Architektura usługi ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
Architektura usługi Advanced Threat Analytics została szczegółowo opisana na tym diagramie:
Usługa ATA monitoruje ruch sieciowy kontrolera domeny, korzystając z dublowania portów w bramie usługi ATA przy użyciu przełączników fizycznych lub wirtualnych. Wdrożenie uproszczonej bramy usługi ATA bezpośrednio na kontrolerach domeny powoduje usunięcie wymagania dotyczącego dublowania portów. Ponadto usługa ATA może korzystać ze zdarzeń systemu Windows (przekazywanych bezpośrednio z kontrolerów domeny lub z serwera SIEM) i analizować dane pod kątem ataków i zagrożeń. W tej sekcji opisano przepływ przechwytywania sieci i zdarzeń oraz przechodzenie do szczegółów w celu opisania funkcjonalności głównych składników usługi ATA: bramy usługi ATA, uproszczonej bramy usługi ATA (która ma taką samą podstawową funkcjonalność jak brama usługi ATA) oraz centrum usługi ATA.
Składniki usługi ATA
Usługa ATA składa się z następujących składników:
-
Centrum usługi ATA
Centrum usługi ATA odbiera dane z dowolnych wdrożonych bram usługi ATA i/lub uproszczonych bram usługi ATA. -
Brama usługi ATA
Brama usługi ATA jest zainstalowana na dedykowanym serwerze, który monitoruje ruch z kontrolerów domeny przy użyciu dublowania portów lub sieciowego naciśnięcia. -
Uproszczona brama usługi ATA
Uproszczona brama usługi ATA jest instalowana bezpośrednio na kontrolerach domeny i bezpośrednio monitoruje ich ruch bez konieczności używania dedykowanego serwera lub konfiguracji dublowania portów. Jest to alternatywa dla bramy usługi ATA.
Wdrożenie usługi ATA może składać się z jednego centrum usługi ATA połączonego ze wszystkimi bramami usługi ATA, wszystkimi uproszczonymi bramami usługi ATA lub kombinacją bram usługi ATA i uproszczonych bram usługi ATA.
Opcje wdrażania
Usługę ATA można wdrożyć przy użyciu następującej kombinacji bram:
-
Używanie tylko bram usługi ATA
Wdrożenie usługi ATA może zawierać tylko bramy usługi ATA bez żadnych uproszczonych bram usługi ATA: wszystkie kontrolery domeny muszą być skonfigurowane tak, aby umożliwić dublowanie portów w bramie usługi ATA lub sieciowych adresach TAP. -
Używanie tylko uproszczonych bram usługi ATA
Wdrożenie usługi ATA może zawierać tylko uproszczone bramy usługi ATA: uproszczone bramy usługi ATA są wdrażane na każdym kontrolerze domeny i nie są wymagane żadne dodatkowe serwery ani konfiguracja dublowania portów. -
Korzystanie zarówno z bram usługi ATA, jak i uproszczonych bram usługi ATA
Wdrożenie usługi ATA obejmuje zarówno bramy usługi ATA, jak i uproszczone bramy usługi ATA. Uproszczone bramy usługi ATA są instalowane na niektórych kontrolerach domeny (na przykład na wszystkich kontrolerach domeny w lokacjach oddziałów). Jednocześnie inne kontrolery domeny są monitorowane przez bramy usługi ATA (na przykład większe kontrolery domeny w głównych centrach danych).
We wszystkich tych scenariuszach wszystkie bramy wysyłają swoje dane do centrum usługi ATA.
Centrum usługi ATA
Centrum usługi ATA wykonuje następujące funkcje:
Zarządza ustawieniami konfiguracji bramy usługi ATA i uproszczonej bramy usługi ATA
Odbiera dane z bram usługi ATA i uproszczonych bram usługi ATA
Wykrywa podejrzane działania
Uruchamia algorytmy behawioralnego uczenia maszynowego usługi ATA w celu wykrywania nietypowych zachowań
Uruchamia różne algorytmy deterministyczne w celu wykrywania zaawansowanych ataków na podstawie łańcucha ataków
Uruchamia konsolę usługi ATA
Opcjonalnie: Centrum usługi ATA można skonfigurować do wysyłania wiadomości e-mail i zdarzeń po wykryciu podejrzanego działania.
Centrum usługi ATA odbiera analizowany ruch z bramy usługi ATA i uproszczonej bramy usługi ATA. Następnie przeprowadza profilowanie, uruchamia wykrywanie deterministyczne i uruchamia uczenie maszynowe i algorytmy behawioralne, aby dowiedzieć się więcej o sieci, włączyć wykrywanie anomalii i ostrzec o podejrzanych działaniach.
| Wpisać | Opis |
|---|---|
| Odbiornik jednostki | Odbiera partie jednostek ze wszystkich bram usługi ATA i uproszczonych bram usługi ATA. |
| Procesor aktywności sieciowej | Przetwarza wszystkie działania sieciowe w każdej odebranej partii. Na przykład dopasowanie między różnymi krokami protokołu Kerberos wykonywanymi z potencjalnie różnych komputerów |
| Profiler jednostek | Profiluje wszystkie jednostki unikatowe zgodnie z ruchem i zdarzeniami. Na przykład usługa ATA aktualizuje listę zalogowanych komputerów dla każdego profilu użytkownika. |
| Środkowa baza danych | Zarządza procesem zapisywania działań sieciowych i zdarzeń w bazie danych. |
| Database | Usługa ATA wykorzystuje bazę danych MongoDB do przechowywania wszystkich danych w systemie: — Działania sieciowe — Działania dotyczące zdarzeń — Unikatowe jednostki - Podejrzane działania - Konfiguracja usługi ATA |
| Detektory | Narzędzia do wykrywania używają algorytmów uczenia maszynowego i reguł deterministycznych do znajdowania podejrzanych działań i nietypowych zachowań użytkowników w sieci. |
| Konsola usługi ATA | Konsola usługi ATA służy do konfigurowania usługi ATA i monitorowania podejrzanych działań wykrytych przez usługę ATA w sieci. Konsola usługi ATA nie jest zależna od usługi Centrum usługi ATA i działa nawet po zatrzymaniu usługi, o ile może komunikować się z bazą danych. |
Podczas podejmowania decyzji o liczbie centrów usługi ATA do wdrożenia w sieci należy wziąć pod uwagę następujące kryteria:
Jedno centrum usługi ATA może monitorować pojedynczy las usługi Active Directory. Jeśli masz więcej niż jeden las usługi Active Directory, potrzebujesz co najmniej jednego centrum usługi ATA na las usługi Active Directory.
W przypadku dużych wdrożeń usługi Active Directory pojedyncze centrum usługi ATA może nie być w stanie obsłużyć całego ruchu wszystkich kontrolerów domeny. W takim przypadku jest wymaganych wiele centrów usługi ATA. Liczba centrów usługi ATA powinna być podyktowana planowaniem pojemności usługi ATA.
Brama usługi ATA i uproszczona brama usługi ATA
Podstawowe funkcje bramy
Brama usługi ATA i uproszczona brama usługi ATA mają te same podstawowe funkcje:
Przechwytywanie i inspekcja ruchu sieciego kontrolera domeny. Jest to ruch dublowany portów dla bram usługi ATA i ruchu lokalnego kontrolera domeny w uproszczonych bramach usługi ATA.
Odbieranie zdarzeń systemu Windows z serwerów SIEM lub Syslog lub z kontrolerów domeny przy użyciu funkcji przekazywania zdarzeń systemu Windows
Pobieranie danych o użytkownikach i komputerach z domeny usługi Active Directory
Rozwiązywanie jednostek sieciowych (użytkowników, grup i komputerów)
Transferowanie odpowiednich danych do centrum usługi ATA
Monitoruj wiele kontrolerów domeny z jednej bramy usługi ATA lub monitoruj pojedynczy kontroler domeny dla uproszczonej bramy usługi ATA.
Brama usługi ATA odbiera ruch sieciowy i zdarzenia systemu Windows z sieci i przetwarza go w następujących głównych składnikach:
| Wpisać | Opis |
|---|---|
| Odbiornik sieci | Odbiornik sieciowy przechwytuje ruch sieciowy i analizuje ruch. Jest to zadanie o dużej wydajności procesora CPU, dlatego szczególnie ważne jest sprawdzenie wymagań wstępnych usługi ATA podczas planowania bramy usługi ATA lub uproszczonej bramy usługi ATA. |
| Odbiornik zdarzeń | Odbiornik zdarzeń przechwytuje i analizuje zdarzenia systemu Windows przekazywane z serwera SIEM w sieci. |
| Czytnik dziennika zdarzeń systemu Windows | Czytnik dzienników zdarzeń systemu Windows odczytuje i analizuje zdarzenia systemu Windows przekazane do dziennika zdarzeń systemu Windows bramy usługi ATA z kontrolerów domeny. |
| Translator działań sieciowych | Tłumaczy analizowany ruch na logiczną reprezentację ruchu używanego przez usługę ATA (NetworkActivity). |
| Rozpoznawanie jednostek | Program rozpoznawania jednostek pobiera przeanalizowane dane (ruch sieciowy i zdarzenia) i rozpoznaje je za pomocą usługi Active Directory w celu znalezienia informacji o koncie i tożsamości. Następnie jest ona dopasowywana do adresów IP znalezionych w przeanalizowanych danych. Program rozpoznawania jednostek efektywnie sprawdza nagłówki pakietów, aby umożliwić analizowanie pakietów uwierzytelniania pod kątem nazw maszyn, właściwości i tożsamości. Program rozpoznawania jednostek łączy analizowane pakiety uwierzytelniania z danymi w rzeczywistym pakietie. |
| Nadawca jednostki | Nadawca jednostki wysyła przeanalizowane i dopasowane dane do centrum usługi ATA. |
Funkcje uproszczonej bramy usługi ATA
Następujące funkcje działają inaczej w zależności od tego, czy używasz bramy usługi ATA, czy uproszczonej bramy usługi ATA.
Uproszczona brama usługi ATA może odczytywać zdarzenia lokalnie bez konieczności konfigurowania przekazywania zdarzeń.
Kandydat synchronizatora domeny
Brama synchronizatora domeny jest odpowiedzialna za proaktywne synchronizowanie wszystkich jednostek z określonej domeny usługi Active Directory (podobnie jak mechanizm używany przez same kontrolery domeny do replikacji). Jedna brama jest wybierana losowo z listy kandydatów, aby służyć jako synchronizator domeny.
Jeśli synchronizator jest w trybie offline przez ponad 30 minut, wybierany jest inny kandydat. Jeśli nie ma dostępnego kandydata synchronizatora domeny dla określonej domeny, usługa ATA proaktywnie synchronizuje jednostki i ich zmiany, jednak usługa ATA będzie reaktywnie pobierać nowe jednostki w miarę ich wykrywania w monitorowanym ruchu.Jeśli nie jest dostępny synchronizator domeny, wyszukiwanie jednostki bez ruchu z nią związanego nie wyświetla żadnych wyników.
Domyślnie wszystkie bramy usługi ATA są kandydatami synchronizatora domeny.
Ponieważ wszystkie uproszczone bramy usługi ATA są bardziej prawdopodobne, że zostaną wdrożone w lokacjach oddziałów i na małych kontrolerach domeny, nie są one domyślnie kandydatami do synchronizacji.
W środowisku z tylko uproszczonymi bramami zaleca się przypisanie dwóch bram jako kandydatów synchronizatora, gdzie jedna uproszczona brama jest domyślnym kandydatem synchronizatora, a jedna to kopia zapasowa w przypadku, gdy ustawienie domyślne jest w trybie offline przez ponad 30 minut.
Ograniczenia zasobów
Uproszczona brama usługi ATA zawiera składnik monitorowania, który ocenia dostępną pojemność obliczeniową i pamięć na kontrolerze domeny, na którym jest uruchomiona. Proces monitorowania jest uruchamiany co 10 sekund i dynamicznie aktualizuje przydział użycia procesora CPU i pamięci w procesie uproszczonej bramy usługi ATA, aby upewnić się, że w dowolnym momencie kontroler domeny ma co najmniej 15% bezpłatnych zasobów obliczeniowych i pamięci.Niezależnie od tego, co dzieje się na kontrolerze domeny, ten proces zawsze zwalnia zasoby, aby upewnić się, że nie ma to wpływu na podstawową funkcjonalność kontrolera domeny.
Jeśli spowoduje to, że w uproszczonej bramie usługi ATA zabraknie zasobów, tylko częściowy ruch jest monitorowany, a alert o kondycji "Porzucony ruch sieciowy dublowany port" zostanie wyświetlony na stronie Kondycja.
Poniższa tabela zawiera przykład kontrolera domeny z wystarczającą ilością dostępnego zasobu obliczeniowego, aby umożliwić większy limit przydziału, dlatego cały ruch jest monitorowany:
| Active Directory (Lsass.exe) | Uproszczona brama usługi ATA (Microsoft.Tri.Gateway.exe) | Różne (inne procesy) | Limit przydziału uproszczonej bramy usługi ATA | Porzucanie bramy |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nie |
Jeśli usługa Active Directory wymaga większej ilości zasobów obliczeniowych, limit przydziału wymagany przez uproszczoną bramę usługi ATA zostanie zmniejszony. W poniższym przykładzie uproszczona brama usługi ATA potrzebuje więcej niż przydzielony limit przydziału i porzuca część ruchu (monitorowanie tylko częściowego ruchu):
| Active Directory (Lsass.exe) | Uproszczona brama usługi ATA (Microsoft.Tri.Gateway.exe) | Różne (inne procesy) | Limit przydziału uproszczonej bramy usługi ATA | Czy brama spada |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Tak |
Składniki sieci
Aby pracować z usługą ATA, upewnij się, że skonfigurowano następujące składniki.
Dublowanie portów
Jeśli używasz bram usługi ATA, musisz skonfigurować dublowanie portów dla monitorowanych kontrolerów domeny i ustawić bramę usługi ATA jako miejsce docelowe przy użyciu przełączników fizycznych lub wirtualnych. Inną opcją jest użycie sieciowych adresów TAP. Usługa ATA działa, jeśli niektóre kontrolery domeny, ale nie wszystkie są monitorowane, ale wykrycia są mniej skuteczne.
Podczas dublowania portów dubluje cały ruch sieciowy kontrolera domeny do bramy usługi ATA, tylko niewielki procent tego ruchu jest następnie wysyłany, skompresowany, do centrum usługi ATA w celu analizy.
Kontrolery domeny i bramy usługi ATA mogą być fizyczne lub wirtualne. Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania portów .
Zdarzenia
Aby ulepszyć wykrywanie przez usługę ATA wartości Pass-the-Hash, Brute Force, Modification to sensitive groups i Honey Tokens, usługa ATA potrzebuje następujących zdarzeń systemu Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Mogą one być odczytywane automatycznie przez uproszczoną bramę usługi ATA lub w przypadku, gdy uproszczona brama usługi ATA nie została wdrożona, można ją przekazać do bramy usługi ATA na jeden z dwóch sposobów, konfigurując bramę usługi ATA do nasłuchiwania zdarzeń SIEM lub konfigurując przekazywanie zdarzeń systemu Windows.
Konfigurowanie bramy usługi ATA do nasłuchiwania zdarzeń SIEM
Skonfiguruj rozwiązanie SIEM do przekazywania określonych zdarzeń systemu Windows do usługi ATA. Usługa ATA obsługuje wielu dostawców SIEM. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń.Konfigurowanie przekazywania zdarzeń systemu Windows
Innym sposobem uzyskiwania zdarzeń przez usługę ATA jest skonfigurowanie kontrolerów domeny do przekazywania zdarzeń systemu Windows 4776, 4732, 4733, 4728, 4729, 4756 i 4757 do bramy usługi ATA. Jest to szczególnie przydatne, jeśli nie masz rozwiązania SIEM lub jeśli rozwiązanie SIEM nie jest obecnie obsługiwane przez usługę ATA. Aby ukończyć konfigurację przekazywania zdarzeń systemu Windows w usłudze ATA, zobacz Konfigurowanie przekazywania zdarzeń systemu Windows. Dotyczy to tylko fizycznych bram usługi ATA , a nie bramy ATA Lightweight Gateway.