Новые возможности ATA версии 1.8

  • Статья

Последнюю версию обновления ATA можно скачать из Центра загрузки.

В этих заметках о выпуске содержатся сведения об обновлениях, новых функциях, исправлениях ошибок и известных проблемах в этой версии Advanced Threat Analytics.

Новые и обновленные обнаружения

  • Нестандартная реализация протокола была улучшена, чтобы обнаруживать вредоносные программы WannaCry.

  • Новая функция! Ненормальное изменение конфиденциальных групп
    В рамках этапа эскалации привилегий злоумышленники изменяют группы с высокими привилегиями, чтобы получить доступ к конфиденциальным ресурсам. ATA теперь обнаруживает, когда в группе с повышенными привилегиями произошло ненормальное изменение.

  • Новая функция! Подозрительные сбои проверки подлинности (принудительное подбора поведения)
    Злоумышленники пытаются использовать метод подбора учетных данных для компрометации учетных записей. ATA теперь вызывает оповещение при обнаружении ненормального сбоя проверки подлинности.

  • Попытка удаленного выполнения — exec WMI
    Злоумышленники могут пытаться управлять сетью, удаленно выполняя код на контроллере домена. ATA улучшила обнаружение удаленного выполнения, чтобы включить обнаружение методов WMI для удаленного выполнения кода.

  • Разведка с помощью запросов службы каталогов
    Это обнаружение было улучшено, чтобы иметь возможность перехватывать запросы к одной конфиденциальной сущности и уменьшать количество ложных срабатываний, созданных в предыдущей версии. Если вы отключили эту функцию в версии 1.7, установка версии 1.8 будет автоматически включена.

  • Действие Kerberos Golden Ticket
    ATA 1.8 включает в себя дополнительный метод для обнаружения атак золотого билета.

    • ATA теперь обнаруживает подозрительные действия, в которых истек срок действия золотого билета. Если билет Kerberos используется в течение более допустимого времени существования, ATA обнаружит его как подозрительное действие, которое, скорее всего, было создано золотой билет.

  • Усовершенствования были сделаны в следующих обнаружениях, чтобы удалить известные ложные срабатывания:

    • Обнаружение эскалации привилегий (выгченный PAC)
    • Действие понижения уровня шифрования (скелетный ключ)
    • Нестандартная реализация протокола
    • Сломанное доверие

Улучшенная сортировка подозрительных действий

  • Новая функция! ATA 1.8 позволяет выполнять следующие действия, подозрительные действия во время процесса выполнения.
    • Исключите сущности из повышения будущих подозрительных действий, чтобы предотвратить оповещение ATA при обнаружении доброкачественных истинных положительных результатов (таких как администратор, выполняющий удаленный код или обнаружение сканеров безопасности).
    • Отключайте повторяющиеся подозрительные действия из оповещения.
    • Удалите подозрительные действия из строки времени атаки.
  • Процесс выполнения предупреждений о подозрительных действиях теперь эффективнее. Была изменена временная линия подозрительных действий. В ATA 1.8 вы сможете увидеть много других подозрительных действий на одном экране, содержащих более подробную информацию для выполнения и расследования.

Новые отчеты для изучения

  • Новая функция! Сводный отчет был добавлен, чтобы вы могли просматривать все суммированные данные из ATA, включая подозрительные действия, проблемы со здоровьем и многое другое. Вы даже можете определить настраиваемый отчет, который автоматически создается на регулярной основе.
  • Новая функция! Добавлен отчет о конфиденциальных группах, позволяющий просматривать все изменения, внесенные в конфиденциальные группы в течение определенного периода.

Улучшения инфраструктуры

  • Улучшена производительность центра ATA. В ATA 1.8 центр ATA может обрабатывать более 1 млн пакетов в секунду.
  • Упрощенный шлюз ATA теперь может читать события локально без необходимости настраивать перенаправление событий.
  • Теперь можно отдельно настроить электронную почту для оповещений о работоспособности и подозрительных действий.

Усовершенствования системы безопасности

  • Новая функция! Единый вход для управления ATA. ATA поддерживает единый вход, интегрированный с проверка подлинности Windows. Если вы уже вошли на компьютер, ATA будет использовать этот маркер для входа в консоль ATA. Вы также можете войти в систему с помощью интеллектуального карта. Скрипты автоматической установки для шлюза ATA и упрощенного шлюза ATA теперь используют контекст пользователя без необходимости предоставлять учетные данные.
  • Права локальной системы были удалены из процесса шлюза ATA, поэтому теперь можно использовать виртуальные учетные записи (доступные только в автономных шлюзах ATA), управляемые учетные записи служб и групповые управляемые учетные записи служб для запуска процесса шлюза ATA.
  • Журналы аудита для центра ATA и шлюзов добавлены, а все действия теперь регистрируются в журнале событий Windows.
  • Добавлена поддержка сертификатов KSP для центра ATA.

Дополнительные изменения

  • Возможность добавления заметок удалена из подозрительных действий
  • Рекомендации для устранения подозрительных действий были удалены из временной строки подозрительных действий.
  • Начиная с ATA версии 1.8 шлюзы ATA и упрощенные шлюзы управляют собственными сертификатами и не требуют взаимодействия администратора для управления ими.

Известные проблемы

Предупреждение

Чтобы избежать этих известных проблем, обновите или разверните с помощью версии 1.8 с обновлением 1.

Шлюз ATA в Windows Server Core

Симптомы: обновление шлюза ATA до версии 1.8 в Windows Server 2012R2 Core с .Net framework 4.7 может завершиться ошибкой: Шлюз Microsoft Advanced Threat Analytics перестал работать.

Основная ошибка шлюза.

В Windows Server 2016 Core может не появиться ошибка, но процесс завершится ошибкой при попытке установки, а события 1000 и 1001 (аварийное завершение процесса) будут записаны в журнал событий приложения на сервере.

Описание. Существует проблема с платформой .NET Framework 4.7, которая приводит к сбою загрузки приложений, использующих технологию WPF (например, ATA). Дополнительные сведения см. в КБ 4034015.

Обходное решение. Удалите .Net 4.7 См. КБ 3186497, чтобы отменить изменения версию .NET до .NET 4.6.2, а затем обновите шлюз ATA до версии 1.8. После обновления ATA можно переустановить .NET 4.7. В будущем выпуске будет обновлено обновление, чтобы устранить эту проблему.

Разрешения журнала событий упрощенного шлюза

Симптомы: при обновлении ATA до версии 1.8 приложения или службы, которые ранее предоставили разрешения на доступ к журналу событий безопасности, могут потерять разрешения.

Описание. Чтобы упростить развертывание ATA, ATA 1.8 напрямую обращается к журналу событий безопасности, не требуя настройки пересылки событий Windows. В то же время ATA выполняется как локальная служба с низким уровнем разрешений для обеспечения более жесткой безопасности. Чтобы предоставить доступ для ATA для чтения событий, служба ATA предоставляет себе разрешения для журнала событий безопасности. В этом случае разрешения, заданные ранее для других служб, могут быть отключены.

Обходное решение. Выполните следующий скрипт Windows PowerShell. Это удаляет неправильно добавленные разрешения в реестр из ATA и добавляет их с помощью другого API. Это может восстановить разрешения для других приложений. Если это не так, их необходимо будет восстановить вручную. В будущем выпуске будет обновлено обновление, чтобы устранить эту проблему.

$ATADaclEntry = "(A;;0x1;;;S-1-5-80-1717699148-1527177629-2874996750-2971184233-2178472682)"
  try {
    $SecurityDescriptor = Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
    $ATASddl = "O:BAG:SYD:" + $ATADaclEntry
    if($SecurityDescriptor.CustomSD -eq $ATASddl) {
      Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
    }
  }
  catch
  {
    # registry key does not exist
  }

$EventLogConfiguration = New-Object -TypeName System.Diagnostics.Eventing.Reader.EventLogConfiguration("Security")
$EventLogConfiguration.SecurityDescriptor = $EventLogConfiguration.SecurityDescriptor + $ATADaclEntry
$EventLogConfiguration.SaveChanges()

Вмешательство прокси-сервера

Симптомы: после обновления до ATA 1.8 служба шлюза ATA может завершиться ошибкой. В журнале ошибок ATA может появить следующее исключение: System.Net.Http.HttpRequestException: ошибка при отправке запроса. ---> System.Net.WebException: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера.

Описание. Начиная с ATA 1.8 шлюз ATA взаимодействует с Центром ATA с помощью протокола HTTP. Если компьютер, на котором установлен шлюз ATA, использует прокси-сервер для подключения к Центру ATA, он может нарушить эту связь.

Обходное решение. Отключение использования прокси-сервера в учетной записи службы шлюза ATA. В будущем выпуске будет обновлено обновление, чтобы устранить эту проблему.

Сброс параметров отчета

Симптомы: все параметры, внесенные в запланированные отчеты, очищаются при обновлении до версии 1.8 с обновлением 1.

Описание. Обновление до версии 1.8 с версии 1.8 сбрасывает параметры расписания отчетов.

Обходное решение. Перед обновлением до версии 1.8 с обновлением 1 сделайте копию параметров отчета и повторно введите их, это также можно сделать с помощью скрипта, дополнительные сведения см. в разделе "Экспорт и импорт конфигурации ATA".

См. также

Ознакомьтесь с форумом ATA!

Обновление ATA до версии 1.8 . Руководство по миграции