Новые возможности ATA версии 1.8
Последнюю версию обновления ATA можно скачать из Центра загрузки.
В этих заметках о выпуске содержатся сведения об обновлениях, новых функциях, исправлениях ошибок и известных проблемах в этой версии Advanced Threat Analytics.
Новые и обновленные обнаружения
Нестандартная реализация протокола была улучшена, чтобы обнаруживать вредоносные программы WannaCry.
Новая функция! Ненормальное изменение конфиденциальных групп
В рамках этапа эскалации привилегий злоумышленники изменяют группы с высокими привилегиями, чтобы получить доступ к конфиденциальным ресурсам. ATA теперь обнаруживает, когда в группе с повышенными привилегиями произошло ненормальное изменение.Новая функция! Подозрительные сбои проверки подлинности (принудительное подбора поведения)
Злоумышленники пытаются использовать метод подбора учетных данных для компрометации учетных записей. ATA теперь вызывает оповещение при обнаружении ненормального сбоя проверки подлинности.Попытка удаленного выполнения — exec WMI
Злоумышленники могут пытаться управлять сетью, удаленно выполняя код на контроллере домена. ATA улучшила обнаружение удаленного выполнения, чтобы включить обнаружение методов WMI для удаленного выполнения кода.Разведка с помощью запросов службы каталогов
Это обнаружение было улучшено, чтобы иметь возможность перехватывать запросы к одной конфиденциальной сущности и уменьшать количество ложных срабатываний, созданных в предыдущей версии. Если вы отключили эту функцию в версии 1.7, установка версии 1.8 будет автоматически включена.Действие Kerberos Golden Ticket
ATA 1.8 включает в себя дополнительный метод для обнаружения атак золотого билета.- ATA теперь обнаруживает подозрительные действия, в которых истек срок действия золотого билета. Если билет Kerberos используется в течение более допустимого времени существования, ATA обнаружит его как подозрительное действие, которое, скорее всего, было создано золотой билет.
Усовершенствования были сделаны в следующих обнаружениях, чтобы удалить известные ложные срабатывания:
- Обнаружение эскалации привилегий (выгченный PAC)
- Действие понижения уровня шифрования (скелетный ключ)
- Нестандартная реализация протокола
- Сломанное доверие
Улучшенная сортировка подозрительных действий
- Новая функция! ATA 1.8 позволяет выполнять следующие действия, подозрительные действия во время процесса выполнения.
- Исключите сущности из повышения будущих подозрительных действий, чтобы предотвратить оповещение ATA при обнаружении доброкачественных истинных положительных результатов (таких как администратор, выполняющий удаленный код или обнаружение сканеров безопасности).
- Отключайте повторяющиеся подозрительные действия из оповещения.
- Удалите подозрительные действия из строки времени атаки.
- Процесс выполнения предупреждений о подозрительных действиях теперь эффективнее. Была изменена временная линия подозрительных действий. В ATA 1.8 вы сможете увидеть много других подозрительных действий на одном экране, содержащих более подробную информацию для выполнения и расследования.
Новые отчеты для изучения
- Новая функция! Сводный отчет был добавлен, чтобы вы могли просматривать все суммированные данные из ATA, включая подозрительные действия, проблемы со здоровьем и многое другое. Вы даже можете определить настраиваемый отчет, который автоматически создается на регулярной основе.
- Новая функция! Добавлен отчет о конфиденциальных группах, позволяющий просматривать все изменения, внесенные в конфиденциальные группы в течение определенного периода.
Улучшения инфраструктуры
- Улучшена производительность центра ATA. В ATA 1.8 центр ATA может обрабатывать более 1 млн пакетов в секунду.
- Упрощенный шлюз ATA теперь может читать события локально без необходимости настраивать перенаправление событий.
- Теперь можно отдельно настроить электронную почту для оповещений о работоспособности и подозрительных действий.
Усовершенствования системы безопасности
- Новая функция! Единый вход для управления ATA. ATA поддерживает единый вход, интегрированный с проверка подлинности Windows. Если вы уже вошли на компьютер, ATA будет использовать этот маркер для входа в консоль ATA. Вы также можете войти в систему с помощью интеллектуального карта. Скрипты автоматической установки для шлюза ATA и упрощенного шлюза ATA теперь используют контекст пользователя без необходимости предоставлять учетные данные.
- Права локальной системы были удалены из процесса шлюза ATA, поэтому теперь можно использовать виртуальные учетные записи (доступные только в автономных шлюзах ATA), управляемые учетные записи служб и групповые управляемые учетные записи служб для запуска процесса шлюза ATA.
- Журналы аудита для центра ATA и шлюзов добавлены, а все действия теперь регистрируются в журнале событий Windows.
- Добавлена поддержка сертификатов KSP для центра ATA.
Дополнительные изменения
- Возможность добавления заметок удалена из подозрительных действий
- Рекомендации для устранения подозрительных действий были удалены из временной строки подозрительных действий.
- Начиная с ATA версии 1.8 шлюзы ATA и упрощенные шлюзы управляют собственными сертификатами и не требуют взаимодействия администратора для управления ими.
Известные проблемы
Предупреждение
Чтобы избежать этих известных проблем, обновите или разверните с помощью версии 1.8 с обновлением 1.
Шлюз ATA в Windows Server Core
Симптомы: обновление шлюза ATA до версии 1.8 в Windows Server 2012R2 Core с .Net framework 4.7 может завершиться ошибкой: Шлюз Microsoft Advanced Threat Analytics перестал работать.
В Windows Server 2016 Core может не появиться ошибка, но процесс завершится ошибкой при попытке установки, а события 1000 и 1001 (аварийное завершение процесса) будут записаны в журнал событий приложения на сервере.
Описание. Существует проблема с платформой .NET Framework 4.7, которая приводит к сбою загрузки приложений, использующих технологию WPF (например, ATA). Дополнительные сведения см. в КБ 4034015.
Обходное решение. Удалите .Net 4.7 См. КБ 3186497, чтобы отменить изменения версию .NET до .NET 4.6.2, а затем обновите шлюз ATA до версии 1.8. После обновления ATA можно переустановить .NET 4.7. В будущем выпуске будет обновлено обновление, чтобы устранить эту проблему.
Разрешения журнала событий упрощенного шлюза
Симптомы: при обновлении ATA до версии 1.8 приложения или службы, которые ранее предоставили разрешения на доступ к журналу событий безопасности, могут потерять разрешения.
Описание. Чтобы упростить развертывание ATA, ATA 1.8 напрямую обращается к журналу событий безопасности, не требуя настройки пересылки событий Windows. В то же время ATA выполняется как локальная служба с низким уровнем разрешений для обеспечения более жесткой безопасности. Чтобы предоставить доступ для ATA для чтения событий, служба ATA предоставляет себе разрешения для журнала событий безопасности. В этом случае разрешения, заданные ранее для других служб, могут быть отключены.
Обходное решение. Выполните следующий скрипт Windows PowerShell. Это удаляет неправильно добавленные разрешения в реестр из ATA и добавляет их с помощью другого API. Это может восстановить разрешения для других приложений. Если это не так, их необходимо будет восстановить вручную. В будущем выпуске будет обновлено обновление, чтобы устранить эту проблему.
$ATADaclEntry = "(A;;0x1;;;S-1-5-80-1717699148-1527177629-2874996750-2971184233-2178472682)"
try {
$SecurityDescriptor = Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
$ATASddl = "O:BAG:SYD:" + $ATADaclEntry
if($SecurityDescriptor.CustomSD -eq $ATASddl) {
Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security -Name CustomSD
}
}
catch
{
# registry key does not exist
}
$EventLogConfiguration = New-Object -TypeName System.Diagnostics.Eventing.Reader.EventLogConfiguration("Security")
$EventLogConfiguration.SecurityDescriptor = $EventLogConfiguration.SecurityDescriptor + $ATADaclEntry
$EventLogConfiguration.SaveChanges()
Вмешательство прокси-сервера
Симптомы: после обновления до ATA 1.8 служба шлюза ATA может завершиться ошибкой. В журнале ошибок ATA может появить следующее исключение: System.Net.Http.HttpRequestException: ошибка при отправке запроса. ---> System.Net.WebException: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера.
Описание. Начиная с ATA 1.8 шлюз ATA взаимодействует с Центром ATA с помощью протокола HTTP. Если компьютер, на котором установлен шлюз ATA, использует прокси-сервер для подключения к Центру ATA, он может нарушить эту связь.
Обходное решение. Отключение использования прокси-сервера в учетной записи службы шлюза ATA. В будущем выпуске будет обновлено обновление, чтобы устранить эту проблему.
Сброс параметров отчета
Симптомы: все параметры, внесенные в запланированные отчеты, очищаются при обновлении до версии 1.8 с обновлением 1.
Описание. Обновление до версии 1.8 с версии 1.8 сбрасывает параметры расписания отчетов.
Обходное решение. Перед обновлением до версии 1.8 с обновлением 1 сделайте копию параметров отчета и повторно введите их, это также можно сделать с помощью скрипта, дополнительные сведения см. в разделе "Экспорт и импорт конфигурации ATA".