ATA-arkitektur
Gælder for: Advanced Threat Analytics version 1.9
Arkitekturen advanced Threat Analytics er beskrevet i dette diagram:
ATA overvåger din domænecontrollers netværkstrafik ved at bruge portspejling til en ATA Gateway ved hjælp af fysiske eller virtuelle parametre. Hvis du installerer ATA Lightweight Gateway direkte på dine domænecontrollere, fjernes kravet om portspejling. Derudover kan ATA udnytte Windows-hændelser (videresendt direkte fra dine domænecontrollere eller fra en SIEM-server) og analysere dataene for angreb og trusler. I dette afsnit beskrives flowet for hentning og detailudledning af netværk og hændelser for at beskrive funktionaliteten af hovedkomponenterne i ATA: ATA Gateway, ATA Lightweight Gateway (som har samme kernefunktionalitet som ATA Gateway) og ATA Center.
ATA-komponenter
ATA består af følgende komponenter:
-
ATA Center
ATA Center modtager data fra alle ATA Gateways og/eller ATA Lightweight Gateways, du installerer. -
ATA Gateway
ATA Gateway er installeret på en dedikeret server, der overvåger trafikken fra dine domænecontrollere ved hjælp af portspejling eller en TAP på netværket. -
Letvægtsgateway for ATA
ATA Lightweight Gateway installeres direkte på dine domænecontrollere og overvåger deres trafik direkte, uden at der er behov for en dedikeret server eller konfiguration af portspejling. Det er et alternativ til ATA Gateway.
En ATA-udrulning kan bestå af et enkelt ATA Center, der er forbundet til alle ATA Gateways, alle ATA Lightweight Gateways eller en kombination af ATA Gateways og ATA Lightweight Gateways.
Installationsindstillinger
Du kan installere ATA ved hjælp af følgende kombination af gateways:
-
Kun bruge ATA Gateways
Din ATA-installation kan kun indeholde ATA Gateways uden ata-letvægtsgateways: Alle domænecontrollere skal være konfigureret til at aktivere portspejling til en ATA-gateway, eller der skal være netværks-TAPs på plads. -
Kun bruge ATA Lightweight Gateways
Din ATA-installation kan kun indeholde ATA Lightweight Gateways: ATA Lightweight Gateways installeres på hver domænecontroller, og det er ikke nødvendigt at konfigurere yderligere servere eller portspejling. -
Brug af både ATA Gateways og ATA Lightweight Gateways
Din ATA-udrulning omfatter både ATA Gateways og ATA Lightweight Gateways. ATA Lightweight Gateways er installeret på nogle af dine domænecontrollere (f.eks. alle domænecontrollere på dine forgreningswebsteder). Samtidig overvåges andre domænecontrollere af ATA Gateways (f.eks. de større domænecontrollere i dine primære datacentre).
I alle disse scenarier sender alle gateways deres data til ATA Center.
ATA Center
ATA Center udfører følgende funktioner:
Administrerer konfigurationsindstillinger for ATA Gateway og ATA Lightweight Gateway
Modtager data fra ATA Gateways og ATA Lightweight Gateways
Registrerer mistænkelige aktiviteter
Kører ATA-algoritmer til maskinel indlæring for at registrere unormal adfærd
Kører forskellige deterministiske algoritmer for at registrere avancerede angreb, der er baseret på kæden af angrebsdræb
Kører ATA-konsollen
Valgfrit: ATA Center kan konfigureres til at sende mails og hændelser, når der registreres en mistænkelig aktivitet.
ATA Center modtager fortolket trafik fra ATA Gateway og ATA Lightweight Gateway. Den udfører derefter profilering, kører deterministisk registrering og kører maskinel indlæring og adfærdsalgoritmer for at få mere at vide om dit netværk, aktivere registrering af uregelmæssigheder og advare dig om mistænkelige aktiviteter.
| Type | Beskrivelse |
|---|---|
| Objektmodtager | Modtager batches af enheder fra alle ATA Gateways og ATA Lightweight Gateways. |
| Netværksaktivitetsprocessor | Behandler alle netværksaktiviteterne inden for hvert batch, der modtages. Matchning mellem de forskellige Kerberos-trin, der udføres fra potentielt forskellige computere |
| Entity Profiler | Profilerer alle entydige objekter i henhold til trafik og hændelser. ATA opdaterer f.eks. listen over computere, der er logget på, for hver brugerprofil. |
| Centrer database | Administrerer skriveprocessen for netværksaktiviteter og -hændelser til databasen. |
| Database | ATA anvender MongoDB med henblik på lagring af alle data i systemet: - Netværksaktiviteter - Aktiviteter i forbindelse med begivenheder - Entydige enheder - Mistænkelige aktiviteter – ATA-konfiguration |
| Detektorer | Detektorerne bruger algoritmer til maskinel indlæring og deterministiske regler til at finde mistænkelige aktiviteter og unormal brugeradfærd i dit netværk. |
| ATA-konsol | ATA-konsollen bruges til at konfigurere ATA og overvåge mistænkelige aktiviteter, der registreres af ATA på dit netværk. ATA-konsollen er ikke afhængig af ATA Center-tjenesten og kører, selvom tjenesten stoppes, så længe den kan kommunikere med databasen. |
Overvej følgende kriterier, når du beslutter, hvor mange ATA-centre der skal udrulles på dit netværk:
Et ATA Center kan overvåge et enkelt Active Directory-område. Hvis du har mere end ét Active Directory-område, skal du have mindst ét ATA Center pr. Active Directory-område.
I store Active Directory-installationer kan et enkelt ATA Center muligvis ikke håndtere al trafik fra alle dine domænecontrollere. I dette tilfælde kræves der flere ATA-centre. Antallet af ATA-centre skal bestemmes af ATA-kapacitetsplanlægning.
ATA Gateway og ATA Lightweight Gateway
Gatewaykernefunktionalitet
ATA Gateway og ATA Lightweight Gateway har begge den samme kernefunktionalitet:
Registrer og undersøg netværkstrafik for domænecontrollere. Dette er portspejlet trafik for ATA Gateways og lokal trafik for domænecontrolleren i ATA Lightweight Gateways.
Modtag Windows-hændelser fra SIEM- eller Syslog-servere eller fra domænecontrollere ved hjælp af Videresendelse af Windows-hændelse
Hent data om brugere og computere fra Active Directory-domænet
Udfør opløsning af netværksenheder (brugere, grupper og computere)
Overfør relevante data til ATA Center
Overvåg flere domænecontrollere fra en enkelt ATA Gateway, eller overvåg en enkelt domænecontroller for en ATA Lightweight Gateway.
ATA Gateway modtager netværkstrafik og Windows-hændelser fra dit netværk og behandler den i følgende hovedkomponenter:
| Type | Beskrivelse |
|---|---|
| Netværkslyttefunktion | Netværkslytteren registrerer netværkstrafik og fortolker trafikken. Dette er en CPU-tung opgave, så det er især vigtigt at kontrollere ATA-forudsætninger , når du planlægger din ATA Gateway eller ATA Lightweight Gateway. |
| Hændelseslyttefunktion | Hændelseslytteren registrerer og fortolker Windows-hændelser, der videresendes fra en SIEM-server på netværket. |
| Windows-hændelsesloglæser | Læseren af Windows-hændelsesloggen læser og fortolker Windows-hændelser, der videresendes til ATA Gateways Windows-hændelseslog fra domænecontrollerne. |
| Oversætter til netværksaktivitet | Oversætter fortolket trafik til en logisk repræsentation af den trafik, der bruges af ATA (NetworkActivity). |
| Objektreklarer | Entity Resolver tager de fortolkede data (netværkstrafik og -hændelser) og fortolker dem med Active Directory for at finde konto- og identitetsoplysninger. Den matches derefter med de IP-adresser, der blev fundet i de fortolkede data. Entity Resolver undersøger pakkeheaderne effektivt for at aktivere fortolkning af godkendelsespakker for computernavne, egenskaber og identiteter. Entity Resolver kombinerer de parsede godkendelsespakker med dataene i den faktiske pakke. |
| Afsender af enhed | Entity Sender sender de fortolkede og matchede data til ATA Center. |
Letvægtsgatewayfunktioner i ATA
Følgende funktioner fungerer forskelligt, afhængigt af om du kører en ATA Gateway eller en ATA Lightweight Gateway.
ATA Lightweight Gateway kan læse hændelser lokalt, uden at det er nødvendigt at konfigurere videresendelse af hændelser.
Domænesynkron synchronizer-kandidat
Domænesynkrongøringsgatewayen er ansvarlig for at synkronisere alle enheder fra et bestemt Active Directory-domæne proaktivt (svarer til den mekanisme, der bruges af domænecontrollerne selv til replikering). Én gateway vælges tilfældigt på listen over kandidater til at fungere som domænesynkroniseret.
Hvis Synchronizer er offline i mere end 30 minutter, vælges der en anden kandidat i stedet. Hvis der ikke er nogen tilgængelig domænesynkronsynkronitetskandidat for et bestemt domæne, synkroniserer ATA proaktivt objekter og deres ændringer, men ATA henter reaktivt nye enheder, efterhånden som de registreres i den overvågede trafik.Når der ikke er nogen tilgængelig domænesynkrongøring, vises der ingen resultater, når der søges efter et objekt uden trafik, der er relateret til det.
Alle ATA Gateways er som standard kandidater til domænesynkron synchronizer.
Da der er større sandsynlighed for, at alle ATA Lightweight Gateways installeres på forgreningswebsteder og på små domænecontrollere, er de som standard ikke synchronizer-kandidater.
I et miljø med kun letvægtsgateways anbefales det at tildele to af gatewayene som Synchronizer-kandidater, hvor én letvægtsgateway er standardkandidat for Synchronizer, og én er sikkerhedskopien, hvis standarden er offline i mere end 30 minutter.
Ressourcebegrænsninger
ATA Lightweight Gateway indeholder en overvågningskomponent, der evaluerer den tilgængelige beregnings- og hukommelseskapacitet på den domænecontroller, som den kører på. Overvågningsprocessen kører hvert 10. sekund og opdaterer dynamisk kvoten for CPU- og hukommelsesudnyttelse i ATA Lightweight Gateway-processen for at sikre, at domænecontrolleren på et givent tidspunkt har mindst 15 % af de gratis beregnings- og hukommelsesressourcer.Uanset hvad der sker på domænecontrolleren, frigør denne proces altid ressourcer for at sikre, at domænecontrollerens kernefunktionalitet ikke påvirkes.
Hvis dette medfører, at ATA Lightweight Gateway løber tør for ressourcer, overvåges kun delvis trafik, og tilstandsbeskeden "Droppet portspejlet netværkstrafik" vises på siden Tilstand.
Følgende tabel indeholder et eksempel på en domænecontroller med tilstrækkelig beregningsressource til, at der i øjeblikket er behov for en større kvote, så al trafik overvåges:
| Active Directory (Lsass.exe) | Letvægtsgateway til ATA (Microsoft.Tri.Gateway.exe) | Diverse (andre processer) | Kvote for letvægtsgateway i ATA | Gateway slippes |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nej |
Hvis Active Directory har brug for mere beregning, reduceres den kvote, der kræves af ATA Lightweight Gateway. I følgende eksempel har ATA Lightweight Gateway brug for mere end den tildelte kvote og falder noget af trafikken (overvåger kun delvis trafik):
| Active Directory (Lsass.exe) | Letvægtsgateway til ATA (Microsoft.Tri.Gateway.exe) | Diverse (andre processer) | Kvote for letvægtsgateway i ATA | Falder gatewayen? |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Ja |
Dine netværkskomponenter
Hvis du vil arbejde med ATA, skal du kontrollere, at følgende komponenter er konfigureret.
Portspejling
Hvis du bruger ATA Gateways, skal du konfigurere portspejling for de domænecontrollere, der overvåges, og angive ATA Gateway som destination ved hjælp af de fysiske eller virtuelle parametre. En anden mulighed er at bruge netværks-TAC'er. ATA fungerer, hvis nogle, men ikke alle dine domænecontrollere overvåges, men registreringer er mindre effektive.
Mens portspejling spejler al domænecontrollerens netværkstrafik til ATA Gateway, sendes der kun en lille procentdel af den pågældende trafik, som derefter komprimeres til ATA Center til analyse.
Dine domænecontrollere og ATA Gateways kan være fysiske eller virtuelle. Du kan finde flere oplysninger under Konfigurer portspejling .
Begivenheder
AtA har brug for følgende Windows-hændelser for at forbedre ATA-registreringen af Pass-the-Hash, Brute Force, Ændring af følsomme grupper og Honningtokens: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Disse kan enten læses automatisk af ATA Lightweight Gateway, eller hvis ATA Lightweight Gateway ikke installeres, kan den videresendes til ATA Gateway på en af to måder ved at konfigurere ATA Gateway til at lytte efter SIEM-hændelser eller ved at konfigurere Viderestilling af Windows-hændelse.
Konfiguration af ATA Gateway til at lytte efter SIEM-hændelser
Konfigurer din SIEM for at videresende bestemte Windows-hændelser til ATA. ATA understøtter en række SIEM-leverandører. Du kan få flere oplysninger under Konfigurer hændelsessamling.Konfiguration af videresendelse af Windows-hændelse
Ata kan også hente dine hændelser ved at konfigurere dine domænecontrollere til at videresende Windows-hændelserne 4776, 4732, 4733, 4728, 4729, 4756 og 4757 til din ATA Gateway. Dette er især nyttigt, hvis du ikke har en SIEM, eller hvis din SIEM ikke understøttes af ATA i øjeblikket. Hvis du vil fuldføre konfigurationen af Videresendelse af Windows-hændelse i ATA, skal du se Konfiguration af viderestilling af Windows-hændelse. Dette gælder kun for fysiske ATA Gateways – ikke for ATA Lightweight Gateway.