Arsitektur ATA
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Arsitektur Analitik Ancaman Tingkat Lanjut dirinci dalam diagram ini:
ATA memantau lalu lintas jaringan pengendali domain Anda dengan menggunakan pencerminan port ke Gateway ATA menggunakan sakelar fisik atau virtual. Jika Anda menyebarkan Gateway ATA Lightweight langsung di pengontrol domain Anda, itu akan menghapus persyaratan untuk pencerminan port. Selain itu, ATA dapat memanfaatkan peristiwa Windows (diteruskan langsung dari pengendali domain Anda atau dari server SIEM) dan menganalisis data untuk serangan dan ancaman. Bagian ini menjelaskan alur penangkapan dan penelusuran peristiwa dan jaringan untuk menjelaskan fungsionalitas komponen utama ATA: Gateway ATA, Gateway Ringan ATA (yang memiliki fungsionalitas inti yang sama dengan Gateway ATA), dan Pusat ATA.
Komponen ATA
ATA terdiri dari komponen-komponen berikut:
- Pusat ATA
Pusat ATA menerima data dari Gateway ATA dan/atau Gateway Ringan ATA yang Anda sebarkan. - ATA Gateway
Gateway ATA diinstal pada server khusus yang memantau lalu lintas dari pengontrol domain Anda menggunakan pencerminan port atau TAP jaringan. - Gateway Ringan ATA
Gateway Ringan ATA diinstal langsung pada pengontrol domain Anda dan memantau lalu lintas mereka secara langsung, tanpa perlu server khusus atau konfigurasi pencerminan port. Ini adalah alternatif untuk Gateway ATA.
Penyebaran ATA dapat terdiri dari satu Pusat ATA yang terhubung ke semua Gateway ATA, semua Gateway Ringan ATA, atau kombinasi Gateway ATA dan Gateway Ringan ATA.
Opsi penyebaran
Anda dapat menyebarkan ATA menggunakan kombinasi gateway berikut:
- Hanya menggunakan Gateway ATA
Penyebaran ATA Anda hanya dapat berisi Gateway ATA, tanpa Gateway Ringan ATA apa pun: Semua pengontrol domain harus dikonfigurasi untuk mengaktifkan pencerminan port ke Gateway ATA atau TAP jaringan harus diberlakukan. - Hanya menggunakan Gateway ATA Ringan
Penyebaran ATA Anda hanya dapat berisi Gateway Ringan ATA: Gateway Ringan ATA disebarkan pada setiap pengontrol domain dan tidak ada server tambahan atau konfigurasi pencerminan port yang diperlukan. - Menggunakan Gateway ATA dan Gateway Ringan ATA
Penyebaran ATA Anda mencakup Gateway ATA dan Gateway Ringan ATA. Gateway Ringan ATA diinstal pada beberapa pengontrol domain Anda (misalnya, semua pengendali domain di situs cabang Anda). Pada saat yang sama, pengendali domain lain dipantau oleh Gateway ATA (misalnya, pengontrol domain yang lebih besar di pusat data utama Anda).
Dalam semua skenario ini, semua gateway mengirim data mereka ke Pusat ATA.
Pusat ATA
Pusat ATA melakukan fungsi berikut:
Mengelola pengaturan konfigurasi Gateway ATA dan Gateway Ringan ATA
Menerima data dari Gateway ATA dan Gateway Ringan ATA
Mendeteksi aktivitas mencurigakan
Menjalankan algoritma pembelajaran mesin perilaku ATA untuk mendeteksi perilaku abnormal
Menjalankan berbagai algoritma deterministik untuk mendeteksi serangan lanjutan berdasarkan rantai pembunuhan serangan
Menjalankan Konsol ATA
Opsional: Pusat ATA dapat dikonfigurasi untuk mengirim email dan peristiwa saat aktivitas mencurigakan terdeteksi.
Pusat ATA menerima lalu lintas yang diurai dari Gateway ATA dan Gateway Ringan ATA. Kemudian melakukan pembuatan profil, menjalankan deteksi deterministik, dan menjalankan pembelajaran mesin dan algoritma perilaku untuk mempelajari tentang jaringan Anda, memungkinkan deteksi anomali dan memperingatkan Anda tentang aktivitas yang mencurigakan.
| Tipe | Deskripsi |
|---|---|
| Penerima Entitas | Menerima batch entitas dari semua Gateway ATA dan Gateway Ringan ATA. |
| Prosesor Aktivitas Jaringan | Memproses semua aktivitas jaringan dalam setiap batch yang diterima. Misalnya, pencocokan antara berbagai langkah Kerberos yang dilakukan dari komputer yang berpotensi berbeda |
| Profiler Entitas | Membuat profil semua Entitas Unik sesuai dengan lalu lintas dan peristiwa. Misalnya, ATA memperbarui daftar komputer yang masuk untuk setiap profil pengguna. |
| Database Tengah | Mengelola proses penulisan Aktivitas Jaringan dan peristiwa ke dalam database. |
| Database | ATA menggunakan MongoDB untuk tujuan menyimpan semua data dalam sistem: - Aktivitas jaringan - Aktivitas acara - Entitas unik - Aktivitas mencurigakan - Konfigurasi ATA |
| Detektor | Detektor menggunakan algoritma pembelajaran mesin dan aturan deterministik untuk menemukan aktivitas mencurigakan dan perilaku pengguna abnormal di jaringan Anda. |
| Konsol ATA | Konsol ATA adalah untuk mengonfigurasi ATA dan memantau aktivitas mencurigakan yang terdeteksi oleh ATA di jaringan Anda. Konsol ATA tidak bergantung pada layanan Pusat ATA dan berjalan bahkan ketika layanan dihentikan, selama dapat berkomunikasi dengan database. |
Pertimbangkan kriteria berikut saat memutuskan berapa banyak Pusat ATA yang akan disebarkan di jaringan Anda:
Satu Pusat ATA dapat memantau satu forest Direktori Aktif. Jika Anda memiliki lebih dari satu forest Direktori Aktif, Anda memerlukan minimal satu ATA Center per forest Direktori Aktif.
Dalam penyebaran Direktori Aktif yang besar, satu Pusat ATA mungkin tidak dapat menangani semua lalu lintas semua pengontrol domain Anda. Dalam hal ini, diperlukan beberapa Pusat ATA. Jumlah Pusat ATA harus ditentukan oleh perencanaan kapasitas ATA.
Gateway ATA dan Gateway Ringan ATA
Fungsionalitas inti gateway
Gateway ATA dan Gateway Ringan ATA keduanya memiliki fungsionalitas inti yang sama:
Menangkap dan memeriksa lalu lintas jaringan pengendali domain. Ini adalah lalu lintas cermin port untuk Gateway ATA dan lalu lintas lokal pengendali domain di Gateway Ringan ATA.
Menerima peristiwa Windows dari server SIEM atau Syslog, atau dari pengendali domain menggunakan Penerusan Peristiwa Windows
Mengambil data tentang pengguna dan komputer dari domain Direktori Aktif
Melakukan resolusi entitas jaringan (pengguna, grup, dan komputer)
Mentransfer data yang relevan ke Pusat ATA
Pantau beberapa pengendali domain dari satu Gateway ATA, atau pantau satu pengendali domain untuk Gateway Ringan ATA.
Gateway ATA menerima lalu lintas jaringan dan Peristiwa Windows dari jaringan Anda dan memprosesnya di komponen utama berikut:
| Tipe | Deskripsi |
|---|---|
| Pendengar Jaringan | Pendengar Jaringan menangkap lalu lintas jaringan dan mengurai lalu lintas. Ini adalah tugas berat CPU, jadi sangat penting untuk memeriksa Prasyarat ATA saat merencanakan Gateway ATA atau Gateway Ringan ATA Anda. |
| Pendengar Peristiwa | Event Listener mengambil dan mengurai Peristiwa Windows yang diteruskan dari server SIEM di jaringan Anda. |
| Pembaca Log Kejadian Windows | Pembaca Log Peristiwa Windows membaca dan mengurai Peristiwa Windows yang diteruskan ke Log Peristiwa Windows Gateway ATA dari pengontrol domain. |
| Penerjemah Aktivitas Jaringan | Menerjemahkan lalu lintas yang diurai ke dalam representasi logis dari lalu lintas yang digunakan oleh ATA (NetworkActivity). |
| Pemecah Masalah Entitas | Pemecah Masalah Entitas mengambil data yang diurai (lalu lintas jaringan dan peristiwa) dan menyelesaikannya data dengan Direktori Aktif untuk menemukan informasi akun dan identitas. Kemudian dicocokkan dengan alamat IP yang ditemukan dalam data yang diurai. Pemecah Masalah Entitas memeriksa header paket secara efisien, untuk mengaktifkan penguraian paket autentikasi untuk nama mesin, properti, dan identitas. Pemecah Masalah Entitas menggabungkan paket autentikasi yang diurai dengan data dalam paket aktual. |
| Pengirim Entitas | Pengirim Entitas mengirimkan data yang diurai dan cocok ke Pusat ATA. |
Fitur Gateway Ringan ATA
Fitur berikut bekerja secara berbeda tergantung pada apakah Anda menjalankan Gateway ATA atau Gateway Ringan ATA.
Gateway ATA Lightweight dapat membaca peristiwa secara lokal, tanpa perlu mengonfigurasi penerusan peristiwa.
Kandidat penyinkron domain
Gateway penyinkron domain bertanggung jawab untuk menyinkronkan semua entitas dari domain Direktori Aktif tertentu secara proaktif (mirip dengan mekanisme yang digunakan oleh pengendali domain itu sendiri untuk replikasi). Satu gateway dipilih secara acak, dari daftar kandidat, untuk berfungsi sebagai penyinkron domain.
Jika penyinkron offline selama lebih dari 30 menit, kandidat lain dipilih sebagai gantinya. Jika tidak ada kandidat penyinkron domain yang tersedia untuk domain tertentu, ATA secara proaktif menyinkronkan entitas dan perubahannya, namun ATA akan secara reaktif mengambil entitas baru saat terdeteksi dalam lalu lintas yang dipantau.Ketika tidak ada penyinkron domain yang tersedia, mencari entitas tanpa lalu lintas yang terkait dengannya tidak menampilkan hasil.
Secara default, semua Gateway ATA adalah kandidat penyinkron domain.
Karena semua Gateway ATA Lightweight lebih mungkin disebarkan di situs cabang dan pada pengendali domain kecil, mereka bukan kandidat penyinkron secara default.
Di lingkungan dengan hanya Gateway Ringan, disarankan untuk menetapkan dua gateway sebagai kandidat penyinkron, di mana satu Gateway Ringan adalah kandidat penyinkron default dan salah satunya adalah cadangan jika default offline selama lebih dari 30 menit.
Batasan sumber daya
Gateway ATA Lightweight mencakup komponen pemantauan yang mengevaluasi kapasitas komputasi dan memori yang tersedia pada pengontrol domain tempatnya berjalan. Proses pemantauan berjalan setiap 10 detik dan secara dinamis memperbarui kuota pemanfaatan CPU dan memori pada proses Gateway Ringan ATA untuk memastikan bahwa pada titik waktu tertentu, pengendali domain memiliki setidaknya 15% sumber daya komputasi dan memori gratis.Apa pun yang terjadi pada pengendali domain, proses ini selalu membebaskan sumber daya untuk memastikan fungsionalitas inti pengontrol domain tidak terpengaruh.
Jika ini menyebabkan Gateway Ringan ATA kehabisan sumber daya, hanya lalu lintas parsial yang dipantau dan pemberitahuan kesehatan "Lalu lintas jaringan cermin port yang dihilangkan" muncul di halaman Kesehatan.
Tabel berikut ini menyediakan contoh pengendali domain dengan sumber daya komputasi yang cukup tersedia untuk memungkinkan kuota yang lebih besar saat ini diperlukan, sehingga semua lalu lintas dipantau:
| Direktori Aktif (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Lain-lain (proses lainnya) | Kuota Gateway Ringan ATA | Penghilangan gateway |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Tidak |
Jika Active Directory membutuhkan lebih banyak komputasi, kuota yang diperlukan oleh Gateway Ringan ATA berkurang. Dalam contoh berikut, Gateway Ringan ATA membutuhkan lebih dari kuota yang dialokasikan dan menghilangkan beberapa lalu lintas (hanya memantau lalu lintas parsial):
| Direktori Aktif (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Lain-lain (proses lainnya) | Kuota Gateway Ringan ATA | Apakah gateway dihilangkan |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Ya |
Komponen jaringan Anda
Untuk bekerja dengan ATA, pastikan untuk memeriksa apakah komponen berikut disiapkan.
Pencerminan port
Jika Anda menggunakan Gateway ATA, Anda harus menyiapkan pencerminan port untuk pengendali domain yang dipantau dan mengatur Gateway ATA sebagai tujuan menggunakan sakelar fisik atau virtual. Opsi lain adalah menggunakan TAP jaringan. ATA berfungsi jika beberapa tetapi tidak semua pengontrol domain Anda dipantau, tetapi deteksi kurang efektif.
Sementara pencerminan port mencerminkan semua lalu lintas jaringan pengontrol domain ke Gateway ATA, hanya persentase kecil dari lalu lintas tersebut yang kemudian dikirim, dikompresi, ke Pusat ATA untuk analisis.
Pengontrol domain Anda dan Gateway ATA dapat berupa fisik atau virtual, lihat Mengonfigurasi pencerminan port untuk informasi selengkapnya.
Aktivitas
Untuk meningkatkan deteksi ATA Pass-the-Hash, Brute Force, Modifikasi pada grup sensitif dan Honey Token, ATA memerlukan peristiwa Windows berikut: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Ini dapat dibaca secara otomatis oleh Gateway Ringan ATA atau jika Gateway Ringan ATA tidak disebarkan, itu dapat diteruskan ke Gateway ATA dengan salah satu dari dua cara, dengan mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM atau dengan Mengonfigurasi Penerusan Peristiwa Windows.
Mengonfigurasi Gateway ATA untuk mendengarkan peristiwa SIEM
Konfigurasikan SIEM Anda untuk meneruskan peristiwa Windows tertentu ke ATA. ATA mendukung sejumlah vendor SIEM. Untuk informasi selengkapnya, lihat Mengonfigurasi kumpulan peristiwa.Mengonfigurasi Penerusan Peristiwa Windows
Cara lain ATA bisa mendapatkan peristiwa Anda adalah dengan mengonfigurasi pengendali domain Anda untuk meneruskan peristiwa Windows 4776, 4732, 4733, 4728, 4729, 4756, dan 4757 ke Gateway ATA Anda. Ini sangat berguna jika Anda tidak memiliki SIEM atau jika SIEM Anda saat ini tidak didukung oleh ATA. Untuk menyelesaikan konfigurasi Penerusan Peristiwa Windows Anda di ATA, lihat Mengonfigurasi penerusan peristiwa Windows. Ini hanya berlaku untuk Gateway ATA fisik - bukan ke Gateway Ringan ATA.