Novità di ATA versione 1.6

  • Articolo

Queste note sulla versione forniscono informazioni sui problemi noti in questa versione di Advanced Threat Analytics.

Novità dell'aggiornamento di ATA 1.6

L'aggiornamento ad ATA 1.6 offre miglioramenti nelle aree seguenti:

  • Nuovi rilevamenti

  • Miglioramenti ai rilevamenti esistenti

  • The ATA Lightweight Gateway

  • Aggiornamenti automatici

  • Prestazioni migliorate di ATA Center

  • Requisiti di archiviazione inferiori

  • Supporto per IBM QRadar

Nuovi rilevamenti

  • Richiesta di informazioni private sulla protezione dei dati dannosa
    L'API Protezione dati (DPAPI) è un servizio di protezione dei dati basato su password. Questo servizio di protezione viene usato da varie applicazioni che archiviano i segreti dell'utente, ad esempio password del sito Web e credenziali di condivisione file. Per supportare scenari di perdita di password, gli utenti possono decrittografare i dati protetti usando una chiave di ripristino, che non implica la password. In un ambiente di dominio, gli utenti malintenzionati possono rubare in remoto la chiave di ripristino e usarla per decrittografare i dati protetti in tutti i computer aggiunti a un dominio.

  • Enumerazione Net Session
    La ricognizione è una fase chiave all'interno della kill chain di attacco avanzata. I controller di dominio (DCS) funzionano come file server allo scopo della distribuzione di oggetti Criteri di gruppo, usando il protocollo SMB (Server Message Block). Come parte della fase di ricognizione, gli utenti malintenzionati possono eseguire query sul controller di dominio per tutte le sessioni SMB attive nel server. Consente loro di ottenere l'accesso a tutti gli utenti e gli indirizzi IP associati a tali sessioni SMB. L'enumerazione della sessione SMB può essere usata dagli utenti malintenzionati per individuare gli account sensibili, aiutandoli a spostarsi successivamente attraverso la rete.

  • Richieste di replica dannose
    Negli ambienti Active Directory la replica avviene regolarmente tra controller di dominio. Un utente malintenzionato può eseguire lo spoofing di una richiesta di replica di Active Directory (a volte rappresentando un controller di dominio). Questo spoofing consente all'utente malintenzionato di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password, senza usare tecniche più intrusive come Copia shadow del volume.

  • Rilevamento della vulnerabilità MS11-013
    Esiste una vulnerabilità di elevazione dei privilegi in Kerberos, che consente l'aggiunta di determinati aspetti di un ticket di servizio Kerberos. Un utente malintenzionato o un utente malintenzionato che sfrutta correttamente questa vulnerabilità può ottenere un token con privilegi elevati nel controller di dominio.

  • Implementazione insolita del protocollo
    Le richieste di autenticazione (Kerberos o NTLM) vengono in genere eseguite usando un set standard di metodi e protocolli. Tuttavia, per eseguire correttamente l'autenticazione, la richiesta deve soddisfare solo un set specifico di requisiti. Gli utenti malintenzionati potrebbero implementare questi protocolli con piccole deviazioni dall'implementazione standard nell'ambiente. Queste deviazioni possono indicare la presenza di un utente malintenzionato che tenta di eseguire attacchi, ad esempio Pass-The-Hash, Forza bruta e altri.

Miglioramenti ai rilevamenti esistenti

ATA 1.6 include una logica di rilevamento migliorata che riduce gli scenari falsi positivi e falsi negativi per i rilevamenti esistenti, ad esempio Golden Ticket, honey token, forza bruta ed esecuzione remota.

The ATA Lightweight Gateway

Questa versione di ATA introduce una nuova opzione di distribuzione per il gateway ATA, che consente l'installazione di un gateway ATA direttamente nel controller di dominio. Questa opzione di distribuzione rimuove le funzionalità non critiche del gateway ATA e introduce la gestione dinamica delle risorse in base alle risorse disponibili nel controller di dominio, assicurandosi che le operazioni esistenti del controller di dominio non siano interessate. Il gateway ATA Lightweight riduce il costo della distribuzione di ATA. Allo stesso tempo, semplifica la distribuzione nei siti di succursali, in cui è presente una capacità di risorse hardware limitata o l'impossibilità di configurare il supporto del mirroring delle porte. Per altre informazioni sul gateway ATA Lightweight, vedere Architettura ATA

Per altre informazioni sulle considerazioni sulla distribuzione e sulla scelta del tipo corretto di gateway, vedere Pianificazione della capacità di ATA

Aggiornamenti automatici

A partire dalla versione 1.6, è possibile aggiornare ATA Center usando Microsoft Update. Inoltre, i gateway ATA possono ora essere aggiornati automaticamente usando il proprio canale di comunicazione standard al Centro ATA.

Prestazioni migliorate di ATA Center

Con questa versione, un carico di database più leggero e un modo più efficiente per eseguire tutto il rilevamento consente di monitorare molti più controller di dominio con un singolo ATA Center.

Requisiti di archiviazione inferiori

ATA 1.6 richiede uno spazio di archiviazione notevolmente inferiore per eseguire il database ATA, richiedendo ora solo il 20% dello spazio di archiviazione usato nelle versioni precedenti.

Supporto per IBM QRadar

ATA può ora ricevere eventi dalla soluzione SIEM QRadar di IBM, oltre alle soluzioni SIEM supportate in precedenza.

Problemi noti

In questa versione sono presenti i problemi noti seguenti.

Errore di riconoscimento del nuovo percorso nei database spostati manualmente

Nelle distribuzioni in cui il percorso del database viene spostato manualmente, la distribuzione di ATA non usa il nuovo percorso del database per l'aggiornamento. Questo percorso del database spostato manualmente può causare i problemi seguenti:

  • ATA può usare tutto lo spazio disponibile nell'unità di sistema di ATA Center, senza eliminare in modo circolare le attività di rete precedenti.

  • L'aggiornamento di ATA alla versione 1.6 potrebbe non riuscire i controlli di preparazione pre-aggiornamento, come illustrato nell'immagine seguente.

    Failed readiness check.

    Importante

    Prima di aggiornare ATA alla versione 1.6, aggiornare la chiave del Registro di sistema seguente con il percorso del database corretto: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath

Errore di migrazione durante l'aggiornamento da ATA 1.5

Quando si esegue l'aggiornamento ad ATA 1.6, il processo di aggiornamento potrebbe non riuscire con il codice di errore seguente:

Update ATA to 1.6 error.

Se viene visualizzato questo errore, esaminare il log di distribuzione in: C:\Users<User>\AppData\Local\Temp e cercare l'eccezione seguente:

System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : "<guid>" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors.  E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : " <guid> " }

È anche possibile che venga visualizzato questo errore:

System.ArgumentNullException: Value cannot be null.

Se viene visualizzato uno di questi errori, eseguire la soluzione alternativa seguente:

Soluzione alternativa:

  1. Spostare la cartella "data_old" in una cartella temporanea (in genere disponibile in %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).
  2. Disinstallare ATA Center v1.5 ed eliminare tutti i dati del database. Uninstall ATA 1.5.
  3. Reinstallare ATA Center v1.5. Assicurarsi di usare la stessa configurazione dell'installazione di ATA 1.5 precedente (certificati, indirizzi IP, percorso del database e così via).
  4. Arrestare questi servizi nell'ordine seguente:
    1. Microsoft Advanced Threat Analytics Center
    2. MongoDB
  5. Sostituire i file di database MongoDB con i file nella cartella "data_old".
  6. Avviare questi servizi nell'ordine seguente:
    1. MongoDB
    2. Microsoft Advanced Threat Analytics Center
  7. Esaminare i log per verificare che il prodotto sia in esecuzione senza errori.
  8. Scaricare lo strumento "RemoveDuplicateProfiles.exe" e copiarlo nel percorso di installazione principale (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center)
  9. Da un prompt dei comandi con privilegi elevati eseguire RemoveDuplicateProfiles.exe e attendere il completamento.
  10. Da qui: …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin directory: Mongo ATA, digitare il comando seguente:
db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });

Update workaround.

Verrà restituito un WriteResult({ "nRemoved" : XX }) valore in cui "XX" è il numero di attività sospette eliminate. Se il numero è maggiore di 0, uscire dal prompt dei comandi e continuare con il processo di aggiornamento.

Net Framework 4.6.1 richiede il riavvio del server

.Net Framework restart.

Attività di rete cronologiche non più migrate

Questa versione di ATA offre un motore di rilevamento migliorato, che offre un rilevamento più accurato e riduce molti scenari falsi positivi, in particolare per Pass-the-Hash. Il motore di rilevamento nuovo e migliorato usa la tecnologia di rilevamento inline che consente il rilevamento senza accedere all'attività di rete cronologica, per aumentare significativamente le prestazioni di ATA Center. Ciò significa anche che non è necessario eseguire la migrazione dell'attività di rete cronologica durante la procedura di aggiornamento. La procedura di aggiornamento di ATA esporta i dati, nel caso in cui lo si desideri per un'analisi futura, in <Center Installation Path>\Migration come file JSON.

Vedi anche

Consulta il forum di ATA!Aggiornare ATA alla versione 1.6 - Guida alla migrazione