Arquitectura de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
La arquitectura de Advanced Threat Analytics se detalla en este diagrama:
ATA supervisa el tráfico de red del controlador de dominio mediante la creación de reflejo del puerto en una puerta de enlace de ATA mediante conmutadores físicos o virtuales. Si implementa la puerta de enlace ligera de ATA directamente en los controladores de dominio, quita el requisito de creación de reflejo del puerto. Además, ATA puede aprovechar los eventos de Windows (reenviados directamente desde los controladores de dominio o desde un servidor SIEM) y analizar los datos de ataques y amenazas. En esta sección se describe el flujo de captura de red y eventos y se explora en profundidad para describir la funcionalidad de los componentes principales de ATA: la puerta de enlace de ATA, la puerta de enlace ligera de ATA (que tiene la misma funcionalidad básica que la puerta de enlace de ATA) y el Centro ATA.
Componentes de ATA
ATA consta de los siguientes componentes:
- Centro ATA
El Centro ATA recibe datos de cualquier puerta de enlace de ATA o puertas de enlace ligeras de ATA que implemente. - Puerta de enlace de ATA
La puerta de enlace de ATA se instala en un servidor dedicado que supervisa el tráfico de los controladores de dominio mediante la creación de reflejo del puerto o un TAP de red. - Puerta de enlace ligera de ATA
La puerta de enlace ligera de ATA se instala directamente en los controladores de dominio y supervisa su tráfico directamente, sin necesidad de un servidor dedicado o una configuración de creación de reflejo del puerto. Es una alternativa a la puerta de enlace de ATA.
Una implementación de ATA puede constar de un único centro de ATA conectado a todas las puertas de enlace de ATA, todas las puertas de enlace ligeras de ATA o una combinación de puertas de enlace de ATA y puertas de enlace ligeras de ATA.
Opciones de implementación
Puede implementar ATA mediante la siguiente combinación de puertas de enlace:
- Usar solo puertas de enlace de ATA
La implementación de ATA solo puede contener puertas de enlace de ATA, sin puertas de enlace ligeras de ATA: todos los controladores de dominio deben estar configurados para habilitar la creación de reflejo del puerto en una puerta de enlace de ATA o taPs de red. - Uso de solo puertas de enlace ligeras de ATA
La implementación de ATA solo puede contener puertas de enlace ligeras de ATA: las puertas de enlace ligeras de ATA se implementan en cada controlador de dominio y no se necesita ninguna configuración de creación de reflejo de puertos ni servidores adicionales. - Uso de puertas de enlace de ATA y puertas de enlace ligeras de ATA
La implementación de ATA incluye puertas de enlace de ATA y puertas de enlace ligeras de ATA. Las puertas de enlace ligeras de ATA se instalan en algunos de los controladores de dominio (por ejemplo, todos los controladores de dominio de los sitios de sucursal). Al mismo tiempo, las puertas de enlace de ATA supervisan otros controladores de dominio (por ejemplo, los controladores de dominio más grandes de los centros de datos principales).
En todos estos escenarios, todas las puertas de enlace envían sus datos al Centro ATA.
Centro ATA
El Centro ATA realiza las funciones siguientes:
Administra la configuración de la puerta de enlace de ATA y la puerta de enlace ligera de ATA.
Recibe datos de puertas de enlace de ATA y puertas de enlace ligeras de ATA
Detecta actividades sospechosas
Ejecuta algoritmos de aprendizaje automático de comportamiento de ATA para detectar un comportamiento anómalo
Ejecuta varios algoritmos deterministas para detectar ataques avanzados en función de la cadena de eliminación de ataques
Ejecuta la consola de ATA
Opcional: el Centro ATA se puede configurar para enviar correos electrónicos y eventos cuando se detecta una actividad sospechosa.
El Centro ATA recibe tráfico analizado desde la puerta de enlace de ATA y la puerta de enlace ligera de ATA. A continuación, realiza la generación de perfiles, ejecuta la detección determinista y ejecuta algoritmos de aprendizaje automático y comportamiento para obtener información sobre la red, habilitar la detección de anomalías y advertirle de actividades sospechosas.
| Tipo | Descripción |
|---|---|
| Receptor de entidades | Recibe lotes de entidades de todas las puertas de enlace de ATA y puertas de enlace ligeras de ATA. |
| Procesador de actividad de red | Procesa todas las actividades de red dentro de cada lote recibido. Por ejemplo, la coincidencia entre los distintos pasos de Kerberos realizados desde equipos potencialmente diferentes |
| Entity Profiler | Genera perfiles de todas las entidades únicas según el tráfico y los eventos. Por ejemplo, ATA actualiza la lista de equipos que han iniciado sesión para cada perfil de usuario. |
| Base de datos central | Administra el proceso de escritura de las actividades de red y los eventos en la base de datos. |
| Base de datos | ATA utiliza MongoDB para almacenar todos los datos del sistema: - Actividades de red - Actividades de eventos - Entidades únicas - Actividades sospechosas - Configuración de ATA |
| Detectores | Los detectores usan algoritmos de aprendizaje automático y reglas deterministas para buscar actividades sospechosas y comportamiento anómalo del usuario en la red. |
| Consola de ATA | La consola de ATA es para configurar ATA y supervisar actividades sospechosas detectadas por ATA en la red. La consola de ATA no depende del servicio del Centro ATA y se ejecuta incluso cuando se detiene el servicio, siempre y cuando pueda comunicarse con la base de datos. |
Tenga en cuenta los criterios siguientes al decidir cuántos centros de ATA implementar en la red:
Un centro de ATA puede supervisar un único bosque de Active Directory. Si tiene más de un bosque de Active Directory, necesita un mínimo de un centro de ATA por bosque de Active Directory.
En implementaciones de Active Directory grandes, es posible que un único centro de ATA no pueda controlar todo el tráfico de todos los controladores de dominio. En este caso, se requieren varios centros ATA. El número de centros de ATA debe ser dictado por el planeamiento de la capacidad de ATA.
Puerta de enlace de ATA y puerta de enlace ligera de ATA
Funcionalidad básica de puerta de enlace
La puerta de enlace de ATA y la puerta de enlace ligera de ATA tienen la misma funcionalidad básica:
Capture e inspeccione el tráfico de red del controlador de dominio. Este es el tráfico reflejado en el puerto para las puertas de enlace de ATA y el tráfico local del controlador de dominio en puertas de enlace ligeras de ATA.
Recibir eventos de Windows desde servidores SIEM o Syslog, o desde controladores de dominio mediante el reenvío de eventos de Windows
Recuperación de datos sobre usuarios y equipos del dominio de Active Directory
Resolución de entidades de red (usuarios, grupos y equipos)
Transferencia de datos relevantes al Centro ATA
Supervise varios controladores de dominio desde una única puerta de enlace de ATA o supervise un único controlador de dominio para una puerta de enlace ligera de ATA.
La puerta de enlace de ATA recibe tráfico de red y eventos de Windows de la red y los procesa en los siguientes componentes principales:
| Tipo | Descripción |
|---|---|
| Agente de escucha de red | El agente de escucha de red captura el tráfico de red y analiza el tráfico. Se trata de una tarea intensiva de CPU, por lo que es especialmente importante comprobar los requisitos previos de ATA al planear la puerta de enlace de ATA o la puerta de enlace ligera de ATA. |
| de cadena de bloques | El agente de escucha de eventos captura y analiza eventos de Windows reenviados desde un servidor SIEM en la red. |
| Lector del registro de eventos de Windows | El Lector del registro de eventos de Windows lee y analiza los eventos de Windows reenviados al registro de eventos de Windows de la puerta de enlace de ATA desde los controladores de dominio. |
| Traductor de actividad de red | Convierte el tráfico analizado en una representación lógica del tráfico utilizado por ATA (NetworkActivity). |
| Solucionador de entidades | El Solucionador de entidades toma los datos analizados (tráfico de red y eventos) y lo resuelve con Active Directory para buscar información de cuenta e identidad. A continuación, coincide con las direcciones IP que se encuentran en los datos analizados. El solucionador de entidades inspecciona los encabezados de paquete de forma eficaz, para permitir el análisis de paquetes de autenticación para nombres de máquina, propiedades e identidades. El solucionador de entidades combina los paquetes de autenticación analizados con los datos del paquete real. |
| Remitente de la entidad | El remitente de la entidad envía los datos analizados y coincidentes al Centro ATA. |
Características de la puerta de enlace ligera de ATA
Las siguientes características funcionan de forma diferente en función de si está ejecutando una puerta de enlace de ATA o una puerta de enlace ligera de ATA.
La puerta de enlace ligera de ATA puede leer eventos localmente, sin necesidad de configurar el reenvío de eventos.
Candidato del sincronizador de dominio
La puerta de enlace del sincronizador de dominio es responsable de sincronizar todas las entidades de un dominio de Active Directory específico de forma proactiva (similar al mecanismo utilizado por los propios controladores de dominio para la replicación). Una puerta de enlace se elige aleatoriamente, en la lista de candidatos, para servir como sincronizador de dominio.
Si el sincronizador está sin conexión durante más de 30 minutos, se elige otro candidato en su lugar. Si no hay ningún candidato del sincronizador de dominios disponible para un dominio específico, ATA sincroniza proactivamente las entidades y sus cambios, pero ATA recuperará reactivamente nuevas entidades a medida que se detecten en el tráfico supervisado.Cuando no haya ningún sincronizador de dominio disponible, la búsqueda de una entidad sin tráfico relacionado con ella no muestra ningún resultado.
De forma predeterminada, todas las puertas de enlace de ATA son candidatas para el sincronizador de dominio.
Dado que es más probable que todas las puertas de enlace ligeras de ATA se implementen en sitios de sucursal y en controladores de dominio pequeños, no son candidatas para sincronizadores de forma predeterminada.
En un entorno con solo puertas de enlace ligeras, se recomienda asignar dos de las puertas de enlace como candidatos del sincronizador, donde una puerta de enlace ligera es el candidato del sincronizador predeterminado y otra es la copia de seguridad en caso de que el valor predeterminado esté sin conexión durante más de 30 minutos.
Limitaciones de recursos
La puerta de enlace ligera de ATA incluye un componente de supervisión que evalúa la capacidad de proceso y memoria disponible en el controlador de dominio en el que se ejecuta. El proceso de supervisión se ejecuta cada 10 segundos y actualiza dinámicamente la cuota de uso de cpu y memoria en el proceso de puerta de enlace ligera de ATA para asegurarse de que, en un momento dado, el controlador de dominio tiene al menos un 15 % de recursos de proceso y memoria libres.Independientemente de lo que suceda en el controlador de dominio, este proceso siempre libera recursos para asegurarse de que la funcionalidad principal del controlador de dominio no se ve afectada.
Si esto hace que la puerta de enlace ligera de ATA se queda sin recursos, solo se supervisa el tráfico parcial y la alerta de mantenimiento "Tráfico de red reflejado en el puerto eliminado" aparece en la página Estado.
En la tabla siguiente se proporciona un ejemplo de un controlador de dominio con suficiente recurso de proceso disponible para permitir una cuota mayor y, a continuación, se necesita actualmente, de modo que se supervise todo el tráfico:
| Active Directory (Lsass.exe) | Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe) | Varios (otros procesos) | Cuota de puerta de enlace ligera de ATA | Eliminación de puerta de enlace |
|---|---|---|---|---|
| 30 % | 20 % | 10% | 45 % | No |
Si Active Directory necesita más proceso, se reduce la cuota necesaria para la puerta de enlace ligera de ATA. En el ejemplo siguiente, la puerta de enlace ligera de ATA necesita más que la cuota asignada y quita parte del tráfico (supervisando solo el tráfico parcial):
| Active Directory (Lsass.exe) | Puerta de enlace ligera de ATA (Microsoft.Tri.Gateway.exe) | Varios (otros procesos) | Cuota de puerta de enlace ligera de ATA | ¿Se quita la puerta de enlace? |
|---|---|---|---|---|
| 60% | 15 % | 10% | 15 % | Sí |
Componentes de red
Para trabajar con ATA, asegúrese de comprobar que están configurados los siguientes componentes.
Creación de reflejo del puerto
Si usa puertas de enlace de ATA, debe configurar la creación de reflejo del puerto para los controladores de dominio que se supervisan y establecen la puerta de enlace de ATA como destino mediante los conmutadores físicos o virtuales. Otra opción es usar TAP de red. ATA funciona si algunos pero no todos los controladores de dominio se supervisan, pero las detecciones son menos eficaces.
Aunque la creación de reflejo del puerto refleja todo el tráfico de red del controlador de dominio a la puerta de enlace de ATA, solo se envía un pequeño porcentaje de ese tráfico, comprimido, al Centro ATA para su análisis.
Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales, consulte Configuración de la creación de reflejo del puerto para obtener más información.
Eventos
Para mejorar la detección de ATA de pass-the-hash, fuerza bruta, modificación de grupos confidenciales y tokens de miel, ATA necesita los siguientes eventos de Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. La puerta de enlace ligera de ATA puede leerlas automáticamente o, en caso de que no se implemente la puerta de enlace ligera de ATA, se puede reenviar a la puerta de enlace de ATA de dos maneras, configurando la puerta de enlace de ATA para escuchar eventos SIEM o configurando el reenvío de eventos de Windows.
Configuración de la puerta de enlace de ATA para escuchar eventos SIEM
Configure el SIEM para reenviar eventos específicos de Windows a ATA. ATA admite una serie de proveedores de SIEM. Para obtener más información, consulte Configuración de la recopilación de eventos.Configuración del reenvío de eventos de Windows
Otra forma en que ATA puede obtener los eventos es configurar los controladores de dominio para reenviar eventos de Windows 4776, 4732, 4733, 4728, 4729, 4756 y 4757 a la puerta de enlace de ATA. Esto es especialmente útil si no tiene un SIEM o si su SIEM no es compatible actualmente con ATA. Para completar la configuración del reenvío de eventos de Windows en ATA, consulte Configuración del reenvío de eventos de Windows. Esto solo se aplica a las puertas de enlace de ATA físicas, no a la puerta de enlace ligera de ATA.