ATA Architecture
S’applique à : Advanced Threat Analytics version 1.9
L’architecture Advanced Threat Analytics est détaillée dans ce diagramme :
ATA surveille le trafic réseau de votre contrôleur de domaine en utilisant la mise en miroir de ports vers une passerelle ATA à l’aide de commutateurs physiques ou virtuels. Si vous déployez la passerelle légère ATA directement sur vos contrôleurs de domaine, cela supprime la configuration requise pour la mise en miroir des ports. En outre, ATA peut tirer parti des événements Windows (transférés directement à partir de vos contrôleurs de domaine ou d’un serveur SIEM) et analyser les données à la recherche d’attaques et de menaces. Cette section décrit le flux de capture réseau et d’événements et explore les fonctionnalités des composants main d’ATA : la passerelle ATA, la passerelle légère ATA (qui a les mêmes fonctionnalités de base que la passerelle ATA) et le centre ATA.
Composants ATA
ATA se compose des composants suivants :
-
Centre ATA
Le centre ATA reçoit des données de toutes les passerelles ATA et/ou passerelles légères ATA que vous déployez. -
Passerelle ATA
La passerelle ATA est installée sur un serveur dédié qui surveille le trafic de vos contrôleurs de domaine à l’aide de la mise en miroir de ports ou d’un tap réseau. -
Passerelle légère ATA
La passerelle légère ATA est installée directement sur vos contrôleurs de domaine et surveille directement leur trafic, sans avoir besoin d’un serveur dédié ou d’une configuration de mise en miroir de ports. Il s’agit d’une alternative à la passerelle ATA.
Un déploiement ATA peut se composer d’un seul centre ATA connecté à toutes les passerelles ATA, à toutes les passerelles légères ATA ou à une combinaison de passerelles ATA et de passerelles légères ATA.
Options de déploiement
Vous pouvez déployer ATA à l’aide de la combinaison de passerelles suivante :
-
Utilisation uniquement de passerelles ATA
Votre déploiement ATA ne peut contenir que des passerelles ATA, sans passerelle légère ATA : tous les contrôleurs de domaine doivent être configurés pour activer la mise en miroir de ports vers une passerelle ATA ou les TAPs réseau doivent être en place. -
Utilisation uniquement de passerelles légères ATA
Votre déploiement ATA peut contenir uniquement des passerelles légères ATA : les passerelles légères ATA sont déployées sur chaque contrôleur de domaine et aucune configuration de serveurs ou de mise en miroir de ports supplémentaires n’est nécessaire. -
Utilisation des passerelles ATA et des passerelles légères ATA
Votre déploiement ATA comprend à la fois des passerelles ATA et des passerelles légères ATA. Les passerelles légères ATA sont installées sur certains de vos contrôleurs de domaine (par exemple, tous les contrôleurs de domaine de vos sites de succursale). En même temps, d’autres contrôleurs de domaine sont surveillés par des passerelles ATA (par exemple, les plus grands contrôleurs de domaine dans vos centres de données main).
Dans tous ces scénarios, toutes les passerelles envoient leurs données au centre ATA.
Centre ATA
Le centre ATA effectue les fonctions suivantes :
Gère les paramètres de configuration de la passerelle ATA et de la passerelle légère ATA
Reçoit des données des passerelles ATA et des passerelles légères ATA
Détecte les activités suspectes
Exécute des algorithmes de Machine Learning comportementaux ATA pour détecter les comportements anormaux
Exécute différents algorithmes déterministes pour détecter les attaques avancées basées sur la chaîne de destruction des attaques
Exécute la console ATA
Facultatif : le centre ATA peut être configuré pour envoyer des e-mails et des événements lorsqu’une activité suspecte est détectée.
Le centre ATA reçoit le trafic analysé de la passerelle ATA et de la passerelle légère ATA. Il effectue ensuite le profilage, exécute la détection déterministe et exécute des algorithmes de machine learning et de comportement pour en savoir plus sur votre réseau, activer la détection des anomalies et vous avertir des activités suspectes.
| Type | Description |
|---|---|
| Récepteur d’entité | Reçoit des lots d’entités de toutes les passerelles ATA et passerelles légères ATA. |
| Processeur d’activités réseau | Traite toutes les activités réseau au sein de chaque lot reçu. Par exemple, la correspondance entre les différentes étapes Kerberos effectuées à partir d’ordinateurs potentiellement différents |
| Entity Profiler | Profile toutes les entités uniques en fonction du trafic et des événements. Par exemple, ATA met à jour la liste des ordinateurs connectés pour chaque profil utilisateur. |
| Base de données centrale | Gère le processus d’écriture des activités et des événements réseau dans la base de données. |
| Database | ATA utilise MongoDB pour stocker toutes les données dans le système : - Activités réseau - Activités événementielles - Entités uniques - Activités suspectes - Configuration ATA |
| Détecteurs | Les détecteurs utilisent des algorithmes d’apprentissage automatique et des règles déterministes pour rechercher les activités suspectes et le comportement anormal de l’utilisateur dans votre réseau. |
| ATA Console | La console ATA est destinée à la configuration d’ATA et à la surveillance des activités suspectes détectées par ATA sur votre réseau. La console ATA ne dépend pas du service du centre ATA et s’exécute même lorsque le service est arrêté, tant qu’il peut communiquer avec la base de données. |
Tenez compte des critères suivants pour déterminer le nombre de centres ATA à déployer sur votre réseau :
Un centre ATA peut surveiller une seule forêt Active Directory. Si vous avez plusieurs forêts Active Directory, vous avez besoin d’un minimum d’un centre ATA par forêt Active Directory.
Dans les déploiements Active Directory volumineux, un seul centre ATA peut ne pas être en mesure de gérer tout le trafic de tous vos contrôleurs de domaine. Dans ce cas, plusieurs centres ATA sont nécessaires. Le nombre de centres ATA doit être dicté par la planification de la capacité ATA.
Passerelle ATA et passerelle légère ATA
Fonctionnalités de base de la passerelle
La passerelle ATA et la passerelle légère ATA ont les mêmes fonctionnalités de base :
Capturez et inspectez le trafic réseau du contrôleur de domaine. Il s’agit du trafic mis en miroir de ports pour les passerelles ATA et du trafic local du contrôleur de domaine dans les passerelles légères ATA.
Recevoir des événements Windows à partir de serveurs SIEM ou Syslog, ou de contrôleurs de domaine à l’aide du transfert d’événements Windows
Récupérer des données sur les utilisateurs et les ordinateurs à partir du domaine Active Directory
Effectuer la résolution des entités réseau (utilisateurs, groupes et ordinateurs)
Transférer les données pertinentes vers le centre ATA
Surveillez plusieurs contrôleurs de domaine à partir d’une seule passerelle ATA, ou surveillez un contrôleur de domaine unique pour une passerelle légère ATA.
La passerelle ATA reçoit le trafic réseau et les événements Windows de votre réseau et les traite dans les composants main suivants :
| Type | Description |
|---|---|
| Écouteur réseau | L’écouteur réseau capture le trafic réseau et analyse le trafic. Il s’agit d’une tâche gourmande en ressources processeur. Il est donc particulièrement important de case activée prérequis ATA lors de la planification de votre passerelle ATA ou passerelle légère ATA. |
| Écouteur d’événements | L’écouteur d’événements capture et analyse les événements Windows transférés à partir d’un serveur SIEM sur votre réseau. |
| Lecteur du journal des événements Windows | Le lecteur du journal des événements Windows lit et analyse les événements Windows transférés vers le journal des événements Windows de la passerelle ATA à partir des contrôleurs de domaine. |
| Network Activity Translator | Convertit le trafic analysé en une représentation logique du trafic utilisé par ATA (NetworkActivity). |
| Programme de résolution d’entités | Le programme de résolution d’entités prend les données analysées (trafic et événements réseau) et les résout avec Active Directory pour rechercher les informations de compte et d’identité. Il est ensuite mis en correspondance avec les adresses IP trouvées dans les données analysées. Le programme de résolution d’entités inspecte efficacement les en-têtes de paquets pour permettre l’analyse des paquets d’authentification pour les noms de machine, les propriétés et les identités. Le programme de résolution d’entités combine les paquets d’authentification analysés avec les données du paquet réel. |
| Expéditeur d’entité | L’expéditeur de l’entité envoie les données analysées et mises en correspondance au centre ATA. |
Fonctionnalités de la passerelle légère ATA
Les fonctionnalités suivantes fonctionnent différemment selon que vous exécutez une passerelle ATA ou une passerelle légère ATA.
La passerelle légère ATA peut lire les événements localement, sans avoir à configurer le transfert d’événements.
Candidat synchronisateur de domaine
La passerelle de synchronisateur de domaine est chargée de synchroniser de manière proactive toutes les entités d’un domaine Active Directory spécifique (de façon similaire au mécanisme utilisé par les contrôleurs de domaine eux-mêmes pour la réplication). Une passerelle est choisie de manière aléatoire, dans la liste des candidats, pour servir de synchronisateur de domaine.
Si le synchronisateur est hors connexion pendant plus de 30 minutes, un autre candidat est choisi à la place. Si aucun candidat de synchronisateur de domaine n’est disponible pour un domaine spécifique, ATA synchronise de manière proactive les entités et leurs modifications, mais ATA récupère de manière réactive les nouvelles entités à mesure qu’elles sont détectées dans le trafic surveillé.Lorsqu’aucun synchronisateur de domaine n’est disponible, la recherche d’une entité sans trafic associé n’affiche aucun résultat.
Par défaut, toutes les passerelles ATA sont candidates au synchronisateur de domaine.
Étant donné que toutes les passerelles légères ATA sont plus susceptibles d’être déployées sur des sites de succursale et sur de petits contrôleurs de domaine, elles ne sont pas des candidats synchronisateurs par défaut.
Dans un environnement avec uniquement des passerelles légères, il est recommandé d’affecter deux passerelles en tant que candidats synchronisateur, où une passerelle légère est le candidat du synchronisateur par défaut et une autre est la sauvegarde si la passerelle par défaut est hors connexion pendant plus de 30 minutes.
Limitations des ressources
La passerelle légère ATA comprend un composant de surveillance qui évalue la capacité de calcul et de mémoire disponible sur le contrôleur de domaine sur lequel elle s’exécute. Le processus de surveillance s’exécute toutes les 10 secondes et met à jour dynamiquement le quota d’utilisation du processeur et de la mémoire sur le processus de passerelle légère ATA pour vous assurer qu’à un moment donné, le contrôleur de domaine dispose d’au moins 15 % des ressources de calcul et de mémoire libres.Peu importe ce qui se passe sur le contrôleur de domaine, ce processus libère toujours des ressources pour s’assurer que les fonctionnalités de base du contrôleur de domaine ne sont pas affectées.
Si cela entraîne l’épuisement de ressources de la passerelle légère ATA, seul le trafic partiel est surveillé et l’alerte d’intégrité « Trafic réseau mis en miroir des ports supprimés » s’affiche dans la page Intégrité.
Le tableau suivant fournit un exemple de contrôleur de domaine avec suffisamment de ressources de calcul disponibles pour permettre un quota plus élevé qui est actuellement nécessaire, afin que tout le trafic soit surveillé :
| Active Directory (Lsass.exe) | Passerelle légère ATA (Microsoft.Tri.Gateway.exe) | Divers (autres processus) | Quota de passerelle légère ATA | Suppression de la passerelle |
|---|---|---|---|---|
| 30% | 20% | 10 % | 45% | Non |
Si Active Directory a besoin de davantage de calcul, le quota requis par la passerelle légère ATA est réduit. Dans l’exemple suivant, la passerelle légère ATA a besoin de plus que le quota alloué et supprime une partie du trafic (analyse uniquement du trafic partiel) :
| Active Directory (Lsass.exe) | Passerelle légère ATA (Microsoft.Tri.Gateway.exe) | Divers (autres processus) | Quota de passerelle légère ATA | La passerelle est-elle en cours de suppression |
|---|---|---|---|---|
| 60% | 15 % | 10 % | 15 % | Oui |
Vos composants réseau
Pour utiliser ATA, veillez à case activée que les composants suivants sont configurés.
Mise en miroir de ports
Si vous utilisez des passerelles ATA, vous devez configurer la mise en miroir de ports pour les contrôleurs de domaine surveillés et définir la passerelle ATA comme destination à l’aide des commutateurs physiques ou virtuels. Une autre option consiste à utiliser des TAPs réseau. ATA fonctionne si certains de vos contrôleurs de domaine, mais pas tous, sont surveillés, mais que les détections sont moins efficaces.
Bien que la mise en miroir de ports reflète tout le trafic réseau du contrôleur de domaine vers la passerelle ATA, seul un petit pourcentage de ce trafic est ensuite envoyé, compressé, au centre ATA à des fins d’analyse.
Vos contrôleurs de domaine et les passerelles ATA peuvent être physiques ou virtuelles. Pour plus d’informations, consultez Configurer la mise en miroir de ports .
Événements
Pour améliorer la détection ATA de Pass-the-Hash, Brute Force, Modification de groupes sensibles et Honey Tokens, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757. Celles-ci peuvent être lues automatiquement par la passerelle légère ATA ou, si la passerelle légère ATA n’est pas déployée, elles peuvent être transférées à la passerelle ATA de l’une des deux manières suivantes : en configurant la passerelle ATA pour écouter les événements SIEM ou en configurant le transfert d’événements Windows.
Configuration de la passerelle ATA pour écouter les événements SIEM
Configurez votre SIEM pour transférer des événements Windows spécifiques à ATA. ATA prend en charge un certain nombre de fournisseurs SIEM. Pour plus d’informations, consultez Configurer la collecte d’événements.Configuration du transfert d’événements Windows
Une autre façon pour ATA d’obtenir vos événements consiste à configurer vos contrôleurs de domaine pour transférer les événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 à votre passerelle ATA. Cela est particulièrement utile si vous n’avez pas de SIEM ou si votre SIEM n’est pas pris en charge actuellement par ATA. Pour terminer la configuration du transfert d’événements Windows dans ATA, consultez Configuration du transfert d’événements Windows. Cela s’applique uniquement aux passerelles ATA physiques, et non à la passerelle légère ATA.