Поделиться через

Архитектура ATA

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

Архитектура Advanced Threat Analytics подробно описана на следующей схеме:

Схема топологии архитектуры ATA.

ATA отслеживает сетевой трафик контроллера домена, используя зеркальное отображение портов в шлюз ATA с помощью физических или виртуальных коммутаторов. При развертывании упрощенного шлюза ATA непосредственно на контроллерах домена требование зеркального отображения портов будет снято. Кроме того, ATA может использовать события Windows (перенаправленные непосредственно с контроллеров домена или с сервера SIEM) и анализировать данные на предмет атак и угроз. В этом разделе описывается поток сбора данных о сети и событиях, а также подробно описаны функциональные возможности main компонентов ATA: шлюза ATA, упрощенного шлюза ATA (который имеет те же основные функции, что и шлюз ATA) и Центра ATA.

Схема потока трафика ATA.

Компоненты ATA

ATA состоит из следующих компонентов:

  • Центр ATA
    Центр ATA получает данные из всех шлюзов ATA и (или) упрощенных шлюзов ATA, которые вы развертываете.
  • Шлюз ATA
    Шлюз ATA устанавливается на выделенном сервере, который отслеживает трафик от контроллеров домена с помощью зеркального отображения портов или сетевого TAP.
  • Упрощенный шлюз ATA
    Упрощенный шлюз ATA устанавливается непосредственно на контроллерах домена и напрямую отслеживает их трафик без необходимости использования выделенного сервера или конфигурации зеркального отображения портов. Это альтернатива шлюзу ATA.

Развертывание ATA может состоять из одного центра ATA, подключенного ко всем шлюзам ATA, всем упрощенным шлюзам ATA или сочетанию шлюзов ATA и упрощенных шлюзов ATA.

Варианты развертывания

AtA можно развернуть с помощью следующей комбинации шлюзов:

  • Использование только шлюзов ATA
    Развертывание ATA может содержать только шлюзы ATA, без упрощенных шлюзов ATA. Все контроллеры домена должны быть настроены для включения зеркального отображения портов в шлюзе ATA или должны быть настроены сетевые TAP.
  • Использование только упрощенных шлюзов ATA
    Развертывание ATA может содержать только упрощенные шлюзы ATA. Упрощенные шлюзы ATA развертываются на каждом контроллере домена, и никаких дополнительных серверов или конфигурации зеркального отображения портов не требуется.
  • Использование шлюзов ATA и упрощенных шлюзов ATA
    Развертывание ATA включает как шлюзы ATA, так и упрощенные шлюзы ATA. Упрощенные шлюзы ATA устанавливаются на некоторых контроллерах домена (например, на всех контроллерах домена на сайтах филиалов). В то же время другие контроллеры домена отслеживаются шлюзами ATA (например, более крупные контроллеры домена в центрах обработки данных main).

Во всех этих сценариях все шлюзы отправляют свои данные в Центр ATA.

Центр ATA

Центр ATA выполняет следующие функции:

  • Управляет параметрами конфигурации шлюза ATA и упрощенного шлюза ATA.

  • Получает данные из шлюзов ATA и упрощенных шлюзов ATA.

  • Обнаруживает подозрительные действия

  • Запускает алгоритмы поведенческого машинного обучения ATA для обнаружения аномального поведения

  • Выполняет различные детерминированные алгоритмы для обнаружения расширенных атак на основе цепочки уничтожения атак.

  • Запускает консоль ATA

  • Необязательно. Центр ATA можно настроить для отправки сообщений электронной почты и событий при обнаружении подозрительной активности.

Центр ATA получает анализируемый трафик из шлюза ATA и упрощенного шлюза ATA. Затем выполняется профилирование, выполняется детерминированное обнаружение, а также выполняется машинное обучение и алгоритмы поведения, чтобы узнать о сети, включить обнаружение аномалий и предупредить вас о подозрительных действиях.

Тип Описание
Получатель сущностей Получает пакеты сущностей из всех шлюзов ATA и упрощенных шлюзов ATA.
Обработчик сетевых действий Обрабатывает все сетевые действия в каждом полученном пакете. Например, сопоставление между различными шагами Kerberos, выполняемыми с потенциально разных компьютеров
Профилировщик сущностей Профилирование всех уникальных сущностей в соответствии с трафиком и событиями. Например, ATA обновляет список компьютеров, вошедшего в систему, для каждого профиля пользователя.
База данных Center Управляет процессом записи сетевых действий и событий в базу данных.
База данных ATA использует MongoDB для хранения всех данных в системе:

— Сетевые действия
— События
— уникальные сущности
— Подозрительные действия
— конфигурация ATA
Детекторы Детекторы используют алгоритмы машинного обучения и детерминированные правила для поиска подозрительных действий и аномального поведения пользователей в сети.
Консоль ATA Консоль ATA предназначена для настройки ATA и мониторинга подозрительных действий, обнаруженных ATA в сети. Консоль ATA не зависит от службы центра ATA и запускается даже при остановке службы, если она может взаимодействовать с базой данных.

При принятии решения о том, сколько центров ATA следует развернуть в сети, учитывайте следующие критерии:

  • Один центр ATA может отслеживать один лес Active Directory. Если у вас несколько лесов Active Directory, вам потребуется как минимум один центр ATA на каждый лес Active Directory.

  • В крупных развертываниях Active Directory один центр ATA может не обрабатывать весь трафик всех контроллеров домена. В этом случае требуется несколько центров ATA. Количество центров ATA должно определяться планированием емкости ATA.

Шлюз ATA и упрощенный шлюз ATA

Основные функции шлюза

Шлюз ATA и упрощенный шлюз ATA имеют одинаковые основные функции:

  • Сбор и проверка сетевого трафика контроллера домена. Это трафик с зеркальным отображением портов для шлюзов ATA и локальный трафик контроллера домена в упрощенных шлюзах ATA.

  • Получение событий Windows с серверов SIEM или Syslog или от контроллеров домена с помощью переадресации событий Windows

  • Извлечение данных о пользователях и компьютерах из домена Active Directory

  • Выполнение разрешения сетевых объектов (пользователей, групп и компьютеров)

  • Передача соответствующих данных в Центр ATA

  • Мониторинг нескольких контроллеров домена из одного шлюза ATA или мониторинг одного контроллера домена для упрощенного шлюза ATA.

Шлюз ATA получает сетевой трафик и события Windows из сети и обрабатывает его в следующих main компонентах:

Тип Описание
Прослушиватель сети Прослушиватель сети фиксирует сетевой трафик и анализирует его. Это задача с высокой нагрузкой на ЦП, поэтому особенно важно проверка предварительные требования ATA при планировании шлюза ATA или упрощенного шлюза ATA.
Прослушиватель событий Прослушиватель событий фиксирует и анализирует события Windows, переадресованные с сервера SIEM в сети.
Средство чтения журнала событий Windows Средство чтения журнала событий Windows считывает и анализирует события Windows, перенаправляемые в журнал событий Windows шлюза ATA с контроллеров домена.
Переводчик сетевых действий Преобразует проанализированный трафик в логическое представление трафика, используемого ATA (NetworkActivity).
Сопоставитель сущностей Сопоставитель сущностей принимает проанализированные данные (сетевой трафик и события) и разрешает их с помощью Active Directory для поиска сведений об учетной записи и удостоверениях. Затем он сопоставляется с IP-адресами, найденными в проанализированных данных. Сопоставитель сущностей эффективно проверяет заголовки пакетов, чтобы включить синтаксический анализ пакетов проверки подлинности для имен компьютеров, свойств и удостоверений. Сопоставитель сущностей объединяет проанализированные пакеты проверки подлинности с данными в фактическом пакете.
Отправитель сущности Отправитель сущности отправляет проанализированные и сопоставленные данные в Центр ATA.

Функции упрощенного шлюза ATA

Следующие функции работают по-разному в зависимости от того, используете ли вы шлюз ATA или упрощенный шлюз ATA.

  • Упрощенный шлюз ATA может считывать события локально без необходимости настраивать пересылку событий.

  • Кандидат синхронизатора домена
    Шлюз синхронизации домена отвечает за упреждающую синхронизацию всех сущностей из определенного домена Active Directory (аналогично механизму, используемому самими контроллерами домена для репликации). Один шлюз выбирается случайным образом из списка кандидатов, чтобы служить синхронизатором домена.
    Если синхронизатор находится в автономном режиме более 30 минут, вместо него выбирается другой кандидат. Если для определенного домена нет кандидата синхронизатора домена, ATA заранее синхронизирует сущности и их изменения, однако ATA будет реактивно извлекать новые сущности по мере их обнаружения в отслеживаемом трафике.

    Если синхронизатор домена недоступен, поиск сущности без связанного с ней трафика не приводит к результатам.

    По умолчанию все шлюзы ATA являются кандидатами на синхронизацию домена.

    Так как все упрощенные шлюзы ATA с большей вероятностью будут развернуты на сайтах филиалов и на небольших контроллерах домена, они по умолчанию не являются кандидатами синхронизаторов.

    В среде с упрощенными шлюзами рекомендуется назначить два шлюза в качестве кандидатов синхронизаторов, где один упрощенный шлюз является кандидатом синхронизатора по умолчанию, а один — резервным, если значение по умолчанию находится в автономном режиме более 30 минут.

  • Ограничения ресурсов
    Упрощенный шлюз ATA включает компонент мониторинга, который оценивает доступные вычислительные ресурсы и объем памяти на контроллере домена, на котором он работает. Процесс мониторинга выполняется каждые 10 секунд и динамически обновляет квоту использования ЦП и памяти в процессе упрощенного шлюза ATA, чтобы убедиться, что в любой момент времени контроллер домена имеет по крайней мере 15 % свободных вычислительных ресурсов и ресурсов памяти.

    Независимо от того, что происходит на контроллере домена, этот процесс всегда освобождает ресурсы, чтобы убедиться, что основные функции контроллера домена не затрагиваются.

    Если это приводит к тому, что в упрощенном шлюзе ATA иссякнет ресурс, отслеживается только частичный трафик, а на странице Работоспособность отображается оповещение о работоспособности "Удаленный сетевой трафик с зеркальным портом".

В следующей таблице приведен пример контроллера домена с достаточным объемом вычислительных ресурсов, чтобы обеспечить большую квоту, которая требуется в настоящее время, чтобы отслеживать весь трафик:

Active Directory (Lsass.exe) Упрощенный шлюз ATA (Microsoft.Tri.Gateway.exe) Прочее (другие процессы) Квота упрощенного шлюза ATA Удаление шлюза
30% 20% 10 % 45% Нет

Если Active Directory требуется больше вычислительных ресурсов, квота, необходимая для упрощенного шлюза ATA, уменьшается. В следующем примере упрощенный шлюз ATA требует больше выделенной квоты и удаляет часть трафика (мониторинг только частичного трафика):

Active Directory (Lsass.exe) Упрощенный шлюз ATA (Microsoft.Tri.Gateway.exe) Прочее (другие процессы) Квота упрощенного шлюза ATA Удаление шлюза
60% 15 % 10 % 15 % Да

Компоненты сети

Чтобы работать с ATA, убедитесь, что проверка, что настроены следующие компоненты.

Зеркальное отображение портов

Если вы используете шлюзы ATA, необходимо настроить зеркальное отображение портов для отслеживаемых контроллеров домена и задать шлюз ATA в качестве назначения с помощью физических или виртуальных коммутаторов. Другой вариант — использовать сетевые TAP. ATA работает, если некоторые, но не все контроллеры домена отслеживаются, но обнаружение менее эффективно.

В то время как зеркальное отображение портов отражает весь сетевой трафик контроллера домена в шлюз ATA, только небольшая часть этого трафика затем отправляется в Центр ATA для анализа.

Контроллеры домена и шлюзы ATA могут быть физическими или виртуальными. Дополнительные сведения см. в статье Настройка зеркального отображения портов .

События

Чтобы улучшить обнаружение ata pass-the-Hash, метод подбора, изменение конфиденциальных групп и токенов honey, ATA требует следующих событий Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Их можно автоматически считывать упрощенным шлюзом ATA или, если упрощенный шлюз ATA не развернут, его можно перенаправить в шлюз ATA одним из двух способов: настроив шлюз ATA прослушивание событий SIEM или настроив переадресацию событий Windows.

  • Настройка шлюза ATA для прослушивания событий SIEM
    Настройте SIEM для пересылки определенных событий Windows в ATA. ATA поддерживает ряд поставщиков SIEM. Дополнительные сведения см. в разделе Настройка сбора событий.

  • Настройка переадресации событий Windows
    Другой способ получения событий ATA — настроить контроллеры домена для пересылки событий Windows 4776, 4732, 4733, 4728, 4729, 4756 и 4757 в шлюз ATA. Это особенно полезно, если у вас нет SIEM или если SIEM в настоящее время не поддерживается ATA. Сведения о настройке переадресации событий Windows в ATA см. в разделе Настройка переадресации событий Windows. Это относится только к физическим шлюзам ATA, но не к упрощенной версии шлюза ATA.

См. также