Arquitetura do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
A arquitetura do Advanced Threat Analytics é detalhada neste diagrama:
O ATA monitora o tráfego de rede do controlador de domínio utilizando o espelhamento de porta para um ATA Gateway usando comutadores (switches) físicos ou virtuais. Se você implantar o ATA Lightweight Gateway diretamente nos controladores de domínio, ele removerá o requisito de espelhamento de porta. Além disso, o ATA pode aproveitar eventos do Windows (encaminhados diretamente de seus controladores de domínio ou de um servidor SIEM) e analisar os dados em busca de ataques e ameaças. Esta seção descreve o fluxo de rede e a captura de eventos, descrevendo detalhadamente a funcionalidade dos principais componentes do ATA: o ATA Gateway, o ATA Lightweight Gateway (que tem a mesma funcionalidade principal do ATA Gateway) e o ATA Center.
Componentes do ATA
Isso consiste nos seguintes componentes:
- ATA Center
O ATA Center recebe dados de quaisquer ATA Gateways e/ou ATA Lightweight Gateways implantados. - ATA Gateway
O ATA Gateway é instalado em um servidor dedicado que monitora o tráfego dos controladores de domínio usando espelhamento de porta ou um TAP de rede. - ATA Lightweight Gateway
O ATA Lightweight Gateway é instalado diretamente nos controladores de domínio e monitora seu tráfego diretamente, sem a necessidade de um servidor dedicado ou configuração de espelhamento de porta. Ele é uma alternativa ao ATA Gateway.
Uma implantação do ATA pode consistir em um único ATA Center conectado a todos os ATA Gateways, todos os ATA Lightweight Gateways ou uma combinação de ATA Gateways e ATA Lightweight Gateways.
Opções de implantação
Você pode implantar o ATA usando a seguinte combinação de gateways:
- Usando apenas ATA Gateways
Sua implantação do ATA pode conter apenas ATA Gateways, sem nenhum ATA Lightweight Gateway: todos os controladores de domínio devem ser configurados para habilitar o espelhamento de porta para um ATA Gateway ou os TAPs de rede devem estar em vigor. - Usando apenas ATA Lightweight Gateways
Sua implantação do ATA pode conter apenas ATA Lightweight Gateways: os ATA Lightweight Gateways são implantados em cada controlador de domínio e nenhuma configuração adicional de espelhamento de porta ou servidores é necessária. - Usando ATA Gateways e ATA Lightweight Gateways
Sua implantação do ATA inclui ATA Gateways e ATA Lightweight Gateways. Os ATA Lightweight Gateways são instalados em alguns dos controladores de domínio (por exemplo, todos os controladores de domínio em suas filiais). Ao mesmo tempo, outros controladores de domínio são monitorados por ATA Gateways (por exemplo, os controladores de domínio maiores em seus data centers principais).
Em todos esses cenários, todos os gateways enviam seus dados para o ATA Center.
ATA Center
O ATA Center executa as seguintes funções:
Gerencia as definições de configuração do ATA Gateway e do ATA Lightweight Gateway
Recebe dados de ATA Gateways e ATA Lightweight Gateways
Atividades suspeitas
Executa algoritmos de aprendizado de máquina comportamental do ATA para detectar comportamento anormal
Executa vários algoritmos determinísticos para detectar ataques avançados com base na cadeia de morte de ataque
Executa o ATA Console
Opcional: o ATA Center pode ser configurado para enviar e-mails e eventos quando uma atividade suspeita for detectada.
O ATA Center recebe tráfego analisado do ATA Gateway e do ATA Lightweight Gateway. Depois ele usa a criação de perfil, detecção determinística, machine learning e algoritmos comportamentais, para descobrir sobre a sua rede, habilitar a detecção de anomalias e alertar você sobre atividades suspeitas.
| Tipo | Descrição |
|---|---|
| Receptor da entidade | Recebe lotes de entidades de todos os ATA Gateways e ATA Lightweight Gateways. |
| Processador de atividade de rede | Processa todas as atividades de rede dentro de cada lote recebido. Por exemplo, correspondência entre as várias etapas Kerberos executadas de computadores potencialmente diferentes |
| Perfil de entidade | Traça o perfil de todas as Entidades Únicas de acordo com o tráfego e eventos. Por exemplo, o ATA atualiza a lista de computadores conectados para cada perfil de usuário. |
| Banco de Dados do Center | Gerencia o processo de gravação das Atividades de Rede e eventos no banco de dados. |
| Banco de dados | A ATA utiliza o MongoDB para fins de armazenamento de todos os dados no sistema: - Atividades de rede - Atividades de evento - Entidades únicas - Atividades suspeitas - Configuração do ATA |
| Detectores | Os Detectores usam algoritmos de aprendizado de máquina e regras determinísticas para encontrar atividades suspeitas e comportamento anormal do usuário em sua rede. |
| ATA Console | O ATA Console é usado para configurar o ATA e monitorar atividades suspeitas detectadas pelo ATA em sua rede. O ATA Console não depende do serviço ATA Center e é executado mesmo quando o serviço é interrompido, desde que possa se comunicar com o banco de dados. |
Considere os seguintes critérios ao decidir quantos ATA Centers implantar em sua rede:
Um ATA Center pode monitorar uma única floresta do Active Directory. Se você tiver mais de uma floresta do Active Directory, precisará de um mínimo de um ATA Center por floresta do Active Directory.
Em grandes implantações do Active Directory, um único ATA Center pode não ser capaz de lidar com todo o tráfego de todos os controladores de domínio. Nesse caso, vários ATA Centers são necessários. O número de ATA Centers deve ser ditado pelo planejamento da capacidade do ATA.
ATA Gateway e ATA Lightweight Gateway
Funcionalidade principal do Gateway
O ATA Gateway e o ATA Lightweight Gateway têm a mesma funcionalidade principal:
Capturar e inspecionar o tráfego de rede do controlador de domínio. Esse é o tráfego do espelhamento de porta para ATA Gateways e o tráfego local do controlador de domínio nos ATA Lightweight Gateways.
Receber eventos do Windows de servidores SIEM ou Syslog ou de controladores de domínio usando o Windows Event Forwarding
Recuperar dados sobre usuários e computadores do domínio do Active Directory
Executar a resolução de entidades de rede (usuários, grupos e computadores)
Transferir dados relevantes para o ATA Center
Monitore vários controladores de domínio a partir de um único ATA Gateway ou monitore um único controlador de domínio para um ATA Lightweight Gateway.
O ATA Gateway recebe tráfego de rede e Eventos do Windows da sua rede e os processa nos seguintes componentes principais:
| Tipo | Descrição |
|---|---|
| Network Listener | O Network Listener captura o tráfego de rede e analisa o tráfego. Essa é uma tarefa com uso intenso de CPU, de modo que é especialmente importante verificar os Pré-requisitos do ATA ao planejar o ATA Gateway ou o ATA Lightweight Gateway. |
| Event Listener | O Event Listener captura e analisa Eventos do Windows encaminhados de um servidor SIEM na sua rede. |
| Windows Event Log Reader | O Windows Event Log Reader lê e analisa os Eventos do Windows encaminhados para o Log de Eventos do Windows do ATA Gateway a partir dos controladores de domínio. |
| Network Activity Translator | Converte o tráfego analisado em uma representação lógica do tráfego, usada pelo ATA (NetworkActivity). |
| Entity Resolver | O Entity Resolver apanha os dados analisados (tráfego de rede e eventos) e os resolve seus dados no Active Directory para localizar informações de conta e identidade. Em seguida, ele as compara com os endereços IP encontrados nos dados analisados. O Entity Resolver inspeciona os cabeçalhos de pacote de forma eficiente para habilitar a análise de pacotes de autenticação para nomes de máquina, propriedades e identidades. O Entity Resolver combina os pacotes de autenticação analisados com os dados no pacote real. |
| Entity Sender | O Entity Sender envia os dados analisados e correspondentes para o ATA Center. |
Recursos do ATA Lightweight Gateway
Os recursos a seguir funcionam de forma diferente, dependendo se você estiver executando um ATA Gateway ou um ATA Lightweight Gateway.
O ATA Lightweight Gateway pode ler eventos localmente, sem a necessidade de configurar o encaminhamento de eventos.
Candidato a sincronizador de domínio
O gateway sincronizador de domínio é responsável por sincronizar todas as entidades de um domínio específico do Active Directory de forma proativa (semelhante ao mecanismo usado pelos próprios controladores de domínio para replicação). Um gateway é escolhido aleatoriamente, a partir da lista de candidatos, para servir como sincronizador de domínio.
Se o sincronizador ficar offline por mais de 30 minutos, outro candidato será escolhido em seu lugar. Se não houver nenhum candidato a sincronizador de domínio disponível para um domínio específico, o ATA sincronizará proativamente as entidades e suas alterações, mas o ATA recuperará reativamente novas entidades à medida que forem detectadas no tráfego monitorado.Quando nenhum sincronizador de domínio está disponível, a pesquisa de uma entidade sem tráfego relacionado a ela não exibe resultados.
Por padrão, todos os ATA Gateways são candidatos a sincronizadores de domínio.
Como todos os ATA Lightweight Gateways têm maior probabilidade de serem implantados em sites de filial e em controladores de domínio pequenos, eles não são candidatos a sincronizadores por padrão.
Em um ambiente com apenas Lightweight Gateways, é recomendável atribuir dois dos gateways como candidatos a sincronizador, onde um Lightweight Gateway é o candidato a sincronizador padrão e um é o reserva, caso o padrão fique offline por mais de 30 minutos.
Limitações de recursos
O ATA Lightweight Gateway inclui um componente de monitoramento que avalia a capacidade de computação e de memória disponível no controlador de domínio no qual ele está sendo executado. O processo de monitoramento é executado a cada 10 segundos e atualiza dinamicamente a cota de utilização de CPU e memória no processo do ATA Lightweight Gateway para garantir que, a qualquer momento, o controlador de domínio tenha pelo menos 15% dos recursos de computação e memória livres.Não importa o que aconteça no controlador de domínio, esse processo sempre libera recursos para garantir que a funcionalidade principal do controlador de domínio não seja afetada.
Se isso fizer com que o ATA Lightweight Gateway fique sem recursos, somente o tráfego parcial será monitorado e o alerta de integridade "Tráfego de rede com espelhamento de porta descartado" aparecerá na página Integridade.
A tabela a seguir fornece um exemplo de um controlador de domínio com recurso de computação suficiente disponível para permitir uma cota maior que a necessária no momento, para que todo o tráfego seja monitorado:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diversos (outros processos) | Cota do ATA Lightweight Gateway | Retirada do gateway |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Não |
Se o Active Directory precisar de mais computação, a cota necessária para o ATA Lightweight Gateway será reduzida. No exemplo a seguir, o ATA Lightweight Gateway precisa de mais do que a cota alocada e descarta parte do tráfego (monitorando apenas o tráfego parcial):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diversos (outros processos) | Cota do ATA Lightweight Gateway | O gateway é removido |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Sim |
Seus componentes da rede
Para trabalhar com o ATA, verifique se os seguintes componentes estão configurados.
Espelhamento de porta
Se você estiver usando ATA Gateways, será necessário configurar o espelhamento de porta para os controladores de domínio monitorados e definir o ATA Gateway como destino usando os comutadores físicos ou virtuais. Outra opção é usar TAPs de rede. O ATA funciona se alguns mas não todos os controladores de domínio forem monitorados, mas as detecções são menos eficazes.
Embora o espelhamento de porta espelhe todo o tráfego de rede do controlador de domínio para o ATA Gateway, apenas uma pequena porcentagem desse tráfego é enviada, compactada, para análise no ATA Center.
Seus controladores de domínio e os ATA Gateways podem ser físicos ou virtuais; consulte Configurar espelhamento de porta para obter mais informações.
Eventos
Para aprimorar a detecção ATA de Pass-the-Hash, Força Bruta, Modificação para grupos confidenciais e Honey Tokens, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Eles podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não seja implantado, ele pode ser encaminhado para o ATA Gateway de uma de duas maneiras, configurando o ATA Gateway para escutar eventos SIEM ou Configurando o Windows Event Forwarding.
Configurar o ATA Gateway para escutar eventos do SIEM
Configure seu SIEM para encaminhar eventos específicos do Windows para o ATA. O ATA oferece suporte a vários fornecedores de SIEM. Para obter mais informações, consulte Configurar a coleta de eventos.Configurar o Windows Event Forwarding
Outra maneira de o ATA obter seus eventos é configurando seus controladores de domínio para encaminhar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para o ATA Gateway. Isso é especialmente útil se você não tiver um SIEM ou se seu SIEM atualmente não tiver suporte pelo ATA. Para concluir a configuração do Windows Event Forwarding no ATA, consulte Configurar o Windows Event Forwarding. Isso só se aplica a ATA Gateways físicos - não ao ATA Lightweight Gateway.