2025年4月25日—Trend Vision Oneは、カスタム検出モデルでMicrosoft Defenderログをサポートするようになりました。
このアップデートには以下の変更が含まれています:
- Active Directory (AD) 偵察活動
- Bloodhound攻撃後ツール
- 可能なOverpass-The-Hashに使用されたコマンドライン
- DLL検索順序ハイジャック
- イベントログがクリアされました
- 実行可能ファイルが予期しないDLLを読み込みました
- ファイルバックアップが削除されました
- リモート場所からドロップされて起動されたファイル
- AMSI経由でPowerShellスクリプト内のハックツールの実行が防止されました
- ストレージアカウントに悪意のあるファイルがアップロードされました
- 不正プログラムが防止されました
- コマンドラインでの不正プログラムの実行が防止されました
- Microsoft Defender Antivirusの改ざん
- Microsoft Defenderが不正プログラムを検出しました
- サイドロードスティーラーの活動の可能性
- プロセスメモリダンプ
- 可能なAD偵察に関連するプロセス
- セキュリティソフトウェアが無効化されました
- Sticky Keysバイナリハイジャックが検出されました
- 潜在的に盗まれた認証情報を使用したOverpass-the-Hashによるログオン成功
- Gootkit不正プログラムの配信が疑われます
- 疑わしいOverpass-the-Hash攻撃
- 不審なAzureロール割り当てが検出されました
- 不審なキー保管庫の復旧が検出されました
- 不審なLsassプロセスアクセス
- 疑わしいPowerShellコマンドライン
- 不審なスクリプトが起動されました
- 不審な探索活動の連続
- Windows Defender AVが検出しました
新機能のテストを支援するために、tm-v1-detection-models GitHubリポジトリにカスタム検出フィルターを追加しました。これらの検出モデルをTrend Vision One環境にインポートして、新しい統合をテストできます。
カスタム検出フィルターの詳細については、カスタムフィルタを参照してください