Arquitectura de ATAATA Architecture

Se aplica a: Advanced Threat Analytics versión 1.9Applies to: Advanced Threat Analytics version 1.9

En este diagrama se ilustra la arquitectura de Advanced Threat Analytics:The Advanced Threat Analytics architecture is detailed in this diagram:

Diagrama de topología de arquitectura de ATA

ATA supervisa el tráfico de red del controlador de dominio mediante la creación de reflejo de puerto en una puerta de enlace de ATA con conmutadores físicos o virtuales.ATA monitors your domain controller network traffic by utilizing port mirroring to an ATA Gateway using physical or virtual switches. Si implementa la puerta de enlace ligera de ATA directamente en los controladores de dominio, eliminará la necesidad de usar la creación de reflejo de puerto.If you deploy the ATA Lightweight Gateway directly on your domain controllers, it removes the requirement for port mirroring. Además, ATA puede sacar provecho de los eventos de Windows (reenviados directamente desde los controladores de dominio o desde un servidor SIEM) y analizar los datos en busca de amenazas y ataques.In addition, ATA can leverage Windows events (forwarded directly from your domain controllers or from a SIEM server) and analyze the data for attacks and threats. En esta sección se describe el flujo de red y la captura de eventos y se profundiza en la descripción de la funcionalidad de los componentes principales de ATA: la puerta de enlace de ATA, la puerta de enlace ligera de ATA (que tiene la misma funcionalidad principal que la puerta de enlace de ATA) y el Centro ATA.This section describes the flow of network and event capturing and drills down to describe the functionality of the main components of ATA: the ATA Gateway, ATA Lightweight Gateway (which has the same core functionality as the ATA Gateway), and the ATA Center.

Diagrama de flujo de tráfico de ATA

Componentes de ATAATA Components

ATA dispone de los siguientes componentes:ATA consists of the following components:

  • Centro ATAATA Center
    El Centro ATA recibe datos de cualquier puerta de enlace de ATA o puerta de enlace ligera de ATA que implemente.The ATA Center receives data from any ATA Gateways and/or ATA Lightweight Gateways you deploy.
  • Puerta de enlace de ATAATA Gateway
    La puerta de enlace de ATA se instala en un servidor dedicado que supervisa el tráfico de los controladores de dominio mediante la creación de reflejo del puerto o un TAP de red.The ATA Gateway is installed on a dedicated server that monitors the traffic from your domain controllers using either port mirroring or a network TAP.
  • Puerta de enlace ligera de ATAATA Lightweight Gateway
    La puerta de enlace ligera de ATA se instala directamente en los controladores de dominio y supervisa el tráfico directamente, sin necesidad de un servidor dedicado ni de una configuración de creación de reflejo del puerto.The ATA Lightweight Gateway is installed directly on your domain controllers and monitors their traffic directly, without the need for a dedicated server or configuration of port mirroring. Es una alternativa a la puerta de enlace de ATA.It is an alternative to the ATA Gateway.

Una implementación de ATA puede constar de un solo Centro ATA conectado a todas las puertas de enlace de ATA, todas las puertas de enlace ligeras de ATA o una combinación de las puertas de enlace de ATA y las puertas de enlace ligeras de ATA.An ATA deployment can consist of a single ATA Center connected to all ATA Gateways, all ATA Lightweight Gateways, or a combination of ATA Gateways and ATA Lightweight Gateways.

Opciones de implementaciónDeployment options

Puede implementar ATA mediante la siguiente combinación de puertas de enlace:You can deploy ATA using the following combination of gateways:

  • Usar solo puertas de enlace de ATAUsing only ATA Gateways
    La implementación de ATA solo puede contener puertas de enlace de ATA, sin ninguna puerta de enlace ligera de ATA: todos los controladores de dominio deben estar configurados para habilitar la creación de reflejo del puerto a una puerta de enlace de ATA o debe disponer de los TAP de red.Your ATA deployment can contain only ATA Gateways, without any ATA Lightweight Gateways: All the domain controllers must be configured to enable port mirroring to an ATA Gateway or network TAPs must be in place.
  • Usar solo puertas de enlace ligeras de ATAUsing only ATA Lightweight Gateways
    La implementación de ATA solo puede contener puertas de enlace ligeras de ATA: las puertas de enlace ligeras de ATA se implementan en cada controlador de dominio y no se necesitan servidores adicionales ni configurar la creación de reflejo del puerto.Your ATA deployment can contain only ATA Lightweight Gateways: The ATA Lightweight Gateways are deployed on each domain controller and no additional servers or port mirroring configuration is necessary.
  • Usar puertas de enlace de ATA y puertas de enlace ligeras de ATAUsing both ATA Gateways and ATA Lightweight Gateways
    La implementación de ATA incluye puertas de enlace de ATA y puertas de enlace ligeras de ATA.Your ATA deployment includes both ATA Gateways and ATA Lightweight Gateways. Las puertas de enlace ligeras de ATA se instalan en algunos de los controladores de dominio (por ejemplo, en todos los controladores de dominio de sus sitios de sucursal).The ATA Lightweight Gateways are installed on some of your domain controllers (for example, all domain controllers in your branch sites). Al mismo tiempo, las puertas de enlace de ATA supervisan otros controladores de dominio (por ejemplo, los controladores de dominio más grandes de sus centros de datos principales).At the same time, other domain controllers are monitored by ATA Gateways (for example, the larger domain controllers in your main data centers).

En todos estos escenarios, todas las puertas de enlace envían los datos al Centro ATA.In all these scenarios, all the gateways send their data to the ATA Center.

Centro ATAATA Center

El centro ATA se encarga de lo siguiente:The ATA Center performs the following functions:

  • Administra la configuración de las puertas de enlace de ATA y de las puertas de enlace ligeras de ATAManages ATA Gateway and ATA Lightweight Gateway configuration settings

  • Recibe datos de las puertas de enlace de ATA y de las puertas de enlace ligeras de ATAReceives data from ATA Gateways and ATA Lightweight Gateways

  • Detecta las actividades sospechosasDetects suspicious activities

  • Ejecuta algoritmos de aprendizaje automático de comportamiento de ATA para detectar un comportamiento anómaloRuns ATA behavioral machine learning algorithms to detect abnormal behavior

  • Ejecuta varios algoritmos deterministas para detectar ataques avanzados según la cadena de destrucción de ataquesRuns various deterministic algorithms to detect advanced attacks based on the attack kill chain

  • Ejecuta la consola de ATARuns the ATA Console

  • Opcional: el centro ATA se puede configurar para enviar correos electrónicos y eventos cuando se detecte una actividad sospechosa.Optional: The ATA Center can be configured to send emails and events when a suspicious activity is detected.

El centro ATA recibe el tráfico analizado procedente de la puerta de enlace y de la puerta de enlace ligera de ATA.The ATA Center receives parsed traffic from the ATA Gateway and ATA Lightweight Gateway. Luego, genera perfiles, lleva a cabo una detección determinista y ejecuta el aprendizaje automático y algoritmos de comportamiento para obtener información sobre la red, habilitar la detección de anomalías y avisarle de las actividades sospechosas.It then performs profiling, runs deterministic detection, and runs machine learning and behavioral algorithms to learn about your network, enable detection of anomalies and warn you of suspicious activities.

TipoType DescripciónDescription
Receptor de entidadesEntity Receiver Recibe lotes de entidades procedentes de todas las puertas de enlace de ATA y puertas de enlace ligeras de ATA.Receives batches of entities from all ATA Gateways and ATA Lightweight Gateways.
Procesador de actividades de redNetwork Activity Processor Procesa todas las actividades de red de cada lote recibido.Processes all the network activities within each batch received. Por ejemplo, coteja los distintos pasos de Kerberos realizados desde equipos potencialmente distintos.For example, matching between the various Kerberos steps performed from potentially different computers
Generador de perfiles de entidadesEntity Profiler Genera perfiles de todas las entidades únicas según el tráfico y los eventos.Profiles all the Unique Entities according to the traffic and events. Por ejemplo, ATA actualiza la lista de equipos conectados de cada perfil de usuario.For example, ATA updates the list of logged-on computers for each user profile.
Base de datos centralCenter Database Administra el proceso de escritura de los eventos y actividades de red en la base de datos.Manages the writing process of the Network Activities and events into the database.
Base de datosDatabase ATA usa MongoDB para almacenar todos los datos en el sistema:ATA utilizes MongoDB for purposes of storing all the data in the system:

-Actividades de red- Network activities
-Actividades de evento- Event activities
-Entidades únicas- Unique entities
-Actividades sospechosas- Suspicious activities
-Configuración de ATA- ATA configuration
DetectoresDetectors Los detectores usan algoritmos de aprendizaje automático y reglas deterministas para buscar actividades sospechosas y comportamientos de usuario anómalos en la red.The Detectors use machine learning algorithms and deterministic rules to find suspicious activities and abnormal user behavior in your network.
Consola de ATAATA Console La consola de ATA sirve para configurar ATA y supervisar las actividades sospechosas detectadas por ATA en la red.The ATA Console is for configuring ATA and monitoring suspicious activities detected by ATA on your network. La consola de ATA no depende del servicio del centro ATA y se ejecuta incluso cuando dicho servicio está detenido, siempre que pueda comunicarse con la base de datos.The ATA Console is not dependent on the ATA Center service and runs even when the service is stopped, as long as it can communicate with the database.

Tenga en cuenta los siguientes criterios a la hora de decidir cuántos centros ATA necesita implementar en la red:Consider the following criteria when deciding how many ATA Centers to deploy on your network:

  • Un centro ATA puede supervisar un solo bosque de Active Directory.One ATA Center can monitor a single Active Directory forest. Si tiene más de un bosque de Active Directory, necesita como mínimo un centro ATA por cada bosque de Active Directory.If you have more than one Active Directory forest, you need a minimum of one ATA Center per Active Directory forest.

  • En una implementación de Active Directory de gran envergadura, es posible que un solo centro ATA no sea capaz de administrar el tráfico de todos los controladores de dominio.In large Active Directory deployments, a single ATA Center might not be able to handle all the traffic of all your domain controllers. En este caso se necesitan varios centros ATA.In this case, multiple ATA Centers are required. El número de centros ATA debe ser dictado por Planeamiento de la capacidad de ATA.The number of ATA Centers should be dictated by ATA capacity planning.

Puerta de enlace de ATA y puerta de enlace ligera de ATAATA Gateway and ATA Lightweight Gateway

Funcionalidad principal de la puerta de enlaceGateway core functionality

La puerta de enlace de ATA y la puerta de enlace ligera de ATA tienen la misma funcionalidad principal:The ATA Gateway and ATA Lightweight Gateway both have the same core functionality:

  • Capturar e inspeccionar el tráfico de red del controlador de dominio.Capture and inspect domain controller network traffic. Se trata de tráfico reflejado en puerto para las puertas de enlace de ATA y tráfico local del controlador de dominio de las puertas de enlace ligeras de ATA.This is port mirrored traffic for ATA Gateways and local traffic of the domain controller in ATA Lightweight Gateways.

  • Recibir eventos de Windows procedentes de servidores SIEM o Syslog, o de controladores de dominio mediante el reenvío de eventos de WindowsReceive Windows events from SIEM or Syslog servers, or from domain controllers using Windows Event Forwarding

  • Recuperar datos sobre usuarios y equipos del dominio de Active DirectoryRetrieve data about users and computers from the Active Directory domain

  • Llevar a cabo tareas de resolución de entidades de red (usuarios, grupos y equipos)Perform resolution of network entities (users, groups, and computers)

  • Transferir datos relevantes al Centro ATATransfer relevant data to the ATA Center

  • Supervisar varios controladores de dominio de una sola puerta de enlace de ATA o supervisar un controlador de dominio para una puerta de enlace ligera de ATA.Monitor multiple domain controllers from a single ATA Gateway, or monitor a single domain controller for an ATA Lightweight Gateway.

La puerta de enlace de ATA recibe el tráfico de red y eventos de Windows de la red y los procesa en los siguientes componentes principales:The ATA Gateway receives network traffic and Windows Events from your network and processes it in the following main components:

TipoType DescripciónDescription
Escucha de redNetwork Listener La escucha de red captura el tráfico de red y lo analiza.The Network Listener captures network traffic and parsing the traffic. Se trata de una tarea que hace un uso intensivo de la CPU, por lo que es especialmente importante comprobar los requisitos previos de ATA al planear la puerta de enlace de ATA o la puerta de enlace ligera de ATA.This is a CPU-heavy task, so it is especially important to check ATA Prerequisites when planning your ATA Gateway or ATA Lightweight Gateway.
Escucha de eventosEvent Listener La escucha de eventos captura y analiza los eventos de Windows reenviados desde un servidor SIEM en la red.The Event Listener captures and parsing Windows Events forwarded from a SIEM server on your network.
Lector de registros de eventos de WindowsWindows Event Log Reader El lector de registros de eventos de Windows lee y analiza eventos de Windows reenviados al registro de eventos de Windows de la puerta de enlace de ATA desde los controladores de dominio.The Windows Event Log Reader reads and parsing Windows Events forwarded to the ATA Gateway's Windows Event Log from the domain controllers.
Traductor de actividades de redNetwork Activity Translator Convierte el tráfico analizado en una representación lógica del tráfico que usa ATA (actividad de red).Translates parsed traffic into a logical representation of the traffic used by ATA (NetworkActivity).
Resolución de entidadesEntity Resolver La resolución de entidades toma los datos analizados (tráfico de red y eventos) y resuelve los datos con Active Directory para buscar información de cuenta y de identidad.The Entity Resolver takes the parsed data (network traffic and events) and resolves it data with Active Directory to find account and identity information. Después, se comparan con las direcciones IP que constan en los datos analizados.It is then matched with the IP addresses found in the parsed data. La resolución de entidades inspecciona los encabezados de paquete de forma eficaz, para permitir analizar los paquetes de autenticación de nombres de equipo, propiedades e identidades.The Entity Resolver inspects the packet headers efficiently, to enable parsing of authentication packets for machine names, properties, and identities. La resolución de entidad combina los paquetes de autenticación analizados con los datos en el paquete real.The Entity Resolver combines the parsed authentication packets with the data in the actual packet.
Remitente de entidadesEntity Sender El remitente de entidades envía los datos analizados y cotejados al centro ATA.The Entity Sender sends the parsed and matched data to the ATA Center.

Características de la puerta de enlace ligera de ATAATA Lightweight Gateway features

Las siguientes características funcionan de manera diferente dependiendo de si ejecuta una puerta de enlace de ATA o una puerta de enlace ligera de ATA.The following features work differently depending on whether you are running an ATA Gateway or an ATA Lightweight Gateway.

  • La puerta de enlace ligera de ATA puede leer los eventos localmente, sin tener que configurar el reenvío de eventos.The ATA Lightweight Gateway can read events locally, without the need to configure event forwarding.

  • Candidato de sincronizador de dominioDomain synchronizer candidate
    La puerta de enlace del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de forma proactiva (similar al mecanismo que usan los propios controladores de dominio para la replicación).The domain synchronizer gateway is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). Se elige una puerta de enlace de forma aleatoria, de la lista de candidatos, para que actúe como el sincronizador de dominio.One gateway is chosen randomly, from the list of candidates, to serve as the domain synchronizer.
    Si el sincronizador está sin conexión durante más de 30 minutos, se elige otro candidato en su lugar.If the synchronizer is offline for more than 30 minutes, another candidate is chosen instead. Si no hay ningún candidato de sincronizador de dominio disponible para un dominio específico, ATA sincroniza de forma proactiva las entidades y sus cambios, pero ATA recuperará reactivamente nuevas entidades a medida que se detecten en el tráfico supervisado.If there is no domain synchronizer candidate available for a specific domain, ATA proactively synchronizes entities and their changes, however ATA will reactively retrieve new entities as they are detected in the monitored traffic.

    Cuando no hay ningún sincronizador de dominio disponible, al buscar una entidad sin tráfico relacionado con ella no se muestra ningún resultado.When no domain synchronizer is available, searching for an entity without traffic related to it displays no results.

    De forma predeterminada, todas las puertas de enlace de ATA son candidatas de sincronizador de dominio.By default, all ATA Gateways are domain synchronizer candidates.

    Ya que es más probable que todas las puertas de enlace ligeras de ATA se implementen en sucursales y en controladores de dominio pequeños, no son candidatas de sincronizador de manera predeterminada.Because all ATA Lightweight Gateways are more likely to be deployed in branch sites and on small domain controllers, they are not synchronizer candidates by default.

    En un entorno con solo puertas de enlace ligeras, se recomienda asignar dos de las puertas de enlace como candidatos del sincronizador, donde una puerta de enlace ligera es el candidato del sincronizador predeterminado y otra es la copia de seguridad en caso de que el valor predeterminado sea sin conexión durante más de 30 minutos.In an environment with only Lightweight Gateways, it is recommended to assign two of the gateways as synchronizer candidates, where one Lightweight Gateway is the default synchronizer candidate and one is the the backup in case the default is offline for more than 30 minutes.

  • Limitaciones de recursosResource limitations
    La puerta de enlace ligera de ATA incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponibles en el controlador de dominio en el que se está ejecutando.The ATA Lightweight Gateway includes a monitoring component that evaluates the available compute and memory capacity on the domain controller on which it is running. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de CPU y memoria en el proceso de puerta de enlace ligera de ATA para asegurarse de que, en cualquier momento determinado, el controlador de dominio tiene al menos el 15 % de recursos de proceso y de memoria libres.The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the ATA Lightweight Gateway process to make sure that at any given point in time, the domain controller has at least 15% of free compute and memory resources.

    Independientemente de lo que ocurra en el controlador de dominio, este proceso libera siempre recursos para asegurarse de que no se ve afectada la funcionalidad principal del controlador de dominio.No matter what happens on the domain controller, this process always frees up resources to make sure the domain controller's core functionality is not affected.

    Si esto hace que la puerta de enlace ligera de ATA se quede sin recursos, solo se supervisará el tráfico parcial y aparecerá la alerta de estado "se quitó el tráfico de red reflejado en Puerto" en la página de estado.If this causes the ATA Lightweight Gateway to run out of resources, only partial traffic is monitored and the health alert "Dropped port mirrored network traffic" appears in the Health page.

En la siguiente tabla se proporciona un ejemplo de un controlador de dominio con suficientes recursos de proceso disponibles para permitir una cuota mayor de la que se necesita actualmente, por lo que se supervisa todo el tráfico:The following table provides an example of a domain controller with enough compute resource available to allow for a larger quota then is currently needed, so that all traffic is monitored:

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Varios (otros procesos)Miscellaneous (other processes) Cuota de la puerta de enlace ligera de ATAATA Lightweight Gateway Quota La puerta de enlace quitaGateway dropping
30 %30% 20%20% 10 %10% 45 %45% NoNo

Si Active Directory necesita más procesos, se reduce la cuota que necesita la puerta de enlace ligera de ATA.If Active Directory needs more compute, the quota needed by the ATA Lightweight Gateway is reduced. En el siguiente ejemplo, la puerta de enlace ligera de ATA necesita más cuota que la asignada y quita algún tráfico (supervisa solo el tráfico parcial):In the following example, The ATA Lightweight Gateway needs more than the allocated quota and drops some of the traffic (monitoring only partial traffic):

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Varios (otros procesos)Miscellaneous (other processes) Cuota de la puerta de enlace ligera de ATAATA Lightweight Gateway Quota La puerta de enlace está quitandoIs gateway dropping
60%60% 15 %15% 10 %10% 15 %15% YesYes

Los componentes de redYour network components

Para trabajar con ATA, asegúrese de comprobar que se han configurado los siguientes componentes.In order to work with ATA, make sure to check that the following components are set up.

Creación de reflejo del puertoPort mirroring

Si usa puertas de enlace de ATA, tendrá que configurar la creación de reflejo del puerto para los controladores de dominio que se supervisarán y establecer la puerta de enlace de ATA como destino mediante los conmutadores físicos o virtuales.If you are using ATA Gateways, you have to set up port mirroring for the domain controllers that are monitored and set the ATA Gateway as the destination using the physical or virtual switches. Otra opción es usar los TAP de red.Another option is to use network TAPs. ATA funcionará si solo algunos controladores de dominio (no todos) están supervisados, pero las detecciones serán menos efectivas.ATA works if some but not all of your domain controllers are monitored, but detections are less effective.

La creación de reflejo del puerto hace que se refleje todo el tráfico de red del controlador de dominio en la puerta de enlace de ATA, pero solo un porcentaje pequeño de ese tráfico se comprime y envía al Centro ATA para analizarlo.While port mirroring mirrors all the domain controller network traffic to the ATA Gateway, only a small percentage of that traffic is then sent, compressed, to the ATA Center for analysis.

Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales. Para más información, consulte Configurar la creación de reflejo del puerto.Your domain controllers and the ATA Gateways can be physical or virtual, see Configure port mirroring for more information.

EventosEvents

Para mejorar la detección de ATA de Pass-the-Hash, fuerza bruta, modificación de grupos confidenciales y de Honey Tokens, ATA necesita los siguientes eventos de Windows: 4776, 4732, 4733, 4728, 4729, 4756 y 4757.To enhance ATA detection of Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Tokens, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Estas pueden ser leídas automáticamente por la puerta de enlace ligera de ATA o, en caso de que no se implemente la puerta de enlace ligera de ATA, se pueden reenviar a la puerta de enlace de ATA de dos maneras: configurando la puerta de enlace de ATA para que escuche eventos SIEM o configurando el reenvío de eventos de Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

  • Configurar la puerta de enlace de ATA para que escuche eventos de SIEMConfiguring the ATA Gateway to listen for SIEM events
    Configure el SIEM para que reenvíe eventos de Windows específicos a ATA.Configure your SIEM to forward specific Windows events to ATA. ATA admite diversos proveedores de SIEM.ATA supports a number of SIEM vendors. Para obtener más información, consulte Configurar la recopilación de eventos.For more information, see Configure event collection.

  • Configurar el reenvío de eventos de WindowsConfiguring Windows Event Forwarding
    Otra forma de que ATA obtenga eventos consiste en configurar los controladores de dominio de manera que reenvíen los eventos de Windows 4776, 4732, 4733, 4728, 4729, 4756 y 4757 a la puerta de enlace de ATA.Another way ATA can get your events is by configuring your domain controllers to forward Windows events 4776, 4732, 4733, 4728, 4729, 4756 and 4757 to your ATA Gateway. Esto es especialmente útil si no hay un SIEM o si el SIEM no es compatible actualmente con ATA.This is especially useful if you don't have a SIEM or if your SIEM is not currently supported by ATA. Para completar la configuración del reenvío de eventos de Windows en ATA, consulte Configurar el reenvío de eventos de Windows.To complete your configuration of Windows Event Forwarding in ATA, see Configuring Windows event forwarding. Esto solo se aplica a las puertas de enlace físicas de ATA, y no a las puertas de enlace ligeras de ATA.This only applies to physical ATA Gateways - not to the ATA Lightweight Gateway.

Consulte tambiénSee Also