ATA 아키텍처
적용 대상: Advanced Threat Analytics 버전 1.9
Advanced Threat Analytics 아키텍처는 다음 다이어그램에 자세히 설명되어 있습니다.
ATA는 실제 또는 가상 스위치를 사용하여 ATA 게이트웨이에 대한 포트 미러 활용하여 할기본 컨트롤러 네트워크 트래픽을 모니터링합니다. 할 일기본 컨트롤러에 직접 ATA 경량 게이트웨이를 배포하면 포트 미러 요구 사항이 제거됩니다. 또한 ATA는 Windows 이벤트(사용자의 작업기본 컨트롤러 또는 SIEM 서버에서 직접 전달됨)를 활용하고 공격 및 위협에 대한 데이터를 분석할 수 있습니다. 이 섹션에서는 ATA 게이트웨이, ATA 경량 게이트웨이(ATA 게이트웨이와 동일한 핵심 기능이 있는 ATA 경량 게이트웨이) 및 ATA 센터의 기본 구성 요소의 기능을 설명하기 위해 네트워크 및 이벤트 캡처 및 드릴다운 흐름을 설명합니다.
ATA 구성 요소
ATA는 다음 구성 요소로 구성됩니다.
- ATA 센터
ATA 센터는 배포하는 ATA 게이트웨이 및/또는 ATA 경량 게이트웨이에서 데이터를 받습니다. - ATA 게이트웨이
ATA 게이트웨이는 포트 미러 또는 네트워크 TAP를 사용하여 할 일기본 컨트롤러의 트래픽을 모니터링하는 전용 서버에 설치됩니다. - ATA 경량 게이트웨이
ATA 경량 게이트웨이는 할 일기본 컨트롤러에 직접 설치되며 전용 서버 또는 포트 미러 구성 없이도 트래픽을 직접 모니터링합니다. ATA 게이트웨이 대신 사용할 수 있습니다.
ATA 배포는 모든 ATA 게이트웨이, 모든 ATA 경량 게이트웨이 또는 ATA 게이트웨이 및 ATA 경량 게이트웨이의 조합에 연결된 단일 ATA 센터로 구성됩니다.
배포 옵션
다음과 같은 게이트웨이 조합을 사용하여 ATA를 배포할 수 있습니다.
- ATA 게이트웨이만 사용
ATA 배포에는 ATA 경량 게이트웨이가 없는 ATA 게이트웨이만 포함될 수 있습니다. 모든 기본 컨트롤러를 구성하여 ATA 게이트웨이 또는 네트워크TAP에 대한 포트 미러 사용하도록 설정해야 합니다. - ATA 경량 게이트웨이만 사용
ATA 배포에는 ATA 경량 게이트웨이만 포함될 수 있습니다. ATA 경량 게이트웨이는 각 do기본 컨트롤러에 배포되며 추가 서버 또는 포트 미러 구성이 필요하지 않습니다. - ATA 게이트웨이 및 ATA 경량 게이트웨이 모두 사용
ATA 배포에는 ATA 게이트웨이와 ATA 경량 게이트웨이가 모두 포함됩니다. ATA 경량 게이트웨이는 일부 기본 컨트롤러(예: 분기 사이트의 모든 수행기본 컨트롤러)에 설치됩니다. 동시에 다른 do기본 컨트롤러는 ATA 게이트웨이(예: 기본 데이터 센터의 더 큰 do기본 컨트롤러)에서 모니터링됩니다.
이러한 모든 시나리오에서 모든 게이트웨이는 데이터를 ATA 센터로 보냅니다.
ATA 센터
ATA 센터는 다음 함수를 수행합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이 구성 설정을 관리합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이에서 데이터를 받습니다.
의심스러운 활동을 검색합니다.
ATA 동작 기계 학습 알고리즘을 실행하여 비정상적인 동작 감지
다양한 결정적 알고리즘을 실행하여 공격 킬 체인에 따라 고급 공격을 검색합니다.
ATA 콘솔 실행
선택 사항: 의심스러운 활동이 감지되면 이메일 및 이벤트를 보내도록 ATA 센터를 구성할 수 있습니다.
ATA 센터는 ATA 게이트웨이 및 ATA 경량 게이트웨이에서 구문 분석된 트래픽을 수신합니다. 그런 다음 프로파일링을 수행하고, 결정적 검색을 실행하고, 기계 학습 및 행동 알고리즘을 실행하여 네트워크에 대해 알아보고, 변칙 검색을 사용하도록 설정하고, 의심스러운 활동을 경고합니다.
| Type | 설명 |
|---|---|
| 엔터티 수신기 | 모든 ATA 게이트웨이 및 ATA 경량 게이트웨이에서 엔터티 일괄 처리를 수신합니다. |
| 네트워크 활동 프로세서 | 받은 각 일괄 처리 내의 모든 네트워크 활동을 처리합니다. 예를 들어 잠재적으로 다른 컴퓨터에서 수행되는 다양한 Kerberos 단계 간의 일치 |
| 엔터티 프로파일러 | 트래픽 및 이벤트에 따라 모든 고유 엔터티를 프로파일합니다. 예를 들어 ATA는 각 사용자 프로필에 대해 로그온한 컴퓨터 목록을 업데이트합니다. |
| 가운데 데이터베이스 | 데이터베이스에 대한 네트워크 활동 및 이벤트의 쓰기 프로세스를 관리합니다. |
| Database | ATA는 시스템의 모든 데이터를 저장하기 위해 MongoDB를 사용합니다. - 네트워크 활동 - 이벤트 활동 - 고유 엔터티 - 의심스러운 활동 - ATA 구성 |
| 감지기 | Detectors는 기계 학습 알고리즘 및 결정적 규칙을 사용하여 네트워크에서 의심스러운 활동 및 비정상적인 사용자 동작을 찾습니다. |
| ATA 콘솔 | ATA 콘솔은 ATA를 구성하고 네트워크에서 ATA가 감지한 의심스러운 활동을 모니터링하기 위한 것입니다. ATA 콘솔은 ATA 센터 서비스에 종속되지 않으며 서비스가 중지된 경우에도 데이터베이스와 통신할 수 있는 한 실행됩니다. |
네트워크에 배포할 ATA 센터 수를 결정할 때 다음 조건을 고려합니다.
하나의 ATA 센터는 단일 Active Directory 포리스트를 모니터링할 수 있습니다. 둘 이상의 Active Directory 포리스트가 있는 경우 Active Directory 포리스트당 하나 이상의 ATA 센터가 필요합니다.
대규모 Active Directory 배포에서는 단일 ATA 센터가 모든 수행기본 컨트롤러의 모든 트래픽을 처리하지 못할 수 있습니다. 이 경우 여러 ATA 센터가 필요합니다. ATA 센터의 수는 ATA 용량 계획에 따라 결정되어야 합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이
게이트웨이 핵심 기능
ATA 게이트웨이와 ATA 경량 게이트웨이는 모두 동일한 핵심 기능을 갖습니다.
컨트롤러 네트워크 트래픽을 기본 캡처하고 검사합니다. 이는 ATA 게이트웨이에 대한 포트 미러 트래픽 및 ATA 경량 게이트웨이의 do기본 컨트롤러의 로컬 트래픽입니다.
WINDOWS 이벤트 전달을 사용하여 SIEM 또는 Syslog 서버 또는 할 일기본 컨트롤러에서 Windows 이벤트 수신
Active Directory에서 사용자 및 컴퓨터에 대한 데이터를 검색합니다기본
네트워크 엔터티(사용자, 그룹 및 컴퓨터)의 확인 수행
ATA 센터로 관련 데이터 전송
단일 ATA 게이트웨이에서 여러 do기본 컨트롤러를 모니터링하거나 ATA 경량 게이트웨이에 대한 단일 do기본 컨트롤러를 모니터링합니다.
ATA 게이트웨이는 네트워크에서 네트워크 트래픽 및 Windows 이벤트를 수신하고 다음 기본 구성 요소에서 처리합니다.
| Type | 설명 |
|---|---|
| 네트워크 수신기 | 네트워크 수신기는 네트워크 트래픽을 캡처하고 트래픽을 구문 분석합니다. 이는 CPU가 많은 작업이므로 ATA 게이트웨이 또는 ATA 경량 게이트웨이를 계획할 때 ATA 필수 구성 요소를 검사 것이 특히 중요합니다. |
| 이벤트 수신기 | 이벤트 수신기는 네트워크의 SIEM 서버에서 전달된 Windows 이벤트를 캡처하고 구문 분석합니다. |
| Windows 이벤트 로그 판독기 | Windows 이벤트 로그 판독기는 do기본 컨트롤러에서 ATA 게이트웨이의 Windows 이벤트 로그로 전달된 Windows 이벤트를 읽고 구문 분석합니다. |
| 네트워크 활동 번역기 | 구문 분석된 트래픽을 ATA(NetworkActivity)에서 사용하는 트래픽의 논리적 표현으로 변환합니다. |
| 엔터티 확인자 | 엔터티 확인자는 구문 분석된 데이터(네트워크 트래픽 및 이벤트)를 가져와 Active Directory를 사용하여 데이터를 확인하여 계정 및 ID 정보를 찾습니다. 그런 다음 구문 분석된 데이터에 있는 IP 주소와 일치합니다. Entity Resolver는 패킷 헤더를 효율적으로 검사하여 컴퓨터 이름, 속성 및 ID에 대한 인증 패킷 구문 분석을 사용하도록 설정합니다. 엔터티 확인자는 구문 분석된 인증 패킷을 실제 패킷의 데이터와 결합합니다. |
| 엔터티 보낸 사람 | 엔터티 발신자는 구문 분석되고 일치하는 데이터를 ATA 센터로 보냅니다. |
ATA 경량 게이트웨이 기능
다음 기능은 ATA 게이트웨이 또는 ATA 경량 게이트웨이를 실행하는지 여부에 따라 다르게 작동합니다.
ATA 경량 게이트웨이는 이벤트 전달을 구성할 필요 없이 이벤트를 로컬로 읽을 수 있습니다.
할기본 동기화 장치 후보
do기본 동기화 장치 게이트웨이는 특정 Active Directory do기본의 모든 엔터티를 사전에 동기화하는 작업을 담당합니다(do기본 컨트롤러 자체에서 사용하는 메커니즘과 유사하게 복제본(replica). 한 게이트웨이는 후보 목록에서 임의로 선택되어 do기본 동기화기로 사용됩니다.
동기화 장치가 30분 이상 오프라인 상태이면 다른 후보가 대신 선택됩니다. 특정 작업기본기본 사용할 수 있는 동기화 장치 후보가 없는 경우 ATA는 엔터티와 변경 내용을 사전에 동기화합니다. 그러나 ATA는 모니터링되는 트래픽에서 감지될 때 새 엔터티를 사후적으로 검색합니다.기본 동기화 장치를 사용할 수 없는 경우 관련 트래픽이 없는 엔터티를 검색하면 결과가 표시되지 않습니다.
기본적으로 모든 ATA 게이트웨이는 동기화 장치 후보를 기본.
모든 ATA 경량 게이트웨이는 분기 사이트 및 소규모 do기본 컨트롤러에 배포될 가능성이 높기 때문에 기본적으로 동기화 장치 후보가 아닙니다.
경량 게이트웨이만 있는 환경에서는 두 개의 게이트웨이를 동기화 장치 후보로 할당하는 것이 좋습니다. 여기서 하나의 경량 게이트웨이는 기본 동기화 장치 후보이고 다른 하나는 기본값이 30분 이상 오프라인 상태인 경우 백업입니다.
리소스 제한 사항
ATA 경량 게이트웨이에는 실행 중인 do기본 컨트롤러에서 사용 가능한 컴퓨팅 및 메모리 용량을 평가하는 모니터링 구성 요소가 포함되어 있습니다. 모니터링 프로세스는 10초마다 실행되며 ATA 경량 게이트웨이 프로세스의 CPU 및 메모리 사용률 할당량을 동적으로 업데이트하여 지정된 특정 시점에 do기본 컨트롤러에 15% 이상의 무료 컴퓨팅 및 메모리 리소스가 있는지 확인합니다.do기본 컨트롤러에서 어떤 일이 발생하든 이 프로세스는 항상 리소스를 확보하여 do기본 컨트롤러의 핵심 기능이 영향을 받지 않도록 합니다.
이로 인해 ATA 경량 게이트웨이에 리소스가 부족해지면 부분 트래픽만 모니터링되고 상태 경고 "삭제된 포트 미러 네트워크 트래픽"이 상태 페이지에 표시됩니다.
다음 표에서는 모든 트래픽을 모니터링할 수 있도록 현재 더 큰 할당량을 허용하는 데 사용할 수 있는 충분한 컴퓨팅 리소스가 있는 do기본 컨트롤러의 예를 제공합니다.
| Active Directory(Lsass.exe) | ATA 경량 게이트웨이(Microsoft.Tri.Gateway.exe) | 기타(기타 프로세스) | ATA 경량 게이트웨이 할당량 | 게이트웨이 삭제 |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | 아니요 |
Active Directory에 더 많은 컴퓨팅이 필요한 경우 ATA 경량 게이트웨이에 필요한 할당량이 줄어듭니다. 다음 예제에서 ATA 경량 게이트웨이는 할당된 할당량 이상을 필요로 하며 일부 트래픽을 삭제합니다(부분 트래픽만 모니터링).
| Active Directory(Lsass.exe) | ATA 경량 게이트웨이(Microsoft.Tri.Gateway.exe) | 기타(기타 프로세스) | ATA 경량 게이트웨이 할당량 | 게이트웨이가 삭제되고 있나요? |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | 예 |
네트워크 구성 요소
ATA를 사용하여 작업하려면 다음 구성 요소가 설정되어 있는지 검사 합니다.
포트 미러링
ATA 게이트웨이를 사용하는 경우 모니터링되는 do기본 컨트롤러에 대한 포트 미러 설정하고 실제 또는 가상 스위치를 사용하여 ATA 게이트웨이를 대상으로 설정해야 합니다. 또 다른 옵션은 네트워크TAP를 사용하는 것입니다. ATA는 일부 수행기본 컨트롤러가 모니터링되는 경우 작동하지만 검색은 덜 효과적입니다.
포트 미러 미러 모든 기본 컨트롤러 네트워크 트래픽을 ATA 게이트웨이로 전송하는 동안 해당 트래픽의 일부만 분석을 위해 ATA 센터로 전송되고 압축됩니다.
할 일기본 컨트롤러 및 ATA 게이트웨이는 물리적 또는 가상일 수 있습니다. 자세한 내용은 포트 미러 구성을 참조하세요.
이벤트
PASS-the-Hash, Brute Force, 중요한 그룹 및 허니 토큰에 대한 ATA 검색을 향상하려면 ATA에는 Windows 이벤트 4776, 4732, 4733, 4728, 4729, 4756, 4757이 필요합니다. ATA 경량 게이트웨이에서 자동으로 읽거나 ATA 경량 게이트웨이가 배포되지 않은 경우 SIEM 이벤트를 수신하도록 ATA 게이트웨이를 구성하거나 Windows 이벤트 전달을 구성하여 두 가지 방법 중 하나로 ATA 게이트웨이로 전달할 수 있습니다.
SIEM 이벤트를 수신 대기하도록 ATA 게이트웨이 구성
특정 Windows 이벤트를 ATA로 전달하도록 SIEM을 구성합니다. ATA는 여러 SIEM 공급업체를 지원합니다. 자세한 내용은 이벤트 컬렉션 구성을 참조 하세요.Windows 이벤트 전달 구성
ATA가 이벤트를 가져올 수 있는 또 다른 방법은 windows 이벤트 4776, 4732, 4733, 4728, 4729, 4756 및 4757을 ATA 게이트웨이로 전달하도록 할기본 컨트롤러를 구성하는 것입니다. 이는 SIEM이 없거나 SIEM이 현재 ATA에서 지원되지 않는 경우에 특히 유용합니다. ATA에서 Windows 이벤트 전달 구성을 완료하려면 Windows 이벤트 전달 구성을 참조하세요. 이는 ATA 경량 게이트웨이가 아닌 실제 ATA 게이트웨이에만 적용됩니다.