ATA 아키텍처
적용 대상: Advanced Threat Analytics 버전 1.9
Advanced Threat Analytics 아키텍처는 다음 다이어그램에 자세히 설명되어 있습니다.
ATA는 물리적 또는 가상 스위치를 사용하여 ATA 게이트웨이에 대한 포트 미러링을 활용하여 도메인 컨트롤러 네트워크 트래픽을 모니터링합니다. 도메인 컨트롤러에 직접 ATA 경량 게이트웨이를 배포하는 경우 포트 미러링에 대한 요구 사항이 제거됩니다. 또한 ATA는 Windows 이벤트(도메인 컨트롤러 또는 SIEM 서버에서 직접 전달됨)를 활용하고 공격 및 위협에 대한 데이터를 분석할 수 있습니다. 이 섹션에서는 ATA 게이트웨이, ATA 게이트웨이와 동일한 핵심 기능을 사용하는 ATA 경량 게이트웨이 및 ATA 센터와 같은 ATA의 기본 구성 요소의 기능을 설명하기 위해 네트워크 및 이벤트 캡처 및 드릴다운의 흐름을 설명합니다.
ATA 구성 요소
ATA는 다음 구성 요소로 구성됩니다.
-
ATA 센터
ATA 센터는 배포하는 ATA 게이트웨이 및/또는 ATA 경량 게이트웨이에서 데이터를 받습니다. -
ATA 게이트웨이
ATA 게이트웨이는 포트 미러링 또는 네트워크 TAP를 사용하여 도메인 컨트롤러의 트래픽을 모니터링하는 전용 서버에 설치됩니다. -
ATA 경량 게이트웨이
ATA 경량 게이트웨이는 도메인 컨트롤러에 직접 설치되며 전용 서버 또는 포트 미러링 구성 없이 트래픽을 직접 모니터링합니다. ATA 게이트웨이의 대안입니다.
ATA 배포는 모든 ATA 게이트웨이, 모든 ATA 경량 게이트웨이 또는 ATA 게이트웨이와 ATA 경량 게이트웨이의 조합에 연결된 단일 ATA 센터로 구성됩니다.
배포 옵션
다음과 같은 게이트웨이 조합을 사용하여 ATA를 배포할 수 있습니다.
-
ATA 게이트웨이만 사용
ATA 배포는 ATA 경량 게이트웨이 없이 ATA 게이트웨이만 포함할 수 있습니다. ATA 게이트웨이 또는 네트워크TAP에 대한 포트 미러링을 사용하도록 모든 도메인 컨트롤러를 구성해야 합니다. -
ATA 경량 게이트웨이만 사용
ATA 배포에는 ATA 경량 게이트웨이만 포함될 수 있습니다. ATA 경량 게이트웨이는 각 도메인 컨트롤러에 배포되며 추가 서버 또는 포트 미러링 구성이 필요하지 않습니다. -
ATA 게이트웨이 및 ATA 경량 게이트웨이 모두 사용
ATA 배포에는 ATA 게이트웨이와 ATA 경량 게이트웨이가 모두 포함됩니다. ATA 경량 게이트웨이는 일부 도메인 컨트롤러(예: 분기 사이트의 모든 도메인 컨트롤러)에 설치됩니다. 동시에 다른 도메인 컨트롤러는 ATA 게이트웨이(예: 기본 데이터 센터의 더 큰 도메인 컨트롤러)에 의해 모니터링됩니다.
이러한 모든 시나리오에서 모든 게이트웨이는 ATA 센터에 데이터를 보냅니다.
ATA 센터
ATA 센터는 다음 함수를 수행합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이 구성 설정을 관리합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이에서 데이터를 받습니다.
의심스러운 활동을 검색합니다.
ATA 동작 기계 학습 알고리즘을 실행하여 비정상적인 동작 감지
다양한 결정적 알고리즘을 실행하여 공격 킬 체인을 기반으로 고급 공격을 검색합니다.
ATA 콘솔 실행
선택 사항: 의심스러운 활동이 감지되면 이메일 및 이벤트를 보내도록 ATA 센터를 구성할 수 있습니다.
ATA 센터는 ATA 게이트웨이 및 ATA 경량 게이트웨이에서 구문 분석된 트래픽을 수신합니다. 그런 다음 프로파일링을 수행하고, 결정적 검색을 실행하고, 기계 학습 및 행동 알고리즘을 실행하여 네트워크에 대해 알아보고, 변칙 검색을 사용하도록 설정하고, 의심스러운 활동을 경고합니다.
| 유형 | 설명 |
|---|---|
| 엔터티 수신기 | 모든 ATA 게이트웨이 및 ATA 경량 게이트웨이에서 엔터티의 일괄 처리를 받습니다. |
| 네트워크 활동 프로세서 | 수신된 각 일괄 처리 내의 모든 네트워크 활동을 처리합니다. 예를 들어 잠재적으로 다른 컴퓨터에서 수행된 다양한 Kerberos 단계 간의 일치 |
| 엔터티 프로파일러 | 트래픽 및 이벤트에 따라 모든 고유 엔터티를 프로파일합니다. 예를 들어 ATA는 각 사용자 프로필에 대해 로그온한 컴퓨터 목록을 업데이트합니다. |
| Center Database | 데이터베이스에 대한 네트워크 활동 및 이벤트의 쓰기 프로세스를 관리합니다. |
| Database | ATA는 시스템에 모든 데이터를 저장하기 위해 MongoDB를 활용합니다. - 네트워크 활동 - 이벤트 활동 - 고유 엔터티 - 의심스러운 활동 - ATA 구성 |
| 탐지기 | Detectors는 기계 학습 알고리즘 및 결정적 규칙을 사용하여 네트워크에서 의심스러운 활동 및 비정상적인 사용자 동작을 찾습니다. |
| ATA 콘솔 | ATA 콘솔은 ATA를 구성하고 네트워크에서 ATA에서 검색한 의심스러운 활동을 모니터링하기 위한 것입니다. ATA 콘솔은 ATA 센터 서비스에 종속되지 않으며 서비스가 중지된 경우에도 데이터베이스와 통신할 수 있는 한 실행됩니다. |
네트워크에 배포할 ATA 센터 수를 결정할 때 다음 조건을 고려합니다.
하나의 ATA 센터는 단일 Active Directory 포리스트를 모니터링할 수 있습니다. 둘 이상의 Active Directory 포리스트가 있는 경우 Active Directory 포리스트당 하나 이상의 ATA 센터가 필요합니다.
대규모 Active Directory 배포에서는 단일 ATA 센터가 모든 도메인 컨트롤러의 모든 트래픽을 처리하지 못할 수 있습니다. 이 경우 여러 ATA 센터가 필요합니다. ATA 센터의 수는 ATA 용량 계획에 따라 결정되어야 합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이
게이트웨이 핵심 기능
ATA 게이트웨이와 ATA 경량 게이트웨이는 모두 동일한 핵심 기능을 갖습니다.
도메인 컨트롤러 네트워크 트래픽을 캡처하고 검사합니다. ATA 게이트웨이에 대한 포트 미러 트래픽 및 ATA 경량 게이트웨이의 도메인 컨트롤러 로컬 트래픽입니다.
SIEM 또는 Syslog 서버 또는 Windows 이벤트 전달을 사용하여 도메인 컨트롤러에서 Windows 이벤트 수신
Active Directory 도메인에서 사용자 및 컴퓨터에 대한 데이터 검색
네트워크 엔터티(사용자, 그룹 및 컴퓨터)의 해결 수행
ATA 센터로 관련 데이터 전송
단일 ATA 게이트웨이에서 여러 도메인 컨트롤러를 모니터링하거나 ATA 경량 게이트웨이에 대한 단일 도메인 컨트롤러를 모니터링합니다.
ATA 게이트웨이는 네트워크에서 네트워크 트래픽 및 Windows 이벤트를 수신하고 다음 기본 구성 요소에서 처리합니다.
| 유형 | 설명 |
|---|---|
| 네트워크 수신기 | 네트워크 수신기는 네트워크 트래픽을 캡처하고 트래픽을 구문 분석합니다. 이는 CPU가 많은 작업이므로 ATA 게이트웨이 또는 ATA 경량 게이트웨이를 계획할 때 ATA 필수 구성 요소를 검사 것이 특히 중요합니다. |
| 이벤트 수신기 | 이벤트 수신기는 네트워크의 SIEM 서버에서 전달된 Windows 이벤트를 캡처하고 구문 분석합니다. |
| Windows 이벤트 로그 판독기 | Windows 이벤트 로그 판독기는 도메인 컨트롤러에서 ATA 게이트웨이의 Windows 이벤트 로그로 전달된 Windows 이벤트를 읽고 구문 분석합니다. |
| 네트워크 활동 번역기 | 구문 분석된 트래픽을 ATA(NetworkActivity)에서 사용하는 트래픽의 논리적 표현으로 변환합니다. |
| 엔터티 확인자 | Entity Resolver는 구문 분석된 데이터(네트워크 트래픽 및 이벤트)를 가져와 Active Directory로 데이터를 확인하여 계정 및 ID 정보를 찾습니다. 그런 다음 구문 분석된 데이터에 있는 IP 주소와 일치합니다. Entity Resolver는 패킷 헤더를 효율적으로 검사하여 컴퓨터 이름, 속성 및 ID에 대한 인증 패킷 구문 분석을 사용하도록 설정합니다. Entity Resolver는 구문 분석된 인증 패킷을 실제 패킷의 데이터와 결합합니다. |
| 엔터티 보낸 사람 | 엔터티 발신자는 구문 분석된 데이터와 일치하는 데이터를 ATA 센터로 보냅니다. |
ATA 경량 게이트웨이 기능
다음 기능은 ATA 게이트웨이 또는 ATA 경량 게이트웨이를 실행하는지에 따라 다르게 작동합니다.
ATA 경량 게이트웨이는 이벤트 전달을 구성할 필요 없이 이벤트를 로컬로 읽을 수 있습니다.
도메인 동기화 장치 후보
도메인 동기화 장치 게이트웨이는 특정 Active Directory 도메인의 모든 엔터티를 사전에 동기화하는 작업을 담당합니다(복제를 위해 도메인 컨트롤러 자체에서 사용하는 메커니즘과 유사). 도메인 동기화 장치 역할을 하려면 후보 목록에서 하나의 게이트웨이가 임의로 선택됩니다.
동기화 장치가 30분 이상 오프라인 상태인 경우 다른 후보가 대신 선택됩니다. 특정 도메인에 사용할 수 있는 도메인 동기화 장치 후보가 없는 경우 ATA는 엔터티와 해당 변경 내용을 사전에 동기화합니다. 그러나 ATA는 모니터링되는 트래픽에서 감지될 때 새 엔터티를 사후적으로 검색합니다.사용할 수 있는 도메인 동기화 장치가 없으면 관련 트래픽이 없는 엔터티를 검색하면 결과가 표시되지 않습니다.
기본적으로 모든 ATA 게이트웨이는 도메인 동기화 장치 후보입니다.
모든 ATA 경량 게이트웨이는 분기 사이트 및 소규모 도메인 컨트롤러에 배포될 가능성이 높기 때문에 기본적으로 동기화 장치 후보가 아닙니다.
경량 게이트웨이만 있는 환경에서는 두 개의 게이트웨이를 동기화 장치 후보로 할당하는 것이 좋습니다. 여기서 하나의 경량 게이트웨이는 기본 동기화기 후보이고 다른 하나는 기본값이 30분 이상 오프라인 상태인 경우 백업입니다.
리소스 제한 사항
ATA 경량 게이트웨이에는 실행 중인 도메인 컨트롤러에서 사용 가능한 컴퓨팅 및 메모리 용량을 평가하는 모니터링 구성 요소가 포함되어 있습니다. 모니터링 프로세스는 10초마다 실행되며 ATA 경량 게이트웨이 프로세스의 CPU 및 메모리 사용률 할당량을 동적으로 업데이트하여 지정된 시점에 도메인 컨트롤러에 무료 컴퓨팅 및 메모리 리소스가 15% 이상 있는지 확인합니다.도메인 컨트롤러에서 어떤 일이 발생하든 이 프로세스는 항상 리소스를 확보하여 도메인 컨트롤러의 핵심 기능이 영향을 받지 않도록 합니다.
이로 인해 ATA 경량 게이트웨이에 리소스가 부족해지면 부분 트래픽만 모니터링되고 상태 경고 "포트 미러된 네트워크 트래픽 삭제"가 상태 페이지에 표시됩니다.
다음 표에서는 모든 트래픽을 모니터링할 수 있도록 더 큰 할당량을 허용하는 데 사용할 수 있는 충분한 컴퓨팅 리소스가 있는 도메인 컨트롤러의 예를 제공합니다.
| Active Directory(Lsass.exe) | ATA 경량 게이트웨이(Microsoft.Tri.Gateway.exe) | 기타(기타 프로세스) | ATA 경량 게이트웨이 할당량 | 게이트웨이 삭제 |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | 아니오 |
Active Directory에 더 많은 컴퓨팅이 필요한 경우 ATA 경량 게이트웨이에 필요한 할당량이 줄어듭니다. 다음 예제에서 ATA 경량 게이트웨이는 할당된 할당량보다 더 많이 필요하며 일부 트래픽을 삭제합니다(부분 트래픽만 모니터링).
| Active Directory(Lsass.exe) | ATA 경량 게이트웨이(Microsoft.Tri.Gateway.exe) | 기타(기타 프로세스) | ATA 경량 게이트웨이 할당량 | 게이트웨이가 삭제되고 있나요? |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | 예 |
네트워크 구성 요소
ATA를 사용하여 작업하려면 다음 구성 요소가 설정되어 있는지 검사 합니다.
포트 미러링
ATA 게이트웨이를 사용하는 경우 모니터링되는 도메인 컨트롤러에 대한 포트 미러링을 설정하고 실제 또는 가상 스위치를 사용하여 ATA 게이트웨이를 대상으로 설정해야 합니다. 또 다른 옵션은 네트워크TAP를 사용하는 것입니다. ATA는 일부 도메인 컨트롤러를 모니터링하지만 검색이 덜 효과적인 경우 작동합니다.
포트 미러링은 모든 도메인 컨트롤러 네트워크 트래픽을 ATA 게이트웨이로 미러링하지만, 분석을 위해 해당 트래픽의 작은 비율만 ATA 센터로 전송되고 압축됩니다.
도메인 컨트롤러 및 ATA 게이트웨이는 물리적 또는 가상일 수 있습니다. 자세한 내용은 포트 미러링 구성을 참조하세요.
Events
Pass-the-Hash, Brute Force, 중요한 그룹 및 허니 토큰에 대한 ATA 검색을 향상하려면 ATA에는 4776, 4732, 4733, 4728, 4729, 4756, 4757 Windows 이벤트가 필요합니다. ATA 경량 게이트웨이에서 자동으로 읽거나 ATA 경량 게이트웨이가 배포되지 않은 경우 SIEM 이벤트를 수신하도록 ATA 게이트웨이를 구성하거나 Windows 이벤트 전달을 구성하여 두 가지 방법 중 하나로 ATA 게이트웨이로 전달할 수 있습니다.
SIEM 이벤트를 수신 대기하도록 ATA 게이트웨이 구성
특정 Windows 이벤트를 ATA로 전달하도록 SIEM을 구성합니다. ATA는 여러 SIEM 공급업체를 지원합니다. 자세한 내용은 이벤트 컬렉션 구성을 참조하세요.Windows 이벤트 전달 구성
ATA에서 이벤트를 가져올 수 있는 또 다른 방법은 도메인 컨트롤러를 구성하여 Windows 이벤트 4776, 4732, 4733, 4728, 4729, 4756 및 4757을 ATA 게이트웨이로 전달하는 것입니다. 이는 SIEM이 없거나 SIEM이 현재 ATA에서 지원되지 않는 경우에 특히 유용합니다. ATA에서 Windows 이벤트 전달 구성을 완료하려면 Windows 이벤트 전달 구성을 참조하세요. 이는 ATA 경량 게이트웨이가 아닌 실제 ATA 게이트웨이에만 적용됩니다.