ATA-arkitektur
Gäller för: Advanced Threat Analytics version 1.9
Advanced Threat Analytics-arkitekturen beskrivs i det här diagrammet:
ATA övervakar din domänkontrollants nätverkstrafik genom att använda portspegling till en ATA Gateway med hjälp av fysiska eller virtuella växlar. Om du distribuerar ATA Lightweight Gateway direkt på dina domänkontrollanter tar det bort kravet på portspegling. Dessutom kan ATA använda Windows-händelser (vidarebefordras direkt från dina domänkontrollanter eller från en SIEM-server) och analysera data för attacker och hot. Det här avsnittet beskriver flödet av nätverks- och händelsefångst och ökar detaljnivån för att beskriva funktionerna i huvudkomponenterna i ATA: ATA Gateway, ATA Lightweight Gateway (som har samma kärnfunktioner som ATA Gateway) och ATA Center.
ATA-komponenter
ATA består av följande komponenter:
- ATA Center
ATA Center tar emot data från alla ATA Gateways och/eller ATA Lightweight Gateways som du distribuerar. - ATA Gateway
ATA Gateway installeras på en dedikerad server som övervakar trafiken från dina domänkontrollanter med hjälp av portspegling eller ett tap-nätverk. - ATA Lightweight Gateway
ATA Lightweight Gateway installeras direkt på dina domänkontrollanter och övervakar trafiken direkt, utan att det behövs någon dedikerad server eller konfiguration av portspegling. Det är ett alternativ till ATA Gateway.
En ATA-distribution kan bestå av ett enda ATA Center som är anslutet till alla ATA-gatewayer, alla ATA Lightweight Gateways eller en kombination av ATA Gateways och ATA Lightweight Gateways.
Distributionsalternativ
Du kan distribuera ATA med hjälp av följande kombination av gatewayer:
- Använda endast ATA-gatewayer
ATA-distributionen kan bara innehålla ATA-gatewayer, utan ATA Lightweight Gateways: Alla domänkontrollanter måste konfigureras för att aktivera portspegling till en ATA Gateway eller så måste nätverks-TAP:er vara på plats. - Använda endast ATA Lightweight Gateways
ATA-distributionen kan bara innehålla ATA Lightweight Gateways: ATA Lightweight Gateways distribueras på varje domänkontrollant och inga ytterligare servrar eller portspeglingskonfiguration krävs. - Använda både ATA Gateways och ATA Lightweight Gateways
ATA-distributionen innehåller både ATA Gateways och ATA Lightweight Gateways. ATA Lightweight Gateways är installerade på några av dina domänkontrollanter (till exempel alla domänkontrollanter på dina grenplatser). Samtidigt övervakas andra domänkontrollanter av ATA Gateways (till exempel de större domänkontrollanterna i dina huvudsakliga datacenter).
I alla dessa scenarier skickar alla gatewayer sina data till ATA Center.
ATA Center
ATA Center utför följande funktioner:
Hanterar konfigurationsinställningar för ATA Gateway och ATA Lightweight Gateway
Tar emot data från ATA Gateways och ATA Lightweight Gateways
Identifierar misstänkta aktiviteter
Kör ATA-beteendebaserade maskininlärningsalgoritmer för att identifiera onormalt beteende
Kör olika deterministiska algoritmer för att identifiera avancerade attacker baserat på attackdödskedjan
Kör ATA-konsolen
Valfritt: ATA Center kan konfigureras för att skicka e-postmeddelanden och händelser när en misstänkt aktivitet identifieras.
ATA Center tar emot tolkad trafik från ATA Gateway och ATA Lightweight Gateway. Den utför sedan profilering, kör deterministisk identifiering och kör maskininlärnings- och beteendealgoritmer för att lära sig mer om nätverket, aktivera identifiering av avvikelser och varna dig för misstänkta aktiviteter.
| Typ | Description |
|---|---|
| Entitetsmottagare | Tar emot batchar med entiteter från alla ATA Gateways och ATA Lightweight Gateways. |
| Processor för nätverksaktivitet | Bearbetar alla nätverksaktiviteter i varje batch som tas emot. Till exempel matchning mellan de olika Kerberos-stegen som utförs från potentiellt olika datorer |
| Entitetsprofilerare | Profilerar alla unika entiteter enligt trafik och händelser. ATA uppdaterar till exempel listan över inloggade datorer för varje användarprofil. |
| Centrera databas | Hanterar skrivprocessen för nätverksaktiviteter och händelser i databasen. |
| Databas | ATA använder MongoDB för att lagra alla data i systemet: – Nätverksaktiviteter – Händelseaktiviteter – Unika entiteter – Misstänkta aktiviteter – ATA-konfiguration |
| Detektorer | Detektorerna använder maskininlärningsalgoritmer och deterministiska regler för att hitta misstänkta aktiviteter och onormalt användarbeteende i nätverket. |
| ATA-konsolen | ATA-konsolen är till för att konfigurera ATA och övervaka misstänkta aktiviteter som identifierats av ATA i nätverket. ATA-konsolen är inte beroende av ATA Center-tjänsten och körs även när tjänsten stoppas, så länge den kan kommunicera med databasen. |
Tänk på följande kriterier när du bestämmer hur många ATA Center som ska distribueras i nätverket:
Ett ATA Center kan övervaka en enda Active Directory-skog. Om du har fler än en Active Directory-skog behöver du minst ett ATA Center per Active Directory-skog.
I stora Active Directory-distributioner kanske ett enda ATA Center inte kan hantera all trafik för alla domänkontrollanter. I det här fallet krävs flera ATA-center. Antalet ATA-center bör bestämmas av ATA-kapacitetsplanering.
ATA Gateway och ATA Lightweight Gateway
Gateway core-funktioner
ATA Gateway och ATA Lightweight Gateway har båda samma kärnfunktioner:
Samla in och inspektera nätverkstrafik för domänkontrollanter. Det här är portspeglingstrafik för ATA-gatewayer och lokal trafik för domänkontrollanten i ATA Lightweight Gateways.
Ta emot Windows-händelser från SIEM- eller Syslog-servrar eller från domänkontrollanter med windows-händelsevidarebefordring
Hämta data om användare och datorer från Active Directory-domänen
Utföra en lösning för nätverksentiteter (användare, grupper och datorer)
Överföra relevanta data till ATA Center
Övervaka flera domänkontrollanter från en enda ATA Gateway eller övervaka en enda domänkontrollant för en ATA Lightweight Gateway.
ATA Gateway tar emot nätverkstrafik och Windows-händelser från nätverket och bearbetar den i följande huvudkomponenter:
| Typ | Description |
|---|---|
| Nätverkslyssnare | Nätverkslyssnaren samlar in nätverkstrafik och parsar trafiken. Detta är en cpu-tung uppgift, så det är särskilt viktigt att kontrollera ATA-krav när du planerar din ATA Gateway eller ATA Lightweight Gateway. |
| Händelselyssnare | Händelselyssnaren samlar in och parsar Windows-händelser som vidarebefordras från en SIEM-server i nätverket. |
| Windows-händelseloggläsare | Windows-händelseloggläsaren läser och parsar Windows-händelser som vidarebefordras till ATA Gateways Windows-händelselogg från domänkontrollanterna. |
| Translator för nätverksaktivitet | Översätter tolkad trafik till en logisk representation av trafiken som används av ATA (NetworkActivity). |
| Entitetslösare | Entity Resolver tar parsade data (nätverkstrafik och händelser) och löser data med Active Directory för att hitta konto- och identitetsinformation. Den matchas sedan med IP-adresserna som finns i de parsade data. Entity Resolver inspekterar paketrubrikerna effektivt för att möjliggöra parsning av autentiseringspaket för datornamn, egenskaper och identiteter. Entity Resolver kombinerar de parsade autentiseringspaketen med data i det faktiska paketet. |
| Entitetssändare | Entitetssändaren skickar parsade och matchade data till ATA Center. |
ATA Lightweight Gateway-funktioner
Följande funktioner fungerar olika beroende på om du kör en ATA Gateway eller en ATA Lightweight Gateway.
ATA Lightweight Gateway kan läsa händelser lokalt, utan att behöva konfigurera vidarebefordran av händelser.
Kandidat för domänsynkronisering
Domänsynkroniseringsgatewayen ansvarar för att synkronisera alla entiteter från en specifik Active Directory-domän proaktivt (liknar den mekanism som används av domänkontrollanterna själva för replikering). En gateway väljs slumpmässigt från listan över kandidater för att fungera som domänsynkronisering.
Om synkroniseraren är offline i mer än 30 minuter väljs en annan kandidat i stället. Om det inte finns någon domänsynkroniseringskandidat tillgänglig för en specifik domän synkroniserar ATA proaktivt entiteter och deras ändringar, men ATA hämtar nya entiteter reaktivt när de identifieras i den övervakade trafiken.När ingen domänsynkronisering är tillgänglig visas inga resultat när du söker efter en entitet utan trafik som är relaterad till den.
Som standard är alla ATA-gatewayer domänsynkroniseringskandidater.
Eftersom alla ATA Lightweight Gateways är mer benägna att distribueras på grenplatser och på små domänkontrollanter är de inte synkroniserarkandidater som standard.
I en miljö med endast Lightweight Gateways rekommenderar vi att du tilldelar två av gatewayerna som synkroniserarkandidater, där en Lightweight Gateway är standardsynkroniseringskandidat och en är säkerhetskopieringen om standardvärdet är offline i mer än 30 minuter.
Resursbegränsningar
ATA Lightweight Gateway innehåller en övervakningskomponent som utvärderar den tillgängliga beräknings- och minneskapaciteten på domänkontrollanten som den körs på. Övervakningsprocessen körs var 10:e sekund och uppdaterar kvoten för processor- och minnesanvändning dynamiskt i ATA Lightweight Gateway-processen för att se till att domänkontrollanten vid en viss tidpunkt har minst 15 % av de kostnadsfria beräknings- och minnesresurserna.Oavsett vad som händer på domänkontrollanten frigör den här processen alltid resurser för att se till att domänkontrollantens kärnfunktioner inte påverkas.
Om detta gör att ATA Lightweight Gateway får slut på resurser övervakas endast partiell trafik och hälsoaviseringen "Tappad port speglad nätverkstrafik" visas på sidan Hälsa.
I följande tabell visas ett exempel på en domänkontrollant med tillräckligt med beräkningsresurser tillgängliga för att tillåta en större kvot, så att all trafik övervakas:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diverse (andra processer) | ATA Lightweight Gateway-kvot | Gatewayen släpps |
|---|---|---|---|---|
| 30 % | 20 % | 10 % | 45 % | Inga |
Om Active Directory behöver mer beräkning minskas den kvot som krävs av ATA Lightweight Gateway. I följande exempel behöver ATA Lightweight Gateway mer än den allokerade kvoten och släpper en del av trafiken (endast övervakning av partiell trafik):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diverse (andra processer) | ATA Lightweight Gateway-kvot | Tas gatewayen bort |
|---|---|---|---|---|
| 60% | 15 % | 10 % | 15 % | Ja |
Dina nätverkskomponenter
För att kunna arbeta med ATA kontrollerar du att följande komponenter har konfigurerats.
Portspegling
Om du använder ATA-gatewayer måste du konfigurera portspegling för de domänkontrollanter som övervakas och ange ATA Gateway som mål med hjälp av de fysiska eller virtuella växlarna. Ett annat alternativ är att använda nätverks-TAP:er. ATA fungerar om vissa men inte alla domänkontrollanter övervakas, men identifieringar är mindre effektiva.
Portspegling speglar all nätverkstrafik för domänkontrollanten till ATA Gateway, men endast en liten andel av trafiken skickas sedan, komprimerad, till ATA Center för analys.
Domänkontrollanterna och ATA-gatewayerna kan vara fysiska eller virtuella. Mer information finns i Konfigurera portspegling .
Händelser
För att förbättra ATA-identifieringen av Pass-the-Hash, Brute Force, Ändring av känsliga grupper och Honungstoken behöver ATA följande Windows-händelser: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Dessa kan antingen läsas automatiskt av ATA Lightweight Gateway eller om ATA Lightweight Gateway inte distribueras, kan den vidarebefordras till ATA Gateway på något av två sätt genom att konfigurera ATA Gateway för att lyssna efter SIEM-händelser eller genom att konfigurera Vidarebefordran av Windows-händelser.
Konfigurera ATA Gateway för att lyssna efter SIEM-händelser
Konfigurera SIEM för att vidarebefordra specifika Windows-händelser till ATA. ATA stöder ett antal SIEM-leverantörer. Mer information finns i Konfigurera händelsesamling.Konfigurera vidarebefordran av Windows-händelser
Ett annat sätt ata kan hämta dina händelser är genom att konfigurera domänkontrollanterna för att vidarebefordra Windows-händelser 4776, 4732, 4733, 4728, 4729, 4756 och 4757 till ata-gatewayen. Detta är särskilt användbart om du inte har någon SIEM eller om din SIEM för närvarande inte stöds av ATA. Information om hur du slutför konfigurationen av Vidarebefordran av Windows-händelser i ATA finns i Konfigurera vidarebefordran av Windows-händelser. Detta gäller endast fysiska ATA-gatewayer – inte för ATA Lightweight Gateway.