Arquitetura do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
A arquitetura do Advanced Threat Analytics está detalhada neste diagrama:
O ATA monitoriza o tráfego de rede do controlador de domínio ao utilizar o espelhamento de porta para um ATA Gateway através de comutadores físicos ou virtuais. Se implementar o ATA Lightweight Gateway diretamente nos controladores de domínio, este remove o requisito de espelhamento de porta. Além disso, o ATA pode tirar partido dos eventos do Windows (reencaminhados diretamente a partir dos controladores de domínio ou de um servidor SIEM) e analisar os dados relativamente a ataques e ameaças. Esta secção descreve o fluxo de captura de rede e eventos e desagregar para descrever a funcionalidade dos componentes main do ATA: o ATA Gateway, o ATA Lightweight Gateway (que tem a mesma funcionalidade principal que o ATA Gateway) e o ATA Center.
Componentes do ATA
O ATA consiste nos seguintes componentes:
-
ATA Center
O ATA Center recebe dados de quaisquer ATA Gateways e/ou ATA Lightweight Gateways que implementar. -
ATA Gateway
O ATA Gateway está instalado num servidor dedicado que monitoriza o tráfego dos controladores de domínio através do espelhamento de porta ou de uma TAP de rede. -
ATA Lightweight Gateway
O ATA Lightweight Gateway é instalado diretamente nos controladores de domínio e monitoriza o respetivo tráfego diretamente, sem a necessidade de um servidor dedicado ou configuração do espelhamento de porta. É uma alternativa ao ATA Gateway.
Uma implementação do ATA pode consistir num único ATA Center ligado a todos os ATA Gateways, a todos os ATA Lightweight Gateways ou a uma combinação de ATA Gateways e ATA Lightweight Gateways.
Opções de implantação
Pode implementar o ATA com a seguinte combinação de gateways:
-
Utilizar apenas ATA Gateways
A implementação do ATA só pode conter ATA Gateways, sem quaisquer ATA Lightweight Gateways: todos os controladores de domínio têm de ser configurados para ativar o espelhamento de porta para um ATA Gateway ou os TAPs de rede têm de estar implementados. -
Utilizar apenas ATA Lightweight Gateways
A implementação do ATA só pode conter ATA Lightweight Gateways: os ATA Lightweight Gateways são implementados em cada controlador de domínio e não é necessária qualquer configuração adicional de servidores ou espelhamento de porta. -
Utilizar o ATA Gateways e o ATA Lightweight Gateways
A implementação do ATA inclui ATA Gateways e ATA Lightweight Gateways. Os ATA Lightweight Gateways são instalados em alguns dos controladores de domínio (por exemplo, todos os controladores de domínio nos seus sites de ramo). Ao mesmo tempo, outros controladores de domínio são monitorizados pelos ATA Gateways (por exemplo, os controladores de domínio maiores no seu main datacenters).
Em todos estes cenários, todos os gateways enviam os respetivos dados para o ATA Center.
ATA Center
O ATA Center executa as seguintes funções:
Gere as definições de configuração do ATA Gateway e do ATA Lightweight Gateway
Recebe dados de ATA Gateways e ATA Lightweight Gateways
Deteta atividades suspeitas
Executa algoritmos de machine learning comportamental do ATA para detetar comportamentos anormais
Executa vários algoritmos deterministas para detetar ataques avançados com base na cadeia de eliminação de ataques
Executa a ATA Console
Opcional: o ATA Center pode ser configurado para enviar e-mails e eventos quando é detetada uma atividade suspeita.
O ATA Center recebe tráfego analisado do ATA Gateway e do ATA Lightweight Gateway. Em seguida, executa a criação de perfis, executa a deteção determinista e executa algoritmos comportamentais e de aprendizagem automática para saber mais sobre a sua rede, ativar a deteção de anomalias e avisá-lo sobre atividades suspeitas.
| Tipo | Descrição |
|---|---|
| Recetor de Entidade | Recebe lotes de entidades de todos os ATA Gateways e ATA Lightweight Gateways. |
| Processador de Atividade de Rede | Processa todas as atividades de rede em cada lote recebido. Por exemplo, a correspondência entre os vários passos kerberos executados a partir de computadores potencialmente diferentes |
| Gerador de Perfis de Entidade | Cria perfis para todas as Entidades Exclusivas de acordo com o tráfego e os eventos. Por exemplo, o ATA atualiza a lista de computadores com sessão iniciada para cada perfil de utilizador. |
| Base de Dados Central | Gere o processo de escrita das Atividades de Rede e dos eventos na base de dados. |
| Banco de dados | O ATA utiliza o MongoDB para armazenar todos os dados no sistema: - Atividades de rede - Atividades de eventos - Entidades exclusivas - Atividades suspeitas - Configuração do ATA |
| Detetores | Os Detetores utilizam algoritmos de machine learning e regras deterministas para encontrar atividades suspeitas e comportamento anormal do utilizador na sua rede. |
| ATA Console | A ATA Console destina-se à configuração do ATA e à monitorização de atividades suspeitas detetadas pelo ATA na sua rede. A ATA Console não depende do serviço ATA Center e é executada mesmo quando o serviço está parado, desde que consiga comunicar com a base de dados. |
Considere os seguintes critérios ao decidir quantos ATA Centers implementar na sua rede:
Um ATA Center pode monitorizar uma única floresta do Active Directory. Se tiver mais do que uma floresta do Active Directory, precisa de um mínimo de um ATA Center por floresta do Active Directory.
Em grandes implementações do Active Directory, um único ATA Center poderá não conseguir processar todo o tráfego de todos os controladores de domínio. Neste caso, são necessários vários ATA Centers. O número de ATA Centers deve ser ditado pelo planeamento da capacidade do ATA.
ATA Gateway e ATA Lightweight Gateway
Funcionalidade principal do gateway
O ATA Gateway e o ATA Lightweight Gateway têm a mesma funcionalidade principal:
Capturar e inspecionar o tráfego de rede do controlador de domínio. Trata-se de tráfego espelhado de porta para ATA Gateways e tráfego local do controlador de domínio nos ATA Lightweight Gateways.
Receber eventos do Windows a partir de servidores SIEM ou Syslog ou de controladores de domínio através do Reencaminhamento de Eventos do Windows
Recuperar os dados de usuários e computadores do domínio do Active Directory
Executar a resolução de entidades de rede (usuários, grupos e computadores)
Transferir dados relevantes para o ATA Center
Monitorize vários controladores de domínio a partir de um único ATA Gateway ou monitorize um único controlador de domínio para um ATA Lightweight Gateway.
O ATA Gateway recebe tráfego de rede e Eventos do Windows da sua rede e processa-o nos seguintes componentes main:
| Tipo | Descrição |
|---|---|
| Serviço de Escuta de Rede | O Serviço de Escuta de Rede captura o tráfego de rede e analisa o tráfego. Esta é uma tarefa intensiva da CPU, pelo que é especialmente importante marcar Pré-requisitos do ATA ao planear o ATA Gateway ou o ATA Lightweight Gateway. |
| Serviço de Escuta de Eventos | O Serviço de Escuta de Eventos captura e analisa Eventos do Windows reencaminhados a partir de um servidor SIEM na sua rede. |
| Leitor do Registo de Eventos do Windows | O Leitor do Registo de Eventos do Windows lê e analisa eventos do Windows reencaminhados para o Registo de Eventos do Windows do ATA Gateway a partir dos controladores de domínio. |
| Network Activity Translator | Traduz o tráfego analisado numa representação lógica do tráfego utilizado pelo ATA (NetworkActivity). |
| Resolução de Entidades | A Resolução de Entidades utiliza os dados analisados (tráfego de rede e eventos) e resolve os dados com o Active Directory para localizar informações de conta e identidade. Em seguida, é correspondida com os endereços IP encontrados nos dados analisados. A Resolução de Entidades inspeciona os cabeçalhos dos pacotes de forma eficiente, para permitir a análise de pacotes de autenticação para nomes de máquinas, propriedades e identidades. A Resolução de Entidades combina os pacotes de autenticação analisados com os dados no pacote real. |
| Remetente de Entidade | O Remetente da Entidade envia os dados analisados e correspondentes para o ATA Center. |
Funcionalidades do ATA Lightweight Gateway
As seguintes funcionalidades funcionam de forma diferente consoante esteja a executar um ATA Gateway ou um ATA Lightweight Gateway.
O ATA Lightweight Gateway pode ler eventos localmente, sem a necessidade de configurar o reencaminhamento de eventos.
Candidato a sincronizador de domínio
O gateway do synchronizer de domínio é responsável por sincronizar todas as entidades de um domínio específico do Active Directory proativamente (semelhante ao mecanismo utilizado pelos próprios controladores de domínio para replicação). Um gateway é escolhido aleatoriamente, a partir da lista de candidatos, para servir como o synchronizer de domínio.
Se o synchronizer estiver offline durante mais de 30 minutos, será escolhido outro candidato. Se não existir nenhum candidato a sincronizador de domínio disponível para um domínio específico, o ATA sincroniza proativamente as entidades e as respetivas alterações. No entanto, o ATA obterá reativamente novas entidades à medida que forem detetadas no tráfego monitorizado.Quando não existe nenhum synchronizer de domínio disponível, a pesquisa de uma entidade sem tráfego relacionado com a mesma não apresenta resultados.
Por predefinição, todos os ATA Gateways são candidatos a sincronizadores de domínio.
Uma vez que todos os ATA Lightweight Gateways são mais propensos a serem implementados em sites de sucursais e em pequenos controladores de domínio, não são candidatos a sincronizadores por predefinição.
Num ambiente com apenas Gateways Leves, é recomendado atribuir dois dos gateways como candidatos a synchronizer, em que um Lightweight Gateway é o candidato sincronizador predefinido e um é a cópia de segurança, caso a predefinição esteja offline durante mais de 30 minutos.
Limitações de recursos
O ATA Lightweight Gateway inclui um componente de monitorização que avalia a capacidade de computação e memória disponível no controlador de domínio no qual está a ser executado. O processo de monitorização é executado a cada 10 segundos e atualiza dinamicamente a quota de utilização da CPU e da memória no processo do ATA Lightweight Gateway para garantir que, a qualquer momento, o controlador de domínio tem, pelo menos, 15% dos recursos de computação e memória gratuitos.Independentemente do que acontecer no controlador de domínio, este processo liberta sempre recursos para garantir que a funcionalidade principal do controlador de domínio não é afetada.
Se isto fizer com que o ATA Lightweight Gateway fiquem sem recursos, apenas o tráfego parcial é monitorizado e o alerta de estado de funcionamento "Tráfego de rede espelhado de porta removido" é apresentado na página Estado de Funcionamento.
A tabela seguinte fornece um exemplo de um controlador de domínio com recursos de computação suficientes disponíveis para permitir uma quota maior e, em seguida, é atualmente necessário, para que todo o tráfego seja monitorizado:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diversos (outros processos) | ATA Lightweight Gateway Quota | Remoção do gateway |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Não |
Se o Active Directory precisar de mais computação, a quota necessária para o ATA Lightweight Gateway é reduzida. No exemplo seguinte, o ATA Lightweight Gateway precisa de mais do que a quota alocada e remove parte do tráfego (monitorizando apenas tráfego parcial):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diversos (outros processos) | ATA Lightweight Gateway Quota | O gateway está a ser largado |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Sim |
Os componentes de rede
Para trabalhar com o ATA, certifique-se de que marcar que os seguintes componentes estão configurados.
Espelhamento de porta
Se estiver a utilizar ATA Gateways, terá de configurar o espelhamento de porta para os controladores de domínio que são monitorizados e definir o ATA Gateway como destino através dos comutadores físicos ou virtuais. Outra opção é utilizar TAPs de rede. O ATA funciona se alguns, mas não todos os controladores de domínio, forem monitorizados, mas as deteções forem menos eficazes.
Enquanto o espelhamento de porta espelha todo o tráfego de rede do controlador de domínio para o ATA Gateway, apenas uma pequena percentagem desse tráfego é enviada, comprimida, para o ATA Center para análise.
Os controladores de domínio e os ATA Gateways podem ser físicos ou virtuais. Veja Configurar o espelhamento de porta para obter mais informações.
Eventos
Para melhorar a deteção do ATA de Pass-the-Hash, Força Bruta, Modificação a grupos confidenciais e Tokens honey, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Estes podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não esteja implementado, podem ser reencaminhados para o ATA Gateway de uma de duas formas, ao configurar o ATA Gateway para escutar eventos SIEM ou ao Configurar o Reencaminhamento de Eventos do Windows.
Configurar o ATA Gateway para escutar eventos SIEM
Configure o SIEM para reencaminhar eventos específicos do Windows para o ATA. O ATA suporta vários fornecedores de SIEM. Para obter mais informações, veja Configurar a recolha de eventos.Configurar o Reencaminhamento de Eventos do Windows
Outra forma de o ATA obter os seus eventos é ao configurar os controladores de domínio para reencaminhar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para o ATA Gateway. Isto é especialmente útil se não tiver um SIEM ou se o SIEM não for atualmente suportado pelo ATA. Para concluir a configuração do Reencaminhamento de Eventos do Windows no ATA, veja Configurar o reencaminhamento de eventos do Windows. Isto aplica-se apenas aos ATA Gateways físicos e não ao ATA Lightweight Gateway.