Архитектура ATA
Область применения: Advanced Threat Analytics версии 1.9
Архитектура Advanced Threat Analytics подробно описана на этой схеме:
ATA отслеживает сетевой трафик контроллера домена, используя порт зеркало в шлюз ATA с помощью физических или виртуальных коммутаторов. При развертывании упрощенного шлюза ATA непосредственно на контроллерах домена он удаляет требование для зеркало портов. Кроме того, ATA может использовать события Windows (пересылаемые непосредственно с контроллеров домена или с сервера SIEM) и анализировать данные для атак и угроз. В этом разделе описывается поток записи сетевых и событий и детализации для описания функциональных возможностей основных компонентов ATA: шлюза ATA, упрощенного шлюза ATA (который имеет те же основные функциональные возможности, что и шлюз ATA), а также центр ATA.
Компоненты ATA
ATA состоит из следующих компонентов:
- Центр ATA
Центр ATA получает данные из всех шлюзов ATA и (или) упрощенных шлюзов ATA, которые вы развертываете. - Шлюз ATA
Шлюз ATA устанавливается на выделенном сервере, который отслеживает трафик от контроллеров домена с помощью порта зеркало или сетевого TAP. - Упрощенный шлюз ATA
Упрощенный шлюз ATA устанавливается непосредственно на контроллерах домена и отслеживает их трафик напрямую, не требуя выделенного сервера или конфигурации портов зеркало. Это альтернатива шлюзу ATA.
Развертывание ATA может состоять из одного центра ATA, подключенного ко всем шлюзам ATA, всем упрощенным шлюзам ATA или сочетанию шлюзов ATA и упрощенных шлюзов ATA.
Варианты развертывания
Вы можете развернуть ATA с помощью следующего сочетания шлюзов:
- Использование только шлюзов ATA
Развертывание ATA может содержать только шлюзы ATA без упрощенных шлюзов ATA: все контроллеры домена должны быть настроены для включения зеркало порта шлюза ATA или сетевых IP-адресов. - Использование только упрощенных шлюзов ATA
Развертывание ATA может содержать только упрощенные шлюзы ATA: упрощенные шлюзы ATA развертываются на каждом контроллере домена, а дополнительные серверы или порты зеркало конфигурации не требуется. - Использование шлюзов ATA и упрощенных шлюзов ATA
Развертывание ATA включает как шлюзы ATA, так и упрощенные шлюзы ATA. Упрощенные шлюзы ATA устанавливаются на некоторые контроллеры домена (например, все контроллеры домена на сайтах филиалов). В то же время другие контроллеры домена отслеживаются шлюзами ATA (например, более крупными контроллерами домена в основных центрах обработки данных).
Во всех этих сценариях все шлюзы отправляют свои данные в центр ATA.
Центр ATA
Центр ATA выполняет следующие функции:
Управление параметрами конфигурации шлюза ATA и упрощенного шлюза ATA
Получает данные из шлюзов ATA и упрощенных шлюзов ATA
Обнаружение подозрительных действий
Выполняет алгоритмы машинного обучения ATA для обнаружения аномального поведения
Выполняет различные детерминированные алгоритмы для обнаружения расширенных атак на основе цепочки убийств атак.
Запуск консоли ATA
Необязательно. Центр ATA можно настроить для отправки сообщений электронной почты и событий при обнаружении подозрительного действия.
Центр ATA получает проанализированный трафик из шлюза ATA и упрощенного шлюза ATA. Затем он выполняет профилирование, выполняет детерминированное обнаружение и запускает алгоритмы машинного обучения и поведения, чтобы узнать о вашей сети, включить обнаружение аномалий и предупредить вас о подозрительных действиях.
| Тип | Описание |
|---|---|
| Приемник сущностей | Получает пакеты сущностей из всех шлюзов ATA и упрощенных шлюзов ATA. |
| Обработчик сетевых действий | Обрабатывает все сетевые действия в каждом полученном пакете. Например, сопоставление между различными шагами Kerberos, выполняемыми с потенциально разных компьютеров |
| Entity Profiler | Профили всех уникальных сущностей в соответствии с трафиком и событиями. Например, ATA обновляет список компьютеров, вошедшего в систему, для каждого профиля пользователя. |
| База данных Центра | Управляет процессом записи действий и событий сети в базу данных. |
| База данных | ATA использует MongoDB для хранения всех данных в системе: — Сетевые действия — Действия события — уникальные сущности — подозрительные действия — конфигурация ATA |
| Средства обнаружения | Детекторы используют алгоритмы машинного обучения и детерминированные правила для поиска подозрительных действий и аномального поведения пользователей в вашей сети. |
| Консоль ATA | Консоль ATA предназначена для настройки ATA и мониторинга подозрительных действий, обнаруженных ATA в сети. Консоль ATA не зависит от службы центра ATA и выполняется даже при остановке службы, если она может взаимодействовать с базой данных. |
При выборе количества центров ATA для развертывания в сети следует учитывать следующие критерии:
Один центр ATA может отслеживать один лес Active Directory. Если у вас несколько лесов Active Directory, вам потребуется как минимум один центр ATA для каждого леса Active Directory.
В крупных развертываниях Active Directory один центр ATA может не обрабатывать весь трафик всех контроллеров домена. В этом случае требуется несколько центров ATA. Число центров ATA должно определяться планированием емкости ATA.
Шлюз ATA и упрощенный шлюз ATA
Основные функции шлюза
Шлюз ATA и упрощенный шлюз ATA имеют одинаковые основные функциональные возможности:
Захват и проверка сетевого трафика контроллера домена. Это порт зеркало трафик для шлюзов ATA и локального трафика контроллера домена в упрощенных шлюзах ATA.
Получение событий Windows от серверов SIEM или Syslog или от контроллеров домена с помощью пересылки событий Windows
Получение данных о пользователях и компьютерах из домена Active Directory
Разрешение сетевых сущностей (пользователей, групп и компьютеров)
Передача соответствующих данных в Центр ATA
Отслеживайте несколько контроллеров домена из одного шлюза ATA или отслеживайте один контроллер домена для упрощенного шлюза ATA.
Шлюз ATA получает сетевой трафик и события Windows из сети и обрабатывает его в следующих основных компонентах:
| Тип | Описание |
|---|---|
| Прослушиватель сети | Прослушиватель сети фиксирует сетевой трафик и анализирует трафик. Это тяжелая задача ЦП, поэтому особенно важно проверка предварительные требования ATA при планировании шлюза ATA или упрощенного шлюза ATA. |
| Прослушиватель событий | Прослушиватель событий записывает и анализирует события Windows, перенаправленные с сервера SIEM в сети. |
| Средство чтения журналов событий Windows | Средство чтения журналов событий Windows считывает и анализирует события Windows, перенаправленные в журнал событий Windows шлюза ATA из контроллеров домена. |
| Переводчик сетевой активности | Преобразует проанализированный трафик в логическое представление трафика, используемого ATA (NetworkActivity). |
| Сопоставитель сущностей | Сопоставитель сущностей принимает проанализированные данные (сетевой трафик и события) и разрешает их с помощью Active Directory для поиска сведений об учетной записи и удостоверении. Затем он сопоставляется с IP-адресами, найденными в проанализированных данных. Сопоставитель сущностей эффективно проверяет заголовки пакетов, чтобы обеспечить синтаксический анализ пакетов проверки подлинности для имен компьютеров, свойств и удостоверений. Сопоставитель сущностей объединяет проанализированные пакеты проверки подлинности с данными в фактическом пакете. |
| Отправитель сущностей | Отправитель сущности отправляет проанализированные и сопоставленные данные в Центр ATA. |
Функции упрощенного шлюза ATA
Следующие функции работают по-разному в зависимости от того, используется ли шлюз ATA или упрощенный шлюз ATA.
Упрощенный шлюз ATA может читать события локально без необходимости настраивать перенаправление событий.
Кандидат синхронизатора домена
Шлюз синхронизатора домена отвечает за синхронизацию всех сущностей из определенного домена Active Directory заранее (аналогично механизму, используемому самими контроллерами домена для реплика tion). Один шлюз выбирается случайным образом из списка кандидатов, чтобы служить синхронизатором домена.
Если синхронизатор находится в автономном режиме более 30 минут, вместо этого выбирается другой кандидат. Если для определенного домена нет кандидата синхронизатора домена, ATA заранее синхронизирует сущности и их изменения, однако ATA будет реактивно извлекать новые сущности по мере их обнаружения в отслеживаемом трафике.Если синхронизатор домена недоступен, поиск сущности без трафика, связанного с ним, не отображает результатов.
По умолчанию все шлюзы ATA являются кандидатами синхронизатора домена.
Так как все упрощенные шлюзы ATA, скорее всего, будут развернуты на сайтах филиалов и на небольших контроллерах домена, они по умолчанию не являются кандидатами синхронизатора.
В среде с только упрощенными шлюзами рекомендуется назначить два шлюза в качестве кандидатов синхронизатора, где один упрощенный шлюз является кандидатом синхронизатора по умолчанию, а один — резервным копированием, если значение по умолчанию находится в автономном режиме более 30 минут.
Ограничения ресурсов
Упрощенный шлюз ATA включает компонент мониторинга, который оценивает доступную емкость вычислительных ресурсов и памяти на контроллере домена, на котором он работает. Процесс мониторинга выполняется каждые 10 секунд и динамически обновляет квоту использования ЦП и памяти в процессе упрощенного шлюза ATA, чтобы убедиться, что в любой момент времени контроллер домена имеет не менее 15 % бесплатных вычислительных ресурсов и памяти.Независимо от того, что происходит на контроллере домена, этот процесс всегда освобождает ресурсы, чтобы убедиться, что основные функции контроллера домена не затронуты.
Если это приводит к тому, что упрощенный шлюз ATA не использует ресурсы, на странице работоспособности отображается только частичный трафик, а оповещение о работоспособности "Удаленный порт зеркало сетевой трафик" отображается на странице работоспособности.
В следующей таблице приведен пример контроллера домена с достаточным объемом вычислительных ресурсов, чтобы обеспечить большую квоту, поэтому в настоящее время требуется все трафик:
| Active Directory (Lsass.exe) | Упрощенный шлюз ATA (Microsoft.Tri.Gateway.exe) | Прочие (другие процессы) | Квота упрощенного шлюза ATA | Удаление шлюза |
|---|---|---|---|---|
| 30% | 20% | 10% | 45 % | Нет |
Если Active Directory требует больше вычислительных ресурсов, квота, необходимая упрощенного шлюза ATA, уменьшается. В следующем примере упрощенный шлюз ATA требует больше выделенной квоты и удаляет некоторый трафик (мониторинг только частичного трафика):
| Active Directory (Lsass.exe) | Упрощенный шлюз ATA (Microsoft.Tri.Gateway.exe) | Прочие (другие процессы) | Квота упрощенного шлюза ATA | Удаление шлюза |
|---|---|---|---|---|
| 60 % | 15% | 10% | 15 % | Да |
Сетевые компоненты
Чтобы работать с ATA, обязательно проверка, что настроены следующие компоненты.
Зеркальное отображение портов
Если вы используете шлюзы ATA, необходимо настроить порт зеркало для контроллеров домена, которые отслеживаются и задают шлюз ATA в качестве назначения с помощью физических или виртуальных коммутаторов. Другим вариантом является использование сетевых TAP. ATA работает, если отслеживаются некоторые, но не все контроллеры домена, но обнаружения менее эффективны.
Хотя порт зеркало зеркало все сетевой трафик контроллера домена к шлюзу ATA, то только небольшой процент этого трафика затем отправляется, сжимается в Центр ATA для анализа.
Контроллеры домена и шлюзы ATA могут быть физическими или виртуальными, см. в статье "Настройка зеркало порта" для получения дополнительных сведений.
События
Чтобы улучшить обнаружение ATA pass-the-Hash, Brute Force, Изменение конфиденциальных групп и токенов меда, ATA требует следующих событий Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Они могут быть автоматически считываются упрощенным шлюзом ATA или в случае, если упрощенный шлюз ATA не развернут, его можно перенаправить в шлюз ATA одним из двух способов, настроив шлюз ATA для прослушивания событий SIEM или настройки пересылки событий Windows.
Настройка шлюза ATA для прослушивания событий SIEM
Настройте SIEM для пересылки определенных событий Windows в ATA. ATA поддерживает ряд поставщиков SIEM. Дополнительные сведения см. в разделе "Настройка коллекции событий".Настройка пересылки событий Windows
Другой способ atA может получить ваши события, — это настройка контроллеров домена для пересылки событий Windows 4776, 4732, 4733, 4728, 4729, 4756 и 4757 в шлюз ATA. Это особенно полезно, если у вас нет SIEM или если SIEM в настоящее время не поддерживается ATA. Чтобы завершить настройку перенаправления событий Windows в ATA, см . раздел "Настройка перенаправления событий Windows". Это относится только к физическим шлюзам ATA, а не к упрощенной шлюзе ATA.