Novità in ATA versione 1.6What's new in ATA version 1.6

Queste note sulla versione offrono informazioni sui problemi noti relativi a questa versione di Advanced Threat Analytics.These release notes provide information about known issues in this version of Advanced Threat Analytics.

Novità nell'aggiornamento ad ATA 1.6What's new in the ATA 1.6 update?

L'aggiornamento ad ATA 1.6 offre miglioramenti nelle aree seguenti:The update to ATA 1.6 provides improvements in the following areas:

  • Nuovi rilevamentiNew detections

  • Miglioramenti dei rilevamenti esistentiImprovements to existing detections

  • Gateway ATA LightweightThe ATA Lightweight Gateway

  • Aggiornamenti automaticiAutomatic updates

  • Miglioramento delle prestazioni del Centro ATAImproved ATA Center performance

  • Minori requisiti di archiviazioneLower storage requirements

  • Supporto per IBM QRadarSupport for IBM QRadar

Nuovi rilevamentiNew detections

  • Richiesta di informazioni private, protezione da dati dannosi Data Protection API (DPAPI) è un servizio di protezione dati basato su password.Malicious Data Protection Private Information Request Data Protection API (DPAPI) is a password-based data protection service. Questo servizio è usato da varie applicazioni che archiviano i dati segreti degli utenti, come ad esempio le password dei siti Web e le credenziali per la condivisione di file.This protection service is used by various applications that store user’s secrets, such as website passwords and file-share credentials. Per supportare gli scenari di perdita delle password, gli utenti possono decrittografare i dati protetti tramite una chiave di ripristino che non comporta la necessità di password.In order to support password-loss scenarios, users can decrypt protected data by using a recovery key which does not involve their password. In un ambiente di dominio gli utenti malintenzionati possono intercettare in modalità remota la chiave di ripristino e usarla per decrittografare i dati protetti su tutti i computer aggiunti al dominio.In a domain environment, attackers can remotely steal the recovery key and use it to decrypt protected data on all domain joined computers.

  • Enumerazione della sessione di rete La ricognizione è una fase fondamentale nella catena avanzata di eliminazione degli attacchi.Net Session Enumeration Reconnaissance is a key stage within the advanced attack kill chain. I controller di dominio funzionano come file server per la distribuzione di oggetti Criteri di gruppo tramite il protocollo Server Message Block (SMB).Domain Controllers (DCs) function as file servers for the purpose of Group Policy Object distribution, using the Server Message Block (SMB) protocol. Nell'ambito della fase di esplorazione, gli utenti malintenzionati possono eseguire query sul controller di dominio per tutte le sessioni SMB attive sul server, consentendo l'accesso a tutti gli utenti e agli indirizzi IP associati alle sessioni SMB.As part of the reconnaissance phase, attackers can query the DC for all active SMB sessions on the server, allowing them to gain access to all users and IP addresses associated with those SMB sessions. L'enumerazione delle sessioni SMB può essere usata dagli utenti malintenzionati per prendere di mira account sensibili e spostarsi lateralmente sulla rete.SMB session enumeration can be used by attackers for targeting sensitive accounts, helping them move laterally across the network.

  • Richieste di repliche da parte di malintenzionati Gli ambienti Active Directory sono costantemente interessati da repliche tra controller di dominio.Malicious replication requests In Active Directory environments, replication happens regularly between Domain Controllers. Mentre tenta di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password, un utente malintenzionato può eseguire lo spoofing di una richiesta di replica Active Directory, talvolta rappresentando un controller di dominio, senza usare tecniche più intrusive come ad esempio Copia Shadow del volume.An attacker can spoof an Active Directory replication request (sometimes impersonating a Domain Controller) allowing the attacker to retrieve the data stored in Active Directory, including password hashes, without utilizing more intrusive techniques like Volume Shadow Copy.

  • Rilevamento della vulnerabilità MS11-013 In Kerberos esiste una vulnerabilità che riguarda l'elevazione dei privilegi che consente la contraffazione di alcuni aspetti di un ticket di servizio Kerberos.Detection of MS11-013 vulnerability There is an elevation of privilege vulnerability in Kerberos which allows for certain aspects of a Kerberos service ticket to be forged. Un utente malintenzionato o l'autore di un attacco possono sfruttare efficacemente questa vulnerabilità per ottenere un token con privilegi elevati sul controller di dominio.A malicious user or attacker who successfully exploits this vulnerability can obtain a token with elevated privileges on the Domain Controller.

  • Implementazione anomala di protocolli Le richieste di autenticazione Kerberos o NTLM vengono in genere eseguite tramite un set standard di metodi e protocolli.Unusual protocol implementation Authentication requests (Kerberos or NTLM) are usually performed using a standard set of methods and protocols. Tuttavia, per eseguire l'autenticazione la richiesta deve soddisfare solo un set di requisiti specifici.However, in order to successfully authenticate, the request must meet only a specific set of requirements. Gli utenti malintenzionati potrebbero implementare questi protocolli con deviazioni minori rispetto all'implementazione standard dell'ambiente.Attackers might implement these protocols with minor deviations from the standard implementation in the environment. Queste deviazioni potrebbero indicare la presenza di un utente malintenzionato che tenti di eseguire attacchi di tipo Pass-the-Hash, forza bruta o altro.These deviations might indicate the presence of an attacker attempting to execute attacks such as Pass-The-Hash, Brute Force and others.

Miglioramenti dei rilevamenti esistentiImprovements to existing detections

ATA 1.6 include il miglioramento di una logica di rilevamento che riduce gli scenari di falsi positivi e falsi negativi per i rilevamenti esistenti come Golden Ticket, Honey Token, forza bruta ed esecuzione remota.ATA 1.6 includes improved detection logic that reduces false-positive and false-negative scenarios for existing detections such as Golden Ticket, Honey Token, Brute Force and Remote Execution.

Gateway ATA LightweightThe ATA Lightweight Gateway

Questa versione di ATA introduce una nuova opzione di distribuzione per il gateway ATA per la relativa installazione direttamente nel controller di dominio.This version of ATA introduces a new deployment option for the ATA Gateway, which allows an ATA Gateway to be installed directly on the Domain Controller. Questa opzione di distribuzione rimuove le funzionalità non critiche del gateway ATA e introduce la gestione dinamica delle risorse in base alle risorse disponibili nel controller di dominio, in modo che le operazioni del controller di dominio esistenti rimangano invariate.This deployment option removes non-critical functionality of the ATA Gateway and introduces dynamic resource management based on available resources on the DC, which makes sure the existing operations of the DC are not affected. Il gateway ATA Lightweight riduce i costi della distribuzione ATAThe ATA Lightweight Gateway reduces the cost of ATA deployment. semplificando nel contempo la distribuzione alle succursali, dove la capacità delle risorse hardware è limitata oppure non è possibile configurare un supporto di mirroring delle porte.At the same time it makes deployment easier in branch sites, in which there is limited hardware resource capacity or inability to set up port-mirroring support. Per altre informazioni sul gateway ATA Lightweight, vedere ATA architecture (Architettura di ATA).For more information about the ATA Lightweight Gateway, see ATA architecture

Per altre informazioni sulle considerazioni relative alla distribuzione e sulla scelta del tipo corretto di gateway per l'utente, vedere ATA capacity planning (Pianificazione della capacità di ATA).For more information about deployment considerations and choosing the right type of gateways for you, see ATA capacity planning

Aggiornamenti automaticiAutomatic updates

A partire dalla versione 1.6 è possibile aggiornare ATA Center tramite Microsoft Update.Starting with version 1.6, it is possible to update the ATA Center using Microsoft Update. Inoltre, ora è possibile aggiornare automaticamente i gateway ATA tramite il canale di comunicazione standard di ATA Center.In addition, the ATA Gateways can now be automatically updated using their standard communication channel to the ATA Center.

Miglioramento delle prestazioni di ATA CenterImproved ATA Center performance

Questa versione consente il monitoraggio di un numero maggiore di controller di dominio in un unico ATA Center grazie al caricamento di un database più leggero oltre a una maggiore efficienza di esecuzione di tutti i rilevamenti.With this version, a lighter database load and a more efficient way of running all detection enables many more domain controllers to be monitored with a single ATA Center.

Minori requisiti di archiviazioneLower storage requirements

ATA 1.6 richiede molto meno spazio di archiviazione per l'esecuzione del database ATA, ora pari a solo il 20% dello spazio di archiviazione usato nelle versioni precedenti.ATA 1.6 necessitates ignificantly less storage space to run the ATA Database, now requiring only 20% of the storage space used in previous versions.

Supporto per IBM QRadarSupport for IBM QRadar

Ora ATA può ricevere eventi della soluzione QRadar SIEM di IBM, oltre alle soluzioni SIEM già supportate.ATA now can now receive events from IBM's QRadar SIEM solution, in addition to the previously supported SIEM solutions.

Problemi notiKnown issues

Questa versione presenta i problemi noti descritti di seguito.The following known issues exist in this version.

Errore di riconoscimento dei nuovi percorsi dei database spostati manualmenteFailure to recognize new path in manually moved databases

Nelle distribuzioni in cui lo spostamento di un percorso viene eseguito manualmente, la distribuzione di ATA non usa il nuovo percorso del database per l'aggiornamento.In deployments in which the database path is manually moved, ATA deployment does not use the new database path for the update. Questo potrebbe causare gli inconvenienti seguenti:This may cause the following issues:

  • ATA potrebbe usare tutto lo spazio libero nell'unità di sistema di ATA Center senza eliminare in modo circolare le precedenti attività di rete.ATA may use all the free space in the system drive of the ATA Center, without circularly deleting old network activities.

  • L'aggiornamento di ATA alla versione 1.6 potrebbe completare con esito negativo le verifiche di conformità dell'aggiornamento preliminare, come illustrato nell'immagine seguente.Updating ATA to version 1.6 may fail the pre-update Readiness Checks, as shown in the image below. Errore nelle verifiche di conformitàFailed readiness check

    Importante

    Prima di aggiornare ATA alla versione 1.6, aggiornare la chiave di registro seguente con il percorso database corretto: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPathBefore updating ATA to version 1.6, update the following registry key with the correct database path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath

Errore durante la migrazione per l'aggiornamento di ATA 1.5Migration failure when updating from ATA 1.5

Durante l'aggiornamento di ATA alla versione 1.6, il processo di aggiornamento potrebbe avere esito negativo e restituire il codice errore seguente:When updating to ATA 1.6, the update process may fail with the following error code:

Errore di aggiornamento di ATA alla versione 1.6Se viene visualizzato questo errore, esaminare il registro di distribuzione in: C:\Utenti<Utente>\AppData\Local\Temp e cercare l'eccezione seguente:Update ATA to 1.6 error If you see this error, review the deployment log in: C:\Users<User>\AppData\Local\Temp, and look for the following exception:

System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : "<guid>" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors.  E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : " <guid> " }

È possibile che venga visualizzato anche questo errore: System. ArgumentNullException. Il valore non può essere null.You may also see this error: System.ArgumentNullException: Value cannot be null.

Se viene visualizzato uno di questi errori, eseguire la soluzione alternativa seguente.If you see either of these errors, run the following workaround.

Soluzione alternativa:Workaround:

  1. Spostare la cartella "data_old" in una cartella temporanea, in genere ubicata in %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.Move the folder "data_old" to a temporary folder (usually located in %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).
  2. Disinstallare ATA Center 1.5 ed eliminare tutti i dati dei database.Uninstall the ATA Center v1.5, and delete all database data. Disinstallare ATA 1.5Uninstall ATA 1.5
  3. Installare nuovamente ATA Center 1.5.Re-install ATA Center v1.5. Assicurarsi di usare la stessa configurazione dell'installazione di ATA 1.5 precedente (certificati, indirizzi IP, percorso database, ecc.).Make sure to use the same configuration as the previous ATA 1.5 installation (Certificates, IP addresses, DB path, etc.).
  4. Arrestare i servizi seguenti rispettando l'ordine indicato:Stop these services in the following order:
    1. Microsoft Advanced Threat Analytics CenterMicrosoft Advanced Threat Analytics Center
    2. MongoDBMongoDB
  5. Sostituire i file del database MongoDB con i file nella cartella "data_old".Replace the MongoDB database files with the files in the “data_old” folder.
  6. Avviare i servizi seguenti rispettando l'ordine indicato:Start these services in the following order:
    1. MongoDBMongoDB
    2. Microsoft Advanced Threat Analytics CenterMicrosoft Advanced Threat Analytics Center
  7. Esaminare i registri per verificare che il prodotto venga eseguito senza errori.Review the logs to verify that the product is running without errors.
  8. Download lo strumento "RemoveDuplicateProfiles.exe" e copiarlo nel percorso di installazione principale, ovvero %ProgramFiles%\Microsoft Advanced Threat Analytics\Center.Download the "RemoveDuplicateProfiles.exe" tool and copy it to the main installation path (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center)
  9. In un prompt dei comandi con privilegi elevati eseguire "RemoveDuplicateProfiles.exe" e attendere finché non viene completato correttamente.From an elevated command prompt, run “RemoveDuplicateProfiles.exe” and wait until it completes successfully.
  10. Da qui: …\Microsoft Advanced Threat Analytics\Center\MongoDB\directory bin: Mongo ATA e digitare il comando seguente:From here: …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin directory: Mongo ATA, type the following command:

    db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });

Soluzione alternativa di aggiornamento

Questo comando dovrebbe restituire WriteResult({ "nRemoved" : XX }) dove "XX" è il numero di attività sospette eliminate.This should return a WriteResult({ "nRemoved" : XX }) where “XX” is the number of Suspicious Activities that were deleted. Se il numero è maggiore di 0, uscire dal prompt dei comandi e continuare il processo di aggiornamento.If the number is greater than 0, exit the command prompt, and continue with the update process.

Riavvio del server per NET Framework 4.6.1Net Framework 4.6.1 requires restarting the server

In alcuni casi l'installazione di .Net Framework 4.6.1 potrebbe richiedere il riavvio del server.In some cases, the installation of .Net Framework 4.6.1 may require you to restart the server. Si noti che facendo clic su OK nella finestra di dialogo Microsoft Advanced Threat Analytics Center Setup (Installazione di Microsoft Advanced Threat Analytics Center) il server verrà riavviato automaticamente.Notice that clicking OK in the in the Microsoft Advanced Threat Analytics Center Setup dialog will automatically restart the server. Questo è particolarmente importante durante l'installazione del gateway ATA Lightweight in un controller di dominio quando si considera di pianificare una finestra di manutenzione prima dell'installazione.This is especially important when installing the ATA Lightweight Gateway on a domain controller, as you may want to plan a maintenance window before the installation. Riavvio di .NET Framework.Net Framework restart

Migrazione delle attività di rete non necessariaHistorical network activities no longer migrated

La nuova versione di ATA offre il miglioramento del motore di rilevamento con funzionalità di rilevamento più accurate e riduzione di numerosi scenari di falsi positivi, in particolare per gli attacchi di tipo Pass-the-Hash.This version of ATA delivers an improved detection engine, which provides more accurate detection and reduces many false positive scenarios, especially for Pass-the-Hash. Il nuovo e migliorato motore di rilevamento usa la tecnologia di rilevamento inline che consente l'attivazione del rilevamento senza necessità di accedere alle attività di rete cronologiche, al fine di migliorare notevolmente le prestazioni di ATA Center.The new and improved detection engine utilizes inline detection technology enabling detection without accessing historical network activity, to significantly increase the performance of the ATA Center. Non è quindi necessario eseguire la migrazione delle attività di rete cronologiche durante la procedura di aggiornamento.This also means that it is unnecessary to migrate historical network activity during the update procedure. Per esigenze di analisi future, la procedura di aggiornamento di ATA esporta i dati in <Center Installation Path>\Migration come file con estensione JSON.The ATA update procedure exports the data, in case you want it for future investigation, to <Center Installation Path>\Migration as a JSON file.

Vedere ancheSee Also

Consultare il forum di ATA.Check out the ATA forum!

Guida alla migrazione: aggiornamento di ATA alla versione 1.6Update ATA to version 1.6 - migration guide