Nouveautés d’ATA version 1.6

  • Article

Ces notes de publication fournissent des informations sur les problèmes connus dans cette version d’Advanced Threat Analytics.

Quelles sont les nouveautés de la mise à jour ATA 1.6 ?

La mise à jour vers ATA 1.6 apporte des améliorations dans les domaines suivants :

  • Nouvelles détections

  • Améliorations apportées aux détections existantes

  • La passerelle ATA Lightweight

  • Mises à jour automatiques

  • Amélioration des Analyses des performances du Centre ATA

  • Réduction des exigences en matière de stockage

  • Support pour IBM QRadar

Nouvelles détections

  • Demande d’informations privées de protection des données malveillantes
    L’API de protection des données (DPAPI) est un service de protection des données basé sur un mot de passe. Ce service de protection est utilisé par différentes applications qui stockent les secrets de l’utilisateur, tels que les mots de passe de site web et les informations d’identification de partage de fichiers. Pour prendre en charge les scénarios de perte de mot de passe, les utilisateurs peuvent déchiffrer les données protégées à l’aide d’une clé de récupération, qui n’implique pas leur mot de passe. Dans un environnement de domaine, les attaquants peuvent voler à distance la clé de récupération et l’utiliser pour déchiffrer les données protégées sur tous les ordinateurs joints au domaine.

  • Enumération des sessions Net
    La reconnaissance est une étape clé de la chaîne de destruction d’attaque avancée. Les contrôleurs de domaine (contexte de périphérique) fonctionnent en tant que serveurs de fichiers à des fins de distribution d’objets de stratégie de groupe, à l’aide du protocole SMB. Dans le cadre de la phase de reconnaissance, les attaquants peuvent interroger le contexte de périphérique pour toutes les sessions SMB actives sur le serveur. Il leur permet d’accéder à tous les utilisateurs et adresses IP associés à ces sessions SMB. L’énumération de sessions SMB peut être utilisée par des attaquants pour cibler des comptes sensibles, ce qui les aide à se déplacer ultérieurement sur le réseau.

  • Demandes de réplication malveillantes
    Dans les environnements Active Directory, la réplication se produit régulièrement entre les contrôleurs de domaine. Un pirate peut usurper une demande de réplication Active Directory (parfois en se faisant passer pour un contrôleur de domaine). Cette usurpation permet à l’attaquant de récupérer les données stockées dans Active Directory, y compris les hachages de mot de passe, sans utiliser de techniques plus intrusives telles que le cliché instantané de volume.

  • Détection de la vulnérabilité MS11-013
    Il existe une vulnérabilité d’élévation de privilèges dans Kerberos, ce qui permet à certains aspects d’un ticket de service Kerberos d’être falsifié. Un utilisateur malveillant ou un attaquant qui exploite cette vulnérabilité peut obtenir un jeton avec des privilèges élevés sur le contrôleur de domaine.

  • Implémentation de protocole inhabituelle
    Les demandes d’authentification (Kerberos ou NTLM) sont généralement effectuées à l’aide d’un ensemble standard de méthodes et de protocoles. Toutefois, pour s’authentifier correctement, la demande ne doit répondre qu’à un ensemble spécifique d’exigences. Les attaquants peuvent implémenter ces protocoles avec des écarts mineurs par rapport à l’implémentation standard dans l’environnement. Ces écarts peuvent indiquer la présence d’un attaquant qui tente d’exécuter des attaques telles que Pass-the-hash, Brute Force et autres.

Améliorations apportées aux détections existantes

ATA 1.6 inclut une logique de détection améliorée qui réduit les scénarios faux positifs et faux négatifs pour les détections existantes telles que Golden Ticket, Honey Token, Brute Force et Exécution à distance.

La passerelle ATA Lightweight

Cette version d’ATA introduit une nouvelle option de déploiement pour la passerelle ATA, ce qui permet à une passerelle ATA d’être installée directement sur le contrôleur de domaine. Cette option de déploiement supprime les fonctionnalités non critiques de la passerelle ATA et introduit la gestion dynamique des ressources en fonction des ressources disponibles sur le contexte de périphérique, ce qui garantit que les opérations existantes du contexte de périphérique ne sont pas affectées. La passerelle ATA Lightweight réduit le coût du déploiement d’ATA. En même temps, le déploiement facilite le déploiement dans les sites de branche, dans lesquels il existe une capacité limitée de ressources matérielles ou une incapacité à configurer la prise en charge du miroir de port. Pour plus d’informations sur la passerelle ATA Lightweight, consultez Architecture ATA

Pour plus d’informations sur les considérations relatives au déploiement et sur le choix du type de passerelle approprié pour vous, consultez planification de capacité ATA

Mises à jour automatiques

À compter de la version 1.6, il est possible de mettre à jour le Centre ATA à l’aide de Microsoft Update. En outre, les passerelles ATA peuvent désormais être mises à jour automatiquement à l’aide de leur canal de communication standard vers le Centre ATA.

Amélioration des Analyses des performances du Centre ATA

Avec cette version, une charge de base de données plus légère et un moyen plus efficace d’exécuter toutes les détections permet de surveiller de nombreux contrôleurs de domaine supplémentaires avec un seul Centre ATA.

Réduction des exigences en matière de stockage

ATA 1.6 nécessite ignificantment moins d’espace de stockage pour exécuter la base de données ATA, nécessitant désormais seulement 20 % de l’espace de stockage utilisé dans les versions précédentes.

Support pour IBM QRadar

ATA peut désormais recevoir des événements de la solution SIEM QRadar d’IBM, en plus des solutions SIEM précédemment prises en charge.

Problèmes connus

Cette version présente les problèmes connus suivants.

Échec de la reconnaissance du nouveau chemin d’accès dans les bases de données déplacées manuellement

Dans les déploiements dans lesquels le chemin de la base de données est déplacé manuellement, le déploiement ATA n’utilise pas le nouveau chemin de base de données pour la mise à jour. Ce chemin de base de données déplacé manuellement peut entraîner les problèmes suivants :

  • ATA peut utiliser tout l'espace libre du lecteur système du Centre ATA, sans effacer circulairement les anciennes activités du réseau.

  • La mise à jour de ATA vers la version 1.6 peut entraîner l'échec des pré vérification d’aptitude avant la mise à jour, comme le montre l'image ci-dessous.

    Failed readiness check.

    Important

    Avant de passer à la version 1.6 d'ATA, mettez à jour la clé de registre suivante avec le chemin d'accès correct à la base de données : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath

Échec de la migration lors de la mise à jour à partir d’ATA 1.5

Lors de la mise à jour vers ATA 1.6, le processus de mise à jour peut échouer avec le code d’erreur suivant :

Update ATA to 1.6 error.

Si vous voyez cette erreur, passez en revue le journal de déploiement : C:\Users<User>\AppData\Local\Temp, puis recherchez l’exception suivante :

System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : "<guid>" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors.  E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : " <guid> " }

Vous pouvez également rencontrer cette erreur :

System.ArgumentNullException: Value cannot be null.

Si vous voyez l’une de ces erreurs, exécutez la solution de contournement suivante :

Solution de contournement :

  1. Déplacez le dossier « data_old » vers un dossier temporaire (généralement situé dans %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).
  2. Désinstallez Centre ATA v1.5 et supprimez toutes les données de base de données. Uninstall ATA 1.5.
  3. Réinstallez Centre ATA v1.5. Veillez à utiliser la même configuration que l’installation d’ATA 1.5 précédente (certificats, adresses IP, chemin de base de données, etc.).
  4. Arrêtez ces services dans l’ordre suivant :
    1. Centre Microsoft Advanced Threat Analytics
    2. MongoDB
  5. Remplacez les fichiers de base de données MongoDB par les fichiers du dossier « data_old ».
  6. Démarrez ces services dans l’ordre suivant :
    1. MongoDB
    2. Centre Microsoft Advanced Threat Analytics
  7. Passez en revue les journaux pour vérifier que le produit est en cours d’exécution sans erreur.
  8. Téléchargez l’outil « RemoveDuplicateProfiles.exe » et copiez-le dans le chemin d’installation principal (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center)
  9. À partir d’une invite de commandes avec élévation de privilèges, exécutez RemoveDuplicateProfiles.exe et attendez qu’elle se termine correctement.
  10. À partir de là : …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin annuaire : Mongo ATA, saisissez la commande suivante :
db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });

Update workaround.

Vous devriez obtenir un WriteResult({ "nRemoved" : XX }) où « XX » est le nombre d'activités suspectes qui ont été supprimées. Si le nombre est supérieur à 0, quittez l’invite de commandes et passez au processus de mise à jour.

Net Framework 4.6.1 nécessite le redémarrage du serveur

.Net Framework restart.

Les activités historiques du réseau ne sont plus migrées

Cette version d’ATA offre un moteur de détection amélioré, qui fournit une détection plus précise et réduit de nombreux scénarios faux positifs, en particulier pour Pass-the-hash. Le nouveau moteur de détection amélioré utilise la technologie de détection inline qui permet la détection sans accéder à l’activité réseau historique, afin d’augmenter considérablement les performances du Centre ATA. Cela signifie également qu’il n’est pas nécessaire de migrer l’activité réseau historique pendant la procédure de mise à jour. La procédure de mise à jour de l'ATA exporte les données, au cas où vous les souhaiteriez pour un examen ultérieur, vers <Center Installation Path>\Migration sous la forme d'un fichier JSON.

Voir aussi

Consultez le forum ATA !Mettre à jour ATA vers la version 1.6 - Guide de migration