Condividi tramite


Architettura ATA

Si applica a: Advanced Threat Analytics versione 1.9

L'architettura di Advanced Threat Analytics è descritta in dettaglio in questo diagramma:

Diagramma della topologia dell'architettura ATA.

ATA monitora il traffico di rete del controller di dominio usando il mirroring delle porte in un gateway ATA usando commutatori fisici o virtuali. Se si distribuisce il gateway ATA Lightweight direttamente nei controller di dominio, viene rimosso il requisito per il mirroring delle porte. Inoltre, ATA può sfruttare gli eventi di Windows (inoltrati direttamente dai controller di dominio o da un server SIEM) e analizzare i dati per individuare attacchi e minacce. Questa sezione descrive il flusso dell'acquisizione di rete e di eventi ed esegue il drill-down per descrivere le funzionalità dei componenti principali di ATA: il gateway ATA, il gateway ATA Lightweight (che ha la stessa funzionalità di base del gateway ATA) e il Centro ATA.

Diagramma del flusso del traffico ATA.

Componenti ATA

ATA è costituito dai componenti seguenti:

  • Centro ATA
    ATA Center riceve i dati da tutti i gateway ATA e/o dai gateway ATA Lightweight distribuiti.
  • ATA Gateway
    Il gateway ATA viene installato in un server dedicato che monitora il traffico dai controller di dominio usando il mirroring delle porte o un TAP di rete.
  • ATA Lightweight Gateway
    Il gateway ATA Lightweight viene installato direttamente nei controller di dominio e ne monitora direttamente il traffico, senza la necessità di un server dedicato o di una configurazione del mirroring delle porte. È un'alternativa al gateway ATA.

Una distribuzione ATA può essere costituita da un singolo centro ATA connesso a tutti i gateway ATA, a tutti i gateway ATA Lightweight o a una combinazione di gateway ATA e gateway ATA Lightweight.

Opzioni di distribuzione

È possibile distribuire ATA usando la combinazione di gateway seguente:

  • Uso solo di gateway ATA
    La distribuzione ATA può contenere solo gateway ATA, senza gateway ATA Lightweight: tutti i controller di dominio devono essere configurati per abilitare il mirroring delle porte in un gateway ATA o devono essere presenti i TAP di rete.
  • Uso solo di gateway ATA Lightweight
    La distribuzione ATA può contenere solo gateway ATA Lightweight: i gateway ATA Lightweight vengono distribuiti in ogni controller di dominio e non è necessaria alcuna configurazione aggiuntiva di server o mirroring delle porte.
  • Uso sia dei gateway ATA che dei gateway ATA Lightweight
    La distribuzione ATA include sia gateway ATA che gateway ATA Lightweight. I gateway ATA Lightweight vengono installati in alcuni controller di dominio, ad esempio in tutti i controller di dominio nei siti di succursali. Allo stesso tempo, altri controller di dominio vengono monitorati dai gateway ATA, ad esempio i controller di dominio più grandi nei data center principali.

In tutti questi scenari, tutti i gateway inviano i propri dati al Centro ATA.

Centro ATA

Il Centro ATA esegue le funzioni seguenti:

  • Gestisce le impostazioni di configurazione del gateway ATA e del gateway ATA Lightweight

  • Riceve i dati dai gateway ATA e dai gateway ATA Lightweight

  • Rileva attività sospette

  • Esegue algoritmi di Machine Learning comportamentali ATA per rilevare comportamenti anomali

  • Esegue vari algoritmi deterministici per rilevare attacchi avanzati basati sulla kill chain degli attacchi

  • Esegue la console ATA

  • Facoltativo: ATA Center può essere configurato per inviare messaggi di posta elettronica ed eventi quando viene rilevata un'attività sospetta.

ATA Center riceve il traffico analizzato dal gateway ATA e dal gateway ATA Lightweight. Esegue quindi la profilatura, esegue il rilevamento deterministico ed esegue machine learning e algoritmi comportamentali per conoscere la rete, abilitare il rilevamento di anomalie e segnalare attività sospette.

Tipo Descrizione
Ricevitore di entità Riceve batch di entità da tutti i gateway ATA e dai gateway ATA Lightweight.
Processore di attività di rete Elabora tutte le attività di rete all'interno di ogni batch ricevuto. Ad esempio, la corrispondenza tra i vari passaggi Kerberos eseguiti da computer potenzialmente diversi
Entity Profiler Profila tutte le entità univoche in base al traffico e agli eventi. Ad esempio, ATA aggiorna l'elenco dei computer connessi per ogni profilo utente.
Database centrale Gestisce il processo di scrittura delle attività di rete e degli eventi nel database.
Database ATA utilizza MongoDB ai fini dell'archiviazione di tutti i dati nel sistema:

- Attività di rete
- Attività dell'evento
- Entità univoche
- Attività sospette
- Configurazione ATA
Rivelatori I rilevatori usano algoritmi di Machine Learning e regole deterministiche per trovare attività sospette e comportamenti anomali degli utenti nella rete.
ATA Console La console ATA consente di configurare ATA e monitorare le attività sospette rilevate da ATA nella rete. La console ATA non dipende dal servizio ATA Center ed è in esecuzione anche quando il servizio viene arrestato, purché possa comunicare con il database.

Quando si decide il numero di centri ATA da distribuire nella rete, prendere in considerazione i criteri seguenti:

  • Un centro ATA può monitorare una singola foresta di Active Directory. Se sono presenti più foreste di Active Directory, è necessario almeno un centro ATA per ogni foresta active directory.

  • Nelle distribuzioni di Active Directory di grandi dimensioni, un singolo centro ATA potrebbe non essere in grado di gestire tutto il traffico di tutti i controller di dominio. In questo caso, sono necessari più centri ATA. Il numero di centri ATA deve essere determinato dalla pianificazione della capacità ATA.

Gateway ATA e gateway ATA Lightweight

Funzionalità di base del gateway

Il gateway ATA e il gateway ATA Lightweight hanno entrambe le stesse funzionalità di base:

  • Acquisire e controllare il traffico di rete del controller di dominio. Si tratta del traffico con mirroring delle porte per i gateway ATA e del traffico locale del controller di dominio nei gateway ATA Lightweight.

  • Ricevere eventi di Windows da server SIEM o Syslog o da controller di dominio tramite Inoltro eventi di Windows

  • recuperare dati relativi a utenti e computer da Active Directory Domain

  • eseguire la risoluzione delle entità di rete (utenti, gruppi e computer)

  • Trasferire i dati rilevanti al Centro ATA

  • Monitorare più controller di dominio da un singolo gateway ATA o monitorare un singolo controller di dominio per un gateway ATA Lightweight.

Il gateway ATA riceve il traffico di rete e gli eventi di Windows dalla rete e lo elabora nei componenti principali seguenti:

Tipo Descrizione
Listener di rete Il listener di rete acquisisce il traffico di rete e analizza il traffico. Si tratta di un'attività con utilizzo elevato della CPU, quindi è particolarmente importante controllare i prerequisiti ATA durante la pianificazione del gateway ATA o del gateway ATA Lightweight.
Listener di eventi Il listener di eventi acquisisce e analizza gli eventi di Windows inoltrati da un server SIEM nella rete.
Lettore log eventi di Windows Il lettore log eventi di Windows legge e analizza gli eventi di Windows inoltrati al registro eventi di Windows del gateway ATA dai controller di dominio.
Traduttore attività di rete Converte il traffico analizzato in una rappresentazione logica del traffico usato da ATA (NetworkActivity).
Sistema di risoluzione delle entità Il resolver di entità accetta i dati analizzati (traffico di rete ed eventi) e risolve i dati con Active Directory per trovare informazioni sull'account e sull'identità. Viene quindi confrontato con gli indirizzi IP trovati nei dati analizzati. Il resolver di entità controlla in modo efficiente le intestazioni dei pacchetti, per abilitare l'analisi dei pacchetti di autenticazione per nomi di computer, proprietà e identità. Entity Resolver combina i pacchetti di autenticazione analizzati con i dati nel pacchetto effettivo.
Mittente entità Il mittente dell'entità invia i dati analizzati e corrispondenti al Centro ATA.

Funzionalità del gateway ATA Lightweight

Le funzionalità seguenti funzionano in modo diverso a seconda che si esegua un gateway ATA o un gateway ATA Lightweight.

  • Il gateway ATA Lightweight può leggere gli eventi in locale, senza la necessità di configurare l'inoltro degli eventi.

  • Candidato del programma di sincronizzazione del dominio
    Il gateway del programma di sincronizzazione del dominio è responsabile della sincronizzazione proattiva di tutte le entità da un dominio Active Directory specifico(simile al meccanismo usato dai controller di dominio stessi per la replica). Un gateway viene scelto in modo casuale, dall'elenco dei candidati, per fungere da sincronizzatore di dominio.
    Se il programma di sincronizzazione è offline per più di 30 minuti, viene scelto un altro candidato. Se non è disponibile alcun candidato per il programma di sincronizzazione del dominio per un dominio specifico, ATA sincronizza in modo proattivo le entità e le relative modifiche, tuttavia ATA recupererà in modo reattivo le nuove entità man mano che vengono rilevate nel traffico monitorato.

    Quando non è disponibile alcun programma di sincronizzazione del dominio, la ricerca di un'entità senza traffico correlato non visualizza alcun risultato.

    Per impostazione predefinita, tutti i gateway ATA sono candidati al programma di sincronizzazione del dominio.

    Poiché è più probabile che tutti i gateway ATA Lightweight vengano distribuiti in siti di succursali e in controller di dominio di piccole dimensioni, non sono candidati per la sincronizzazione per impostazione predefinita.

    In un ambiente con solo gateway leggeri, è consigliabile assegnare due gateway come candidati di sincronizzazione, dove un gateway Lightweight è il candidato di sincronizzazione predefinito e uno è il backup nel caso in cui il valore predefinito sia offline per più di 30 minuti.

  • Limitazioni delle risorse
    Il gateway ATA Lightweight include un componente di monitoraggio che valuta la capacità di calcolo e memoria disponibile nel controller di dominio in cui è in esecuzione. Il processo di monitoraggio viene eseguito ogni 10 secondi e aggiorna dinamicamente la quota di utilizzo della CPU e della memoria nel processo del gateway ATA Lightweight per assicurarsi che in un determinato momento il controller di dominio disponga almeno del 15% delle risorse di calcolo e memoria gratuite.

    Indipendentemente da ciò che accade nel controller di dominio, questo processo libera sempre le risorse per assicurarsi che la funzionalità principale del controller di dominio non sia interessata.

    Se in questo modo il gateway ATA Lightweight esaurisce le risorse, viene monitorato solo il traffico parziale e nella pagina Integrità viene visualizzato l'avviso di integrità "Traffico di rete con mirroring della porta eliminata".

Nella tabella seguente viene fornito un esempio di controller di dominio con una risorsa di calcolo sufficiente per consentire una quota maggiore, quindi è attualmente necessario, in modo che tutto il traffico venga monitorato:

Active Directory (Lsass.exe) Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe) Varie (altri processi) ATA Lightweight Gateway Quota Eliminazione del gateway
30% 20% 10% 45% No

Se Active Directory richiede più risorse di calcolo, la quota necessaria per il gateway ATA Lightweight viene ridotta. Nell'esempio seguente, il gateway ATA Lightweight richiede più della quota allocata e elimina parte del traffico (monitorando solo il traffico parziale):

Active Directory (Lsass.exe) Gateway ATA Lightweight (Microsoft.Tri.Gateway.exe) Varie (altri processi) ATA Lightweight Gateway Quota Eliminazione del gateway
60% 15% 10% 15%

Componenti di rete

Per usare ATA, verificare che siano configurati i componenti seguenti.

Mirroring delle porte

Se si usano gateway ATA, è necessario configurare il mirroring delle porte per i controller di dominio monitorati e impostare il gateway ATA come destinazione usando i commutatori fisici o virtuali. Un'altra opzione consiste nell'usare i TAP di rete. ATA funziona se alcuni controller di dominio, ma non tutti, vengono monitorati, ma i rilevamenti sono meno efficaci.

Mentre il mirroring delle porte esegue il mirroring di tutto il traffico di rete del controller di dominio verso il gateway ATA, solo una piccola percentuale di tale traffico viene quindi inviata, compressa, ad ATA Center per l'analisi.

I controller di dominio e i gateway ATA possono essere fisici o virtuali. Per altre informazioni, vedere Configurare il mirroring delle porte .

Events

Per migliorare il rilevamento ATA di pass-the-hash, forza bruta, modifica a gruppi sensibili e token honey, ATA necessita dei seguenti eventi di Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Questi possono essere letti automaticamente dal gateway ATA Lightweight oppure nel caso in cui il gateway ATA Lightweight non venga distribuito, possono essere inoltrati al gateway ATA in uno dei due modi seguenti, configurando il gateway ATA per l'ascolto degli eventi SIEM o configurando l'inoltro degli eventi di Windows.

  • Configurazione del gateway ATA per l'ascolto degli eventi SIEM
    Configurare il SIEM per inoltrare eventi di Windows specifici ad ATA. ATA supporta un certo numero di fornitori SIEM. Per altre informazioni, vedere Configurare la raccolta di eventi.

  • Configurazione dell'inoltro di eventi di Windows
    Un altro modo in cui ATA può ottenere gli eventi consiste nel configurare i controller di dominio per inoltrare gli eventi di Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 al gateway ATA. Ciò è particolarmente utile se non si dispone di un SIEM o se il SIEM non è attualmente supportato da ATA. Per completare la configurazione dell'inoltro di eventi di Windows in ATA, vedere Configurazione dell'inoltro di eventi di Windows. Questo vale solo per i gateway ATA fisici, non per il gateway ATA Lightweight.

Vedere anche