高级威胁分析1.8版本(advanced threat analytics 1.8)是“一般可用性”版本,意味着微软将其视为可在商业环境中使用的版本。微软指出,此版本现在可以处理每秒超过100万个数据包。
▲
高级威胁分析是微软的机器学习取证工具,可以安装在客户的基础设施上。这是一个通常用于分析“攻击技术和实体异常行为”工具,基于微软收购的aorato的技术。
为了提高安全性,微软添加了与高级威胁分析一起使用的中心和网关的审核日志。微软还通过此版本促进了用户对网关的访问。例如,it专业人员不必提供凭据来访问它们,因为网关能够识别“现在使用登录的用户的上下文”。
1.8版的新检测功能之一就是能够在网络上提升特权的组中报告“异常”变化的能力。此版本还具有新的检测功能,用于跟踪“暴力算法(brute force)”尝试危害用户凭据。它还显示通过windows管理规范(wmi)技术的远程执行代码。
1.8版允许企业将正常行为告诉“高级威胁分析”,并停止隋松某些行为的警报。它还让it专业人员能够删除可以行为的记录。
用户现在可以使用高级威胁分析访问摘要报告。它显示“可疑活动,健康问题等”,可以自动生成,甚至定制。它包括一个改进的“敏感报告”,显示在特定时间段内的所有变化。
企业可以直接从1.7.1和1.7.2版升级到advanced threat analytics 1.8(build 1.8.6645)。必须首先升级高级威胁分析中心,然后再升级“所在的环境中的所有ata网关”。该软件可从微软批量许可服务中心获得。