Arquitectura de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

La arquitectura de Advanced Threat Analytics se detalla en este diagrama:

ATA architecture topology diagram.

ATA supervisa el tráfico de red del controlador de dominio utilizando la creación de reflejo del puerto en una puerta de enlace de ATA con conmutadores físicos o virtuales. Si implementa la puerta de enlace ligera de ATA directamente en los controladores de dominio, elimina el requisito de la creación de reflejo del puerto. Además, ATA puede aprovechar los eventos de Windows (reenviados directamente desde los controladores de dominio o desde un servidor SIEM) y analizar los datos en busca de ataques y amenazas. En esta sección se describe el flujo de captura de red y eventos, y se explora en profundidad para describir la funcionalidad de los componentes principales de ATA: la puerta de enlace de ATA, la puerta de enlace ligera de ATA (que tiene la misma funcionalidad básica que la puerta de enlace de ATA) y el Centro de ATA.

ATA traffic flow diagram.

Componentes de ATA

ATA consta de los siguientes componentes:

  • Centro de ATA
    El Centro de ATA recibe datos de las puertas de enlace de ATA o las puertas de enlace ligeras de ATA que implemente.
  • Puerta de enlace de ATA
    La puerta de enlace de ATA se instala en un servidor dedicado que supervisa el tráfico de los controladores de dominio mediante la creación de reflejo del puerto o un TAP de red.
  • Puerta de enlace ligera de ATA
    La puerta de enlace ligera de ATA se instala directamente en los controladores de dominio y supervisa su tráfico directamente, sin necesidad de un servidor dedicado o una configuración de creación de reflejo del puerto. Es una alternativa a la puerta de enlace de ATA.

Una implementación de ATA puede constar de un único Centro de ATA conectado a todas las puertas de enlace de ATA, todas las puertas de enlace ligeras de ATA o una combinación de puertas de enlace de ATA y puertas de enlace ligeras de ATA.

Opciones de implementación

Puede implementar ATA con la siguiente combinación de puertas de enlace:

  • Usar solo puertas de enlace de ATA
    La implementación de ATA solo puede contener puertas de enlace de ATA, sin puertas de enlace ligeras de ATA: todos los controladores de dominio deben estar configurados para habilitar la creación de reflejo del puerto en una puerta de enlace de ATA o los TAP de red deben estar en vigor.
  • Usar solo puertas de enlace ligeras de ATA
    La implementación de ATA solo puede contener puertas de enlace ligeras de ATA: las puertas de enlace ligeras de ATA se implementan en cada controlador de dominio y no se necesita ninguna configuración de creación de reflejo del puerto ni servidores adicionales.
  • Usar puertas de enlace de ATA y puertas de enlace ligeras de ATA
    La implementación de ATA incluye puertas de enlace de ATA y puertas de enlace ligeras de ATA. Las puertas de enlace ligeras de ATA se instalan en algunos de los controladores de dominio (por ejemplo, todos los controladores de dominio de los sitios de sucursal). Al mismo tiempo, las puertas de enlace de ATA supervisan otros controladores de dominio (por ejemplo, los controladores de dominio más grandes de los centros de datos principales).

En todos estos escenarios, todas las puertas de enlace envían sus datos al Centro de ATA.

Centro de ATA

El Centro de ATA realiza las funciones siguientes:

  • Administra la configuración de la puerta de enlace de ATA y la puerta de enlace ligera de ATA.

  • Recibe datos de las puertas de enlace de ATA y las puertas de enlace ligeras de ATA.

  • Detecta actividades sospechosas.

  • Ejecuta algoritmos de aprendizaje automático de comportamiento de ATA para detectar un comportamiento anómalo.

  • Ejecuta varios algoritmos deterministas para detectar ataques avanzados en función de la cadena de eliminación de ataques.

  • Ejecuta la consola de ATA.

  • Opcional: el Centro de ATA se puede configurar para enviar correos electrónicos y eventos cuando se detecta una actividad sospechosa.

El Centro de ATA recibe tráfico analizado desde la puerta de enlace de ATA y la puerta de enlace ligera de ATA. Después, realiza la generación de perfiles, ejecuta la detección determinista y ejecuta el aprendizaje automático y los algoritmos de comportamiento para obtener información sobre la red, permitir la detección de anomalías y avisarle de las actividades sospechosas.

Tipo Descripción
Receptor de entidades Recibe lotes de entidades de todas las puertas de enlace de ATA y las puertas de enlace ligeras de ATA.
Procesador de actividad de red Procesa todas las actividades de red dentro de cada lote recibido. Por ejemplo, la coincidencia entre los distintos pasos de Kerberos realizados desde ordenadores potencialmente diferentes.
Generador de perfiles de entidad Genera perfiles de todas las entidades únicas según el tráfico y los eventos. Por ejemplo, ATA actualiza la lista de ordenadores que han iniciado sesión para cada perfil de usuario.
Base de datos del centro Administra el proceso de escritura de las actividades de red y los eventos en la base de datos.
Base de datos ATA utiliza MongoDB para almacenar todos los datos del sistema:

- Actividades de red
- Actividades de eventos
- Entidades únicas
- Actividades sospechosas
- Configuración de ATA
Detectores Los detectores usan algoritmos de aprendizaje automático y reglas deterministas para buscar actividades sospechosas y comportamiento anómalo del usuario en la red.
Consola de ATA La consola de ATA sirve para configurar ATA y supervisar las actividades sospechosas detectadas por ATA en la red. La consola de ATA no depende del servicio del Centro de ATA y se ejecuta incluso cuando se detiene el servicio, siempre y cuando pueda comunicarse con la base de datos.

Tenga en cuenta los criterios siguientes al decidir cuántos centros de ATA implementar en la red:

  • Un Centro de ATA puede supervisar un único bosque de Active Directory. Si tiene más de un bosque de Active Directory, necesita un mínimo de un Centro de ATA por bosque de Active Directory.

  • En implementaciones de Active Directory grandes, es posible que un único Centro de ATA no pueda encargarse de todo el tráfico de todos los controladores de dominio. En este caso, se requieren varios centros de ATA. El número de centros de ATA debe ser determinado por el planeamiento de capacidad de ATA.

Puerta de enlace de ATA y puerta de enlace ligera de ATA

Funcionalidad básica de la puerta de enlace

La puerta de enlace de ATA y la puerta de enlace ligera de ATA tienen la misma funcionalidad básica:

  • Capturar e inspeccionar el tráfico de red del controlador de dominio. Este es el tráfico reflejado en el puerto para las puertas de enlace de ATA y el tráfico local del controlador de dominio en las puertas de enlace ligeras de ATA.

  • Recibir eventos de Windows desde servidores SIEM o Syslog, o desde controladores de dominio con el reenvío de eventos de Windows.

  • Recuperar datos sobre usuarios y ordenadores del dominio de Active Directory.

  • Realizar la resolución de entidades de red (usuarios, grupos y ordenadores).

  • Transferir datos relevantes al Centro de ATA.

  • Supervisar varios controladores de dominio desde una única puerta de enlace de ATA o supervisar un único controlador de dominio para una puerta de enlace ligera de ATA.

La puerta de enlace de ATA recibe tráfico de red y eventos de Windows de la red y los procesa en los siguientes componentes principales:

Tipo Descripción
Escucha de red La escucha de red captura el tráfico de red y lo analiza. Se trata de una tarea que consume gran cantidad de CPU, por lo que es especialmente importante comprobar los requisitos previos de ATA al planificar la puerta de enlace de ATA o la puerta de enlace ligera de ATA.
Escucha de eventos La escucha de eventos captura y analiza eventos de Windows reenviados desde un servidor SIEM en la red.
Lector del registro de eventos de Windows El lector del registro de eventos de Windows lee y analiza los eventos de Windows reenviados al registro de eventos de Windows de la puerta de enlace de ATA desde los controladores de dominio.
Traductor de actividad de red Convierte el tráfico analizado en una representación lógica del tráfico utilizado por ATA (NetworkActivity).
Resolución de entidades La resolución de entidades toma los datos analizados (tráfico de red y eventos) y los resuelve con Active Directory para buscar información de cuenta e identidad. Después se hacen coincidir con las direcciones IP que se encuentran en los datos analizados. La resolución de entidades inspecciona los encabezados de paquete de manera eficaz y permite el análisis de paquetes de autenticación para nombres de máquina, propiedades e identidades. La resolución de entidades combina los paquetes de autenticación analizados con los datos del paquete real.
Emisor de entidades El emisor de entidades envía los datos analizados y coincidentes al Centro de ATA.

Características de la puerta de enlace ligera de ATA

Las siguientes características funcionan de manera diferente en función de si está ejecutando una puerta de enlace de ATA o una puerta de enlace ligera de ATA.

  • La puerta de enlace ligera de ATA ahora puede leer eventos a nivel local, sin necesidad de configurar el reenvío de eventos.

  • Candidato del sincronizador de dominio
    La puerta de enlace del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de manera proactiva (similar al mecanismo usado por los propios controladores de dominio para la replicación). Una puerta de enlace se elige aleatoriamente, en la lista de candidatos, para servir como sincronizador de dominio.
    Si el sincronizador está sin conexión durante más de 30 minutos, se elige otro candidato. Si no hay ningún candidato del sincronizador de dominio disponible para un dominio específico, ATA sincronizará proactivamente las entidades y sus cambios, pero recuperará de manera reactiva nuevas entidades a medida que se detecten en el tráfico supervisado.

    Cuando no haya ningún sincronizador de dominio disponible, la búsqueda de una entidad sin tráfico relacionado con ella no muestra ningún resultado.

    De manera predeterminada, todas las puertas de enlace de ATA son candidatas para el sincronizador de dominio.

    Dado que es más probable que todas las puertas de enlace ligeras de ATA se implementen en sitios de sucursal y en controladores de dominio pequeños, no son candidatas para el sincronizador de manera predeterminada.

    En un entorno con solo puertas de enlace ligeras, se recomienda asignar dos de las puertas de enlace como candidatos del sincronizador, con una puerta de enlace ligera como candidato del sincronizador predeterminado y otra como copia de seguridad en caso de que el candidato predeterminado esté sin conexión durante más de 30 minutos.

  • Limitaciones de recursos
    La puerta de enlace ligera de ATA incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponibles en el controlador de dominio en el que se está ejecutando. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de CPU y memoria en el proceso de puerta de enlace ligera de ATA para asegurarse de que, en un momento dado, el controlador de dominio tenga al menos un 15 % de recursos de proceso y memoria libres.

    Independientemente de lo que ocurra en el controlador de dominio, este proceso siempre libera recursos para asegurarse de que la funcionalidad principal del controlador de dominio no se ve afectada.

    Si esto hace que la puerta de enlace ligera de ATA se quede sin recursos, solo se supervisa el tráfico parcial y la alerta de mantenimiento de eliminación del tráfico de red reflejado en puerto aparece en la página de mantenimiento.

En la tabla siguiente se proporciona un ejemplo de un controlador de dominio con suficientes recursos de proceso disponibles para permitir una cuota mayor de la que se necesita actualmente, de modo que se supervise todo el tráfico:

Active Directory (Lsass.exe) Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe) Varios (otros procesos) Cuota de puerta de enlace ligera de ATA Eliminación de puerta de enlace
30 % 20 % 10 % 45 % No

Si Active Directory necesita más proceso, se reduce la cuota necesaria para la puerta de enlace ligera de ATA. En el ejemplo siguiente, la puerta de enlace ligera de ATA necesita más cuota de la asignada y elimina parte del tráfico (supervisando solo el tráfico parcial):

Active Directory (Lsass.exe) Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe) Varios (otros procesos) Cuota de puerta de enlace ligera de ATA ¿Se elimina la puerta de enlace?
60 % 15 % 10 % 15 %

Componentes de red

Para trabajar con ATA, asegúrese de comprobar que están configurados los siguientes componentes.

Creación de reflejo del puerto

Si usa puertas de enlace de ATA, debe configurar la creación de reflejo del puerto para los controladores de dominio que se supervisan y establecer la puerta de enlace de ATA como destino mediante los conmutadores físicos o virtuales. Otra opción es usar los TAP de red. ATA funciona si algunos, pero no todos, los controladores de dominio se supervisan, pero las detecciones son menos eficaces.

Aunque la creación de reflejo del puerto refleja todo el tráfico de red del controlador de dominio en la puerta de enlace de ATA, solo se envía un pequeño porcentaje de ese tráfico, comprimido, al Centro de ATA para su análisis.

Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales. Consulte Configuración de la creación de reflejo del puerto para obtener más información.

Eventos

Para mejorar la detección de ATA de Pass-the-Hash, la fuerza bruta, la modificación de grupos confidenciales y los Honey Tokens, ATA necesita los siguientes eventos de Windows: 4776, 4732, 4733, 4728, 4729, 4756 y 4757. La puerta de enlace ligera de ATA puede leerlos automáticamente o, en caso de que no se implemente la puerta de enlace ligera de ATA, se pueden reenviar a la puerta de enlace de ATA de dos maneras, ya sea configurando la puerta de enlace de ATA para escuchar eventos SIEM o configurando el reenvío de eventos de Windows.

  • Configuración de la puerta de enlace de ATA para escuchar eventos SIEM
    Configure SIEM para reenviar eventos específicos de Windows a ATA. ATA admite una serie de proveedores de SIEM. Para obtener más información, consulte Configuración de la recopilación de eventos de Windows.

  • Configuración del reenvío de eventos de Windows
    Otra forma en que ATA puede obtener los eventos es configurando los controladores de dominio para reenviar los eventos de Windows 4776, 4732, 4733, 4728, 4729, 4756 y 4757 a la puerta de enlace de ATA. Esto es especialmente útil si no tiene SIEM o si su SIEM no es compatible actualmente con ATA. Para completar la configuración del reenvío de eventos de Windows en ATA, consulte Configuración del reenvío de eventos de Windows. Esto solo se aplica a las puertas de enlace de ATA físicas, no a la puerta de enlace ligera de ATA.

Consulte también