Novità di ATA versione 1.6
Queste note sulla versione forniscono informazioni sui problemi noti in questa versione di Advanced Threat Analytics.
Novità dell'aggiornamento di ATA 1.6
L'aggiornamento ad ATA 1.6 offre miglioramenti nelle aree seguenti:
Nuovi rilevamenti
Miglioramenti ai rilevamenti esistenti
The ATA Lightweight Gateway
Aggiornamenti automatici
Prestazioni migliorate di ATA Center
Requisiti di archiviazione inferiori
Supporto per IBM QRadar
Nuovi rilevamenti
Richiesta di informazioni private sulla protezione dei dati dannosa
L'API Protezione dati (DPAPI) è un servizio di protezione dei dati basato su password. Questo servizio di protezione viene usato da varie applicazioni che archiviano i segreti dell'utente, ad esempio password del sito Web e credenziali di condivisione file. Per supportare scenari di perdita di password, gli utenti possono decrittografare i dati protetti usando una chiave di ripristino, che non implica la password. In un ambiente di dominio, gli utenti malintenzionati possono rubare in remoto la chiave di ripristino e usarla per decrittografare i dati protetti in tutti i computer aggiunti a un dominio.Enumerazione Net Session
La ricognizione è una fase chiave all'interno della kill chain di attacco avanzata. I controller di dominio (DCS) funzionano come file server allo scopo della distribuzione di oggetti Criteri di gruppo, usando il protocollo SMB (Server Message Block). Come parte della fase di ricognizione, gli utenti malintenzionati possono eseguire query sul controller di dominio per tutte le sessioni SMB attive nel server. Consente loro di ottenere l'accesso a tutti gli utenti e gli indirizzi IP associati a tali sessioni SMB. L'enumerazione della sessione SMB può essere usata dagli utenti malintenzionati per individuare gli account sensibili, aiutandoli a spostarsi successivamente attraverso la rete.Richieste di replica dannose
Negli ambienti Active Directory la replica avviene regolarmente tra controller di dominio. Un utente malintenzionato può eseguire lo spoofing di una richiesta di replica di Active Directory (a volte rappresentando un controller di dominio). Questo spoofing consente all'utente malintenzionato di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password, senza usare tecniche più intrusive come Copia shadow del volume.Rilevamento della vulnerabilità MS11-013
Esiste una vulnerabilità di elevazione dei privilegi in Kerberos, che consente l'aggiunta di determinati aspetti di un ticket di servizio Kerberos. Un utente malintenzionato o un utente malintenzionato che sfrutta correttamente questa vulnerabilità può ottenere un token con privilegi elevati nel controller di dominio.Implementazione insolita del protocollo
Le richieste di autenticazione (Kerberos o NTLM) vengono in genere eseguite usando un set standard di metodi e protocolli. Tuttavia, per eseguire correttamente l'autenticazione, la richiesta deve soddisfare solo un set specifico di requisiti. Gli utenti malintenzionati potrebbero implementare questi protocolli con piccole deviazioni dall'implementazione standard nell'ambiente. Queste deviazioni possono indicare la presenza di un utente malintenzionato che tenta di eseguire attacchi, ad esempio Pass-The-Hash, Forza bruta e altri.
Miglioramenti ai rilevamenti esistenti
ATA 1.6 include una logica di rilevamento migliorata che riduce gli scenari falsi positivi e falsi negativi per i rilevamenti esistenti, ad esempio Golden Ticket, honey token, forza bruta ed esecuzione remota.
The ATA Lightweight Gateway
Questa versione di ATA introduce una nuova opzione di distribuzione per il gateway ATA, che consente l'installazione di un gateway ATA direttamente nel controller di dominio. Questa opzione di distribuzione rimuove le funzionalità non critiche del gateway ATA e introduce la gestione dinamica delle risorse in base alle risorse disponibili nel controller di dominio, assicurandosi che le operazioni esistenti del controller di dominio non siano interessate. Il gateway ATA Lightweight riduce il costo della distribuzione di ATA. Allo stesso tempo, semplifica la distribuzione nei siti di succursali, in cui è presente una capacità di risorse hardware limitata o l'impossibilità di configurare il supporto del mirroring delle porte. Per altre informazioni sul gateway ATA Lightweight, vedere Architettura ATA
Per altre informazioni sulle considerazioni sulla distribuzione e sulla scelta del tipo corretto di gateway, vedere Pianificazione della capacità di ATA
Aggiornamenti automatici
A partire dalla versione 1.6, è possibile aggiornare ATA Center usando Microsoft Update. Inoltre, i gateway ATA possono ora essere aggiornati automaticamente usando il proprio canale di comunicazione standard al Centro ATA.
Prestazioni migliorate di ATA Center
Con questa versione, un carico di database più leggero e un modo più efficiente per eseguire tutto il rilevamento consente di monitorare molti più controller di dominio con un singolo ATA Center.
Requisiti di archiviazione inferiori
ATA 1.6 richiede uno spazio di archiviazione notevolmente inferiore per eseguire il database ATA, richiedendo ora solo il 20% dello spazio di archiviazione usato nelle versioni precedenti.
Supporto per IBM QRadar
ATA può ora ricevere eventi dalla soluzione SIEM QRadar di IBM, oltre alle soluzioni SIEM supportate in precedenza.
Problemi noti
In questa versione sono presenti i problemi noti seguenti.
Errore di riconoscimento del nuovo percorso nei database spostati manualmente
Nelle distribuzioni in cui il percorso del database viene spostato manualmente, la distribuzione di ATA non usa il nuovo percorso del database per l'aggiornamento. Questo percorso del database spostato manualmente può causare i problemi seguenti:
ATA può usare tutto lo spazio disponibile nell'unità di sistema di ATA Center, senza eliminare in modo circolare le attività di rete precedenti.
L'aggiornamento di ATA alla versione 1.6 potrebbe non riuscire i controlli di preparazione pre-aggiornamento, come illustrato nell'immagine seguente.
Importante
Prima di aggiornare ATA alla versione 1.6, aggiornare la chiave del Registro di sistema seguente con il percorso del database corretto:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath
Errore di migrazione durante l'aggiornamento da ATA 1.5
Quando si esegue l'aggiornamento ad ATA 1.6, il processo di aggiornamento potrebbe non riuscire con il codice di errore seguente:
Se viene visualizzato questo errore, esaminare il log di distribuzione in: C:\Users<User>\AppData\Local\Temp e cercare l'eccezione seguente:
System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : "<guid>" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : " <guid> " }
È anche possibile che venga visualizzato questo errore:
System.ArgumentNullException: Value cannot be null.
Se viene visualizzato uno di questi errori, eseguire la soluzione alternativa seguente:
Soluzione alternativa:
- Spostare la cartella "data_old" in una cartella temporanea (in genere disponibile in %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).
- Disinstallare ATA Center v1.5 ed eliminare tutti i dati del database.
- Reinstallare ATA Center v1.5. Assicurarsi di usare la stessa configurazione dell'installazione di ATA 1.5 precedente (certificati, indirizzi IP, percorso del database e così via).
- Arrestare questi servizi nell'ordine seguente:
- Microsoft Advanced Threat Analytics Center
- MongoDB
- Sostituire i file di database MongoDB con i file nella cartella "data_old".
- Avviare questi servizi nell'ordine seguente:
- MongoDB
- Microsoft Advanced Threat Analytics Center
- Esaminare i log per verificare che il prodotto sia in esecuzione senza errori.
- Scaricare lo strumento "RemoveDuplicateProfiles.exe" e copiarlo nel percorso di installazione principale (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center)
- Da un prompt dei comandi con privilegi elevati eseguire
RemoveDuplicateProfiles.exe
e attendere il completamento. - Da qui:
…\Microsoft Advanced Threat Analytics\Center\MongoDB\bin
directory: Mongo ATA, digitare il comando seguente:
db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });
Verrà restituito un WriteResult({ "nRemoved" : XX })
valore in cui "XX" è il numero di attività sospette eliminate. Se il numero è maggiore di 0, uscire dal prompt dei comandi e continuare con il processo di aggiornamento.
Net Framework 4.6.1 richiede il riavvio del server
Attività di rete cronologiche non più migrate
Questa versione di ATA offre un motore di rilevamento migliorato, che offre un rilevamento più accurato e riduce molti scenari falsi positivi, in particolare per Pass-the-Hash.
Il motore di rilevamento nuovo e migliorato usa la tecnologia di rilevamento inline che consente il rilevamento senza accedere all'attività di rete cronologica, per aumentare significativamente le prestazioni di ATA Center. Ciò significa anche che non è necessario eseguire la migrazione dell'attività di rete cronologica durante la procedura di aggiornamento.
La procedura di aggiornamento di ATA esporta i dati, nel caso in cui lo si desideri per un'analisi futura, in <Center Installation Path>\Migration
come file JSON.
Vedi anche
Consulta il forum di ATA!Aggiornare ATA alla versione 1.6 - Guida alla migrazione