ATA-Architektur
Gilt für: Advanced Threat Analytics Version 1.9
Die Advanced Threat Analytics-Architektur wird in diesem Diagramm beschrieben:
ATA überwacht den Netzwerkdatenverkehr Ihres Domänencontrollers mithilfe der Portspiegelung an ein ATA-Gateway mithilfe physischer oder virtueller Switches. Wenn Sie das ATA-Lightweight-Gateway direkt auf Ihren Domänencontrollern bereitstellen, wird die Portspiegelung nicht mehr benötigt. Darüber hinaus kann ATA Windows-Ereignisse nutzen (die direkt von Ihren Domänencontrollern oder von einem SIEM-Server weitergeleitet werden) und die Daten auf Angriffe und Bedrohungen analysieren. In diesem Abschnitt wird der Fluss der Netzwerk- und Ereigniserfassung beschrieben, und es wird ein Drilldown ausgeführt, um die Funktionalität der Standard Komponenten von ATA zu beschreiben: ata Gateway, ATA Lightweight Gateway (das die gleiche Kernfunktionalität wie das ATA-Gateway aufweist) und ATA Center.
ATA-Komponenten
ATA besteht aus den folgenden Komponenten:
-
ATA Center
ATA Center empfängt Daten von allen ATA-Gateways und/oder ATA-Lightweight-Gateways, die Sie bereitstellen. -
ATA-Gateway
Das ATA-Gateway wird auf einem dedizierten Server installiert, der den Datenverkehr von Ihren Domänencontrollern entweder mithilfe der Portspiegelung oder eines Netzwerk-TAP überwacht. -
ATA Lightweight Gateway
Das ATA-Lightweight-Gateway wird direkt auf Ihren Domänencontrollern installiert und überwacht deren Datenverkehr direkt, ohne dass ein dedizierter Server oder eine Konfiguration der Portspiegelung erforderlich ist. Es ist eine Alternative zum ATA-Gateway.
Eine ATA-Bereitstellung kann aus einem einzelnen ATA Center bestehen, das mit allen ATA-Gateways, allen ATA-Lightweight-Gateways oder einer Kombination aus ATA-Gateways und ATA-Lightweight-Gateways verbunden ist.
Bereitstellungsoptionen
Sie können ATA mit der folgenden Kombination von Gateways bereitstellen:
-
Nur ATA-Gateways verwenden
Ihre ATA-Bereitstellung darf nur ATA-Gateways ohne ATA-Lightweight-Gateways enthalten: Alle Domänencontroller müssen so konfiguriert werden, dass die Portspiegelung an ein ATA-Gateway aktiviert wird, oder Netzwerk-TAPs müssen vorhanden sein. -
Nur ATA-Lightweight-Gateways verwenden
Ihre ATA-Bereitstellung darf nur ATA-Lightweight-Gateways enthalten: Die ATA-Lightweight-Gateways werden auf jedem Domänencontroller bereitgestellt, und es sind keine zusätzlichen Server oder eine Konfiguration der Portspiegelung erforderlich. -
Verwenden von ATA-Gateways und ATA-Lightweight-Gateways
Ihre ATA-Bereitstellung umfasst sowohl ATA-Gateways als auch ATA-Lightweight-Gateways. Die ATA-Lightweight-Gateways werden auf einigen Ihrer Domänencontroller installiert (z. B. auf allen Domänencontrollern an Ihren Zweigstellenstandorten). Gleichzeitig werden andere Domänencontroller von ATA-Gateways überwacht (z. B. die größeren Domänencontroller in Ihren Standard Rechenzentren).
In all diesen Szenarien senden alle Gateways ihre Daten an ATA Center.
ATA Center
ATA Center führt die folgenden Funktionen aus:
Verwaltet die Konfigurationseinstellungen des ATA-Gateways und des ATA-Lightweight-Gateways
Empfängt Daten von ATA-Gateways und ATA-Lightweight-Gateways
Erkennt verdächtige Aktivitäten
Führt ATA-Algorithmen für maschinelles Lernen aus, um ungewöhnliches Verhalten zu erkennen.
Führt verschiedene deterministische Algorithmen aus, um erweiterte Angriffe basierend auf der Angriffs-Kill Chain zu erkennen.
Führt die ATA-Konsole aus
Optional: Ata Center kann so konfiguriert werden, dass E-Mails und Ereignisse gesendet werden, wenn eine verdächtige Aktivität erkannt wird.
ATA Center empfängt analysierten Datenverkehr vom ATA-Gateway und vom ATA-Lightweight-Gateway. Anschließend führt es eine Profilerstellung durch, führt eine deterministische Erkennung durch und führt Machine Learning- und Verhaltensalgorithmen aus, um mehr über Ihr Netzwerk zu erfahren, die Erkennung von Anomalien zu ermöglichen und Sie vor verdächtigen Aktivitäten zu warnen.
Typ | Beschreibung |
---|---|
Entitätsempfänger | Empfängt Batches von Entitäten von allen ATA-Gateways und ATA-Lightweight-Gateways. |
Netzwerkaktivitätsprozessor | Verarbeitet alle Netzwerkaktivitäten in jedem empfangenen Batch. Beispiel: Abgleich zwischen den verschiedenen Kerberos-Schritten, die von potenziell unterschiedlichen Computern ausgeführt werden |
Entity Profiler | Profile aller eindeutigen Entitäten entsprechend dem Datenverkehr und den Ereignissen. Ata aktualisiert beispielsweise die Liste der angemeldeten Computer für jedes Benutzerprofil. |
Datenbank zentr | Verwaltet den Schreibprozess der Netzwerkaktivitäten und -ereignisse in der Datenbank. |
Datenbank | ATA verwendet MongoDB zum Speichern aller Daten im System: - Netzwerkaktivitäten - Ereignisaktivitäten – Eindeutige Entitäten – Verdächtige Aktivitäten – ATA-Konfiguration |
Detektoren | Die Detektoren verwenden Machine Learning-Algorithmen und deterministische Regeln, um verdächtige Aktivitäten und ungewöhnliches Benutzerverhalten in Ihrem Netzwerk zu finden. |
ATA-Konsole | Die ATA-Konsole dient zum Konfigurieren von ATA und zum Überwachen verdächtiger Aktivitäten, die von ATA in Ihrem Netzwerk erkannt werden. Die ATA-Konsole ist nicht vom ATA Center-Dienst abhängig und wird auch ausgeführt, wenn der Dienst beendet wird, solange er mit der Datenbank kommunizieren kann. |
Berücksichtigen Sie die folgenden Kriterien, wenn Sie entscheiden, wie viele ATA-Center in Ihrem Netzwerk bereitgestellt werden sollen:
Ein ATA Center kann eine einzelne Active Directory-Gesamtstruktur überwachen. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, benötigen Sie mindestens ein ATA Center pro Active Directory-Gesamtstruktur.
Bei großen Active Directory-Bereitstellungen kann ein einzelnes ATA Center möglicherweise nicht den gesamten Datenverkehr aller Domänencontroller verarbeiten. In diesem Fall sind mehrere ATA-Center erforderlich. Die Anzahl der ATA-Zentren sollte von der ATA-Kapazitätsplanung vorgegeben werden.
ATA-Gateway und ATA-Lightweight-Gateway
Kernfunktionen des Gateways
Das ATA-Gateway und das ATA-Lightweight-Gateway verfügen beide über die gleiche Kernfunktionalität:
Erfassen und überprüfen Sie den Netzwerkdatenverkehr des Domänencontrollers. Dies ist portgespiegelter Datenverkehr für ATA-Gateways und lokaler Datenverkehr des Domänencontrollers in ATA Lightweight Gateways.
Empfangen von Windows-Ereignissen von SIEM- oder Syslog-Servern oder von Domänencontrollern mithilfe der Windows-Ereignisweiterleitung
Empfangen von Daten über Benutzer und Computer von der Active Directory-Domäne
Ausführen einer Auflösung von Netzwerkentitäten (Benutzer, Gruppen und Computer)
Übertragen relevanter Daten an das ATA Center
Überwachen Sie mehrere Domänencontroller von einem einzelnen ATA-Gateway aus, oder überwachen Sie einen einzelnen Domänencontroller für ein ATA-Lightweight-Gateway.
Das ATA-Gateway empfängt Netzwerkdatenverkehr und Windows-Ereignisse aus Ihrem Netzwerk und verarbeitet ihn in den folgenden Standard Komponenten:
Typ | Beschreibung |
---|---|
Netzwerklistener | Der Netzwerklistener erfasst Netzwerkdatenverkehr und analysiert den Datenverkehr. Dies ist eine CPU-lastige Aufgabe, daher ist es besonders wichtig, die ATA-Voraussetzungen zu überprüfen, wenn Sie Ihr ATA-Gateway oder IHR ATA-Lightweight-Gateway planen. |
Ereignislistener | Der Ereignislistener erfasst und analysiert Windows-Ereignisse, die von einem SIEM-Server in Ihrem Netzwerk weitergeleitet werden. |
Windows-Ereignisprotokollleser | Der Windows-Ereignisprotokollleser liest und analysiert Windows-Ereignisse, die von den Domänencontrollern an das Windows-Ereignisprotokoll des ATA-Gateways weitergeleitet werden. |
Netzwerkaktivitätsübersetzung | Übersetzt analysierten Datenverkehr in eine logische Darstellung des von ATA (NetworkActivity) verwendeten Datenverkehrs. |
Entity Resolver | Der Entity Resolver übernimmt die analysierten Daten (Netzwerkdatenverkehr und Ereignisse) und löst sie mit Active Directory auf, um Konto- und Identitätsinformationen zu finden. Es wird dann mit den IP-Adressen abgeglichen, die in den analysierten Daten gefunden wurden. Der Entity Resolver überprüft die Paketheader effizient, um die Analyse von Authentifizierungspaketen für Computernamen, Eigenschaften und Identitäten zu ermöglichen. Der Entity Resolver kombiniert die analysierten Authentifizierungspakete mit den Daten im tatsächlichen Paket. |
Entitätssender | Der Entitätssender sendet die analysierten und übereinstimmenden Daten an ATA Center. |
ATA Lightweight Gateway-Features
Die folgenden Features funktionieren unterschiedlich, je nachdem, ob Sie ein ATA-Gateway oder ein ATA-Lightweight-Gateway ausführen.
Das ATA Lightweight-Gateway kann Ereignisse lokal lesen, ohne dass die Ereignisweiterleitung konfiguriert werden muss.
Domänensynchronisierungskandidat
Das Domänensynchronisierungsgateway ist für die proaktive Synchronisierung aller Entitäten aus einer bestimmten Active Directory-Domäne zuständig (ähnlich dem Mechanismus, der von den Domänencontrollern selbst für die Replikation verwendet wird). Ein Gateway wird nach dem Zufallsprinzip aus der Liste der Kandidaten als Domänensynchronisierungs-Synchronisierung ausgewählt.
Wenn der Synchronizer länger als 30 Minuten offline ist, wird stattdessen ein anderer Kandidat ausgewählt. Wenn für eine bestimmte Domäne kein Domänensynchronisierungskandidat verfügbar ist, synchronisiert ATA proaktiv Entitäten und deren Änderungen. ATA ruft jedoch reaktiv neue Entitäten ab, wenn sie im überwachten Datenverkehr erkannt werden.Wenn kein Domänensynchronisierungsmodus verfügbar ist, werden bei der Suche nach einer Entität ohne damit zusammenhängenden Datenverkehr keine Ergebnisse angezeigt.
Standardmäßig sind alle ATA-Gateways Domänensynchronisierungskandidaten.
Da alle ATA-Lightweight-Gateways eher an Zweigstellenstandorten und auf kleinen Domänencontrollern bereitgestellt werden, sind sie standardmäßig keine Synchronizerkandidaten.
In einer Umgebung mit nur Lightweight-Gateways wird empfohlen, zwei der Gateways als Synchronizer-Kandidaten zuzuweisen, wobei ein Lightweight-Gateway der Standardsynchronisierungskandidat und eines die Sicherung ist, falls der Standardwert länger als 30 Minuten offline ist.
Ressourcenbeschränkungen
Das ATA-Lightweight-Gateway enthält eine Überwachungskomponente, die die verfügbare Compute- und Speicherkapazität auf dem Domänencontroller auswertet, auf dem es ausgeführt wird. Der Überwachungsprozess wird alle 10 Sekunden ausgeführt und aktualisiert dynamisch das CPU- und Arbeitsspeicherauslastungskontingent im ATA Lightweight Gateway-Prozess, um sicherzustellen, dass der Domänencontroller zu einem bestimmten Zeitpunkt über mindestens 15 % der freien Compute- und Arbeitsspeicherressourcen verfügt.Unabhängig davon, was auf dem Domänencontroller geschieht, gibt dieser Prozess immer Ressourcen frei, um sicherzustellen, dass die Kernfunktionalität des Domänencontrollers nicht beeinträchtigt wird.
Wenn dies dazu führt, dass dem ATA-Lightweight-Gateway die Ressourcen ausgehen, wird nur ein Teil des Datenverkehrs überwacht, und die Integritätswarnung "Verworfener Port gespiegelter Netzwerkdatenverkehr" wird auf der Seite Integrität angezeigt.
Die folgende Tabelle enthält ein Beispiel für einen Domänencontroller mit ausreichend verfügbarer Computeressource, um ein größeres Kontingent zu ermöglichen, das derzeit benötigt wird, damit der gesamte Datenverkehr überwacht wird:
Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Sonstiges (andere Prozesse) | ATA Lightweight-Gatewaykontingent | Gateway wird gelöscht |
---|---|---|---|---|
30% | 20% | 10 % | 45% | Nein |
Wenn Active Directory mehr Compute benötigt, wird das vom ATA-Lightweight-Gateway benötigte Kontingent reduziert. Im folgenden Beispiel benötigt das ATA-Lightweight-Gateway mehr als das zugewiesene Kontingent und löscht einen Teil des Datenverkehrs (überwachung nur teilweisen Datenverkehr):
Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Sonstiges (andere Prozesse) | ATA Lightweight-Gatewaykontingent | Wird das Gateway gelöscht? |
---|---|---|---|---|
60% | 15 % | 10 % | 15 % | Ja |
Ihre Netzwerkkomponenten
Um mit ATA zu arbeiten, stellen Sie sicher, dass die folgenden Komponenten eingerichtet sind.
Portspiegelung
Wenn Sie ATA-Gateways verwenden, müssen Sie die Portspiegelung für die überwachten Domänencontroller einrichten und das ATA-Gateway mithilfe der physischen oder virtuellen Switches als Ziel festlegen. Eine weitere Möglichkeit besteht darin, Netzwerk-TAPs zu verwenden. ATA funktioniert, wenn einige, aber nicht alle Domänencontroller überwacht werden, erkennungen jedoch weniger effektiv sind.
Während die Portspiegelung den gesamten Netzwerkdatenverkehr des Domänencontrollers an das ATA-Gateway spiegelt, wird nur ein kleiner Prozentsatz dieses Datenverkehrs zur Analyse komprimiert an ATA Center gesendet.
Ihre Domänencontroller und die ATA-Gateways können physisch oder virtuell sein. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung .
Ereignisse
Ata benötigt die folgenden Windows-Ereignisse: 4776, 4732, 4733, 472, 4728, 4728, 4729, 4756, 4757. Diese können entweder automatisch vom ATA-Lightweight-Gateway gelesen werden, oder wenn das ATA-Lightweight-Gateway nicht bereitgestellt wird, kann es auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, indem das ATA-Gateway so konfiguriert wird, dass es auf SIEM-Ereignisse lauscht, oder durch Konfigurieren der Windows-Ereignisweiterleitung.
Konfigurieren des ATA-Gateways für das Lauschen auf SIEM-Ereignisse
Konfigurieren Sie Ihr SIEM so, dass bestimmte Windows-Ereignisse an ATA weitergeleitet werden. ATA unterstützt eine Reihe von SIEM-Anbietern. Weitere Informationen finden Sie unter Konfigurieren der Ereignissammlung.Konfigurieren der Windows-Ereignisweiterleitung
Ata kann Ihre Ereignisse auch abrufen, indem Sie Ihre Domänencontroller so konfigurieren, dass die Windows-Ereignisse 4776, 4732, 4733, 4728, 4729, 4756 und 4757 an Ihr ATA-Gateway weitergeleitet werden. Dies ist besonders nützlich, wenn Sie über kein SIEM verfügen oder Wenn Ihr SIEM derzeit nicht von ATA unterstützt wird. Informationen zum Abschließen der Konfiguration der Windows-Ereignisweiterleitung in ATA finden Sie unter Konfigurieren der Windows-Ereignisweiterleitung. Dies gilt nur für physische ATA-Gateways, nicht für das ATA-Lightweight-Gateway.