S’applique à : Advanced Threat Analytics version 1.8Applies to: Advanced Threat Analytics version 1.8

Architecture d’ATAATA Architecture

L’architecture d’Advanced Threat Analytics est détaillée dans ce diagramme :The Advanced Threat Analytics architecture is detailed in this diagram:

Diagramme de la topologie de l’architecture ATA

ATA surveille le trafic réseau de votre contrôleur de domaine en utilisant la mise en miroir des ports sur une passerelle ATA à l’aide de commutateurs physiques ou virtuels.ATA monitors your domain controller network traffic by utilizing port mirroring to an ATA Gateway using physical or virtual switches. Si vous déployez la passerelle légère ATA directement sur vos contrôleurs de domaine, la mise en miroir des ports est inutile.If you deploy the ATA Lightweight Gateway directly on your domain controllers, it removes the requirement for port mirroring. De plus, ATA peut tirer parti des événements Windows (transférés directement à partir de vos contrôleurs de domaine ou d’un serveur SIEM) et analyser les données à la recherche d’attaques et de menaces.In addition, ATA can leverage Windows events (forwarded directly from your domain controllers or from a SIEM server) and analyze the data for attacks and threats. Cette section décrit le flux de capture réseau et d’événements, ainsi que les fonctionnalités des principaux composants d’ATA : la passerelle ATA, la passerelle légère ATA (qui a les mêmes fonctionnalités de base que la passerelle ATA) et le centre ATA.This section describes the flow of network and event capturing and drills down to describe the functionality of the main components of ATA: the ATA Gateway, ATA Lightweight Gateway (which has the same core functionality as the ATA Gateway), and the ATA Center.

Diagramme du flux de trafic ATA

Composants ATAATA Components

ATA est constitué des composants suivants :ATA consists of the following components:

  • Centre ATAATA Center
    Le centre ATA reçoit des données à partir des passerelles ATA et/ou ATA légères que vous déployez.The ATA Center receives data from any ATA Gateways and/or ATA Lightweight Gateways you deploy.
  • Passerelle ATAATA Gateway
    La passerelle ATA est installée sur un serveur dédié qui surveille le trafic à partir de vos contrôleurs de domaine à l’aide de la mise en miroir des ports ou d’un TAP réseau.The ATA Gateway is installed on a dedicated server that monitors the traffic from your domain controllers using either port mirroring or a network TAP.
  • Passerelle légère ATAATA Lightweight Gateway
    La passerelle ATA légère est installée directement sur vos contrôleurs de domaine et analyse directement leur trafic, sans recourir à un serveur dédié ou à une configuration de mise en miroir des ports.The ATA Lightweight Gateway is installed directly on your domain controllers and monitors their traffic directly, without the need for a dedicated server or configuration of port mirroring. Il s’agit d’une alternative à la passerelle ATA.It is an alternative to the ATA Gateway.

Un déploiement ATA peut se composer d’un seul centre ATA connecté à toutes les passerelles ATA, à toutes les passerelles légères ATA ou à une combinaison de passerelles ATA et de passerelles légères ATA.An ATA deployment can consist of a single ATA Center connected to all ATA Gateways, all ATA Lightweight Gateways, or a combination of ATA Gateways and ATA Lightweight Gateways.

Options de déploiementDeployment options

Vous pouvez déployer ATA à l’aide de la combinaison de passerelles suivante :You can deploy ATA using the following combination of gateways:

  • Utilisation de passerelles ATA uniquementUsing only ATA Gateways
    Si votre déploiement ATA contient uniquement des passerelles ATA, sans aucune passerelle légère ATA, tous les contrôleurs de domaine doivent être configurés pour activer la mise en miroir des ports sur une passerelle ATA ou des TAP réseau doivent être en place.Your ATA deployment can contain only ATA Gateways, without any ATA Lightweight Gateways: All the domain controllers must be configured to enable port mirroring to an ATA Gateway or network TAPs must be in place.
  • Utilisation de passerelles légères ATA uniquementUsing only ATA Lightweight Gateways
    Si votre déploiement ATA contient uniquement des passerelles légères ATA, celles-ci sont déployées sur chaque contrôleur de domaine et aucun serveur supplémentaire ou configuration de mise en miroir des ports n’est nécessaire.Your ATA deployment can contain only ATA Lightweight Gateways: The ATA Lightweight Gateways are deployed on each domain controller and no additional servers or port mirroring configuration is necessary.
  • Utilisation de passerelles ATA et de passerelles légères ATAUsing both ATA Gateways and ATA Lightweight Gateways
    Votre déploiement ATA comprend des passerelles ATA et des passerelles légères ATA.Your ATA deployment includes both ATA Gateways and ATA Lightweight Gateways. Les passerelles légères ATA sont installées sur certains de vos contrôleurs de domaine (par exemple, tous les contrôleurs de domaine de vos sites de succursale).The ATA Lightweight Gateways are installed on some of your domain controllers (for example, all domain controllers in your branch sites). En même temps, d’autres contrôleurs de domaine sont surveillés par des passerelles ATA (par exemple, les plus grands contrôleurs de domaine de vos principaux centres de données).At the same time, other domain controllers are monitored by ATA Gateways (for example, the larger domain controllers in your main data centers).

Dans tous ces scénarios, toutes les passerelles envoient leurs données au centre ATA.In all these scenarios, all the gateways send their data to the ATA Center.

Centre ATAATA Center

Le centre ATA effectue ce qui suit :The ATA Center performs the following functions:

  • Gère les paramètres de configuration des passerelles ATA et des passerelles légères ATAManages ATA Gateway and ATA Lightweight Gateway configuration settings

  • Reçoit les données des passerelles ATA et des passerelles légères ATAReceives data from ATA Gateways and ATA Lightweight Gateways

  • Détecte les activités suspectesDetects suspicious activities

  • Exécute des algorithmes d’apprentissage automatique de comportement ATA pour détecter les comportements anormauxRuns ATA behavioral machine learning algorithms to detect abnormal behavior

  • Exécute différents algorithmes déterministes pour détecter les attaques avancées en fonction de la chaîne de destruction d’attaque avancéeRuns various deterministic algorithms to detect advanced attacks based on the attack kill chain

  • Exécute la console ATARuns the ATA Console

  • Facultatif : le centre ATA peut être configuré pour envoyer des e-mails et des événements quand une activité suspecte est détectée.Optional: The ATA Center can be configured to send emails and events when a suspicious activity is detected.

Le centre ATA reçoit le trafic analysé de la passerelle ATA et de la passerelle légère ATA.The ATA Center receives parsed traffic from the ATA Gateway and ATA Lightweight Gateway. Le centre ATA effectue ensuite le profilage, exécute la détection déterministe, et exécute l’apprentissage automatique et les algorithmes comportementaux pour en savoir plus sur votre réseau afin de détecter les anomalies et vous avertir des activités suspectes.It then performs profiling, runs deterministic detection, and runs machine learning and behavioral algorithms to learn about your network, enable detection of anomalies and warn you of suspicious activities.

Récepteur d’entitéEntity Receiver Reçoit des lots d’entités de toutes les passerelles ATA et passerelles légères ATA.Receives batches of entities from all ATA Gateways and ATA Lightweight Gateways.
Processeur d’activité réseauNetwork Activity Processor Traite toutes les activités réseau au sein de chaque lot reçu.Processes all the network activities within each batch received. par exemple, en mettant en correspondance les différentes étapes Kerberos effectuées depuis des ordinateurs potentiellement différents.For example, matching between the various Kerberos steps performed from potentially different computers
Profileur d’entitéEntity Profiler Associe un profil à toutes les entités uniques en fonction du trafic et des événements.Profiles all the Unique Entities according to the traffic and events. Par exemple, ATA met à jour la liste des ordinateurs avec une session ouverte pour chaque profil utilisateur.For example, ATA updates the list of logged-on computers for each user profile.
Base de données du centreCenter Database Gère le processus d’écriture des activités réseau et des événements dans la base de données.Manages the writing process of the Network Activities and events into the database.
DatabaseDatabase ATA utilise MongoDB pour stocker l’ensemble des données du système :ATA utilizes MongoDB for purposes of storing all the data in the system:

- Activités réseau- Network activities
- Activités d’événements- Event activities
- Entités uniques- Unique entities
- Activités suspectes- Suspicious activities
- Configuration ATA- ATA configuration
DétecteursDetectors Les détecteurs utilisent des algorithmes d’apprentissage automatique et des règles déterministes pour rechercher les activités suspectes et les comportements anormaux des utilisateurs sur votre réseau.The Detectors use machine learning algorithms and deterministic rules to find suspicious activities and abnormal user behavior in your network.
Console ATAATA Console La console ATA permet de configurer ATA et de surveiller les activités suspectes détectées par ATA sur votre réseau.The ATA Console is for configuring ATA and monitoring suspicious activities detected by ATA on your network. La console ATA ne dépend pas du service du centre ATA et s’exécute même quand celui-ci est arrêté, à condition qu’elle puisse communiquer avec la base de données.The ATA Console is not dependent on the ATA Center service and runs even when the service is stopped, as long as it can communicate with the database.

Prenez en compte les critères suivants quand vous choisissez le nombre de centres ATA à déployer sur votre réseau :Consider the following criteria when deciding how many ATA Centers to deploy on your network:

  • Un centre ATA ne peut surveiller qu’une seule forêt Active Directory.One ATA Center can monitor a single Active Directory forest. Si vous avez plusieurs forêts Active Directory, vous avez besoin d’au moins un centre ATA par forêt Active Directory.If you have more than one Active Directory forest, you need a minimum of one ATA Center per Active Directory forest.

  • Dans les déploiements d’Active Directory à grande échelle, un seul centre ATA ne sera peut-être pas suffisant pour gérer le trafic de tous les contrôleurs de domaine.In large Active Directory deployments, a single ATA Center might not be able to handle all the traffic of all your domain controllers. Dans ce cas, plusieurs centres ATA sont nécessaires.In this case, multiple ATA Centers are required. Le nombre de centres ATA doit être défini par la planification de la capacité ATA.The number of ATA Centers should be dictated by ATA capacity planning.

Passerelle ATA et passerelle légère ATAATA Gateway and ATA Lightweight Gateway

Fonctionnalité de base de la passerelleGateway core functionality

La passerelle ATA et la passerelle légère ATA ont la même fonctionnalité de base :The ATA Gateway and ATA Lightweight Gateway both have the same core functionality:

  • Capturez et inspectez le trafic réseau des contrôleurs de domaine.Capture and inspect domain controller network traffic. Il s’agit du trafic avec mise en miroir des ports pour les passerelles ATA et du trafic local du contrôleur de domaine dans les passerelles légères ATA.This is port mirrored traffic for ATA Gateways and local traffic of the domain controller in ATA Lightweight Gateways.

  • Recevoir des événements Windows provenant de serveurs SIEM ou Syslog, ou de contrôleurs de domaine par le biais du transfert d’événements WindowsReceive Windows events from SIEM or Syslog servers, or from domain controllers using Windows Event Forwarding

  • Récupérer les données concernant les utilisateurs et les ordinateurs à partir du domaine Active DirectoryRetrieve data about users and computers from the Active Directory domain

  • Effectuer la résolution des entités réseau (utilisateurs, groupes et ordinateurs)Perform resolution of network entities (users, groups, and computers)

  • Transférer les données pertinentes au centre ATATransfer relevant data to the ATA Center

  • Surveiller plusieurs contrôleurs de domaine à partir d’une seule passerelle ATA, ou surveiller un seul contrôleur de domaine pour une passerelle légère ATAMonitor multiple domain controllers from a single ATA Gateway, or monitor a single domain controller for an ATA Lightweight Gateway.

La passerelle ATA reçoit le trafic réseau et les événements Windows de votre réseau, et les traite dans les composants principaux suivants :The ATA Gateway receives network traffic and Windows Events from your network and processes it in the following main components:

Écouteur réseauNetwork Listener L’écouteur réseau capture le trafic réseau et analyse le trafic.The Network Listener captures network traffic and parsing the traffic. Il s’agit d’une tâche qui nécessite une utilisation intensive du processeur. Il est donc important de consulter la configuration requise pour ATA quand vous planifiez votre passerelle ATA ou passerelle légère ATA.This is a CPU-heavy task, so it is especially important to check ATA Prerequisites when planning your ATA Gateway or ATA Lightweight Gateway.
Écouteur d’événementsEvent Listener L’écouteur d’événements capture et analyse les événements Windows transférés à partir d’un serveur SIEM sur votre réseau.The Event Listener captures and parsing Windows Events forwarded from a SIEM server on your network.
Lecteur du journal des événements WindowsWindows Event Log Reader Le lecteur du journal des événements Windows lit et analyse les événements Windows transférés au journal des événements Windows de la passerelle ATA par les contrôleurs de domaine.The Windows Event Log Reader reads and parsing Windows Events forwarded to the ATA Gateway's Windows Event Log from the domain controllers.
Traducteur d’activité réseauNetwork Activity Translator Traduit le trafic analysé en une représentation logique du trafic utilisée par ATA (NetworkActivity).Translates parsed traffic into a logical representation of the traffic used by ATA (NetworkActivity).
Programme de résolution des entitésEntity Resolver Le programme de résolution des entités reçoit les données analysées (le trafic réseau et les événements) et les résout à l’aide d’Active Directory pour trouver les informations de compte et d’identité.The Entity Resolver takes the parsed data (network traffic and events) and resolves it data with Active Directory to find account and identity information. Ensuite, il les met en correspondance avec les adresses IP trouvées dans les données analysées.It is then matched with the IP addresses found in the parsed data. Le programme de résolution des entités inspecte les en-têtes de paquets de manière efficace, pour permettre l’analyse des noms, propriétés et identités d’ordinateurs dans les paquets d’authentification.The Entity Resolver inspects the packet headers efficiently, to enable parsing of authentication packets for machine names, properties, and identities. Le programme de résolution des entités combine les paquets d’authentification analysés avec les données du paquet.The Entity Resolver combines the parsed authentication packets with the data in the actual packet.
Expéditeur d’entitéEntity Sender L’expéditeur d’entité envoie au centre ATA les données analysées et mises en correspondance.The Entity Sender sends the parsed and matched data to the ATA Center.

Fonctionnalités de la passerelle légère ATAATA Lightweight Gateway features

Les fonctionnalités suivantes fonctionnent différemment selon que vous exécutez une passerelle ATA ou une passerelle légère ATA.The following features work differently depending on whether you are running an ATA Gateway or an ATA Lightweight Gateway.

  • La passerelle légère ATA peut lire les événements localement, sans qu’il soit nécessaire de configurer le transfert d’événements.The ATA Lightweight Gateway can read events locally, without the need to configure event forwarding.

  • Candidat synchronisateur de domaineDomain synchronizer candidate
    La passerelle synchronisatrice de domaine est responsable de la synchronisation proactive de toutes les entités d’un domaine Active Directory spécifique (semblable au mécanisme utilisé par les contrôleurs de domaine eux-mêmes pour la réplication).The domain synchronizer gateway is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). Une passerelle est choisie au hasard comme synchronisateur de domaine dans la liste des candidats.One gateway is chosen randomly, from the list of candidates, to serve as the domain synchronizer.

    Si le synchronisateur est hors connexion pendant plus de 30 minutes, un autre candidat est choisi à la place.If the synchronizer is offline for more than 30 minutes, another candidate is chosen instead. Si aucun synchronisateur de domaine n’est disponible pour un domaine spécifique, ATA ne peut pas synchroniser de manière proactive les entités et leurs modifications, mais il récupère de manière réactive les nouvelles entités à mesure qu’elles sont détectées dans le trafic analysé.If there is no domain synchronizer available for a specific domain, ATA is able to proactively synchronize entities and their changes, however ATA will reactively retrieve new entities as they are detected in the monitored traffic.
    Si aucun synchronisateur de domaine n’est disponible et que vous recherchez une entité avec laquelle aucun trafic n’était associé, aucun résultat de recherche ne s’affiche.If there is no domain synchronizer available, and you search for an entity that did not have any traffic related to it, no search results are displayed.

    Par défaut, toutes les passerelles ATA sont des candidats synchronisateurs.By default, all ATA Gateways are synchronizer candidates.

    Comme il est plus probable que toutes les passerelles légères ATA soient déployées dans des sites de succursale et sur des contrôleurs de domaine de petite taille, par défaut elles ne sont pas candidats synchronisateurs.Because all ATA Lightweight Gateways are more likely to be deployed in branch sites and on small domain controllers, they are not synchronizer candidates by default.

  • Limitations des ressourcesResource limitations
    La passerelle légère ATA inclut un composant d’analyse qui évalue la capacité de calcul et de mémoire disponible sur le contrôleur de domaine sur lequel elle s’exécute.The ATA Lightweight Gateway includes a monitoring component that evaluates the available compute and memory capacity on the domain controller on which it is running. Le processus d’analyse s’exécute toutes les 10 secondes et met à jour de manière dynamique le quota d’utilisation du processeur et de la mémoire sur le processus de la passerelle légère ATA pour s’assurer qu’à tout moment le contrôleur de domaine dispose d’au moins 15 % de ressources de calcul et de mémoire libres.The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the ATA Lightweight Gateway process to make sure that at any given point in time, the domain controller has at least 15% of free compute and memory resources.

    Quoi qu’il se passe sur le contrôleur de domaine, ce processus libère toujours des ressources pour s’assurer que la fonctionnalité de base du contrôleur de domaine n’est pas affectée.No matter what happens on the domain controller, this process always frees up resources to make sure the domain controller's core functionality is not affected.

    Si à cause de cela la passerelle légère ATA manque de ressources, le trafic est seulement partiellement analysé et l’alerte de surveillance « Le trafic réseau du port en miroir qui a été supprimé » s’affiche dans la page Intégrité.If this causes the ATA Lightweight Gateway to run out of resources, only partial traffic is monitored and the monitoring alert "Dropped port mirrored network traffic" appears in the Health page.

Le tableau suivant présente un exemple de contrôleur de domaine qui dispose de suffisamment de ressources de calcul pour autoriser un quota plus élevé que ce qui est nécessaire actuellement. Ainsi, tout le trafic est analysé :The following table provides an example of a domain controller with enough compute resource available to allow for a larger quota then is currently needed, so that all traffic is monitored:

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Passerelle légère ATA (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Divers (autres processus)Miscellaneous (other processes) Quota de passerelle légère ATAATA Lightweight Gateway Quota Trafic ignoré par la passerelleGateway dropping
30 %30% 20 %20% 10 %10% 45 %45% NonNo

Si Active Directory a besoin de davantage de puissance de calcul, le quota requis par la passerelle légère ATA est réduit.If Active Directory needs more compute, the quota needed by the ATA Lightweight Gateway is reduced. Dans l’exemple suivant, la passerelle légère ATA a besoin de davantage que le quota alloué et ignore une partie du trafic (analyse partielle du trafic) :In the following example, The ATA Lightweight Gateway needs more than the allocated quota and drops some of the traffic (monitoring only partial traffic):

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Passerelle légère ATA (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Divers (autres processus)Miscellaneous (other processes) Quota de passerelle légère ATAATA Lightweight Gateway Quota Trafic ignoré par la passerelleIs gateway dropping
60 %60% 15 %15% 10 %10% 15 %15% OuiYes

Composants du réseauYour network components

Pour utiliser ATA, veillez à vérifier que les composants suivants sont configurés.In order to work with ATA, make sure to check that the following components are set up.

Mise en miroir des portsPort mirroring

Si vous utilisez des passerelles ATA, vous devez configurer la mise en miroir des ports pour les contrôleurs de domaine à surveiller et définir la passerelle ATA comme destination à l’aide des commutateurs physiques ou virtuels.If you are using ATA Gateways, you have to set up port mirroring for the domain controllers that are monitored and set the ATA Gateway as the destination using the physical or virtual switches. Une autre option consiste à utiliser des TAP réseau.Another option is to use network TAPs. ATA fonctionne si plusieurs contrôleurs de domaine sont surveillés, mais pas tous. Toutefois, la détection est moins efficace.ATA works if some but not all of your domain controllers are monitored, but detections are less effective.

Même si tout le trafic réseau des contrôleurs de domaine est mis en miroir vers la passerelle ATA, seul un petit pourcentage de ce trafic est envoyé (compressé) au centre ATA à des fins d’analyse.While port mirroring mirrors all the domain controller network traffic to the ATA Gateway, only a small percentage of that traffic is then sent, compressed, to the ATA Center for analysis.

Les contrôleurs de domaine et les passerelles ATA peuvent être physiques ou virtuels. Pour plus d’informations, consultez Configurer la mise en miroir des ports.Your domain controllers and the ATA Gateways can be physical or virtual, see Configure port mirroring for more information.

ÉvénementsEvents

Pour améliorer la détection ATA de l’attaque Pass-the-Hash, de l’attaque par force brute, de la modification des groupes sensibles et des comptes Honeyoken, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757.To enhance ATA detection of Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Tokens, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Ils peuvent être lus automatiquement par la passerelle légère ATA ou, si la passerelle légère ATA n’est pas déployée, ils peuvent être transférés à la passerelle ATA de deux manières : en configurant la passerelle ATA pour l’écoute des événements SIEM ou en configurant le transfert d’événements Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

  • Configuration de la passerelle ATA pour écouter les événements SIEMConfiguring the ATA Gateway to listen for SIEM events
    Configurez votre serveur SIEM de manière à transférer des événements Windows spécifiques vers ATA.Configure your SIEM to forward specific Windows events to ATA. ATA prend en charge plusieurs fournisseurs SIEM.ATA supports a number of SIEM vendors. Pour plus d’informations, consultez Configurer la collecte d’événements.For more information, see Configure event collection.

  • Configuration du transfert d’événements WindowsConfiguring Windows Event Forwarding
    ATA peut aussi obtenir vos événements en configurant vos contrôleurs de domaine pour qu’ils transfèrent les événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 à votre passerelle ATA.Another way ATA can get your events is by configuring your domain controllers to forward Windows events 4776, 4732, 4733, 4728, 4729, 4756 and 4757 to your ATA Gateway. Cette méthode est particulièrement utile si vous n’avez pas de serveur SIEM ou si votre serveur SIEM n’est pas actuellement pris en charge par ATA.This is especially useful if you don't have a SIEM or if your SIEM is not currently supported by ATA. Pour plus d’informations sur le transfert d’événements Windows dans ATA, consultez Configuration du transfert d’événements Windows.For more information about Windows Event Forwarding in ATA, see Configuring Windows event forwarding. Cela s’applique uniquement aux passerelles ATA physiques et non à la passerelle légère ATA.This only applies to physical ATA Gateways - not to the ATA Lightweight Gateway.

Voir aussiSee Also