Novità in ATA versione 1.8What's new in ATA version 1.8

La versione per l'aggiornamento più recente di ATA può essere scaricata dall'Area download oppure è possibile scaricare la versione completa da Evaluation Center.The latest update version of ATA can be downloaded from the Download Center or the full version can be downloaded from the Eval center.

Queste note sulla versione offrono informazioni su aggiornamenti, nuove funzionalità, correzione di bug e problemi noti relativi a questa versione di Advanced Threat Analytics.These release notes provide information about updates, new features, bug fixes and known issues in this version of Advanced Threat Analytics.

Rilevamenti nuovi e aggiornatiNew & updated detections

  • L'implementazione dei protocolli insolita è stata migliorata in modo da rilevare il malware WannaCry.Unusual protocol implementation was improved to be able to detect WannaCry malware.

  • NUOVONEW! Modifica anomala dei gruppi sensibili: come parte della fase di escalation dei privilegi, gli autori degli attacchi modificano i gruppi con privilegi elevati per ottenere l'accesso alle risorse sensibili.Abnormal modification of sensitive groups – As part of the privilege escalation phase, attackers modify groups with high privileges to gain access to sensitive resources. ATA ora è in grado di rilevare se viene apportata una modifica anomala in un gruppo con privilegi elevati.ATA now detects when there’s an abnormal change in an elevated group.

  • NUOVONEW! Errori di autenticazione sospetti (attacchi di forza bruta comportamentali): gli utenti malintenzionati tentano di usare attacchi di forza bruta con le credenziali per compromettere gli account.Suspicious authentication failures (Behavioral brute force) – Attackers attempt to use brute force on credentials to compromise accounts. ATA ora genera un avviso quando viene rilevato un comportamento di autenticazione non riuscita anomalo.ATA now raises an alert when abnormal failed authentication behavior is detected.

  • Tentativo di esecuzione remota - WMI: gli utenti malintenzionati possono provare a controllare la rete eseguendo il codice in modalità remota sul controller di dominio.Remote execution attempt – WMI exec - Attackers can attempt to control your network by running code remotely on your domain controller. In ATA è stato ottimizzato il rilevamento dell'esecuzione remota in modo da includere l'individuazione di metodi WMI per eseguire il codice in modalità remota.ATA has enhanced the remote execution detection to include detection of WMI methods to run code remotely.

  • Esplorazione con le query del servizio di directory: questo tipo di rilevamento è stato migliorato e ora è in grado di individuare le query su una singola entità sensibile e di ridurre il numero di falsi positivi rispetto alla versione precedente.Reconnaissance using directory service queries – This detection was enhanced to be able to catch queries against a single sensitive entity and to reduce the number of false positives that were generated in the previous version. Se questa funzionalità è stata disabilitata nella versione 1.7, installando la versione 1.8 verrà automaticamente abilitata.If you disabled this in version 1.7, installing version 1.8 will now automatically enable it.

  • Attività Golden Ticket Kerberos: ATA 1.8 include una tecnica aggiuntiva per rilevare gli attacchi Golden Ticket.Kerberos Golden Ticket activity – ATA 1.8 includes an additional technique to detect golden ticket attacks.

    • ATA ora rileva le attività sospette in cui è scaduta la durata del Golden Ticket.ATA now detects suspicious activities in which the Golden ticket lifetime has expired. Se un ticket Kerberos viene usato oltre la durata consentita, ATA rileva un'attività sospetta in cui probabilmente è stato creato un Golden Ticket.If a Kerberos ticket is used for more than the allowed lifetime, ATA will detect it as a suspicious activity that a Golden ticket has likely been created.
  • Sono stati apportati miglioramenti ai seguenti rilevamenti per rimuovere i falsi positivi noti:Enhancements were made to the following detections to remove known false positives:
    • Rilevamento di escalation dei privilegi (PAC contraffatte)Privilege escalation detection (forged PAC)
    • Attività di downgrade della crittografia (Skeleton Key)Encryption downgrade activity (Skeleton Key)
    • Implementazione dei protocolli insolitaUnusual protocol implementation
    • Relazione di trust interrottaBroken trust

Valutazione ottimizzata delle attività sospetteImproved triage of suspicious activities

  • NUOVONEW! ATA 1.8 consente di eseguire le azioni seguenti sulle attività sospette durante il processo di valutazione:ATA 1.8 enables you to run the following actions suspicious activities during the triage process:
    • Escludere le entità dalle future attività sospette per impedire ad ATA di generare avvisi quando rileva veri positivi benigni, ad esempio un amministratore che esegue codice da remoto o rileva gli scanner di sicurezza.Exclude entities from raising future suspicious activities to prevent ATA from alerting when it detects benign true positives (such as an admin running remote code or detecting security scanners).
    • Eliminare le attività sospette ricorrenti dagli avvisi.Suppress recurring suspicious activities from alerting.
    • Eliminare le attività sospette dalla sequenza temporale degli attacchi.Delete suspicious activities from the attack time line.
  • Il processo di completamento per gli avvisi di attività sospetta è ora più efficiente.The process for following up on suspicious activity alerts is now more efficient. La sequenza temporale delle attività sospette è stata riprogettata.The suspicious activities time line was redesigned. In ATA 1.8 è possibile visualizzare molte più attività sospette su una singola schermata, che contiene informazioni più utili ai fini della valutazione e dell'analisi.In ATA 1.8, you will be able to see many more suspicious activities on a single screen, containing better information for triage and investigation purposes.

Nuovi report che agevolano l'analisiNew reports to help you investigate

  • NUOVONEW! È stato aggiunto un report di riepilogo per consentire all'utente di visualizzare tutti i dati riepilogati da ATA, incluse le attività sospette, i problemi di integrità e altro ancora.The Summary report was added to enable you to see all the summarized data from ATA, including suspicious activities, health issues and more. È anche possibile definire un report personalizzato che viene generato automaticamente in modo ricorrente.You can even define a customized report that is automatically generated on a recurring basis.
  • NUOVONEW! È stato aggiunto un report sui gruppi riservati che consente di visualizzare tutte le modifiche apportate nei gruppi sensibili in un determinato periodo.The Sensitive groups report was added to enable you to see all the changes made in sensitive groups over a certain period.

Miglioramenti dell'infrastrutturaInfrastructure improvements

  • Le prestazioni del Centro ATA sono state ottimizzate.ATA Center performance was enhanced. In ATA 1.8 il Centro ATA è in grado di gestire più di un milione di pacchetti al secondo.In ATA 1.8 the ATA Center can handle more than 1M packets per second.
  • Il gateway ATA Lightweight può ora leggere gli eventi in locale, senza che sia necessario configurare l'inoltro eventi.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.
  • È ora possibile configurare separatamente la posta elettronica per il monitoraggio degli avvisi e delle attività sospette.You can now separately configure email for monitoring alerts and suspicious activities.

Miglioramenti della sicurezzaSecurity improvements

  • NUOVONEW! Single Sign-On per la gestione di ATA.Single-sign-on for ATA management. ATA supporta l'accesso Single Sign-On integrato con l'autenticazione di Windows: se è già stato effettuato l'accesso al computer, ATA utilizza il relativo token per eseguire l'accesso alla console ATA.ATA supports single sign-on integrated with Windows authentication - if you've already logged onto your computer, ATA will use that token to log you into the ATA Console. È anche possibile accedere usando una smart card.You can also log in using a smartcard. Gli script di installazione invisibile all'utente per il gateway ATA e il gateway ATA Lightweight usano ora il contesto dell'utente connesso, senza la necessità di specificare le credenziali.Silent installation scripts for the ATA Gateway and ATA Lightweight Gateway now use the logged on user’s context, without the need to provide credentials.
  • I privilegi del sistema locale sono stati rimossi dal processo del gateway ATA, quindi ora è possibile usare gli account virtuali (disponibili solo nei gateway ATA autonomi), gli account dei servizi gestiti e gli account dei servizi gestiti di gruppo per eseguire il processo del gateway ATA.Local System privileges were removed from the ATA Gateway process, so you can now use virtual accounts (available on stand-alone ATA Gateways only), managed service accounts and group managed service accounts to run the ATA Gateway process.
  • Sono stati aggiunti i registri di controllo per il Centro e i gateway ATA e tutte le azioni vengono ora registrate nel registro eventi di Windows.Auditing logs for ATA Center and Gateways were added and all actions are now logged in the Windows Event Log.
  • È stato aggiunto il supporto per i certificati del provider di archiviazione chiavi per il Centro ATA.Support was added for KSP Certificates for the ATA Center.

Ulteriori modificheAdditional changes

  • L'opzione per aggiungere note è stata rimossa dalle attività sospetteThe option to add notes was removed from Suspicious Activities
  • Le raccomandazioni per la mitigazione delle attività sospette sono state rimosse dalla sequenza temporale delle attività sospette.Recommendations for mitigating Suspicious Activities were removed from the Suspicious Activities time line.
  • A partire dalla versione 1.8 di ATA, i gateway ATA e i gateway Lightewight gestiscono i propri certificati e non necessitano di gestione da parte dell'amministratore.Starting with ATA version 1.8 the ATA Gateways and Lightweight Gateways are managing their own certificates and need no administrator interaction to manage them.

Problemi notiKnown issues

Avviso

Per evitare questi problemi noti, eseguire l'aggiornamento o la distribuzione usando la versione 1.8 Update 1.In order to avoid these known issues please update or deploy using the 1.8 update 1.

Gateway ATA in Windows Server CoreATA Gateway on Windows Server Core

Sintomi: l'aggiornamento di un Gateway ATA alla versione 1.8 in Windows Server 2012 R2 Core con .NET Framework 4.7 può non riuscire e un messaggio indica che il gateway di Microsoft Advanced Threat Analytics ha smesso di funzionare.Symptoms: Upgrading an ATA Gateway to 1.8 on Windows Server 2012R2 Core with .Net framework 4.7 may fail with the error: Microsoft Advanced Threat Analytics Gateway has stopped working.

Errore del gateway

È possibile che in Windows Server 2016 Core l'errore non venga visualizzato, ma il processo avrà esito negativo se si tenta di eseguire l'installazione e verranno registrati gli eventi 1000 e 1001 (arresto anomalo del processo) nel registro eventi dell'applicazione sul server.On Windows Server 2016 Core you may not see the error, but the process will fail when you try to install, and events 1000 and 1001 (process crash) will be logged in the application Event Log on the server.

Descrizione: si è verificato un problema con .NET Framework 4.7 per cui non è possibile caricare le applicazioni che usano la tecnologia WPF, ad esempio ATA.Description: There is a problem with the .NET framework 4.7 that causes applications that uses WPF technology (such as ATA) to fail to load. Per altre informazioni, vedere l'articolo della Knowledge Base 4034015.See KB 4034015 for more information.

Soluzione alternativa: disinstallare .NET 4.7 (vedere l'articolo 3186497 della Knowledge Base) per ripristinare la versione 4.6.2 di .NET e quindi aggiornare il gateway ATA alla versione 1.8.Workaround: Uninstall .Net 4.7 See KB 3186497 to revert the .NET version to .NET 4.6.2 and then update your ATA Gateway to version 1.8. Dopo l'aggiornamento di ATA è possibile reinstallare .NET 4.7.After the upgrade of ATA you can reinstall .NET 4.7. Sarà disponibile un aggiornamento per risolvere il problema in una versione futura.There will be an update to correct this problem in a future release.

Autorizzazioni del registro eventi del gateway LightweightLightweight Gateway event log permissions

Sintomi: quando si aggiorna ATA alla versione 1.8, le applicazioni o i servizi a cui in precedenza sono state concesse autorizzazioni per accedere al registro eventi protezione possono perdere le autorizzazioni.Symptoms: When you upgrade ATA to version 1.8, apps or services that were previously granted permissions to access the Security Event Log may lose the permissions.

Descrizione: per semplificare l'implementazione di ATA, ATA 1.8 accede al registro eventi protezione direttamente, senza richiedere la configurazione dell'inoltro degli eventi di Windows.Description: In order to make ATA easier to deploy, ATA 1.8 accesses your Security Event Log directly, without necessitating Windows Event Forwarding configuration. Allo stesso tempo, ATA viene eseguito come servizio locale con autorizzazioni limitate per garantire una maggiore sicurezza.At the same time, ATA runs as a low-permission local service to maintain tighter security. Per consentire ad ATA di accedere per leggere gli eventi, il servizio ATA concede a se stesso le autorizzazioni per il registro eventi protezione.In order to provide access for ATA to read the events, the ATA service grants itself permissions to the Security Event Log. Quando questo accade, le autorizzazioni impostate in precedenza per altri servizi possono essere disattivate.When this happens, permissions previously set for other services may be disabled.

Soluzione alternativa: eseguire lo script di Windows PowerShell riportato di seguito.Workaround: Run the following Windows PowerShell script. Lo script rimuove le autorizzazioni aggiunte erroneamente da ATA nel registro e le aggiunge usando un'altra API.This removes the incorrectly added permissions in the registry from ATA, and adds them via a different API. Questo consente di ripristinare le autorizzazioni per le altre applicazioni.This may restore permissions for other apps. In caso contrario, sarà necessario ripristinarle manualmente.If it does not, they will need to be restored manually. Sarà disponibile un aggiornamento per risolvere il problema in una versione futura.There will be an update to correct this problem in a future release.

   $ATADaclEntry = "(A;;0x1;;;S-1-5-80-1717699148-1527177629-2874996750-2971184233-2178472682)"
    try {
    $SecurityDescriptor = Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
    $ATASddl = "O:BAG:SYD:" + $ATADaclEntry 
    if($SecurityDescriptor.CustomSD -eq $ATASddl) {
    Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
    }
}
catch
{
# registry key does not exist
}

$EventLogConfiguration = New-Object -TypeName System.Diagnostics.Eventing.Reader.EventLogConfiguration("Security")
$EventLogConfiguration.SecurityDescriptor = $EventLogConfiguration.SecurityDescriptor + $ATADaclEntry

Interferenze del proxyProxy interference

Sintomi: dopo l'aggiornamento ad ATA 1.8 può non essere possibile avviare il servizio Gateway ATA.Symptoms: After upgrading to ATA 1.8 the ATA Gateway service may fail to start. Nel registro errori ATA può essere visualizzata questa eccezione: System.Net.Http.HttpRequestException: Si è verificato un errore durante l'invio della richiesta. ---> System.NET. WebException: Errore del server remoto: (407) Richiesta autenticazione proxy.In the ATA error log you may see the following exception: System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required.

Descrizione: a partire da ATA 1.8, il gateway ATA comunica con il centro ATA usando il protocollo HTTP.Description: Starting from ATA 1.8, the ATA Gateway communicates with the ATA Center using the http protocol. Se il computer in cui è installato il gateway ATA usa un server proxy per connettersi al centro ATA, è possibile che si interrompa la comunicazione.If the machine on which you installed the ATA Gateway uses a proxy server to connect to the ATA Center, it can break this communication.

Soluzione alternativa: disabilitare l'uso di un server proxy nell'account del servizio Gateway ATA.Workaround: Disable the use of a proxy server on the ATA Gateway service account. Sarà disponibile un aggiornamento per risolvere il problema in una versione futura.There will be an update to correct this problem in a future release.

Vedere ancheSee Also

Consultare il forum di ATA.Check out the ATA forum!

Guida alla migrazione: aggiornamento di ATA alla versione 1.8Update ATA to version 1.8 - migration guide