MICROSOFT ATA DOCUMENT, Exercises of Microsoft Access Skills

MICROSOFT ATA DOCUMENT FOR YOU

Typology: Exercises

2016/2017

Uploaded on 10/11/2017

baris-gueney-yilmaz
baris-gueney-yilmaz 🇹🇷

1 document

1 / 36

Toggle sidebar

This page cannot be seen from the preview

Don't miss anything!

bg1
Table of ContentsTable of Contents
Anlama ve Keşfetme
Microsoft Advanced Threat Analytics nedir?
ATA hangi tehditleri algılar?
ATA Sürüm notları
ATA sürüm 1.7’deki yenilikler
ATA sürüm 1.6’daki yenilikler
ATA sürüm 1.5’teki yenilikler
ATA sürüm 1.4’teki yenilikler
Sık sorulan sorular
Planlama ve Tasarlama
ATA Mimarisi
ATA kapasitenizi planlama
ATA Önkoşulla
Dağıtma
Yükleme öncesi adımlar
1. Bağlantı noktası yansıtmayı yapılandırma
2. Bağlantı noktası yansıtmayı doğrulama
3. Olay koleksiyonunu yapılandırma
ATA’yı yükleme
1. Adım Merkezi indirip yükleme
2. Adım AD’ye bağlanma
3. Adım GW paketini indirme
4. Adım GW’yi yükleme
5. Adım GW’yi yapılandırma
6. Adım Dışlamalar ve Honeytoken
Sessiz yükleme
Kullan
ATA Center IP adresini değiştirme
ATA Center sertifikasını değiştirme
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24

Partial preview of the text

Download MICROSOFT ATA DOCUMENT and more Exercises Microsoft Access Skills in PDF only on Docsity!

Table of ContentsTable of Contents

Anlama ve Keşfetme

Microsoft Advanced Threat Analytics nedir?

ATA hangi tehditleri algılar?

ATA Sürüm notları

ATA sürüm 1.7’deki yenilikler

ATA sürüm 1.6’daki yenilikler

ATA sürüm 1.5’teki yenilikler

ATA sürüm 1.4’teki yenilikler

Sık sorulan sorular

Planlama ve Tasarlama

ATA Mimarisi

ATA kapasitenizi planlama

ATA Önkoşulları

Dağıtma

Yükleme öncesi adımlar

1. Bağlantı noktası yansıtmayı yapılandırma

2. Bağlantı noktası yansıtmayı doğrulama

3. Olay koleksiyonunu yapılandırma

ATA’yı yükleme

1. Adım Merkezi indirip yükleme

2. Adım AD’ye bağlanma

3. Adım GW paketini indirme

4. Adım GW’yi yükleme

5. Adım GW’yi yapılandırma

6. Adım Dışlamalar ve Honeytoken

Sessiz yükleme

Kullan

ATA Center IP adresini değiştirme

ATA Center sertifikasını değiştirme

ATA Konsolu URL’sini değiştirme

Etki alanı bağlantı parolasını değiştirme

ATA Konsolu ile çalışma

ATA rol grupları

Syslog ve E-posta sunucusu ayarlarını belirleme

ATA bildirimlerini ayarlama

Algılama ayarlarıyla çalışma

ATA Sistem Durumu Merkezi

Şüpheli etkinliklerle çalışma

ATA veritabanı yönetimi

ATA yapılandırmasını Dışarı/İçeri aktarma

ATA telemetrisini yönetme

Sorunları Gider

Bilinen hataları kullanarak sorun giderme

Günlükleri kullanarak sorun giderme

Performans sayaçlarını kullanarak sorun giderme

Veritabanını kullanarak sorun giderme

Olağanüstü durum kurtarma

Sırada ne var? Ayrıca bkz. Keşif Deneme Yanılma Uzaktan yürütme Algılamaların ve açıklamalarının tam listesi için lütfen bkz. ATA Hangi Şüpheli Etkinlikleri Algılayabilir? ATA bu şüpheli etkinlikleri algılar ve Kim, Ne, Ne Zaman ve Nasıl sorularına yönelik net bir bakış sağlayarak bilgileri ATA konsolunda sunar. Burada, basit, kullanıcı dostu bir panoda, ATA’nın ağınızdaki İstemci 1 ve İstemci 2 bilgisayarları üzerinde Karma Geçişi saldırısı denendiğinden şüphelendiği konusundaki uyarısı görülüyor. ATA, aşağıda örnekleri verilen ve ağınızdaki kullanıcılarla cihazlarda görülen şüpheli etkinliklerle anormal davranışları ortaya çıkarmak için davranışsal analiz kullanarak ve Makine Öğrenimi özelliğinden faydalanarak Anormal davranışları algılar: Anormal oturum açma işlemleri Bilinmeyen tehditler Parola paylaşımı Yanal hareket Bu tür şüpheli etkinlikleri ATA Panosunda görüntüleyebilirsiniz. Aşağıdaki örnekte, bir kullanıcı her zaman erişmediği 4 bilgisayara erişir ve bu bir uyarı nedeni olabileceğinden, ATA sizi uyarır. ATA ayrıca, aşağıdakiler gibi güvenlik sorunlarını ve risklerini de algılar: Bozulmuş güven Zayıf protokoller Bilinen protokol güvenlik açıkları Bu tür şüpheli etkinlikleri ATA Panosunda görüntüleyebilirsiniz. Aşağıdaki örnekte, ATA, ağınızdaki bir bilgisayar ve etki alanı arasında bir bozulmuş güven ilişkisi olduğunu size bildirir. ATA’nın ağınıza nasıl uyum sağladığı hakkında daha fazla bilgi için: ATA mimarisi ATA’nın dağıtımına başlamak için: ATA’yı yükleme ATA forumuna bakın!

24.3.2017 • 6 min to read • Edit Online

ATA hangi tehditleri arar?

Keşif Keşif Güvenliği tehlikede olan kimlik bilgileri Güvenliği tehlikede olan kimlik bilgileri Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1. ATA gelişmiş bir tehdidin çeşitli aşamaları için algılama sağlar: keşif, kimlik bilgilerinin tehlikeye atılması, yanal hareket, ayrıcalık yükseltme, etki alanı hakimiyeti ve daha fazlası. Bu algılamaların amacı, gelişmiş saldırıları ve içeriden gelen tehditleri kuruluşunuza zarar vermeden önce algılamaktır. Her aşamadaki algılama, söz konusu aşamayla ilgili birkaç şüpheli etkinlikle sonuçlanır ve burada her şüpheli etkinlik farklı türde olası saldırılarla ilişkilidir. ATA’nın, ölüm zincirinde şu anda algılayabildiği bu aşamalar aşağıdaki resimde vurgulanmıştır. ATA birçok keşif algılaması sağlar. Bu algılamalar şunları içerir: Hesap listeleme kullanarak keşif Saldırganların bir kullanıcının mevcut olup olmadığını keşfetmek için Kerberos protokolünü kullanarak yaptığı girişimleri algılar. Üstelik, bu etkinlik etki alanı denetleyicisinde bir olay olarak günlüğe kaydedilmemiş olsa bile algılanır. Ağ Oturumu Listeleme Saldırganlar, keşif aşamasının bir parçası olarak etki alanı denetleyicisini sorgulama yoluyla sunucudaki tüm etkin SMB oturumlarını bulabilir ve bu SMB oturumlarıyla ilişkili tüm kullanıcılara ve IP adreslerine erişme olanağı elde edebilir. SMB oturumu numaralandırması saldırganlar tarafından hassas hesapları hedeflemek için kullanılabilir ve bu da saldırganların ağda yanal olarak hareket etmelerine yardımcı olur. DNS kullanarak keşif Hedef ağdaki DNS bilgileri genellikle çok yararlı keşif bilgileridir. DNS bilgileri tüm sunucuların ve genellikle tüm istemcilerin listesini ve IP adreslerinin eşlemesini içerir. DNS bilgilerini görüntülemek, saldırganlara ortamınızdaki bu varlıkların ayrıntılı görünümünü sağlayabilir ve bu kişilerin saldırıları kampanyayla ilgili varlıklara odaklamasına olanak tanır. Dizin hizmetleri listelemesi kullanarak keşif Etki alanı denetleyicilerinde sorgu çalıştırmak için SAM uzak protokolü kullanılarak gerçekleştirilen varlık (kullanıcılar, gruplar vb.) keşfi işlemlerini algılama. Bu keşif yöntemi gerçek dünyadaki saldırı senaryolarında görülen birçok kötü amaçlı yazılım türünde yaygındır. ATA, güvenliği tehlikede olan kimlik bilgilerinin algılanması için hem makine öğrenimi tabanlı davranış

Ayrıcalık yükseltmeAyrıcalık yükseltme Etki alanı hakimiyeti Etki alanı hakimiyeti Sırada ne var? Ayrıca bkz. yanal hareketi algılayabilir ve bir saldırgan tarafından sergilenen bir yanal harekete işaret edebilen olağan dışı erişim kalıplarını algılayabilir. ATA başarıyla gerçekleştirilen veya girişimde bulunulan ayrıcalık yükseltme saldırılarını algılar; burada saldırganlar var olan ayrıcalıkları artırmaya ve bunları birkaç kez kullanıp sonunda kurbanın ortamı üzerinde tam denetim kazanmaya çalışır. ATA bilinen ve kötü amaçlı saldırıları ve aşağıdaki gibi, ayrıcalıkları yükseltmek için sık kullanılan teknikleri algılamanın yanı sıra, ayrıcalıklı hesapların olağan dışı davranışlarını algılamak üzere davranış analizini birleştirerek ayrıcalık yükseltme algılamasına olanak sağlar: MS14-068 açığından yararlanma (Forged PAC) Sahte PAC, saldırganın geçerli TGT anahtarlarına sahte yetkilendirme üst bilgisi biçiminde yetkilendirme verileri yerleştirdiği saldırılardır ve kuruluşun kendilerine vermediği ek izinler verir. Bu senaryoda saldırgan, daha önce güvenliği aşılmış kimlik bilgileri veya yanal hareket işlemleri sırasında toplanan kimlik bilgilerini kullanır. MS11-013 açığından yararlanma (Gümüş PAC) MS11-013 açığından yararlanma saldırıları, bir Kerberos hizmet biletinin belirli yönlerden sahtesini üretmeye olanak sağlayan Kerberos’taki ayrıcalık güvenlik açığından yararlanılarak gerçekleştirilir. Bu güvenlik açığından yararlanmayı başaran kötü amaçlı bir kullanıcı veya saldırgan Etki Alanı Denetleyicisinde yükseltilmiş ayrıcalıklarla bir belirteç elde edebilir. Bu senaryoda saldırgan, daha önce güvenliği aşılmış kimlik bilgileri veya yanal hareket işlemleri sırasında toplanan kimlik bilgilerini kullanır. ATA aşağıdakiler gibi, saldırganlar tarafından bilinen teknikler sayesinde algılama gerçekleştirerek kurbanın ortamı üzerinde tam denetim veya egemenlik elde etmeye çalışan veya bunu başaran saldırganları algılar: Maymuncuk kötü amaçlı yazılımı Maymuncuk saldırılarında, etki alanı denetleyicinize bir yandan saldırganların herhangi bir kullanıcı olarak kimlik doğrulaması yapmalarına izin veren ve diğer yandan da normal kullanıcıların oturum açmasına olanak tanıyan kötü amaçlı bir yazılım yüklenir. Altın bilet Altın bilet saldırılarında, saldırgan KBTGT’nin kimlik bilgilerini (Kerberos Altın Bileti) çalar. Bu anahtar, saldırganın ağdaki kaynakları erişim kazanmak amacıyla kullanılacak çevrimdışı bir TGT anahtarı oluşturmasına olanak tanır. Uzaktan yürütme Saldırganlar etki alanı denetleyicinizde uzaktan kod çalıştırarak ağınızı denetleme girişiminde bulunabilir. Kötü amaçlı çoğaltma istekleri Active Directory (AD) ortamlarında, Etki Alanı Denetleyicileri arasında düzenli olarak çoğaltma yapılır. Bir saldırgan (bazen bir Etki Alanı Denetleyicisinin kimliğe bürünerek), AD çoğaltma isteğini taklit edebilir ve bu da saldırganın Birim Gölge Kopyası gibi daha kullanışsız tekniklerden yararlanmadan, parola karmaları dahil olmak üzere AD’de depolanan verileri almasına izin verir. ATA’nın ağınıza nasıl uyum sağladığı hakkında daha fazla bilgi için: ATA mimarisi ATA’nın dağıtımına başlamak için: ATA’yı yükleme ATA forumuna bakın!

ATA sürüm 1.7’deki yenilikler

24.3.2017 • 4 min to read • Edit Online

ATA 1.7 güncelleştirmesindeki yenilikler

Yeni ve güncelleştirilmiş algılamalarYeni ve güncelleştirilmiş algılamalar AltyapıAltyapı Bu sürüm notları, Advanced Threat Analytics’in bu sürümündeki bilinen sorunlar hakkında bilgi sağlar. ATA 1.7 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni ve güncelleştirilmiş algılamalar Rol tabanlı erişim denetimi Windows Server 2016 ve Windows Server 2016 Core desteği Kullanıcı deneyimi iyileştirmeleri Küçük değişiklikler Dizin Hizmetleri Numaralandırması kullanarak keşif Keşif aşamasının bir parçası olarak, saldırganlar farklı yöntemler kullanarak ağdaki varlıklar hakkında bilgi toplar. SAM-R protokolünü kullanan Dizin hizmetleri numaralandırması saldırganların bir etki alanındaki kullanıcıların ve grupların listesini ele geçirmesini ve farklı varlıklar arasındaki etkileşimi anlamasını sağlar. Karma Değer Geçişi Geliştirmeleri Karma Değer Geçişi algılamayı geliştirmek için varlıkların kimlik doğrulama modellerine yönelik ek davranışsal modeller ekledik. Bu modeller ATA’nın varlık davranışını şüpheli NTLM kimlik doğrulamalarıyla ilişkilendirmesini ve gerçek zamanlı Karma Değer Geçişi saldırılarını yanlış pozitif senaryoların davranışından ayırt etmesini sağlar. Anahtar Geçişi Geliştirmeleri Gelişmiş saldırıları genel olarak ve özellikle Anahtar Geçişi için başarılı bir şekilde algılamak amacıyla bir IP adresi ve bilgisayar hesabı arasındaki bağıntının doğru olması gerekir. Bu, IP adreslerinin tasarımsal olarak hızla değiştiği ortamlarda (örneğin, Wi-Fi ağları ve aynı ana bilgisayarı paylaşan birden çok sanal makine) zordur. Bu zorluğun üstesinden gelmek ve Anahtar Geçişi algılamasının doğruluğunu artırmak için ATA’nın Ağ Adı Çözümleme (NNR) mekanizması yanlış pozitifleri azaltmak için önemli ölçüde iyileştirilmiştir. Anormal Davranış Geliştirmeleri ATA 1.7’de, NTLM kimlik doğrulama verileri anormal davranış algılamaları için bir veri kaynağı olarak eklenmiş ve böylece algoritmaların ağdaki varlık davranışını daha geniş bir şekilde kapsaması sağlanmıştır. Olağan Dışı Protokol Uygulaması Geliştirmeleri ATA artık Kerberos protokolünde olağan dışı protokol uygulamalarını ve NTLM protokolündeki ek anormallikleri algılamaktadır. Özellikle, Kerberos’taki bu yeni anormallikler Karma Değeri Atlayarak Geçiş saldırılarında yaygın olarak kullanılır. Rol tabanlı erişim denetimi Rol Tabanlı Erişim Denetimi (RBAC) kapasitesi. ATA 1.7 üç rol içerir: ATA Yöneticisi, ATA Analisti ve ATA İdarecisi. Windows Server 2016 ve Windows Server Core Desteği ATA 1.7; Windows Server 2008 R2 SP1 (Server Core içermeyen), Windows Server 2012, Windows Server 2012 R2 ve Windows Server 2016 (Core içerip Nano içermeyen) çalıştıran etki alanı denetleyicilerinde Lightweight Gateway’lerinin dağıtımını destekler. Ayrıca, bu sürüm Windows Server 2016’yı hem ATA Center hem de ATA Gateway bileşenleri için destekler.

Şüpheli etkinlik ayrıntılarını Excel'e dışarı aktarma başarısız olabilirŞüpheli etkinlik ayrıntılarını Excel'e dışarı aktarma başarısız olabilir Küçük değişiklikler Ayrıca bkz. Bu sorunu çözmek için, sertifikayı değiştirdikten sonra yükseltilmiş komut isteminden %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin konumuna gidin ve şu komutu çalıştırın:

  1. Mongo.exe ATA (ATA büyük harfle yazılmalıdır)
  2. CenterThumbprint=db.SystemProfile.find({_t:"CenterSystemProfile"}).toArray() [0].Configuration.SecretManagerConfiguration.CertificateThumbprint;
  3. db.SystemProfile.update({_t:"ServiceSystemProfile"},{$set: {"Configuration.ManagementClientConfiguration.ServerCertificateThumbprint":CenterThumbprint}}, {multi: true}) Şüpheli etkinlik ayrıntılarını bir Excel dosyasına dışarı aktarmaya çalıştığınızda, işlem şu hatayı vererek başarısız olabilir: Error [BsonClassMapSerializer`1] System.FormatException: An error occurred while deserializing the Activity property of class Microsoft.Tri.Common.Data.NetworkActivities.SuspiciousActivityActivity: Element 'ResourceIdentifier' does not match any field or property of class Microsoft.Tri.Common.Data.EventActivities.NtlmEvent. ---> System.FormatException: Element 'ResourceIdentifier' does not match any field or property of class Microsoft.Tri.Common.Data.EventActivities.NtlmEvent. Bu sorunu çözmek için yükseltilmiş komut isteminden %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin konumuna gidin ve şu komutu çalıştırın:
  4. Mongo.exe ATA (ATA büyük harfle yazılmalıdır)
  5. db.SuspiciousActivityActivity.update({ "Activity._t": "NtlmEvent" },{$unset: {"Activity.ResourceIdentifier": ""}}, {multi: true}); ATA, ATA Konsolu için artık IIS yerine OWIN kullanıyor. ATA Center hizmeti kapalıysa ATA Konsolu’na erişemezsiniz. ATA NNR’deki değişikliklerden dolayı artık kısa vadeli Kiralama alt ağları gerekmiyor. ATA forumuna bakın! ATA 1.7’ye güncelleştirme - geçiş rehberi

ATA’yı 1.7 sürümüne güncelleştirme geçiş kılavuzu

24.3.2017 • 2 min to read • Edit Online

ATA’yı 1.7 sürümüne güncelleştirme

NOTNOT NOTNOT

1. Adım: ATA Center’ı güncelleştirme 1. Adım: ATA Center’ı güncelleştirme ATA 1.7 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni algılamalar Var olan algılamalarda geliştirmeler ATA ortamınızda yüklü değilse, ATA’nın sürüm 1.7’yi da içeren tam sürümünü indirin ve ATA’yı Yükleme başlığı altında açıklanan standart yükleme yordamını izleyin. ATA’nın 1.6 sürümünü önceden dağıttıysanız, bu yordam dağıtımınızı güncelleştirmek için gereken adımlarda size yol gösterir. ATA sürüm 1.7’yı doğrudan ATA sürüm 1.4 veya 1.5’in üzerine yükleyemezsiniz. Önce ATA sürüm 1.6’yı yüklemeniz gerekir. ATA’yı 1.7 sürümüne güncelleştirmek için bu adımları izleyin: ÖNEMLIÖNEMLI 1. Sürüm 1.7 güncelleştirmesini indirme Uygulamanın bu sürümünde, yeni bir ATA dağıtımı yüklemek ve var olan dağıtımları yükseltmek için aynı yükleme dosyası (Microsoft ATA Center Setup.exe) kullanılır. 2. ATA Center’ı güncelleştirme 3. ATA Gateway’leri güncelleştirme ATA’nın düzgün çalıştığından emin olmak için tüm ATA Gateway bileşenlerini güncelleştirin. 1. Veritabanınızı yedekleyin: (isteğe bağlı) ATA Center sanal makinede çalışıyorsa ve bir denetim noktası almak istiyorsanız, önce sanal makineyi kapatın. ATA Center fiziksel sunucuda çalışıyorsa, MongoDB’yi yapılandırmak için önerilen yordamı izleyin. 2. Microsoft ATA Center Setup.exe adlı yükleme dosyasını çalıştırın ve ekrandaki yönergeleri izleyerek güncelleştirmeyi yükleyin. Hoş Geldiniz sayfasında dilinizi seçin ve İleri ’ye tıklayın. Sürüm 1.6’da otomatik güncelleştirmeleri etkinleştirmediyseniz, ATA’nın güncel kalması için ATA’yı Microsoft Update kullanacak şekilde ayarlamanız istenir. Microsoft Update sayfasında,

ÖNEMLIÖNEMLI NOTNOT Ayrıca bkz. Gateway’leriniz bu noktada güncelleştirilir. Bu şekilde yapılandırmadıysanız her ATA Gateway’in yanındaki Güncelleştir ’e tıklayın. ATA’nın düzgün çalıştığından emin olmak için tüm ATA Gateway bileşenlerini güncelleştirin. Tüm Gateway’ler üzerinde yapılandırılan Syslog dinleyicisi bağlantı noktası 514 olarak değiştirilecektir. Yeni ATA Gateways yüklemek amacıyla ATA 1.7 yükleme paketini edinmek ve 4. Adımda açıklanan yeni Ağ Geçidi yükleme yönergelerini takip etmek için Ağ Geçitleri ekranına gidip Ağ Geçidi Kurulumunu İndir seçeneğine tıklayın. ATA Gateway’i yükleyin. ATA forumuna bakın!

ATA sürüm 1.6’daki yenilikler

24.3.2017 • 5 min to read • Edit Online

ATA 1.6 güncelleştirmesindeki yenilikler

Yeni algılamalarYeni algılamalar Bu sürüm notları, Advanced Threat Analytics’in bu sürümündeki bilinen sorunlar hakkında bilgi sağlar. ATA 1.6 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni algılamalar Var olan algılamalarda geliştirmeler ATA Lightweight Gateway Otomatik güncelleştirmeler Geliştirilmiş ATA Center performansı Daha az depolama alanı gereksinimleri IBM QRadar desteği Kötü Amaçlı Veri Koruma Özel Bilgi İsteği Veri Koruma API’si (DPAPI) parola tabanlı bir veri koruma hizmetidir. Bu koruma hizmeti web sitesi parolaları ve dosya paylaşımı kimlik bilgileri gibi kullanıcının gizli bilgilerini depolayan çeşitli uygulamalar tarafından kullanılır. Parolanın kaybolması senaryolarını desteklemek için, kullanıcılar parolalarını içermeyen bir kurtarma anahtarı kullanılarak korunan verilerin şifresini çözebilir. Bir etki alanı ortamında, saldırganlar uzaktan kurtarma anahtarını çalabilir ve tüm etki alanına katılmış bilgisayarlarda korunan verilerin şifresini çözmek için kullanabilirler. Ağ Oturumu Numaralandırma Keşif, gelişmiş saldırı sonlandırma zinciri içindeki önemli bir aşamadır. Etki Alanı Denetleyicileri (DC’ler) Server Message Block (SMB) protokolünü kullanarak Grup İlke Nesnesi dağıtımı amacıyla dosya sunucuları görevi görür. Saldırganlar keşif aşamasının bir parçası olarak, etki alanı denetleyicisinde sunucudaki tüm etkin SMB oturumlarını sorgulayabilir ve bu da onlara bu SMB oturumlarıyla ilişkili tüm kullanıcılara ve IP adreslerine erişme olanağı sağlar. SMB oturumu numaralandırması saldırganlar tarafından hassas hesapları hedeflemek için kullanılabilir ve bu da saldırganların ağda yanal olarak hareket etmelerine yardımcı olur. Kötü amaçlı çoğaltma istekleri Active Directory ortamlarında, Etki Alanı Denetleyicileri arasında düzenli olarak çoğaltma yapılır. Bir saldırgan (bazen bir Etki Alanı Denetleyicisinin kimliğe bürünerek), Active Directory çoğaltma isteğini taklit edebilir ve bu da saldırganın Birim Gölge Kopyası gibi daha kullanışsız tekniklerden yararlanmadan, parola karmaları dahil olmak üzere Active Directory’de depolanan verileri almasına izin verir. MS11-013 açığının algılanması Bir Kerberos hizmet biletinin belirli yönlerden sahtesini üretmeye olanak sağlayan Kerberos’taki ayrıcalık güvenlik açığından yararlanma söz konusudur. Bu güvenlik açığından yararlanmayı başaran kötü amaçlı bir kullanıcı veya saldırgan Etki Alanı Denetleyicisinde yükseltilmiş ayrıcalıklarla bir belirteç elde edebilir. Olağan dışı protokol uygulanması Kimlik doğrulama istekleri (Kerberos veya NTLM) genellikle standart bir dizi yöntem ve protokoller kullanılarak gerçekleştirilir. Ancak başarıyla kimlik doğrulamak için, isteğin yalnızca belirli gereksinimleri karşılaması gerekir. Saldırganlar bu protokolleri, ortamda standart uygulamadan küçük sapmalarla uygulayabilir. Bu sapmalar Karma Değer Geçişi, Deneme Yanılma vb.

ATA 1.5’ten güncelleştirirken geçiş hatasıATA 1.5’ten güncelleştirirken geçiş hatası System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$id dup key: { : "" } ---> MongoDB.Driver.MongoBulkWriteException`1: A bulk write operation resulted in one or more errors. E11000 duplicate key error index: ATA.UniqueEntityProfile.$id dup key: { : " " } ÖNEMLI ÖNEMLI ATA’yı 1.6 sürümüne güncelleştirmeden önce, aşağıdaki kayıt defteri anahtarını doğru veritabanı yoluyla güncelleştirin: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Advanced Threat Analytics\Center\DatabaseDataPath ATA 1.6’ya güncelleştirirken, güncelleştirme işlemi şu hata koduyla başarısız olabilir: Bu hatayı görürseniz, C:\Users\AppData\Local\Temp konumundaki dağıtım günlüğünü gözden geçirin ve aşağıdaki özel durumu arayın:

Şu hatayı da görebilirsiniz: System.ArgumentNullException: Değer null olamaz. Bu hatalardan herhangi biriyle karşılaşırsanız, aşağıdaki geçici çözümü çalıştırın. Geçici çözüm :

  1. "data_old" klasörünü, geçici bir klasöre (genellikle %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin konumunda bulunur) taşıyın.
  2. ATA Center v1.5’i kaldırın ve tüm veritabanı verilerini silin.
  3. ATA Center v1.5’i yeniden yükleyin. Önceki ATA 1.5 yüklemesiyle (Sertifikalar, IP adresleri, veritabanı yolu, vs.) aynı yapılandırmayı kullandığınızdan emin olun.
  4. Aşağıdaki sırayla şu işlemleri durdurun:
  5. MongoDB veritabanı dosyalarını “data_old” klasöründeki dosyalarla değiştirin.
  6. Aşağıdaki sırayla şu işlemleri başlatın:
  7. Ürün hatasız çalıştığını doğrulamak için günlükleri gözden geçirin.
  8. [İndir]"RemoveDuplicateProfiles.exe" aracını (http://aka.ms/ataremoveduplicateprofiles "indirin") ve ana yükleme yoluna (%ProgramFiles%\Microsoft Advanced Threat Analytics\Center) kopyalayın
  9. Yükseltilmiş bir komut isteminden "RemoveDuplicateProfiles.exe" aracını çalıştırın ve başarıyla tamamlanana dek bekleyin. a. Microsoft Advanced Threat Analytics Center b. MongoDB a. MongoDB b. Microsoft Advanced Threat Analytics Center
  10. Buradan: …\Microsoft Advanced Threat Analytics\Center\MongoDB\bin directory: Mongo ATA , aşağıdaki komutu yazın: db.SuspiciousActivities.remove({ "_t" : "RemoteExecutionSuspiciousActivity", "DetailsRecords" : { "$elemMatch" : { "ReturnCode" : null } } }, { "_id" : 1 });

ATA’yı 1.6’ya güncelleştirme geçiş kılavuzu

24.3.2017 • 3 min to read • Edit Online

ATA’yı sürüm 1.6’e güncelleştirme

NOTNOT NOTNOT ATA 1.6 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni algılamalar Var olan algılamalarda geliştirmeler ATA Lightweight Gateway Otomatik güncelleştirmeler Geliştirilmiş ATA Center performansı Daha az depolama alanı gereksinimleri IBM QRadar desteği ATA ortamınızda yüklü değilse, ATA’nın sürüm 1.6’yı da içeren tam sürümünü indirin ve ATA’yı Yükleme başlığı altında açıklanan standart yükleme yordamını izleyin. ATA sürüm 1.5’i önceden dağıttıysanız, bu yordam dağıtımınızı güncelleştirmek için gereken adımlarda size yol gösterir. ATA sürüm 1.6’yı doğrudan ATA sürüm 1.4’ün üzerine yükleyemezsiniz. Önce ATA sürüm 1.5’i yüklemeniz gerekir. Yanlışlıkla ATA 1.5 yüklemeden ATA 1.6 yüklemeye çalışırsanız, Makinenizde zaten daha yeni bir sürüm yüklü şeklinde bir hata iletisiyle karşılaşırsınız. ATA 1.5 sürümünü yüklemeden önce, yükleme başarısız olsa bile bilgisayarınızda kalacak olan ATA 1. sürümünden kalanları kaldırmanız gerekir. ATA sürüm 1.6’ya güncelleştirmek için bu adımları izleyin:

  1. Yükseltme sorunlarını önlemek için, ATA sürüm 1.6’daki yenilikler başlığı altında açıklanan ATA sürüm 1.6’ya güncelleştirirken geçiş hatası bölümündeki 8 - 10 arası adımları izlediğinizden emin olun.
  2. Yükseltmeyi tamamlamak için gerekli miktarda boş yeriniz olduğundan emin olun. Ne kadar boş alan olması gerektiğini kestirmek için, yüklemeyi hazırlık denetimine kadar gerçekleştirebilir ve ardından gerekli disk alanını ayırdıktan sonra yükseltme işlemini yeniden başlatabilirsiniz.
  3. Sürüm 1.6 güncelleştirmesini indirme Uygulamanın bu sürümünde, yeni bir ATA dağıtımı yüklemek ve var olan dağıtımları yükseltmek için aynı yükleme dosyası (Microsoft ATA Center Setup.exe) kullanılır.
  4. ATA Center’ı güncelleştirme
  5. Güncelleştirilmiş ATA Gateway paketini indirme
  6. ATA Gateway’leri güncelleştirme

1. Adım: ATA Center’ı güncelleştirme1. Adım: ATA Center’ı güncelleştirme ÖNEMLIÖNEMLI ATA’nın düzgün çalıştığından emin olmak için tüm ATA Gateway bileşenlerini güncelleştirin.

  1. Veritabanınızı yedekleyin: (isteğe bağlı) ATA Center sanal makinede çalışıyorsa ve bir denetim noktası almak istiyorsanız, önce sanal makineyi kapatın. ATA Center fiziksel sunucuda çalışıyorsa, MongoDB’yi yapılandırmak için önerilen yordamı izleyin.
  2. Microsoft ATA Center Setup.exe adlı yükleme dosyasını çalıştırın ve ekrandaki yönergeleri izleyerek güncelleştirmeyi yükleyin. NOTNOT a. ATA 1.6 için .Net Framework 4.6.1 yüklü olması gerekir. Zaten yüklü değilse, ATA kendi yüklemesi kapsamında .Net Framework 4.6.1’i de yükler. .Net Framework 4.6.1 yüklemesi için sunucunun yeniden başlatılması gerekebilir. ATA yüklemesi ancak, sunucu yeniden başlatıldıktan sonra devam eder. b. Hoş Geldiniz sayfasında dilinizi seçin ve İleri ’ye tıklayın. c. Son Kullanıcı Lisans Sözleşmesi’ni okuyun ve koşulları kabul ediyorsanız İleri ’ye tıklayın. d. Artık ATA’nın güncel kalması için, Microsoft Update'i kullanmak da mümkündür. Microsoft Update sayfasında, Güncelleştirmeleri denetlediğimde Microsoft Update'i kullan (önerilir) öğesini seçin. Görüldüğü gibi, bu işlem Windows ayarlarını diğer Microsoft ürünleri (ATA dahil) için güncelleştirmeleri etkinleştirecek şekilde ayarlar.