ATA アーキテクチャ
適用対象: Advanced Threat Analytics Version 1.9
Advanced Threat Analytics アーキテクチャの詳細については、この図を参照してください。
ATA は、物理スイッチまたは仮想スイッチを使用する ATA ゲートウェイへのポート ミラーリングを使用して、ドメイン コントローラー ネットワーク トラフィックを監視します。 ATA Lightweight Gateway をドメイン コントローラーに直接デプロイすると、ポート ミラーリングの要件が削除されます。 さらに、ATA は、Windows イベント (ドメイン コントローラーからまたは SIEM サーバーから直接転送) を利用して、攻撃や脅威のデータを分析できます。 このセクションでは、ネットワークとイベント キャプチャ フローについて説明し、ATA のメイン コンポーネント (ATA ゲートウェイ、(ATA ゲートウェイと同じコア機能を持つ) ATA Lightweight Gateway および ATA センターの機能について説明します。
ATA コンポーネント
ATA は、次のコンポーネントで構成されます。
- ATA センター
ATA センターは、デプロイするすべての ATA ゲートウェイまたは ATA Lightweight Gateway からデータを受信します。 - ATA Gateway
ATA ゲートウェイは、ポート ミラーリングまたはネットワーク TAP を使用してドメイン コントローラーからトラフィックを監視する専用サーバーにインストールされます。 - ATA Lightweight Gateway
ATA Lightweight Gateway はドメイン コントローラーに直接インストールされ、専用サーバーやポート ミラーリングの構成を必要とせずに、トラフィックを直接監視します。 ATA ゲートウェイの代わりに使用します。
ATA デプロイは、すべてのATA ゲートウェイに接続されている 単一の ATA センター、ATA Lightweight Gateway または ATA ゲートウェイと ATA Lightweight Gateway の組み合わせで構成されています。
デプロイ オプション
次のゲートウェイの組み合わせを使用して ATA をデプロイします。
- ATA ゲートウェイのみを使用する
ATA デプロイに含めることができるのは ATA ゲートウェイのみであり、ATA Lightweight Gateways は含めることができません。すべてのドメイン コントローラーを構成して、ATA ゲートウェイのポート ミラーリングを有効化するか、ネットワーク TAP を所定の位置に配置します。 - ATA Lightweight Gateway のみを使用する
ATA デプロイには、ATA Lightweight Gateway のみを含めることができます。ATA Lightweight Gateway は、各ドメイン コントローラーにデプロイし、追加サーバーやポート ミラーリングの構成は不要です。 - ATA ゲートウェイと ATA Lightweight Gateways の両方を使用する
ATA デプロイには、ATA ゲートウェイと ATA Lightweight Gateway の両方が含まれます。 ATA Lightweight Gateway は、一部のドメイン コントローラーにインストールされます (例: ブランチ サイトのすべてのドメイン コントローラー)。 同時に、他のドメイン コントローラーが ATA ゲートウェイによって監視されます (例: メイン データ センター内のより大きなドメイン コントローラー)。
これらすべてのシナリオでは、すべてのゲートウェイが ATA センターにデータを送信します。
ATA センター
ATA センター は、次の関数を実行します。
ATA ゲートウェイと ATA Lightweight Gateway 構成設定の管理
ATA ゲートウェイ と ATA Lightweight Gateway からのデータ受信
不審なアクティビティの検出
ATA 動作機械学習アルゴリズムを実行して異常な動作を検出
さまざまな決定論的アルゴリズムを実行して、攻撃キル チェーンに基づいて高度な攻撃を検出
ATA コンソールを実行
オプション: 不審なアクティビティが検出されたときに Email とイベントを送信するように ATA センターを構成できます。
ATA センターは、ATA ゲートウェイと ATA Lightweight Gateway から解析されたトラフィックを受信します。 その後、プロファイリングを実行して、決定論的検出、機械学習および行動アルゴリズムを実行して、ネットワークについて学習し、異常の検出を有効にして、不審なアクティビティを警告します。
| 型 | 説明 |
|---|---|
| Entity Receiver | すべての ATA ゲートウェイと ATA Lightweight Gateway からエンティティのバッチを受信します。 |
| Network Activity Processor | 受信した各バッチ内のすべてのネットワーク アクティビティを処理します。 たとえば、潜在的に異なるコンピューターから実行されるさまざまな Kerberos ステップ間の照合などです。 |
| Entity Profiler | トラフィックとイベントに従って、すべての一意エンティティをプロファイルします。 たとえば、ATA は、各ユーザー プロファイルのログインしているコンピューターの一覧を更新します。 |
| Center Database | ネットワーク アクティビティとイベントをデータベースに書き込むプロセスを管理します。 |
| データベース | ATA は、すべてのデータをシステムに格納するために MongoDB を利用します。 - ネットワーク アクティビティ - イベント アクティビティ - 一意のエンティティ - 不審なアクティビティ - ATA 構成 |
| 検出機能 | 検出機能は、機械学習アルゴリズムと決定論的ルールを使用して、ネットワーク内の不審なアクティビティと異常なユーザー動作を見つけます。 |
| ATA コンソール | ATA コンソールは、ATA を構成し、ネットワーク上で ATA が検出した不審なアクティビティを監視するためのコンソールです。 ATA コンソールは ATA センター サービスに依存せず、サービスが停止した場合でも、データベースと通信できる限り実行されます。 |
ネットワークにデプロイする ATA センターの数を決定するときは、次の条件を考慮してください。
1 つの ATA センターで、1 つの Active Directory フォレストを監視できます。 複数の Active Directory フォレストがある場合は、Active Directory フォレストごとに少なくとも 1 つの ATA センターが必要です。
大規模な Active Directory デプロイでは、1 つの ATA センターですべてのドメイン コントローラーのすべてのトラフックを処理できない場合があります。 この場合、複数の ATA センターが必要です。 ATA センターの数は、ATA の容量計画によって決定する必要があります。
ATA ゲートウェイと ATA Lightweight Gateway
ゲートウェイのコア機能
ATA ゲートウェイ と ATA Lightweight Gateway の両方には同じコア機能があります。
ドメイン コントローラー ネットワーク トラフックをキャプチャして検査します。 これは、ATA ゲートウェイのポート ミラーリング トラフィックと、ATA Lightweight Gateway のドメイン コントローラーのローカル トラフィックです。
SIEM サーバーまたは Syslog サーバーから、または Windows イベント転送を使用してドメイン コントローラーから Windows イベントを受信する
Active Directory ドメインからユーザーとコンピューターに関するデータを取得する
ネットワーク エンティティ (ユーザー、グループ、およびコンピューター) の解決を実行する
関連データを ATA センターに転送する
1 つの ATA ゲートウェイから複数のドメイン コントローラーを監視するか。ATA Lightweight Gateway の単一のドメイン コントローラーを監視します。
ATA ゲートウェイは、ネットワーク トラフィックと Windows イベントを受信し、次のメイン コンポーネントで処理します。
| 型 | 説明 |
|---|---|
| Network Listener | Network Listener は、ネットワーク トラフィックをキャプチャし、トラフィックを解析します。 これは、CPU 負荷の高いタスクであるため、ATA ゲートウェイとATA Lightweight Gateway を計画する際の ATA の前提条件を確認するために特に重要です。 |
| イベント リスナー | Event Listener は、ネットワーク上の SIEM サーバーから転送された Windows イベントをキャプチャして解析します。 |
| Windows Event Log Reader | Windows Event Log Reader は、ドメイン コントローラーからの ATA ゲートウェイの Windows イベント ログに転送された Windows イベント を読み取り、解析します。 |
| Network Activity Translator | 解析したトラフィックを、ATA (NetworkActivity) が使用するトラフィックの論理表現に変換します。 |
| Entity Resolver | Entity Resolver は、解析されたデータ (ネットワーク トラフィックとイベント) を取得し、Active Directory でデータを解決して、アカウントと ID の情報を検索します。 その後、解析されたデータで見つかった IP アドレスと照合されます。 Entity Resolver は、パケット ヘッダーを効率的に検査して、コンピューター名、プロパティ、ID の認証パケットの解析を可能にします。 Entity Resolver は、解析された認証パケットと実際のパケット内のデータを結合します。 |
| Entity Sender | Entity Sender は、解析されたデータと一致したデータを ATA センターに送信します。 |
ATA Lightweight Gateway の機能
次の機能は、ATA ゲートウェイと ATA Lightweight Gateway のどちらを実行しているかによって動作が異なります。
ATA Lightweight Gateway では、イベント転送を構成しなくても、イベントをローカルで読み取ることができます。
ドメイン シンクロナイザー候補
ドメイン シンクロナイザー ゲートウェイは、特定の Active Directory ドメインからのすべてのエンティティを事前に同期します (ドメイン コントローラー自体がレプリケーションに使用するメカニズムと同様です)。 1 つのゲートウェイが候補の一覧からランダムに選択され、ドメイン シンクロナイザーとして機能します。
シンクロナイザーが 30 分を超えてオフラインになっている場合は、代わりに別の候補が選択されます。 特定のドメインに対してドメイン シンクロナイザー候補がない場合、ATA は積極的にエンティティと変更を同期しますが、ATA は監視対象のトラフィックで新しいエンティティが検出されたら、それを受動的に取得します。ドメイン シンクロナイザーがない場合、関連するトラフィックなしでエンティティを検索しても結果は表示されません。
デフォルトで、すべての ATA ゲートウェイは、ドメイン シンクロナイザー候補になります。
すべての ATA Lightweight Gateway はブランチ サイトや小規模ドメイン コントローラーでデプロイされる可能性が高いため、デフォルトでは、シンクロナイザー候補ではありません。
Lightweight Gateway のみの環境では、シンクロナイザー候補として 2 つのゲートウェイを割り当てることが推奨されます。ここでは、1 つの Lightweight Gateway がデフォルトのシンクロナイザー候補となり、もう 1 つは、デフォルトが 30 分以上オフラインになった場合のバックアップとなります。
リソースの制限事項
ATA Lightweight Gateway には、実行先のドメイン コントローラーで使用可能なコンピューティング能力とメモリ容量を評価する監視コンポーネントが含まれます。 監視プロセスは 10 秒ごとに実行され、ATA Lightweight Gateway プロセスの CPU とメモリ使用率のクォータを動的に更新して、ドメイン コントローラーに少なくとも 15% の空きコンピューティング リソースとメモリ リソースがあることを確認します。ドメイン コントローラーで何が起こっても、このプロセスは常にリソースを解放して、ドメイン コントローラーのコア機能が影響を受けないようにします。
これにより ATA Lightweight Gateway がリソースを使い果たしてしまう場合は、部分的なトラフィックのみが監視され、[正常性] ページに正常性アラートである「破棄されたポート ミラー ネットワーク トラフィック」が表示されます。
次の表に、すべてのトラフィックが監視されるように、現在必要なクォータを増やすために十分なコンピューティング リソースを使用できるドメイン コントローラーの例を示します。
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | その他 (その他のプロセス) | ATA Lightweight Gateway クォータ | ゲートウェイの削除 |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | いいえ |
Active Directory でより多くのコンピューティングが必要な場合は、ATA Lightweight Gateway に必要なクォータが削減されます。 次の例では、ATA Lightweight Gateway は割り当てられたクォータを超える量を必要とし、トラフィックの一部を削除します (部分的なトラフィックのみを監視します)。
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | その他 (その他のプロセス) | ATA Lightweight Gateway クォータ | ゲートウェイが削除されているか |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | はい |
お使いのネットワーク コンポーネント
ATA の操作をするには、次のコンポーネントが設定されていることをチェックしてください。
ポートのミラーリング
ATA ゲートウェイを使用している場合は、監視対象のドメイン コントローラーに対してポート ミラーリングを設定し、ATA ゲートウェイを物理スイッチまたは仮想スイッチを使用している宛先として設定します。 もう 1 つのオプションは、ネットワーク TAP を使用することです。 ATA は、すべてではなく一部のドメイン コントローラーが監視されているが検出の効果が低い場合に機能します。
ポート ミラーリングは、すべてのドメイン コントローラー ネットワーク トラフィックを ATA ゲートウェイにミラーリングしますが、そのトラフィックのごく一部のみが分析のために ATA センターに送信され、圧縮されます。
ドメイン コントローラーと ATA ゲートウェイは、物理または仮想にすることができます。詳細については、「ポート ミラーリングを構成する」を参照してください。
[イベント]
Pass-the-Hash、ブルート フォース、機密性の高いグループへの変更、ハニー トークンの ATA 検出を強化するには、4776、4732、4733、4728、4729、4756、4757 の Windows イベントが必要です。 これらは、ATA Lightweight Gateway が自動で読み込むか、ATA Lightweight Gateway がデプロイされていない場合は、SIEM イベントをリッスンするように ATA ゲートウェイを構成するか、Windows イベント転送を構成するかのいずれかの方法でATA ゲートウェイに転送できます。
SIEM イベントをリッスンするように ATA ゲートウェイを構成する
特定の Windows イベントを ATA に転送するように SIEM を構成します。 ATA では、多数の SIEM ベンダーがサポートされています。 詳細については、「イベント コレクションの構成」を参照してください。Windows イベント転送の構成
ATA でイベントを取得するもう 1 つの方法は、ドメイン コントローラーで Windows イベント 4776、4732、4733、4728、4729、4756、4757 を ATA ゲートウェイに転送するように構成することです。 これは、SIEM がない場合や、SIEM が ATA で現在サポートされていない場合に特に便利です。 ATA で Windows イベント転送の構成を完了するには、「Windows イベント転送の構成」を参照してください。 これは、ATA Lightweight Gateway ではなく、物理 ATA ゲートウェイにのみ適用されます。