Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[MD ATP] Nouveautés sur la fonctionnalité Advanced Hunting (Evènements USB, actions au niveau de la machine, etc.)

L’équipe Microsoft Defender Advanced Threat Protection vient d’annoncer des nouveautés concernant la fonctionnalité Advanced Hunting permettant de faire de l’analyse avancée pour d’éventuelles attaques :

  • Ajout de nouveaux types d’actions dans la table MiscEvent permettant de trouver le montage/démontage de périphériques USB et l’attribution de lettres de lecteur (UsbDriveMount, UsbDriveUnmount, UsbDriveDriveLetterChanged)
  • Ajout de nouvelles réponses automatisées au niveau de la machine basées sur des détections personnalisées. Ceci inclut : Isoler la machine, collecter un package d’investigation, exécuter une analyse antivirale, Initier une investigation.

En outre au cours des prochaines semaines, Microsoft prévoit de renommer certaines tables et colonnes, ce qui permettra d'élargir la convention de dénomination et d'accueillir des événements provenant d'autres sources.

Ancien nom de la table

Nouveau nom de la table

MachineInfo

DeviceInfo

MachineNetworkInfo

DeviceNetworkInfo

ProcessCreationEvents

DeviceProcessEvents

NetworkCommunicationEvents

DeviceNetworkEvents

FileCreationEvents

DeviceFileEvents

RegistryEvents

DeviceRegistryEvents

LogonEvents

DeviceLogonEvents

ImageLoadEvents

DeviceImageLoadEvents

MiscEvents

DeviceEvents

 

Le billet de l’équipe montre un exemple d’intégration : Advanced hunting updates: USB events, machine-level actions, and schema changes

Facebook Like
Anonymous