Architettura di ATA

Si applica a: Advanced Threat Analytics versione 1.9

Questo diagramma descrive in dettaglio l'architettura di Advanced Threat Analytics:

Diagramma della topologia dell'architettura ATA.

ATA monitora il traffico di rete dei controller di dominio usando il mirroring delle porte in un gateway ATA tramite commutatori fisici o virtuali. Se si distribuisce il gateway ATA Lightweight direttamente nei controller di dominio, si elimina la necessità di eseguire il mirroring delle porte. Inoltre, ATA può sfruttare gli eventi di Windows (inoltrati direttamente dai controller di dominio o da un server SIEM) e analizzare i dati per rilevare eventuali attacchi e minacce. Questa sezione illustra il flusso del traffico di rete e dell'acquisizione di eventi e descrive in dettaglio le funzionalità dei componenti principali dell'architettura di ATA: il gateway ATA, il gateway ATA Lightweight (che ha le stesse funzionalità di base del gateway ATA) e ATA Center.

Diagramma del flusso del traffico ATA.

Componenti di ATA

ATA include i componenti seguenti:

  • ATA Center
    Il Centro ATA riceve dati da qualsiasi gateway ATA e/o gateway ATA Lightweight distribuito.
  • ATA Gateway
    Il gateway ATA viene installato in un server dedicato che esegue il monitoraggio del traffico dai controller di dominio tramite il mirroring delle porte o un dispositivo TAP di rete.
  • ATA Lightweight Gateway
    Il gateway ATA Lightweight viene installato nei controller di dominio ed esegue direttamente il monitoraggio del traffico, senza bisogno di un server dedicato o di una configurazione di mirroring delle porte. Rappresenta un'alternativa al gateway ATA.

Una distribuzione ATA può essere costituita da un unico ATA Center connesso a tutti i gateway ATA, a tutti i gateway ATA Lightweight o a una combinazione dei due tipi di gateway.

Opzioni di distribuzione

Per la distribuzione di ATA è possibile usare le combinazioni seguenti di gateway:

  • Solo gateway ATA
    Se la distribuzione di ATA può includere solo gateway ATA, senza alcun gateway ATA Lightweight, tutti i controller di dominio devono essere configurati in modo da abilitare il mirroring delle porte in un gateway ATA oppure devono essere presenti dispositivi TAP di rete.
  • Uso dei soli gateway ATA Lightweight
    Se la distribuzione di ATA può includere solo gateway ATA Lightweight, questi vengono distribuiti in ogni controller di dominio e non sono necessari né server aggiuntivi né una configurazione di mirroring delle porte.
  • Entrambi i tipi di gateway
    La distribuzione di ATA include gateway ATA e gateway ATA Lightweight. In alcuni controller di dominio, ad esempio tutti i controller di dominio dei siti di filiali, vengono installati i gateway ATA Lightweight. Altri controller di dominio sono monitorati contemporaneamente dai gateway ATA, ad esempio i controller di dominio di dimensioni maggiori dei data center principali.

In tutti questi scenari tutti i gateway inviano i dati ad ATA Center.

ATA Center

Il Centro ATA esegue le funzioni seguenti:

  • Gestisce le impostazioni di configurazione del gateway ATA e del gateway ATA Lightweight.

  • Riceve dati da gateway ATA e gateway ATA Lightweight.

  • Rileva attività sospette.

  • Esegue algoritmi ATA comportamentali di Machine Learning per rilevare eventuali comportamenti anomali.

  • Esegue vari algoritmi deterministici per rilevare attacchi avanzati in base alla relativa kill chain.

  • Esegue la Console ATA

  • Facoltativo: il Centro ATA è configurabile per l'invio di messaggi di posta elettronica ed eventi quando viene rilevata un'attività sospetta.

ATA Center riceve traffico analizzato dal gateway ATA e dal gateway ATA Lightweight. Esegue quindi la profilatura, il rilevamento deterministico e avvia il Machine Learning e gli algoritmi comportamentali per ottenere informazioni sulla rete, attivare il rilevamento di anomalie e segnalare attività sospette.

Tipo Descrizione
Destinatario entità Riceve i batch di entità da tutti i gateway ATA e i gateway ATA Lightweight.
Processore delle attività di rete Elabora tutte le attività della rete all'interno di ogni batch ricevuto. Ad esempio, esegue l'associazione tra i diversi passaggi di Kerberos eseguiti su computer potenzialmente diversi
Profiler di entità Esegue la profilatura di tutte le entità univoche in base al traffico e agli eventi. Ad esempio, ATA aggiorna l'elenco dei computer connessi per ogni profilo utente.
Database del Centro Gestisce il processo di scrittura delle attività di rete e degli eventi nel database.
Database ATA usa MongoDB per archiviare tutti i dati del sistema:

- Attività di rete
- Attività degli eventi
- Entità univoche
- Attività sospette
- Configurazione di ATA
Funzionalità di rilevamento I rilevatori usano algoritmi di Machine Learning e regole deterministiche per individuare attività sospette e comportamenti anomali da parte dell'utente sulla rete.
Console ATA La Console ATA viene usata per la configurazione di ATA e il monitoraggio delle attività sospette rilevate da ATA sulla rete. La console ATA non dipende dal servizio ATA Center e viene eseguita anche quando il servizio è disattivo, purché sia abilitata la comunicazione con il database.

Per decidere quanti ATA Center distribuire nella rete, considerare i criteri seguenti:

  • Un Centro ATA è in grado di monitorare una singola foresta Active Directory. Se è presente più di una foresta Active Directory, è necessario almeno un ATA Center per ogni foresta Active Directory.

  • Nelle grandi distribuzioni di Active Directory un singolo ATA Center potrebbe non essere in grado di gestire tutto il traffico di tutti i controller di dominio. In questo caso, sono necessari più ATA Center. Il numero di centri ATA deve essere determinato dalla pianificazione della capacità di ATA.

Gateway ATA e gateway ATA Lightweight

Funzionalità principali dei gateway

Il gateway ATA e il gateway ATA Lightweight presentano le stesse funzionalità di base:

  • Acquisiscono e analizzano il traffico di rete di controller di dominio, ovvero il traffico con mirroring delle porte per i gateway ATA e il traffico locale del controller di dominio nei gateway ATA Lightweight.

  • Ricevono gli eventi di Windows dai server SIEM o Syslog o dai controller di dominio tramite l'inoltro degli eventi di Windows.

  • Recuperano i dati su utenti e computer dal dominio di Active Directory.

  • Eseguono la risoluzione di entità di rete (utenti, gruppi e computer).

  • Trasferiscono i dati pertinenti al Centro ATA.

  • Eseguono il monitoraggio dei controller di dominio (più controller da un singolo gateway ATA o un unico controller per un gateway ATA Lightweight).

Il gateway ATA riceve il traffico di rete e gli eventi di Windows dalla rete e li elabora nei componenti principali seguenti:

Tipo Descrizione
Listener di rete Il listener di rete esegue l'acquisizione e l'analisi del traffico di rete. Si tratta di un'attività che richiede un utilizzo elevato della CPU ed è quindi particolarmente importante verificare i prerequisiti di ATA quando si pianifica il gateway ATA o il gateway ATA Lightweight.
Listener di eventi Il listener di eventi esegue l'acquisizione e l'analisi degli eventi di Windows inoltrati da un server SIEM in rete.
Lettore registro eventi di Windows Il lettore registro eventi di Windows esegue la lettura e l'analisi degli eventi di Windows inoltrati al registro eventi di Windows del gateway ATA dai controller di dominio.
Convertitore delle attività di rete Converte il traffico analizzato in una rappresentazione logica del traffico usato da ATA (NetworkActivity).
Strumento di risoluzione entità Lo strumento di risoluzione entità acquisisce i dati analizzati (traffico di rete ed eventi) e risolve i dati con Active Directory per cercare informazioni su identità e account. Le informazioni rilevate vengono quindi confrontate con gli indirizzi IP trovati nei dati analizzati. Lo strumento di risoluzione entità esamina le intestazioni dei pacchetti in modo efficiente, al fine di abilitare l'analisi dei pacchetti di autenticazione per nomi, proprietà e identità dei computer. Lo strumento combina quindi i pacchetti di autenticazione analizzati con i dati presenti nel pacchetto effettivo.
Mittente entità Il mittente entità invia i dati analizzati e associati ad ATA Center.

Funzionalità del gateway ATA Lightweight

Le funzionalità seguenti presentano differenze a seconda che sia in esecuzione un gateway ATA o un gateway ATA Lightweight.

  • Il gateway ATA Lightweight può leggere gli eventi in locale, senza che sia necessario configurare l'inoltro eventi.

  • Candidato alla sincronizzazione del dominio
    Il gateway di sincronizzazione del dominio è responsabile della sincronizzazione proattiva di tutte le entità da un dominio specifico di Active Directory, in modo analogo al meccanismo adottato dagli stessi controller di dominio per la replica. Un gateway viene scelto in modo casuale, dall'elenco dei candidati, per svolgere la funzione di sincronizzazione del dominio.
    Se il gateway di sincronizzazione rimane offline per più di 30 minuti, viene scelto un altro candidato. Se non è disponibile alcun candidato per la sincronizzazione del dominio per un dominio specifico, ATA sincronizza in modo proattivo le entità e le relative modifiche, ma ATA recupererà in modo reattivo le nuove entità non appena vengono rilevate nel traffico monitorato.

    Quando non è disponibile alcun sincronizzatore di dominio, la ricerca di un'entità senza traffico correlato non visualizza alcun risultato.

    Per impostazione predefinita, tutti i gateway ATA sono candidati per la sincronizzazione del dominio.

    Al contrario, tutti i gateway ATA Lightweight hanno maggiori probabilità di essere distribuiti nei siti di filiali e nei controller di dominio di piccole dimensioni e non sono quindi candidati alla sincronizzazione per impostazione predefinita.

    In un ambiente con solo gateway lightweight, è consigliabile assegnare due gateway come candidati per la sincronizzazione, dove un gateway lightweight è il candidato di sincronizzazione predefinito e uno è il backup nel caso in cui il valore predefinito sia offline per più di 30 minuti.

  • Limitazioni delle risorse
    Il gateway ATA Lightweight include un componente di monitoraggio che valuta la capacità di calcolo e di memoria disponibile nel controller di dominio su cui è in esecuzione. Il processo di monitoraggio viene eseguito ogni 10 secondi e aggiorna dinamicamente la quota di utilizzo di CPU e memoria per il processo del gateway ATA Lightweight per assicurarsi che, in qualsiasi momento, il controller di dominio disponga di almeno il 15% di risorse di calcolo e memoria libere.

    Indipendentemente da quanto accade sul controller di dominio, questo processo libera sempre le risorse in modo da non influire sulla funzionalità di base del controller di dominio.

    Se in questo modo il gateway ATA Lightweight ese scema le risorse, viene monitorato solo il traffico parziale e viene visualizzato l'avviso di integrità "Traffico di rete con mirroring della porta eliminata" nella pagina Integrità.

La tabella seguente illustra un esempio di un controller di dominio con risorse di calcolo sufficienti per garantire la disponibilità di una quota maggiore di quella attualmente necessaria, in modo da consentire il monitoraggio di tutto il traffico:

Active Directory (Lsass.exe) Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe) Varie (altri processi) Quota del gateway ATA Lightweight Traffico ignorato dal gateway
30% 20% 10% 45% No

Se Active Directory richiede maggiore capacità di calcolo, la quota necessaria per il gateway ATA Lightweight viene ridotta. Nell'esempio seguente il gateway ATA Lightweight richiede una quota maggiore rispetto a quella allocata e ignora parte del traffico, eseguendo un monitoraggio del traffico parziale:

Active Directory (Lsass.exe) Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe) Varie (altri processi) Quota del gateway ATA Lightweight Traffico ignorato dal gateway
60% 15% 10% 15%

Componenti della rete

Per l'utilizzo di ATA, assicurarsi di controllare che i componenti seguenti siano configurati.

Mirroring delle porte

Se si usano gateway ATA, è necessario configurare il mirroring delle porte per i controller di dominio monitorati e impostare il gateway ATA come destinazione tramite commutatori fisici o virtuali. Un'altra soluzione consiste nell'uso di dispositivi TAP di rete. ATA continua a funzionare anche se non tutti i controller di dominio vengono monitorati, ma le attività di rilevamento sono meno efficaci.

Durante il mirroring di tutto il traffico di rete dei controller di dominio verso il gateway ATA, solo una percentuale molto piccola del traffico viene inviata, in forma compressa, ad ATA Center per l'analisi.

I controller di dominio e i gateway ATA possono essere fisici o virtuali. Per altre informazioni, vedere Configure Port Mirroring (Configurare il mirroring delle porte).

Eventi

Per migliorare il rilevamento ATA di Pass the Hash, forza bruta, modifiche di gruppi sensibili e Honey Token, ATA richiede gli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Questi eventi possono essere letti automaticamente dal gateway ATA Lightweight o, nel caso in cui non sia distribuito, possono essere inoltrati al gateway ATA configurando il gateway ATA per l'ascolto degli eventi SIEM o tramite la Configurazione dell'inoltro degli eventi di Windows.

  • Configurazione del gateway ATA per l'ascolto degli eventi SIEM
    Configurare il SIEM per inoltrare eventi specifici di Windows ad ATA. ATA supporta numerosi fornitori di SIEM. Per altre informazioni, vedere Configurare la raccolta di eventi.

  • Configurazione dell'inoltro degli eventi di Windows
    Un altro modo perché ATA possa ottenere gli eventi è tramite la configurazione dei controller di dominio per l'inoltro degli eventi di Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 al gateway ATA. Questo metodo risulta particolarmente utile se non si dispone di un SIEM o se il SIEM non è attualmente supportato da ATA. Per completare la configurazione dell'inoltro di eventi di Windows in ATA, vedere Configurazione dell'inoltro degli eventi di Windows. Questo metodo si applica solo ai gateway ATA fisici e non al gateway ATA Lightweight.

Vedere anche