Architektura usługi ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
Architektura usługi Advanced Threat Analytics jest szczegółowa na tym diagramie:
Usługa ATA monitoruje ruch sieciowy kontrolera domeny przez użycie funkcji dublowania portów do bramy usługi ATA przy użyciu przełączników fizycznych lub wirtualnych. Jeśli brama ATA Lightweight Gateway zostanie wdrożona bezpośrednio na kontrolerach domeny, usunie to wymaganie dotyczące dublowania portów. Ponadto usługa ATA może korzystać ze zdarzeń systemu Windows (przekazywanych bezpośrednio z kontrolerów domeny lub z serwera SIEM) i analizować dane pod kątem ataków i zagrożeń. W tej sekcji opisano przepływ przechwytywania i przechodzenia do szczegółów sieci i zdarzeń w celu opisania funkcjonalności głównych składników usługi ATA: bramy usługi ATA, uproszczonej bramy usługi ATA (która ma taką samą podstawową funkcjonalność jak brama usługi ATA) i centrum usługi ATA.
Składniki usługi ATA
Usługa ATA składa się z następujących składników:
- Centrum usługi ATA
Centrum usługi ATA odbiera dane z wdrożonych bram usługi ATA i/lub uproszczonych bram usługi ATA. - Brama usługi ATA
Brama usługi ATA jest zainstalowana na dedykowanym serwerze, który monitoruje ruch z kontrolerów domeny przy użyciu funkcji dublowania portów lub sieci TAP. - Uproszczona brama usługi ATA
Uproszczona brama usługi ATA jest instalowana bezpośrednio na kontrolerach domeny i monitoruje ruch bezpośrednio bez konieczności użycia dedykowanego serwera lub konfiguracji dublowania portów. Jest to alternatywa dla bramy usługi ATA.
Wdrożenie usługi ATA może składać się z jednego centrum usługi ATA połączonego ze wszystkimi bramami usługi ATA, wszystkimi uproszczonymi bramami usługi ATA lub kombinacją bram usługi ATA i uproszczonych bram usługi ATA.
Opcje wdrażania
Usługę ATA można wdrożyć przy użyciu następującej kombinacji bram:
- Używanie tylko bram usługi ATA
Wdrożenie usługi ATA może zawierać tylko bramy usługi ATA, bez żadnych uproszczonych bram usługi ATA: wszystkie kontrolery domeny muszą być skonfigurowane tak, aby umożliwić dublowanie portów w bramie usługi ATA lub musi być włączona. - Używanie tylko uproszczonych bram usługi ATA
Wdrożenie usługi ATA może zawierać tylko uproszczone bramy usługi ATA: Uproszczone bramy usługi ATA są wdrażane na każdym kontrolerze domeny i nie jest wymagana żadna dodatkowa konfiguracja dublowania portów. - Używanie bram usługi ATA i uproszczonych bram usługi ATA
Wdrożenie usługi ATA obejmuje zarówno bramy usługi ATA, jak i uproszczone bramy usługi ATA. Uproszczone bramy usługi ATA są instalowane na niektórych kontrolerach domeny (na przykład na wszystkich kontrolerach domeny w lokacjach gałęzi). Jednocześnie inne kontrolery domeny są monitorowane przez bramy usługi ATA (na przykład większe kontrolery domeny w głównych centrach danych).
We wszystkich tych scenariuszach wszystkie bramy wysyłają dane do centrum usługi ATA.
Centrum usługi ATA
Centrum usługi ATA wykonuje następujące funkcje:
Zarządza ustawieniami konfiguracji bramy usługi ATA i uproszczonej bramy usługi ATA
Odbiera dane z bram usługi ATA i uproszczonych bram usługi ATA
Wykrywa podejrzane działania
Uruchamia algorytmy uczenia maszynowego usługi ATA w celu wykrywania nietypowych zachowań
Uruchamia różne algorytmy deterministyczne w celu wykrywania zaawansowanych ataków na podstawie łańcucha zabijania ataków
Uruchamia konsolę usługi ATA
Opcjonalnie: Centrum usługi ATA można skonfigurować do wysyłania wiadomości e-mail i zdarzeń po wykryciu podejrzanego działania.
Centrum usługi ATA odbiera przeanalizowany ruch z bramy usługi ATA i uproszczonej bramy usługi ATA. Następnie wykonuje profilowanie, uruchamia wykrywanie deterministyczne oraz uruchamia uczenie maszynowe i algorytmy behawioralne, aby dowiedzieć się więcej o sieci, włączyć wykrywanie anomalii i ostrzegać o podejrzanych działaniach.
| Type | Opis |
|---|---|
| Odbiorca jednostki | Odbiera partie jednostek ze wszystkich bram usługi ATA i uproszczonych bram usługi ATA. |
| Procesor działań sieciowych | Przetwarza wszystkie działania sieciowe w ramach każdej odebranych partii. Na przykład dopasowanie różnych kroków protokołu Kerberos wykonanych z potencjalnie różnych komputerów |
| Profiler jednostki | Profiluje wszystkie unikatowe jednostki zgodnie z ruchem i zdarzeniami. Na przykład usługa ATA aktualizuje listę zalogowanych komputerów dla każdego profilu użytkownika. |
| Center Database | Zarządza procesem zapisywania działań sieciowych i zdarzeń w bazie danych. |
| Baza danych | Usługa ATA korzysta z bazy danych MongoDB do celów przechowywania wszystkich danych w systemie: - Działania sieciowe - Działania związane z zdarzeniami - Unikatowe jednostki - Podejrzane działania - Konfiguracja usługi ATA |
| Detektory | Narzędzia do wykrywania używają algorytmów uczenia maszynowego i reguł deterministycznych w celu znalezienia podejrzanych działań i nietypowego zachowania użytkownika w sieci. |
| Konsola usługi ATA | Konsola usługi ATA służy do konfigurowania usługi ATA i monitorowania podejrzanych działań wykrytych przez usługę ATA w sieci. Konsola usługi ATA nie jest zależna od usługi Centrum usługi ATA i jest uruchamiana nawet wtedy, gdy usługa jest zatrzymana, o ile może komunikować się z bazą danych. |
Podczas podejmowania decyzji o liczbą centrów usługi ATA do wdrożenia w sieci należy wziąć pod uwagę następujące kryteria:
Jedno centrum usługi ATA może monitorować jeden las usługi Active Directory. Jeśli masz więcej niż jeden las usługi Active Directory, potrzebujesz co najmniej jednego centrum usługi ATA na las usługi Active Directory.
W dużych wdrożeniach usługi Active Directory pojedyncze centrum usługi ATA może nie być w stanie obsłużyć całego ruchu wszystkich kontrolerów domeny. W takim przypadku wymagane jest wiele centrów usługi ATA. Liczba centrów usługi ATA powinna być określana przez planowanie pojemności usługi ATA.
Brama usługi ATA i uproszczona brama usługi ATA
Podstawowe funkcje bramy
Brama usługi ATA i uproszczona brama usługi ATA mają te same podstawowe funkcje:
Przechwytywanie i inspekcja ruchu sieciowego kontrolera domeny. Jest to ruch dublowany przez port dla bram usługi ATA i ruch lokalny kontrolera domeny w bramach ATA Lightweight Gateway.
Odbieranie zdarzeń systemu Windows z serwerów SIEM lub Syslog albo z kontrolerów domeny przy użyciu funkcji przekazywania zdarzeń systemu Windows
Pobieranie danych dotyczących użytkowników i komputerów z domeny usługi Active Directory
Rozpoznawanie jednostek sieciowych (użytkowników, grup i komputerów)
Transfer odpowiednich danych do centrum usługi ATA
Monitorowanie wielu kontrolerów domeny z jednej bramy usługi ATA lub monitorowanie jednego kontrolera domeny dla uproszczonej bramy usługi ATA.
Brama usługi ATA odbiera ruch sieciowy i zdarzenia systemu Windows z sieci i przetwarza je w następujących głównych składnikach:
| Type | Opis |
|---|---|
| Odbiornik sieci | Odbiornik sieci przechwytuje ruch sieciowy i analizuje ruch. Jest to zadanie o dużym obciążeniu procesora CPU, dlatego szczególnie ważne jest sprawdzenie wymagań wstępnych usługi ATA podczas planowania bramy usługi ATA lub uproszczonej bramy usługi ATA. |
| Odbiornik zdarzeń | Odbiornik zdarzeń przechwytuje i analizuje zdarzenia systemu Windows przekazywane z serwera SIEM w sieci. |
| Czytelnik dziennika zdarzeń systemu Windows | Czytnik dziennika zdarzeń systemu Windows odczytuje i analizuje zdarzenia systemu Windows przekazywane do dziennika zdarzeń systemu Windows bramy usługi ATA z kontrolerów domeny. |
| Translator działań sieciowych | Tłumaczy przeanalizowany ruch na logiczną reprezentację ruchu używanego przez usługę ATA (NetworkActivity). |
| Rozpoznawanie jednostek | Program Entity Resolver pobiera przeanalizowane dane (ruch sieciowy i zdarzenia) i rozpoznaje je za pomocą usługi Active Directory, aby znaleźć informacje o koncie i tożsamości. Następnie jest dopasowywany do adresów IP znalezionych w przeanalizowanych danych. Program Entity Resolver efektywnie sprawdza nagłówki pakietów, aby umożliwić analizowanie pakietów uwierzytelniania dla nazw maszyn, właściwości i tożsamości. Program Entity Resolver łączy przeanalizowane pakiety uwierzytelniania z danymi w rzeczywistym pakiecie. |
| Nadawca jednostki | Nadawca jednostki wysyła przeanalizowane i dopasowane dane do centrum usługi ATA. |
Funkcje uproszczonej bramy usługi ATA
Poniższe funkcje działają inaczej w zależności od tego, czy używasz bramy usługi ATA, czy uproszczonej bramy usługi ATA.
Uproszczona brama usługi ATA może odczytywać zdarzenia lokalnie bez konieczności konfigurowania przekazywania zdarzeń.
Kandydat synchronizatora domeny
Brama synchronizatora domeny jest odpowiedzialna za aktywne synchronizowanie wszystkich jednostek z określonej domeny usługi Active Directory (podobnie jak mechanizm używany przez same kontrolery domeny do replikacji). Jedna brama jest wybierana losowo z listy kandydatów, aby służyć jako synchronizator domeny.
Jeśli synchronizator jest w trybie offline przez ponad 30 minut, zamiast tego zostanie wybrany inny kandydat. Jeśli nie ma dostępnego kandydata synchronizatora domeny dla określonej domeny, usługa ATA aktywnie synchronizuje jednostki i ich zmiany, jednak usługa ATA reaktywnie pobiera nowe jednostki, ponieważ są wykrywane w monitorowanym ruchu.Jeśli synchronizator domeny nie jest dostępny, wyszukiwanie jednostki bez ruchu powiązanego z nią nie wyświetla żadnych wyników.
Domyślnie wszystkie bramy usługi ATA są kandydatami synchronizatora domeny.
Ponieważ wszystkie uproszczone bramy usługi ATA są wdrażane w lokacjach gałęzi i na małych kontrolerach domeny, nie są one domyślnie kandydatami synchronizatora.
W środowisku z tylko uproszczonymi bramami zaleca się przypisanie dwóch bram jako kandydatów synchronizatora, gdzie jedna brama lightweight gateway jest domyślnym kandydatem synchronizatora, a drugi jest kopią zapasową w przypadku, gdy domyślna wartość jest w trybie offline przez ponad 30 minut.
Ograniczenia zasobów
Uproszczona brama usługi ATA zawiera składnik monitorowania, który ocenia dostępną pojemność obliczeniową i pamięć na kontrolerze domeny, na którym jest uruchomiony. Proces monitorowania jest uruchamiany co 10 sekund i dynamicznie aktualizuje limit przydziału użycia procesora CPU i pamięci w procesie uproszczonej bramy usługi ATA, aby upewnić się, że w danym momencie kontroler domeny ma co najmniej 15% bezpłatnych zasobów obliczeniowych i pamięci.Niezależnie od tego, co się dzieje na kontrolerze domeny, ten proces zawsze zwalnia zasoby, aby upewnić się, że podstawowe funkcje kontrolera domeny nie mają wpływu.
Jeśli spowoduje to, że uproszczona brama usługi ATA zabraknie zasobów, na stronie Kondycja zostanie wyświetlony alert kondycji "Porzucony ruch sieciowy zdublowany na porcie".
W poniższej tabeli przedstawiono przykład kontrolera domeny z wystarczającą ilością zasobów obliczeniowych dostępnych do umożliwienia zwiększenia limitu przydziału, więc cały ruch jest monitorowany:
| Active Directory (Lsass.exe) | Uproszczona brama usługi ATA (Microsoft.Tri.Gateway.exe) | Różne (inne procesy) | Limit przydziału uproszczonej bramy usługi ATA | Usuwanie bramy |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nie. |
Jeśli usługa Active Directory potrzebuje więcej zasobów obliczeniowych, limit przydziału wymagany przez uproszczoną bramę usługi ATA zostanie zmniejszony. W poniższym przykładzie uproszczona brama usługi ATA potrzebuje więcej niż przydzielony limit przydziału i odrzuca część ruchu (monitorowanie tylko częściowego ruchu):
| Active Directory (Lsass.exe) | Uproszczona brama usługi ATA (Microsoft.Tri.Gateway.exe) | Różne (inne procesy) | Limit przydziału uproszczonej bramy usługi ATA | Czy brama upuszcza |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Tak |
Składniki sieci
Aby pracować z usługą ATA, upewnij się, że zostały skonfigurowane następujące składniki.
Dublowanie portów
Jeśli używasz bram usługi ATA, musisz skonfigurować dublowanie portów dla monitorowanych kontrolerów domeny i ustawić bramę usługi ATA jako miejsce docelowe przy użyciu przełączników fizycznych lub wirtualnych. Inną opcją jest użycie doradców sieciowych. Usługa ATA działa, jeśli niektóre, ale nie wszystkie kontrolery domeny są monitorowane, ale wykrycia są mniej skuteczne.
Podczas dublowania portów dubluje cały ruch sieciowy kontrolera domeny do bramy usługi ATA, tylko niewielki procent tego ruchu jest następnie wysyłany, skompresowany, do centrum usługi ATA na potrzeby analizy.
Kontrolery domeny i bramy usługi ATA mogą być fizyczne lub wirtualne, zobacz Konfigurowanie dublowania portów, aby uzyskać więcej informacji.
Wydarzenia
Aby ulepszyć wykrywanie ataków ATA typu Pass-the-Hash, Atak siłowy, Modyfikacja poufnych grup i tokenów honey, usługa ATA potrzebuje następujących zdarzeń systemu Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Mogą one być odczytywane automatycznie przez uproszczoną bramę usługi ATA lub w przypadku, gdy uproszczona brama usługi ATA nie jest wdrożona, można ją przekazać do bramy usługi ATA na jeden z dwóch sposobów, konfigurując bramę usługi ATA do nasłuchiwania zdarzeń SIEM lub przez skonfigurowanie przekazywania zdarzeń systemu Windows.
Konfigurowanie bramy usługi ATA do nasłuchiwania zdarzeń SIEM
Skonfiguruj rozwiązanie SIEM, aby przekazywać określone zdarzenia systemu Windows do usługi ATA. Usługa ATA obsługuje wielu dostawców rozwiązania SIEM. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń.Konfigurowanie przekazywania zdarzeń systemu Windows
Innym sposobem uzyskiwania zdarzeń przez usługę ATA jest skonfigurowanie kontrolerów domeny do przekazywania zdarzeń systemu Windows 4776, 4732, 4733, 4728, 4729, 4756 i 4757 do bramy usługi ATA. Jest to szczególnie przydatne, jeśli nie masz rozwiązania SIEM lub jeśli rozwiązanie SIEM nie jest obecnie obsługiwane przez usługę ATA. Aby ukończyć konfigurację przekazywania zdarzeń systemu Windows w usłudze ATA, zobacz Konfigurowanie przekazywania zdarzeń systemu Windows. Dotyczy to tylko fizycznych bram usługi ATA — a nie bramy ATA Lightweight Gateway.