ATA sürüm 1.7'deki yenilikler

  • Makale

Bu sürüm notları, Advanced Threat Analytics'in bu sürümündeki bilinen sorunlar hakkında bilgi sağlar.

ATA 1.7 güncelleştirmesindeki yenilikler

ATA 1.7 güncelleştirmesi aşağıdaki alanlarda iyileştirmeler sağlar:

  • Yeni ve güncelleştirilmiş algılamalar

  • Rol tabanlı erişim denetimi

  • Windows Server 2016 ve Windows Server 2016 Core desteği

  • Kullanıcı deneyimi geliştirmeleri

  • Küçük değişiklikler

Yeni ve güncelleştirilmiş algılamalar

  • Dizin Hizmetleri Numaralandırması kullanarak keşif Keşif aşamasının bir parçası olarak saldırganlar farklı yöntemler kullanarak ağdaki varlıklar hakkında bilgi toplar. SAM-R protokolünün kullanıldığı dizin hizmetleri numaralandırması, saldırganların etki alanındaki kullanıcı ve grupların listesini almasını ve farklı varlıklar arasındaki etkileşimi anlamasını sağlar.

  • Karma Geçiş Geliştirmeleri Karma Geçişi algılamasını geliştirmek için varlıkların kimlik doğrulama desenleri için ek davranış modelleri ekledik. Bu modeller ATA'nın varlık davranışını şüpheli NTLM kimlik doğrulamalarıyla ilişkilendirmesini ve gerçek Karma Geçirme saldırılarını hatalı pozitif senaryoların davranışından ayırt edebilmesini sağlar.

  • Anahtar Geçişi Geliştirmeleri Genel olarak gelişmiş saldırıları ve özellikle Anahtar Geçişi'ni başarılı bir şekilde algılamak için, IP adresi ile bilgisayar hesabı arasındaki bağıntı doğru olmalıdır. Bu, IP adreslerinin tasarım gereği hızla değiştiği ortamlarda (örneğin, Wi-Fi ağları ve aynı konağı paylaşan birden çok sanal makine) bir sınamadır. Bu sınamanın üstesinden gelmek ve Anahtar Geçişi algılamasının doğruluğunu geliştirmek için ATA'nın Ağ Adı Çözümlemesi (NNR) mekanizması hatalı pozitif sonuçları azaltmak için önemli ölçüde geliştirilmiştir.

  • Anormal Davranış Geliştirmeleri ATA 1.7'de NTLM kimlik doğrulama verileri, anormal davranış algılamaları için veri kaynağı olarak eklenerek algoritmalara ağdaki varlık davranışının daha geniş bir kapsamı sağlandı.

  • Olağan Dışı Protokol Uygulama Geliştirmeleri ATA artık Kerberos protokolünde sıra dışı protokol uygulamasını ve NTLM protokolündeki ek anomalileri algılar. Özellikle, Kerberos için bu yeni anomaliler karmayı aşma saldırılarında yaygın olarak kullanılır.

Altyapı

  • Rol tabanlı erişim denetimi Rol Tabanlı Erişim Denetimi (RBAC) özelliği. ATA 1.7 üç rol içerir: ATA Yönetici istrator, ATA Analyst ve ATA Executive.

  • Windows Server 2016 ve Windows Server Core ATA 1.7 desteği, Windows Server 2008 R2 SP1 (Sunucu Çekirdeği dahil değil), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 (Çekirdek dahil ancak Nano dahil değil) çalıştıran etki alanı denetleyicilerinde Basit Ağ Geçitleri dağıtımını destekler. Ayrıca, bu sürüm hem ATA Center hem de ATA Gateway bileşenleri için Windows Server 2016'yı destekler.

Kullanıcı Deneyimi

  • Yapılandırma Deneyimi Bu sürümde, ATA yapılandırma deneyimi daha iyi bir kullanıcı deneyimi ve birden çok ATA Gateway içeren ortamların daha iyi desteklenebilmek için yeniden tasarlandı. Bu sürüm, çeşitli Ağ Geçitleri için otomatik güncelleştirmelerin daha basit ve daha iyi yönetilmesi için ATA Gateway güncelleştirme sayfasını da tanıtır.

Bilinen sorunlar

Bu sürümde aşağıdaki bilinen sorunlar vardır.

Ağ geçidi otomatik güncelleştirmesi başarısız olabilir

Belirtiler: Yavaş WAN bağlantıları olan ortamlarda, ATA Gateway güncelleştirmesi güncelleştirmenin zaman aşımına (100 saniye) ulaşabilir ve başarıyla tamamlanamadı. ATA Konsolu'nda, ATA Gateway uzun süre "Güncelleştirme (paket indiriyor)" durumuna sahip olur ve sonunda başarısız olur. Geçici çözüm: Bu sorunu geçici olarak çözmek için, ATA Konsolu'ndan en son ATA Gateway paketini indirin ve ATA Gateway'i el ile güncelleştirin.

Önemli

ATA tarafından kullanılan sertifikalar için otomatik sertifika yenileme desteklenmez. Sertifika otomatik olarak yenilendiğinde bu sertifikaların kullanılması ATA'nın çalışmayı durdurmasına neden olabilir.

JIS kodlaması için tarayıcı desteği yok

Belirtiler: ATA Konsolu JIS kodlaması kullanan tarayıcılarda beklendiği gibi çalışmayabilir Geçici Çözüm: Tarayıcının kodlamasını Unicode UTF-8 olarak değiştirin.

VMware kullanılırken bırakılan bağlantı noktası yansıtma trafiği

VMware'de basit ağ geçidi kullanılırken bırakılan bağlantı noktası yansıtma trafiği uyarıları.

VMware sanal makinelerinde etki alanı denetleyicileri kullanıyorsanız, Bırakılan bağlantı noktası yansıtılmış ağ trafiği hakkında uyarılar alabilirsiniz. Bunun nedeni VMware'deki yapılandırma uyuşmazlığı olabilir. Bu uyarıları önlemek için, sanal makinede aşağıdaki ayarların 0 veya Devre Dışı olarak ayarlandığını kontrol edebilirsiniz:

  • TsoEnable
  • LargeSendOffload(IPv4)
  • IPv4 TSO Boşaltma

Ayrıca, IPv4 Büyük TSO Boşaltma’yı devre dışı bırakabilirsiniz. Daha fazla bilgi için VMware belgelerinize bakın.

1.7 güncelleştirme 1'e güncelleştirildiğinde Otomatik Ağ Geçidi güncelleştirmesi başarısız oldu

ATA 1.7'den ATA 1.7 güncelleştirme 1'e güncelleştirirken, hem otomatik ATA Gateway güncelleştirme işlemi hem de Ağ Geçidi paketini kullanan Ağ Geçitlerinin el ile yüklenmesi beklendiği gibi çalışmayabilir. Bu sorun, ATA Center tarafından kullanılan sertifika ATA güncelleştirmeden önce değiştirildiğinde oluşur. Bu sorunu doğrulamak için ATA Gateway'de Microsoft.Tri.Gateway.Updater.log dosyasını gözden geçirin ve şu özel durumları arayın: System.Net.Http.HttpRequestException: İstek gönderilirken bir hata oluştu. ---> System.Net.WebException: Temel alınan bağlantı kapatıldı: Gönderme işleminde beklenmeyen bir hata oluştu. ---> System.IdentityModel.Tokens.SecurityTokenValidationException: Sertifika parmak izi doğrulanamadı

ATA update gateway bug.

Bu sorunu çözmek için, sertifikayı değiştirdikten sonra yükseltilmiş bir komut isteminden şu konuma gidin: %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ve aşağıdakileri çalıştırın:

  1. Mongo.exe ATA (ATA büyük harfle yazılmalıdır)

  2. CenterThumbprint=db. SystemProfile.find({_t:"CenterSystemProfile"}).toArray()[0]. Configuration.SecretManagerConfiguration.CertificateThumbprint;

  3. Db. SystemProfile.update({_t:"ServiceSystemProfile"},{$set:{"Configuration.ManagementClientConfiguration.ServerCertificateThumbprint":CenterThumbprint}}, {multi: true})

Şüpheli etkinlik ayrıntılarını Excel'e aktarma işlemi başarısız olabilir

Şüpheli etkinlik ayrıntılarını bir Excel dosyasına aktarmaya çalışırken, işlem şu hatayla başarısız olabilir: Hata [BsonClassMapSerializer'1] System.FormatException: Microsoft.Tri.Common.Data.NetworkActivities.SuspiciousActivityActivity sınıfının Activity özelliği seri durumdan çıkarılırken bir hata oluştu: 'ResourceIdentifier' öğesi Microsoft.Tri.Common.Data.EventActivities.NtlmEvent sınıfının hiçbir alanı veya özelliğiyle eşleşmiyor. ---> System.FormatException: 'ResourceIdentifier' öğesi Microsoft.Tri.Common.Data.EventActivities.NtlmEvent sınıfının hiçbir alanı veya özelliğiyle eşleşmiyor.

Bu sorunu çözmek için, yükseltilmiş bir komut isteminden şu konuma gidin: %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ve aşağıdaki komutları çalıştırın:

  1. Mongo.exe ATA (ATA büyük harfe yazılmalıdır)
  2. db.SuspiciousActivityActivity.update({ "Activity._t": "NtlmEvent" },{$unset: {"Activity.ResourceIdentifier": ""}}, {multi: true});

Küçük değişiklikler

  • ATA artık ATA Konsolu için IIS yerine OWIN kullanıyor.
  • ATA Center hizmeti çalışmıyorsa, ATA Konsolu'na erişemezsiniz.
  • ATA NNR'deki değişiklikler nedeniyle kısa süreli Kira alt ağları artık gerekli değildir.

Ayrıca bkz:

ATA forumunu inceleyin!

ATA'yi sürüm 1.7'ye güncelleştirme - geçiş kılavuzu