Architektura ATA
Platí pro: Advanced Threat Analytics verze 1.9
Architektura Advanced Threat Analytics je podrobně popsaná v tomto diagramu:
ATA monitoruje síťový provoz řadiče domény pomocí zrcadlení portů do ATA Gateway pomocí fyzických nebo virtuálních přepínačů. Pokud nasadíte ATA Lightweight Gateway přímo na řadiče domény, odebere se tím požadavek na zrcadlení portů. ATA navíc může využívat události Windows (předávané přímo z řadičů domény nebo ze serveru SIEM) a analyzovat data pro útoky a hrozby. Tato část popisuje tok zachytávání událostí a sítí a k podrobnostem popisuje funkce hlavních komponent ATA: ATA Gateway, ATA Lightweight Gateway (která má stejné základní funkce jako ATA Gateway) a ATA Center.
Komponenty ATA
ATA se skládá z následujících komponent:
-
ATA Center
ATA Center přijímá data ze všech ata gateway a/nebo ATA Lightweight Gateway, které nasadíte. -
ATA Gateway
ATA Gateway je nainstalovaná na vyhrazeném serveru, který monitoruje provoz z řadičů domény pomocí zrcadlení portů nebo síťového TAP. -
ATA Lightweight Gateway
ATA Lightweight Gateway je nainstalovaná přímo na řadičích domény a přímo monitoruje jejich provoz bez nutnosti použití vyhrazeného serveru nebo konfigurace zrcadlení portů. Jedná se o alternativu k ATA Gateway.
Nasazení ATA se může skládat z jednoho ATA Center připojeného ke všem ATA Gateway, všem ATA Lightweight Gateway nebo kombinaci ATA Gateway a ATA Lightweight Gateway.
Možnosti nasazení
ATA můžete nasadit pomocí následující kombinace bran:
-
Použití pouze ATA Gateway
Vaše nasazení ATA může obsahovat jenom KOMPONENTY ATA Gateway bez ata Lightweight Gateway: Všechny řadiče domény musí být nakonfigurované tak, aby umožňovaly zrcadlení portů do KOMPONENTY ATA Gateway, nebo musí být zavedeny síťové adaptéry TAP. -
Použití pouze ATA Lightweight Gateways
Nasazení ATA může obsahovat pouze komponenty ATA Lightweight Gateway: Komponenty ATA Lightweight Gateway jsou nasazené na každém řadiči domény a není potřeba žádné další servery ani konfigurace zrcadlení portů. -
Použití komponent ATA Gateway i ATA Lightweight Gateway
Vaše nasazení ATA zahrnuje komponenty ATA Gateway i ATA Lightweight Gateway. Komponenty ATA Lightweight Gateway jsou nainstalované na některých řadičích domény (například na všech řadičích domény ve vašich pobočkách). Současně jsou další řadiče domény monitorovány komponentami ATA Gateway (například větší řadiče domény v hlavních datových centrech).
Ve všech těchto scénářích všechny brány odesílají data do ATA Center.
ATA Center
ATA Center provádí následující funkce:
Spravuje nastavení konfigurace ATA Gateway a ATA Lightweight Gateway.
Přijímá data z ATA Gateway a ATA Lightweight Gateways.
Detekuje podezřelé aktivity.
Spouští algoritmy strojového učení chování ATA, které detekují neobvyklé chování.
Spouští různé deterministické algoritmy pro detekci pokročilých útoků na základě řetězce ukončení útoku.
Spustí konzolu ATA.
Volitelné: ATA Center je možné nakonfigurovat tak, aby při zjištění podezřelé aktivity odesílala e-maily a události.
ATA Center přijímá analyzovaný provoz z ATA Gateway a ATA Lightweight Gateway. Pak provede profilaci, spustí deterministickou detekci a spustí algoritmy strojového učení a chování, které se seznámí s vaší sítí, umožní detekci anomálií a upozorní vás na podezřelé aktivity.
| Typ | Popis |
|---|---|
| Příjemce entity | Přijímá dávky entit ze všech ATA Gateway a ATA Lightweight Gateway. |
| Procesor síťových aktivit | Zpracovává všechny síťové aktivity v rámci každé přijaté dávky. Například porovnávání různých kroků protokolu Kerberos provedených z potenciálně různých počítačů |
| Entity Profiler | Profiluje všechny jedinečné entity podle provozu a událostí. ATA například aktualizuje seznam přihlášených počítačů pro každý profil uživatele. |
| Centrální databáze | Spravuje proces zápisu síťových aktivit a událostí do databáze. |
| Database | ATA využívá MongoDB pro účely ukládání všech dat v systému: - Síťové aktivity - Akce aktivity - Jedinečné entity - Podezřelé aktivity – Konfigurace ATA |
| Detektory | Detektory používají algoritmy strojového učení a deterministická pravidla k vyhledání podezřelých aktivit a neobvyklého chování uživatelů ve vaší síti. |
| Konzola ATA | Konzola ATA slouží ke konfiguraci ATA a monitorování podezřelých aktivit zjištěných ATA ve vaší síti. Konzola ATA není závislá na službě ATA Center a běží, i když je služba zastavená, pokud může komunikovat s databází. |
Při rozhodování o tom, kolik komponent ATA Center ve vaší síti nasadíte, zvažte následující kritéria:
Jeden ATA Center může monitorovat jednu doménovou strukturu služby Active Directory. Pokud máte více doménových struktur služby Active Directory, potřebujete minimálně jeden ATA Center pro každou doménovou strukturu služby Active Directory.
Ve velkých nasazeních služby Active Directory nemusí být jeden ATA Center schopen zpracovat veškerý provoz všech řadičů domény. V tomto případě je potřeba více ATA Center. Počet ATA Center by měl být určen plánováním kapacity ATA.
ATA Gateway a ATA Lightweight Gateway
Základní funkce brány
ATA Gateway a ATA Lightweight Gateway mají stejné základní funkce:
Zachytávání a kontrola síťového provozu řadiče domény Jedná se o přenosy se zrcadleným portem pro KOMPONENTY ATA Gateway a místní provoz řadiče domény v ATA Lightweight Gateways.
Příjem událostí Windows ze serverů SIEM, Syslog nebo z řadičů domény pomocí předávání událostí Windows
Načtení dat o uživatelích a počítačích z domény služby Active Directory
Provedení překladu síťových entit (uživatelů, skupin a počítačů)
Přenos relevantních dat do ATA Center
Monitorujte více řadičů domény z jedné komponenty ATA Gateway nebo monitorujte jeden řadič domény pro ATA Lightweight Gateway.
ATA Gateway přijímá síťový provoz a události Windows z vaší sítě a zpracovává je v následujících hlavních komponentách:
| Typ | Popis |
|---|---|
| Síťový naslouchací proces | Síťový naslouchací proces zachytává síťový provoz a analyzuje ho. Jedná se o úlohu s velkými nároky na procesor, proto je při plánování komponenty ATA Gateway nebo ATA Lightweight Gateway obzvláště důležité zkontrolovat požadavky ATA. |
| Naslouchací proces událostí | Naslouchací proces událostí zachytává a parsuje události Systému Windows předávané ze serveru SIEM ve vaší síti. |
| Čtečka protokolu událostí Systému Windows | Čtečka protokolu událostí Systému Windows čte a parsuje události systému Windows předávané z řadičů domény do protokolu událostí systému Windows ata Gateway. |
| Překladač síťových aktivit | Přeloží analyzovaný provoz na logickou reprezentaci provozu používaného ATA (NetworkActivity). |
| Překladač entit | Překladač entity přebírá analyzovaná data (síťový provoz a události) a překládá je pomocí služby Active Directory, aby zjistil informace o účtu a identitě. Potom se porovná s IP adresami nalezenými v analyzovaných datech. Překladač entit efektivně kontroluje hlavičky paketů, aby umožnil parsování ověřovacích paketů pro názvy počítačů, vlastnosti a identity. Překladač entit kombinuje analyzované ověřovací pakety s daty ve skutečném paketu. |
| Odesílatel entity | Odesílatel entity odešle analyzovaná a odpovídající data do ATA Center. |
Funkce ATA Lightweight Gateway
Následující funkce fungují různě v závislosti na tom, jestli používáte ATA Gateway nebo ATA Lightweight Gateway.
ATA Lightweight Gateway může číst události místně, aniž by bylo nutné konfigurovat předávání událostí.
Kandidát na synchronizátora domény
Brána synchronizátoru domény zodpovídá za proaktivní synchronizaci všech entit z konkrétní domény služby Active Directory (podobně jako mechanismus používaný samotnými řadiči domény pro replikaci). Ze seznamu kandidátů se náhodně vybere jedna brána, která bude sloužit jako synchronizátor domény.
Pokud je synchronizátor offline déle než 30 minut, vybere se jiný kandidát. Pokud pro určitou doménu není k dispozici žádný kandidát na synchronizátora domény, ATA proaktivně synchronizuje entity a jejich změny, ale ATA reaktivně načte nové entity, jak jsou zjištěny v monitorovaném provozu.Pokud není k dispozici žádný synchronizátor domény, hledání entity bez provozu, který s ní souvisí, nezobrazí žádné výsledky.
Ve výchozím nastavení jsou všechny komponenty ATA Gateway kandidáty na synchronizátora domény.
Vzhledem k tomu, že všechny komponenty ATA Lightweight Gateway budou pravděpodobně nasazeny ve větvích a na malých řadičích domény, nejsou ve výchozím nastavení kandidáty na synchronizátora.
V prostředí, které má pouze zjednodušené brány, se doporučuje přiřadit dvě brány jako kandidáty na synchronizátora, přičemž jedna lightweight brána je výchozím kandidátem na synchronizátora a jedna je záloha pro případ, že je výchozí nastavení offline po dobu delší než 30 minut.
Omezení prostředků
KOMPONENTA ATA Lightweight Gateway obsahuje komponentu monitorování, která vyhodnocuje dostupnou výpočetní a paměťovou kapacitu na řadiči domény, na kterém běží. Proces monitorování běží každých 10 sekund a dynamicky aktualizuje kvótu využití procesoru a paměti v procesu ATA Lightweight Gateway, aby se zajistilo, že řadič domény bude mít v libovolném časovém okamžiku alespoň 15 % volných výpočetních a paměťových prostředků.Bez ohledu na to, co se stane na řadiči domény, tento proces vždy uvolní prostředky, aby se zajistilo, že základní funkce řadiče domény nebudou ovlivněny.
Pokud to způsobí, že ATA Lightweight Gateway dojdou prostředky, monitoruje se jenom částečný provoz a na stránce Stav se zobrazí upozornění na stav Vyřazený síťový provoz se zrcadleným portem.
Následující tabulka obsahuje příklad řadiče domény s dostatečným výpočetním prostředkem, který umožňuje větší kvótu, než je aktuálně potřeba, aby se monitoroval veškerý provoz:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Různé (jiné procesy) | Kvóta ATA Lightweight Gateway | Vyřazení brány |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Ne |
Pokud služba Active Directory potřebuje více výpočetních prostředků, sníží se kvóta vyžadovaná službou ATA Lightweight Gateway. V následujícím příkladu ATA Lightweight Gateway potřebuje více, než je přidělená kvóta, a zahodí část provozu (monitoruje pouze částečný provoz):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Různé (jiné procesy) | Kvóta ATA Lightweight Gateway | Dochází k zahazování brány? |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Ano |
Síťové komponenty
Pokud chcete pracovat s ATA, nezapomeňte zkontrolovat, jestli jsou nastavené následující komponenty.
Zrcadlení portů
Pokud používáte KOMPONENTY ATA Gateway, musíte nastavit zrcadlení portů pro monitorované řadiče domény a nastavit ATA Gateway jako cíl pomocí fyzických nebo virtuálních přepínačů. Další možností je použít síťové protokoly TAP. ATA funguje, pokud jsou monitorovány některé, ale ne všechny řadiče domény, ale detekce jsou méně efektivní.
Zatímco zrcadlení portů zrcadlí veškerý síťový provoz řadiče domény do ATA Gateway, pouze malé procento tohoto provozu se pak odešle komprimované do ATA Center k analýze.
Řadiče domény a KOMPONENTY ATA Gateway můžou být fyzické nebo virtuální. Další informace najdete v tématu Konfigurace zrcadlení portů .
Dění
Aby ATA zlepšila detekci pass-the-hash, hrubou silou, úprav citlivých skupin a honey tokenů, potřebuje ATA následující události Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. AtA Lightweight Gateway je může číst buď automaticky, nebo v případě, že ATA Lightweight Gateway není nasazená, může je předat ATA Gateway jedním ze dvou způsobů, a to nakonfigurováním komponenty ATA Gateway tak, aby naslouchala událostem SIEM, nebo konfigurací předávání událostí systému Windows.
Konfigurace ATA Gateway pro naslouchání událostem SIEM
Nakonfigurujte SIEM tak, aby předával určité události Windows ata. ATA podporuje řadu dodavatelů SIEM. Další informace najdete v tématu Konfigurace shromažďování událostí.Konfigurace předávání událostí systému Windows
Dalším způsobem, jak ATA může získávat vaše události, je konfigurace řadičů domény tak, aby předávaly události Windows 4776, 4732, 4733, 4728, 4729, 4756 a 4757 do ata Gateway. To je užitečné zejména v případě, že nemáte SIEM nebo pokud váš SIEM není aktuálně podporován ATA. Pokud chcete dokončit konfiguraci předávání událostí windows v ATA, přečtěte si téma Konfigurace předávání událostí Windows. To platí jenom pro fyzické komponenty ATA Gateway, ne pro ATA Lightweight Gateway.