高級(jí)威脅分析1.8版本(Advanced Threat Analytics 1.8)是“一般可用性”版本,意味著微軟將其視為可在商業(yè)環(huán)境中使用的版本。微軟指出,此版本現(xiàn)在可以處理每秒超過(guò)100萬(wàn)個(gè)數(shù)據(jù)包。
▲
高級(jí)威脅分析是微軟的機(jī)器學(xué)習(xí)取證工具,可以安裝在客戶的基礎(chǔ)設(shè)施上。這是一個(gè)通常用于分析“攻擊技術(shù)和實(shí)體異常行為”工具,基于微軟收購(gòu)的Aorato的技術(shù)。
為了提高安全性,微軟添加了與高級(jí)威脅分析一起使用的中心和網(wǎng)關(guān)的審核日志。微軟還通過(guò)此版本促進(jìn)了用戶對(duì)網(wǎng)關(guān)的訪問(wèn)。例如,IT專業(yè)人員不必提供憑據(jù)來(lái)訪問(wèn)它們,因?yàn)榫W(wǎng)關(guān)能夠識(shí)別“現(xiàn)在使用登錄的用戶的上下文”。
1.8版的新檢測(cè)功能之一就是能夠在網(wǎng)絡(luò)上提升特權(quán)的組中報(bào)告“異常”變化的能力。此版本還具有新的檢測(cè)功能,用于跟蹤“暴力算法(brute force)”嘗試危害用戶憑據(jù)。它還顯示通過(guò)Windows管理規(guī)范(WMI)技術(shù)的遠(yuǎn)程執(zhí)行代碼。
1.8版允許企業(yè)將正常行為告訴“高級(jí)威脅分析”,并停止隋松某些行為的警報(bào)。它還讓IT專業(yè)人員能夠刪除可以行為的記錄。
用戶現(xiàn)在可以使用高級(jí)威脅分析訪問(wèn)摘要報(bào)告。它顯示“可疑活動(dòng),健康問(wèn)題等”,可以自動(dòng)生成,甚至定制。它包括一個(gè)改進(jìn)的“敏感報(bào)告”,顯示在特定時(shí)間段內(nèi)的所有變化。
企業(yè)可以直接從1.7.1和1.7.2版升級(jí)到Advanced Threat Analytics 1.8(build 1.8.6645)。必須首先升級(jí)高級(jí)威脅分析中心,然后再升級(jí)“所在的環(huán)境中的所有ATA網(wǎng)關(guān)”。該軟件可從微軟批量許可服務(wù)中心獲得。