ATA-architectuur
Van toepassing op: Advanced Threat Analytics versie 1.9
De Advanced Threat Analytics-architectuur wordt in dit diagram beschreven:
ATA bewaakt het netwerkverkeer van uw domeincontroller door poortspiegeling naar een ATA-gateway te gebruiken met behulp van fysieke of virtuele switches. Als u de ATA Lightweight-gateway rechtstreeks op uw domeincontrollers implementeert, wordt de vereiste voor poortspiegeling verwijderd. Daarnaast kan ATA gebruikmaken van Windows-gebeurtenissen (rechtstreeks vanaf uw domeincontrollers of vanaf een SIEM-server) en de gegevens voor aanvallen en bedreigingen analyseren. In deze sectie wordt de stroom beschreven van netwerk- en gebeurtenisopnamen en inzoomen om de functionaliteit van de belangrijkste onderdelen van ATA te beschrijven: de ATA Gateway, DE ATA Lightweight-gateway (die dezelfde kernfunctionaliteit heeft als de ATA Gateway) en atA Center.
ATA-onderdelen
ATA bestaat uit de volgende onderdelen:
- ATA Center
Het ATA Center ontvangt gegevens van alle ATA Gateways en/of ATA Lightweight-gateways die u implementeert. - ATA Gateway
De ATA Gateway wordt geïnstalleerd op een toegewezen server die het verkeer van uw domeincontrollers bewaakt met behulp van poortspiegeling of een netwerk TAP. - ATA Lightweight-gateway
De ATA Lightweight-gateway wordt rechtstreeks op uw domeincontrollers geïnstalleerd en bewaakt hun verkeer rechtstreeks, zonder dat er een toegewezen server of configuratie van poortspiegeling nodig is. Het is een alternatief voor de ATA Gateway.
Een ATA-implementatie kan bestaan uit één ATA Center dat is verbonden met alle ATA-gateways, alle ATA Lightweight-gateways of een combinatie van ATA Gateways en ATA Lightweight-gateways.
Implementatieopties
U kunt ATA implementeren met behulp van de volgende combinatie van gateways:
- Alleen ATA Gateways gebruiken
Uw ATA-implementatie kan alleen ATA Gateways bevatten, zonder ATA Lightweight-gateways: alle domeincontrollers moeten zijn geconfigureerd om poortspiegeling naar een ATA-gateway of netwerk-TAP's in te schakelen. - Alleen ATA Lightweight-gateways gebruiken
Uw ATA-implementatie kan alleen ATA Lightweight-gateways bevatten: de ATA Lightweight-gateways worden geïmplementeerd op elke domeincontroller en er is geen extra configuratie voor poortspiegeling nodig. - Zowel ATA-gateways als ATA Lightweight-gateways gebruiken
Uw ATA-implementatie omvat zowel ATA Gateways als ATA Lightweight-gateways. De ATA Lightweight-gateways zijn geïnstalleerd op een aantal van uw domeincontrollers (bijvoorbeeld alle domeincontrollers in uw vertakkingssites). Tegelijkertijd worden andere domeincontrollers bewaakt door ATA Gateways (bijvoorbeeld de grotere domeincontrollers in uw belangrijkste datacenters).
In al deze scenario's verzenden alle gateways hun gegevens naar het ATA Center.
ATA Center
Het ATA Center voert de volgende functies uit:
Beheert de configuratie-instellingen voor ATA Gateway en ATA Lightweight Gateway
Ontvangt gegevens van ATA Gateways en ATA Lightweight-gateways
Detecteert verdachte activiteiten
Voert ATA-gedragsalgoritmen voor machine learning uit om abnormaal gedrag te detecteren
Voert verschillende deterministische algoritmen uit om geavanceerde aanvallen te detecteren op basis van de kill chain voor aanvallen
De ATA Console uitvoeren
Optioneel: het ATA Center kan worden geconfigureerd voor het verzenden van e-mailberichten en gebeurtenissen wanneer er een verdachte activiteit wordt gedetecteerd.
AtA Center ontvangt geparseerd verkeer van de ATA Gateway en ATA Lightweight Gateway. Vervolgens wordt profilering uitgevoerd, deterministische detectie uitgevoerd en worden machine learning- en gedragsalgoritmen uitgevoerd om meer te weten te komen over uw netwerk, detectie van afwijkingen in te schakelen en u te waarschuwen voor verdachte activiteiten.
| Type | Omschrijving |
|---|---|
| Entiteitsontvanger | Ontvangt batches entiteiten van alle ATA-gateways en ATA Lightweight-gateways. |
| Netwerkactiviteitprocessor | Verwerkt alle netwerkactiviteiten binnen elke ontvangen batch. Bijvoorbeeld: overeenkomen tussen de verschillende Kerberos-stappen die worden uitgevoerd op mogelijk verschillende computers |
| Entity Profiler | Hiermee worden alle unieke entiteiten geprofielen op basis van het verkeer en de gebeurtenissen. ATA werkt bijvoorbeeld de lijst met aangemelde computers bij voor elk gebruikersprofiel. |
| Database centreren | Beheert het schrijfproces van de netwerkactiviteiten en gebeurtenissen in de database. |
| Database | ATA maakt gebruik van MongoDB voor het opslaan van alle gegevens in het systeem: - Netwerkactiviteiten - Gebeurtenisactiviteiten - Unieke entiteiten - Verdachte activiteiten - ATA-configuratie |
| Detectoren | De detectoren gebruiken machine learning-algoritmen en deterministische regels om verdachte activiteiten en abnormaal gebruikersgedrag in uw netwerk te vinden. |
| ATA Console | De ATA-console is bedoeld voor het configureren van ATA en het bewaken van verdachte activiteiten die door ATA in uw netwerk zijn gedetecteerd. De ATA Console is niet afhankelijk van de ATA Center-service en wordt zelfs uitgevoerd wanneer de service wordt gestopt, zolang deze kan communiceren met de database. |
Houd rekening met de volgende criteria bij het bepalen hoeveel ATA Centers er in uw netwerk moeten worden geïmplementeerd:
Eén ATA Center kan één Active Directory-forest bewaken. Als u meer dan één Active Directory-forest hebt, hebt u minimaal één ATA Center per Active Directory-forest nodig.
In grote Active Directory-implementaties kan één ATA Center mogelijk niet al het verkeer van al uw domeincontrollers verwerken. In dit geval zijn meerdere ATA Centers vereist. Het aantal ATA Centers moet worden bepaald door de ATA-capaciteitsplanning.
ATA-gateway en ATA Lightweight-gateway
Kernfunctionaliteit van gateway
De ATA Gateway en DE ATA Lightweight-gateway hebben beide dezelfde kernfunctionaliteit:
Netwerkverkeer van domeincontroller vastleggen en inspecteren. Dit is poortgespiegeld verkeer voor ATA Gateways en lokaal verkeer van de domeincontroller in ATA Lightweight-gateways.
Windows-gebeurtenissen ontvangen van SIEM- of Syslog-servers of van domeincontrollers met Windows Event Forwarding
Gegevens over gebruikers en computers ophalen uit het Active Directory-domein
Oplossing van netwerkentiteiten uitvoeren (gebruikers, groepen en computers)
Relevante gegevens overdragen naar atA Center
Bewaak meerdere domeincontrollers vanaf één ATA Gateway of bewaak één domeincontroller voor een ATA Lightweight-gateway.
De ATA Gateway ontvangt netwerkverkeer en Windows-gebeurtenissen van uw netwerk en verwerkt deze in de volgende hoofdonderdelen:
| Type | Omschrijving |
|---|---|
| Netwerklistener | De netwerklistener legt netwerkverkeer vast en parseert het verkeer. Dit is een zware CPU-taak, dus het is vooral belangrijk om ATA-vereisten te controleren bij het plannen van uw ATA Gateway of ATA Lightweight-gateway. |
| Gebeurtenislistener | De gebeurtenislistener legt Windows-gebeurtenissen vast en parseert deze die zijn doorgestuurd vanaf een SIEM-server in uw netwerk. |
| Windows-gebeurtenislogboeklezer | De Windows-gebeurtenislogboeklezer leest en parseert Windows-gebeurtenissen die zijn doorgestuurd naar het Windows-gebeurtenislogboek van de ATA Gateway vanaf de domeincontrollers. |
| Netwerkactiviteit Vertalen | Hiermee wordt geparseerd verkeer omgezet in een logische weergave van het verkeer dat wordt gebruikt door ATA (NetworkActivity). |
| Entiteits resolver | De Entity Resolver gebruikt de geparseerde gegevens (netwerkverkeer en gebeurtenissen) en lost deze gegevens op met Active Directory om account- en identiteitsgegevens te vinden. Deze wordt vervolgens vergeleken met de IP-adressen die zijn gevonden in de geparseerde gegevens. De Entity Resolver inspecteert de pakketheaders efficiënt om het parseren van verificatiepakketten mogelijk te maken voor computernamen, eigenschappen en identiteiten. De Entity Resolver combineert de geparseerde verificatiepakketten met de gegevens in het daadwerkelijke pakket. |
| Afzender van entiteit | De afzender van de entiteit verzendt de geparseerde en overeenkomende gegevens naar het ATA Center. |
ATA Lightweight-gatewayfuncties
De volgende functies werken anders, afhankelijk van of u een ATA Gateway of een ATA Lightweight-gateway uitvoert.
De ATA Lightweight-gateway kan gebeurtenissen lokaal lezen, zonder dat het doorsturen van gebeurtenissen hoeft te worden geconfigureerd.
Kandidaat voor domeinsynchronisatieroutine
De gateway van de domeinsynchronisatieroutine is verantwoordelijk voor het proactief synchroniseren van alle entiteiten uit een specifiek Active Directory-domein (vergelijkbaar met het mechanisme dat door de domeincontrollers zelf wordt gebruikt voor replicatie). Eén gateway wordt willekeurig gekozen uit de lijst met kandidaten om te fungeren als de domeinsynchronisatieroutine.
Als de synchronisatieroutine langer dan 30 minuten offline is, wordt in plaats daarvan een andere kandidaat gekozen. Als er geen kandidaat voor de domeinsynchronisatieroutine beschikbaar is voor een specifiek domein, synchroniseert ATA proactief entiteiten en hun wijzigingen, maar ATA haalt nieuwe entiteiten reactief op wanneer ze worden gedetecteerd in het bewaakte verkeer.Wanneer er geen domeinsynchronisatieroutine beschikbaar is, wordt er geen resultaten weergegeven wanneer u zoekt naar een entiteit zonder verkeer dat daaraan is gerelateerd.
Standaard zijn alle ATA-gateways kandidaten voor domeinsynchronisatieroutines.
Omdat alle ATA Lightweight-gateways waarschijnlijker worden geïmplementeerd in vertakkingssites en op kleine domeincontrollers, zijn ze niet standaard kandidaten voor synchronisatieroutines.
In een omgeving met alleen Lightweight Gateways is het raadzaam om twee van de gateways toe te wijzen als kandidaten voor de synchronisatieroutine, waarbij één Lightweight-gateway de standaardkandidaat voor de synchronisatieroutine is en één de back-up is als de standaardwaarde langer dan 30 minuten offline is.
Resourcebeperkingen
De ATA Lightweight-gateway bevat een bewakingsonderdeel dat de beschikbare reken- en geheugencapaciteit evalueert op de domeincontroller waarop deze wordt uitgevoerd. Het bewakingsproces wordt elke 10 seconden uitgevoerd en werkt het quotum voor CPU- en geheugengebruik dynamisch bij op het ATA Lightweight-gatewayproces om ervoor te zorgen dat de domeincontroller op elk moment ten minste 15% van de gratis reken- en geheugenresources heeft.Ongeacht wat er gebeurt op de domeincontroller, maakt dit proces altijd resources vrij om ervoor te zorgen dat de kernfunctionaliteit van de domeincontroller niet wordt beïnvloed.
Als dit ervoor zorgt dat de ATA Lightweight-gateway geen resources meer heeft, wordt alleen gedeeltelijk verkeer bewaakt en wordt de statuswaarschuwing 'Verbroken poort gespiegeld netwerkverkeer' weergegeven op de pagina Status.
De volgende tabel bevat een voorbeeld van een domeincontroller met voldoende rekenresources die beschikbaar zijn om een groter quotum toe te staan dat momenteel nodig is, zodat al het verkeer wordt bewaakt:
| Active Directory (Lsass.exe) | ATA Lightweight-gateway (Microsoft.Tri.Gateway.exe) | Diversen (andere processen) | ATA Lightweight-gatewayquotum | Gateway verwijderen |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nee |
Als Active Directory meer rekenkracht nodig heeft, wordt het quotum dat nodig is voor de ATA Lightweight-gateway verminderd. In het volgende voorbeeld heeft de ATA Lightweight-gateway meer nodig dan het toegewezen quotum en wordt een deel van het verkeer verwijderd (alleen gedeeltelijk verkeer bewaken):
| Active Directory (Lsass.exe) | ATA Lightweight-gateway (Microsoft.Tri.Gateway.exe) | Diversen (andere processen) | ATA Lightweight-gatewayquotum | Wordt de gateway verwijderd |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Ja |
Uw netwerkonderdelen
Als u met ATA wilt werken, controleert u of de volgende onderdelen zijn ingesteld.
Poortspiegeling
Als u ATA Gateways gebruikt, moet u poortspiegeling instellen voor de domeincontrollers die worden bewaakt en de ATA Gateway instellen als doel met behulp van de fysieke of virtuele switches. Een andere optie is het gebruik van netwerk-TAP's. ATA werkt als sommige, maar niet alle domeincontrollers worden bewaakt, maar detecties minder effectief zijn.
Terwijl poortspiegeling al het netwerkverkeer van de domeincontroller naar de ATA Gateway spiegelt, wordt slechts een klein percentage van dat verkeer verzonden, gecomprimeerd, naar het ATA Center voor analyse.
Uw domeincontrollers en de ATA Gateways kunnen fysiek of virtueel zijn. Zie Poortspiegeling configureren voor meer informatie.
Gebeurtenissen
Om ATA-detectie van Pass-the-Hash, Brute Force, Aanpassing van gevoelige groepen en Honey Tokens te verbeteren, heeft ATA de volgende Windows-gebeurtenissen nodig: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Deze kunnen automatisch worden gelezen door de ATA Lightweight-gateway of als de ATA Lightweight-gateway niet is geïmplementeerd, kan deze op twee manieren worden doorgestuurd naar de ATA-gateway door de ATA Gateway te configureren om te luisteren naar SIEM-gebeurtenissen of door Windows Event Forwarding te configureren.
De ATA Gateway configureren om te luisteren naar SIEM-gebeurtenissen
Configureer uw SIEM om specifieke Windows-gebeurtenissen door te sturen naar ATA. ATA ondersteunt een aantal SIEM-leveranciers. Zie Gebeurtenisverzameling configureren voor meer informatie.Windows Event Forwarding configureren
Een andere manier waarop ATA uw gebeurtenissen kan ophalen, is door uw domeincontrollers te configureren om Windows-gebeurtenissen 4776, 4732, 4733, 4728, 4729, 4756 en 4757 door te sturen naar uw ATA Gateway. Dit is vooral handig als u geen SIEM hebt of als uw SIEM momenteel niet wordt ondersteund door ATA. Zie Windows Event Forwarding configureren in ATA om uw configuratie van Windows Event Forwarding in ATA te voltooien. Dit geldt alleen voor fysieke ATA-gateways, niet voor de ATA Lightweight-gateway.