2025年4月25日—Trend Vision One 現在支援在自訂偵測模型中使用 Microsoft Defender 日誌。
此更新包括以下變更:
- Active Directory (AD) 偵察活動
- Bloodhound 後漏洞利用工具
- 用於可能的 Overpass-The-Hash 的命令行
- DLL 搜尋順序綁架軟體
- 事件日誌已清除
- 可執行檔載入了意外的 DLL
- 檔案備份已刪除
- 檔案從遠端位置丟棄並啟動
- 透過 AMSI 阻止了 PowerShell 腳本中的駭客工具執行
- 惡意檔案已上傳至儲存帳戶
- 已阻止惡意程式
- 命令列中的惡意程式已被阻止執行
- Microsoft Defender 防病毒篡改
- Microsoft Defender 已偵測到惡意程式
- 可能的側載竊取活動
- 進程記憶體轉儲
- 與可能的 AD 偵察相關的進程
- 安全軟體已停用
- 偵測到黏滯鍵二進位綁架軟體
- 使用可能被盜用的憑證成功登錄並使用Overpass-the-Hash
- 疑似傳送 Gootkit 惡意程式
- 疑似 Overpass-the-Hash 攻擊
- 偵測到可疑的 Azure 角色指派
- 偵測到可疑的密碼保險箱恢復
- 可疑的 Lsass 程序訪問
- 可疑的 PowerShell 命令行
- 可疑腳本已啟動
- 可疑的探索活動序列
- Windows Defender AV 偵測到
為了協助您測試新功能,我們在tm-v1-detection-models GitHub 儲存庫中新增了自訂偵測篩選器。您可以將這些偵測模型匯入到您的 Trend Vision One 環境中,以測試新的整合。
如需有關自訂偵測過濾器的詳細資訊,請參閱 自訂過濾器