Новые возможности ATA версии 1.4What's new in ATA version 1.4

Данные заметки о выпуске содержат сведения об известных проблемах в версии 1.4 решения Advanced Threat Analytics.These release notes provide information about known issues in version 1.4 of Advanced Threat Analytics.

Новые возможности этой версииWhat's new in this version?

  • Поддержка функции пересылки событий Windows для отправки событий в шлюз ATA непосредственно с контроллеров домена.Support for Windows Event Forwarding (WEF) to send events directly from the domain controllers to the ATA gateway.

  • Улучшенное обнаружение атак типа Pass-The-Hash на корпоративные ресурсы за счет объединения точек на дюйм (глубокая проверка пакетов) и журналов событий Windows.Pass-The-Hash detection enhancements on corporate resources by combining DPI (Deep Packet Inspection) and Windows event logs.

  • Улучшенная поддержка устройств, не присоединенных к домену и не являющихся устройствами Windows, для обнаружения и видимости.Enhancements for the support of non-domain joined devices and non-Windows devices for detection and visibility.

  • Повышенная производительность для увеличения поддерживаемого объема трафика на каждый шлюз ATA.Performance improvements to support more traffic per ATA Gateway.

  • Повышенная производительность для поддержки большего числа шлюзов ATA на каждый центр АТА.Performance improvements to support more ATA Gateways per ATA Center.

  • Добавлен новый автоматический процесс разрешения имен, который сопоставляет имена компьютеров с IP-адресами. Эта уникальная возможность позволит экономить ценное время в процессе исследования и обеспечит убедительные доказательства для аналитиков по вопросам безопасности.A new automatic name resolution process was added which matches computer names and IP addresses – this unique capability will save precious time in the investigation process and provide strong evidence for security analysts

  • Улучшенные возможности для сбора входных данных пользователей, с помощью которых можно автоматически настроить процесс обнаружения.Improved ability to collect input from users to automatically fine-tune the detection process.

  • Автоматическое обнаружение устройств NAT.Automatic detection for NAT devices.

  • Автоматическая отработка отказа, если контроллеры домена недоступны.Automatic failover when domain controllers are not reachable.

  • Уведомления и функция наблюдения за работоспособностью системы теперь предоставляют сведения об общем состоянии работоспособности развернутых приложений, а также о конкретных проблемах, связанных с настройкой и подключением.System health monitoring and notifications now provide the overall health state of the deployment as well as specific issues related to configuration and connectivity.

  • Видимость для сайтов и расположений, в которых работают сущности.Visibility into sites and locations where entities operate.

  • Поддержка нескольких доменов.Multi-domain support.

  • Поддержка одноуровневых доменов (SLD).Support for Single Label Domains (SLD).

  • Поддержка возможности изменения IP-адресов и сертификатов шлюзов ATA и центра ATA.Support for modifying the IP address and certificate of the ATA Gateways and ATA Center.

  • Данные телеметрии для улучшения качества.Telemetry to help improve customer experience.

Известные проблемыKnown issues

В этой версии существуют следующие проблемы.The following known issues exist in this version.

Программное обеспечение для записи сетевого трафикаNetwork Capture Software

Единственное программное обеспечение для записи сетевого трафика, которое поддерживается в шлюзе ATA и которое можно установить, — это Microsoft Network Monitor 3.4.On the ATA Gateway, the only supported network capture software you can install is Microsoft Network Monitor 3.4. Не устанавливайте Microsoft Message Analyzer или другие программы для записи сетевого трафика.Do not install Microsoft Message Analyzer or any other network capturing software. Установка другого программного обеспечения приведет к неправильной работе шлюза ATA.Installing other software will cause the ATA Gateway to stop functioning properly.

Установка из ZIP-файлаInstallation from Zip file

Перед установкой шлюза ATA извлеките файлы из ZIP-файла в локальный каталог и установите шлюз из него.When installing the ATA Gateway, make sure to extract the files from the zip file to a local directory and install it from there. Не устанавливайте шлюз ATA непосредственно из ZIP-файла, иначе произойдет сбой установки.Do not install the ATA Gateway directly from within the zip file or the installation will fail.

Удаление предыдущих версий АТАUninstalling previous versions of ATA

Если на вашем компьютере установлена предыдущая версия АТА, общедоступная предварительная версия или личная ознакомительная версия, следует удалить центр АТА и шлюзы АТА перед установкой данного выпуска АТА.If you installed a previous version of ATA, Public Preview or Private Preview versions, you must uninstall the ATA Center and ATA Gateways before installing this release of ATA.

Необходимо удалить также файлы базы данных и файлы журнала.You must also delete the Database files and log files. Базы данных из предыдущих версий ATA несовместимы с общедоступной версией ATA.The databases from previous versions of ATA are not compatible with the GA version of ATA.

Если при попытке удалить центр ATA или шлюз ATA вместо удаления открывается окно установки ATA, необходимо добавить следующий раздел реестра и удалить ATA еще раз.When you attempt to uninstall the ATA Center or ATA Gateway, if the ATA installation opens instead of the uninstallation, you will need to add the following registry key and then uninstall ATA again.

Центр ATAATA Center

  • HKLM\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\CenterHKLM\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center

  • Добавьте новое строковое значение с именем InstallationPath и значением C:\Program Files\Microsoft Advanced Threat Analytics\Center.Add a new String value named InstallationPath with a value of C:\Program Files\Microsoft Advanced Threat Analytics\Center . Это папка установки по умолчанию.This is the default installation folder. Если вы изменили папку установки, укажите путь установки ATA.If you changed the installation folder enter the path where ATA is installed.

    Редактор реестра для пути установки центра ATA

Шлюз ATAATA Gateway

  • HKLM\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\GatewayHKLM\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Gateway

  • Добавьте новое строковое значение с именем InstallationPath и значением C:\Program Files\Microsoft Advanced Threat Analytics\Gateway.Add a new String value named InstallationPath with a value of C:\Program Files\Microsoft Advanced Threat Analytics\Gateway. Это папка установки по умолчанию.This is the default installation folder. Если вы изменили папку установки, укажите путь установки ATA.If you changed the installation folder enter the path where ATA is installed.

    Редактор реестра для пути установки шлюза ATA

По завершении удаления удалите папку установки в центре ATA и на шлюзе ATA.After uninstalling, delete the installation folder on both the ATA Center and the ATA Gateway. Если база данных установлена в отдельную папку, удалите папку базы данных в центре ATA.If you installed the Database in a separate folder, delete the Database folder on the ATA Center.

Оповещение о работоспособности: шлюз ATA отключенHealth alert - disconnected ATA Gateway

Если вы используете несколько шлюзов ATA и оповещения об отключении шлюзов ATA отключены, автоматическое устранение сработает только на одном из них, а остальные останутся в открытом состоянии.If you have more than one ATA Gateway and have Disconnected ATA Gateway alerts, automatic resolve will work on only one of them, leaving the rest in an Open status. Необходимо вручную подтвердить, что шлюз ATA включен и запущена служба, а также вручную устранить это оповещение.You must manually confirm that the ATA Gateway is up and the service is running and manually resolve the alert.

Установка исправлений на узел виртуализацииKB on virtualization host

Не устанавливайте исправление KB3047154 на узел виртуализации.Do not install KB 3047154 on a virtualization host. Это может привести к неправильному зеркальному отображению портов.This may cause port mirroring to stop working properly.

См. такжеSee Also

Обновление до ATA 1.6. Руководство по миграцииUpdate ATA to version 1.6 - migration guide

Ознакомьтесь с форумом ATA.Check out the ATA forum!