檢視次數:
2025年4月25日—Trend Vision One 現在支援在自訂偵測模型中使用 Microsoft Defender 日誌。
此更新包括以下變更:
  • Active Directory (AD) 偵察活動
  • Bloodhound 後漏洞利用工具
  • 用於可能的 Overpass-The-Hash 的命令行
  • DLL 搜尋順序綁架軟體
  • 事件日誌已清除
  • 可執行檔載入了意外的 DLL
  • 檔案備份已刪除
  • 檔案從遠端位置丟棄並啟動
  • 透過 AMSI 阻止了 PowerShell 腳本中的駭客工具執行
  • 惡意檔案已上傳至儲存帳戶
  • 已阻止惡意程式
  • 命令列中的惡意程式已被阻止執行
  • Microsoft Defender 防病毒篡改
  • Microsoft Defender 已偵測到惡意程式
  • 可能的側載竊取活動
  • 進程記憶體轉儲
  • 與可能的 AD 偵察相關的進程
  • 安全軟體已停用
  • 偵測到黏滯鍵二進位綁架軟體
  • 使用可能被盜用的憑證成功登錄並使用Overpass-the-Hash
  • 疑似傳送 Gootkit 惡意程式
  • 疑似 Overpass-the-Hash 攻擊
  • 偵測到可疑的 Azure 角色指派
  • 偵測到可疑的密碼保險箱恢復
  • 可疑的 Lsass 程序訪問
  • 可疑的 PowerShell 命令行
  • 可疑腳本已啟動
  • 可疑的探索活動序列
  • Windows Defender AV 偵測到
為了協助您測試新功能,我們在tm-v1-detection-models GitHub 儲存庫中新增了自訂偵測篩選器。您可以將這些偵測模型匯入到您的 Trend Vision One 環境中,以測試新的整合。
如需有關自訂偵測過濾器的詳細資訊,請參閱 自訂過濾器