הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
חל על: Advanced Threat Analytics גירסה 1.9
הארכיטקטורה Advanced Threat Analytics מפורטת בדיאגרמה זו:
ATA מנטר את תעבורת הרשת של בקר התחום שלך על-ידי ניצול שיקוף יציאה לשער ATA באמצעות בוררים פיזיים או וירטואליים. אם אתה פורס את ATA Lightweight Gateway ישירות בבקרי התחום שלך, הוא מסיר את הדרישה עבור שיקוף יציאה. בנוסף, ATA יכול למנף אירועי Windows (מועברים ישירות בבקרי התחום שלך או משרת SIEM) ולנתח את הנתונים עבור תקיפות ואיומים. סעיף זה מתאר את זרימת לכידת הרשת והאירועים והסתעפות כדי לתאר את הפונקציונליות של הרכיבים העיקריים של ATA: שער ATA, ATA Lightweight Gateway (בעל פונקציונליות ליבה זהה לזו של שער ATA) ואת מרכז ATA.
רכיבי ATA
ATA מורכב מהרכיבים הבאים:
-
מרכז ATA
מרכז ATA מקבל נתונים מכל שערי ATA ו/או ATA Lightweight Gateways שאתה פורס. -
שער ATA
שער ATA מותקן בשרת ייעודי המנטר את התעבורה בבקרי התחום שלך באמצעות שיקוף יציאות או הקשה ברשת. -
שער קל משקל של ATA
ATA Lightweight Gateway מותקן ישירות בבקרי התחום שלך ומנטר את התעבורה שלו ישירות, ללא צורך בשרת ייעודי או בתצורה של שיקוף יציאה. זהו חלופה לשער ATA.
פריסת ATA יכולה להיות מורכבת ממרכז ATA יחיד המחובר לכל שערי ATA, לכל שערי ATA Lightweight Gateway או שילוב של שערי ATA ו- ATA Lightweight Gateways.
אפשרויות פריסה
באפשרותך לפרוס את ATA באמצעות שילוב השערים הבא:
-
שימוש בשערי ATA בלבד
פריסת ATA יכולה להכיל שערי ATA בלבד, ללא כל שערי ATA Lightweight Gateway: יש לקבוע את התצורה של כל בקרי התחום כדי לאפשר שיקוף יציאה לשער ATA או ל- TAP של רשת חייבים להיות במקומם. -
שימוש בשערי ATA Lightweight Gateway בלבד
פריסת ATA יכולה להכיל שערי ATA Lightweight Gateway בלבד: שערי Lightweight של ATA נפרסים בכל בקר תחום, ולא נדרשים שרתים או תצורת שיקוף יציאות נוספים. -
שימוש בשערי ATA ובשערי ATA Lightweight
פריסת ATA כוללת שערי ATA ו- ATA Lightweight Gateways. ATA Lightweight Gateways מותקנים בחלק מבקרי התחום שלך (לדוגמה, כל בקרי התחום באתרים של הענף שלך). בו-זמנית, בקרי תחום אחרים נמצאים בפיקוח של שערי ATA (לדוגמה, בקרי התחום הגדולים יותר במרכזי הנתונים הראשיים שלך).
בכל התרחישים הללו, כל השערים שולחים את הנתונים שלהם למרכז ATA.
מרכז ATA
מרכז ATA מבצע את הפונקציות הבאות:
ניהול הגדרות תצורה של שער ATA ו- ATA Lightweight Gateway
קבלת נתונים שערי ATA ושערי ATA Lightweight Gateways
מזהה פעילויות חשודות
הפעלת אלגוריתמים של למידת מכונה התנהגותית של ATA לזיהוי התנהגות חריגה
מפעיל אלגוריתמים דטרמיניסטיים שונים כדי לזהות מתקפות מתקדמות בהתבסס על שרשרת הרג ההתקפה
הפעלת מסוף ATA
אופציונלי: ניתן לקבוע את התצורה של מרכז הנתונים לשליחת הודעות דואר אלקטרוני ואירועים כאשר מזוהה פעילות חשודה.
מרכז ATA מקבל תעבורה שנותטה מתוך שער ATA ושער קלי משקל של ATA. לאחר מכן היא מבצעת יצירת פרופילים, מפעילה זיהוי דטרמיניסטי ומפעילה למידת מכונה ואת האלגוריתמים התנהגותיים כדי ללמוד על הרשת שלך, לאפשר זיהוי של חריגות ולהזהיר אותך לגבי פעילויות חשודות.
| סוג | תיאור |
|---|---|
| מקבל ישות | מקבל אצוות של ישויות מכל שערי ATA ושערי Lightweight של ATA. |
| מעבד פעילות רשת | מעבד את כל פעילויות הרשת בתוך כל אצווה שהתקבלה. לדוגמה, התאמה בין שלבי Kerberos השונים שבוצעו ממחשבים שעלולים להיות שונים |
| Entity Profiler | פרופילים של כל הישויות הייחודיות בהתאם לתעבורה ולאירועים. לדוגמה, ATA מעדכן את רשימת המחשבים המחוברים עבור כל פרופיל משתמש. |
| מרכז מסד נתונים | מנהל את תהליך הכתיבה של פעילויות הרשת והאירועים במסד הנתונים. |
| Database | ATA משתמש ב- MongoDB למטרות אחסון כל הנתונים במערכת: - פעילויות רשת - פעילויות אירועים - ישויות ייחודיות - פעילויות חשודות - תצורת ATA |
| גלאי | הגלאים משתמשים באלגוריתמים של למידת מכונה ובכללים דטרמיניסטיים כדי למצוא פעילויות חשודות ואת אופן הפעולה החריג של המשתמשים ברשת שלך. |
| מסוף ATA | מסוף ה- ATA מיועד לקביעת תצורה של ATA ולניטור פעילויות חשודות שזוהו על-ידי ATA ברשת שלך. מסוף ATA אינו תלוי בשירות מרכז ATA ותפעל גם כאשר השירות מופסק, כל עוד הוא יכול לקיים תקשורת עם מסד הנתונים. |
שקול את הקריטריונים הבאים בעת החלטה כמה מרכזי ATA לפרוס ברשת שלך:
One ATA Center can monitor a single Active Directory forest. אם יש לך יותר מיער אחד של Active Directory, דרוש לך לפחות מרכז ATA אחד לכל יער של Active Directory.
בפריסות Active Directory גדולות, ייתכן שמרכז ATA יחיד לא יוכל לטפל בכל התעבורה של כל בקרי התחום שלך. במקרה זה, נדרשים מרכזי ATA מרובים. יש להכתיב את מספר מרכזי ATA על-ידי תכנון קיבולת ATA.
שער ATA ושער קל משקל של ATA
פונקציונליות ליבה של שער
שער ATA ושערATA Lightweight Gateway כוללים את אותה פונקציונליות ליבה:
לכוד ובדוק תעבורת רשת של בקר תחום. זוהי תעבורה משוקפים של יציאה עבור שערי ATA ותעבורה מקומית של בקר התחום ב- ATA Lightweight Gateways.
קבל אירועי Windows משרתי SIEM או Syslog, או בבקרי תחום באמצעות העברת אירועים של Windows
אחזור נתונים אודות משתמשים ומחשבים מתחום Active Directory
ביצוע פתרון של ישויות רשת (משתמשים, קבוצות ומחשבים)
העברת נתונים רלוונטיים למרכז ATA
נטר בקרי תחום מרובים מתוך שער ATA יחיד, או נטר בקר תחום יחיד עבור שער קל משקל של ATA.
שער ATA מקבל תעבורת רשת ואירועי Windows מהרשת ומעבד אותו ברכיבים העיקריים הבאים:
| סוג | תיאור |
|---|---|
| מאזין רשת | מאזין הרשת לוכד תעבורת רשת ומנתח את התעבורה. זוהי משימה כבדה ב- CPU, ולכן חשוב במיוחד לבדוק דרישות מוקדמות של ATA בעת תכנון שער ATA או שער קליל של ATA. |
| מאזין אירועים | מאזין האירועים לוכד ומנתח אירועי Windows שהועברו משרת SIEM ברשת שלך. |
| קורא יומן האירועים של Windows | קורא יומן האירועים של Windows מקריא ומנתח אירועי Windows שהועברו ליומן האירועים של Windows של שער ATA בבקרי התחום. |
| Network Activity Translator | תרגום תעבורה שנותטה לייצוג לוגי של התעבורה המשמשת את ATA (NetworkActivity). |
| פותרן הישות | פותר הישויות לוקח את הנתונים שנותחו (תעבורת רשת ואירועים) ופתר אותם נתונים עם Active Directory כדי למצוא פרטי חשבון וזהות. לאחר מכן היא תואמת לכתובות ה- IP שנמצאות בנתונים שנותחו. פותרן הישויות בודק ביעילות את כותרות המנות, כדי לאפשר ניתוח של מנות אימות עבור שמות מחשב, מאפיינים וזהויות. פותרן הישות משלב את מנות האימות שנותחו עם הנתונים במנה בפועל. |
| שולח ישות | שולח הישות שולח את הנתונים שנותחו והתאימו למרכז ATA. |
תכונות ATA Lightweight Gateway
התכונות הבאות פועלות באופן שונה בהתאם לאם אתה מפעיל שער ATA או ATA Lightweight Gateway.
ATA Lightweight Gateway יכול לקרוא אירועים באופן מקומי, ללא צורך בקביעת התצורה של העברת אירועים.
מועמד למסנכרן תחומים
שער מסנכרן התחום אחראי לסינכרון כל הישויות מתחום Active Directory ספציפי באופן יזום (בדומה למנגנון שבו משתמשים בקרי התחום עצמם לשכפול). שער אחד נבחר באופן אקראי, מתוך רשימת המועמדים, שישמש כמסנכרן התחומים.
אם המסנכרן נמצא במצב לא מקוון למשך יותר מ- 30 דקות, נבחר מועמד אחר במקום זאת. אם אין מועמד מסנכרן תחומים זמין עבור תחום ספציפי, ATA מסנכרן באופן יזום ישויות ואת השינויים שלהן, אולם ATA יאחזר באופן תגובתי ישויות חדשות כפי שהן מזוהות בתעבורה המנוהילת.כאשר אין מסנכרן תחומים זמין, חיפוש ישות ללא תעבורה הקשורה אליה אינו מציג תוצאות.
כברירת מחדל, כל שערי ATA הם מועמדים למסנכרן תחומים.
מאחר שכל שערי Lightweight Gateway של ATA עשויים להיפרס באתרים של הסתעפות ובבקרי תחום קטנים, הם אינם מועמדים למסנכרן כברירת מחדל.
בסביבה עם שערים קלים בלבד, מומלץ להקצות שניים מהשערים כמועמדים למסנכרן, כאשר Lightweight Gateway אחד הוא מועמד ברירת המחדל של המסנכרן, והוא משמש כגיבוי למקרה שברירת המחדל היא במצב לא מקוון למשך יותר מ- 30 דקות.
מגבלות משאבים
ATA Lightweight Gateway כולל רכיב ניטור שמעריכה את קיבולת המיחשוב והזיכרון הזמינה בבקר התחום שבו הוא פועל. תהליך הניטור פועל כל 10 שניות ומעדכן באופן דינאמי את מיכסת ניצול הזיכרון והמעבד המרכזי בתהליך של ATA Lightweight Gateway כדי לוודא שבנקודה נתונה בזמן, לבקר התחום יש לפחות 15% ממשאבי המיחשוב והזיכרון ללא תשלום.ללא קשר למה שקורה בבקר התחום, תהליך זה תמיד מ פנה משאבים כדי לוודא שפונקציונליות הליבה של בקר התחום אינה מושפעת.
אם פעולה זו גורמת ל- ATA Lightweight Gateway להיתקל במשאבים, רק תעבורה חלקית מנוהלת והתראה התקינות "שחרור תעבורת רשת משוקפים של יציאה" מופיעה בדף תקינות.
הטבלה הבאה מספקת דוגמה לבקר תחום עם מספיק משאבי חישוב זמינים כדי לאפשר מיכסה גדולה יותר אז נדרשת כעת, כך שכל התעבורה תחת פיקוח:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | שונות (תהליכים אחרים) | מיכסת שער קל משקל של ATA | שחרור שער |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | לא |
אם Active Directory זקוק לחישוב נוסף, המיכסה הנדרשת על-ידי ATA Lightweight Gateway מוקטנת. בדוגמה הבאה, שער קלי משקל של ATA זקוק ליותר מהמיכסה שהוקצתה ומשחרר חלק מהתעבורה (ניטור תעבורה חלקית בלבד):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | שונות (תהליכים אחרים) | מיכסת שער קל משקל של ATA | הוא שחרור שער |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | כן |
רכיבי הרשת שלך
כדי לעבוד עם ATA, הקפד לוודא שהרכיבים הבאים מוגדרים.
שיקוף יציאה
אם אתה משתמש בשערי ATA, עליך להגדיר שיקוף יציאה עבור בקרי התחום המנוהגים ולהגדיר את שער ATA כיעד באמצעות המתגים הפיזיים או הווירטואליים. אפשרות נוספת היא להשתמש ב- TAP של הרשת. ATA פועל אם חלק מבקרי התחום שלך, אך לא כולם, נמצאים בפיקוח, אך הזיהויים פחות יעילים.
בעוד שיקוף יציאה משקף את כל תעבורת הרשת של בקר התחום לשער ATA, רק אחוז קטן של תעבורה זו נשלח לאחר מכן, דחוס, למרכז ATA לצורך ניתוח.
בקרי התחום שלך ושערי ATA יכולים להיות פיזיים או וירטואליים, ראה קביעת תצורה של שיקוף יציאה לקבלת מידע נוסף.
אירועים
כדי לשפר את זיהוי הנתונים של Pass-the-Hash, Brute Force, שינויים בקבוצות רגישות ובאסימוני דבש, ATA זקוק לאירועי Windows הבאים: 4776, 4732, 4733, 4728, 4729, 4756, 4757. ניתן לקרוא אותן באופן אוטומטי על-ידי ATA Lightweight Gateway או במקרה ששער ATA Lightweight Gateway אינו נפרס, ניתן להעביר אותו לשער ATA באחת משתי דרכים, על-ידי קביעת התצורה של שער ATA להאזנה לאירועי SIEM או על-ידי קביעת התצורה של העברת האירועים של Windows.
קביעת התצורה של שער ATA להאזנה לאירועי SIEM
קבע את תצורת ה- SIEM להעברת אירועים ספציפיים של Windows ל- ATA. ATA תומך במספר ספקי SIEM. לקבלת מידע נוסף, ראה קביעת תצורה של אוסף אירועים.קביעת תצורה של העברת אירועים של Windows
דרך נוספת שבה ATA יכול לקבל את האירועים שלך היא על-ידי קביעת התצורה של בקרי התחום להעברת אירועי Windows 4776, 4732, 4733, 4728, 4729, 4756 ו- 4757 לשער ATA שלך. פעולה זו שימושית במיוחד אם אין לך SIEM או אם ה- SIEM שלך אינו נתמך כעת על-ידי ATA. כדי להשלים את קביעת התצורה של העברת אירועים של Windows ב- ATA, ראה קביעת התצורה של העברת אירועים של Windows. הדבר חל רק על שערי ATA פיזיים - לא על שער קלי משקל של ATA.