Freigeben über


ATA-Architektur

Gilt für: Advanced Threat Analytics Version 1.9

Die Advanced Threat Analytics-Architektur wird in diesem Diagramm beschrieben:

Ata-Architekturtopologiediagramm.

ATA überwacht den Netzwerkdatenverkehr Ihres Domänencontrollers mithilfe der Portspiegelung an ein ATA-Gateway mithilfe physischer oder virtueller Switches. Wenn Sie das ATA-Lightweight-Gateway direkt auf Ihren Domänencontrollern bereitstellen, wird die Portspiegelung nicht mehr benötigt. Darüber hinaus kann ATA Windows-Ereignisse nutzen (die direkt von Ihren Domänencontrollern oder von einem SIEM-Server weitergeleitet werden) und die Daten auf Angriffe und Bedrohungen analysieren. In diesem Abschnitt wird der Fluss der Netzwerk- und Ereigniserfassung beschrieben, und es wird ein Drilldown ausgeführt, um die Funktionalität der Standard Komponenten von ATA zu beschreiben: ata Gateway, ATA Lightweight Gateway (das die gleiche Kernfunktionalität wie das ATA-Gateway aufweist) und ATA Center.

ATA-Datenverkehrsflussdiagramm.

ATA-Komponenten

ATA besteht aus den folgenden Komponenten:

  • ATA Center
    ATA Center empfängt Daten von allen ATA-Gateways und/oder ATA-Lightweight-Gateways, die Sie bereitstellen.
  • ATA-Gateway
    Das ATA-Gateway wird auf einem dedizierten Server installiert, der den Datenverkehr von Ihren Domänencontrollern entweder mithilfe der Portspiegelung oder eines Netzwerk-TAP überwacht.
  • ATA Lightweight Gateway
    Das ATA-Lightweight-Gateway wird direkt auf Ihren Domänencontrollern installiert und überwacht deren Datenverkehr direkt, ohne dass ein dedizierter Server oder eine Konfiguration der Portspiegelung erforderlich ist. Es ist eine Alternative zum ATA-Gateway.

Eine ATA-Bereitstellung kann aus einem einzelnen ATA Center bestehen, das mit allen ATA-Gateways, allen ATA-Lightweight-Gateways oder einer Kombination aus ATA-Gateways und ATA-Lightweight-Gateways verbunden ist.

Bereitstellungsoptionen

Sie können ATA mit der folgenden Kombination von Gateways bereitstellen:

  • Nur ATA-Gateways verwenden
    Ihre ATA-Bereitstellung darf nur ATA-Gateways ohne ATA-Lightweight-Gateways enthalten: Alle Domänencontroller müssen so konfiguriert werden, dass die Portspiegelung an ein ATA-Gateway aktiviert wird, oder Netzwerk-TAPs müssen vorhanden sein.
  • Nur ATA-Lightweight-Gateways verwenden
    Ihre ATA-Bereitstellung darf nur ATA-Lightweight-Gateways enthalten: Die ATA-Lightweight-Gateways werden auf jedem Domänencontroller bereitgestellt, und es sind keine zusätzlichen Server oder eine Konfiguration der Portspiegelung erforderlich.
  • Verwenden von ATA-Gateways und ATA-Lightweight-Gateways
    Ihre ATA-Bereitstellung umfasst sowohl ATA-Gateways als auch ATA-Lightweight-Gateways. Die ATA-Lightweight-Gateways werden auf einigen Ihrer Domänencontroller installiert (z. B. auf allen Domänencontrollern an Ihren Zweigstellenstandorten). Gleichzeitig werden andere Domänencontroller von ATA-Gateways überwacht (z. B. die größeren Domänencontroller in Ihren Standard Rechenzentren).

In all diesen Szenarien senden alle Gateways ihre Daten an ATA Center.

ATA Center

ATA Center führt die folgenden Funktionen aus:

  • Verwaltet die Konfigurationseinstellungen des ATA-Gateways und des ATA-Lightweight-Gateways

  • Empfängt Daten von ATA-Gateways und ATA-Lightweight-Gateways

  • Erkennt verdächtige Aktivitäten

  • Führt ATA-Algorithmen für maschinelles Lernen aus, um ungewöhnliches Verhalten zu erkennen.

  • Führt verschiedene deterministische Algorithmen aus, um erweiterte Angriffe basierend auf der Angriffs-Kill Chain zu erkennen.

  • Führt die ATA-Konsole aus

  • Optional: Ata Center kann so konfiguriert werden, dass E-Mails und Ereignisse gesendet werden, wenn eine verdächtige Aktivität erkannt wird.

ATA Center empfängt analysierten Datenverkehr vom ATA-Gateway und vom ATA-Lightweight-Gateway. Anschließend führt es eine Profilerstellung durch, führt eine deterministische Erkennung durch und führt Machine Learning- und Verhaltensalgorithmen aus, um mehr über Ihr Netzwerk zu erfahren, die Erkennung von Anomalien zu ermöglichen und Sie vor verdächtigen Aktivitäten zu warnen.

Typ Beschreibung
Entitätsempfänger Empfängt Batches von Entitäten von allen ATA-Gateways und ATA-Lightweight-Gateways.
Netzwerkaktivitätsprozessor Verarbeitet alle Netzwerkaktivitäten in jedem empfangenen Batch. Beispiel: Abgleich zwischen den verschiedenen Kerberos-Schritten, die von potenziell unterschiedlichen Computern ausgeführt werden
Entity Profiler Profile aller eindeutigen Entitäten entsprechend dem Datenverkehr und den Ereignissen. Ata aktualisiert beispielsweise die Liste der angemeldeten Computer für jedes Benutzerprofil.
Datenbank zentr Verwaltet den Schreibprozess der Netzwerkaktivitäten und -ereignisse in der Datenbank.
Datenbank ATA verwendet MongoDB zum Speichern aller Daten im System:

- Netzwerkaktivitäten
- Ereignisaktivitäten
– Eindeutige Entitäten
– Verdächtige Aktivitäten
– ATA-Konfiguration
Detektoren Die Detektoren verwenden Machine Learning-Algorithmen und deterministische Regeln, um verdächtige Aktivitäten und ungewöhnliches Benutzerverhalten in Ihrem Netzwerk zu finden.
ATA-Konsole Die ATA-Konsole dient zum Konfigurieren von ATA und zum Überwachen verdächtiger Aktivitäten, die von ATA in Ihrem Netzwerk erkannt werden. Die ATA-Konsole ist nicht vom ATA Center-Dienst abhängig und wird auch ausgeführt, wenn der Dienst beendet wird, solange er mit der Datenbank kommunizieren kann.

Berücksichtigen Sie die folgenden Kriterien, wenn Sie entscheiden, wie viele ATA-Center in Ihrem Netzwerk bereitgestellt werden sollen:

  • Ein ATA Center kann eine einzelne Active Directory-Gesamtstruktur überwachen. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, benötigen Sie mindestens ein ATA Center pro Active Directory-Gesamtstruktur.

  • Bei großen Active Directory-Bereitstellungen kann ein einzelnes ATA Center möglicherweise nicht den gesamten Datenverkehr aller Domänencontroller verarbeiten. In diesem Fall sind mehrere ATA-Center erforderlich. Die Anzahl der ATA-Zentren sollte von der ATA-Kapazitätsplanung vorgegeben werden.

ATA-Gateway und ATA-Lightweight-Gateway

Kernfunktionen des Gateways

Das ATA-Gateway und das ATA-Lightweight-Gateway verfügen beide über die gleiche Kernfunktionalität:

  • Erfassen und überprüfen Sie den Netzwerkdatenverkehr des Domänencontrollers. Dies ist portgespiegelter Datenverkehr für ATA-Gateways und lokaler Datenverkehr des Domänencontrollers in ATA Lightweight Gateways.

  • Empfangen von Windows-Ereignissen von SIEM- oder Syslog-Servern oder von Domänencontrollern mithilfe der Windows-Ereignisweiterleitung

  • Empfangen von Daten über Benutzer und Computer von der Active Directory-Domäne

  • Ausführen einer Auflösung von Netzwerkentitäten (Benutzer, Gruppen und Computer)

  • Übertragen relevanter Daten an das ATA Center

  • Überwachen Sie mehrere Domänencontroller von einem einzelnen ATA-Gateway aus, oder überwachen Sie einen einzelnen Domänencontroller für ein ATA-Lightweight-Gateway.

Das ATA-Gateway empfängt Netzwerkdatenverkehr und Windows-Ereignisse aus Ihrem Netzwerk und verarbeitet ihn in den folgenden Standard Komponenten:

Typ Beschreibung
Netzwerklistener Der Netzwerklistener erfasst Netzwerkdatenverkehr und analysiert den Datenverkehr. Dies ist eine CPU-lastige Aufgabe, daher ist es besonders wichtig, die ATA-Voraussetzungen zu überprüfen, wenn Sie Ihr ATA-Gateway oder IHR ATA-Lightweight-Gateway planen.
Ereignislistener Der Ereignislistener erfasst und analysiert Windows-Ereignisse, die von einem SIEM-Server in Ihrem Netzwerk weitergeleitet werden.
Windows-Ereignisprotokollleser Der Windows-Ereignisprotokollleser liest und analysiert Windows-Ereignisse, die von den Domänencontrollern an das Windows-Ereignisprotokoll des ATA-Gateways weitergeleitet werden.
Netzwerkaktivitätsübersetzung Übersetzt analysierten Datenverkehr in eine logische Darstellung des von ATA (NetworkActivity) verwendeten Datenverkehrs.
Entity Resolver Der Entity Resolver übernimmt die analysierten Daten (Netzwerkdatenverkehr und Ereignisse) und löst sie mit Active Directory auf, um Konto- und Identitätsinformationen zu finden. Es wird dann mit den IP-Adressen abgeglichen, die in den analysierten Daten gefunden wurden. Der Entity Resolver überprüft die Paketheader effizient, um die Analyse von Authentifizierungspaketen für Computernamen, Eigenschaften und Identitäten zu ermöglichen. Der Entity Resolver kombiniert die analysierten Authentifizierungspakete mit den Daten im tatsächlichen Paket.
Entitätssender Der Entitätssender sendet die analysierten und übereinstimmenden Daten an ATA Center.

ATA Lightweight Gateway-Features

Die folgenden Features funktionieren unterschiedlich, je nachdem, ob Sie ein ATA-Gateway oder ein ATA-Lightweight-Gateway ausführen.

  • Das ATA Lightweight-Gateway kann Ereignisse lokal lesen, ohne dass die Ereignisweiterleitung konfiguriert werden muss.

  • Domänensynchronisierungskandidat
    Das Domänensynchronisierungsgateway ist für die proaktive Synchronisierung aller Entitäten aus einer bestimmten Active Directory-Domäne zuständig (ähnlich dem Mechanismus, der von den Domänencontrollern selbst für die Replikation verwendet wird). Ein Gateway wird nach dem Zufallsprinzip aus der Liste der Kandidaten als Domänensynchronisierungs-Synchronisierung ausgewählt.
    Wenn der Synchronizer länger als 30 Minuten offline ist, wird stattdessen ein anderer Kandidat ausgewählt. Wenn für eine bestimmte Domäne kein Domänensynchronisierungskandidat verfügbar ist, synchronisiert ATA proaktiv Entitäten und deren Änderungen. ATA ruft jedoch reaktiv neue Entitäten ab, wenn sie im überwachten Datenverkehr erkannt werden.

    Wenn kein Domänensynchronisierungsmodus verfügbar ist, werden bei der Suche nach einer Entität ohne damit zusammenhängenden Datenverkehr keine Ergebnisse angezeigt.

    Standardmäßig sind alle ATA-Gateways Domänensynchronisierungskandidaten.

    Da alle ATA-Lightweight-Gateways eher an Zweigstellenstandorten und auf kleinen Domänencontrollern bereitgestellt werden, sind sie standardmäßig keine Synchronizerkandidaten.

    In einer Umgebung mit nur Lightweight-Gateways wird empfohlen, zwei der Gateways als Synchronizer-Kandidaten zuzuweisen, wobei ein Lightweight-Gateway der Standardsynchronisierungskandidat und eines die Sicherung ist, falls der Standardwert länger als 30 Minuten offline ist.

  • Ressourcenbeschränkungen
    Das ATA-Lightweight-Gateway enthält eine Überwachungskomponente, die die verfügbare Compute- und Speicherkapazität auf dem Domänencontroller auswertet, auf dem es ausgeführt wird. Der Überwachungsprozess wird alle 10 Sekunden ausgeführt und aktualisiert dynamisch das CPU- und Arbeitsspeicherauslastungskontingent im ATA Lightweight Gateway-Prozess, um sicherzustellen, dass der Domänencontroller zu einem bestimmten Zeitpunkt über mindestens 15 % der freien Compute- und Arbeitsspeicherressourcen verfügt.

    Unabhängig davon, was auf dem Domänencontroller geschieht, gibt dieser Prozess immer Ressourcen frei, um sicherzustellen, dass die Kernfunktionalität des Domänencontrollers nicht beeinträchtigt wird.

    Wenn dies dazu führt, dass dem ATA-Lightweight-Gateway die Ressourcen ausgehen, wird nur ein Teil des Datenverkehrs überwacht, und die Integritätswarnung "Verworfener Port gespiegelter Netzwerkdatenverkehr" wird auf der Seite Integrität angezeigt.

Die folgende Tabelle enthält ein Beispiel für einen Domänencontroller mit ausreichend verfügbarer Computeressource, um ein größeres Kontingent zu ermöglichen, das derzeit benötigt wird, damit der gesamte Datenverkehr überwacht wird:

Active Directory (Lsass.exe) ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Sonstiges (andere Prozesse) ATA Lightweight-Gatewaykontingent Gateway wird gelöscht
30% 20% 10 % 45% Nein

Wenn Active Directory mehr Compute benötigt, wird das vom ATA-Lightweight-Gateway benötigte Kontingent reduziert. Im folgenden Beispiel benötigt das ATA-Lightweight-Gateway mehr als das zugewiesene Kontingent und löscht einen Teil des Datenverkehrs (überwachung nur teilweisen Datenverkehr):

Active Directory (Lsass.exe) ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Sonstiges (andere Prozesse) ATA Lightweight-Gatewaykontingent Wird das Gateway gelöscht?
60% 15 % 10 % 15 % Ja

Ihre Netzwerkkomponenten

Um mit ATA zu arbeiten, stellen Sie sicher, dass die folgenden Komponenten eingerichtet sind.

Portspiegelung

Wenn Sie ATA-Gateways verwenden, müssen Sie die Portspiegelung für die überwachten Domänencontroller einrichten und das ATA-Gateway mithilfe der physischen oder virtuellen Switches als Ziel festlegen. Eine weitere Möglichkeit besteht darin, Netzwerk-TAPs zu verwenden. ATA funktioniert, wenn einige, aber nicht alle Domänencontroller überwacht werden, erkennungen jedoch weniger effektiv sind.

Während die Portspiegelung den gesamten Netzwerkdatenverkehr des Domänencontrollers an das ATA-Gateway spiegelt, wird nur ein kleiner Prozentsatz dieses Datenverkehrs zur Analyse komprimiert an ATA Center gesendet.

Ihre Domänencontroller und die ATA-Gateways können physisch oder virtuell sein. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung .

Ereignisse

Ata benötigt die folgenden Windows-Ereignisse: 4776, 4732, 4733, 472, 4728, 4728, 4729, 4756, 4757. Diese können entweder automatisch vom ATA-Lightweight-Gateway gelesen werden, oder wenn das ATA-Lightweight-Gateway nicht bereitgestellt wird, kann es auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, indem das ATA-Gateway so konfiguriert wird, dass es auf SIEM-Ereignisse lauscht, oder durch Konfigurieren der Windows-Ereignisweiterleitung.

  • Konfigurieren des ATA-Gateways für das Lauschen auf SIEM-Ereignisse
    Konfigurieren Sie Ihr SIEM so, dass bestimmte Windows-Ereignisse an ATA weitergeleitet werden. ATA unterstützt eine Reihe von SIEM-Anbietern. Weitere Informationen finden Sie unter Konfigurieren der Ereignissammlung.

  • Konfigurieren der Windows-Ereignisweiterleitung
    Ata kann Ihre Ereignisse auch abrufen, indem Sie Ihre Domänencontroller so konfigurieren, dass die Windows-Ereignisse 4776, 4732, 4733, 4728, 4729, 4756 und 4757 an Ihr ATA-Gateway weitergeleitet werden. Dies ist besonders nützlich, wenn Sie über kein SIEM verfügen oder Wenn Ihr SIEM derzeit nicht von ATA unterstützt wird. Informationen zum Abschließen der Konfiguration der Windows-Ereignisweiterleitung in ATA finden Sie unter Konfigurieren der Windows-Ereignisweiterleitung. Dies gilt nur für physische ATA-Gateways, nicht für das ATA-Lightweight-Gateway.

Siehe auch