Новые возможности ATA версии 1.8What's new in ATA version 1.8

Последнюю обновленную версию ATA можно скачать в Центре загрузки, а полную версию — в Центре оценки.The latest update version of ATA can be downloaded from the Download Center or the full version can be downloaded from the Eval center.

В этих заметках о выпуске содержатся сведения об обновлениях, новых функциях, исправлениях ошибок и известных проблемах в текущей версии Advanced Threat Analytics.These release notes provide information about updates, new features, bug fixes and known issues in this version of Advanced Threat Analytics.

новые и обновленные обнаружения;New & updated detections

  • Функция определения внедрения нестандартных протоколов была улучшена для обнаружения вредоносного ПО WannaCry.Unusual protocol implementation was improved to be able to detect WannaCry malware.

  • НОВИНКА!NEW! Аномальное изменение привилегированных групп — на этапе повышения привилегий злоумышленники изменяют группы с высоким уровнем привилегий, чтобы получить доступ к конфиденциальным ресурсам.Abnormal modification of sensitive groups – As part of the privilege escalation phase, attackers modify groups with high privileges to gain access to sensitive resources. ATA теперь обнаруживает аномальное изменение групп с повышенными привилегиями.ATA now detects when there’s an abnormal change in an elevated group.

  • НОВИНКА!NEW! Подозрительные ошибки проверки подлинности (поведение при атаках методом подбора) —для получения несанкционированного доступа к учетным записям злоумышленники используют подбор учетных данных.Suspicious authentication failures (Behavioral brute force) – Attackers attempt to use brute force on credentials to compromise accounts. Теперь ATA создает оповещение при обнаружении аномальных ошибок проверки подлинности.ATA now raises an alert when abnormal failed authentication behavior is detected.

  • Попытка удаленного выполнения — выполнение WMI — злоумышленники могут пытаться получить контроль над сетью, выполняя код удаленно на контроллере домена.Remote execution attempt – WMI exec - Attackers can attempt to control your network by running code remotely on your domain controller. В ATA улучшено обнаружение удаленного выполнения кода: реализовано обнаружение использования методов WMI для удаленного выполнения кода.ATA has enhanced the remote execution detection to include detection of WMI methods to run code remotely.

  • Разведывательная атака с применением запросов к службе каталогов — этот механизм обнаружения был улучшен для перехвата запросов к одной конфиденциальной сущности и уменьшения количества ложных срабатываний, которые генерировались в предыдущей версии.Reconnaissance using directory service queries – This detection was enhanced to be able to catch queries against a single sensitive entity and to reduce the number of false positives that were generated in the previous version. Если он был отключен в версии 1.7, то при установке версии 1.8 он включается автоматически.If you disabled this in version 1.7, installing version 1.8 will now automatically enable it.

  • Действия с "золотым" билетом Kerberos — в ATA 1.8 реализован дополнительный способ обнаружения атак с применением "золотого" билета.Kerberos Golden Ticket activity – ATA 1.8 includes an additional technique to detect golden ticket attacks.

    • ATA теперь обнаруживает подозрительные действия с применением "золотого" билета с истекшим сроком действия.ATA now detects suspicious activities in which the Golden ticket lifetime has expired. Если билет Kerberos используется в течение срока, превышающего допустимое время жизни, ATA сообщает о подозрении на создание "золотого" билета.If a Kerberos ticket is used for more than the allowed lifetime, ATA will detect it as a suspicious activity that a Golden ticket has likely been created.
  • Чтобы устранить ложные срабатывания в известных ситуациях, были внесены улучшения в следующие механизмы обнаружения:Enhancements were made to the following detections to remove known false positives:
    • обнаружение повышения привилегий (поддельный сертификат атрибута привилегий);Privilege escalation detection (forged PAC)
    • переход на более слабое шифрование (вредоносные программы, использующие мастер-ключи);Encryption downgrade activity (Skeleton Key)
    • Внедрение нестандартных протоколов.Unusual protocol implementation
    • Нарушение доверительного отношенияBroken trust

Оптимизация рассмотрения подозрительных действийImproved triage of suspicious activities

  • НОВИНКА!NEW! В процессе рассмотрения ATA 1.8 позволяет принимать следующие меры в отношении подозрительных действий:ATA 1.8 enables you to run the following actions suspicious activities during the triage process:
    • исключать сущности из числа тех, которые могут создавать сообщения о подозрительных действиях, чтобы исключить ложные срабатывания в ATA (например, при удаленном выполнении кода администратором или обнаружении сканеров безопасности);Exclude entities from raising future suspicious activities to prevent ATA from alerting when it detects benign true positives (such as an admin running remote code or detecting security scanners).
    • запретить создание оповещений для повторяющихся подозрительных действий;Suppress recurring suspicious activities from alerting.
    • удалять подозрительные действия с временной шкалы атаки.Delete suspicious activities from the attack time line.
  • Повышена эффективность принятия дальнейших мер в отношении оповещений о подозрительных действиях.The process for following up on suspicious activity alerts is now more efficient. Усовершенствована временная шкала подозрительных действий.The suspicious activities time line was redesigned. В ATA 1.8 отображается гораздо больше подозрительных действий на одном экране, и вы сможете получать более подробные сведения для рассмотрения и анализа.In ATA 1.8, you will be able to see many more suspicious activities on a single screen, containing better information for triage and investigation purposes.

Новые отчеты для исследованияNew reports to help you investigate

  • НОВИНКА!NEW! Добавлен сводный отчет, позволяющий просматривать полную сводку данных из ATA, включая подозрительные действия, проблемы с работоспособностью и другие сведения.The Summary report was added to enable you to see all the summarized data from ATA, including suspicious activities, health issues and more. Можно также определить настраиваемый отчет, создаваемый автоматически с определенной периодичностью.You can even define a customized report that is automatically generated on a recurring basis.
  • НОВИНКА!NEW! Добавлен отчет о привилегированных группах, с помощью которого можно просмотреть все изменения, внесенные в привилегированные группы за некоторый период времени.The Sensitive groups report was added to enable you to see all the changes made in sensitive groups over a certain period.

Усовершенствования инфраструктурыInfrastructure improvements

  • Повышена производительность центра ATA.ATA Center performance was enhanced. В версии ATA 1.8 центр ATA может обрабатывать более одного миллиона пакетов в секунду.In ATA 1.8 the ATA Center can handle more than 1M packets per second.
  • Упрощенный шлюз ATA теперь может считывать события локально — настраивать переадресацию событий не требуется.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.
  • Теперь можно настроить электронную почту отдельно для оповещений мониторинга и сообщений о подозрительных действиях.You can now separately configure email for monitoring alerts and suspicious activities.

Усовершенствования системы безопасностиSecurity improvements

  • НОВИНКА!NEW! Единый вход для управления ATA.Single-sign-on for ATA management. ATA поддерживает единый вход, интегрированный с проверкой подлинности Windows. Если вы уже вошли в компьютер, ATA использует существующий токен для входа в консоль ATA.ATA supports single sign-on integrated with Windows authentication - if you've already logged onto your computer, ATA will use that token to log you into the ATA Console. Кроме того, можно выполнять вход в систему с помощью смарт-карты.You can also log in using a smartcard. Скрипты автоматической установки шлюза ATA и упрощенного шлюза ATA теперь используют контекст вошедшего в систему пользователя, то есть предоставлять учетные данные не нужно.Silent installation scripts for the ATA Gateway and ATA Lightweight Gateway now use the logged on user’s context, without the need to provide credentials.
  • Процесс шлюза ATA был лишен привилегий Local System, поэтому для запуска этого процесса теперь можно использовать виртуальные учетные записи (доступные только для автономных шлюзов ATA), управляемые учетные записи служб и групповые управляемые учетные записи служб.Local System privileges were removed from the ATA Gateway process, so you can now use virtual accounts (available on stand-alone ATA Gateways only), managed service accounts and group managed service accounts to run the ATA Gateway process.
  • Реализован аудит журналов для центра и шлюзов ATA. Все действия теперь записываются в журнал событий Windows.Auditing logs for ATA Center and Gateways were added and all actions are now logged in the Windows Event Log.
  • Реализована поддержка сертификатов KSP для центра ATA.Support was added for KSP Certificates for the ATA Center.

Дополнительные измененияAdditional changes

  • Возможность добавлять заметки удалена из компонента "Подозрительные действия".The option to add notes was removed from Suspicious Activities
  • Рекомендации по снижению рисков появления подозрительных действий удалены из временной шкалы "Подозрительные действия".Recommendations for mitigating Suspicious Activities were removed from the Suspicious Activities time line.
  • Начиная с версии ATA 1.8, шлюзы ATA и упрощенные шлюзы управляют собственными сертификатами, не требуя взаимодействия с администратором.Starting with ATA version 1.8 the ATA Gateways and Lightweight Gateways are managing their own certificates and need no administrator interaction to manage them.

Известные проблемыKnown issues

Предупреждение

Для устранения известных проблем выполните обновление до версии 1.8 с обновлением 1 или развертывание с этой версией.In order to avoid these known issues please update or deploy using the 1.8 update 1.

Шлюз ATA в Windows Server CoreATA Gateway on Windows Server Core

Симптомы. В Windows Server 2012 R2 Core с .Net Framework 4.7 при обновлении шлюза ATA до версии 1.8 может произойти сбой с ошибкой Шлюз Microsoft Advanced Threat Analytics прекратил работу.Symptoms: Upgrading an ATA Gateway to 1.8 on Windows Server 2012R2 Core with .Net framework 4.7 may fail with the error: Microsoft Advanced Threat Analytics Gateway has stopped working.

Ошибка ядра шлюза

В Windows Server 2016 Core ошибка может не отобразиться, но при попытке установки произойдет сбой процесса и в журнал событий приложения на сервере будут записаны события 1000 и 1001 (сбой процесса).On Windows Server 2016 Core you may not see the error, but the process will fail when you try to install, and events 1000 and 1001 (process crash) will be logged in the application Event Log on the server.

Описание. В .NET Framework 4.7 имеется проблема, приводящая к сбою загрузки приложений, использующих технологию WPF (например, ATA).Description: There is a problem with the .NET framework 4.7 that causes applications that uses WPF technology (such as ATA) to fail to load. Подробнее см. в статье базы знаний KB 4034015.See KB 4034015 for more information.

Обходной путь. Удалите .Net 4.7 (см. KB 3186497), чтобы вернуться к версии .NET 4.6.2, а затем обновите шлюз ATA до версии 1.8.Workaround: Uninstall .Net 4.7 See KB 3186497 to revert the .NET version to .NET 4.6.2 and then update your ATA Gateway to version 1.8. После обновления ATA вы можете переустановить .NET 4.7.After the upgrade of ATA you can reinstall .NET 4.7. В будущем выпуске эта проблема будет устранена.There will be an update to correct this problem in a future release.

Разрешения упрощенного шлюза для журнала событийLightweight Gateway event log permissions

Симптомы. При обновлении ATA до версии 1.8 приложения или службы, которые раньше имели разрешения для доступа к журналу событий безопасности, могут их потерять.Symptoms: When you upgrade ATA to version 1.8, apps or services that were previously granted permissions to access the Security Event Log may lose the permissions.

Описание. Для упрощения развертывания ATA 1.8 получает доступ к журналу событий безопасности напрямую, не требуя настройки пересылки событий Windows.Description: In order to make ATA easier to deploy, ATA 1.8 accesses your Security Event Log directly, without necessitating Windows Event Forwarding configuration. В то же время ATA запускается как локальная служба с ограниченными разрешениями для большей безопасности.At the same time, ATA runs as a low-permission local service to maintain tighter security. Чтобы служба ATA могла считывать события, она предоставляет себе разрешения для журнала событий безопасности.In order to provide access for ATA to read the events, the ATA service grants itself permissions to the Security Event Log. Когда это происходит, разрешения, ранее заданные для других служб, могут отключиться.When this happens, permissions previously set for other services may be disabled.

Обходной путь. Запустите следующий сценарий Windows PowerShell.Workaround: Run the following Windows PowerShell script. Он удалит разрешения, некорректно добавленные ATA в реестр, и добавит их через другой API.This removes the incorrectly added permissions in the registry from ATA, and adds them via a different API. Это может восстановить разрешения для других приложений.This may restore permissions for other apps. В противном случае их потребуется восстановить вручную.If it does not, they will need to be restored manually. В будущем выпуске эта проблема будет устранена.There will be an update to correct this problem in a future release.

   $ATADaclEntry = "(A;;0x1;;;S-1-5-80-1717699148-1527177629-2874996750-2971184233-2178472682)"
    try {
    $SecurityDescriptor = Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
    $ATASddl = "O:BAG:SYD:" + $ATADaclEntry 
    if($SecurityDescriptor.CustomSD -eq $ATASddl) {
    Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
    }
}
catch
{
# registry key does not exist
}

$EventLogConfiguration = New-Object -TypeName System.Diagnostics.Eventing.Reader.EventLogConfiguration("Security")
$EventLogConfiguration.SecurityDescriptor = $EventLogConfiguration.SecurityDescriptor + $ATADaclEntry

Конфликт прокси-сервераProxy interference

Симптомы. После обновления до ATA 1.8 служба шлюза ATA может не запускаться.Symptoms: After upgrading to ATA 1.8 the ATA Gateway service may fail to start. В журнале ошибок ATA может появиться следующее исключение: System.Net.Http.HttpRequestException: при отправке запроса произошла ошибка. ---> System.Net.WebException: удаленный сервер вернул ошибку: требуется проверка подлинности прокси-сервера (407).In the ATA error log you may see the following exception: System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required.

Описание. Начиная с версии 1.8, шлюз ATA взаимодействует с центром ATA через протокол HTTP.Description: Starting from ATA 1.8, the ATA Gateway communicates with the ATA Center using the http protocol. Если компьютер, на котором установлен шлюз ATA, использует для подключения к центру ATA прокси-сервер, он может разорвать эту связь.If the machine on which you installed the ATA Gateway uses a proxy server to connect to the ATA Center, it can break this communication.

Обходной путь. Отключите использование прокси-сервера для учетной записи службы шлюза ATA.Workaround: Disable the use of a proxy server on the ATA Gateway service account. В будущем выпуске эта проблема будет устранена.There will be an update to correct this problem in a future release.

См. такжеSee Also

Ознакомьтесь с форумом ATA.Check out the ATA forum!

Обновление до ATA 1.8. Руководство по миграцииUpdate ATA to version 1.8 - migration guide