Новые возможности ATA версии 1.6What's new in ATA version 1.6

В этих заметках о выпуске содержатся сведения об известных проблемах в текущей версии решения Advanced Threat Analytics.These release notes provide information about known issues in this version of Advanced Threat Analytics.

Новые возможности в обновлении ATA 1.6What's new in the ATA 1.6 update?

При обновлении ATA до версии 1.6 появляются следующие улучшения:The update to ATA 1.6 provides improvements in the following areas:

  • новые обнаружения;New detections

  • улучшения имеющихся обнаружений;Improvements to existing detections

  • упрощенный шлюз ATA;The ATA Lightweight Gateway

  • автоматические обновления;Automatic updates

  • улучшение производительности центра ATA;Improved ATA Center performance

  • более низкие требования к хранению;Lower storage requirements

  • поддержка IBM QRadar;Support for IBM QRadar

новые обнаружения;New detections

  • Вредоносный запрос на конфиденциальные сведения о защите данных API защиты данных (DPAPI) является службой защиты данных на основе пароля.Malicious Data Protection Private Information Request Data Protection API (DPAPI) is a password-based data protection service. Эта служба защиты используется различными приложениями, в которых хранятся секретные данные пользователей, например пароли веб-сайтов и учетные данные файловых ресурсов.This protection service is used by various applications that store user’s secrets, such as website passwords and file-share credentials. Для решения проблемы при потере пароля пользователи могут расшифровывать защищенные данные с помощью ключа восстановления. При этом пароль не используется.In order to support password-loss scenarios, users can decrypt protected data by using a recovery key which does not involve their password. В среде домена злоумышленники могут удаленно похищать ключи восстановления и использовать их для расшифровки защищенных данных на всех компьютерах, присоединенных к домену.In a domain environment, attackers can remotely steal the recovery key and use it to decrypt protected data on all domain joined computers.

  • Перечисление сетевого сеанса Разведка — это ключевой этап в цепочке продвинутой атаки.Net Session Enumeration Reconnaissance is a key stage within the advanced attack kill chain. Контроллеры домена выполняют функции файловых серверов для распространения объектов групповой политики с использованием протокола SMB.Domain Controllers (DCs) function as file servers for the purpose of Group Policy Object distribution, using the Server Message Block (SMB) protocol. На этапе разведки злоумышленники могут запрашивать в контроллере домена все активные сеансы SMB на сервере. Таким образом они получают доступ ко всем пользователям и IP-адресам, связанным с этими сеансами SMB.As part of the reconnaissance phase, attackers can query the DC for all active SMB sessions on the server, allowing them to gain access to all users and IP addresses associated with those SMB sessions. При перечислении сеансов SMB злоумышленники используют конфиденциальные учетные записи, за счет чего они могут осуществлять боковое смещение в сети.SMB session enumeration can be used by attackers for targeting sensitive accounts, helping them move laterally across the network.

  • Вредоносные запросы репликации. В среде Active Directory между контроллерами домена регулярно выполняется репликация.Malicious replication requests In Active Directory environments, replication happens regularly between Domain Controllers. Злоумышленник может подделать запрос на репликацию Active Directory (иногда путем олицетворения контроллера домена) и получить данные, хранящиеся в Active Directory, включая хэши паролей, без использования более продвинутых методов, например теневого копирования томов.An attacker can spoof an Active Directory replication request (sometimes impersonating a Domain Controller) allowing the attacker to retrieve the data stored in Active Directory, including password hashes, without utilizing more intrusive techniques like Volume Shadow Copy.

  • Обнаружение уязвимости MS11-013. В Kerberos есть уязвимость, благодаря которой можно повысить привилегии. Она позволяет подделать определенные характеристики билета службы Kerberos.Detection of MS11-013 vulnerability There is an elevation of privilege vulnerability in Kerberos which allows for certain aspects of a Kerberos service ticket to be forged. Воспользовавшись этой уязвимостью, пользователь-злоумышленник может получить маркер с повышенными привилегиями на контроллере домена.A malicious user or attacker who successfully exploits this vulnerability can obtain a token with elevated privileges on the Domain Controller.

  • Необычная реализация протокола. Обычно запросы на проверку подлинности (Kerberos или NTLM) выполняются с использованием набора стандартных протоколов и методов.Unusual protocol implementation Authentication requests (Kerberos or NTLM) are usually performed using a standard set of methods and protocols. Однако для успешной аутентификации запрос должен удовлетворять только определенным требованиям.However, in order to successfully authenticate, the request must meet only a specific set of requirements. Злоумышленники могут внедрить эти протоколы в среду, немного изменив их.Attackers might implement these protocols with minor deviations from the standard implementation in the environment. По этим изменениям можно определить попытку атаки злоумышленника (Pass-The-Hash, атака методом подбора и т. д.).These deviations might indicate the presence of an attacker attempting to execute attacks such as Pass-The-Hash, Brute Force and others.

Улучшения имеющихся обнаружений.Improvements to existing detections

В ATA 1.6 реализована улучшенная логика обнаружения, благодаря которой сокращается количество ложно-положительных и ложно-отрицательных результатов для имеющихся обнаружений, например при атаках Golden Ticket, атаках с использованием учетной записи honeytoken, атаках методом подбора и атаках с удаленным выполнением.ATA 1.6 includes improved detection logic that reduces false-positive and false-negative scenarios for existing detections such as Golden Ticket, Honey Token, Brute Force and Remote Execution.

Упрощенный шлюз ATA.The ATA Lightweight Gateway

В этой версии ATA появился новый вариант развертывания шлюза ATA, позволяющий установить шлюз ATA непосредственно на контроллере домена.This version of ATA introduces a new deployment option for the ATA Gateway, which allows an ATA Gateway to be installed directly on the Domain Controller. При этом шлюз ATA не выполняет второстепенных функций. Кроме того, теперь можно воспользоваться динамическим управлением ресурсами на основе ресурсов, доступных на контроллере домена, при котором обеспечивается непрерывная работа имеющихся операций контроллера домена.This deployment option removes non-critical functionality of the ATA Gateway and introduces dynamic resource management based on available resources on the DC, which makes sure the existing operations of the DC are not affected. Упрощенный шлюз ATA позволяет снизить затраты на развертывание ATA.The ATA Lightweight Gateway reduces the cost of ATA deployment. В то же время упрощается развертывание на сайтах филиалов с ограниченными аппаратными ресурсами, на которых невозможно настроить зеркальное отображение портов.At the same time it makes deployment easier in branch sites, in which there is limited hardware resource capacity or inability to set up port-mirroring support. Дополнительные сведения об упрощенном шлюзе ATA см. в статье Архитектура ATA.For more information about the ATA Lightweight Gateway, see ATA architecture

Дополнительные сведения о рекомендациях для развертывания и выборе подходящего типа шлюза см. в статье Планирование производительности ATA.For more information about deployment considerations and choosing the right type of gateways for you, see ATA capacity planning

Автоматические обновленияAutomatic updates

Начиная с версии 1.6, центр ATA можно обновить с помощью Центра обновления Майкрософт.Starting with version 1.6, it is possible to update the ATA Center using Microsoft Update. Кроме того, теперь шлюзы ATA можно автоматически обновить с использованием стандартного коммуникационного канала в центре ATA.In addition, the ATA Gateways can now be automatically updated using their standard communication channel to the ATA Center.

Улучшение производительности центра ATAImproved ATA Center performance

Благодаря сниженной нагрузке на базу данных и более эффективному способу выполнения обнаружения в этой версии в одном центре ATA можно выполнять мониторинг множества контроллеров домена.With this version, a lighter database load and a more efficient way of running all detection enables many more domain controllers to be monitored with a single ATA Center.

Более низкие требования к хранениюLower storage requirements

Для работы с базой данных ATA 1.6 необходимо существенно меньше места — всего лишь 20 % дискового пространства по сравнению с предыдущими версиями.ATA 1.6 necessitates ignificantly less storage space to run the ATA Database, now requiring only 20% of the storage space used in previous versions.

Поддержка IBM QRadarSupport for IBM QRadar

Теперь ATA может получать события не только из поддерживаемых решений SIEM, но и из решения SIEM QRadar от IBM.ATA now can now receive events from IBM's QRadar SIEM solution, in addition to the previously supported SIEM solutions.

Известные проблемыKnown issues

В этой версии существуют следующие проблемы.The following known issues exist in this version.

Сбой распознавания нового пути в базах данных, перемещенных вручнуюFailure to recognize new path in manually moved databases

В средах, в которых путь к базе данных перемещается вручную, развертывание ATA не использует новый путь к базе данных для обновления.In deployments in which the database path is manually moved, ATA deployment does not use the new database path for the update. Это может вызвать следующие проблемы:This may cause the following issues:

  • ATA может использовать все свободное место на системном диске центра ATA. При этом не выполняется цикличное удаление старых сетевых операций.ATA may use all the free space in the system drive of the ATA Center, without circularly deleting old network activities.

  • Обновление ATA до версии 1.6 может привести к сбою проверки готовности перед обновлением, как показано на рисунке ниже.Updating ATA to version 1.6 may fail the pre-update Readiness Checks, as shown in the image below. Сбой проверки готовностиFailed readiness check

    Важно!

    Перед обновлением ATA до версии 1.6 обновите следующий раздел реестра, указав правильный путь к базе данных: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath.Before updating ATA to version 1.6, update the following registry key with the correct database path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath

Сбой миграции при обновлении ATA 1.5Migration failure when updating from ATA 1.5

При обновлении ATA до версии 1.6 может произойти сбой и отобразится следующее сообщение об ошибке с кодом:When updating to ATA 1.6, the update process may fail with the following error code:

Ошибка обновления ATA до 1.6 При возникновении этой ошибки откройте журнал развертывания в каталоге C:\Users<User>\AppData\Local\Temp и найдите следующее исключение:Update ATA to 1.6 error If you see this error, review the deployment log in: C:\Users<User>\AppData\Local\Temp, and look for the following exception:

System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : "<guid>" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors.  E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : " <guid> " }

Также может появиться следующая ошибка: System.ArgumentNullException: значение не может быть NULL.You may also see this error: System.ArgumentNullException: Value cannot be null.

Если вы видите одну из этих ошибок, запустите следующий обходной путь:If you see either of these errors, run the following workaround:

РешениеWorkaround:

  1. Переместите папку data_old во временную папку (которая обычно находится в каталоге %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).Move the folder "data_old" to a temporary folder (usually located in %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).
  2. Удалите центр ATA 1.5 и все данные базы данных.Uninstall the ATA Center v1.5, and delete all database data. Удаление ATA 1.5Uninstall ATA 1.5
  3. Повторно установите центр ATA версии 1.5.Reinstall ATA Center v1.5. Используйте ту же конфигурацию, что и при предыдущей установке ATA 1.5 (сертификаты, IP-адреса, путь к базе данных и т. д.).Make sure to use the same configuration as the previous ATA 1.5 installation (Certificates, IP addresses, DB path, etc.).
  4. Остановите работу этих служб в следующем порядке:Stop these services in the following order:
    1. центр Microsoft Advanced Threat Analytics;Microsoft Advanced Threat Analytics Center
    2. MongoDBMongoDB
  5. Замените файлы базы данных MongoDB файлами в папке data_old.Replace the MongoDB database files with the files in the “data_old” folder.
  6. Запустите эти службы в следующем порядке:Start these services in the following order:
    1. MongoDBMongoDB
    2. центр Microsoft Advanced Threat Analytics;Microsoft Advanced Threat Analytics Center
  7. Просмотрите журналы, чтобы убедиться, что продукт работает без ошибок.Review the logs to verify that the product is running without errors.
  8. Скачивание инструмент RemoveDuplicateProfiles.exe и скопируйте его в основной путь установки (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center).Download the "RemoveDuplicateProfiles.exe" tool and copy it to the main installation path (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center)
  9. Из командной строки с повышенными привилегиями запустите файл RemoveDuplicateProfiles.exe и дождитесь его успешного выполнения.From an elevated command prompt, run RemoveDuplicateProfiles.exe and wait until it completes successfully.
  10. Здесь: каталог …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin: Mongo ATA введите следующую команду:From here: …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin directory: Mongo ATA, type the following command:

      db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });
    

Обходной путь обновления

Должен вернуться WriteResult({ "nRemoved" : XX }), где "XX" — количество подозрительных действий, которые были удалены.This should return a WriteResult({ "nRemoved" : XX }) where “XX” is the number of Suspicious Activities that were deleted. Если число больше 0, выйдите из командной строки и продолжите процесс обновления.If the number is greater than 0, exit the command prompt, and continue with the update process.

NET Framework 4.6.1 требует перезапуска сервераNet Framework 4.6.1 requires restarting the server

В некоторых случаях для установки платформы .NET Framework 4.6.1 может потребоваться перезапустить сервер.In some cases, the installation of .Net Framework 4.6.1 may require you to restart the server. Обратите внимание, что если нажать кнопку "ОК" в диалоговом окне Microsoft Advanced Threat Analytics Center Setup (Настройка центра Microsoft Advanced Threat Analytics), сервер перезагрузится автоматически.Notice that clicking OK in the Microsoft Advanced Threat Analytics Center Setup dialog automatically restarts the server. Это особенно важно при установке упрощенного шлюза ATA на контроллере домена, так как перед установкой может быть запланирован период обслуживания.This is especially important when installing the ATA Lightweight Gateway on a domain controller, as you may want to plan a maintenance window before the installation. Перезапуск .NET Framework.Net Framework restart

Сетевые операции в журнале не переносятсяHistorical network activities no longer migrated

В этой версии ATA предусмотрен улучшенный механизм обнаружения, который обеспечивает более точное обнаружение и позволяет сократить количество ложно-положительных результатов, особенно в случае атаки Pass-the-Hash.This version of ATA delivers an improved detection engine, which provides more accurate detection and reduces many false positive scenarios, especially for Pass-the-Hash. Новый усовершенствованный механизм обнаружения использует внутреннюю технологию обнаружения, благодаря чему можно выявлять проблемы без обращения к сетевым операциям в журнале. Таким образом производительность центра ATA существенно повышается.The new and improved detection engine utilizes inline detection technology enabling detection without accessing historical network activity, to significantly increase the performance of the ATA Center. Это также означает, что при обновлении не нужно переносить сетевые операции в журнале.This also means that it is unnecessary to migrate historical network activity during the update procedure. При обновлении ATA данные экспортируются в <Center Installation Path>\Migration в качестве JSON-файла (если они понадобятся для изучения в будущем).The ATA update procedure exports the data, in case you want it for future investigation, to <Center Installation Path>\Migration as a JSON file.

См. такжеSee Also

Ознакомьтесь с форумом ATA.Check out the ATA forum!

Обновление до ATA 1.6. Руководство по миграцииUpdate ATA to version 1.6 - migration guide