L’équipe Microsoft Defender Advanced Threat Protection vient d’annoncer des nouveautés concernant la fonctionnalité Advanced Hunting permettant de faire de l’analyse avancée pour d’éventuelles attaques :
- Ajout de nouveaux types d’actions dans la table MiscEvent permettant de trouver le montage/démontage de périphériques USB et l’attribution de lettres de lecteur (UsbDriveMount, UsbDriveUnmount, UsbDriveDriveLetterChanged)
- Ajout de nouvelles réponses automatisées au niveau de la machine basées sur des détections personnalisées. Ceci inclut : Isoler la machine, collecter un package d’investigation, exécuter une analyse antivirale, Initier une investigation.
En outre au cours des prochaines semaines, Microsoft prévoit de renommer certaines tables et colonnes, ce qui permettra d'élargir la convention de dénomination et d'accueillir des événements provenant d'autres sources.
|
Ancien nom de la table |
Nouveau nom de la table |
|
MachineInfo |
DeviceInfo |
|
MachineNetworkInfo |
DeviceNetworkInfo |
|
ProcessCreationEvents |
DeviceProcessEvents |
|
NetworkCommunicationEvents |
DeviceNetworkEvents |
|
FileCreationEvents |
DeviceFileEvents |
|
RegistryEvents |
DeviceRegistryEvents |
|
LogonEvents |
DeviceLogonEvents |
|
ImageLoadEvents |
DeviceImageLoadEvents |
|
MiscEvents |
DeviceEvents
|
Le billet de l’équipe montre un exemple d’intégration : Advanced hunting updates: USB events, machine-level actions, and schema changes
