Architektura ATA
Platí pro: Advanced Threat Analytics verze 1.9
Architektura Advanced Threat Analytics je podrobně popsána v tomto diagramu:
ATA monitoruje síťový provoz řadiče domény pomocí zrcadlení portů do ATA Gateway pomocí fyzických nebo virtuálních přepínačů. Pokud ATA Lightweight Gateway nasadíte přímo na řadiče domény, odebere požadavek na zrcadlení portů. ATA navíc může využívat události Windows (předávané přímo z řadičů domény nebo ze serveru SIEM) a analyzovat data pro útoky a hrozby. Tato část popisuje tok zachytávání síťových a událostí a procházení podrobností popisující funkce hlavních komponent ATA: ATA Gateway, ATA Lightweight Gateway (která má stejné základní funkce jako ATA Gateway) a ATA Center.
Komponenty ATA
ATA se skládá z následujících komponent:
- ATA Center
ATA Center přijímá data z jakékoli komponenty ATA Gateway nebo ATA Lightweight Gateway, které nasadíte. - ATA Gateway
ATA Gateway se instaluje na vyhrazený server, který monitoruje provoz z řadičů domény pomocí zrcadlení portů nebo síťového TAP. - ATA Lightweight Gateway
ATA Lightweight Gateway se instaluje přímo na řadiče domény a monitoruje jejich provoz přímo bez nutnosti vyhrazeného serveru nebo konfigurace zrcadlení portů. Jedná se o alternativu k ATA Gateway.
Nasazení ATA se může skládat z jednoho ATA Center připojeného ke všem ATA Gateway, všem ATA Lightweight Gateway nebo kombinaci ATA Gateway a ATA Lightweight Gateway.
Možnosti nasazení
ATA můžete nasadit pomocí následující kombinace bran:
- Použití pouze ATA Gateway
Vaše nasazení ATA může obsahovat jenom komponenty ATA Gateway bez jakýchkoli ATA Lightweight Gateway: Všechny řadiče domény musí být nakonfigurované tak, aby umožňovaly zrcadlení portů do ATA Gateway nebo síťového technického poradce. - Použití pouze ATA Lightweight Gateway
Nasazení ATA může obsahovat jenom KOMPONENTY ATA Lightweight Gateway: Komponenty ATA Lightweight Gateway se nasazují na každý řadič domény a není nutná žádná další konfigurace zrcadlení portů. - Použití komponent ATA Gateway i ATA Lightweight Gateway
Nasazení ATA zahrnuje komponenty ATA Gateway i KOMPONENTY ATA Lightweight Gateway. Komponenty ATA Lightweight Gateway jsou nainstalované na některých řadičích domény (například na všech řadičích domény ve vašich pobočkách). Současně jsou další řadiče domény monitorovány komponentami ATA Gateway (například větší řadiče domény v hlavních datových centrech).
Ve všech těchto scénářích všechny brány odesílají data do ATA Center.
ATA Center
ATA Center provádí následující funkce:
Spravuje nastavení konfigurace ATA Gateway a ATA Lightweight Gateway.
Přijímá data z ATA Gateway a ATA Lightweight Gateway
Detekuje podezřelé aktivity.
Spouští algoritmy strojového učení chování ATA, které detekují neobvyklé chování.
Spouští různé deterministické algoritmy pro detekci pokročilých útoků na základě řetězu ukončení útoku.
Spustí konzolu ATA.
Volitelné: ATA Center je možné nakonfigurovat tak, aby po zjištění podezřelé aktivity odesílala e-maily a události.
ATA Center přijímá analyzovaný provoz z ATA Gateway a ATA Lightweight Gateway. Pak provádí profilaci, spouští deterministické zjišťování a spouští algoritmy strojového učení a chování, které vás seznámí s vaší sítí, umožní detekci anomálií a upozorní vás na podezřelé aktivity.
| Typ | Popis |
|---|---|
| Přijímač entity | Přijímá dávky entit ze všech ATA Gateway a ATA Lightweight Gateway. |
| Procesor síťových aktivit | Zpracovává všechny síťové aktivity v rámci každé přijaté dávky. Například porovnávání různých kroků protokolu Kerberos provedených z potenciálně různých počítačů |
| Profiler entit | Profiluje všechny jedinečné entity podle provozu a událostí. ATA například aktualizuje seznam přihlášených počítačů pro každý profil uživatele. |
| Databáze Center | Spravuje proces zápisu síťových aktivit a událostí do databáze. |
| Databáze | ATA využívá MongoDB pro účely ukládání všech dat v systému: - Síťové aktivity - Aktivity událostí – Jedinečné entity - Podezřelé aktivity – Konfigurace ATA |
| Detektory | Detektory používají algoritmy strojového učení a deterministická pravidla k vyhledání podezřelých aktivit a neobvyklého chování uživatelů ve vaší síti. |
| Konzola ATA | Konzola ATA slouží ke konfiguraci ATA a monitorování podezřelých aktivit zjištěných ATA ve vaší síti. Konzola ATA není závislá na službě ATA Center a běží i v případě, že je služba zastavená, pokud může komunikovat s databází. |
Při rozhodování o tom, kolik komponent ATA Center nasadíte ve vaší síti, zvažte následující kritéria:
Jeden ATA Center může monitorovat jednu doménovou strukturu služby Active Directory. Pokud máte více než jednu doménovou strukturu Active Directory, potřebujete minimálně jednu ata center pro každou doménovou strukturu Active Directory.
Ve velkých nasazeních služby Active Directory nemusí být jedna ATA Center schopná zpracovat veškerý provoz všech řadičů domény. V tomto případě se vyžaduje více komponent ATA Center. Počet KOMPONENT ATA Center by měl určovat plánování kapacity ATA.
ATA Gateway a ATA Lightweight Gateway
Základní funkce brány
ATA Gateway i ATA Lightweight Gateway mají stejné základní funkce:
Zachytávání a kontrola síťového provozu řadiče domény Jedná se o přenosy zrcadlené přes port pro KOMPONENTY ATA Gateway a místní provoz řadiče domény v ATA Lightweight Gateways.
Příjem událostí Windows ze serverů SIEM nebo Syslog nebo z řadičů domény pomocí předávání událostí systému Windows
Načtení dat o uživatelích a počítačích z domény služby Active Directory
Řešení síťových entit (uživatelů, skupin a počítačů)
Přenos relevantních dat do ATA Center
Monitorujte více řadičů domény z jedné komponenty ATA Gateway nebo monitorujte jeden řadič domény pro ATA Lightweight Gateway.
ATA Gateway přijímá síťový provoz a události Windows z vaší sítě a zpracovává je v následujících hlavních komponentách:
| Typ | Popis |
|---|---|
| Naslouchací proces sítě | Naslouchací proces sítě zachycuje síťový provoz a analyzuje provoz. Jedná se o úlohu náročnou na procesor, takže při plánování KOMPONENTY ATA Gateway nebo ATA Lightweight Gateway je obzvláště důležité zkontrolovat požadavky ATA. |
| Naslouchací proces událostí | Naslouchací proces událostí zachytí a parsuje události Windows předávané ze serveru SIEM ve vaší síti. |
| Čtečka protokolu událostí systému Windows | Čtečka protokolu událostí Systému Windows čte a parsuje události systému Windows předávané do protokolu událostí ATA Gateway z řadičů domény. |
| Network Activity Translator | Převede analyzovaný provoz do logické reprezentace provozu používaného ATA (NetworkActivity). |
| Překladač entit | Překladač entit vezme analyzovaná data (síťový provoz a události) a přeloží je pomocí služby Active Directory a vyhledá informace o účtu a identitě. Pak se porovná s IP adresami nalezenými v analyzovaných datech. Překladač entit efektivně kontroluje hlavičky paketů, aby bylo možné analyzovat ověřovací pakety pro názvy počítačů, vlastnosti a identity. Entity Resolver kombinuje parsované ověřovací pakety s daty ve skutečném paketu. |
| Odesílatel entity | Odesílatel entity odešle analyzovaná a shodná data do ATA Center. |
Funkce ATA Lightweight Gateway
Následující funkce fungují jinak v závislosti na tom, jestli používáte ATA Gateway nebo ATA Lightweight Gateway.
ATA Lightweight Gateway může číst události místně, aniž by bylo nutné konfigurovat předávání událostí.
Kandidát synchronizátoru domény
Brána synchronizátoru domény je zodpovědná za proaktivní synchronizaci všech entit z konkrétní domény služby Active Directory (podobně jako mechanismus používaný samotnými řadiči domény pro replikaci). Jedna brána se vybere náhodně ze seznamu kandidátů, aby sloužila jako synchronizátor domény.
Pokud je synchronizátor offline déle než 30 minut, vybere se jiný kandidát. Pokud pro konkrétní doménu není k dispozici žádný kandidát na synchronizátora domény, ATA proaktivně synchronizuje entity a jejich změny, ATA ale znovu načte nové entity, protože jsou zjištěny v monitorovaném provozu.Pokud není k dispozici žádný synchronizátor domény, hledání entity bez provozu souvisejícího s ním nezobrazuje žádné výsledky.
Ve výchozím nastavení jsou všechny komponenty ATA Gateway kandidáty na synchronizátora domény.
Vzhledem k tomu, že všechny komponenty ATA Lightweight Gateway budou pravděpodobně nasazeny ve větvích a na malých řadičích domény, nejsou ve výchozím nastavení kandidáty synchronizátoru.
V prostředí s pouze lightweight gateways se doporučuje přiřadit dvě brány jako kandidáty synchronizátoru, kde jedna Lightweight Gateway je výchozím kandidátem synchronizátoru a druhá je záloha v případě, že je výchozí nastavení po dobu delší než 30 minut offline.
Omezení prostředků
ATA Lightweight Gateway obsahuje monitorovací komponentu, která vyhodnocuje dostupnou výpočetní kapacitu a kapacitu paměti na řadiči domény, na kterém je spuštěná. Proces monitorování běží každých 10 sekund a dynamicky aktualizuje kvótu využití procesoru a paměti v procesu ATA Lightweight Gateway, aby se zajistilo, že v libovolném časovém okamžiku má řadič domény alespoň 15 % volných výpočetních a paměťových prostředků.Bez ohledu na to, co se stane na řadiči domény, tento proces vždy uvolní prostředky, aby se zajistilo, že základní funkce řadiče domény nebudou ovlivněny.
Pokud to způsobí, že ATA Lightweight Gateway dojde k výpadku prostředků, monitoruje se pouze částečný provoz a na stránce Stav se zobrazí upozornění na vyřazený síťový provoz zrcadlený přes port.
Následující tabulka obsahuje příklad řadiče domény s dostatečným dostupným výpočetním prostředkem, který umožňuje větší kvótu, takže se monitoruje veškerý provoz:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Různé (jiné procesy) | Kvóta ATA Lightweight Gateway | Zahazování brány |
|---|---|---|---|---|
| 30 % | 20 % | 10 % | 45 % | No |
Pokud Služba Active Directory potřebuje více výpočetních prostředků, sníží se kvóta potřebná službou ATA Lightweight Gateway. V následujícím příkladu ATA Lightweight Gateway potřebuje více než přidělenou kvótu a sníží některé přenosy (monitorování pouze částečného provozu):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Různé (jiné procesy) | Kvóta ATA Lightweight Gateway | Dochází k zahazování brány |
|---|---|---|---|---|
| 60 % | 15% | 10 % | 15 % | Ano |
Síťové komponenty
Pokud chcete pracovat s ATA, nezapomeňte zkontrolovat, jestli jsou nastavené následující komponenty.
Zrcadlení portů
Pokud používáte KOMPONENTY ATA Gateway, musíte nastavit zrcadlení portů pro řadiče domény, které jsou monitorované, a nastavit ATA Gateway jako cíl pomocí fyzických nebo virtuálních přepínačů. Další možností je použití síťových tapů. ATA funguje, pokud jsou monitorované některé, ale ne všechny řadiče domény, ale detekce jsou méně efektivní.
Zrcadlení portů sice zrcadlí veškerý síťový provoz řadiče domény do ATA Gateway, ale do ATA Center se pak odešle a zkomprimuje pouze malé procento tohoto provozu.
Řadiče domény a komponenty ATA Gateway můžou být fyzické nebo virtuální. Další informace najdete v tématu Konfigurace zrcadlení portů.
Události
AtA potřebuje k vylepšení detekce pass-the-hash, hrubou silou, úpravy citlivých skupin a honey tokenů ATA následující události Systému Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. AtA Lightweight Gateway je může číst automaticky, nebo v případě, že ATA Lightweight Gateway není nasazená, je možné ji předat ata Gateway jedním ze dvou způsobů tak, že nakonfiguruje ATA Gateway tak, aby naslouchala událostem SIEM, nebo konfigurací předávání událostí systému Windows.
Konfigurace ATA Gateway pro naslouchání událostem SIEM
Nakonfigurujte SIEM tak, aby předával konkrétní události Windows do ATA. ATA podporuje řadu dodavatelů SIEM. Další informace naleznete v tématu Konfigurace shromažďování událostí.Konfigurace předávání událostí systému Windows
Dalším způsobem, jak ATA může získat vaše události, je konfigurace řadičů domény tak, aby předávaly události Windows 4776, 4732, 4733, 4728, 4729, 4756 a 4757 do ATA Gateway. To je užitečné zejména v případě, že nemáte SIEM nebo pokud ATA v současné době nepodporuje SIEM. Pokud chcete dokončit konfiguraci předávání událostí systému Windows v ATA, přečtěte si téma Konfigurace předávání událostí systému Windows. To platí jenom pro fyzické komponenty ATA Gateway – ne pro ATA Lightweight Gateway.