Compartir a través de

Arquitectura de ATA

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

La arquitectura de Advanced Threat Analytics se detalla en este diagrama:

Diagrama de topología de arquitectura de ATA.

ATA supervisa el tráfico de red del controlador de dominio mediante la creación de reflejo de puertos en una puerta de enlace de ATA mediante conmutadores físicos o virtuales. Si implementa la puerta de enlace ligera de ATA directamente en los controladores de dominio, se elimina el requisito de creación de reflejo del puerto. Además, ATA puede aprovechar los eventos de Windows (reenviados directamente desde los controladores de dominio o desde un servidor SIEM) y analizar los datos para detectar ataques y amenazas. En esta sección se describe el flujo de captura de red y eventos y se explora en profundidad para describir la funcionalidad de los componentes principales de ATA: la puerta de enlace de ATA, la puerta de enlace ligera de ATA (que tiene la misma funcionalidad principal que la puerta de enlace de ATA) y el Centro ATA.

Diagrama de flujo de tráfico de ATA.

Componentes de ATA

ATA consta de los siguientes componentes:

  • Centro ATA
    El Centro ATA recibe datos de las puertas de enlace de ATA o de las puertas de enlace ligeras de ATA que implemente.
  • Puerta de enlace de ATA
    La puerta de enlace de ATA se instala en un servidor dedicado que supervisa el tráfico desde los controladores de dominio mediante la creación de reflejo del puerto o un TAP de red.
  • Puerta de enlace ligera de ATA
    La puerta de enlace ligera de ATA se instala directamente en los controladores de dominio y supervisa su tráfico directamente, sin necesidad de un servidor dedicado ni de la configuración de la creación de reflejo de puertos. Es una alternativa a la puerta de enlace de ATA.

Una implementación de ATA puede constar de un único centro ATA conectado a todas las puertas de enlace de ATA, todas las puertas de enlace ligeras de ATA o una combinación de puertas de enlace ATA y puertas de enlace ligeras de ATA.

Opciones de implementación

Puede implementar ATA mediante la siguiente combinación de puertas de enlace:

  • Uso de solo puertas de enlace de ATA
    La implementación de ATA solo puede contener puertas de enlace de ATA, sin ninguna puerta de enlace ligera de ATA: todos los controladores de dominio deben estar configurados para habilitar la creación de reflejo del puerto en una puerta de enlace de ATA o los TAP de red.
  • Uso de solo puertas de enlace ligeras de ATA
    La implementación de ATA solo puede contener puertas de enlace ligeras de ATA: las puertas de enlace ligeras de ATA se implementan en cada controlador de dominio y no es necesario ningún servidor adicional ni configuración de creación de reflejo del puerto.
  • Uso de puertas de enlace de ATA y puertas de enlace ligeras de ATA
    La implementación de ATA incluye puertas de enlace ATA y puertas de enlace ligeras de ATA. Las puertas de enlace ligeras de ATA se instalan en algunos de los controladores de dominio (por ejemplo, todos los controladores de dominio de los sitios de rama). Al mismo tiempo, las puertas de enlace de ATA supervisan otros controladores de dominio (por ejemplo, los controladores de dominio más grandes de los centros de datos principales).

En todos estos escenarios, todas las puertas de enlace envían sus datos al Centro ATA.

Centro ATA

El Centro ATA realiza las siguientes funciones:

  • Administra la configuración de la puerta de enlace de ATA y la puerta de enlace ligera de ATA

  • Recibe datos de puertas de enlace de ATA y puertas de enlace ligeras de ATA

  • Detecta actividades sospechosas

  • Ejecuta algoritmos de aprendizaje automático de comportamiento de ATA para detectar comportamientos anómalos

  • Ejecuta varios algoritmos deterministas para detectar ataques avanzados basados en la cadena de eliminación de ataques.

  • Ejecuta la consola de ATA.

  • Opcional: el Centro ATA se puede configurar para enviar correos electrónicos y eventos cuando se detecta una actividad sospechosa.

El Centro ATA recibe tráfico analizado de la puerta de enlace de ATA y de la puerta de enlace ligera de ATA. A continuación, realiza la generación de perfiles, ejecuta la detección determinista y ejecuta algoritmos de aprendizaje automático y comportamiento para obtener información sobre la red, habilitar la detección de anomalías y advertirle de actividades sospechosas.

Tipo Descripción
Receptor de entidad Recibe lotes de entidades de todas las puertas de enlace de ATA y puertas de enlace ligeras de ATA.
Procesador de actividad de red Procesa todas las actividades de red dentro de cada lote recibido. Por ejemplo, la coincidencia entre los distintos pasos de Kerberos realizados desde equipos potencialmente diferentes
Entity Profiler Perfila todas las entidades únicas según el tráfico y los eventos. Por ejemplo, ATA actualiza la lista de equipos que han iniciado sesión para cada perfil de usuario.
Base de datos central Administra el proceso de escritura de los eventos y actividades de red en la base de datos.
Base de datos ATA utiliza MongoDB para almacenar todos los datos del sistema:

- Actividades de red
- Actividades de eventos
- Entidades únicas
- Actividades sospechosas
- Configuración de ATA
Detectores Los detectores usan algoritmos de aprendizaje automático y reglas deterministas para buscar actividades sospechosas y comportamientos anómalos del usuario en la red.
Consola de ATA La consola de ATA es para configurar ATA y supervisar las actividades sospechosas detectadas por ATA en la red. La consola de ATA no depende del servicio del Centro ATA y se ejecuta incluso cuando se detiene el servicio, siempre y cuando pueda comunicarse con la base de datos.

Tenga en cuenta los siguientes criterios al decidir cuántos centros de ATA se van a implementar en la red:

  • Un centro de ATA puede supervisar un único bosque de Active Directory. Si tiene más de un bosque de Active Directory, necesita un mínimo de un Centro ATA por bosque de Active Directory.

  • En implementaciones grandes de Active Directory, es posible que un único Centro ATA no pueda controlar todo el tráfico de todos los controladores de dominio. En este caso, se requieren varios centros ATA. El número de centros ATA debe determinarse mediante el planeamiento de la capacidad de ATA.

Puerta de enlace de ATA y puerta de enlace ligera de ATA

Funcionalidad principal de puerta de enlace

La puerta de enlace de ATA y la puerta de enlace ligera de ATA tienen la misma funcionalidad básica:

  • Capture e inspeccione el tráfico de red del controlador de dominio. Se trata del tráfico reflejado del puerto para las puertas de enlace de ATA y el tráfico local del controlador de dominio en las puertas de enlace ligeras de ATA.

  • Recepción de eventos de Windows desde servidores SIEM o Syslog, o desde controladores de dominio mediante el reenvío de eventos de Windows

  • Recuperar datos sobre usuarios y ordenadores del dominio de Active Directory

  • Realizar la solución de entidades de red (usuarios, grupos y ordenadores)

  • Transferencia de datos pertinentes al Centro ATA

  • Supervise varios controladores de dominio desde una única puerta de enlace de ATA o supervise un único controlador de dominio para una puerta de enlace ligera de ATA.

La puerta de enlace de ATA recibe tráfico de red y eventos de Windows de la red y lo procesa en los siguientes componentes principales:

Tipo Descripción
Agente de escucha de red El agente de escucha de red captura el tráfico de red y analiza el tráfico. Se trata de una tarea pesada de CPU, por lo que es especialmente importante comprobar los requisitos previos de ATA al planear la puerta de enlace de ATA o la puerta de enlace ligera de ATA.
Agente de escucha de eventos El agente de escucha de eventos captura y analiza eventos de Windows reenviados desde un servidor SIEM en la red.
Lector de registros de eventos de Windows El Lector de registros de eventos de Windows lee y analiza los eventos de Windows reenviados al registro de eventos de Windows de la puerta de enlace de ATA desde los controladores de dominio.
Traductor de actividad de red Convierte el tráfico analizado en una representación lógica del tráfico utilizado por ATA (NetworkActivity).
Resolución de entidades Entity Resolver toma los datos analizados (tráfico de red y eventos) y los resuelve con Active Directory para buscar información de cuenta e identidad. A continuación, se compara con las direcciones IP que se encuentran en los datos analizados. El solucionador de entidades inspecciona los encabezados de paquete de forma eficaz para habilitar el análisis de paquetes de autenticación para nombres de máquina, propiedades e identidades. Entity Resolver combina los paquetes de autenticación analizados con los datos del paquete real.
Remitente de entidad El remitente de entidad envía los datos analizados y coincidentes al Centro ATA.

Características de puerta de enlace ligera de ATA

Las características siguientes funcionan de forma diferente en función de si se ejecuta una puerta de enlace de ATA o una puerta de enlace ligera de ATA.

  • La puerta de enlace ligera de ATA puede leer eventos localmente, sin necesidad de configurar el reenvío de eventos.

  • Candidato del sincronizador de dominio
    La puerta de enlace del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de forma proactiva (similar al mecanismo utilizado por los propios controladores de dominio para la replicación). Una puerta de enlace se elige aleatoriamente, en la lista de candidatos, para actuar como sincronizador de dominio.
    Si el sincronizador está sin conexión durante más de 30 minutos, se elige otro candidato. Si no hay ningún candidato de sincronizador de dominio disponible para un dominio específico, ATA sincroniza de forma proactiva las entidades y sus cambios, pero ATA recuperará de forma reactiva nuevas entidades a medida que se detecten en el tráfico supervisado.

    Cuando no hay ningún sincronizador de dominio disponible, la búsqueda de una entidad sin tráfico relacionado con ella no muestra resultados.

    De forma predeterminada, todas las puertas de enlace de ATA son candidatas del sincronizador de dominio.

    Dado que todas las puertas de enlace ligeras de ATA tienen más probabilidades de implementarse en sitios de sucursal y en controladores de dominio pequeños, no son candidatos del sincronizador de forma predeterminada.

    En un entorno con solo puertas de enlace ligeras, se recomienda asignar dos de las puertas de enlace como candidatos del sincronizador, donde una puerta de enlace ligera es el candidato del sincronizador predeterminado y otra la copia de seguridad en caso de que el valor predeterminado esté sin conexión durante más de 30 minutos.

  • Limitaciones de recursos
    La puerta de enlace ligera de ATA incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponible en el controlador de dominio en el que se ejecuta. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de CPU y memoria en el proceso de puerta de enlace ligera de ATA para asegurarse de que, en un momento dado, el controlador de dominio tiene al menos el 15 % de los recursos de proceso y memoria libres.

    Independientemente de lo que ocurra en el controlador de dominio, este proceso siempre libera recursos para asegurarse de que la funcionalidad principal del controlador de dominio no se ve afectada.

    Si esto hace que la puerta de enlace ligera de ATA se quede sin recursos, solo se supervisa el tráfico parcial y la alerta de estado "Tráfico de red reflejado en puerto eliminado" aparece en la página Estado.

En la tabla siguiente se proporciona un ejemplo de un controlador de dominio con suficiente recurso de proceso disponible para permitir una cuota mayor y, a continuación, se necesita actualmente, de modo que se supervise todo el tráfico:

Active Directory (Lsass.exe) Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe) Varios (otros procesos) Cuota de puerta de enlace ligera de ATA Eliminación de puerta de enlace
30% 20% 10% 45% No

Si Active Directory necesita más proceso, se reduce la cuota necesaria para la puerta de enlace ligera de ATA. En el ejemplo siguiente, la puerta de enlace ligera de ATA necesita más de la cuota asignada y quita parte del tráfico (solo supervisión del tráfico parcial):

Active Directory (Lsass.exe) Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe) Varios (otros procesos) Cuota de puerta de enlace ligera de ATA Se quita la puerta de enlace
60% 15 % 10% 15 % Yes

Componentes de red

Para trabajar con ATA, asegúrese de comprobar que están configurados los siguientes componentes.

Creación de reflejo del puerto

Si usa puertas de enlace de ATA, debe configurar la creación de reflejo de puertos para los controladores de dominio que se supervisan y establecer la puerta de enlace de ATA como destino mediante los conmutadores físicos o virtuales. Otra opción es usar taps de red. ATA funciona si se supervisan algunos controladores de dominio, pero no todos, pero las detecciones son menos eficaces.

Aunque la creación de reflejo del puerto refleja todo el tráfico de red del controlador de dominio a la puerta de enlace de ATA, solo un pequeño porcentaje de ese tráfico se envía, comprime, al Centro ATA para su análisis.

Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales; consulte Configuración de la creación de reflejo de puertos para obtener más información.

Eventos

Para mejorar la detección de ATA de Pass-the-Hash, Fuerza bruta, Modificación a grupos confidenciales y Tokens de miel, ATA necesita los siguientes eventos de Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. La puerta de enlace ligera de ATA puede leerlas automáticamente o, en caso de que no se implemente la puerta de enlace ligera de ATA, se puede reenviar a la puerta de enlace de ATA de dos maneras, configurando la puerta de enlace de ATA para escuchar eventos SIEM o configurando el reenvío de eventos de Windows.

  • Configuración de la puerta de enlace de ATA para escuchar eventos SIEM
    Configure siem para reenviar eventos específicos de Windows a ATA. ATA admite varios proveedores siem. Para obtener más información, consulte Configuración de la colección de eventos.

  • Configuración del reenvío de eventos de Windows
    Otra manera en que ATA puede obtener los eventos es configurando los controladores de dominio para reenviar los eventos de Windows 4776, 4732, 4733, 4728, 4729, 4756 y 4757 a la puerta de enlace de ATA. Esto es especialmente útil si no tiene un SIEM o si el SIEM no es compatible actualmente con ATA. Para completar la configuración del reenvío de eventos de Windows en ATA, consulta Configurar el reenvío de eventos de Windows. Esto solo se aplica a las puertas de enlace de ATA físicas, no a la puerta de enlace ligera de ATA.

Consulta también