Arquitetura ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
A arquitetura do Advanced Threat Analytics é detalhada neste diagrama:
O ATA monitora o tráfego de rede do controlador de domínio utilizando o espelhamento de porta para um Gateway ATA usando comutadores físicos ou virtuais. Se você implantar o ATA Lightweight Gateway diretamente em seus controladores de domínio, ele removerá o requisito de espelhamento de porta. Além disso, o ATA pode aproveitar eventos do Windows (encaminhados diretamente de seus controladores de domínio ou de um servidor SIEM) e analisar os dados em busca de ataques e ameaças. Esta seção descreve o fluxo de captura de rede e eventos e detalha para descrever a funcionalidade dos principais componentes do ATA: o ATA Gateway, o ATA Lightweight Gateway (que tem a mesma funcionalidade principal do ATA Gateway) e o ATA Center.
Componentes ATA
O ATA consiste nos seguintes componentes:
- Centro ATA
O Centro do ATA recebe dados de quaisquer Gateways ATA e/ou Gateways Leves ATA implantados. - ATA Gateway
O Gateway ATA é instalado em um servidor dedicado que monitora o tráfego de seus controladores de domínio usando o espelhamento de porta ou um TAP de rede. - Gateway leve ATA
O ATA Lightweight Gateway é instalado diretamente em seus controladores de domínio e monitora seu tráfego diretamente, sem a necessidade de um servidor dedicado ou configuração de espelhamento de porta. É uma alternativa ao ATA Gateway.
Uma implantação do ATA pode consistir em um único Centro ATA conectado a todos os Gateways ATA, todos os Gateways Leves ATA ou uma combinação de Gateways ATA e Gateways Leves ATA.
Opções de implementação
Você pode implantar o ATA usando a seguinte combinação de gateways:
- Usando apenas gateways ATA
Sua implantação do ATA pode conter apenas Gateways ATA, sem nenhum ATA Lightweight Gateways: Todos os controladores de domínio devem ser configurados para habilitar o espelhamento de porta para um Gateway ATA ou TAPs de rede devem estar em vigor. - Usando apenas gateways leves ATA
Sua implantação do ATA pode conter apenas ATA Lightweight Gateways: Os ATA Lightweight Gateways são implantados em cada controlador de domínio e nenhum servidor adicional ou configuração de espelhamento de porta é necessária. - Usando gateways ATA e gateways leves ATA
Sua implantação do ATA inclui Gateways ATA e Gateways Leves ATA. Os ATA Lightweight Gateways são instalados em alguns de seus controladores de domínio (por exemplo, todos os controladores de domínio em seus sites de filial). Ao mesmo tempo, outros controladores de domínio são monitorados por Gateways ATA (por exemplo, os controladores de domínio maiores em seus principais data centers).
Em todos esses cenários, todos os gateways enviam seus dados para o ATA Center.
Centro ATA
O Centro ATA executa as seguintes funções:
Gerencia as definições de configuração do ATA Gateway e do ATA Lightweight Gateway
Recebe dados de ATA Gateways e ATA Lightweight Gateways
Deteta atividades suspeitas
Executa algoritmos de aprendizado de máquina comportamental ATA para detetar comportamentos anormais
Executa vários algoritmos determinísticos para detetar ataques avançados com base na cadeia de destruição de ataques
Executa o console do ATA
Opcional: O Centro do ATA pode ser configurado para enviar e-mails e eventos quando uma atividade suspeita é detetada.
O ATA Center recebe tráfego analisado do ATA Gateway e do ATA Lightweight Gateway. Em seguida, ele executa a criação de perfis, executa a deteção determinística e executa algoritmos comportamentais e de aprendizado de máquina para aprender sobre sua rede, habilitar a deteção de anomalias e avisá-lo sobre atividades suspeitas.
| Tipo | Descrição |
|---|---|
| Entidade Recetora | Recebe lotes de entidades de todos os ATA Gateways e ATA Lightweight Gateways. |
| Processador de atividade de rede | Processa todas as atividades de rede dentro de cada lote recebido. Por exemplo, a correspondência entre as várias etapas Kerberos executadas a partir de computadores potencialmente diferentes |
| Criador de Perfil de Entidade | Perfis de todas as Entidades Únicas de acordo com o tráfego e eventos. Por exemplo, o ATA atualiza a lista de computadores conectados para cada perfil de usuário. |
| Base de Dados do Centro | Gerencia o processo de gravação das atividades e eventos da rede no banco de dados. |
| Base de dados | ATA utiliza MongoDB para fins de armazenamento de todos os dados no sistema: - Atividades em rede - Atividades do evento - Entidades únicas - Atividades suspeitas - Configuração ATA |
| Detetores | Os detetores usam algoritmos de aprendizado de máquina e regras determinísticas para encontrar atividades suspeitas e comportamento anormal do usuário em sua rede. |
| ATA Console | O Console do ATA serve para configurar o ATA e monitorar atividades suspeitas detetadas pelo ATA em sua rede. O Console do ATA não depende do serviço do Centro do ATA e é executado mesmo quando o serviço é interrompido, desde que possa se comunicar com o banco de dados. |
Considere os seguintes critérios ao decidir quantos ATA Centers implantar em sua rede:
Um Centro ATA pode monitorar uma única floresta do Ative Directory. Se você tiver mais de uma floresta do Ative Directory, precisará de um mínimo de uma Central do ATA por floresta do Ative Directory.
Em grandes implantações do Ative Directory, um único Centro ATA pode não ser capaz de lidar com todo o tráfego de todos os seus controladores de domínio. Neste caso, são necessários vários Centros ATA. O número de Centros ATA deve ser determinado pelo planeamento da capacidade ATA.
Gateway ATA e gateway leve ATA
Funcionalidade principal do gateway
O ATA Gateway e o ATA Lightweight Gateway têm a mesma funcionalidade principal:
Capture e inspecione o tráfego de rede do controlador de domínio. Este é o tráfego espelhado de porta para Gateways ATA e o tráfego local do controlador de domínio em ATA Lightweight Gateways.
Receber eventos do Windows de servidores SIEM ou Syslog ou de controladores de domínio usando o Encaminhamento de Eventos do Windows
Recuperar dados sobre usuários e computadores do domínio do Ative Directory
Executar a resolução de entidades de rede (usuários, grupos e computadores)
Transferir dados relevantes para o Centro ATA
Monitore vários controladores de domínio a partir de um único Gateway ATA ou monitore um único controlador de domínio para um ATA Lightweight Gateway.
O Gateway ATA recebe tráfego de rede e Eventos do Windows da sua rede e processa-o nos seguintes componentes principais:
| Tipo | Descrição |
|---|---|
| Ouvinte de rede | O Ouvinte de Rede captura o tráfego de rede e analisa o tráfego. Esta é uma tarefa que exige muita CPU, por isso é especialmente importante verificar os pré-requisitos do ATA ao planejar seu ATA Gateway ou ATA Lightweight Gateway. |
| Ouvinte de eventos | O Ouvinte de Eventos captura e analisa Eventos do Windows encaminhados de um servidor SIEM na rede. |
| Leitor de Log de Eventos do Windows | O Leitor de Log de Eventos do Windows lê e analisa os Eventos do Windows encaminhados para o Log de Eventos do Windows do Gateway do ATA a partir dos controladores de domínio. |
| Tradutor de atividades de rede | Traduz o tráfego analisado em uma representação lógica do tráfego usado pelo ATA (NetworkActivity). |
| Resolvedor de entidades | O Resolvedor de Entidades pega os dados analisados (tráfego de rede e eventos) e os resolve com o Ative Directory para localizar informações de conta e identidade. Em seguida, ele é correspondido com os endereços IP encontrados nos dados analisados. O Resolvedor de Entidades inspeciona os cabeçalhos de pacotes de forma eficiente, para permitir a análise de pacotes de autenticação para nomes, propriedades e identidades de máquina. O Resolvedor de Entidade combina os pacotes de autenticação analisados com os dados no pacote real. |
| Remetente da entidade | O Remetente da Entidade envia os dados analisados e correspondentes para o Centro do ATA. |
Recursos do ATA Lightweight Gateway
Os recursos a seguir funcionam de forma diferente, dependendo se você está executando um ATA Gateway ou um ATA Lightweight Gateway.
O ATA Lightweight Gateway pode ler eventos localmente, sem a necessidade de configurar o encaminhamento de eventos.
Candidato a sincronizador de domínio
O gateway sincronizador de domínio é responsável por sincronizar todas as entidades de um domínio específico do Ative Directory proativamente (semelhante ao mecanismo usado pelos próprios controladores de domínio para replicação). Um gateway é escolhido aleatoriamente, a partir da lista de candidatos, para servir como sincronizador de domínio.
Se o sincronizador estiver offline por mais de 30 minutos, outro candidato será escolhido. Se não houver nenhum candidato a sincronizador de domínio disponível para um domínio específico, o ATA sincronizará proativamente as entidades e suas alterações, no entanto, o ATA recuperará reativamente novas entidades à medida que forem detetadas no tráfego monitorado.Quando nenhum sincronizador de domínio está disponível, a pesquisa de uma entidade sem tráfego relacionado a ela não exibe resultados.
Por padrão, todos os Gateways ATA são candidatos a sincronizadores de domínio.
Como todos os ATA Lightweight Gateways têm maior probabilidade de serem implantados em sites de filiais e em pequenos controladores de domínio, eles não são candidatos a sincronizadores por padrão.
Em um ambiente com apenas Lightweight Gateways, é recomendável atribuir dois dos gateways como candidatos a sincronizadores, onde um Lightweight Gateway é o candidato a sincronizador padrão e um é o backup caso o padrão esteja offline por mais de 30 minutos.
Limitações de recursos
O ATA Lightweight Gateway inclui um componente de monitoramento que avalia a capacidade de computação e memória disponível no controlador de domínio no qual ele está sendo executado. O processo de monitoramento é executado a cada 10 segundos e atualiza dinamicamente a CPU e a cota de utilização de memória no processo ATA Lightweight Gateway para garantir que, em qualquer momento, o controlador de domínio tenha pelo menos 15% de recursos de computação e memória livres.Não importa o que aconteça no controlador de domínio, esse processo sempre libera recursos para garantir que a funcionalidade principal do controlador de domínio não seja afetada.
Se isso fizer com que o ATA Lightweight Gateway fique sem recursos, apenas o tráfego parcial será monitorado e o alerta de integridade "Tráfego de rede espelhado de porta descartada" será exibido na página Integridade.
A tabela a seguir fornece um exemplo de um controlador de domínio com recursos de computação suficientes disponíveis para permitir uma cota maior que é necessária no momento, para que todo o tráfego seja monitorado:
| Ative Directory (Lsass.exe) | Gateway leve ATA (Microsoft.Tri.Gateway.exe) | Diversos (outros processos) | Cota de gateway leve ATA | Queda de gateway |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Não |
Se o Ative Directory precisar de mais computação, a cota necessária para o ATA Lightweight Gateway será reduzida. No exemplo a seguir, o ATA Lightweight Gateway precisa de mais do que a cota alocada e descarta parte do tráfego (monitorando apenas o tráfego parcial):
| Ative Directory (Lsass.exe) | Gateway leve ATA (Microsoft.Tri.Gateway.exe) | Diversos (outros processos) | Cota de gateway leve ATA | É gateway caindo |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Sim |
Os seus componentes de rede
Para trabalhar com ATA, certifique-se de verificar se os seguintes componentes estão configurados.
Espelhamento de portas
Se você estiver usando Gateways ATA, precisará configurar o espelhamento de porta para os controladores de domínio monitorados e definir o Gateway ATA como o destino usando os comutadores físicos ou virtuais. Outra opção é usar TAPs de rede. O ATA funciona se alguns, mas não todos, os controladores de domínio forem monitorados, mas as deteções forem menos eficazes.
Enquanto o espelhamento de porta espelha todo o tráfego de rede do controlador de domínio para o Gateway do ATA, apenas uma pequena porcentagem desse tráfego é enviada, compactada, para o Centro do ATA para análise.
Seus controladores de domínio e os gateways ATA podem ser físicos ou virtuais, consulte Configurar espelhamento de porta para obter mais informações.
Eventos
Para melhorar a deteção ATA de Pass-the-Hash, Força Bruta, Modificação para grupos sensíveis e Honey Tokens, o ATA precisa dos seguintes eventos do Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Eles podem ser lidos automaticamente pelo ATA Lightweight Gateway ou, caso o ATA Lightweight Gateway não seja implantado, ele pode ser encaminhado para o ATA Gateway de duas maneiras, configurando o ATA Gateway para ouvir eventos SIEM ou configurando o Encaminhamento de Eventos do Windows.
Configurando o Gateway ATA para escutar eventos SIEM
Configure seu SIEM para encaminhar eventos específicos do Windows para o ATA. O ATA suporta vários fornecedores de SIEM. Para obter mais informações, consulte Configurar coleta de eventos.Configurando o encaminhamento de eventos do Windows
Outra maneira de o ATA obter seus eventos é configurando seus controladores de domínio para encaminhar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para o seu Gateway ATA. Isso é especialmente útil se você não tiver um SIEM ou se o seu SIEM não for suportado atualmente pelo ATA. Para concluir a configuração do Encaminhamento de Eventos do Windows no ATA, consulte Configurando o encaminhamento de eventos do Windows. Isso só se aplica a gateways ATA físicos - não ao ATA Lightweight Gateway.