Architecture ATA
S’applique à : Advanced Threat Analytics version 1.9
L’architecture Advanced Threat Analytics est détaillée dans ce diagramme :
ATA surveille le trafic réseau de votre contrôleur de domaine en utilisant la mise en miroir des ports vers une passerelle ATA à l'aide de commutateurs physiques ou virtuels. Si vous déployez la passerelle ATA Lightweight directement sur vos contrôleurs de domaine, vous n'avez plus besoin d'une mise en miroir des ports. En outre, ATA peut tirer profit des événements Windows (transférés directement à partir de vos contrôleurs de domaine ou d’un serveur SIEM) et analyser les données pour les attaques et les menaces. Cette section décrit le flux de capture d’événements et de réseau pour décrire les fonctionnalités des principaux composants d’ATA : la passerelle ATA, la passerelle légère ATA (qui a les mêmes fonctionnalités principales que la passerelle ATA) et le Centre ATA.
Composants ATA
ATA se compose des éléments suivants :
- Centre ATA
Le Centre ATA reçoit des données de toutes les passerelles ATA et/ou des passerelles légères ATA que vous déployez. - Passerelle ATA
La passerelle ATA est installée sur un serveur dédié qui surveille le trafic de vos contrôleurs de domaine à l'aide d'une mise en miroir des ports ou d'un TAP réseau. - Passerelle légère ATA
la passerelle ATA Lightweight est installée directement sur vos contrôleurs de domaine et surveille directement leur trafic, sans nécessiter de serveur dédié ou de configuration de la mise en miroir des ports. Il s’agit d’une alternative à la passerelle ATA.
Un déploiement ATA peut se composer d’un seul Centre ATA connecté à toutes les passerelles ATA, à toutes les passerelles légères ATA ou à une combinaison de passerelles ATA et de passerelles légères ATA.
Options de déploiement
Vous pouvez déployer ATA à l’aide de la combinaison suivante de passerelles :
- Utilisation uniquement de passerelles ATA
Votre déploiement ATA ne peut contenir que des passerelles ATA, sans passerelles légères ATA : Tous les contrôleurs de domaine doivent être configurés pour permettre la mise en miroir des ports vers une passerelle ATA ou des TAP réseau doivent être en place. - Utilisation uniquement de passerelles légères ATA
Votre déploiement ATA ne peut contenir que des passerelles ATA Lightweight : Les passerelles ATA Lightweight sont déployées sur chaque contrôleur de domaine et aucun serveur supplémentaire ou configuration de mise en miroir des ports n'est nécessaire. - Utilisation des passerelles ATA et des passerelles légères ATA
Votre déploiement ATA inclut à la fois les passerelles ATA et les passerelles légères ATA. Les passerelles ATA Lightweight sont installées sur certains de vos contrôleurs de domaine (par exemple, tous les contrôleurs de domaine de vos sites de succursale). En même temps, d’autres contrôleurs de domaine sont surveillés par les passerelles ATA (par exemple, les plus grands contrôleurs de domaine dans vos centres de données principaux).
Dans tous ces scénarios, toutes les passerelles envoient leurs données au Centre ATA.
Centre ATA
Le Centre ATA exécute les fonctions suivantes :
Gère les paramètres de configuration de la passerelle légère ATA et de la passerelle légère ATA
Reçoit les données des passerelles ATA et des passerelles légères ATA
Détecte les activités suspectes
Exécute des algorithmes d’apprentissage automatique comportementaux ATA pour détecter un comportement anormal
Exécute différents algorithmes déterministes pour détecter les attaques avancées en fonction de la chaîne de destruction d’attaque
Exécute la Console ATA
Facultatif : le Centre ATA peut être configuré pour envoyer des e-mails et des événements lorsqu’une activité suspecte est détectée.
Le Centre ATA reçoit le trafic analysé à partir de la passerelle ATA et de la passerelle légère ATA. Il effectue ensuite un profilage, exécute une détection déterministe et des algorithmes d'apprentissage automatique et comportementaux pour en savoir plus sur votre réseau, permettre la détection d'anomalies et vous avertir d'activités suspectes.
| Type | Description |
|---|---|
| Récepteur d’entités | Reçoit des lots d’entités de toutes les passerelles ATA et des passerelles légères ATA. |
| Processeur d’activité réseau | Traite toutes les activités du réseau dans chaque lot reçu. Par exemple, la correspondance entre les différentes étapes Kerberos effectuées à partir d’ordinateurs potentiellement différents |
| Entity Profiler | Profile toutes les entités uniques en fonction du trafic et des événements. Par exemple, ATA met à jour la liste des ordinateurs connectés pour chaque profil utilisateur. |
| Base de données centre | Gère le processus de rédaction des activités et des événements du réseau dans la base de données. |
| Base de données | ATA utilise MongoDB pour stocker toutes les données dans le système : - Activités du réseau - Activités d’événement - Entités uniques - Activités suspectes - Configuration ATA |
| Détecteurs | Les détecteurs utilisent des algorithmes d’apprentissage automatique et des règles déterministes pour rechercher des activités suspectes et un comportement anormal de l’utilisateur dans votre réseau. |
| Console ATA | La Console ATA est destinée à configurer ATA et à surveiller les activités suspectes détectées par ATA sur votre réseau. La Console ATA ne dépend pas du service Centre ATA et s’exécute même lorsque le service est arrêté, tant qu’il peut communiquer avec la base de données. |
Tenez compte des critères suivants lors du choix du nombre de centres ATA à déployer sur votre réseau :
Un Centre ATA peut surveiller une forêt Active Directory unique. Si vous avez plusieurs forêts Active Directory, vous avez besoin d’un minimum d’un Centre ATA par forêt Active Directory.
Dans les déploiements Active Directory volumineux, un seul Centre ATA peut ne pas être en mesure de gérer tout le trafic de tous vos contrôleurs de domaine. Dans ce cas, plusieurs centres ATA sont requis. Le nombre de centres ATA doit être dicté par la planification de capacité ATA.
Passerelle ATA et passerelle légère ATA
Fonctionnalités principales de la passerelle
La passerelle ATA et la passerelle légère ATA ont toutes les deux les mêmes fonctionnalités principales :
Capturez et inspectez le trafic réseau du contrôleur de domaine. Il s’agit du trafic miroir de port pour les passerelles ATA et le trafic local du contrôleur de domaine dans les passerelles légères ATA.
Recevoir des événements Windows provenant de serveurs SIEM ou Syslog, ou de contrôleurs de domaine à l'aide du transfert d’événements Windows
Récupérer des données sur les utilisateurs et les ordinateurs du domaine Active Directory
Effectuer la résolution des entités réseau (utilisateurs, groupes et ordinateurs)
Transférer des données pertinentes vers le Centre ATA
Surveillez plusieurs contrôleurs de domaine à partir d’une passerelle ATA unique ou surveillez un seul contrôleur de domaine pour une passerelle légère ATA.
La passerelle ATA reçoit le trafic réseau et les événements Windows de votre réseau et les traite dans les composants principaux suivants :
| Type | Description |
|---|---|
| Écouteur réseau | L’écouteur réseau capture le trafic réseau et analyse le trafic. Il s'agit d'une tâche lourde pour l'UC, il est donc particulièrement important de vérifier les prérequis ATA lors de la planification de votre passerelle ATA ou de votre passerelle légère ATA. |
| d’événements de blockchain | L’écouteur d’événements capture et analyse les événements Windows transférés à partir d’un serveur SIEM sur votre réseau. |
| Lecteur du journal des événements Windows | Le lecteur du journal des événements Windows lit et analyse les événements Windows transférés au journal des événements Windows de la passerelle ATA à partir des contrôleurs de domaine. |
| Traducteur d’activité réseau | Traduit le trafic analysé en une représentation logique du trafic utilisé par ATA (NetworkActivity). |
| Résolution d’entités | Le programme de résolution d’entités prend les données analysées (trafic réseau et événements) et les résout avec Active Directory pour rechercher les informations de compte et d’identité. Il est ensuite mis en correspondance avec les adresses IP trouvées dans les données analysées. Le programme de résolution d’entités inspecte efficacement les en-têtes de paquets afin d’activer l’analyse des paquets d’authentification pour les noms d’ordinateurs, les propriétés et les identités. Le programme de résolution d’entité combine les paquets d’authentification analysés avec les données du paquet réel. |
| Expéditeur d’entité | L’expéditeur d’entité envoie les données analysées et mises en correspondance au Centre ATA. |
Fonctions de la passerelle légère ATA
Les fonctions suivantes fonctionnent différemment selon que vous utilisez une passerelle ATA ou une passerelle légère ATA.
La passerelle ATA Lightweight peut lire les événements localement, sans avoir à configurer le transfert d’événements.
Candidat du synchronisateur de domaine
La passerelle de synchronisateur de domaine est chargée de synchroniser toutes les entités à partir d’un domaine Active Directory spécifique de manière proactive (comme le mécanisme utilisé par les contrôleurs de domaine eux-mêmes pour la réplication). Une passerelle est choisie de façon aléatoire, dans la liste des candidats, pour servir de synchronisateur de domaine.
Si le synchronisateur est hors connexion pendant plus de 30 minutes, un autre candidat est choisi à la place. S’il n’existe aucun candidat du synchronisateur de domaine disponible pour un domaine spécifique, ATA synchronise de manière proactive les entités et leurs modifications, mais ATA récupère de manière réactive les nouvelles entités lorsqu’elles sont détectées dans le trafic surveillé.Lorsqu’aucun synchronisateur de domaine n’est disponible, la recherche d’une entité sans trafic n’affiche aucun résultat.
Par défaut, toutes les passerelles ATA sont des candidats au synchronisateur de domaine.
Étant donné que toutes les passerelles légères ATA sont plus susceptibles d'être déployées dans des sites annexes et sur de petits contrôleurs de domaine, elles ne sont pas candidates à la synchronisation par défaut.
Dans un environnement avec uniquement des passerelles légères, il est recommandé d’affecter deux des passerelles en tant que candidats synchronisateurs, où une passerelle légère est le candidat du synchronisateur par défaut et l’une est la sauvegarde au cas où la valeur par défaut était hors connexion pendant plus de 30 minutes.
Limitations des ressources
La passerelle ATA Lightweight inclut un composant de supervision qui évalue la capacité de calcul et de mémoire disponible sur le contrôleur de domaine où il s’exécute. Le processus de surveillance s’exécute toutes les 10 secondes et met à jour dynamiquement le quota d’utilisation du processeur et de la mémoire sur le processus de passerelle ATA Lightweight pour vous assurer qu’à un moment donné, le contrôleur de domaine dispose d’au moins 15 % des ressources de calcul et de mémoire libres.Peu importe ce qui se passe sur le contrôleur de domaine, ce processus libère toujours les ressources pour s’assurer que la fonctionnalité principale du contrôleur de domaine n’est pas affectée.
Si cela entraîne l’expiration de la passerelle ATA Lightweight, seul le trafic partiel est surveillé et l’alerte d’intégrité « Port supprimé miroir trafic réseau » s’affiche dans la page Intégrité.
Le tableau suivant fournit un exemple de contrôleur de domaine avec suffisamment de ressources de calcul disponibles pour permettre un quota plus grand, puis est actuellement nécessaire, afin que tout le trafic soit surveillé :
| Active Directory (Lsass.exe) | Passerelle légère ATA (Microsoft.Tri.Gateway.exe) | Divers (autres processus) | Quota de passerelle légère ATA | Suppression de passerelle |
|---|---|---|---|---|
| 30 % | 20 % | 10 % | 45 % | Non |
Si Active Directory a besoin de plus de calcul, le quota nécessaire par la passerelle ATA Lightweight est réduit. Dans l’exemple suivant, la passerelle légère ATA a besoin de plus que le quota alloué et supprime certains du trafic (surveillance uniquement du trafic partiel) :
| Active Directory (Lsass.exe) | Passerelle légère ATA (Microsoft.Tri.Gateway.exe) | Divers (autres processus) | Quota de passerelle légère ATA | Suppression de la passerelle |
|---|---|---|---|---|
| 60 % | 15 % | 10 % | 15 % | Oui |
Vos composants réseau
Pour utiliser ATA, veillez à vérifier que les composants suivants sont configurés.
Mise en miroir des ports
Si vous utilisez des passerelles ATA, vous devez configurer la mise en miroir des ports pour les contrôleurs de domaine surveillés et définir la passerelle ATA comme destination à l’aide des commutateurs physiques ou virtuels. Une autre option consiste à utiliser des TAPS réseau. ATA fonctionne si certains, mais pas tous vos contrôleurs de domaine, sont surveillés, mais que les détections sont moins efficaces.
Alors que la mise en miroir des ports reflète l'ensemble du trafic réseau du contrôleur de domaine vers la passerelle ATA, seul un petit pourcentage de ce trafic est ensuite envoyé, compressé, au centre ATA pour analyse.
Vos contrôleurs de domaine et les passerelles ATA peuvent être physiques ou virtuels, consultez Configurer la mise en miroir des ports pour plus d'informations.
Événements
Pour améliorer la détection par ATA de Pass-the-Hash, Brute Force, Modification de groupes sensibles et Jetons Honey, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757. Ceux-ci peuvent être lus automatiquement par la passerelle ATA Lightweight ou, si cette dernière n'est pas déployée, ils peuvent être transmis à la passerelle ATA de deux manières : en configurant la passerelle ATA pour qu'elle écoute les événements SIEM ou en Configurant le transfert d'événements Windows.
Configuration de la passerelle ATA pour écouter les événements SIEM
Configurez votre SIEM pour transférer des événements Windows spécifiques vers ATA. ATA prend en charge un certain nombre de fournisseurs SIEM. Pour plus d’informations, consultez Configurer la collecte d'événements.Configuration du transfert d’événements Windows
Une autre façon dont ATA peut obtenir vos événements consiste à configurer vos contrôleurs de domaine pour transférer les événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 à votre passerelle ATA. Cela est particulièrement utile si vous n’avez pas de SIEM ou si votre SIEM n’est actuellement pas pris en charge par ATA. Pour terminer votre configuration du transfert d’événements Windows dans ATA, consultez Configuration du transfert d’événements Windows. Cela s’applique uniquement aux passerelles ATA physiques, et non à la passerelle ATA Lightweight.