Jaa

ATA-arkkitehtuuri

  • Artikkeli

Koskee: Advanced Threat Analytics -versio 1.9

Advanced Threat Analytics -arkkitehtuuri on kuvattu tässä kaaviossa:

ATA-arkkitehtuuritopologiakaavio.

ATA valvoo toimialueen ohjauskoneen verkkoliikennettä käyttämällä porttipelausta ATA-yhdyskäytävään fyysisillä tai virtuaalikytkillä. Jos otat ATA Lightweight Gatewayn käyttöön suoraan toimialueen ohjauskoneissa, se poistaa portin peilauksen vaatimuksen. Lisäksi ATA voi hyödyntää Windows-tapahtumia (jotka välitetään suoraan toimialueen ohjauskoneista tai SIEM-palvelimesta) ja analysoida hyökkäysten ja uhkien tietoja. Tässä osiossa kuvataan verkon ja tapahtumien tallentamisen ja porautumisen työnkulku, joka kuvaa ATA:n pääkomponenttien toimintaa: ATA-yhdyskäytävä, ATA-kevyt yhdyskäytävä (jolla on samat ydintoiminnot kuin ATA-yhdyskäytävällä) ja ATA-keskus.

ATA-liikennevuokaavio.

ATA-osat

ATA koostuu seuraavista osista:

  • ATA-keskus
    ATA-keskus vastaanottaa tietoja kaikista ATA-yhdyskäytäviä ja/tai ATA:n kevyistä yhdyskäytäviä, jotka otat käyttöön.
  • ATA-yhdyskäytävä
    ATA-yhdyskäytävä asennetaan erilliseen palvelimeen, joka valvoo toimialueen ohjauskoneiden liikennettä joko porttipelauksen tai verkon napautuksen avulla.
  • ATA-kevyt yhdyskäytävä
    ATA Lightweight Gateway asennetaan suoraan toimialueen ohjauskoneisiin ja valvoo niiden liikennettä suoraan ilman erillistä palvelinta tai porttipelauksen määritystä. Se on vaihtoehto ATA-yhdyskäytävälle.

ATA-käyttöönotto voi koostua yhdestä ATA-keskuksesta, joka on yhdistetty kaikkiin ATA-yhdyskäytävien, kaikkien ATA-kevyiden yhdyskäytävien, tai ATA-yhdyskäytävien ja ATA-kevyiden yhdyskäytävien yhdistelmästä.

Käyttöönottoasetukset

Voit ottaa ATA:n käyttöön käyttämällä seuraavaa yhdyskäytävien yhdistelmää:

  • Vain ATA-yhdyskäytäviä käytetään
    ATA-käyttöönotto voi sisältää vain ATA-yhdyskäytäviä ilman ATA-kevyitä yhdyskäytäviä: Kaikkien toimialueen ohjauskoneiden on oltava määritetty ottamaan käyttöön porttien peilaus ATA-yhdyskäytävään tai verkon TAP-yhdyskäytäviin.
  • Käytetään vain ATA:n kevyitä yhdyskäytäviä
    ATA-käyttöönotto voi sisältää vain ATA-kevyitä yhdyskäytäviä: ATA-kevyet yhdyskäytävät otetaan käyttöön kussakin toimialueen ohjauskoneessa, eikä lisäpalvelimia tai porttien peilauksen määritystä tarvita.
  • Sekä ATA-yhdyskäytäviä että ATA-kevyitä yhdyskäytäviä käyttämällä
    ATA-käyttöönotto sisältää sekä ATA-yhdyskäytävät että ATA-kevyet yhdyskäytävät. ATA Lightweight Gateways asennetaan joihinkin toimialueen ohjauskoneisiin (esimerkiksi haarasivustojen kaikkiin toimialueen ohjauskoneisiin). Samaan aikaan ATA-yhdyskäytävät valvovat muita toimialueen ohjauskoneita (esimerkiksi suurempia toimialueen ohjauskoneita päätietokeskuksissasi).

Kaikissa näissä tilanteissa kaikki yhdyskäytävät lähettävät tietonsa ATA-keskukseen.

ATA-keskus

ATA-keskus suorittaa seuraavat funktiot:

  • Hallitsee ATA-yhdyskäytävän ja ATA:n kevyen yhdyskäytävän määritysasetuksia

  • Vastaanota tietoja ATA-yhdyskäytäviä ja ATA:n kevyitä yhdyskäytäviä varten

  • Havaitsee epäilyttävät toimet

  • Suorittaa ATA:n käyttäytymisen koneoppimisen algoritmeja epänormaalin toiminnan havaitsemiseksi

  • Suorittaa erilaisia deterministisiä algoritmeja havaitakseen kehittyneet hyökkäykset hyökkäyksen tappoketjun perusteella

  • Suorittaa ATA-konsolin

  • Valinnainen: ATA-keskus voidaan määrittää lähettämään sähköpostiviestejä ja tapahtumia, kun epäilyttävää toimintaa havaitaan.

ATA-keskus vastaanottaa jäsennysliikenteen ATA-yhdyskäytävästä ja ATA:n kevyestä yhdyskäytävästä. Sen jälkeen se suorittaa profiloinnin, suorittaa deterministisen tunnistuksen ja suorittaa koneoppimisen ja käyttäytymisalgoritmit oppiakseen verkostasi, mahdollistaakseen poikkeamien havaitsemisen ja varoittaakseen epäilyttävistä toimista.

Kirjoita Kuvaus
Entiteetin vastaanottaja Vastaanottaa entiteettierät kaikista ATA-yhdyskäytäviä ja ATA-kevyitä yhdyskäytäviä.
Verkon toiminnan suoritin Käsittelee kunkin vastaanotetun erän kaikki verkkotoiminnot. Esimerkiksi mahdollisesti eri tietokoneista suoritettujen Kerberos-vaiheiden vastaavuus
Entiteetin profilointi Profiloi kaikki yksilölliset entiteetit liikenteen ja tapahtumien mukaan. Esimerkiksi ATA päivittää kirjautuneiden tietokoneiden luettelon kullekin käyttäjäprofiilille.
Keskustietokanta Hallitsee verkkotoimintojen ja tapahtumien kirjoitusprosessia tietokantaan.
Database ATA käyttää MongoDB:a kaikkien järjestelmän tietojen tallentamiseen:

- Verkkotoiminnot
- Tapahtuman aktiviteetit
- yksilölliset entiteetit
- Epäilyttävät toimet
- ATA-määritys
Ilmaisimet Ilmaisimet käyttävät koneoppimisalgoritmeja ja deterministisiä sääntöjä löytääkseen epäilyttävää toimintaa ja epänormaalia käyttäjän käyttäytymistä verkossasi.
ATA-konsoli ATA-konsolin avulla määritetään ATA ja valvotaan epäilyttävää toimintaa, jonka ATA on havainnut verkossasi. ATA-konsoli ei ole riippuvainen ATA Center -palvelusta, ja se suoritetaan silloinkin, kun palvelu pysäytetään, kunhan se voi olla yhteydessä tietokantaan.

Ota huomioon seuraavat ehdot, kun päätät, kuinka monta ATA-keskusta otetaan käyttöön verkossasi:

  • Yksi ATA-keskus voi valvoa yhtä Active Directory -toimialuepuuryhmää. Jos sinulla on useampi kuin yksi Active Directory -puuryhmä, tarvitset vähintään yhden ATA-keskuksen Active Directory -toimialuepuuryhmässä.

  • Suurissa Active Directory -käyttöönotoissa yksittäinen ATA-keskus ei ehkä pysty käsittelemään kaikkien toimialueen ohjauskoneiden kaikkea liikennettä. Tässä tapauksessa tarvitaan useita ATA-keskuksia. ATA-keskusten määrä tulee sanella ATA-kapasiteetin suunnittelun mukaan.

ATA-yhdyskäytävä ja ATA-kevyt yhdyskäytävä

Yhdyskäytävän ydintoiminnot

ATA-yhdyskäytävällä ja ATA:n kevyellä yhdyskäytävällä on samat perustoiminnot:

  • Sieppaa ja tarkista toimialueen ohjauskoneen verkkoliikenne. Tämä on porttipelattua liikennettä ATA-yhdyskäytäville ja toimialueen ohjauskoneen paikallista liikennettä ATA Lightweight Gateways -palvelussa.

  • Windows-tapahtumien vastaanottaminen SIEM- tai Syslog-palvelimista tai toimialueen ohjauskoneista Windowsin tapahtumien välittämisen avulla

  • Käyttäjien ja tietokoneiden tietojen noutaminen Active Directory -toimialueelta

  • Verkkoentiteettien (käyttäjien, ryhmien ja tietokoneiden) resoluutio

  • Asianmukaisten tietojen siirtäminen ATA-keskukseen

  • Valvo useita toimialueen ohjauskoneita yhdestä ATA-yhdyskäytävästä tai valvo yhtä toimialueen ohjauskonetta ATA Lightweight Gatewaylle.

ATA-yhdyskäytävä vastaanottaa verkkoliikennettä ja Windows-tapahtumia verkostasi ja käsittelee sitä seuraavissa pääosissa:

Kirjoita Kuvaus
Verkon kuuntelutoiminto Verkon kuuntelutoiminto tallentaa verkkoliikenteen ja jäsentää liikenteen. Tämä on paljon suoritintehtävä, joten on erityisen tärkeää tarkistaa ATA-edellytykset ATA-yhdyskäytävää tai ATA-kevyttä yhdyskäytävää suunniteltaessa.
Tapahtumien kuuntelutoiminto Tapahtumien kuuntelutoiminto tallentaa ja jäsentää verkon SIEM-palvelimesta välitetyt Windows-tapahtumat.
Windowsin tapahtumalokin lukija Windowsin tapahtumalokin lukija lukee ja jäsentää ATA-yhdyskäytävän Windows-tapahtumalokiin välitetyt Windows-tapahtumat toimialueen ohjauskoneista.
Verkkotoiminnan kääntäjä Muuntaa jäsenntyneen liikenteen loogiseksi esitykseksi ATA:n käyttämästä liikenteestä (NetworkActivity).
Entiteetin selvitystoiminto Entity Resolver ottaa jäsenntyneet tiedot (verkkoliikenne ja tapahtumat) ja ratkaisee ne Active Directoryn kanssa tili- ja käyttäjätietojen löytämiseksi. Sen jälkeen se vastaa jäsennetyistä tiedoista löytymiä IP-osoitteita. Entity Resolver tarkistaa pakettiotsikot tehokkaasti, jotta todennuspaketteja voidaan jäsentää konenimille, ominaisuuksille ja käyttäjätiteeteille. Entity Resolver yhdistää jäsenntyneet todennuspaketit todellisen paketin tietoihin.
Entiteetin lähettäjä Entiteetin lähettäjä lähettää jäsennyt ja täsmäytetyt tiedot ATA-keskukseen.

ATA:n kevyen yhdyskäytävän ominaisuudet

Seuraavat ominaisuudet toimivat eri tavalla sen mukaan, käytätkö ATA-yhdyskäytävää vai ATA-kevyttä yhdyskäytävää.

  • ATA Lightweight Gateway voi lukea tapahtumia paikallisesti ilman, että tapahtumien edelleenlähetystä tarvitsee määrittää.

  • Toimialueen synkronointiohjelman ehdokas
    Toimialueen synkronointiohjelman yhdyskäytävä on vastuussa kaikkien entiteettien synkronoinnista tietystä Active Directory -toimialueesta ennakoivasti (samanlainen kuin mekanismi, jota toimialueen ohjauskoneet käyttävät itse replikointiin). Yksi yhdyskäytävä valitaan hakijaluettelosta satunnaisesti toimialueen synkronointiohjelmaan.
    Jos synkronointiohjelma on offline-tilassa yli 30 minuuttia, toinen ehdokas valitaan sen sijaan. Jos tietylle toimialueelle ei ole käytettävissä toimialueen synkronointiohjelman hakijaa, ATA synkronoi entiteetit ja niiden muutokset ennakoivasti, mutta ATA noutaa uudet entiteetit reaktiivisesti, koska ne havaitaan valvotussa liikenteessä.

    Kun toimialueen synkronointiohjelmaa ei ole käytettävissä, entiteetin hakeminen ilman siihen liittyvää liikennettä ei näytä tuloksia.

    Oletusarvoisesti kaikki ATA-yhdyskäytävät ovat toimialueen synkronointiohjelman ehdokkaita.

    Koska kaikki ATA:n kevyet yhdyskäytävät otetaan todennäköisemmin käyttöön haarasivustoissa ja pienissä toimialueen ohjauskoneissa, ne eivät ole oletusarvoisesti synkronointiohjelmaehdokkaita.

    Ympäristössä, jossa on vain kevyitä yhdyskäytäviä, on suositeltavaa määrittää synkronointiohjelmaehdokkaaksi kaksi yhdyskäytävää, joissa yksi Kevyt yhdyskäytävä on synkronointiohjelman oletusehdokas ja toinen on varmuuskopio, jos oletus on offline-tilassa yli 30 minuutin ajan.

  • Resurssirajoitukset
    ATA Lightweight Gateway sisältää valvontakomponentin, joka arvioi käytettävissä olevan käsittely- ja muistikapasiteetin toimialueen ohjauskoneessa, jossa se on käynnissä. Valvontaprosessi suoritetaan 10 sekunnin välein, ja se päivittää dynaamisesti suorittimen ja muistin käyttökiintiön ATA:n kevyessä yhdyskäytäväprosessissa. Näin varmistetaan, että toimialueen ohjauskoneessa on milloin tahansa vähintään 15 % ilmaisista käsittely- ja muistiresursseista.

    Toimialueen ohjauskoneessa tapahtui mitä tahansa, tämä prosessi vapauttaa aina resursseja sen varmistamiseksi, että toimialueen ohjauskoneen ydintoiminnot eivät muutu.

    Jos tämä aiheuttaa sen, että ATA:n kevyen yhdyskäytävän resurssit loppuvat, vain osittaista liikennettä valvotaan ja kuntoilmoitus "Pudotettu portti peilattu verkkoliikenne" näkyy Kunto-sivulla.

Seuraavassa taulukossa on esimerkki toimialueen ohjauskoneesta, jolla on käytettävissään riittävästi käsittelyresurssia suuremman kiintiön mahdollistamiseksi. Tällä hetkellä tarvitaan, jotta kaikkea liikennettä valvotaan:

Active Directory (Lsass.exe) ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Sekalaiset (muut prosessit) ATA:n kevyt yhdyskäytäväkiintiö Yhdyskäytävän pudottaminen
30% 20% 10% 45% Ei

Jos Active Directory tarvitsee enemmän laskentaa, ATA:n kevyen yhdyskäytävän tarvitsemaa kiintiötä vähennetään. Seuraavassa esimerkissä ATA-kevyt yhdyskäytävä tarvitsee enemmän kuin määritetty kiintiö ja jättää osan liikenteestä pois (valvoo vain osittaista liikennettä):

Active Directory (Lsass.exe) ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Sekalaiset (muut prosessit) ATA:n kevyt yhdyskäytäväkiintiö Yhdyskäytävän pudottaminen
60% 15% 10% 15% Kyllä

Verkko-osat

Jotta voit käyttää ATA:a, varmista, että seuraavat osat on määritetty.

Portin peilaus

Jos käytät ATA-yhdyskäytäviä, sinun on määritettävä porttien peilaus toimialueen ohjauskoneille, joita valvotaan, ja määritettävä ATA-yhdyskäytävä kohteeksi fyysisten tai virtuaalisten valitsimien avulla. Toinen vaihtoehto on käyttää verkon TAP-valikoita. ATA toimii, jos joitakin toimialueen ohjauskoneita valvotaan, mutta kaikkia niitä ei valvota, mutta tunnistuksia ei voi käyttää yhtä tehokkaasti.

Vaikka portin peilaus peilaa kaiken toimialueen ohjauskoneen verkkoliikenteen ATA-yhdyskäytävään, vain pieni prosenttiosuus tästä liikenteestä lähetetään ja pakataan ATA-keskukseen analyysia varten.

Toimialueen ohjauskoneet ja ATA-yhdyskäytävät voivat olla fyysisiä tai virtuaalisia. Lisätietoja on kohdassa Porttien peilauksen määrittäminen .

Tapahtumia

Pass-the-Hash-, Brute Force-, Modification to sensitive groups- ja Honey Tokens -tunnuksen ATA-tunnistuksen parantamiseksi ATA tarvitsee seuraavat Windows-tapahtumat: 4776, 4732, 4733, 4728, 4729, 4756, 4757. ATA-kevyt yhdyskäytävä voi joko lukea ne automaattisesti tai jos ATA-kevyttä yhdyskäytävää ei ole otettu käyttöön, se voidaan lähettää ATA-yhdyskäytävään kahdella tavalla määrittämällä ATA-yhdyskäytävä kuuntelemaan SIEM-tapahtumia tai määrittämällä Windowsin tapahtumien edelleenlähetys.

  • ATA-yhdyskäytävän määrittäminen kuuntelemaan SIEM-tapahtumia
    Määritä SIEM välittää tietyt Windows-tapahtumat ATA:lle. ATA tukee useita SIEM-toimittajia. Lisätietoja on kohdassa Tapahtumakokoelman määrittäminen.

  • Määritetään Windowsin tapahtumien edelleenlähetystä
    Toinen tapa, jolla ATA voi saada tapahtumasi, on määrittää toimialueen ohjauskoneet välittääkseen Windows-tapahtumat 4776, 4732, 4733, 4728, 4729, 4756 ja 4757 ATA-yhdyskäytävään. Tämä on erityisen hyödyllistä, jos sinulla ei ole SIEM:tä tai jos ATA ei tällä hetkellä tue SIEM:täsi. Lisätietoja Windowsin tapahtumien edelleenlähetysmäärityksestä ATA:ssa on kohdassa Windows-tapahtumien edelleenlähetysten määrittäminen. Tämä koskee vain fyysisiä ATA-yhdyskäytäviä – ei ATA:n kevyttä yhdyskäytävää.

Katso myös