Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Architettura di ATAATA Architecture

Questo diagramma descrive in dettaglio l'architettura di Advanced Threat Analytics:The Advanced Threat Analytics architecture is detailed in this diagram:

Diagramma della topologia dell'architettura di ATA

ATA monitora il traffico di rete dei controller di dominio usando il mirroring delle porte in un gateway ATA tramite commutatori fisici o virtuali.ATA monitors your domain controller network traffic by utilizing port mirroring to an ATA Gateway using physical or virtual switches. Se si distribuisce il gateway ATA Lightweight direttamente nei controller di dominio, si elimina la necessità di eseguire il mirroring delle porte.If you deploy the ATA Lightweight Gateway directly on your domain controllers, it removes the requirement for port mirroring. Inoltre, ATA può sfruttare gli eventi di Windows (inoltrati direttamente dai controller di dominio o da un server SIEM) e analizzare i dati per rilevare eventuali attacchi e minacce.In addition, ATA can leverage Windows events (forwarded directly from your domain controllers or from a SIEM server) and analyze the data for attacks and threats. Questa sezione illustra il flusso del traffico di rete e dell'acquisizione di eventi e descrive in dettaglio le funzionalità dei componenti principali dell'architettura di ATA: il gateway ATA, il gateway ATA Lightweight (che ha le stesse funzionalità di base del gateway ATA) e ATA Center.This section describes the flow of network and event capturing and drills down to describe the functionality of the main components of ATA: the ATA Gateway, ATA Lightweight Gateway (which has the same core functionality as the ATA Gateway), and the ATA Center.

Diagramma di flusso del traffico di ATA

Componenti di ATAATA Components

ATA include i componenti seguenti:ATA consists of the following components:

  • ATA CenterATA Center
    Il Centro ATA riceve dati da qualsiasi gateway ATA e/o gateway ATA Lightweight distribuito.The ATA Center receives data from any ATA Gateways and/or ATA Lightweight Gateways you deploy.
  • ATA GatewayATA Gateway
    Il gateway ATA viene installato in un server dedicato che esegue il monitoraggio del traffico dai controller di dominio tramite il mirroring delle porte o un dispositivo TAP di rete.The ATA Gateway is installed on a dedicated server that monitors the traffic from your domain controllers using either port mirroring or a network TAP.
  • ATA Lightweight GatewayATA Lightweight Gateway
    Il gateway ATA Lightweight viene installato nei controller di dominio ed esegue direttamente il monitoraggio del traffico, senza bisogno di un server dedicato o di una configurazione di mirroring delle porte.The ATA Lightweight Gateway is installed directly on your domain controllers and monitors their traffic directly, without the need for a dedicated server or configuration of port mirroring. Rappresenta un'alternativa al gateway ATA.It is an alternative to the ATA Gateway.

Una distribuzione ATA può essere costituita da un unico ATA Center connesso a tutti i gateway ATA, a tutti i gateway ATA Lightweight o a una combinazione dei due tipi di gateway.An ATA deployment can consist of a single ATA Center connected to all ATA Gateways, all ATA Lightweight Gateways, or a combination of ATA Gateways and ATA Lightweight Gateways.

Opzioni di distribuzioneDeployment options

Per la distribuzione di ATA è possibile usare le combinazioni seguenti di gateway:You can deploy ATA using the following combination of gateways:

  • Uso dei soli gateway ATAUsing only ATA Gateways
    Se la distribuzione di ATA può includere solo gateway ATA, senza alcun gateway ATA Lightweight, tutti i controller di dominio devono essere configurati in modo da abilitare il mirroring delle porte in un gateway ATA oppure devono essere presenti dispositivi TAP di rete.Your ATA deployment can contain only ATA Gateways, without any ATA Lightweight Gateways: All the domain controllers must be configured to enable port mirroring to an ATA Gateway or network TAPs must be in place.
  • Uso dei soli gateway ATA LightweightUsing only ATA Lightweight Gateways
    Se la distribuzione di ATA può includere solo gateway ATA Lightweight, questi vengono distribuiti in ogni controller di dominio e non sono necessari né server aggiuntivi né una configurazione di mirroring delle porte.Your ATA deployment can contain only ATA Lightweight Gateways: The ATA Lightweight Gateways are deployed on each domain controller and no additional servers or port mirroring configuration is necessary.
  • Uso di entrambi i tipi di gateway ATAUsing both ATA Gateways and ATA Lightweight Gateways
    La distribuzione di ATA include gateway ATA e gateway ATA Lightweight.Your ATA deployment includes both ATA Gateways and ATA Lightweight Gateways. In alcuni controller di dominio, ad esempio tutti i controller di dominio dei siti di filiali, vengono installati i gateway ATA Lightweight.The ATA Lightweight Gateways are installed on some of your domain controllers (for example, all domain controllers in your branch sites). Altri controller di dominio sono monitorati contemporaneamente dai gateway ATA, ad esempio i controller di dominio di dimensioni maggiori dei data center principali.At the same time, other domain controllers are monitored by ATA Gateways (for example, the larger domain controllers in your main data centers).

In tutti questi scenari tutti i gateway inviano i dati ad ATA Center.In all these scenarios, all the gateways send their data to the ATA Center.

Centro ATAATA Center

Il Centro ATA esegue le funzioni seguenti:The ATA Center performs the following functions:

  • Gestisce le impostazioni di configurazione del gateway ATA e del gateway ATA Lightweight.Manages ATA Gateway and ATA Lightweight Gateway configuration settings

  • Riceve dati da gateway ATA e gateway ATA Lightweight.Receives data from ATA Gateways and ATA Lightweight Gateways

  • Rileva attività sospette.Detects suspicious activities

  • Esegue algoritmi ATA comportamentali di Machine Learning per rilevare eventuali comportamenti anomali.Runs ATA behavioral machine learning algorithms to detect abnormal behavior

  • Esegue vari algoritmi deterministici per rilevare attacchi avanzati in base alla relativa kill chain.Runs various deterministic algorithms to detect advanced attacks based on the attack kill chain

  • Esegue la Console ATA.Runs the ATA Console

  • Facoltativo: il Centro ATA è configurabile per l'invio di messaggi di posta elettronica ed eventi quando viene rilevata un'attività sospetta.Optional: The ATA Center can be configured to send emails and events when a suspicious activity is detected.

ATA Center riceve traffico analizzato dal gateway ATA e dal gateway ATA Lightweight.The ATA Center receives parsed traffic from the ATA Gateway and ATA Lightweight Gateway. Esegue quindi la profilatura, il rilevamento deterministico e avvia il Machine Learning e gli algoritmi comportamentali per ottenere informazioni sulla rete, attivare il rilevamento di anomalie e segnalare attività sospette.It then performs profiling, runs deterministic detection, and runs machine learning and behavioral algorithms to learn about your network, enable detection of anomalies and warn you of suspicious activities.

Destinatario entitàEntity Receiver Riceve i batch di entità da tutti i gateway ATA e i gateway ATA Lightweight.Receives batches of entities from all ATA Gateways and ATA Lightweight Gateways.
Processore delle attività di reteNetwork Activity Processor Elabora tutte le attività della rete all'interno di ogni batch ricevuto.Processes all the network activities within each batch received. Ad esempio, esegue l'associazione tra i diversi passaggi di Kerberos eseguiti su computer potenzialmente diversiFor example, matching between the various Kerberos steps performed from potentially different computers
Profiler di entitàEntity Profiler Esegue la profilatura di tutte le entità univoche in base al traffico e agli eventi.Profiles all the Unique Entities according to the traffic and events. Ad esempio, ATA aggiorna l'elenco dei computer connessi per ogni profilo utente.For example, ATA updates the list of logged-on computers for each user profile.
Database del CentroCenter Database Gestisce il processo di scrittura delle attività di rete e degli eventi nel database.Manages the writing process of the Network Activities and events into the database.
DatabaseDatabase ATA usa MongoDB per archiviare tutti i dati del sistema:ATA utilizes MongoDB for purposes of storing all the data in the system:

- Attività della rete- Network activities
- Attività degli eventi- Event activities
- Entità univoche- Unique entities
- Attività sospette- Suspicious activities
- Configurazione di ATA- ATA configuration
RilevatoriDetectors I rilevatori usano algoritmi di Machine Learning e regole deterministiche per individuare attività sospette e comportamenti anomali da parte dell'utente sulla rete.The Detectors use machine learning algorithms and deterministic rules to find suspicious activities and abnormal user behavior in your network.
Console ATAATA Console La Console ATA viene usata per la configurazione di ATA e il monitoraggio delle attività sospette rilevate da ATA sulla rete.The ATA Console is for configuring ATA and monitoring suspicious activities detected by ATA on your network. La console ATA non dipende dal servizio ATA Center e viene eseguita anche quando il servizio è disattivo, purché sia abilitata la comunicazione con il database.The ATA Console is not dependent on the ATA Center service and runs even when the service is stopped, as long as it can communicate with the database.

Per decidere quanti ATA Center distribuire nella rete, considerare i criteri seguenti:Consider the following criteria when deciding how many ATA Centers to deploy on your network:

  • Un Centro ATA è in grado di monitorare una singola foresta Active Directory.One ATA Center can monitor a single Active Directory forest. Se è presente più di una foresta Active Directory, è necessario almeno un ATA Center per ogni foresta Active Directory.If you have more than one Active Directory forest, you need a minimum of one ATA Center per Active Directory forest.

  • Nelle distribuzioni molto grandi di Active Directory un singolo ATA Center potrebbe non essere in grado di gestire tutto il traffico proveniente da tutti i controller di dominio.In very large Active Directory deployments, a single ATA Center might not be able to handle all the traffic of all your domain controllers. In questo caso, sono necessari più ATA Center.In this case, multiple ATA Centers are required. Il numero di Centri ATA dipende dalla pianificazione della capacità ATA.The number of ATA Centers should be dictated by ATA capacity planning.

Gateway ATA e gateway ATA LightweightATA Gateway and ATA Lightweight Gateway

Funzionalità principali dei gatewayGateway core functionality

Il gateway ATA e il gateway ATA Lightweight presentano le stesse funzionalità di base:The ATA Gateway and ATA Lightweight Gateway both have the same core functionality:

  • Acquisiscono e analizzano il traffico di rete di controller di dominio,Capture and inspect domain controller network traffic. ovvero il traffico con mirroring delle porte per i gateway ATA e il traffico locale del controller di dominio nei gateway ATA Lightweight.This is port mirrored traffic for ATA Gateways and local traffic of the domain controller in ATA Lightweight Gateways.

  • Ricevono gli eventi di Windows dai server SIEM o Syslog o dai controller di dominio tramite l'inoltro degli eventi di Windows.Receive Windows events from SIEM or Syslog servers, or from domain controllers using Windows Event Forwarding

  • Recuperano i dati su utenti e computer dal dominio di Active Directory.Retrieve data about users and computers from the Active Directory domain

  • Eseguono la risoluzione di entità di rete (utenti, gruppi e computer).Perform resolution of network entities (users, groups, and computers)

  • Trasferiscono i dati pertinenti al Centro ATA.Transfer relevant data to the ATA Center

  • Eseguono il monitoraggio dei controller di dominio (più controller da un singolo gateway ATA o un unico controller per un gateway ATA Lightweight).Monitor multiple domain controllers from a single ATA Gateway, or monitor a single domain controller for an ATA Lightweight Gateway.

Il gateway ATA riceve il traffico di rete e gli eventi di Windows dalla rete e li elabora nei componenti principali seguenti:The ATA Gateway receives network traffic and Windows Events from your network and processes it in the following main components:

Listener di reteNetwork Listener Il listener di rete esegue l'acquisizione e l'analisi del traffico di rete.The Network Listener captures network traffic and parsing the traffic. Si tratta di un'attività che richiede un utilizzo elevato della CPU ed è quindi particolarmente importante verificare i prerequisiti di ATA quando si pianifica il gateway ATA o il gateway ATA Lightweight.This is a CPU-heavy task, so it is especially important to check ATA Prerequisites when planning your ATA Gateway or ATA Lightweight Gateway.
Listener di eventiEvent Listener Il listener di eventi esegue l'acquisizione e l'analisi degli eventi di Windows inoltrati da un server SIEM in rete.The Event Listener captures and parsing Windows Events forwarded from a SIEM server on your network.
Lettore registro eventi di WindowsWindows Event Log Reader Il lettore registro eventi di Windows esegue la lettura e l'analisi degli eventi di Windows inoltrati al registro eventi di Windows del gateway ATA dai controller di dominio.The Windows Event Log Reader reads and parsing Windows Events forwarded to the ATA Gateway's Windows Event Log from the domain controllers.
Convertitore delle attività di reteNetwork Activity Translator Converte il traffico analizzato in una rappresentazione logica del traffico usato da ATA (NetworkActivity).Translates parsed traffic into a logical representation of the traffic used by ATA (NetworkActivity).
Strumento di risoluzione entitàEntity Resolver Lo strumento di risoluzione entità acquisisce i dati analizzati (traffico di rete ed eventi) e risolve i dati con Active Directory per cercare informazioni su identità e account.The Entity Resolver takes the parsed data (network traffic and events) and resolves it data with Active Directory to find account and identity information. Le informazioni rilevate vengono quindi confrontate con gli indirizzi IP trovati nei dati analizzati.It is then matched with the IP addresses found in the parsed data. Lo strumento di risoluzione entità esamina le intestazioni dei pacchetti in modo efficiente, al fine di abilitare l'analisi dei pacchetti di autenticazione per nomi, proprietà e identità dei computer.The Entity Resolver inspects the packet headers efficiently, to enable parsing of authentication packets for machine names, properties, and identities. Lo strumento combina quindi i pacchetti di autenticazione analizzati con i dati presenti nel pacchetto effettivo.The Entity Resolver combines the parsed authentication packets with the data in the actual packet.
Mittente entitàEntity Sender Il mittente entità invia i dati analizzati e associati ad ATA Center.The Entity Sender sends the parsed and matched data to the ATA Center.

Funzionalità del gateway ATA LightweightATA Lightweight Gateway features

Le funzionalità seguenti presentano differenze a seconda che sia in esecuzione un gateway ATA o un gateway ATA Lightweight.The following features work differently depending on whether you are running an ATA Gateway or an ATA Lightweight Gateway.

  • Il gateway ATA Lightweight può leggere gli eventi in locale, senza che sia necessario configurare l'inoltro eventi.The ATA Lightweight Gateway can read events locally, without the need to configure event forwarding.

  • Candidato alla sincronizzazione del dominioDomain synchronizer candidate
    Il gateway di sincronizzazione del dominio è responsabile della sincronizzazione proattiva di tutte le entità da un dominio specifico di Active Directory, in modo analogo al meccanismo adottato dagli stessi controller di dominio per la replica.The domain synchronizer gateway is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). Un gateway viene scelto in modo casuale, dall'elenco dei candidati, per svolgere la funzione di sincronizzazione del dominio.One gateway is chosen randomly, from the list of candidates, to serve as the domain synchronizer.

    Se il gateway di sincronizzazione rimane offline per più di 30 minuti, viene scelto un altro candidato.If the synchronizer is offline for more than 30 minutes, another candidate is chosen instead. Se è non disponibile alcun gateway di sincronizzazione per un dominio specifico, ATA non sarà in grado di sincronizzare in modo proattivo le entità e le relative modifiche, ma riuscirà a recuperare le nuove entità rilevate nel traffico monitorato.If there is no domain synchronizer available for a specific domain, ATA will not be able to proactively synchronize entities and their changes, however ATA will reactively retrieve new entities as they are detected in the monitored traffic.
    Se non è disponibile alcun gateway di sincronizzazione del dominio e si vuole cercare un'entità a cui non sono correlati dati sul traffico, non verrà visualizzato alcun risultato.If there is no domain synchronizer available, and you search for an entity that did not have any traffic related to it, no search results will be displayed.

    Per impostazione predefinita, tutti i gateway ATA sono candidati alla sincronizzazione.By default, all ATA Gateways are synchronizer candidates.

    Al contrario, tutti i gateway ATA Lightweight hanno maggiori probabilità di essere distribuiti nei siti di filiali e nei controller di dominio di piccole dimensioni e non sono quindi candidati alla sincronizzazione per impostazione predefinita.Because all ATA Lightweight Gateways are more likely to be deployed in branch sites and on small domain controllers, they are not synchronizer candidates by default.

  • Limitazioni delle risorseResource limitations
    Il gateway ATA Lightweight include un componente di monitoraggio che valuta la capacità di calcolo e di memoria disponibile nel controller di dominio su cui è in esecuzione.The ATA Lightweight Gateway includes a monitoring component which evaluates the available compute and memory capacity on the domain controller on which it is running. Il processo di monitoraggio viene eseguito ogni 10 secondi e aggiorna dinamicamente la quota di utilizzo di CPU e memoria per il processo del gateway ATA Lightweight per assicurarsi che, in qualsiasi momento, il controller di dominio disponga di almeno il 15% di risorse di calcolo e memoria libere.The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the ATA Lightweight Gateway process to make sure that at any given point in time, the domain controller has at least 15% of free compute and memory resources.

    Indipendentemente da quanto accade sul controller di dominio, questo processo libera sempre le risorse in modo da non influire sulla funzionalità di base del controller di dominio.No matter what happens on the domain controller, this process always frees up resources to make sure the domain controller's core functionality is not affected.

    Se in questo modo il gateway ATA Lightweight esaurisce le risorse, il traffico viene monitorato solo parzialmente e nella pagina relativa allo stato viene visualizzato un avviso per segnalare che il traffico di rete con mirroring delle porte verrà ignorato.If this causes the ATA Lightweight Gateway to run out of resources, only partial traffic is monitored and the monitoring alert "Dropped port mirrored network traffic" will appear in the Health page.

La tabella seguente illustra un esempio di un controller di dominio con risorse di calcolo sufficienti per garantire la disponibilità di una quota maggiore di quella attualmente necessaria, in modo da consentire il monitoraggio di tutto il traffico:The following table provides an example of a domain controller with enough compute resource available to allow for a larger quota then is currently needed, so that all traffic is monitored:

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Varie (altri processi)Miscellaneous (other processes) Quota del gateway ATA LightweightATA Lightweight Gateway Quota Traffico ignorato dal gatewayGateway dropping
30%30% 20%20% 10%10% 45%45% NoNo

Se Active Directory richiede maggiore capacità di calcolo, la quota necessaria per il gateway ATA Lightweight viene ridotta.If Active Directory needs more compute, the quota needed by the ATA Lightweight Gateway is reduced. Nell'esempio seguente il gateway ATA Lightweight richiede una quota maggiore rispetto a quella allocata e ignora parte del traffico, eseguendo un monitoraggio del traffico parziale:In the following example, The ATA Lightweight Gateway needs more than the allocated quota and drops some of the traffic (monitoring only partial traffic):

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Varie (altri processi)Miscellaneous (other processes) Quota del gateway ATA LightweightATA Lightweight Gateway Quota Traffico ignorato dal gatewayIs gateway dropping
60%60% 15%15% 10%10% 15%15% Yes

Componenti della reteYour network components

Per eseguire il monitoraggio con ATA, verificare quanto segue:In order to work with ATA, make sure of the following:

Mirroring delle portePort mirroring

Se si usano gateway ATA, è necessario configurare il mirroring delle porte per i controller di dominio che verranno monitorati e impostare il gateway ATA come destinazione tramite commutatori fisici o virtuali.If you are using ATA Gateways, you have to set up port mirroring for the domain controllers that will be monitored and set the ATA Gateway as the destination using the physical or virtual switches. Un'altra soluzione consiste nell'uso di dispositivi TAP di rete.Another option is to use network TAPs. ATA continuerà a funzionare anche se non tutti i controller di dominio vengono monitorati, ma le attività di rilevamento saranno meno efficaci.ATA will work if some but not all of your domain controllers are monitored, but detections will be less effective.

Durante il mirroring di tutto il traffico di rete dei controller di dominio verso il gateway ATA, solo una percentuale molto piccola del traffico viene inviata, in forma compressa, al Centro ATA per l'analisi.While port mirroring mirrors all the domain controller network traffic to the ATA Gateway, only a very small percentage of that traffic is then sent, compressed, to the ATA Center for analysis.

I controller di dominio e i gateway ATA possono essere fisici o virtuali. Per altre informazioni, vedere Configure Port Mirroring (Configurare il mirroring delle porte).Your domain controllers and the ATA Gateways can be physical or virtual, see Configure port mirroring for more information.

EventiEvents

Per migliorare il rilevamento ATA di Pass the Hash, forza bruta, modifiche di gruppi sensibili e Honey Token, ATA richiede gli eventi di Windows seguenti: 4776, 4732, 4733, 4728, 4729, 4756, 4757.To enhance ATA detection of Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Tokens, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Questi eventi possono essere letti automaticamente dal gateway ATA Lightweight o, nel caso in cui non sia distribuito, possono essere inoltrati al gateway ATA configurando il gateway ATA per l'ascolto degli eventi SIEM o tramite la Configurazione dell'inoltro degli eventi di Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

  • Configurazione del gateway ATA per l'ascolto degli eventi SIEMConfiguring the ATA Gateway to listen for SIEM events
    Configurare il SIEM per inoltrare eventi specifici di Windows ad ATA.Configure your SIEM to forward specific Windows events to ATA. ATA supporta numerosi fornitori di SIEM.ATA supports a number of SIEM vendors. Per altre informazioni, vedere Configurare la raccolta degli eventi.For more information, see Configure event collection.

  • Configurazione dell'inoltro degli eventi di WindowsConfiguring Windows Event Forwarding
    Un altro modo perché ATA possa ottenere gli eventi è tramite la configurazione di controller di dominio per l'inoltro degli eventi 4776, 4732, 4733, 4728, 4729, 4756 e 4757 di Windows al gateway ATA.Another way ATA can get your events is by configuring your domain controllers to forward Windows events events 4776, 4732, 4733, 4728, 4729, 4756 and 4757 to your ATA Gateway. Questo metodo risulta particolarmente utile se non si dispone di un SIEM o se il SIEM non è attualmente supportato da ATA.This is especially useful if you don't have a SIEM or if your SIEM is not currently supported by ATA. Per altre informazioni sull'inoltro di eventi di Windows in ATA, vedere Configurazione dell'inoltro degli eventi di Windows.For more information about Windows Event Forwarding in ATA, see Configuring Windows event forwarding. Si noti che questo metodo si applica solo ai gateway ATA fisici e non al gateway ATA Lightweight.Note that this only applies to physical ATA Gateways - not to the ATA Lightweight Gateway.

Vedere ancheSee Also