25. April 2025—Trend Vision One unterstützt jetzt Microsoft Defender-Protokolle in
benutzerdefinierten Erkennungsmodellen.
Dieses Update enthält die folgenden Änderungen:
- Active Directory (AD)-Erkundungsaktivitäten
- Bloodhound Post-Exploitation-Tool
- Befehlszeile für möglichen Overpass-The-Hash verwendet
- DLL-Suchreihenfolge-Hijacker
- Ereignisprotokoll gelöscht
- Ausführbare Datei hat eine unerwartete DLL geladen
- Dateisicherungen wurden gelöscht
- Datei von einem entfernten Standort abgelegt und gestartet
- Hacktool in einem PowerShell-Skript wurde durch AMSI an der Ausführung gehindert
- Bösartige Datei in das Speicherkonto hochgeladen
- Malware verhindert
- Malware in einer Befehlszeile wurde an der Ausführung gehindert
- Manipulation von Microsoft Defender Antivirus
- Microsoft Defender hat eine Malware erkannt
- Mögliche Sideload-Stealer-Aktivität
- Speicherabbild des Prozesses
- Prozess im Zusammenhang mit möglicher AD-Aufklärung
- Sicherheitssoftware wurde deaktiviert
- Sticky Keys Binär-Hijacker erkannt
- Erfolgreiche Anmeldung mit Overpass-the-Hash unter Verwendung potenziell gestohlener Anmeldedaten
- Verdächtige Zustellung von Gootkit-Malware
- Verdächtiger Overpass-the-Hash-Angriff
- Verdächtige Azure-Rollenvergabe erkannt
- Verdächtige Vault-Wiederherstellung erkannt
- Verdächtiger Zugriff auf Lsass-Prozess
- Verdächtige PowerShell-Befehlszeile
- Verdächtiges Skript gestartet
- Verdächtige Abfolge von Erkundungsaktivitäten
- Windows Defender AV erkannt
Um Ihnen bei der Testung der neuen Funktion zu helfen, haben wir benutzerdefinierte
Erkennungsfilter zum tm-v1-detection-models GitHub-Repository hinzugefügt. Sie können diese Erkennungsmodelle in Ihre Trend Vision One-Umgebung
importieren, um die neue Integration zu testen.
Weitere Informationen zu benutzerdefinierten Erkennungsfiltern finden Sie unter Benutzerdefinierte Filter