Descrição da atualização 1 do Microsoft Advanced ameaça v 1.7 Analytics

Este artigo descreve uma atualização para v 1.7 Analytics de ameaças avançadas (ATA) da Microsoft.

NÃO execute o comando neste artigo sobre as versões posteriores à v 1.7, pois isso danifique o sistema. Além disso, não tente alterar esse comando e executá-lo sem instruções diretas de serviços de suporte da Microsoft ou o grupo de produtos.

Problemas corrigidos nesta atualização

Problema 1

Migração do ATA v 1.6 (1.6.4103) ou ATA v 1.6 Update 1 (1.6.4317) para ATA v 1.7 (1.7.5402) falha com um código de erro 0x80070643 é exibida.

Problema 2

Depois de migrar para ou instalação ATA v 1.7 (1.7.5402), ATA ainda gera notificações (e-mail, syslog ou logs de eventos) para atividades suspeitas cujo status foi alterado para "demitidos."

Problema 3

ATA gera um grande número de "Reconhecimento usando a enumeração de serviços de diretório" ativa suspeitos após migrar para ou instalar v 1.7 ATA (1.7.5402).

Resolução

Para corrigir esses problemas, faça o download e executar a atualização que está descrita na seção "Como obter essa atualização". Os upgrades de atualização ATA ATA 1.7 build 1.7.5647.Problema 3: Depois que você instala essa atualização, você pode usar o procedimento a seguir para desabilitar a detecção de atividade suspeita "Reconhecimento usando a enumeração de serviços de diretório" e remover as atividades suspeitas antigas após a atualização para compilação de v 1.7 ATA 1.7.5647. para fazer isso, execute as seguintes etapas:

Em um prompt de comando elevado, navegue até o seguinte local:

C:\Program Files\Microsoft avançada ameaçaAnalytics\Center\MongoDB\bin
Tipo – Mongo.exe ATA. (Nota "ATA" deve ser maiuscula).
Cole os seguintes comandos no prompt de comando mongo.
1. Para descartar as atividades suspeitas existentes:
  
  banco de dados. SuspiciousActivity.update ({ t: "SamrReconnaissanceSuspiciousActivity"}, {$set: {Status: "Descartado"}}, {multi: true})
2. Para desativar a atividade suspeita "Reconhecimento usando a enumeração de serviços de diretório":
  
  db.SystemProfile.update({_t:"CenterSystemProfile"},{$set:{"Configuration.SamrReconnaissanceDetectorConfiguration.IsEnabled":false}})

Como obter essa atualização

Método 1: Microsoft Update

Essa atualização está disponível no Microsoft Update. Para obter mais informações sobre como usar o Microsoft Update, consulte como obter uma atualização no Windows Update.

Método 2: Centro de Download da Microsoft

O seguinte arquivo está disponível para download no Centro de Download da Microsoft:Baixe agora o pacote de v 1.7 Update 1 ATA.Para obter mais informações sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

119591 como obter arquivos de suporte da Microsoft a partir de serviços onlineA Microsoft examinou esse arquivo em busca de vírus. A Microsoft usou o software de detecção de vírus mais recente que estava disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores com segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Informações detalhadas da atualização

Pré-requisitos:

Para instalar essa atualização, você deve primeiro instalar v 1.6 ATA com Update 1 (1.6.4317) ou ATA v 1.7 (1.7.5402). Se você tiver ATA v 1.6 (1.6.4103), atualize primeiro para ATA v 1.6 Update 1 da Descrição da atualização 1 para v 1.6 análise de ameaças avançadas da Microsoft.

Informações do registro:

Para aplicar essa atualização, você não precisa fazer alterações no registro.

Requisitos de reinicialização:

Você terá que reiniciar o computador após aplicar essa atualização.

Informações de substituição da atualização

Esta atualização não substitui outra atualização lançada previamente.

Mais informações

Certificado não é compatível com ATA 1.7 migração

Introdução

Na v 1.7 ATA, centro de ATA requer um certificado para o serviço da Central de ATA e o Console do ATA. Quando você atualiza do v 1.6 ATA para v 1.7, o processo de atualização leva o certificado sendo usado pelo IIS para o Console de ATA como o certificado para v 1.7 ATA. Este certificado será usado, o serviço da Central de ATA e o web console. Se o certificado está sendo usado atualmente pelo IIS é um certificado KSP, a atualização falha com a seguinte mensagem:

ATA versão 1.7 não suporta o certificado configurado no momento do Console ATA; Siga as instruções em KB3191777 para conseguir completar o processo de atualização do Centro de ATA.

Resolução

Para alternar o certificado que está sendo usado pelo Console do ATA, siga estas etapas:

Instale o novo certificado (não KSP) no servidor central do ATA. Você pode usar o mesmo nome de assunto que o certificado já existente a fim de evitar problemas quando os usuários navegarem para o Console do ATA.
Abra o Gerenciador do IIS.
Expanda o nome do servidor e, em seguida, expanda Sites.
Selecione o site Microsoft ATA Console e, em seguida, no painel de ações, clique em ligações.
Selecione HTTPSe, em seguida, clique em Editar.
Em certificado SSL, selecione o novo certificado.
Aguarde até que todos os gateways ATA sincronizar com o centro.
Execute novamente a atualização 1.7 ATA.Observação que se você tiver que instalar um novo gateway ATA antes de executar novamente a atualização, você deve baixar o pacote atualizado do Gateway ATA do centro da ATA antes de executar a instalação do Gateway de ATA.

Observação: Para verificar se o certificado foi emitido usando um modelo KSP, siga estas etapas:

Abra um prompt de comando elevado e digite o seguinte:

certutil-armazenar meus < CertName >
Se a saída é "Provider = provedor de armazenamento de chave de Software da Microsoft," é um certificado KSP.