Architettura di ATA
Si applica a: Advanced Threat Analytics versione 1.9
L'architettura di Advanced Threat Analytics è descritta in dettaglio in questo diagramma:
ATA monitora il traffico di rete del controller di dominio usando il mirroring delle porte a un gateway ATA usando commutatori fisici o virtuali. Se si distribuisce il gateway ATA Lightweight direttamente nei controller di dominio, viene rimosso il requisito per il mirroring delle porte. ATA può inoltre sfruttare gli eventi di Windows (inoltrati direttamente dai controller di dominio o da un server SIEM) e analizzare i dati per attacchi e minacce. Questa sezione descrive il flusso di acquisizione di rete ed eventi ed esegue il drill-down per descrivere le funzionalità dei componenti principali di ATA: il gateway ATA, il gateway ATA Lightweight (che ha la stessa funzionalità di base del gateway ATA) e il Centro ATA.
Componenti ATA
ATA è costituito dai componenti seguenti:
- ATA Center
ATA Center riceve i dati da tutti i gateway ATA e/o i gateway ATA Lightweight distribuiti. - ATA Gateway
Il gateway ATA viene installato in un server dedicato che monitora il traffico dai controller di dominio usando il mirroring delle porte o un TAP di rete. - ATA Lightweight Gateway
Il gateway ATA Lightweight viene installato direttamente nei controller di dominio e monitora il traffico direttamente, senza la necessità di un server dedicato o di una configurazione del mirroring delle porte. È un'alternativa al gateway ATA.
Una distribuzione ATA può essere costituita da un singolo centro ATA connesso a tutti i gateway ATA, a tutti i gateway ATA Lightweight o a una combinazione di gateway ATA e gateway ATA Lightweight.
Opzioni di distribuzione
È possibile distribuire ATA usando la combinazione di gateway seguente:
- Uso solo di gateway ATA
La distribuzione di ATA può contenere solo gateway ATA, senza gateway ATA Lightweight: tutti i controller di dominio devono essere configurati per abilitare il mirroring delle porte in un gateway ATA o TAP di rete. - Uso solo di gateway ATA Lightweight
La distribuzione di ATA può contenere solo gateway ATA Lightweight: i gateway ATA Lightweight vengono distribuiti in ogni controller di dominio e non è necessaria alcuna configurazione di mirroring delle porte o server aggiuntivi. - Uso di gateway ATA e gateway ATA Lightweight
La distribuzione di ATA include gateway ATA e gateway ATA Lightweight. I gateway ATA Lightweight vengono installati in alcuni controller di dominio, ad esempio tutti i controller di dominio nei siti di succursale. Allo stesso tempo, altri controller di dominio vengono monitorati dai gateway ATA , ad esempio i controller di dominio più grandi nei data center principali.
In tutti questi scenari, tutti i gateway inviano i dati al Centro ATA.
ATA Center
AtA Center esegue le funzioni seguenti:
Gestisce le impostazioni di configurazione del gateway ATA e del gateway ATA Lightweight
Riceve i dati dai gateway ATA e dai gateway ATA Lightweight
Rileva attività sospette
Esegue algoritmi di Machine Learning comportamentali ATA per rilevare un comportamento anomalo
Esegue vari algoritmi deterministici per rilevare attacchi avanzati basati sulla kill chain di attacco
Esegue la console ATA
Facoltativo: ATA Center può essere configurato per inviare messaggi di posta elettronica ed eventi quando viene rilevata un'attività sospetta.
ATA Center riceve il traffico analizzato dal gateway ATA e dal gateway ATA Lightweight. Esegue quindi la profilatura, esegue il rilevamento deterministico ed esegue algoritmi di Machine Learning e comportamentali per ottenere informazioni sulla rete, abilitare il rilevamento delle anomalie e avvisare l'utente di attività sospette.
| Type | Descrizione |
|---|---|
| Ricevitore di entità | Riceve batch di entità da tutti i gateway ATA e i gateway ATA Lightweight. |
| Processore attività di rete | Elabora tutte le attività di rete all'interno di ogni batch ricevuto. Ad esempio, la corrispondenza tra i vari passaggi Kerberos eseguiti da computer potenzialmente diversi |
| Entity Profiler | Profila tutte le entità univoche in base al traffico e agli eventi. Ad esempio, ATA aggiorna l'elenco dei computer connessi per ogni profilo utente. |
| Center Database | Gestisce il processo di scrittura delle attività di rete e degli eventi nel database. |
| Database | ATA usa MongoDB ai fini dell'archiviazione di tutti i dati nel sistema: - Attività di rete - Attività degli eventi - Entità univoche - Attività sospette - Configurazione di ATA |
| Funzionalità di rilevamento | I rilevatori usano algoritmi di Machine Learning e regole deterministiche per individuare attività sospette e comportamenti anomali degli utenti nella rete. |
| ATA Console | La console ATA consente di configurare ATA e monitorare le attività sospette rilevate da ATA nella rete. La console ATA non dipende dal servizio ATA Center e viene eseguita anche quando il servizio viene arrestato, purché possa comunicare con il database. |
Quando si decide il numero di centri ATA da distribuire nella rete, prendere in considerazione i criteri seguenti:
Un centro ATA può monitorare una singola foresta Active Directory. Se sono presenti più foreste di Active Directory, è necessario almeno un ATA Center per ogni foresta Active Directory.
Nelle distribuzioni di Active Directory di grandi dimensioni, un singolo ATA Center potrebbe non essere in grado di gestire tutto il traffico di tutti i controller di dominio. In questo caso, sono necessari più centri ATA. Il numero di centri ATA deve essere determinato dalla pianificazione della capacità di ATA.
Gateway ATA e gateway ATA Lightweight
Funzionalità di base del gateway
Il gateway ATA e il gateway ATA Lightweight hanno entrambe le stesse funzionalità di base:
Acquisire ed esaminare il traffico di rete del controller di dominio. Si tratta del traffico con mirroring delle porte per i gateway ATA e il traffico locale del controller di dominio nei gateway ATA Lightweight.
Ricevere eventi Windows da server SIEM o Syslog o da controller di dominio usando l'inoltro degli eventi di Windows
Recuperare dati su utenti e computer dal dominio di Active Directory
Eseguire la risoluzione delle entità di rete (utenti, gruppi e computer)
Trasferire i dati pertinenti al Centro ATA
Monitorare più controller di dominio da un singolo gateway ATA o monitorare un singolo controller di dominio per un gateway ATA Lightweight.
Il gateway ATA riceve il traffico di rete e gli eventi di Windows dalla rete e lo elabora nei componenti principali seguenti:
| Type | Descrizione |
|---|---|
| Listener di rete | Il listener di rete acquisisce il traffico di rete e analizza il traffico. Si tratta di un'attività con utilizzo elevato della CPU, quindi è particolarmente importante controllare i prerequisiti ATA durante la pianificazione del gateway ATA o del gateway ATA Lightweight. |
| Listener eventi | Il listener di eventi acquisisce e analizza gli eventi di Windows inoltrati da un server SIEM nella rete. |
| Lettore registro eventi di Windows | Il lettore registro eventi di Windows legge e analizza gli eventi di Windows inoltrati al registro eventi di Windows del gateway ATA dai controller di dominio. |
| Traduttore attività di rete | Converte il traffico analizzato in una rappresentazione logica del traffico usato da ATA (NetworkActivity). |
| Sistema di risoluzione delle entità | Il sistema di risoluzione delle entità accetta i dati analizzati (traffico di rete ed eventi) e lo risolve con Active Directory per trovare informazioni sull'account e sull'identità. Viene quindi confrontato con gli indirizzi IP trovati nei dati analizzati. Il sistema di risoluzione delle entità esamina le intestazioni dei pacchetti in modo efficiente, per consentire l'analisi dei pacchetti di autenticazione per nomi, proprietà e identità dei computer. Il resolver di entità combina i pacchetti di autenticazione analizzati con i dati nel pacchetto effettivo. |
| Mittente entità | Il mittente dell'entità invia i dati analizzati e corrispondenti al Centro ATA. |
Funzionalità del gateway ATA Lightweight
Le funzionalità seguenti funzionano in modo diverso a seconda che si esegua un gateway ATA o un gateway ATA Lightweight.
Il gateway ATA Lightweight può leggere gli eventi in locale, senza la necessità di configurare l'inoltro degli eventi.
Candidato per la sincronizzazione del dominio
Il gateway di sincronizzazione del dominio è responsabile della sincronizzazione proattiva di tutte le entità da un dominio di Active Directory specifico (simile al meccanismo usato dai controller di dominio stessi per la replica). Un gateway viene scelto in modo casuale, dall'elenco dei candidati, da usare come programma di sincronizzazione del dominio.
Se il programma di sincronizzazione è offline per più di 30 minuti, viene scelto un altro candidato. Se non è disponibile alcun candidato per il programma di sincronizzazione di dominio per un dominio specifico, ATA sincronizza in modo proattivo le entità e le relative modifiche, tuttavia ATA recupererà in modo reattivo le nuove entità man mano che vengono rilevate nel traffico monitorato.Quando non è disponibile alcun programma di sincronizzazione di dominio, la ricerca di un'entità senza traffico correlato non visualizza alcun risultato.
Per impostazione predefinita, tutti i gateway ATA sono candidati per la sincronizzazione del dominio.
Poiché è più probabile che tutti i gateway ATA Lightweight vengano distribuiti nei siti di succursali e in controller di dominio di piccole dimensioni, non sono candidati per la sincronizzazione per impostazione predefinita.
In un ambiente con solo gateway lightweight, è consigliabile assegnare due dei gateway come candidati per la sincronizzazione, dove un gateway Lightweight è il candidato per la sincronizzazione predefinito e uno è il backup nel caso in cui il valore predefinito sia offline per più di 30 minuti.
Limitazioni delle risorse
Il gateway ATA Lightweight include un componente di monitoraggio che valuta la capacità di calcolo e memoria disponibile nel controller di dominio in cui è in esecuzione. Il processo di monitoraggio viene eseguito ogni 10 secondi e aggiorna dinamicamente la quota di utilizzo della CPU e della memoria nel processo del gateway ATA Lightweight per assicurarsi che in un determinato momento, il controller di dominio abbia almeno il 15% delle risorse di calcolo e memoria gratuite.Indipendentemente da ciò che accade nel controller di dominio, questo processo libera sempre le risorse per assicurarsi che la funzionalità principale del controller di dominio non sia interessata.
Se in questo modo il gateway ATA Lightweight esaurisce le risorse, viene monitorato solo il traffico parziale e viene visualizzato l'avviso di integrità "Traffico di rete con mirroring delle porte rimosse" nella pagina Integrità.
La tabella seguente fornisce un esempio di controller di dominio con una risorsa di calcolo sufficiente per consentire una quota maggiore, quindi è attualmente necessario, in modo che tutto il traffico venga monitorato:
| Active Directory (Lsass.exe) | Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe) | Varie (altri processi) | ATA Lightweight Gateway Quota | Eliminazione del gateway |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | No |
Se Active Directory richiede più calcolo, la quota necessaria per il gateway ATA Lightweight viene ridotta. Nell'esempio seguente il gateway ATA Lightweight richiede più della quota allocata e elimina parte del traffico (monitoraggio solo del traffico parziale):
| Active Directory (Lsass.exe) | Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe) | Varie (altri processi) | ATA Lightweight Gateway Quota | Eliminazione del gateway |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Sì |
Componenti di rete
Per usare ATA, assicurarsi di verificare che siano configurati i componenti seguenti.
Mirroring delle porte
Se si usano gateway ATA, è necessario configurare il mirroring delle porte per i controller di dominio monitorati e impostare il gateway ATA come destinazione usando i commutatori fisici o virtuali. Un'altra opzione consiste nell'usare TAP di rete. ATA funziona se alcuni ma non tutti i controller di dominio vengono monitorati, ma i rilevamenti sono meno efficaci.
Mentre il mirroring delle porte esegue il mirroring di tutto il traffico di rete del controller di dominio verso il gateway ATA, solo una piccola percentuale del traffico viene quindi inviato, compresso, al CENTRO ATA per l'analisi.
I controller di dominio e i gateway ATA possono essere fisici o virtuali, vedere Configurare il mirroring delle porte per altre informazioni.
evento
Per migliorare il rilevamento ATA di pass-the-hash, forza bruta, modifica ai gruppi sensibili e token di honey, ATA richiede gli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Queste operazioni possono essere lette automaticamente dal gateway ATA Lightweight o nel caso in cui il gateway ATA Lightweight non sia distribuito, può essere inoltrato al gateway ATA in uno dei due modi, configurando il gateway ATA per l'ascolto degli eventi SIEM o configurando l'inoltro di eventi di Windows.
Configurazione del gateway ATA per l'ascolto degli eventi SIEM
Configurare siem per inoltrare eventi di Windows specifici ad ATA. ATA supporta diversi fornitori SIEM. Per altre informazioni, vedere Configurare la raccolta di eventi.Configurazione dell'inoltro di eventi di Windows
Un altro modo in cui ATA può ottenere gli eventi consiste nel configurare i controller di dominio per inoltrare gli eventi di Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 al gateway ATA. Ciò è particolarmente utile se non si dispone di una soluzione SIEM o se il siem non è attualmente supportato da ATA. Per completare la configurazione dell'inoltro di eventi di Windows in ATA, vedere Configurazione dell'inoltro degli eventi di Windows. Questo vale solo per i gateway ATA fisici, non per il gateway ATA Lightweight.