Microsoft Advanced Threat Analytics Version 1.9

Seit heute ist die Version 1.9 von Microsoft Advanced Threat Analytics verfügbar. Diese on-premises Lösung hilft bei der Erkennung von Eindringversuchen und Identitätsdiebstahl eines Active Directory-Kontos. Seit Kurzem ist ja auch Azure Advanced Threat Protection verfügbar – dies ist quasi die cloud-basierte Lösung.

Das Update auf Version 1.9 bringt ATA  auf den Versionsstand 1.9.7312.

Bei meiner Installation mussten zuerst alle Lightweight-Gateways aktualisiert werden, die auf einem Windows Server 2012 R2 ausgeführt werden:

image

Dies war ohne Neustart der Domänencontroller möglich. Interessanterweise hat sich durch den Fix die Versionsnummer der Gateways (1.8.6765.36693) nicht verändert.

Leider wird wie bei allen Updates bislang auch die angelernte Datenbank verworfen und neu erstellt:

image

Das Update dauerte bei mir drei Minuten:

image

Sobald das Portal geöffnet wird, fällt die “Was ist Neu”-Benachrichtigung auf:

image

Wenige Minuten nach der Updateinstallation waren auch meine Gateways auf 1.9.7312.32791 aktualisiert.

Was ist neu?

    • New Detection – Suspicious service creation on domain controllers
    • New Reports – Lateral movements paths, Passwords exposed in cleartext.
    • New Feature – Manually tag entities as sensitives.
    • User Experience – Improved entity profile pages with new investigation capabilities and Active Directory data.
    • Performance – Improved performance in the Center and Gateways that allow to handle more network traffic.

Ausführlichere Informationen findet ihr hier:

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Mobility