ATA-architectuur
Van toepassing op: Advanced Threat Analytics versie 1.9
De Advanced Threat Analytics-architectuur wordt in dit diagram beschreven:
ATA bewaakt het netwerkverkeer van uw domeincontroller door gebruik te maken van poortspiegeling naar een ATA-gateway met behulp van fysieke of virtuele switches. Als u de ATA Lightweight Gateway rechtstreeks op uw domeincontrollers implementeert, wordt de vereiste voor poortspiegeling verwijderd. Daarnaast kan ATA gebruikmaken van Windows-gebeurtenissen (rechtstreeks doorgestuurd vanaf uw domeincontrollers of vanaf een SIEM-server) en de gegevens op aanvallen en bedreigingen analyseren. In deze sectie wordt de stroom van netwerk- en gebeurtenisregistratie beschreven en wordt ingezoomd op de functionaliteit van de belangrijkste onderdelen van ATA: de ATA-gateway, ATA Lightweight-gateway (die dezelfde kernfunctionaliteit heeft als de ATA-gateway) en het ATA Center.
ATA-onderdelen
ATA bestaat uit de volgende onderdelen:
-
ATA Center
Het ATA Center ontvangt gegevens van ALLE ATA-gateways en/of ATA Lightweight-gateways die u implementeert. -
ATA Gateway
De ATA Gateway wordt geïnstalleerd op een toegewezen server die het verkeer van uw domeincontrollers bewaakt met behulp van poortspiegeling of een netwerk TAP. -
ATA Lightweight Gateway
De ATA Lightweight Gateway wordt rechtstreeks op uw domeincontrollers geïnstalleerd en bewaakt hun verkeer rechtstreeks, zonder dat u een toegewezen server of configuratie van poortspiegeling nodig hebt. Het is een alternatief voor de ATA-gateway.
Een ATA-implementatie kan bestaan uit één ATA Center dat is verbonden met alle ATA-gateways, alle ATA Lightweight-gateways of een combinatie van ATA Gateways en ATA Lightweight-gateways.
Implementatieopties
U kunt ATA implementeren met behulp van de volgende combinatie van gateways:
-
Alleen ATA Gateways gebruiken
Uw ATA-implementatie kan alleen ATA-gateways bevatten, zonder ATA Lightweight-gateways: alle domeincontrollers moeten worden geconfigureerd om poortspiegeling naar een ATA-gateway in te schakelen of netwerk-TAPs moeten aanwezig zijn. -
Alleen ATA Lightweight-gateways gebruiken
Uw ATA-implementatie kan alleen ATA Lightweight-gateways bevatten: de ATA Lightweight-gateways worden geïmplementeerd op elke domeincontroller en er is geen extra configuratie van servers of poortspiegeling nodig. -
Zowel ATA-gateways als ATA Lightweight-gateways gebruiken
Uw ATA-implementatie omvat zowel ATA-gateways als ATA Lightweight-gateways. De ATA Lightweight-gateways worden geïnstalleerd op sommige van uw domeincontrollers (bijvoorbeeld alle domeincontrollers in uw filialen). Tegelijkertijd worden andere domeincontrollers bewaakt door ATA Gateways (bijvoorbeeld de grotere domeincontrollers in uw belangrijkste datacenters).
In al deze scenario's verzenden alle gateways hun gegevens naar het ATA Center.
ATA Center
Het ATA Center voert de volgende functies uit:
Beheert de configuratie-instellingen voor ATA Gateway en ATA Lightweight Gateway
Ontvangt gegevens van ATA-gateways en ATA Lightweight-gateways
Detecteert verdachte activiteiten
Voert ATA-gedragsalgoritmen voor machine learning uit om abnormaal gedrag te detecteren
Voert verschillende deterministische algoritmen uit om geavanceerde aanvallen te detecteren op basis van de kill chain voor aanvallen
De ATA-console uitvoeren
Optioneel: het ATA Center kan worden geconfigureerd voor het verzenden van e-mailberichten en gebeurtenissen wanneer een verdachte activiteit wordt gedetecteerd.
Het ATA Center ontvangt geparseerd verkeer van de ATA-gateway en ATA Lightweight-gateway. Vervolgens wordt profilering uitgevoerd, deterministische detectie uitgevoerd en machine learning en gedragsalgoritmen uitgevoerd om meer te weten te komen over uw netwerk, detectie van afwijkingen in te schakelen en u te waarschuwen voor verdachte activiteiten.
| Type | Beschrijving |
|---|---|
| Entiteitsontvanger | Ontvangt batches van entiteiten van alle ATA-gateways en ATA Lightweight-gateways. |
| Processor voor netwerkactiviteit | Verwerkt alle netwerkactiviteiten binnen elke ontvangen batch. Bijvoorbeeld het vergelijken tussen de verschillende Kerberos-stappen die zijn uitgevoerd vanaf mogelijk verschillende computers |
| Entiteitsprofiel | Profielen van alle unieke entiteiten op basis van het verkeer en de gebeurtenissen. Ata werkt bijvoorbeeld de lijst met aangemelde computers voor elk gebruikersprofiel bij. |
| Database centreren | Hiermee beheert u het schrijfproces van de netwerkactiviteiten en -gebeurtenissen in de database. |
| Database | ATA maakt gebruik van MongoDB voor het opslaan van alle gegevens in het systeem: - Netwerkactiviteiten - Gebeurtenisactiviteiten - Unieke entiteiten - Verdachte activiteiten - ATA-configuratie |
| Detectoren | De detectoren gebruiken machine learning-algoritmen en deterministische regels om verdachte activiteiten en abnormaal gebruikersgedrag in uw netwerk te vinden. |
| ATA Console | De ATA-console is bedoeld voor het configureren van ATA en het bewaken van verdachte activiteiten die door ATA in uw netwerk zijn gedetecteerd. De ATA-console is niet afhankelijk van de ATA Center-service en wordt uitgevoerd zelfs wanneer de service wordt gestopt, zolang deze maar kan communiceren met de database. |
Houd rekening met de volgende criteria bij het bepalen van het aantal ATA-centra dat u op uw netwerk wilt implementeren:
Eén ATA Center kan één Active Directory-forest bewaken. Als u meer dan één Active Directory-forest hebt, hebt u minimaal één ATA Center per Active Directory-forest nodig.
In grote Active Directory-implementaties kan één ATA Center mogelijk niet al het verkeer van al uw domeincontrollers verwerken. In dit geval zijn meerdere ATA-centra vereist. Het aantal ATA-centra moet worden bepaald door ata-capaciteitsplanning.
ATA Gateway en ATA Lightweight Gateway
Gateway core-functionaliteit
De ATA Gateway en ATA Lightweight-gateway hebben beide dezelfde kernfunctionaliteit:
Netwerkverkeer van domeincontrollers vastleggen en inspecteren. Dit is poortgespiegeld verkeer voor ATA Gateways en lokaal verkeer van de domeincontroller in ATA Lightweight Gateways.
Windows-gebeurtenissen ontvangen van SIEM- of Syslog-servers, of van domeincontrollers met Windows Event Forwarding
Gegevens over gebruikers en computers ophalen uit het Active Directory-domein
Omzetting van netwerkentiteiten (gebruikers, groepen en computers) uitvoeren
Relevante gegevens overdragen naar het ATA Center
Bewaak meerdere domeincontrollers vanaf één ATA-gateway of bewaak één domeincontroller voor een ATA Lightweight-gateway.
De ATA Gateway ontvangt netwerkverkeer en Windows-gebeurtenissen van uw netwerk en verwerkt dit in de volgende hoofdonderdelen:
| Type | Beschrijving |
|---|---|
| Netwerklistener | De netwerklistener legt netwerkverkeer vast en parseert het verkeer. Dit is een cpu-zware taak, dus het is vooral belangrijk om ATA-vereisten te controleren bij het plannen van uw ATA-gateway of ATA Lightweight-gateway. |
| Gebeurtenislistener | De gebeurtenislistener registreert en parseert Windows-gebeurtenissen die zijn doorgestuurd vanaf een SIEM-server in uw netwerk. |
| Windows-gebeurtenislogboeklezer | De Windows Gebeurtenislogboeklezer leest en parseert Windows-gebeurtenissen die zijn doorgestuurd naar het Windows-gebeurtenislogboek van de ATA-gateway vanaf de domeincontrollers. |
| Network Activity Translator | Geparseerd verkeer wordt omgezet in een logische weergave van het verkeer dat wordt gebruikt door ATA (NetworkActivity). |
| Entiteits resolver | De entiteitsoplossing neemt de geparseerde gegevens (netwerkverkeer en gebeurtenissen) en lost deze gegevens op met Active Directory om account- en identiteitsgegevens te vinden. Deze wordt vervolgens vergeleken met de IP-adressen in de geparseerde gegevens. De Entity Resolver inspecteert de pakketheaders efficiënt om het parseren van verificatiepakketten voor computernamen, eigenschappen en identiteiten mogelijk te maken. De Entiteits resolver combineert de geparseerde verificatiepakketten met de gegevens in het werkelijke pakket. |
| Entiteitszender | De entiteitszender verzendt de geparseerde en overeenkomende gegevens naar het ATA Center. |
ATA Lightweight Gateway-functies
De volgende functies werken anders, afhankelijk van of u een ATA-gateway of een ATA Lightweight-gateway uitvoert.
De ATA Lightweight-gateway kan gebeurtenissen lokaal lezen, zonder dat u het doorsturen van gebeurtenissen hoeft te configureren.
Domeinsynchronisatiekandidaat
De domeinsynchronisatiegateway is verantwoordelijk voor het proactief synchroniseren van alle entiteiten van een specifiek Active Directory-domein (vergelijkbaar met het mechanisme dat door de domeincontrollers zelf wordt gebruikt voor replicatie). Eén gateway wordt willekeurig gekozen, uit de lijst met kandidaten, om te fungeren als de domeinsynchronisatier.
Als de synchronisatier langer dan 30 minuten offline is, wordt in plaats daarvan een andere kandidaat gekozen. Als er geen domeinsynchronisatiekandidaat beschikbaar is voor een specifiek domein, synchroniseert ATA proactief entiteiten en hun wijzigingen, maar ATA haalt reactief nieuwe entiteiten op wanneer ze worden gedetecteerd in het bewaakte verkeer.Wanneer er geen domeinsynchronisatieprogramma beschikbaar is, worden er geen resultaten weergegeven als u zoekt naar een entiteit zonder verkeer dat daaraan is gerelateerd.
Standaard zijn alle ATA-gateways kandidaten voor domeinsynchronisatie.
Omdat alle ATA Lightweight-gateways waarschijnlijk eerder worden geïmplementeerd in filialen en op kleine domeincontrollers, zijn ze standaard geen kandidaten voor synchronisatieroutines.
In een omgeving met alleen Lightweight-gateways wordt aanbevolen om twee van de gateways toe te wijzen als kandidaten voor synchronisatieroutines, waarbij één Lightweight-gateway de standaardkandidaat voor synchronisatieroutine is en één de back-up als de standaard langer dan 30 minuten offline is.
Resourcebeperkingen
De ATA Lightweight-gateway bevat een bewakingsonderdeel dat de beschikbare reken- en geheugencapaciteit evalueert op de domeincontroller waarop deze wordt uitgevoerd. Het bewakingsproces wordt elke 10 seconden uitgevoerd en werkt het quotum voor CPU- en geheugengebruik dynamisch bij in het ATA Lightweight Gateway-proces om ervoor te zorgen dat de domeincontroller op een bepaald moment ten minste 15% van de vrije reken- en geheugenbronnen heeft.Wat er ook gebeurt op de domeincontroller, dit proces maakt altijd resources vrij om ervoor te zorgen dat de kernfunctionaliteit van de domeincontroller niet wordt beïnvloed.
Als hierdoor de ATA Lightweight-gateway geen resources meer heeft, wordt slechts gedeeltelijk verkeer bewaakt en wordt de statuswaarschuwing 'Verbroken poort gespiegeld netwerkverkeer' weergegeven op de pagina Status.
De volgende tabel bevat een voorbeeld van een domeincontroller met voldoende rekenresources die beschikbaar zijn om een groter quotum toe te staan dan momenteel nodig is, zodat al het verkeer wordt bewaakt:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diversen (andere processen) | ATA Lightweight Gateway-quotum | Gateway verwijderen |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nee |
Als Active Directory meer rekenkracht nodig heeft, wordt het quotum dat nodig is voor de ATA Lightweight-gateway verlaagd. In het volgende voorbeeld heeft de ATA Lightweight-gateway meer nodig dan het toegewezen quotum en wordt een deel van het verkeer verwijderd (slechts gedeeltelijk verkeer bewaken):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diversen (andere processen) | ATA Lightweight Gateway-quotum | Is gateway verwijderd |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Ja |
Uw netwerkonderdelen
Als u met ATA wilt werken, controleert u of de volgende onderdelen zijn ingesteld.
Poortspiegeling
Als u ATA Gateways gebruikt, moet u poortspiegeling instellen voor de domeincontrollers die worden bewaakt en de ATA Gateway instellen als bestemming met behulp van de fysieke of virtuele switches. Een andere optie is het gebruik van netwerk-TAPs. ATA werkt als sommige, maar niet alle domeincontrollers worden bewaakt, maar detecties zijn minder effectief.
Terwijl poortspiegeling al het netwerkverkeer van de domeincontroller naar de ATA-gateway spiegelt, wordt slechts een klein percentage van dat verkeer voor analyse naar het ATA Center verzonden.
Uw domeincontrollers en de ATA-gateways kunnen fysiek of virtueel zijn. Zie Poortspiegeling configureren voor meer informatie.
Gebeurtenissen
Om de ATA-detectie van Pass-the-Hash, Brute Force, Aanpassing aan gevoelige groepen en Honey Tokens te verbeteren, heeft ATA de volgende Windows-gebeurtenissen nodig: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Deze kunnen automatisch worden gelezen door de ATA Lightweight-gateway of als de ATA Lightweight-gateway niet wordt geïmplementeerd, kan deze op twee manieren worden doorgestuurd naar de ATA-gateway, door de ATA Gateway te configureren om te luisteren naar SIEM-gebeurtenissen of door Windows Event Forwarding te configureren.
De ATA-gateway configureren om te luisteren naar SIEM-gebeurtenissen
Configureer uw SIEM om specifieke Windows-gebeurtenissen door te sturen naar ATA. ATA ondersteunt een aantal SIEM-leveranciers. Zie Gebeurtenisverzameling configureren voor meer informatie.Windows Event Forwarding configureren
Een andere manier waarop ATA uw gebeurtenissen kan ophalen, is door uw domeincontrollers te configureren om Windows-gebeurtenissen 4776, 4732, 4733, 4728, 4729, 4756 en 4757 door te sturen naar uw ATA-gateway. Dit is met name handig als u geen SIEM hebt of als uw SIEM momenteel niet wordt ondersteund door ATA. Zie Doorsturen van Windows-gebeurtenissen configureren om de configuratie van Windows Event Forwarding in ATA te voltooien. Dit geldt alleen voor fysieke ATA-gateways, niet voor de ATA Lightweight-gateway.