Arsitektur ATA

Berlaku untuk: Advanced Threat Analytics versi 1.9

Arsitektur Analitik Ancaman Tingkat Lanjut dirinci dalam diagram ini:

ATA architecture topology diagram.

ATA memantau lalu lintas jaringan pengendali domain Anda dengan menggunakan pencerminan port ke Gateway ATA menggunakan sakelar fisik atau virtual. Jika Anda menyebarkan Gateway Ringan ATA langsung di pengontrol domain Anda, itu akan menghapus persyaratan untuk pencerminan port. Selain itu, ATA dapat memanfaatkan peristiwa Windows (diteruskan langsung dari pengontrol domain Anda atau dari server SIEM) dan menganalisis data untuk serangan dan ancaman. Bagian ini menjelaskan alur penangkapan jaringan dan peristiwa dan menelusuri paling detail untuk menjelaskan fungsionalitas komponen utama ATA: Gateway ATA, Gateway Ringan ATA (yang memiliki fungsi inti yang sama dengan Gateway ATA), dan Pusat ATA.

ATA traffic flow diagram.

Komponen ATA

ATA terdiri dari komponen-komponen berikut:

  • Pusat ATA
    Pusat ATA menerima data dari Gateway ATA dan/atau Gateway Ringan ATA yang Anda sebarkan.
  • ATA Gateway
    Gateway ATA diinstal pada server khusus yang memantau lalu lintas dari pengontrol domain Anda menggunakan pencerminan port atau TAP jaringan.
  • Gateway Ringan ATA
    Gateway Ringan ATA diinstal langsung pada pengontrol domain Anda dan memantau lalu lintas mereka secara langsung, tanpa perlu server khusus atau konfigurasi pencerminan port. Ini adalah alternatif untuk Gateway ATA.

Penyebaran ATA dapat terdiri dari satu Pusat ATA yang terhubung ke semua Gateway ATA, semua Gateway Ringan ATA, atau kombinasi Gateway ATA dan Gateway Ringan ATA.

Opsi penyebaran

Anda dapat menyebarkan ATA menggunakan kombinasi gateway berikut:

  • Hanya menggunakan Gateway ATA
    Penyebaran ATA Anda hanya dapat berisi Gateway ATA, tanpa Gateway Ringan ATA: Semua pengontrol domain harus dikonfigurasi untuk mengaktifkan pencerminan port ke Gateway ATA atau TAP jaringan harus diberlakukan.
  • Hanya menggunakan Gateway Ringan ATA
    Penyebaran ATA Anda hanya dapat berisi Gateway Ringan ATA: Gateway Ringan ATA disebarkan pada setiap pengontrol domain dan tidak ada server tambahan atau konfigurasi pencerminan port yang diperlukan.
  • Menggunakan Gateway ATA dan Gateway Ringan ATA
    Penyebaran ATA Anda mencakup Gateway ATA dan Gateway Ringan ATA. Gateway Ringan ATA diinstal pada beberapa pengendali domain Anda (misalnya, semua pengendali domain di situs cabang Anda). Pada saat yang sama, pengendali domain lain dipantau oleh Gateway ATA (misalnya, pengontrol domain yang lebih besar di pusat data utama Anda).

Dalam semua skenario ini, semua gateway mengirim data mereka ke Pusat ATA.

Pusat ATA

Pusat ATA melakukan fungsi berikut:

  • Mengelola pengaturan konfigurasi Gateway ATA dan Gateway Ringan ATA

  • Menerima data dari Gateway ATA dan Gateway Ringan ATA

  • Mendeteksi aktivitas yang mencurigakan

  • Menjalankan algoritma pembelajaran mesin perilaku ATA untuk mendeteksi perilaku abnormal

  • Menjalankan berbagai algoritma deterministik untuk mendeteksi serangan lanjutan berdasarkan rantai pembunuhan serangan

  • Menjalankan Konsol ATA

  • Opsional: Pusat ATA dapat dikonfigurasi untuk mengirim email dan peristiwa saat aktivitas mencurigakan terdeteksi.

Pusat ATA menerima lalu lintas yang diurai dari Gateway ATA dan Gateway Ringan ATA. Kemudian melakukan pembuatan profil, menjalankan deteksi deterministik, dan menjalankan pembelajaran mesin dan algoritma perilaku untuk mempelajari tentang jaringan Anda, mengaktifkan deteksi anomali dan memperingatkan Anda tentang aktivitas yang mencurigakan.

Jenis Deskripsi
Penerima Entitas Menerima batch entitas dari semua Gateway ATA dan Gateway Ringan ATA.
Prosesor Aktivitas Jaringan Memproses semua aktivitas jaringan dalam setiap batch yang diterima. Misalnya, pencocokan antara berbagai langkah Kerberos yang dilakukan dari komputer yang berpotensi berbeda
Profiler Entitas Memprofilkan semua Entitas Unik sesuai dengan lalu lintas dan peristiwa. Misalnya, ATA memperbarui daftar komputer yang masuk untuk setiap profil pengguna.
Database Tengah Mengelola proses penulisan Aktivitas Jaringan dan peristiwa ke dalam database.
Database ATA menggunakan MongoDB untuk tujuan menyimpan semua data dalam sistem:

- Aktivitas jaringan
- Aktivitas acara
- Entitas unik
- Aktivitas mencurigakan
- Konfigurasi ATA
Detektor Detektor menggunakan algoritma pembelajaran mesin dan aturan deterministik untuk menemukan aktivitas mencurigakan dan perilaku pengguna abnormal di jaringan Anda.
Konsol ATA Konsol ATA adalah untuk mengonfigurasi ATA dan memantau aktivitas mencurigakan yang terdeteksi oleh ATA di jaringan Anda. Konsol ATA tidak bergantung pada layanan Pusat ATA dan berjalan bahkan ketika layanan dihentikan, selama dapat berkomunikasi dengan database.

Pertimbangkan kriteria berikut saat memutuskan berapa banyak Pusat ATA yang akan disebarkan di jaringan Anda:

  • Satu Pusat ATA dapat memantau satu forest Direktori Aktif. Jika Anda memiliki lebih dari satu forest Direktori Aktif, Anda memerlukan minimal satu ATA Center per forest Active Directory.

  • Dalam penyebaran Direktori Aktif yang besar, satu Pusat ATA mungkin tidak dapat menangani semua lalu lintas semua pengontrol domain Anda. Dalam hal ini, diperlukan beberapa Pusat ATA. Jumlah Pusat ATA harus ditentukan oleh perencanaan kapasitas ATA.

Gateway ATA dan Gateway Ringan ATA

Fungsionalitas inti gateway

Gateway ATA dan Gateway Ringan ATA keduanya memiliki fungsi inti yang sama:

  • Menangkap dan memeriksa lalu lintas jaringan pengendali domain. Ini adalah lalu lintas port yang dicerminkan untuk Gateway ATA dan lalu lintas lokal pengendali domain di Gateway Ringan ATA.

  • Menerima peristiwa Windows dari server SIEM atau Syslog, atau dari pengontrol domain menggunakan Windows Penerusan Peristiwa

  • Mengambil data tentang pengguna dan komputer dari domain Direktori Aktif

  • Melakukan resolusi entitas jaringan (pengguna, grup, dan komputer)

  • Mentransfer data yang relevan ke Pusat ATA

  • Pantau beberapa pengontrol domain dari satu Gateway ATA, atau pantau satu pengontrol domain untuk Gateway Ringan ATA.

Gateway ATA menerima lalu lintas jaringan dan Windows Peristiwa dari jaringan Anda dan memprosesnya di komponen utama berikut:

Jenis Deskripsi
Pendengar Jaringan Pendengar Jaringan menangkap lalu lintas jaringan dan mengurai lalu lintas. Ini adalah tugas berat CPU, jadi sangat penting untuk memeriksa Prasyarat ATA saat merencanakan Gateway ATA atau Gateway Ringan ATA Anda.
Pendengar Peristiwa Pendengar Peristiwa menangkap dan mengurai peristiwa Windows yang diteruskan dari server SIEM di jaringan Anda.
Pembaca Log Peristiwa Windows Pembaca Log Peristiwa Windows membaca dan mengurai Peristiwa Windows yang diteruskan ke Log Peristiwa Windows Gateway ATA dari pengontrol domain.
Penerjemah Aktivitas Jaringan Menerjemahkan lalu lintas yang diurai ke dalam representasi logis dari lalu lintas yang digunakan oleh ATA (NetworkActivity).
Pemecah Masalah Entitas Pemecah Masalah Entitas mengambil data yang diurai (lalu lintas jaringan dan peristiwa) dan menyelesaikannya data dengan Direktori Aktif untuk menemukan informasi akun dan identitas. Kemudian dicocokkan dengan alamat IP yang ditemukan dalam data yang diurai. Pemecah Masalah Entitas memeriksa header paket secara efisien, untuk mengaktifkan penguraian paket autentikasi untuk nama komputer, properti, dan identitas. Pemecah Masalah Entitas menggabungkan paket autentikasi yang diurai dengan data dalam paket aktual.
Pengirim Entitas Pengirim Entitas mengirimkan data yang diurai dan cocok ke Pusat ATA.

Fitur Gateway Ringan ATA

Fitur berikut bekerja secara berbeda tergantung pada apakah Anda menjalankan Gateway ATA atau Gateway Ringan ATA.

  • Gateway Ringan ATA dapat membaca peristiwa secara lokal, tanpa perlu mengonfigurasi penerusan peristiwa.

  • Kandidat penyinkron domain
    Gateway penyinkron domain bertanggung jawab untuk menyinkronkan semua entitas dari domain Direktori Aktif tertentu secara proaktif (mirip dengan mekanisme yang digunakan oleh pengendali domain itu sendiri untuk replikasi). Satu gateway dipilih secara acak, dari daftar kandidat, untuk berfungsi sebagai penyinkron domain.
    Jika penyinkron offline selama lebih dari 30 menit, kandidat lain dipilih sebagai gantinya. Jika tidak ada kandidat penyinkron domain yang tersedia untuk domain tertentu, ATA secara proaktif menyinkronkan entitas dan perubahannya, namun ATA akan secara reaktif mengambil entitas baru saat terdeteksi dalam lalu lintas yang dipantau.

    Ketika tidak ada penyinkron domain yang tersedia, mencari entitas tanpa lalu lintas yang terkait dengannya tidak menampilkan hasil.

    Secara default, semua Gateway ATA adalah kandidat penyinkron domain.

    Karena semua Gateway Ringan ATA lebih mungkin disebarkan di situs cabang dan pada pengontrol domain kecil, mereka bukan kandidat penyinkron secara default.

    Di lingkungan dengan hanya Gateway Ringan, disarankan untuk menetapkan dua gateway sebagai kandidat penyinkron, di mana satu Gateway Ringan adalah kandidat penyinkron default dan satu adalah cadangan jika default offline selama lebih dari 30 menit.

  • Batasan sumber daya
    Gateway Ringan ATA menyertakan komponen pemantauan yang mengevaluasi kapasitas komputasi dan memori yang tersedia pada pengontrol domain tempatnya berjalan. Proses pemantauan berjalan setiap 10 detik dan secara dinamis memperbarui kuota pemanfaatan CPU dan memori pada proses Gateway Ringan ATA untuk memastikan bahwa pada titik waktu tertentu, pengendali domain memiliki setidaknya 15% sumber daya komputasi dan memori gratis.

    Apa pun yang terjadi pada pengendali domain, proses ini selalu membebaskan sumber daya untuk memastikan fungsionalitas inti pengontrol domain tidak terpengaruh.

    Jika ini menyebabkan Gateway Ringan ATA kehabisan sumber daya, hanya lalu lintas parsial yang dipantau dan peringatan kesehatan "Lalu lintas jaringan cermin port yang dihilangkan" muncul di halaman Kesehatan.

Tabel berikut ini menyediakan contoh pengendali domain dengan sumber daya komputasi yang cukup yang tersedia untuk memungkinkan kuota yang lebih besar saat ini diperlukan, sehingga semua lalu lintas dipantau:

Direktori Aktif (Lsass.exe) Gateway Ringan ATA (Microsoft.Tri.Gateway.exe) Lain-lain (proses lainnya) Kuota Gateway Ringan ATA Penghilangan gateway
30% 20% 10% 45% Tidak

Jika Direktori Aktif membutuhkan lebih banyak komputasi, kuota yang diperlukan oleh Gateway Ringan ATA berkurang. Dalam contoh berikut, Gateway Ringan ATA membutuhkan lebih dari kuota yang dialokasikan dan menghilangkan beberapa lalu lintas (hanya memantau lalu lintas parsial):

Direktori Aktif (Lsass.exe) Gateway Ringan ATA (Microsoft.Tri.Gateway.exe) Lain-lain (proses lainnya) Kuota Gateway Ringan ATA Apakah gateway menjatuhkan
60% 15% 10% 15% Ya

Komponen jaringan Anda

Untuk bekerja dengan ATA, pastikan untuk memeriksa apakah komponen berikut disiapkan.

Pencerminan port

Jika Anda menggunakan Gateway ATA, Anda harus menyiapkan pencerminan port untuk pengendali domain yang dipantau dan mengatur Gateway ATA sebagai tujuan menggunakan sakelar fisik atau virtual. Opsi lain adalah menggunakan SP jaringan. ATA berfungsi jika beberapa tetapi tidak semua pengontrol domain Anda dipantau, tetapi deteksi kurang efektif.

Sementara pencerminan port mencerminkan semua lalu lintas jaringan pengendali domain ke Gateway ATA, hanya sebagian kecil lalu lintas tersebut yang kemudian dikirim, dikompresi, ke Pusat ATA untuk analisis.

Pengontrol domain Anda dan Gateway ATA dapat berupa fisik atau virtual, lihat Mengonfigurasi pencerminan port untuk informasi selengkapnya.

Acara

Untuk meningkatkan deteksi ATA Pass-the-Hash, Brute Force, Modifikasi pada kelompok sensitif dan Token Madu, ATA membutuhkan peristiwa Windows berikut: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Ini dapat dibaca secara otomatis oleh Gateway Ringan ATA atau jika Gateway Ringan ATA tidak disebarkan, itu dapat diteruskan ke Gateway ATA dengan salah satu dari dua cara, dengan mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM atau dengan Mengonfigurasi Windows Penerusan Peristiwa.

  • Mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM
    Konfigurasikan SIEM Anda untuk meneruskan peristiwa Windows tertentu ke ATA. ATA mendukung sejumlah vendor SIEM. Untuk informasi selengkapnya, lihat Mengonfigurasi pengumpulan peristiwa.

  • Mengonfigurasi penerusan peristiwa Windows
    Cara lain ATA bisa mendapatkan peristiwa Anda adalah dengan mengonfigurasi pengendali domain Anda untuk meneruskan peristiwa Windows 4776, 4732, 4733, 4728, 4729, 4756, dan 4757 ke Gateway ATA Anda. Ini sangat berguna jika Anda tidak memiliki SIEM atau jika SIEM Anda saat ini tidak didukung oleh ATA. Untuk menyelesaikan konfigurasi Windows Penerusan Peristiwa di ATA, lihat Mengonfigurasi penerusan peristiwa Windows. Ini hanya berlaku untuk Gateway ATA fisik - bukan untuk Gateway Ringan ATA.

Lihat juga