Beschreibung von Update 1 für Microsoft Advanced Threat Analytics v1.7
Dieser Artikel beschreibt ein Update für Microsoft Advanced Threat Analytics (ATA) v1.7.
Führen Sie den Befehl in diesem Artikel NICHT für Versionen aus, die neuer als v1.7 sind, da dies das System beschädigt. Versuchen Sie außerdem nicht, diesen Befehl zu ändern und ohne direkte Anweisung von Microsoft Support Services oder der Produktgruppe auszuführen.
Probleme, die in diesem Update behoben werden
Problem 1
Die Migration von ATA v1.6 (1.6.4103) oder ATA v1.6 Update 1 (1.6.4317) auf ATA v1.7 (1.7.5402) schlägt mit dem Fehlercode 0x80070643 fehl.
Ausgabe 2
Nach der Migration oder Installation von ATA v1.7 (1.7.5402) generiert ATA weiterhin Benachrichtigungen (E-Mail, Syslog oder Ereignisprotokolle) für verdächtige Aktivitäten, deren Status in „abgelehnt" geändert wurde.
Ausgabe 3
ATA generiert eine große Anzahl verdächtiger „Aufklärung mithilfe der Verzeichnisdienstaufzählung"-Aktivierungen, nachdem Sie auf ATA v1.7 (1.7.5402) migriert oder diese installiert haben.
Auflösung
Um diese Probleme zu beheben, laden Sie das im Abschnitt „So erhalten Sie dieses Update" beschriebene Update herunter und führen es aus. Das Update aktualisiert ATA auf ATA 1.7 Build 1.7.5647. Für Problem 3: Nachdem Sie dieses Update installiert haben, können Sie das folgende Verfahren verwenden, um die Erkennung verdächtiger Aktivitäten durch „Aufklärung mithilfe der Verzeichnisdienstaufzählung" zu deaktivieren und die alten verdächtigen Aktivitäten nach dem Upgrade auf ATA v1.7 Build 1.7.5647 zu entfernen. Gehen Sie dazu folgendermaßen vor:
Navigieren Sie von einer Eingabeaufforderung mit erhöhten Rechten zum folgenden Speicherort:
C:\Programme\Microsoft Advanced ThreatAnalytics\Center\MongoDB\bin
Typ – Mongo.exe ATA. (Beachten Sie, dass „ATA" in Großbuchstaben geschrieben werden muss.)
Fügen Sie die folgenden Befehle in die Mongo-Eingabeaufforderung ein.
So schließen Sie die bestehenden verdächtigen Aktivitäten aus:
db.SuspiciousActivity.update({_t: "SamrReconnaissanceSuspiciousActivity"}, {$set: {Status: "Dismissed"}}, {multi: true})
So deaktivieren Sie die verdächtige Aktivität „Aufklärung mithilfe der Verzeichnisdienstaufzählung":
db.SystemProfile.update({_t:"CenterSystemProfile"},{$set: {"Configuration.SamrReconnaissanceDetectorConfiguration.IsEnabled":false}})
So erhalten Sie dieses Update
Methode 1: Microsoft Update
Dieses Update ist über Microsoft Update verfügbar. Weitere Informationen zur Verwendung von Microsoft Update finden Sie unter So erhalten Sie ein Update über Windows Update .
Methode 2: Microsoft Download Center
Die folgende Datei steht im Microsoft Download Center zum Download bereit: 
119591 So erhalten Sie Microsoft-Supportdateien von Onlinediensten. Microsoft hat diese Datei auf Viren überprüft. Microsoft verwendete die aktuellste Virenerkennungssoftware, die zum Zeitpunkt der Veröffentlichung der Datei verfügbar war. Die Datei wird auf Servern mit erhöhter Sicherheit gespeichert, die dazu beitragen, unbefugte Änderungen an der Datei zu verhindern.
Detailinformationen aktualisieren
Voraussetzungen
Um dieses Update zu installieren, sollten Sie zuerst ATA v1.6 mit Update 1 (1.6.4317) oder ATA v1.7 (1.7.5402) installieren. Wenn Sie über ATA v1.6 (1.6.4103) verfügen, müssen Sie zunächst ein Upgrade auf ATA v1.6 Update 1 aus der Beschreibung von Update 1 für Microsoft Advanced Threat Analytics v1.6 durchführen.
Registrierungsinformationen
Um dieses Update anzuwenden, müssen Sie keine Änderungen an der Registrierung vornehmen.
Neustartanforderung
Möglicherweise müssen Sie den Computer neu starten, nachdem Sie dieses Update installiert haben.
Aktualisieren Sie die Ersatzinformationen
Dieses Update ersetzt kein zuvor veröffentlichtes Update.
Weitere Informationen
Das Zertifikat ist mit der ATA 1.7-Migration nicht kompatibel
Einführung
In ATA v1.7 benötigt das ATA Center ein Zertifikat sowohl für den ATA Center-Dienst als auch für die ATA-Konsole. Wenn Sie ein Upgrade von ATA v1.6 auf v1.7 durchführen, verwendet der Upgrade-Prozess das Zertifikat, das derzeit von IIS für die ATA-Konsole verwendet wird, als Zertifikat für ATA v1.7. Dieses Zertifikat wird sowohl vom ATA Center-Dienst als auch von der Webkonsole verwendet. Wenn es sich bei dem derzeit von IIS verwendeten Zertifikat um ein KSP-Zertifikat handelt, schlägt das Upgrade mit der folgenden Meldung fehl:
ATA-Version 1.7 unterstützt das aktuell konfigurierte ATA-Konsolenzertifikat nicht; Bitte befolgen Sie die Anweisungen in KB3191777, um den ATA Center-Aktualisierungsprozess abschließen zu können.
Auflösung
Führen Sie die folgenden Schritte aus, um das von der ATA-Konsole verwendete Zertifikat zu ändern:
Installieren Sie das neue Zertifikat (nicht KSP) auf dem ATA Center-Server. Sie können denselben Betreffnamen wie im vorhandenen Zertifikat verwenden, um Probleme zu vermeiden, wenn Benutzer zur ATA-Konsole navigieren.
Öffnen Sie den IIS-Manager.
Erweitern Sie den Namen des Servers und dann Sites .
Wählen Sie die Microsoft ATA Console-Site aus und klicken Sie dann im Bereich „Aktionen" auf Bindungen .
Wählen Sie HTTPS aus und klicken Sie dann auf Bearbeiten .
Wählen Sie unter SSL-Zertifikat das neue Zertifikat aus.
Warten Sie, bis alle ATA-Gateways mit dem Center synchronisiert sind.
Führen Sie das ATA 1.7-Upgrade erneut aus. Beachten Sie, dass Sie, wenn Sie vor der erneuten Ausführung des Upgrades ein neues ATA-Gateway installieren müssen, das aktualisierte ATA-Gateway-Paket vom ATA Center herunterladen müssen, bevor Sie die ATA-Gateway-Installation ausführen.
Hinweis Um zu überprüfen, ob das Zertifikat mithilfe einer KSP-Vorlage ausgestellt wurde, führen Sie die folgenden Schritte aus:
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und geben Sie Folgendes ein:
certutil -store my < CertName >
Wenn die Ausgabe „Provider = Microsoft Software Key Storage Provider" lautet, handelt es sich um ein KSP-Zertifikat.
Referenzen
Erfahren Sie mehr über die Terminologie , die Microsoft zur Beschreibung von Softwareupdates verwendet.
No comments:
Post a Comment