In dit artikel wordt een update voor Microsoft Advanced Threat Analytics (ATA) v1.7 beschreven.
Voer de opdracht in dit artikel niet uit op de versies die hoger dan v1.7, zijn zoals dit het systeem beschadigen. Ook niet proberen te wijzigen van deze opdracht uitvoeren zonder directe instructie van Microsoft Productondersteuning of de productgroep.
Problemen die in deze update worden opgelost
Probleem 1
Met een foutcode 0x80070643 mislukt de migratie van ATA v1.6 (1.6.4103) of ATA v1.6 Update 1 (1.6.4317) naar v1.7 ATA (1.7.5402).
Probleem 2
Nadat u deze gemigreerd naar of installeren ATA v1.7 (1.7.5402), nog steeds ATA meldingen (e-mail, syslog of gebeurtenislogboeken) genereert voor verdachte activiteiten waarvan de status is gewijzigd in 'Ontslagen'.
Probleem 3
ATA genereert een groot aantal "Reconnaissance met directory services inventarisatie" verdachte wordt pas geactiveerd als u naar migreert of installeren van ATA v1.7 (1.7.5402).
Oplossing
U kunt deze problemen oplossen door te downloaden en uitvoeren van de update die wordt beschreven in de sectie 'How to get deze update'. De update upgrades ATA tot 1,7 ATA bouwen 1.7.5647.
Voor probleem 3: Nadat u deze update hebt geïnstalleerd, kunt u de volgende procedure 'Directory services opsomming Reconnaissance gebruiken' verdachte activiteiten detectie uitschakelen en verwijderen de oude verdachte activiteiten na de upgrade naar ATA v1.7 build 1.7.5647. hiertoe als volgt te werk:
-
Vanaf een opdrachtprompt, Ga naar de volgende locatie:
C:\Program Files\Microsoft geavanceerde bedreigingAnalytics\Center\MongoDB\bin
-
Type: Mongo.exe ATA. (Opmerking "ATA" moet een hoofdletter zijn.)
-
Plak de volgende opdrachten in het opdrachtpromptvenster mongo.
-
Om aan te sluiten op de bestaande verdachte activiteiten:
DB. SuspiciousActivity.update ({_Nauw: "SamrReconnaissanceSuspiciousActivity"}, {$set: {Status: 'Ontslagen'}}, {multi: true})
-
De verdachte activiteiten 'Reconnaissance met inventarisatie-directory services' uitschakelen:
db.SystemProfile.update({_t:"CenterSystemProfile"},{$set:
{"Configuration.SamrReconnaissanceDetectorConfiguration.IsEnabled":false}})
-
Hoe krijg ik deze update
Methode 1: Microsoft Update
Deze update is beschikbaar op Microsoft Update. Zie voor meer informatie over het gebruik van Microsoft Update een update via Windows Update te verkrijgen.
Methode 2: Microsoft Download Center
Het volgende bestand kan worden gedownload vanaf het Microsoft Download Center:
Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
Hoe 119591 Microsoft-ondersteuningsbestanden via online services downloadenMicrosoft heeft dit bestand op virussen gecontroleerd. Microsoft gebruikt de meest actuele software voor virusdetectie die beschikbaar was op de datum waarop het bestand werd gepost. Het bestand is opgeslagen op beveiligde servers die onbevoegde wijzigingen aan het bestand verhinderen.
Gedetailleerde informatie over deze update
Vereisten
Als u deze update installeert, moet u eerst v1.6 ATA met Update 1 (1.6.4317) of ATA v1.7 (1.7.5402) te installeren. Als er ATA v1.6 (1.6.4103), u moet eerst een upgrade naar ATA v1.6 Update 1 van de Beschrijving van Update 1 voor Microsoft Advanced Threat Analytics v1.6.
Informatie over het register
Als u deze update hebt toegepast, hoeft u geen wijzigingen aan te brengen in het register.
Opnieuw opstarten
U moet de computer opnieuw opstarten nadat u deze update hebt toegepast.
Informatie over het vervangen van updates
Deze update vervangt geen eerder uitgebrachte update.
Meer informatie
Certificaat is niet compatibel met ATA-1,7-migratie
Inleiding
In v1.7 ATA, de ATA nodig is voordat een certificaat voor de service Center ATA en de ATA-Console. Bij het upgraden van ATA v1.6 naar v1.7 wordt tijdens de upgrade het certificaat dat momenteel wordt gebruikt door IIS voor de ATA-Console als het certificaat voor ATA v1.7. Dit certificaat wordt gebruikt door zowel de ATA Center-service en de web console. Als het certificaat dat wordt gebruikt door IIS een certificaat KSP is, mislukt de upgrade het volgende bericht weergegeven:
ATA versie 1.7 ondersteunt niet de momenteel geconfigureerde Console ATA certificaat; Volg de instructies in de KB3191777 te voltooien tijdens het bijwerken van de ATA-Center.
Oplossing
Als u het certificaat dat wordt gebruikt door de Console ATA, volg deze stappen:
-
Het nieuwe certificaat (niet KSP) op de ATA Center server installeren. Om te voorkomen dat problemen veroorzaakt wanneer gebruikers naar de ATA-Console bladeren kunt u de naam hetzelfde als in het bestaande certificaat.
-
Open IIS-beheer.
-
Vouw de naam van de server en vouw Sites.
-
Selecteer de site Microsoft ATA-Console en klik vervolgens in het deelvenster Acties op Bindingen.
-
Selecteer HTTPSen klik vervolgens op bewerken.
-
Selecteer onder SSL-certificaat, het nieuwe certificaat.
-
Wacht tot alle ATA-gateways worden gesynchroniseerd met het midden.
-
De ATA-1,7-upgrade opnieuw uit te voeren.
Opmerking dat als er een nieuwe ATA-gateway installeren voordat u de upgrade, moet u het bijgewerkte pakket met ATA-Gateway van de ATA-Center downloaden voordat u de installatie van Gateway ATA.
Opmerking Ga als volgt te werk om te controleren of het certificaat is uitgegeven met behulp van een sjabloon KSP:
-
Open een opdrachtprompt en typ het volgende:
certutil-slaan Mijn < CertName >
-
Als de uitvoer "Provider = Microsoft Software sleutel Storage Provider ' is een KSP-certificaat.
Referenties
Meer informatie over de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.
