ATA 架構
適用於:Advanced Threat Analytics 1.9 版
下圖詳細說明 Advanced Threat Analytics 架構:
ATA 會使用實體或虛擬交換器對 ATA 閘道的埠鏡像來監視域控制器網路流量。 如果您直接在域控制器上部署 ATA 輕量型閘道,它會移除埠鏡像的需求。 此外,ATA 可以利用 Windows 事件 (直接從域控制器或 SIEM 伺服器轉送) ,並分析數據是否有攻擊和威脅。 本節說明網路和事件擷取的流程,並向下鑽研以描述 ATA 主要元件的功能:ATA 閘道、ATA 輕量型閘道 (,其核心功能與 ATA 閘道) 和 ATA 中心相同。
ATA 元件
ATA 包含下列元件:
-
ATA 中心
ATA 中心會從您部署的任何 ATA 閘道和/或 ATA 輕量型閘道接收數據。 -
ATA 閘道
ATA 閘道安裝在使用埠鏡像或網路 TAP 監視域控制器流量的專用伺服器上。 -
ATA 輕量型閘道
ATA 輕量型閘道會直接安裝在您的域控制器上,並直接監視其流量,而不需要專用伺服器或埠鏡像設定。 它是 ATA 閘道的替代方案。
ATA 部署可以包含連線到所有 ATA 閘道的單一 ATA 中心、所有 ATA 輕量型閘道,或 ATA 閘道和 ATA 輕量型閘道的組合。
部署選項
您可以使用下列閘道組合來部署 ATA:
-
僅使用 ATA 閘道
您的 ATA 部署只能包含 ATA 閘道,而不需要任何 ATA 輕量型閘道:所有域控制器都必須設定為啟用 ATA 閘道的埠鏡像,否則網路 TAP 必須就緒。 -
僅使用 ATA 輕量型閘道
您的 ATA 部署只能包含 ATA 輕量型閘道:ATA 輕量型閘道會部署在每個域控制器上,不需要額外的伺服器或埠鏡像設定。 -
同時使用 ATA 閘道和 ATA 輕量型閘道
您的 ATA 部署同時包含 ATA 閘道和 ATA 輕量型閘道。 ATA 輕量型閘道會安裝在某些域控制器上 (例如,分支站台中的所有域控制器) 。 同時,ATA 閘道會監視其他域控制器 (例如,主要數據中心內較大的域控制器) 。
在所有這些案例中,所有網關都會將其數據傳送至 ATA 中心。
ATA 中心
ATA 中心會執行下列功能:
管理 ATA 閘道和 ATA 輕量型閘道組態設定
從 ATA 閘道和 ATA 輕量型閘道接收數據
偵測可疑活動
執行 ATA 行為機器學習演算法來偵測異常行為
執行各種確定性演算法,以根據攻擊終止鏈來偵測進階攻擊
執行 ATA 控制台
選擇性:ATA 中心可設定為在偵測到可疑活動時傳送電子郵件和事件。
ATA 中心會接收來自 ATA 閘道和 ATA 輕量型閘道的已剖析流量。 然後,它會執行分析、執行確定性偵測,以及執行機器學習和行為演算法來瞭解您的網路、啟用異常偵測,以及警告您可疑的活動。
| 類型 | 描述 |
|---|---|
| 實體接收者 | 從所有 ATA 閘道和 ATA 輕量型閘道接收實體批次。 |
| 網路活動處理器 | 處理每個接收批次內的所有網路活動。 例如,從可能不同的計算機執行的各種 Kerberos 步驟之間的比對 |
| 實體分析工具 | 根據流量和事件來分析所有唯一實體。 例如,ATA 會更新每個使用者配置檔的已登入計算機清單。 |
| 中心資料庫 | 管理網路活動和事件寫入資料庫的程式。 |
| Database | ATA 利用 MongoDB 將所有資料儲存在系統中: - 網路活動 - 事件活動 - 唯一實體 - 可疑的活動 - ATA 設定 |
| 探測器 | 偵測器會使用機器學習演算法和決定性規則來尋找您網路中的可疑活動和異常用戶行為。 |
| ATA 控制台 | ATA 控制台是用於設定 ATA,並監視 ATA 在網路上偵測到的可疑活動。 ATA 控制台不相依於 ATA 中心服務,即使在停止服務時仍會執行,只要它可以與資料庫通訊即可。 |
決定要在網路上部署多少 ATA 中心時,請考慮下列準則:
一個 ATA 中心可以監視單一 Active Directory 樹系。 如果您有多個 Active Directory 樹系,則每個 Active Directory 樹系至少需要一個 ATA 中心。
在大型 Active Directory 部署中,單一 ATA 中心可能無法處理所有域控制器的所有流量。 在此情況下,需要多個 ATA 中心。 ATA 中心數目應由 ATA 容量規劃決定。
ATA 閘道和 ATA 輕量型閘道
網關核心功能
ATA 閘道和 ATA 輕量型閘道都有相同的核心功能:
擷取並檢查域控制器網路流量。 這是 ATA 閘道的埠鏡像流量,以及 ATA 輕量型閘道中域控制器的本機流量。
從 SIEM 或 Syslog 伺服器接收 Windows 事件,或從使用 Windows 事件轉送的域控制器接收 Windows 事件
從 Active Directory 網域中檢索使用者和電腦的相關資料
執行網路實體(使用者、群組及電腦)的解決方案
將相關數據傳輸至 ATA 中心
從單一 ATA 閘道監視多個域控制器,或監視 ATA 輕量型閘道的單一域控制器。
ATA 閘道會從您的網路接收網路流量和 Windows 事件,並在下列主要元件中處理它:
| 類型 | 描述 |
|---|---|
| 網路接聽程式 | 網路接聽程式會擷取網路流量並剖析流量。 這是 CPU 繁重的工作,因此在規劃 ATA 閘道或 ATA 輕量型閘道時,檢查 ATA 必要 條件特別重要。 |
| 事件接聽程式 | 事件接聽程式會擷取和剖析從您網路上的 SIEM 伺服器轉送的 Windows 事件。 |
| Windows 事件記錄讀取器 | Windows 事件記錄讀取器會從域控制器讀取和剖析轉送至 ATA 閘道 Windows 事件記錄檔的 Windows 事件。 |
| 網路活動翻譯工具 | 將剖析的流量轉譯為 ATA 所使用流量的邏輯表示 (NetworkActivity) 。 |
| 實體解析程式 | 實體解析程式會將剖析的數據 (網路流量和事件) ,並使用 Active Directory 將數據解析為尋找帳戶和身分識別資訊。 然後,它會與在剖析的數據中找到的IP位址進行比對。 實體解析程式會有效率地檢查封包標頭,以啟用計算機名稱、屬性和身分識別的驗證封包剖析。 實體解析程式會將剖析的驗證封包與實際封包中的數據結合。 |
| 實體寄件者 | 實體傳送者會將剖析且相符的數據傳送至 ATA 中心。 |
ATA 輕量型閘道功能
下列功能的運作方式會因您執行 ATA 閘道或 ATA 輕量型閘道而有所不同。
ATA 輕量型閘道可以在本機讀取事件,而不需要設定事件轉送。
網域同步器候選專案
網域同步器閘道負責主動同步處理特定 Active Directory 網域中的所有實體, (類似於域控制器本身用於復寫) 的機制。 系統會從候選項目清單中隨機選擇一個閘道,作為網域同步器。
如果同步器離線超過30分鐘,則會改為選擇另一個候選專案。 如果特定網域沒有可用的網域同步器候選專案,ATA 會主動同步處理實體及其變更,不過 ATA 會在受監視的流量中偵測到新實體時,以反應方式擷取新的實體。當沒有可用的網域同步器時,搜尋沒有相關流量的實體不會顯示任何結果。
根據預設,所有 ATA 閘道都是網域同步器候選專案。
因為所有 ATA 輕量型閘道都比較可能部署在分支月臺和小型域控制器上,所以它們預設不是同步器候選專案。
在只有輕量型網關的環境中,建議您將其中兩個閘道指派為同步器候選,其中一個羽量型網關是預設的同步器候選專案,另一個是備份,以防預設值脫機超過 30 分鐘。
資源限制
ATA 輕量型閘道包含監視元件,可評估其執行所在域控制器上的可用計算和記憶體容量。 監視程式會每隔 10 秒執行一次,並動態更新 ATA 輕量型網關進程上的 CPU 和記憶體使用量配額,以確保在任何指定的時間點,域控制器至少有 15% 的可用計算和記憶體資源。無論域控制器發生什麼情況,此程式一律會釋出資源,以確保域控制器的核心功能不會受到影響。
如果這會導致 ATA 輕量型閘道用完資源,則只會監視部分流量,健康情況警示「已卸除埠鏡像網路流量」會出現在 [健康情況] 頁面中。
下表提供域控制器的範例,其中包含足夠的可用計算資源,以允許目前需要較大的配額,以便監視所有流量:
| Active Directory (Lsass.exe) | ATA 輕量型閘道 (Microsoft.Tri.Gateway.exe) | 其他 (進程) | ATA 輕量型閘道配額 | 閘道卸除 |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | 否 |
如果 Active Directory 需要更多計算,ATA 輕量型閘道所需的配額將會減少。 在下列範例中,ATA 輕量型閘道需要超過配置的配額,並卸除部分流量 (只監視部分流量) :
| Active Directory (Lsass.exe) | ATA 輕量型閘道 (Microsoft.Tri.Gateway.exe) | 其他 (進程) | ATA 輕量型閘道配額 | 閘道正在卸除 |
|---|---|---|---|---|
| 60% | 15% 的成本 | 10% | 15% 的成本 | 是 |
您的網路元件
若要使用 ATA,請務必檢查是否已設定下列元件。
埠鏡像
如果您使用 ATA 閘道,您必須為受監視的域控制器設定埠鏡像,並使用實體或虛擬交換器將 ATA 閘道設定為目的地。 另一個選項是使用網路 TAP。 如果監視部分域控制器,但並非所有域控制器都受到監視,但偵測較不有效,ATA 就會運作。
雖然埠鏡像會將所有域控制器網路流量鏡像到 ATA 閘道,但只有一小部分的流量會接著傳送、壓縮至 ATA 中心進行分析。
您的域控制器和 ATA 閘道可以是實體或虛擬的,如需詳細資訊,請參閱 設定埠鏡像 。
Events
若要增強傳遞哈希、暴力密碼破解、修改敏感性群組和 Honey Token 的 ATA 偵測,ATA 需要下列 Windows 事件:4776、4732、4733、4728、4729、4756、4757。 ATA 輕量型閘道可以自動讀取這些專案,或者如果 ATA 輕量型閘道未部署,則可以透過兩種方式之一轉送至 ATA 閘道,方法是設定 ATA 閘道接聽 SIEM 事件或 設定 Windows 事件轉送。
設定 ATA 閘道以接聽 SIEM 事件
設定 SIEM 將特定 Windows 事件轉送至 ATA。 ATA 支援許多 SIEM 廠商。 如需詳細資訊, 請參閱設定事件收集。設定 Windows 事件轉送
ATA 取得事件的另一種方式是將域控制器設定為將 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757 轉送到 ATA 閘道。 如果您沒有 SIEM 或 ATA 目前不支援您的 SIEM,這特別有用。 若要在 ATA 中完成 Windows 事件轉送的設定,請參閱 設定 Windows 事件轉送。 這僅適用於實體 ATA 閘道,不適用於 ATA 輕量型閘道。