ATA-architektúra
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az Advanced Threat Analytics architektúrája ebben a diagramban található:
Az ATA fizikai vagy virtuális kapcsolókkal figyeli a tartományvezérlő hálózati forgalmát az ATA-átjáró porttükrözésével. Ha az egyszerűsített ATA-átjárót közvetlenül a tartományvezérlőkön helyezi üzembe, az eltávolítja a porttükrözés követelményét. Az ATA emellett kihasználhatja a Windows-eseményeket (közvetlenül a tartományvezérlőkről vagy egy SIEM-kiszolgálóról továbbítva), és elemezheti az adatokat a támadások és fenyegetések esetén. Ez a szakasz a hálózat- és eseményrögzítés folyamatát ismerteti, és részletezi az ATA fő összetevőinek funkcióit: az ATA-átjárót, az egyszerűsített ATA-átjárót (amely ugyanazokkal az alapvető funkciókkal rendelkezik, mint az ATA-átjáró) és az ATA-központot.
ATA-összetevők
Az ATA a következő összetevőkből áll:
- ATA-központ
Az ATA-központ minden telepített ATA-átjárótól és/vagy egyszerűsített ATA-átjárótól fogad adatokat. - ATA-átjáró
Az ATA-átjáró egy dedikált kiszolgálón van telepítve, amely porttükrözés vagy hálózati TAP használatával figyeli a tartományvezérlőkről érkező forgalmat. - Egyszerűsített ATA-átjáró
Az egyszerűsített ATA-átjáró közvetlenül a tartományvezérlőkre van telepítve, és közvetlenül figyeli a forgalmat anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség. Ez az ATA-átjáró alternatíva.
Az ATA-üzemelő példányok egyetlen ATA-központból állhatnak, amelyek az összes ATA-átjáróhoz, az összes egyszerűsített ATA-átjáróhoz, vagy az ATA-átjárók és az egyszerűsített ATA-átjárók kombinációjához kapcsolódnak.
Telepítési beállítások
Az ATA az átjárók alábbi kombinációjával telepíthető:
- Csak ATA-átjárók használata
Az ATA-üzemelő példány csak ATA-átjárókat tartalmazhat, egyszerűsített ATA-átjárók nélkül: Az összes tartományvezérlőt konfigurálni kell úgy, hogy engedélyezze a porttükrözést egy ATA-átjárón, vagy a hálózati TA-knak helyükön kell lenniük. - Csak egyszerűsített ATA-átjárók használata
Az ATA-telepítés csak egyszerűsített ATA-átjárókat tartalmazhat: Az egyszerűsített ATA-átjárók minden tartományvezérlőn üzembe vannak helyezve, és nincs szükség további kiszolgálókra vagy porttükrözési konfigurációra. - Az ATA-átjárók és az egyszerűsített ATA-átjárók használata
Az ATA üzembe helyezése magában foglalja az ATA-átjárókat és az egyszerűsített ATA-átjárókat is. Az egyszerűsített ATA-átjárók egyes tartományvezérlőkön (például az ágwebhelyek összes tartományvezérlőjén) telepítve vannak. A többi tartományvezérlőt ugyanakkor az ATA-átjárók (például a fő adatközpontok nagyobb tartományvezérlői) figyelik.
Ezekben a forgatókönyvekben az összes átjáró elküldi az adatait az ATA-központnak.
ATA-központ
Az ATA-központ a következő funkciókat hajtja végre:
Az ATA-átjáró és az egyszerűsített ATA-átjáró konfigurációs beállításainak kezelése
Adatok fogadása az ATA-átjáróktól és az egyszerűsített ATA-átjáróktól
Gyanús tevékenységek észlelése
ATA-viselkedési gépi tanulási algoritmusok futtatása a rendellenes viselkedés észleléséhez
Különböző determinisztikus algoritmusokat futtat a támadási láncon alapuló speciális támadások észleléséhez
Az ATA-konzol futtatása
Nem kötelező: Az ATA-központ beállítható úgy, hogy gyanús tevékenység észlelésekor e-maileket és eseményeket küldjön.
Az ATA-központ elemzi a forgalmat az ATA-átjárótól és az egyszerűsített ATA-átjárótól. Ezután profilkészítést végez, determinisztikus észlelést futtat, és gépi tanulási és viselkedési algoritmusokat futtat a hálózat megismeréséhez, lehetővé teszi az anomáliák észlelését, és figyelmezteti a gyanús tevékenységekre.
Type | Description |
---|---|
Entitás fogadója | Entitáskötegeket fogad az összes ATA-átjárótól és egyszerűsített ATA-átjárótól. |
Hálózati tevékenységfeldolgozó | Minden fogadott kötegben feldolgozza az összes hálózati tevékenységet. Például egyeztetés a különböző, esetleg különböző számítógépekről végrehajtott Kerberos-lépések között |
Entitásprofilozó | Az összes egyedi entitás profilja a forgalom és az események szerint. Az ATA például frissíti az egyes felhasználói profilokhoz tartozó bejelentkezett számítógépek listáját. |
Adatbázis központba helyezése | Kezeli a hálózati tevékenységek és események írási folyamatát az adatbázisba. |
Database | Az ATA a MongoDB-t használja az összes adat rendszerbeli tárolására: - Hálózati tevékenységek - Eseménytevékenységek - Egyedi entitások - Gyanús tevékenységek - ATA-konfiguráció |
Detectors | A detektorok gépi tanulási algoritmusokkal és determinisztikus szabályokkal keresnek gyanús tevékenységeket és rendellenes felhasználói viselkedést a hálózaton. |
ATA-konzol | Az ATA-konzol az ATA konfigurálására és az ATA által a hálózaton észlelt gyanús tevékenységek figyelésére használható. Az ATA-konzol nem függ az ATA-központ szolgáltatásától, és akkor is fut, ha a szolgáltatás le van állítva, feltéve, hogy képes kommunikálni az adatbázissal. |
Vegye figyelembe a következő kritériumokat, amikor eldönti, hogy hány ATA-központ legyen üzembe helyezve a hálózaton:
Egy ATA-központ egyetlen Active Directory-erdőt figyelhet. Ha több Active Directory-erdővel rendelkezik, legalább egy Active Directory-erdőnként egy ATA-központra van szüksége.
Nagy Active Directory-telepítések esetén előfordulhat, hogy egyetlen ATA-központ nem tudja kezelni az összes tartományvezérlő összes forgalmát. Ebben az esetben több ATA-központra van szükség. Az ATA-központok számát az ATA-kapacitástervezésnek kell meghatároznia.
ATA-átjáró és egyszerűsített ATA-átjáró
Átjáró alapvető funkciói
Az ATA-átjáró és az egyszerűsített ATA-átjáró ugyanazokkal az alapvető funkciókkal rendelkezik:
Rögzítse és vizsgálja meg a tartományvezérlő hálózati forgalmát. Ez az ATA-átjárók porttükrözéses forgalma, valamint a tartományvezérlő helyi forgalma az egyszerűsített ATA-átjárókban.
Windows-események fogadása SIEM- vagy Syslog-kiszolgálókról, illetve tartományvezérlőkről a Windows-eseménytovábbítás használatával
Felhasználók és számítógépek adatainak lekérése az Active Directory-tartományból
Hálózati entitások (felhasználók, csoportok és számítógépek) feloldása
Releváns adatok átvitele az ATA-központba
Több tartományvezérlő monitorozása egyetlen ATA-átjáróból, vagy egyetlen tartományvezérlő monitorozása egy egyszerűsített ATA-átjáróhoz.
Az ATA-átjáró hálózati forgalmat és Windows-eseményeket fogad a hálózatról, és a következő fő összetevőkben dolgozza fel:
Type | Description |
---|---|
Hálózatfigyelő | A Hálózatfigyelő rögzíti a hálózati forgalmat, és elemzi a forgalmat. Ez egy processzorigényes feladat, ezért különösen fontos ellenőrizni az ATA-előfeltételeket az ATA-átjáró vagy az egyszerűsített ATA-átjáró tervezésekor. |
Eseményfigyelő | Az eseményfigyelő rögzíti és elemzi a hálózaton lévő SIEM-kiszolgálóról továbbított Windows-eseményeket. |
Windows eseménynapló-olvasó | A Windows eseménynapló-olvasója beolvassa és elemzi az ATA-átjáró Windows-eseménynaplójába továbbított Windows-eseményeket a tartományvezérlőkről. |
Hálózati tevékenység fordítója | Az elemzést az ATA (NetworkActivity) által használt forgalom logikai ábrázolására fordítja le. |
Entitásfeloldó | Az Entitásfeloldó az elemezt adatokat (hálózati forgalmat és eseményeket) veszi át, és az Active Directoryval oldja fel az adatokat a fiók- és identitásadatok megkereséséhez. Ezután a rendszer egyezteti az elemzési adatokban található IP-címekkel. Az Entity Resolver hatékonyan vizsgálja meg a csomagfejléceket, hogy lehetővé tegye a hitelesítési csomagok elemzését a gépek neveihez, tulajdonságaihoz és identitásaihoz. Az Entity Resolver egyesíti az elemezt hitelesítési csomagokat a tényleges csomagban lévő adatokkal. |
Entitás feladója | Az entitás feladója elküldi az elemezt és egyeztetett adatokat az ATA-központnak. |
Egyszerűsített ATA-átjáró funkciói
Az alábbi funkciók eltérően működnek attól függően, hogy ATA-átjárót vagy egyszerűsített ATA-átjárót futtat.
Az egyszerűsített ATA-átjáró képes helyileg olvasni az eseményeket anélkül, hogy konfigurálnia kellene az eseménytovábbítást.
Tartományszinkronizálási jelölt
A tartományszinkronizálási átjáró felelős az adott Active Directory-tartomány összes entitásának proaktív szinkronizálásáért (hasonlóan a tartományvezérlők által a replikációhoz használt mechanizmushoz). A rendszer véletlenszerűen kiválaszt egy átjárót a jelöltek listájából, hogy tartományszinkronizálóként szolgáljon.
Ha a szinkronizáló 30 percnél hosszabb ideig offline állapotban van, a rendszer ehelyett egy másik jelöltet választ. Ha egy adott tartományhoz nem érhető el tartományszinkronizálási jelölt, az ATA proaktívan szinkronizálja az entitásokat és azok módosításait, az ATA azonban újra aktívan lekéri az új entitásokat, amint a figyelt forgalom észleli őket.Ha nem érhető el tartományszinkronizáló, a hozzá kapcsolódó forgalom nélküli entitások keresése nem jelenít meg eredményeket.
Alapértelmezés szerint az összes ATA-átjáró tartományszinkronizálási jelölt.
Mivel az egyszerűsített ATA-átjárók nagyobb valószínűséggel vannak üzembe helyezve a fiókwebhelyeken és a kis tartományvezérlőkön, alapértelmezés szerint nem szinkronizálójelöltek.
Olyan környezetben, ahol csak egyszerűsített átjárók vannak, ajánlott két átjárót szinkronizálójelöltként hozzárendelni, ahol egy egyszerűsített átjáró az alapértelmezett szinkronizálójelölt, az egyik pedig a biztonsági mentés, ha az alapértelmezett kapcsolat nélküli állapot több mint 30 percig van offline állapotban.
Erőforrás-korlátozások
Az egyszerűsített ATA-átjáró tartalmaz egy monitorozási összetevőt, amely kiértékeli a rendelkezésre álló számítási és memóriakapacitást azon a tartományvezérlőn, amelyen fut. A monitorozási folyamat 10 másodpercenként fut, és dinamikusan frissíti a processzor- és memóriakihasználtsági kvótát az egyszerűsített ATA-átjáró folyamatában, hogy a tartományvezérlő minden adott időpontban az ingyenes számítási és memória-erőforrások legalább 15%-át biztosítsa.Függetlenül attól, hogy mi történik a tartományvezérlőn, ez a folyamat mindig felszabadítja az erőforrásokat, hogy a tartományvezérlő alapvető funkciói ne legyenek hatással.
Ha ez azt eredményezi, hogy az egyszerűsített ATA-átjáró elfogy az erőforrásokból, a rendszer csak részleges forgalmat figyel, és az Állapot lapon megjelenik az "Elvetett porttükrözés hálózati forgalom" állapotriasztás.
Az alábbi táblázat egy példát mutat be egy olyan tartományvezérlőre, amely elegendő számítási erőforrással rendelkezik ahhoz, hogy nagyobb kvótát engedélyezzen, majd jelenleg szükség van rá, hogy az összes forgalom figyelve legyen:
Active Directory (Lsass.exe) | Egyszerűsített ATA-átjáró (Microsoft.Tri.Gateway.exe) | Egyéb (egyéb folyamatok) | Egyszerűsített ATA-átjárókvóta | Átjáró elvetése |
---|---|---|---|---|
30% | 20% | 10% | 45% | Nem |
Ha az Active Directorynak több számításra van szüksége, az egyszerűsített ATA-átjáró által igényelt kvóta csökken. Az alábbi példában az egyszerűsített ATA-átjárónak többre van szüksége a lefoglalt kvótánál, és elveti a forgalom egy részét (csak részleges forgalom figyelése):
Active Directory (Lsass.exe) | Egyszerűsített ATA-átjáró (Microsoft.Tri.Gateway.exe) | Egyéb (egyéb folyamatok) | Egyszerűsített ATA-átjárókvóta | Az átjáró elhagyása |
---|---|---|---|---|
60% | 15% | 10% | 15% | Igen |
A hálózati összetevők
Az ATA használatához ellenőrizze, hogy a következő összetevők vannak-e beállítva.
Porttükrözés
Ha ATA-átjárókat használ, be kell állítania a porttükrözést a monitorozott tartományvezérlőkhöz, és a fizikai vagy virtuális kapcsolók használatával célként kell beállítania az ATA-átjárót. Egy másik lehetőség a hálózati TAP-k használata. Az ATA akkor működik, ha néhány, de nem az összes tartományvezérlőt figyelik, de az észlelések kevésbé hatékonyak.
Bár a porttükrözés az ATA-átjáró felé irányuló összes tartományvezérlő hálózati forgalmat tükrözi, a rendszer a forgalomnak csak egy kis százalékát küldi el, tömörítve az ATA-központba elemzés céljából.
A tartományvezérlők és az ATA-átjárók lehetnek fizikai vagy virtuálisak. További információt a porttükrözés konfigurálása című témakörben talál.
Events
A Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Tokens ATA detektálásának javításához az ATA-nak a következő Windows-eseményekre van szüksége: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Ezeket automatikusan beolvashatja az egyszerűsített ATA-átjáró, vagy ha az egyszerűsített ATA-átjáró nincs üzembe helyezve, két módon továbbítható az ATA-átjárónak, ha konfigurálja az ATA-átjárót a SIEM-események figyelésére, vagy a Windows eseménytovábbításának konfigurálásával.
Az ATA-átjáró konfigurálása SIEM-események figyelésére
Konfigurálja a SIEM-et, hogy adott Windows-eseményeket továbbítson az ATA-nak. Az ATA számos SIEM-szállítót támogat. További információ: Eseménygyűjtemény konfigurálása.A Windows eseménytovábbításának konfigurálása
Az ATA másik módja, hogy konfigurálja a tartományvezérlőket a Windows-események 4776, 4732, 4733, 4728, 4729, 4756 és 4757 továbbítására az ATA-átjáróra. Ez különösen akkor hasznos, ha nem rendelkezik SIEM-sel, vagy ha az ATA jelenleg nem támogatja a SIEM-et. A Windows-eseménytovábbítás ATA-ban történő konfigurálásához lásd : Windows-eseménytovábbítás konfigurálása. Ez csak a fizikai ATA-átjárókra vonatkozik , az egyszerűsített ATA-átjáróra nem.