är nu en övervakad och filterbar aktivitet. Läs mer om vilka aktiviteter Som Azure ATP övervakar och hur du filtrerar och söker efter övervakade aktiviteter i portalen.

• Funktionsförbättring: Stängda eller undertryckta aviseringar öppnas inte längre igen
  När en avisering stängs eller ignoreras i Azure ATP-portalen öppnas en ny avisering om samma aktivitet identifieras igen inom en kort tidsperiod. Tidigare, under samma förhållanden, öppnades aviseringen igen.

• TLS 1.2 krävs för portalåtkomst och sensorer
  TLS 1.2 krävs nu för att använda Azure ATP-sensorer och molntjänsten. Det går inte längre att komma åt Azure ATP-portalen med webbläsare som inte stöder TLS 1.2.

Januari 2020

Azure ATP version 2.106

Utgiven 19 januari 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.105

Utgiven 12 januari 2020

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

December 2019

Azure ATP version 2.104

Utgiven 23 dec 2019

• Utgångsdatum för sensorversion har eliminerats
  Distributions- och sensorinstallationspaketen för Azure ATP-sensor upphör inte längre att gälla efter ett antal versioner och uppdateras nu bara en gång. Resultatet av den här funktionen är att tidigare nedladdade sensorinstallationspaket nu kan installeras även om de är äldre än vårt maximala antal förfallna versioner.

• Bekräfta kompropromiss
  Nu kan du bekräfta att specifika Microsoft 365-användare har komprometterats och ställa in risknivån på hög. Det här arbetsflödet ger dina säkerhetsåtgärdsteam en annan svarsfunktion för att minska sina tröskelvärden för tid-till-lösning av säkerhetsincidenter. Läs mer om hur du bekräftar kompromisser med hjälp av Azure ATP och Defender for Cloud Apps.

• Banderoll för ny upplevelse
  På azure ATP-portalsidor där en ny upplevelse är tillgänglig i Defender for Cloud Apps-portalen visas nya banderoller som beskriver vad som är tillgängligt med åtkomstlänkar.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.103

Utgiven 15 dec 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.102

Utgiven 8 dec 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

November 2019

Azure ATP version 2.101

Publicerad 24 november 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.100

Publicerad 17 november 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.99

Publicerad 3 november 2019

• Funktionsförbättring: Ett meddelande om Defender for Cloud Apps portaltillgänglighet har lagts till i Azure ATP-portalen
  För att säkerställa att alla användare är medvetna om tillgängligheten för de förbättrade funktioner som är tillgängliga med hjälp av Defender for Cloud Apps-portalen har meddelandet lagts till för portalen från den befintliga tidslinjen för Azure ATP-aviseringar.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Oktober 2019

Azure ATP version 2.98

Publicerad 27 oktober 2019

• Funktionsförbättring: Misstänkt råstyrkeattackvarning
  Förbättrade aviseringen misstänkt råstyrkeattack (SMB) med hjälp av ytterligare analys och förbättrad identifieringslogik för att minska aviseringsresultatet för godartade sanna positiva (B-TP) och falska positiva (FP).

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.97

Utgiven 6 oktober 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

September 2019

Azure ATP version 2.96

Publicerad 22 september 2019

• Berikade NTLM-autentiseringsdata med Windows Event 8004
  Azure ATP-sensorer kan nu automatiskt läsa och utöka NTLM-autentiseringsaktiviteterna med dina serverdata när NTLM-granskning är aktiverat och Windows Event 8004 är aktiverat. Azure ATP parsar Windows Event 8004 för NTLM-autentiseringar för att utöka NTLM-autentiseringsdata som används för Azure ATP-hotanalys och -aviseringar. Den här förbättrade funktionen ger resursåtkomstaktivitet över NTLM-data samt berikade misslyckade inloggningsaktiviteter, inklusive måldatorn som användaren försökte men inte kunde komma åt.

  Läs mer om NTLM-autentiseringsaktiviteter med Windows Event 8004.

• Versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.95

Utgiven 15 september 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.94

Publicerad 8 september 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.93

Publicerad 1 september 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Augusti 2019

Azure ATP version 2.92

Utgiven 25 augusti 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.91

Utgiven 18 augusti 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.90

Utgiven 11 augusti 2019

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.89

Utgiven 4 augusti 2019

• Förbättringar av sensormetod
  För att undvika överskott av NTLM-trafikgenerering i skapandet av korrekta LMP-utvärderingar (Lateral Movement Path) har förbättringar gjorts i Azure ATP-sensormetoder för att förlita sig mindre på NTLM-användning och göra större användning av Kerberos.

• Aviseringsförbättring: Misstänkt golden ticket-användning (obefintligt konto)
  SAM-namnändringar har lagts till i de stödbevistyper som anges i den här typen av avisering. Mer information om aviseringen, inklusive hur du förhindrar den här typen av aktivitet och åtgärdar, finns i Misstänkt golden ticket-användning (obefintligt konto).

• Allmän tillgänglighet: Misstänkt manipulering av NTLM-autentisering
  Aviseringen om misstänkt manipulering av NTLM-autentisering är inte längre i förhandsgranskningsläge och är nu allmänt tillgänglig.

• Versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juli 2019

Azure ATP version 2.88

Publicerad 28 juli 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.87

Utgiven 21 juli 2019

• Funktionsförbättring: Automatiserad Syslog-händelseinsamling för fristående Azure ATP-sensorer
  Inkommande Syslog-anslutningar för fristående Azure ATP-sensorer är nu helt automatiserade, samtidigt som växlingsalternativet tas bort från konfigurationsskärmen. Dessa ändringar påverkar inte utgående Syslog-anslutningar.

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.86

Utgiven 14 juli 2019

• Ny säkerhetsvarning: Misstänkt manipulering av NTLM-autentisering (externt ID 2039)
  Azure ATP:s nya säkerhetsavisering om misstänkt NTLM-autentiseringsmanipulering finns nu i offentlig förhandsversion. I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när användning av "man-in-the-middle"-angrepp misstänks lyckas kringgå NTLM Message Integrity Check (MIC), en säkerhetsrisk som beskrivs i Microsoft CVE-2019-040. Dessa typer av attacker försöker nedgradera NTLM-säkerhetsfunktioner och autentiseras, med det slutliga målet att göra lyckade laterala rörelser.

• Funktionsförbättring: Identifiering av berikade enhetsoperativsystem
  Hittills har Azure ATP tillhandahållit information om enhetens operativsystem baserat på det tillgängliga attributet i Active Directory. Tidigare, om operativsysteminformationen inte var tillgänglig i Active Directory, var informationen också otillgänglig på azure ATP-entitetssidor. Från och med den här versionen tillhandahåller Azure ATP nu den här informationen för enheter där Active Directory inte har informationen, eller inte är registrerade i Active Directory, med hjälp av berikade identifieringsmetoder för enhetsoperativsystem.

  Tillägget av berikade enhetsidentifieringsdata för operativsystem hjälper till att identifiera oregistrerade och icke-Windows-enheter, samtidigt som det underlättar undersökningen. Mer information om nätverksnamnmatchning i Azure ATP finns i Förstå NNR (Network Name Resolution).

• Ny funktion: Autentiserad proxy – förhandsversion
  Azure ATP stöder nu autentiserad proxy. Ange proxy-URL:en med hjälp av sensorkommandoraden och ange Användarnamn/Lösenord för att använda proxyservrar som kräver autentisering. Mer information om hur du använder autentiserad proxy finns i Konfigurera proxyn.

• Funktionsförbättring: Automatiserad process för domänsynkronisering
  Processen för att utse och tagga domänkontrollanter som kandidater för domänsynkronisering under installationen och pågående konfiguration är nu helt automatiserad. Växlingsalternativet för att manuellt välja domänkontrollanter som kandidater för domänsynkronisering tas bort.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.85

Utgiven 7 juli 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.84

Utgiven 1 juli 2019

• Stöd för ny plats: Azure UK-datacenter
  Azure ATP-instanser stöds nu i Azure UK-datacentret. Mer information om hur du skapar Azure ATP-instanser och deras motsvarande datacenterplatser finns i Steg 1 i Azure ATP-installationen.

• Funktionsförbättring: Nytt namn och funktioner för aviseringen Misstänkta tillägg till känsliga grupper (externt ID 2024)
  Aviseringen Misstänkta tillägg till känsliga grupper hette tidigare aviseringen Misstänkta ändringar i känsliga grupper . Det externa ID:t för aviseringen (ID 2024) förblir detsamma. Den beskrivande namnändringen återspeglar mer exakt syftet med aviseringar om tillägg till dina känsliga grupper. Den förbättrade aviseringen innehåller också nya bevis och förbättrade beskrivningar. Mer information finns i Misstänkta tillägg till känsliga grupper.

• Ny dokumentationsfunktion: Guide för att flytta från Advanced Threat Analytics till Azure ATP
  Den här nya artikeln innehåller krav, planeringsvägledning samt konfigurations- och verifieringssteg för att flytta från ATA till Azure ATP-tjänsten. Mer information finns i Flytta från ATA till Azure ATP.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Juni 2019

Azure ATP version 2.83

Utgiven 23 juni 2019

• Funktionsförbättring: Avisering om misstänkt tjänstskapande (externt ID 2026)
  Den här aviseringen har nu en förbättrad aviseringssida med ytterligare bevis och en ny beskrivning. Mer information finns i Säkerhetsavisering om misstänkt tjänstskapande.

• Stöd för namngivning av instanser: Stöd har lagts till för domänprefixet digit only
  Stöd har lagts till för att skapa Azure ATP-instanser med inledande domänprefix som bara innehåller siffror. Till exempel stöds endast inledande domänprefix som 123456.contoso.com med siffror.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.82

Utgiven 18 juni 2019

• Ny offentlig förhandsversion
  Azure ATP:s undersökning av identitetshot finns nu i offentlig förhandsversion och är tillgänglig för alla Azure ATP-skyddade klientorganisationer. Mer information finns i Azure ATP Microsoft Defender for Cloud Apps undersökningsupplevelse.

• Allmän tillgänglighet
  Azure ATP-stöd för ej betrodda skogar är nu allmänt tillgängligt. Mer information finns i Flera skogar i Azure ATP .

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.81

Utgiven 10 juni 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.80

Utgiven 2 juni 2019

• Funktionsförbättring: Avisering om misstänkt VPN-anslutning
  Den här aviseringen innehåller nu förbättrade bevis och texter för bättre användbarhet. Mer information om aviseringsfunktioner och föreslagna reparationssteg och förebyggande åtgärder finns i beskrivningen av aviseringar om misstänkt VPN-anslutning.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Maj 2019

Azure ATP version 2.79

Utgiven 26 maj 2019

• Allmän tillgänglighet: Rekognosering av säkerhetsobjekt (LDAP) (externt ID 2038)

  Den här aviseringen är nu allmänt tillgänglig .) Mer information om aviseringen, aviseringsfunktioner och föreslagna åtgärder och förebyggande åtgärder finns i aviseringsbeskrivningen för säkerhetsobjektets rekognosering (LDAP)

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.78

Utgiven 19 maj 2019

• Funktionsförbättring: Känsliga entiteter
  Manuell känslig taggning för Exchange-servrar

  Nu kan du tagga entiteter manuellt som Exchange-servrar under konfigurationen.

  Så här taggar du en entitet manuellt som en Exchange Server:

  1. I Azure ATP-portalen väljer du Konfiguration.
  2. Under Identifiering väljer du Entitetstaggar och sedan Känslig.
  3. Välj Exchange-servrar och lägg sedan till den entitet som du vill tagga.

  När du har taggat en dator som en Exchange Server märks den som Känslig och visar att den har taggats som en Exchange Server. Taggen Känslig visas i datorns entitetsprofil och datorn beaktas i alla identifieringar som baseras på känsliga konton och laterala rörelsevägar.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.77

Utgiven 12 maj 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.76

Utgiven 6 maj 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

April 2019

Azure ATP version 2.75

Utgiven 28 april 2019

• Funktionsförbättring: Känsliga entiteter
  Från och med den här versionen (2.75) märks nu datorer som identifieras som Exchange-servrar av Azure ATP automatiskt som känsliga.

  Entiteter som automatiskt taggas som Känsliga eftersom de fungerar som Exchange-servrar anger den här klassificeringen som orsaken till att de är taggade.

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.74

Släpps 14 april 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.73

Publicerad 10 april 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Mars 2019

Azure ATP version 2.72

Publicerad 31 mars 2019

• Funktionsförbättring: Djup för lateral rörelsebana (LMP)
  Laterala förflyttningsvägar (LMPs) är en viktig metod för identifiering av hot och risker i Azure ATP. För att hålla fokus på de kritiska riskerna för dina mest känsliga användare gör den här uppdateringen det enklare och snabbare att analysera och åtgärda risker för känsliga användare på varje LMP, genom att begränsa omfånget och djupet för varje diagram som visas.

  Mer information om hur Azure ATP använder LMP för att exponera åtkomstrisker för varje entitet i din miljö finns i Laterala rörelsevägar .

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.71

Publicerad 24 mars 2019

• Funktionsförbättring: NNR-hälsoaviseringar (Network Name Resolution)
  Hälsoaviseringar har lagts till för konfidensnivåer som är associerade med Azure ATP-säkerhetsaviseringar som baseras på NNR. Varje hälsoavisering innehåller användbara och detaljerade rekommendationer för att lösa låga NNR-framgångsfrekvenser.

  Se Vad är nätverksnamnmatchning för att lära dig mer om hur Azure ATP använder NNR och varför det är viktigt för aviseringsprecision.

• Serverstöd: Stöd har lagts till för Server 2019 med hjälp av KB4487044
  Stöd har lagts till för användning av Windows Server 2019, med en korrigeringsnivå på KB4487044. Användning av Server 2019 utan korrigeringen stöds inte och blockeras från och med den här uppdateringen.

• Funktionsförbättring: Användarbaserat aviseringsundantag
  Utökade alternativ för aviseringsundantag tillåter nu att specifika användare undantas från specifika aviseringar. Undantag kan hjälpa dig att undvika situationer där användning eller konfiguration av vissa typer av intern programvara upprepade gånger utlöste ofarliga säkerhetsaviseringar.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.70

Publicerad 17 mars 2019

• Funktionsförbättring: NNR-konfidensnivån (Network Name Resolution) har lagts till i flera aviseringar Nätverksnamnmatchning eller (NNR) används för att identifiera källentitetsidentiteten för misstänkta attacker. Genom att lägga till NNR-konfidensnivåerna i Azure ATP-aviseringsbevisistor kan du nu omedelbart utvärdera och förstå NNR-konfidensnivån som är relaterad till de möjliga källor som identifieras och åtgärda på lämpligt sätt.

  NNR-konfidensnivåbevis lades till i följande aviseringar:

  • Rekognosering av nätverksmappning (DNS)
  • Misstänkt identitetsstöld (pass-the-ticket)
  • Misstänkt NTLM-reläattack (Exchange-konto)-förhandsversion
  • Misstänkt DCSync-attack (replikering av katalogtjänster)

• Ytterligare hälsoaviseringsscenario: Azure ATP-sensortjänsten kunde inte starta
  I fall där Azure ATP-sensorn inte kunde starta på grund av ett problem med nätverksfångstdrivrutinen utlöses nu en sensorhälsoavisering. Felsöka Azure ATP-sensor med Azure ATP-loggar för mer information om Azure ATP-loggar och hur du använder dem.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.69

Utgiven 10 mars 2019

• Funktionsförbättring: Avisering om misstänkt identitetsstöld (pass-the-ticket) Den här aviseringen innehåller nu nya bevis som visar information om anslutningar som görs med hjälp av RDP (Remote Desktop Protocol). De tillagda bevisen gör det enkelt att åtgärda det kända problemet med (B-TP) Benign-True positiva aviseringar som orsakas av användning av Remote Credential Guard över RDP-anslutningar.

• Funktionsförbättring: Fjärrkörning av kod via DNS-avisering
  Den här aviseringen innehåller nu nya bevis som visar säkerhetsuppdateringsstatus för domänkontrollanten och informerar dig när uppdateringar krävs.

• Ny dokumentationsfunktion: Azure ATP-säkerhetsavisering MITRE ATT&CK-matris™
  För att förklara och göra det enklare att mappa relationen mellan Azure ATP-säkerhetsaviseringar och den välbekanta MITRE ATT-&CK-matrisen har vi lagt till relevanta MITRE-tekniker i Azure ATP-säkerhetsaviseringar. Den här ytterligare referensen gör det enklare att förstå den misstänkta attackteknik som kan användas när en Azure ATP-säkerhetsavisering utlöses. Läs mer om säkerhetsaviseringsguiden för Azure ATP.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.68

Publicerad 3 mars 2019

• Funktionsförbättring: Misstänkt råstyrkeattack (LDAP) avisering
  Betydande förbättringar av användbarheten har gjorts för den här säkerhetsaviseringen, inklusive en reviderad beskrivning, tillhandahållande av ytterligare källinformation och information om gissningsförsök för snabbare reparation.
  Läs mer om säkerhetsaviseringar för misstänkt råstyrkeattack (LDAP).

• Ny dokumentationsfunktion: Säkerhetsvarningslabb
  För att förklara kraften i Azure ATP när det gäller att identifiera de verkliga hoten mot din arbetsmiljö har vi lagt till ett nytt säkerhetsaviseringslabb i den här dokumentationen. Säkerhetsaviseringslabbet hjälper dig att snabbt konfigurera en labb- eller testmiljö och förklarar den bästa defensiva poseringen mot vanliga, verkliga hot och attacker.

  Det stegvisa labbet är utformat för att säkerställa att du ägnar minimal tid åt att skapa och mer tid på att lära dig mer om ditt hotlandskap och tillgängliga Azure ATP-aviseringar och skydd. Vi är glada att höra din feedback.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Februari 2019

Azure ATP version 2.67

Publicerad 24 februari 2019

• Ny säkerhetsvarning: Rekognosering av säkerhetsobjekt (LDAP) – (förhandsversion)
  Azure ATP:s rekognosering av säkerhetsobjekt (LDAP) – säkerhetsavisering för förhandsversion finns nu i offentlig förhandsversion. I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när rekognosering av säkerhetsobjekt används av angripare för att få viktig information om domänmiljön. Den här informationen hjälper angripare att mappa domänstrukturen, samt identifiera privilegierade konton för användning i senare steg i attackkedjan.

  Lightweight Directory Access Protocol (LDAP) är en av de mest populära metoderna som används för både legitima och skadliga syften för att fråga Active Directory. LDAP-fokuserad rekognosering av säkerhetsobjekt används ofta som den första fasen i en Kerberoasting-attack. Kerberoasting-attacker används för att hämta en mållista över säkerhetshuvudnamn (SPN), som angripare sedan försöker få biljetter till biljettbeviljande server (TGS) för.

• Funktionsförbättring: Avisering om kontouppräkningsspaning (NTLM)
  Förbättrad NTLM-avisering (account enumeration reconnaissance) med hjälp av ytterligare analys och förbättrad identifieringslogik för att minska B-TP- och FP-aviseringsresultat.

• Funktionsförbättring: Avisering om rekognosering av nätverksmappning (DNS)
  Nya typer av identifieringar har lagts till i DNS-aviseringar (Network mapping reconnaissance). Förutom att identifiera misstänkta AXFR-begäranden identifierar Azure ATP nu misstänkta typer av begäranden som kommer från icke-DNS-servrar med ett överdrivet antal begäranden.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.66

Publicerad 17 februari 2019

• Funktionsförbättring: Misstänkt DCSync-attack (replikering av katalogtjänster) avisering
  Förbättringar av användbarheten har gjorts för den här säkerhetsvarningen, inklusive en reviderad beskrivning, tillhandahållande av ytterligare källinformation, ny informationsgrafik och mer bevis. Läs mer om säkerhetsaviseringar för misstänkt DCSync-angrepp (replikering av katalogtjänster).

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.65

Publicerad 10 februari 2019

• Ny säkerhetsvarning: Misstänkt NTLM-reläattack (Exchange-konto) – (förhandsversion)
  Azure ATP:s misstänkta NTLM-reläattack (Exchange-konto) – förhandsversionen av säkerhetsvarningen finns nu i offentlig förhandsversion. I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när användning av Exchange-kontoautentiseringsuppgifter från en misstänkt källa identifieras. Dessa typer av attacker försöker utnyttja NTLM-relätekniker för att få domänkontrollantens utbytesprivilegier och kallas ExchangePriv. Läs mer om ExchangePriv-tekniken från ADV190007 rekommendation som först publicerades 31 januari 2019 och Azure ATP-aviseringssvaret.

• Allmän tillgänglighet: Fjärrkodkörning via DNS
  Den här aviseringen är nu allmänt tillgänglig .) Mer information och aviseringsfunktioner finns på sidan Körning av fjärrkod via DNS-avisering.

• Allmän tillgänglighet: Dataexfiltrering över SMB
  Den här aviseringen är nu allmänt tillgänglig .) Mer information och aviseringsfunktioner finns på sidan Dataexfiltrering över SMB-aviseringsbeskrivning.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.64

Publicerad 4 februari 2019

• Allmän tillgänglighet: Misstänkt golden ticket-användning (biljettavvikelse)
  Den här aviseringen är nu allmänt tillgänglig .) Mer information och aviseringsfunktioner finns på aviseringsbeskrivningssidan misstänkt golden ticket-användning (biljettavvikelse).

• Funktionsförbättring: Rekognosering av nätverksmappning (DNS)
  Förbättrad aviseringsidentifieringslogik som distribuerats för den här aviseringen för att minimera falska positiva identifieringar och aviseringsbrus. Den här aviseringen har nu en inlärningsperiod på åtta dagar innan aviseringen kan utlösas för första gången. Mer information om den här aviseringen finns på sidan beskrivningssida för dns-aviseringar (Network mapping reconnaissance).

  På grund av förbättringen av den här aviseringen bör nslookup-metoden inte längre användas för att testa Azure ATP-anslutningen under den första konfigurationen.

• Funktionsförbättring:
  Den här versionen innehåller omdesignade aviseringssidor och nya bevis, vilket ger bättre aviseringsundersökning.

  • Misstänkt brute force-attack (SMB)
  • Aviseringsbeskrivningssida för misstänkt golden ticket-användning (tidsavvikelse)
  • Misstänkt overpass-the-hash-attack (Kerberos)
  • Misstänkt användning av Metasploit-hackningsramverk
  • Misstänkt WannaCry utpressningstrojanattack

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Januari 2019

Azure ATP version 2.63

Publicerad 27 januari 2019

• Ny funktion: Stöd för obetrodd skog – (förhandsversion)
  Azure ATP:s stöd för sensorer i ej betrodda skogar finns nu i offentlig förhandsversion. På sidan Katalogtjänster i Azure ATP-portalen konfigurerar du ytterligare uppsättningar med autentiseringsuppgifter så att Azure ATP-sensorer kan ansluta till olika Active Directory-skogar och rapportera tillbaka till Azure ATP-tjänsten. Mer information finns i Flera skogar i Azure ATP .

• Ny funktion: Täckning för domänkontrollant
  Azure ATP tillhandahåller nu täckningsinformation för Azure ATP-övervakade domänkontrollanter.
  På sidan Sensorer i Azure ATP-portalen visar du antalet övervakade och oövervakade domänkontrollanter som har identifierats av Azure ATP i din miljö. Ladda ned listan över övervakade domänkontrollanter för ytterligare analys och skapa en åtgärdsplan. Mer information finns i vägledningen för övervakning av domänkontrollanter .

• Funktionsförbättring: Rekognosering av kontouppräkning
  Azure ATP-kontouppräkningsidentifieringen identifierar och utfärdar nu aviseringar för uppräkningsförsök med Kerberos och NTLM. Tidigare fungerade identifieringen endast för försök med Kerberos. Mer information finns i Azure ATP-rekognoseringsaviseringar .

• Funktionsförbättring: Avisering om försök att köra fjärrkod

  • Alla fjärrkörningsaktiviteter, till exempel skapande av tjänster, WMI-körning och den nya PowerShell-körningen , lades till i måldatorns profiltidslinje. Måldatorn är domänkontrollanten som kommandot kördes på.
  • PowerShell-körning har lagts till i listan över aktiviteter för körning av fjärrkod som anges i tidslinjen för entitetsprofilavisering.
  • Mer information finns i Försök att köra fjärrkod .

• Windows Server 2019 LSASS-problem och Azure ATP
  Som svar på kundfeedback om Azure ATP-användning med domänkontrollanter som kör Windows Server 2019 innehåller den här uppdateringen ytterligare logik för att undvika att utlösa det rapporterade beteendet på Windows Server 2019-datorer. Fullständigt stöd för Azure ATP-sensorn på Windows Server 2019 planeras för en framtida Azure ATP-uppdatering, men installation och körning av Azure ATP på Windows Servers 2019 stöds för närvarande inte. Mer information finns i Sensorkrav för Azure ATP .

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.62

Publicerad 20 januari 2019

• Ny säkerhetsavisering: Fjärrkodkörning via DNS – (förhandsversion)
  Azure ATP:s fjärrkodkörning via DNS-säkerhetsavisering finns nu i offentlig förhandsversion. I den här identifieringen utlöses en Azure ATP-säkerhetsavisering när DNS-frågor som misstänks utnyttja säkerhetsrisken CVE-2018-8626 görs mot en domänkontrollant i nätverket.

• Funktionsförbättring: 72 timmars fördröjd sensoruppdatering
  Alternativet har ändrats för att fördröja sensoruppdateringar på valda sensorer till 72 timmar (i stället för den föregående 24-timmarsfördröjningen) efter varje versionsuppdatering av Azure ATP. Se Azure ATP-sensoruppdatering för konfigurationsinstruktioner.

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.61

Publicerad 13 januari 2019

• Ny säkerhetsavisering: Dataexfiltrering över SMB – (förhandsversion)
  Azure ATP:s dataexfiltrering över SMB-säkerhetsavisering är nu i offentlig förhandsversion. Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med krbtgt-kontot kan angripare skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser.

• Funktionsförbättring: Säkerhetsaviseringar vid körning av fjärrkod
  En ny aviseringsbeskrivning och ytterligare bevis har lagts till för att göra aviseringen enklare att förstå och ge bättre undersökningsarbetsflöden.

• Funktionsförbättring: Logiska AKTIVITETER för DNS-frågor
  Ytterligare frågetyper har lagts till i Azure ATP-övervakade aktiviteter , inklusive: TXT, MX, NS, SRV, ANY, DNSKEY.

• Funktionsförbättring: Misstänkt golden ticket-användning (biljettavvikelse) och misstänkt golden ticket-användning (obefintligt konto)
  Förbättrad identifieringslogik har tillämpats på båda aviseringarna för att minska antalet FP-aviseringar och ge mer exakta resultat.

• Funktionsförbättring: Dokumentation om Azure ATP-säkerhetsaviseringar
  Dokumentationen om Azure ATP-säkerhetsaviseringar har förbättrats och utökats till att omfatta bättre aviseringsbeskrivningar, mer exakta aviseringsklassificeringar och förklaringar av bevis, reparation och förebyggande åtgärder. Bekanta dig med den nya dokumentationsdesignen för säkerhetsaviseringar med hjälp av följande länkar:

  • Azure ATP-säkerhetsaviseringar
  • Förstå säkerhetsaviseringar
    • Aviseringar för rekognoseringsfas
    • Aviseringar om komprometterad autentiseringsuppgiftsfas
    • Aviseringar om lateral förflyttningsfas
    • Fasaviseringar för domändominans
    • Aviseringar för exfiltreringsfas
  • Undersöka en dator
  • Undersöka en användare

• Den här versionen innehåller även förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.60

Publicerad 6 januari 2019

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

December 2018

Azure ATP version 2.59

Publicerad 16 december 2018

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.58

Publicerad 9 december 2018

• Förbättringar av säkerhetsaviseringar: Aviseringsdelning för ovanlig protokollimplementering
  Azure ATP:s serie av säkerhetsaviseringar för ovanlig protokollimplementering som tidigare delade 1 externalId (2002) är nu uppdelade i fyra distinkta aviseringar, med motsvarande unika externa ID.

Nya aviserings-externalIds

Nytt säkerhetsaviseringsnamn	Tidigare säkerhetsaviseringsnamn	Unikt externt ID
Misstänkt brute force-attack (SMB)	Ovanlig protokollimplementering (potentiell användning av skadliga verktyg som Hydra)	2033
Misstänkt overpass-the-hash-attack (Kerberos)	Ovanlig Kerberos-protokollimplementering (potentiell overpass-the-hash-attack)	2002
Misstänkt användning av Metasploit-hackningsramverk	Ovanlig protokollimplementering (potentiell användning av metasploithackningsverktyg)	2034
Misstänkt WannaCry utpressningstrojanattack	Ovanlig protokollimplementering (potentiell wannacry utpressningstrojanattack)	2035

• Ny övervakad aktivitet: Filkopiering via SMB
  Kopiering av filer med SMB är nu en övervakad och filtreringsbar aktivitet. Läs mer om vilka aktiviteter Som Azure ATP övervakar och hur du filtrerar och söker efter övervakade aktiviteter i portalen.

• Bildförbättring för stor lateral förflyttningsväg
  När du visar stora laterala förflyttningsvägar markerar Azure ATP nu endast de noder som är anslutna till en vald entitet, i stället för att göra de andra noderna suddiga. Den här ändringen medför en betydande förbättring av den stora LMP-återgivningshastigheten.

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Azure ATP version 2.57

Publicerad 2 december 2018

• Ny säkerhetsvarning: Misstänkt golden ticket-användning – biljettavvikelse (förhandsversion)
  Azure ATP:s misstänkta golden ticket-användning – avisering om biljettavvikelse är nu i offentlig förhandsversion. Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan angripare skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser.

  Denna förfalskade TGT kallas en "gyllene biljett" eftersom den gör det möjligt för angripare att uppnå varaktig nätverkspersistence. Förfalskade gyllene biljetter av den här typen har unika egenskaper som den nya identifieringen är utformad för att identifiera.

• Funktionsförbättring: Automatiserat skapande av Azure ATP-instanser
  Från och med idag byter Azure ATP-instanser namn på Azure ATP-instanser. Azure ATP stöder nu en Azure ATP-instans per Azure ATP-konto. Instanser för nya kunder skapas med hjälp av guiden för att skapa instanser i Azure ATP-portalen. Befintliga Azure ATP-instanser konverteras automatiskt till Azure ATP-instanser med den här uppdateringen.

  • Förenklat skapande av instanser för snabbare distribution och skydd med hjälp av skapa din Azure ATP-instans.
  • All datasekretess och efterlevnad förblir densamma.

  Mer information om Azure ATP-instanser finns i Skapa din Azure ATP-instans.

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

November 2018

Azure ATP version 2.56

Publicerad 25 november 2018

• Funktionsförbättring: Laterala rörelsevägar (LMPs)
  Ytterligare två funktioner läggs till för att förbättra funktionerna i Azure ATP Lateral Movement Path (LMP):

  • LMP-historiken sparas nu och kan identifieras per entitet och när du använder LMP-rapporter.
  • Följ en entitet i en LMP via aktivitetstidslinjen och undersök med hjälp av ytterligare bevis för identifiering av potentiella attackvägar.

  Se Azure ATP Lateral Movement Paths för att lära dig mer om hur du använder och undersöker med förbättrade LMP:er.

• Dokumentationsförbättringar: Laterala förflyttningsvägar, namn på säkerhetsaviseringar
  Tillägg och uppdateringar har gjorts i Azure ATP-artiklar som beskriver beskrivningar och funktioner för lateral förflyttningsväg, namnmappning har lagts till för alla instanser av gamla säkerhetsaviseringsnamn till nya namn och externalIds.

  • Mer information finns i Azure ATP Lateral Movement Paths, Investigate Lateral Movement Paths (Undersöka laterala förflyttningsvägar) och Säkerhetsvarningsguide .

• Den här versionen innehåller förbättringar och felkorrigeringar för intern sensorinfrastruktur.

Mer information om varje Defender for Identity-version före (och inklusive) version 2.55 finns i versionsreferensen för Defender för identitet.

Nästa steg

Nyheter i Microsoft Defender for Identity