Novità in ATA versione 1.7What's new in ATA version 1.7

Queste note sulla versione includono informazioni sui problemi noti relativi a questa versione di Advanced Threat Analytics.These release notes provide information about known issues in this version of Advanced Threat Analytics.

Novità nell'aggiornamento ad ATA 1.7What's new in the ATA 1.7 update?

L'aggiornamento ad ATA 1.7 offre miglioramenti nelle aree seguenti:The update to ATA 1.7 provides improvements in the following areas:

  • Rilevamenti nuovi e aggiornatiNew & updated detections

  • Controllo di accesso in base ai ruoliRole-based access control

  • Supporto per Windows Server 2016 e Windows Server 2016 CoreSupport for Windows Server 2016 and Windows Server 2016 Core

  • Miglioramenti all'esperienza utenteUser experience improvements

  • Modifiche di lieve entitàMinor changes

Rilevamenti nuovi e aggiornatiNew & updated detections

  • Esplorazione tramite l'enumerazione di servizi di directory Come parte della fase di esplorazione, gli utenti malintenzionati raccolgono informazioni sulle entità in rete usando diversi metodi.Reconnaissance using Directory Services Enumeration As part of the reconnaissance phase, attackers gather information about the entities in the network using different methods. L'enumerazione di servizi di directory tramite il protocollo SAM-R consente agli utenti malintenzionati di ottenere l'elenco di utenti e gruppi in un dominio e di comprendere l'interazione tra le diverse entità.Directory services enumeration using the SAM-R protocol enables attackers to obtain the list of users and groups in a domain and understand the interaction between the different entities.

  • Miglioramenti al rilevamento di Pass-the-Hash Per migliorare il rilevamento di attacchi di tipo Pass-the-Hash, sono stati aggiunti altri modelli di comportamento per gli schemi di autenticazione di entità.Pass-the-Hash Enhancements To enhance Pass-the-Hash detection, we added additional behavioral models for the authentication patterns of entities. Questi modelli consentono ad ATA correlare il comportamento delle entità alle autenticazioni NTLM sospette e distinguere gli attacchi Pass-the-Hash effettivi dal comportamento di scenari falso-positivi.These models enable ATA to correlate entity behavior with suspicious NTLM authentications, and differentiate real Pass-the-Hash attacks from the behavior of false positive scenarios.

  • Miglioramenti al rilevamento di Pass-the-Ticket Per rilevare correttamente attacchi avanzati di tipo generale e, in particolare, attacchi di tipo Pass-the-Ticket, la correlazione tra un indirizzo IP e l'account del computer deve essere precisa.Pass-the-Ticket Enhancements To successfully detect advanced attacks in general and Pass-the-Ticket in particular, the correlation between an IP address and the computer account must be accurate. Questo costituisce un problema negli ambienti in cui gli indirizzi IP cambiano intenzionalmente con rapidità (ad esempio, reti Wi-Fi e più macchine virtuali che condividono lo stesso host).This is a challenge in environments where IP addresses change rapidly by design (for example Wi-Fi networks and multiple virtual machines sharing the same host). Per risolvere questo problema e migliorare la precisione del rilevamento di tipo Pass-the-Ticket, il meccanismo di risoluzione dei nomi di rete di ATA è stato migliorato in modo significativo per ridurre i casi falso-positivi.To overcome this challenge and improve the accuracy of the Pass-the-Ticket detection, ATA’s Network Name Resolution (NNR) mechanism was improved significantly to reduce false-positives.

  • Miglioramenti al rilevamento di comportamenti anomali Come origine dati per il rilevamento di comportamenti anomali, in ATA 1.7 sono stati aggiunti dati di autenticazione NTLM, in grado di fornire gli algoritmi con una copertura più ampia per il comportamento delle entità nella rete.Abnormal Behavior Enhancements In ATA 1.7, NTLM authentication data was added as a data source for the abnormal behavior detections, providing the algorithms with broader coverage of entity behavior in the network.

  • Miglioramenti al rilevamento dell'implementazione insolita di protocolli ATA è ora in grado di rilevare casi di implementazione insolita per il protocollo Kerberos ed eventuali altre anomalie per il protocollo NTLM.Unusual Protocol Implementation Enhancements ATA now detects unusual protocol implementation in the Kerberos protocol, along with additional anomalies in the NTLM protocol. In particolare, queste nuove anomalie per Kerberos vengono comunemente usate in attacchi di tipo Over-pass-the-Hash.Specifically, these new anomalies for Kerberos are commonly used in Over-pass-the-Hash attacks.

InfrastrutturaInfrastructure

  • Controllo degli accessi in base al ruolo.Role based access control Role-Based Access Control (RBAC) capability. ATA 1.7 include tre ruoli: ATA Administrator (Amministratore ATA), ATA Analyst (Analista ATA) e ATA Executive (Responsabile ATA).ATA 1.7 includes three roles: ATA Administrator, ATA Analyst and ATA Executive.

  • Supporto per Windows Server 2016 e Windows Server Core ATA 1.7 supporta la distribuzione di gateway Lightweight nei controller di dominio che eseguono Windows Server 2008 R2 SP1 (senza Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 (con Core, senza Nano).Support for Windows Server 2016 and Windows Server Core ATA 1.7 supports the deployment of Lightweight Gateways on domain controllers running Windows Server 2008 R2 SP1 (not including Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 (including Core but not Nano). Inoltre, questa versione supporta Windows Server 2016 sia per il servizio ATA Center sia per il gateway ATA.Additionally, this release supports Windows Server 2016 both for the ATA Center and ATA Gateway components.

Esperienza dell'utenteUser Experience

  • Esperienza di configurazione In questa versione l'interfaccia per la configurazione di ATA è stato riprogettata al fine di migliorare l'esperienza utente e fornire un supporto più efficace per gli ambienti con più gateway ATA.Configuration Experience In this release, the ATA configuration experience was redesigned for a better user experience and to better support of environments with multiple ATA Gateways. Questa versione include anche la pagina di aggiornamento del gateway ATA per una gestione più semplice ed efficiente degli aggiornamenti automatici per i vari gateway.This release also introduces the ATA Gateway update page for simpler, better management of automatic updates for the various Gateways.

Problemi notiKnown issues

Questa versione presenta i problemi noti descritti di seguito.The following known issues exist in this version.

Possibile errore di aggiornamento automatico del gatewayGateway automatic update may fail

Sintomi: negli ambienti con collegamenti WAN lenti, l'aggiornamento del gateway ATA può raggiungere il limite di timeout (100 secondi) e non essere completato.Symptoms: In environments with slow WAN links, the ATA Gateway update may reach the timeout for the update (100 seconds) and fail to complete successfully. Nella Console ATA, il gateway ATA apparirà a lungo con lo stato "Updating (downloading package)" (Aggiornamento (download del pacchetto in corso)) e alla fine risulterà in stato di errore.In the ATA Console, the ATA Gateway will have the status of "Updating (downloading package)" for a long amount of time and it eventually fails. Soluzione alternativa: per risolvere questo problema, scaricare il pacchetto più recente del gateway ATA dalla Console ATA e aggiornare il gateway ATA manualmente.Workaround: To work around this issue, download the latest ATA Gateway package from the ATA Console, and update the ATA Gateway manually.

Importante

Il rinnovo automatico dei certificati usati da ATA non è supportato.Automatic certificate renewal for the certificates used by ATA is not supported. Se usa certificati rinnovati automaticamente, ATA potrebbe smettere di funzionare.The use of these certificates may cause ATA to stop functioning when the certificate is automatically renewed.

Nessun supporto browser per la codifica JISNo browser support for JIS encoding

Sintomi: è possibile che ATA Console non funzioni come previsto nei browser che usano la codifica JIS Soluzione alternativa: Modificare la codifica del browser in Unicode UTF-8.Symptoms: The ATA Console may not function as expected on browsers using JIS encoding Workaround: Change the browser’s encoding to Unicode UTF-8.

Traffico mirror della porta ridotto durante l'uso di VMwareDropped port mirror traffic when using VMware

Avvisi di traffico mirror della porta ridotto durante l'uso di un gateway leggero in VMware.Dropped port mirror traffic alerts when using lightweight gateway on VMware.

Se si usano controller di dominio in macchine virtuali VMware, è possibile ricevere avvisi su traffico di rete con mirror della porta ridotto.If you are using domain controllers on VMware virtual machines, you might receive alerts about Dropped port mirrored network traffic. Il problema può essere causato da una configurazione errata in VMware.This might happens because of a configuration mismatch in VMware. Per evitare questi avvisi, verificare che le impostazioni seguenti siano impostate su 0 o disabilitate nella macchina virtuale:To avoid these alerts, you can check that the following settings are set to 0 or Disabled in the virtual machine:

  • TsoEnableTsoEnable
  • LargeSendOffload(IPv4)LargeSendOffload(IPv4)
  • IPv4 TSO OffloadIPv4 TSO Offload

Inoltre, è consigliabile disabilitare IPv4 Giant TSO Offload.Also, consider disabling IPv4 Giant TSO Offload. Per altre informazioni, vedere la documentazione di VMware.For more information consult your VMware documentation.

Errore dell'aggiornamento automatico del gateway durante l'aggiornamento alla versione 1.7 aggiornamento 1Automatic Gateway update fail when updating to 1.7 update 1

Durante l'aggiornamento da ATA 1.7 ad ATA 1.7 aggiornamento 1, sia il processo di aggiornamento automatico di ATA Gateway che l'installazione manuale dei gateway con il pacchetto del gateway potrebbero non funzionare come previsto.When updating from ATA 1.7 to ATA 1.7 update 1, both the automatic ATA Gateway update process and the manual installation of Gateways using the Gateway package may not work as expected. Questo problema si verifica se il certificato usato da ATA Center è stato modificato prima dell'aggiornamento di ATA.This issue will occur if the certificate used by the ATA Center was changed prior to updating ATA. Per verificare questo problema, esaminare il file Microsoft.Tri.Gateway.Updater.log in ATA Gateway e cercare le seguenti eccezioni: System.Net.Http.HttpRequestException: Si è verificato un errore durante l'invio della richiesta.---> System.Net.WebException: Connessione sottostante chiusa: Errore imprevisto durante un'operazione di invio.---> System.IdentityModel.Tokens.SecurityTokenValidationException: Impossibile convalidare l'identificazione personale del certificatoTo verify this issue, review the Microsoft.Tri.Gateway.Updater.log on the ATA Gateway and look for the following exceptions: System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IdentityModel.Tokens.SecurityTokenValidationException: Failed to validate certificate thumbprint

Errore di aggiornamento ATA Gateway

Per risolvere questo problema, dopo aver modificato il certificato, da un prompt dei comandi con privilegi elevati passare al percorso seguente: %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ed eseguire questo comando:In order to resolve this issue, after changing the certificate, from an elevated command prompt, browse to the following location: %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin and run the following:

  1. Mongo.exe ATA (ATA deve essere scritto in lettere maiuscole)Mongo.exe ATA (ATA must be capitalized)

  2. CenterThumbprint=db.SystemProfile.find({_t:"CenterSystemProfile"}).toArray()[0].Configuration.SecretManagerConfiguration.CertificateThumbprint;CenterThumbprint=db.SystemProfile.find({_t:"CenterSystemProfile"}).toArray()[0].Configuration.SecretManagerConfiguration.CertificateThumbprint;

  3. db.SystemProfile.update({_t:"ServiceSystemProfile"},{$set:{"Configuration.ManagementClientConfiguration.ServerCertificateThumbprint":CenterThumbprint}}, {multi: true})db.SystemProfile.update({_t:"ServiceSystemProfile"},{$set:{"Configuration.ManagementClientConfiguration.ServerCertificateThumbprint":CenterThumbprint}}, {multi: true})

L'esportazione di dettagli su attività sospette in un file di Excel potrebbe non riuscireExport suspicious activity details to Excel may fail

Quando si prova a esportare dettagli su attività sospette in un file di Excel, l'operazione potrebbe non riuscire e potrebbe visualizzare l'errore seguente: Error [BsonClassMapSerializer'1] System.FormatException: si è verificato un errore durante la deserializzazione della proprietà Activity della classe Microsoft.Tri.Common.Data.NetworkActivities.SuspiciousActivityActivity: l'elemento "ResourceIdentifier" non corrisponde a nessun campo o proprietà della classe Microsoft.Tri.Common.Data.EventActivities.NtlmEvent. ---> System.FormatException: l'elemento "ResourceIdentifier" non corrisponde a nessun campo o proprietà della classe Microsoft.Tri.Common.Data.EventActivities.NtlmEvent.When trying to export suspicious activity details to an Excel file, the operation may fail with the following error: Error [BsonClassMapSerializer`1] System.FormatException: An error occurred while deserializing the Activity property of class Microsoft.Tri.Common.Data.NetworkActivities.SuspiciousActivityActivity: Element 'ResourceIdentifier' does not match any field or property of class Microsoft.Tri.Common.Data.EventActivities.NtlmEvent. ---> System.FormatException: Element 'ResourceIdentifier' does not match any field or property of class Microsoft.Tri.Common.Data.EventActivities.NtlmEvent.

Per risolvere questo problema, a un prompt dei comandi con privilegi elevati passare al percorso seguente: %Programmi%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ed eseguire il comando seguente:To resolve this issue, from an elevated command prompt, browse to the following location: %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin and run the following:

  1. Mongo.exe ATA (ATA deve essere in lettere maiuscole)Mongo.exe ATA (ATA must be capitalized)
  2. db.SuspiciousActivityActivity.update({ "Activity._t": "NtlmEvent" },{$unset: {"Activity.ResourceIdentifier": ""}}, {multi: true});db.SuspiciousActivityActivity.update({ "Activity._t": "NtlmEvent" },{$unset: {"Activity.ResourceIdentifier": ""}}, {multi: true});

Modifiche di lieve entitàMinor changes

  • ATA usa ora OWIN invece di IIS per ATA Console.ATA is now using OWIN instead of IIS for the ATA Console.
  • Se il servizio ATA Center è inattivo, non sarà possibile di accedere ad ATA Console.If the ATA Center service is down you will not be able to access the ATA Console.
  • Le subnet di lease a breve termine non sono più necessarie a causa di modifiche in ATA NNR.Short-term Lease subnets are no longer necessary due to changes in the ATA NNR.

Vedere ancheSee Also

Consultare il forum di ATA.Check out the ATA forum!

Guida alla migrazione: aggiornamento di ATA alla versione 1.7Update ATA to version 1.7 - migration guide