Novità di ATA versione 1.4
Queste note sulla versione forniscono informazioni sui problemi noti nella versione 1.4 di Advanced Threat Analytics.
Novità di questa versione
Supporto per l'inoltro di eventi di Windows (WEF) per inviare eventi direttamente dai controller di dominio al gateway ATA.
Miglioramenti del rilevamento pass-The-Hash sulle risorse aziendali combinando DPI (Deep Packet Inspection) e i registri eventi di Windows.
Miglioramenti per il supporto di dispositivi non aggiunti a un dominio e dispositivi non Windows per il rilevamento e la visibilità.
Miglioramenti delle prestazioni per supportare un maggior traffico per ogni gateway ATA.
Miglioramenti delle prestazioni per supportare più gateway ATA per OGNI CENTRO ATA.
È stato aggiunto un nuovo processo di risoluzione automatica dei nomi che corrisponde ai nomi dei computer e agli indirizzi IP. Questa funzionalità unica consente di risparmiare tempo prezioso nel processo di indagine e fornire prove solide per gli analisti della sicurezza
Miglioramento della possibilità di raccogliere input dagli utenti per ottimizzare automaticamente il processo di rilevamento.
Rilevamento automatico per i dispositivi NAT.
Failover automatico quando i controller di dominio non sono raggiungibili.
Il monitoraggio e le notifiche dell'integrità del sistema forniscono ora lo stato di integrità complessivo della distribuzione, nonché problemi specifici relativi alla configurazione e alla connettività.
Visibilità su siti e posizioni in cui operano le entità.
Supporto multidominio.
Supporto per domini con etichetta singola (SLD).
Supporto per la modifica dell'indirizzo IP e del certificato dei gateway ATA e di ATA Center.
Telemetria per migliorare l'esperienza dei clienti.
Problemi noti
In questa versione sono presenti i problemi noti seguenti.
Software di acquisizione di rete
Nel gateway ATA l'unico software di acquisizione di rete supportato che è possibile installare è Microsoft Network Monitor 3.4. Non installare Microsoft Message Analyzer o altri software di acquisizione di rete. L'installazione di altri software causa l'arresto corretto del gateway ATA.
Installazione dal file ZIP
Quando si installa il gateway ATA, assicurarsi di estrarre i file dal file ZIP in una directory locale e installarli da questa posizione. Non installare il gateway ATA direttamente dall'interno del file ZIP o l'installazione non riesce.
Disinstallazione delle versioni precedenti di ATA
Se è stata installata una versione precedente di ATA, anteprima pubblica o anteprima privata, è necessario disinstallare i gateway ATA Center e ATA prima di installare questa versione di ATA.
È inoltre necessario eliminare i file di database e i file di log. I database delle versioni precedenti di ATA non sono compatibili con la versione GA di ATA.
Se l'installazione di ATA viene aperta anziché la disinstallazione quando si tenta di disinstallare ATA Center o il gateway ATA, è necessario aggiungere la chiave del Registro di sistema seguente e quindi disinstallare di nuovo ATA.
ATA Center
HKLM\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center
Aggiungere un nuovo valore String denominato
InstallationPath
con un valore .C:\Program Files\Microsoft Advanced Threat Analytics\Center
Questa è la cartella di installazione predefinita. Se è stata modificata la cartella di installazione, immettere il percorso in cui è installato ATA.
ATA Gateway
HKLM\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Gateway
Aggiungere un nuovo valore String denominato
InstallationPath
con un valore .C:\Program Files\Microsoft Advanced Threat Analytics\Gateway
Questa è la cartella di installazione predefinita. Se è stata modificata la cartella di installazione, immettere il percorso in cui è installato ATA.
Dopo la disinstallazione, eliminare la cartella di installazione sia in ATA Center che nel gateway ATA. Se il database è stato installato in una cartella separata, eliminare la cartella Database in ATA Center.
Avviso di integrità - Gateway ATA disconnesso
Se si dispone di più gateway ATA e si dispone di avvisi del gateway ATA disconnessi, la risoluzione automatica funziona solo su uno di essi, lasciando il resto in uno stato Aperto. Verificare manualmente che il gateway ATA sia attivo e che il servizio sia in esecuzione e risolvere manualmente l'avviso.
KB nell'host di virtualizzazione
Non installare kb 3047154 in un host di virtualizzazione. Questo può causare l'interruzione del funzionamento corretto del mirroring delle porte.