Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Архитектура ATAATA Architecture

Архитектура решения Microsoft Advanced Threat Analytics (ATA) подробно представлена на следующей схеме:The Advanced Threat Analytics architecture is detailed in this diagram:

Схема топологии архитектуры ATA

ATA отслеживает сетевой трафик контроллеров домена, используя зеркальное отображение портов на шлюз ATA с помощью физических или виртуальных коммутаторов.ATA monitors your domain controller network traffic by utilizing port mirroring to an ATA Gateway using physical or virtual switches. При развертывании упрощенного шлюза ATA непосредственно на контроллерах домена зеркальное отображение портов не требуется.If you deploy the ATA Lightweight Gateway directly on your domain controllers, it removes the requirement for port mirroring. Кроме того, ATA может использовать события Windows (которые пересылаются непосредственно из контроллеров домена или сервера SIEM) и анализировать данные, связанные с атаками и угрозами.In addition, ATA can leverage Windows events (forwarded directly from your domain controllers or from a SIEM server) and analyze the data for attacks and threats. В этом разделе рассматривается процесс фиксации сетевого трафика и событий, а также подробно описаны функции основных компонентов ATA: шлюза ATA, упрощенного шлюза ATA (основные функции этих двух компонентов совпадают) и центра ATA.This section describes the flow of network and event capturing and drills down to describe the functionality of the main components of ATA: the ATA Gateway, ATA Lightweight Gateway (which has the same core functionality as the ATA Gateway), and the ATA Center.

Схема процесса фиксации трафика ATA

Компоненты ATAATA Components

Решение ATA включает в себя следующие компоненты.ATA consists of the following components:

  • Центр ATAATA Center
    Центр ATA получает данные от всех развернутых шлюзов ATA и упрощенных шлюзов ATA.The ATA Center receives data from any ATA Gateways and/or ATA Lightweight Gateways you deploy.
  • Шлюз ATAATA Gateway
    Шлюз ATA устанавливается на выделенном сервере, отслеживающем трафик от контроллеров домена, посредством зеркального отображения портов или перехватчика трафика.The ATA Gateway is installed on a dedicated server that monitors the traffic from your domain controllers using either port mirroring or a network TAP.
  • Упрощенный шлюз ATAATA Lightweight Gateway
    Упрощенный шлюз ATA устанавливается непосредственно на контроллерах домена и напрямую отслеживает их трафик. Для этого не нужен выделенный сервер и не требуется настраивать зеркальное отображение портов.The ATA Lightweight Gateway is installed directly on your domain controllers and monitors their traffic directly, without the need for a dedicated server or configuration of port mirroring. Он представляет собой альтернативу шлюзу ATA.It is an alternative to the ATA Gateway.

Развертывание ATA может состоять из одного центра ATA, подключенного ко всем шлюзам ATA, всем упрощенным шлюзам ATA или и к тем и к другим одновременно.An ATA deployment can consist of a single ATA Center connected to all ATA Gateways, all ATA Lightweight Gateways, or a combination of ATA Gateways and ATA Lightweight Gateways.

Варианты развертыванияDeployment options

При развертывании ATA можно использовать следующие сочетания шлюзов:You can deploy ATA using the following combination of gateways:

  • Только шлюзы ATAUsing only ATA Gateways
    В развертывании ATA могут быть только шлюзы ATA, но не упрощенные шлюзы ATA: для всех контроллеров домена необходимо включить зеркальное отображение портов на шлюз ATA либо нужно настроить перехватчики трафика.Your ATA deployment can contain only ATA Gateways, without any ATA Lightweight Gateways: All the domain controllers must be configured to enable port mirroring to an ATA Gateway or network TAPs must be in place.
  • Только упрощенные шлюзы ATAUsing only ATA Lightweight Gateways
    В развертывании ATA могут быть только упрощенные шлюзы ATA: они развертываются на каждом контроллере домена. При этом не нужно настраивать дополнительные серверы или зеркальное отображение портов.Your ATA deployment can contain only ATA Lightweight Gateways: The ATA Lightweight Gateways are deployed on each domain controller and no additional servers or port mirroring configuration is necessary.
  • Шлюзы ATA и упрощенные шлюзы ATAUsing both ATA Gateways and ATA Lightweight Gateways
    Развертывание ATA содержит как обычные, так и упрощенные шлюзы ATA.Your ATA deployment includes both ATA Gateways and ATA Lightweight Gateways. Упрощенные шлюзы ATA устанавливаются на некоторых контроллерах домена (например, на всех контроллерах домена на сайтах филиалов).The ATA Lightweight Gateways are installed on some of your domain controllers (for example, all domain controllers in your branch sites). В то же время трафик других контроллеров домена (например, контроллеров домена большого размера в основных центрах обработки данных) отслеживают шлюзы ATA.At the same time, other domain controllers are monitored by ATA Gateways (for example, the larger domain controllers in your main data centers).

Во всех этих сценариях все шлюзы отправляют данные центру ATA.In all these scenarios, all the gateways send their data to the ATA Center.

Центр АТАATA Center

Центр ATA выполняет следующие функции:The ATA Center performs the following functions:

  • управление параметрами конфигурации шлюза ATA и упрощенного шлюза ATA;Manages ATA Gateway and ATA Lightweight Gateway configuration settings

  • получение данных от шлюзов ATA и упрощенных шлюзов ATA;Receives data from ATA Gateways and ATA Lightweight Gateways

  • выявление подозрительных действий;Detects suspicious activities

  • выполнение алгоритмов машинного обучения ATA для анализа поведения, чтобы обнаружить необычное поведение;Runs ATA behavioral machine learning algorithms to detect abnormal behavior

  • выполнение различных детерминированных алгоритмов для выявления продвинутых атак в цепочке атаки;Runs various deterministic algorithms to detect advanced attacks based on the attack kill chain

  • обеспечение работы консоли ATA;Runs the ATA Console

  • отправка уведомлений о подозрительных действиях по электронной почте (настраивается отдельно).Optional: The ATA Center can be configured to send emails and events when a suspicious activity is detected.

Центр ATA получает проанализированный трафик из шлюза ATA и упрощенного шлюза ATA.The ATA Center receives parsed traffic from the ATA Gateway and ATA Lightweight Gateway. После этого выполняется профилирование, детерминированное обнаружение и запуск алгоритмов машинного обучения и анализа поведения. Это позволяет получить сведения о сети, выявить аномалии и сообщить о подозрительных действиях.It then performs profiling, runs deterministic detection, and runs machine learning and behavioral algorithms to learn about your network, enable detection of anomalies and warn you of suspicious activities.

Получатель сущностейEntity Receiver Этот компонент получает пакеты сущностей из всех шлюзов ATA и упрощенных шлюзов ATA.Receives batches of entities from all ATA Gateways and ATA Lightweight Gateways.
Обработчик сетевых операцийNetwork Activity Processor Этот компонент обрабатывает все сетевые операции в каждом полученном пакете.Processes all the network activities within each batch received. К примеру, он сопоставляет различные действия Kerberos, выполненные на разных компьютерах.For example, matching between the various Kerberos steps performed from potentially different computers
Профилировщик сущностейEntity Profiler Этот компонент профилирует все уникальные сущности в соответствии с трафиком и событиями.Profiles all the Unique Entities according to the traffic and events. Например, ATA обновляет список компьютеров, с которых выполнен вход, для каждого профиля пользователя.For example, ATA updates the list of logged-on computers for each user profile.
База данных центраCenter Database Этот компонент управляет процессом записи сетевых операций и событий в базу данных.Manages the writing process of the Network Activities and events into the database.
База данныхDatabase ATA использует базу данных MongoDB для хранения в системе следующих данных:ATA utilizes MongoDB for purposes of storing all the data in the system:

— сетевых операций;- Network activities
— действий-событий;- Event activities
— уникальных сущностей;- Unique entities
— подозрительных действий;- Suspicious activities
— данных конфигурации ATA.- ATA configuration
Средства обнаруженияDetectors Эти компоненты выявляют подозрительные действия и аномальное поведение пользователей в сети, используя алгоритмы машинного обучения и детерминированные правила.The Detectors use machine learning algorithms and deterministic rules to find suspicious activities and abnormal user behavior in your network.
Консоль ATAATA Console Этот компонент используется для настройки решения ATA и отслеживания подозрительных сетевых действий, обнаруженных этим решением.The ATA Console is for configuring ATA and monitoring suspicious activities detected by ATA on your network. Консоль ATA не зависит от службы центра ATA и работает даже после ее остановки, если связь с базой данных не потеряна.The ATA Console is not dependent on the ATA Center service and runs even when the service is stopped, as long as it can communicate with the database.

При определении числа центров ATA, которые необходимо развернуть в сети, учитывайте указанные ниже критерии.Consider the following criteria when deciding how many ATA Centers to deploy on your network:

  • Один центр ATA может отслеживать лишь один лес Active Directory.One ATA Center can monitor a single Active Directory forest. При наличии нескольких лесов Active Directory для каждого из них требуется по крайней мере один центр ATA.If you have more than one Active Directory forest, you need a minimum of one ATA Center per Active Directory forest.

  • При крупных развертываниях Active Directory одного центра ATA может быть недостаточно для обработки всего трафика из контроллеров домена.In large Active Directory deployments, a single ATA Center might not be able to handle all the traffic of all your domain controllers. В этом случае требуется несколько центров ATA.In this case, multiple ATA Centers are required. Число центров ATA зависит от планирования производительности решения.The number of ATA Centers should be dictated by ATA capacity planning.

Шлюз ATA и упрощенный шлюз ATAATA Gateway and ATA Lightweight Gateway

Основные функции шлюзаGateway core functionality

Шлюз ATA и упрощенный шлюз ATA выполняют одинаковые основные функции:The ATA Gateway and ATA Lightweight Gateway both have the same core functionality:

  • фиксация и проверка сетевого трафика контроллеров доменаCapture and inspect domain controller network traffic. (трафик на зеркально отображенных портах для шлюзов ATA и локальный трафик контроллера домена для упрощенных шлюзов ATA);This is port mirrored traffic for ATA Gateways and local traffic of the domain controller in ATA Lightweight Gateways.

  • получение событий Windows с серверов SIEM или серверов системного журнала либо из контроллеров домена с помощью функции пересылки событий Windows;Receive Windows events from SIEM or Syslog servers, or from domain controllers using Windows Event Forwarding

  • получение данных о пользователях и компьютерах из домена Active Directory;Retrieve data about users and computers from the Active Directory domain

  • разрешение сетевых сущностей (пользователей, групп и компьютеров);Perform resolution of network entities (users, groups, and computers)

  • передача соответствующих данных в центр ATA;Transfer relevant data to the ATA Center

  • мониторинг нескольких контроллеров домена из одного шлюза ATA или одного контроллера домена для упрощенного шлюза ATA.Monitor multiple domain controllers from a single ATA Gateway, or monitor a single domain controller for an ATA Lightweight Gateway.

Шлюз ATA получает сетевой трафик и события Windows из сети и обрабатывает их с помощью следующих основных компонентов:The ATA Gateway receives network traffic and Windows Events from your network and processes it in the following main components:

Прослушиватель сетиNetwork Listener Этот компонент фиксирует и анализирует сетевой трафик.The Network Listener captures network traffic and parsing the traffic. Эта задача существенно нагружает ЦП, поэтому при настройке шлюза ATA и упрощенного шлюза ATA необходимо выполнить предварительные требования для ATA.This is a CPU-heavy task, so it is especially important to check ATA Prerequisites when planning your ATA Gateway or ATA Lightweight Gateway.
Прослушиватель событийEvent Listener Этот компонент фиксирует и анализирует события Windows, пересылаемые с сервера SIEM в сети.The Event Listener captures and parsing Windows Events forwarded from a SIEM server on your network.
Средство чтения журнала событий WindowsWindows Event Log Reader Этот компонент считывает и анализирует события Windows, пересылаемые в журнал событий Windows шлюза ATA с контроллеров домена.The Windows Event Log Reader reads and parsing Windows Events forwarded to the ATA Gateway's Windows Event Log from the domain controllers.
Транслятор сетевых операцийNetwork Activity Translator Этот компонент преобразует проанализированный трафик (сетевые операции) в логическое представление трафика ATA.Translates parsed traffic into a logical representation of the traffic used by ATA (NetworkActivity).
Сопоставитель сущностейEntity Resolver Этот компонент принимает проанализированные данные (сетевой трафик и события) и разрешает их с помощью Active Directory, чтобы найти сведения об учетных записях и удостоверениях.The Entity Resolver takes the parsed data (network traffic and events) and resolves it data with Active Directory to find account and identity information. Затем они сопоставляются с IP-адресами в этих данных.It is then matched with the IP addresses found in the parsed data. Сопоставитель сущностей проверяет заголовки пакетов и анализирует пакеты аутентификации для определения имен, свойств и удостоверений компьютеров.The Entity Resolver inspects the packet headers efficiently, to enable parsing of authentication packets for machine names, properties, and identities. Затем он объединяет проанализированные пакеты аутентификации с данными в пакете.The Entity Resolver combines the parsed authentication packets with the data in the actual packet.
Отправитель сущностейEntity Sender Этот компонент отправляет проанализированные и сопоставленные данные в центр ATA.The Entity Sender sends the parsed and matched data to the ATA Center.

Функции упрощенного шлюза ATAATA Lightweight Gateway features

Следующие компоненты и возможности работают по-разному в шлюзе ATA и упрощенном шлюзе ATA.The following features work differently depending on whether you are running an ATA Gateway or an ATA Lightweight Gateway.

  • Упрощенный шлюз ATA может считывать события локально — настраивать переадресацию событий не требуется.The ATA Lightweight Gateway can read events locally, without the need to configure event forwarding.

  • Потенциальный синхронизатор доменаDomain synchronizer candidate
    Шлюз синхронизатора домена отвечает за своевременную синхронизацию всех сущностей из определенного домена Active Directory (аналогичный механизм используется для репликации в контроллерах домена).The domain synchronizer gateway is responsible for synchronizing all entities from a specific Active Directory domain proactively (similar to the mechanism used by the domain controllers themselves for replication). В списке синхронизаторов домена случайным образом выбирается один шлюз.One gateway is chosen randomly, from the list of candidates, to serve as the domain synchronizer.

    Если синхронизатор находится в автономном режиме более 30 минут, его заменяет другой кандидат.If the synchronizer is offline for more than 30 minutes, another candidate is chosen instead. Если для конкретного домена синхронизатор домена недоступен, ATA может своевременно синхронизировать сущности и изменения в них. Однако это решение будет оперативно получать новые сущности по мере их обнаружения в отслеживаемом трафике.If there is no domain synchronizer available for a specific domain, ATA is able to proactively synchronize entities and their changes, however ATA will reactively retrieve new entities as they are detected in the monitored traffic.
    Если синхронизатор домена недоступен и требуется сущность, с которой не связан трафик, результаты поиска будут пусты.If there is no domain synchronizer available, and you search for an entity that did not have any traffic related to it, no search results are displayed.

    По умолчанию все шлюзы ATA подходят в качестве потенциальных синхронизаторов.By default, all ATA Gateways are synchronizer candidates.

    Так как все упрощенные шлюзы ATA, скорее всего, развертываются на сайтах филиалов и на небольших контроллерах домена, они по умолчанию не рассматриваются в качестве потенциальных синхронизаторов.Because all ATA Lightweight Gateways are more likely to be deployed in branch sites and on small domain controllers, they are not synchronizer candidates by default.

  • Ограничения ресурсовResource limitations
    Упрощенный шлюз ATA содержит компонент мониторинга, который оценивает доступный объем вычислительных ресурсов и памяти на контроллере домена, в котором он выполняется.The ATA Lightweight Gateway includes a monitoring component that evaluates the available compute and memory capacity on the domain controller on which it is running. Мониторинг выполняется каждые 10 секунд. При этом также осуществляется динамическое обновление квоты использования ресурсов ЦП и памяти для упрощенного шлюза ATA. Благодаря этому в любой момент времени на контроллере домена доступно по крайней мере 15 % свободных вычислительных ресурсов и ресурсов памяти.The monitoring process runs every 10 seconds and dynamically updates the CPU and memory utilization quota on the ATA Lightweight Gateway process to make sure that at any given point in time, the domain controller has at least 15% of free compute and memory resources.

    Независимо от операций, выполняемых на контроллере домена, в результате всегда освобождаются ресурсы, чтобы обеспечить непрерывную работу основных функций контроллера домена.No matter what happens on the domain controller, this process always frees up resources to make sure the domain controller's core functionality is not affected.

    Если это приводит к нехватке ресурсов упрощенного шлюза ATA, отслеживается только часть трафика, а на странице работоспособности появится оповещение мониторинга Dropped port mirrored network traffic (Сетевой трафик зеркально отображенных портов сброшен).If this causes the ATA Lightweight Gateway to run out of resources, only partial traffic is monitored and the monitoring alert "Dropped port mirrored network traffic" appears in the Health page.

В таблице ниже приведен пример контроллера домена с достаточным количеством вычислительных ресурсов для больших квот, чем нужны в данный момент, чтобы обеспечить мониторинг всего трафика:The following table provides an example of a domain controller with enough compute resource available to allow for a larger quota then is currently needed, so that all traffic is monitored:

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Упрощенный шлюз ATA (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Разное (другие процессы)Miscellaneous (other processes) Квота упрощенного шлюза ATAATA Lightweight Gateway Quota Сброс шлюзаGateway dropping
30 %30% 20 %20% 10 %10% 45 %45% НетNo

Если Active Directory требуются дополнительные вычислительные ресурсы, квота для упрощенного шлюза ATA сокращается.If Active Directory needs more compute, the quota needed by the ATA Lightweight Gateway is reduced. В следующем примере упрощенному шлюзу ATA требуется больше ресурсов, чем выделено квотой. Поэтому он сбрасывает некоторый трафик (выполняется мониторинг только части трафика):In the following example, The ATA Lightweight Gateway needs more than the allocated quota and drops some of the traffic (monitoring only partial traffic):

Active Directory (Lsass.exe)Active Directory (Lsass.exe) Упрощенный шлюз ATA (Microsoft.Tri.Gateway.exe)ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Разное (другие процессы)Miscellaneous (other processes) Квота упрощенного шлюза ATAATA Lightweight Gateway Quota Выполняется ли сброс шлюзаIs gateway dropping
60 %60% 15 %15% 10 %10% 15 %15% даYes

Компоненты сетиYour network components

Для работы с ATA убедитесь, что настроены следующие компоненты.In order to work with ATA, make sure to check that the following components are set up.

Зеркальное отображение портовPort mirroring

При использовании шлюзов ATA необходимо настроить зеркальное отображение портов для контроллеров домена, которые будут отслеживаться, и указать шлюз ATA в качестве места назначения с помощью физических или виртуальных коммутаторов.If you are using ATA Gateways, you have to set up port mirroring for the domain controllers that are monitored and set the ATA Gateway as the destination using the physical or virtual switches. Кроме того, можно использовать перехватчик трафика.Another option is to use network TAPs. ATA будет работать, если мониторинг выполняется только для некоторых контроллеров домена, однако эффективность обнаружения будет ниже.ATA works if some but not all of your domain controllers are monitored, but detections are less effective.

Хотя при зеркальном отображении портов шлюз ATA получает весь зеркально отображенный сетевой трафик контроллера домена, для анализа в центр ATA отправляется лишь небольшой объем данных о трафике в сжатом виде.While port mirroring mirrors all the domain controller network traffic to the ATA Gateway, only a small percentage of that traffic is then sent, compressed, to the ATA Center for analysis.

Контроллеры домена и шлюзы ATA могут быть как физическими, так и виртуальными. Дополнительные сведения см. в статье Настройка зеркального отображения портов.Your domain controllers and the ATA Gateways can be physical or virtual, see Configure port mirroring for more information.

СобытияEvents

Для повышения эффективности обнаружения атак Pass-the-Hash, атак методом подбора, атак путем изменения привилегированных групп и атак с использованием honeytoken решению ATA требуется доступ к следующим событиям Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757.To enhance ATA detection of Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Tokens, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Они могут считываться автоматически упрощенным шлюзом ATA либо, если упрощенный шлюз ATA не развернут, передаваться в шлюз ATA одним из двух способов: путем настройки прослушивания событий SIEM в шлюзе ATA или пересылки событий Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

  • Настройка прослушивания событий SIEM в шлюзе ATAConfiguring the ATA Gateway to listen for SIEM events
    Настройте пересылку определенных событий Windows из системы SIEM в ATA.Configure your SIEM to forward specific Windows events to ATA. ATA поддерживает несколько поставщиков SIEM.ATA supports a number of SIEM vendors. Дополнительные сведения см. в статье Настройка сбора данных о событиях.For more information, see Configure event collection.

  • Настройка пересылки событий WindowsConfiguring Windows Event Forwarding
    Чтобы обеспечить отправку сведений о событиях в ATA, можно также настроить пересылку событий Windows 4776, 4732, 4733, 4728, 4729, 4756 и 4757 с контроллеров домена в шлюз ATA.Another way ATA can get your events is by configuring your domain controllers to forward Windows events 4776, 4732, 4733, 4728, 4729, 4756 and 4757 to your ATA Gateway. Это целесообразно, если у вас нет SIEM или ваша версия SIEM в настоящее время не поддерживается в ATA.This is especially useful if you don't have a SIEM or if your SIEM is not currently supported by ATA. Дополнительные сведения о пересылке событий Windows в ATA см. в разделе Настройка пересылки событий Windows.For more information about Windows Event Forwarding in ATA, see Configuring Windows event forwarding. Это относится только к физическим шлюзам ATA, но не к упрощенному шлюзу ATA.This only applies to physical ATA Gateways - not to the ATA Lightweight Gateway.

См. такжеSee Also