Новые возможности ATA версии 1.6

В этих заметках о выпуске содержатся сведения об известных проблемах в текущей версии решения Advanced Threat Analytics.

Новые возможности в обновлении ATA 1.6

При обновлении ATA до версии 1.6 появляются следующие улучшения:

  • новые обнаружения;

  • улучшения имеющихся обнаружений;

  • упрощенный шлюз ATA;

  • автоматические обновления;

  • улучшение производительности центра ATA;

  • более низкие требования к хранению;

  • поддержка IBM QRadar;

новые обнаружения;

  • Вредоносный запрос на конфиденциальные сведения о защите данных API защиты данных (DPAPI) является службой защиты данных на основе пароля. Эта служба защиты используется различными приложениями, в которых хранятся секретные данные пользователей, например пароли веб-сайтов и учетные данные файловых ресурсов. Для решения проблемы при потере пароля пользователи могут расшифровывать защищенные данные с помощью ключа восстановления. При этом пароль не используется. В среде домена злоумышленники могут удаленно похищать ключи восстановления и использовать их для расшифровки защищенных данных на всех компьютерах, присоединенных к домену.

  • Перечисление сетевого сеанса Разведка — это ключевой этап в цепочке продвинутой атаки. Контроллеры домена выполняют функции файловых серверов для распространения объектов групповой политики с использованием протокола SMB. На этапе разведки злоумышленники могут запрашивать в контроллере домена все активные сеансы SMB на сервере. Таким образом они получают доступ ко всем пользователям и IP-адресам, связанным с этими сеансами SMB. При перечислении сеансов SMB злоумышленники используют конфиденциальные учетные записи, за счет чего они могут осуществлять боковое смещение в сети.

  • Вредоносные запросы репликации. В среде Active Directory между контроллерами домена регулярно выполняется репликация. Злоумышленник может подделать запрос на репликацию Active Directory (иногда путем олицетворения контроллера домена) и получить данные, хранящиеся в Active Directory, включая хэши паролей, без использования более продвинутых методов, например теневого копирования томов.

  • Обнаружение уязвимости MS11-013. В Kerberos есть уязвимость, благодаря которой можно повысить привилегии. Она позволяет подделать определенные характеристики билета службы Kerberos. Воспользовавшись этой уязвимостью, пользователь-злоумышленник может получить маркер с повышенными привилегиями на контроллере домена.

  • Необычная реализация протокола. Обычно запросы на проверку подлинности (Kerberos или NTLM) выполняются с использованием набора стандартных протоколов и методов. Однако для успешной аутентификации запрос должен удовлетворять только определенным требованиям. Злоумышленники могут внедрить эти протоколы в среду, немного изменив их. По этим изменениям можно определить попытку атаки злоумышленника (Pass-The-Hash, атака методом подбора и т. д.).

Улучшения имеющихся обнаружений.

В ATA 1.6 реализована улучшенная логика обнаружения, благодаря которой сокращается количество ложно-положительных и ложно-отрицательных результатов для имеющихся обнаружений, например при атаках Golden Ticket, атаках с использованием учетной записи honeytoken, атаках методом подбора и атаках с удаленным выполнением.

Упрощенный шлюз ATA.

В этой версии ATA появился новый вариант развертывания шлюза ATA, позволяющий установить шлюз ATA непосредственно на контроллере домена. При этом шлюз ATA не выполняет второстепенных функций. Кроме того, теперь можно воспользоваться динамическим управлением ресурсами на основе ресурсов, доступных на контроллере домена, при котором обеспечивается непрерывная работа имеющихся операций контроллера домена. Упрощенный шлюз ATA позволяет снизить затраты на развертывание ATA. В то же время упрощается развертывание на сайтах филиалов с ограниченными аппаратными ресурсами, на которых невозможно настроить зеркальное отображение портов. Дополнительные сведения об упрощенном шлюзе ATA см. в статье Архитектура ATA.

Дополнительные сведения о рекомендациях для развертывания и выборе подходящего типа шлюза см. в статье Планирование производительности ATA.

Автоматические обновления

Начиная с версии 1.6, центр ATA можно обновить с помощью Центра обновления Майкрософт. Кроме того, теперь шлюзы ATA можно автоматически обновить с использованием стандартного коммуникационного канала в центре ATA.

Улучшение производительности центра ATA

Благодаря сниженной нагрузке на базу данных и более эффективному способу выполнения обнаружения в этой версии в одном центре ATA можно выполнять мониторинг множества контроллеров домена.

Более низкие требования к хранению

Для работы с базой данных ATA 1.6 необходимо существенно меньше места — всего лишь 20 % дискового пространства по сравнению с предыдущими версиями.

Поддержка IBM QRadar

Теперь ATA может получать события не только из поддерживаемых решений SIEM, но и из решения SIEM QRadar от IBM.

Известные проблемы

В этой версии существуют следующие проблемы.

Сбой распознавания нового пути в базах данных, перемещенных вручную

В средах, в которых путь к базе данных перемещается вручную, развертывание ATA не использует новый путь к базе данных для обновления. Это может вызвать следующие проблемы:

  • ATA может использовать все свободное место на системном диске центра ATA. При этом не выполняется цикличное удаление старых сетевых операций.

  • Обновление ATA до версии 1.6 может привести к сбою проверки готовности перед обновлением, как показано на рисунке ниже. Сбой проверки готовности

    Важно!

    Перед обновлением ATA до версии 1.6 обновите следующий раздел реестра, указав правильный путь к базе данных: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath.

Сбой миграции при обновлении ATA 1.5

При обновлении ATA до версии 1.6 может произойти сбой и отобразится следующее сообщение об ошибке с кодом:

Ошибка обновления ATA до 1.6 При возникновении этой ошибки откройте журнал развертывания в каталоге C:\Users<User>\AppData\Local\Temp и найдите следующее исключение:

System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : "<guid>" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors.  E11000 duplicate key error index: ATA.UniqueEntityProfile.$_id_ dup key: { : " <guid> " }

Также может появиться следующая ошибка: System.ArgumentNullException: значение не может быть NULL.

Если вы видите одну из этих ошибок, запустите следующий обходной путь.

Решение

  1. Переместите папку data_old во временную папку (которая обычно находится в каталоге %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin).
  2. Удалите центр ATA 1.5 и все данные базы данных. Удаление ATA 1.5
  3. Повторно установите центр ATA 1.5. Используйте ту же конфигурацию, что и при предыдущей установке ATA 1.5 (сертификаты, IP-адреса, путь к базе данных и т. д.).
  4. Остановите работу этих служб в следующем порядке:
    1. центр Microsoft Advanced Threat Analytics;
    2. MongoDB
  5. Замените файлы базы данных MongoDB файлами в папке data_old.
  6. Запустите эти службы в следующем порядке:
    1. MongoDB
    2. центр Microsoft Advanced Threat Analytics;
  7. Просмотрите журналы, чтобы убедиться, что продукт работает без ошибок.
  8. Скачивание инструмент RemoveDuplicateProfiles.exe и скопируйте его в основной путь установки (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center).
  9. Запустите его в командной строке с повышенными привилегиями и дождитесь успешного завершения.
  10. Здесь: каталог …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin: Mongo ATA введите следующую команду:

    db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });

Обходной путь обновления

Должен вернуться WriteResult({ "nRemoved" : XX }), где "XX" — количество подозрительных действий, которые были удалены. Если число больше 0, выйдите из командной строки и продолжите процесс обновления.

NET Framework 4.6.1 требует перезапуска сервера

В некоторых случаях для установки платформы .NET Framework 4.6.1 может потребоваться перезапустить сервер. Обратите внимание, что если нажать кнопку "ОК" в диалоговом окне Microsoft Advanced Threat Analytics Center Setup (Настройка центра Microsoft Advanced Threat Analytics), сервер перезагрузится автоматически. Это особенно важно при установке упрощенного шлюза ATA на контроллере домена, так как перед установкой может быть запланирован период обслуживания. Перезапуск .NET Framework

Сетевые операции в журнале не переносятся

В этой версии ATA предусмотрен улучшенный механизм обнаружения, который обеспечивает более точное обнаружение и позволяет сократить количество ложно-положительных результатов, особенно в случае атаки Pass-the-Hash. Новый усовершенствованный механизм обнаружения использует внутреннюю технологию обнаружения, благодаря чему можно выявлять проблемы без обращения к сетевым операциям в журнале. Таким образом производительность центра ATA существенно повышается. Это также означает, что при обновлении не нужно переносить сетевые операции в журнале. При обновлении ATA данные экспортируются в <Center Installation Path>\Migration в качестве JSON-файла (если они понадобятся для изучения в будущем).

См. также

Ознакомьтесь с форумом ATA.

Обновление до ATA 1.6. Руководство по миграции