ATA Mimarisi
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Advanced Threat Analytics mimarisi bu diyagramda ayrıntılı olarak gösterilmiştir:
ATA, fiziksel veya sanal anahtarlar kullanarak bir ATA Gateway'e bağlantı noktası yansıtma kullanarak etki alanı denetleyicisi ağ trafiğinizi izler. ATA Lightweight Gateway'i doğrudan etki alanı denetleyicilerinize dağıtırsanız, bağlantı noktası yansıtma gereksinimini ortadan kaldırır. Buna ek olarak, ATA Windows olaylarından (doğrudan etki alanı denetleyicilerinizden veya bir SIEM sunucusundan iletilir) yararlanabilir ve saldırılar ve tehditler için verileri analiz edebilir. Bu bölümde, ATA Gateway, ATA Lightweight Gateway (ATA Gateway ile aynı temel işlevselliğe sahip olan) ve ATA Center'ın ana bileşenlerinin işlevselliğini açıklamak için ağ ve olay yakalama ve detaya gitme işlemleri açıklanmaktadır.
ATA Bileşenleri
ATA aşağıdaki bileşenlerden oluşur:
- ATA Center
ATA Center, dağıttığınız tüm ATA Gateway'lerden ve/veya ATA Lightweight Gateway'lerden veri alır. - ATA Gateway
ATA Gateway, bağlantı noktası yansıtma veya ağ TAP kullanarak etki alanı denetleyicilerinizden gelen trafiği izleyen ayrılmış bir sunucuya yüklenir. - ATA Lightweight Gateway
ATA Lightweight Gateway doğrudan etki alanı denetleyicilerinize yüklenir ve ayrılmış sunucuya veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan trafiği doğrudan izler. ATA Gateway'e bir alternatiftir.
ATA dağıtımı, tüm ATA Gateway'lere, tüm ATA Lightweight Gateway'lere veya ATA Gateway ile ATA Lightweight Gateway'lerin birleşimine bağlı tek bir ATA Center'ı içerebilir.
Dağıtım seçenekleri
ATA'nın dağıtımını aşağıdaki ağ geçitlerinin birleşimini kullanarak yapabilirsiniz:
- Yalnızca ATA Gateway'leri kullanma
ATA dağıtımınız herhangi bir ATA Lightweight Gateway olmadan yalnızca ATA Gateway'leri içerebilir: Tüm etki alanı denetleyicileri, bir ATA Gateway'e bağlantı noktası yansıtmayı etkinleştirecek şekilde yapılandırılmalıdır veya ağ TAP'leri yerinde olmalıdır. - Yalnızca ATA Lightweight Gateway'leri kullanma
ATA dağıtımınız yalnızca ATA Lightweight Gateway'leri içerebilir: ATA Lightweight Gateway'ler her etki alanı denetleyicisine dağıtılır ve ek sunucu veya bağlantı noktası yansıtma yapılandırması gerekmez. - Hem ATA Gateway'leri hem de ATA Lightweight Gateway'leri kullanma
ATA dağıtımınız hem ATA Gateway'leri hem de ATA Lightweight Gateway'leri içerir. ATA Lightweight Gateway'ler bazı etki alanı denetleyicilerinize (örneğin, dal sitelerinizdeki tüm etki alanı denetleyicileri) yüklenir. Aynı zamanda, diğer etki alanı denetleyicileri ATA Gateway'ler (örneğin, ana veri merkezlerinizdeki daha büyük etki alanı denetleyicileri) tarafından izlenir.
Tüm bu senaryolarda tüm ağ geçitleri verilerini ATA Center'a gönderir.
ATA Center
ATA Center aşağıdaki işlevleri gerçekleştirir:
ATA Gateway ve ATA Lightweight Gateway yapılandırma ayarlarını yönetir
ATA Gateway'lerden ve ATA Lightweight Gateway'lerden veri alır
Şüpheli etkinlikleri algılar
Anormal davranışları algılamak için ATA davranışsal makine öğrenmesi algoritmaları çalıştırır
Saldırı sonlandırma zincirine dayalı gelişmiş saldırıları algılamak için çeşitli deterministik algoritmalar çalıştırır
ATA Konsolunu çalıştırır
İsteğe bağlı: ATA Center, şüpheli bir etkinlik algılandığında e-posta ve olay gönderecek şekilde yapılandırılabilir.
ATA Center, ATA Gateway ve ATA Lightweight Gateway'den ayrıştırılmış trafik alır. Daha sonra ağınız hakkında bilgi edinmek, anomali algılamayı etkinleştirmek ve sizi şüpheli etkinlikler konusunda uyarmak için profil oluşturma gerçekleştirir, belirleyici algılamayı çalıştırır ve makine öğrenmesi ve davranışsal algoritmalar çalıştırır.
| Türü | Tanım |
|---|---|
| Varlık Alıcısı | Tüm ATA Gateway'lerden ve ATA Lightweight Gateway'lerden toplu varlıklar alır. |
| Ağ Etkinliği İşlemcisi | Alınan her toplu iş içindeki tüm ağ etkinliklerini işler. Örneğin, farklı olabilecek bilgisayarlardan gerçekleştirilen çeşitli Kerberos adımları arasında eşleştirme |
| Varlık Profil Oluşturucu | Trafiğe ve olaylara göre tüm Benzersiz Varlıkların profilini oluşturur. Örneğin, ATA her kullanıcı profili için oturum açmış bilgisayarların listesini güncelleştirir. |
| Merkezi Veritabanı | Ağ Etkinliklerinin ve olaylarının veritabanına yazma işlemini yönetir. |
| Veritabanı | ATA, sistemdeki tüm verileri depolamak için MongoDB'yi kullanır: - Ağ etkinlikleri - Etkinlik etkinlikleri - Benzersiz varlıklar - Şüpheli etkinlikler - ATA yapılandırması |
| Algılayıcılar | Algılayıcılar, ağınızdaki şüpheli etkinlikleri ve anormal kullanıcı davranışlarını bulmak için makine öğrenmesi algoritmalarını ve belirleyici kuralları kullanır. |
| ATA Konsolu | ATA Konsolu, ATA'nın yapılandırılması ve ağınızda ATA tarafından algılanan şüpheli etkinliklerin izlenmesi içindir. ATA Konsolu, ATA Center hizmetine bağımlı değildir ve veritabanıyla iletişim kurabildiği sürece hizmet durdurulduğunda bile çalışır. |
Ağınızda kaç ATA Center dağıtılacağına karar verirken aşağıdaki ölçütleri göz önünde bulundurun:
Tek bir ATA Center, tek bir Active Directory ormanlarını izleyebilir. Birden fazla Active Directory ormanınız varsa, Active Directory ormanı başına en az bir ATA Center gerekir.
Büyük Active Directory dağıtımlarında, tek bir ATA Center tüm etki alanı denetleyicilerinizin tüm trafiğini işleyemeyebilir. Bu durumda, birden çok ATA Merkezi gerekir. ATA Merkezlerinin sayısı, ATA kapasite planlaması tarafından dikte edilmelidir.
ATA Gateway ve ATA Lightweight Gateway
Ağ geçidi çekirdek işlevselliği
ATA Gateway ve ATA Lightweight Gateway'in her ikisi de aynı temel işlevselliğe sahiptir:
Etki alanı denetleyicisi ağ trafiğini yakalayın ve inceleyin. Bu, ATA Gateway'ler için bağlantı noktası yansıtılmış trafik ve ATA Lightweight Gateways'teki etki alanı denetleyicisinin yerel trafiğidir.
Windows Olay İletme'yi kullanarak SIEM veya Syslog sunucularından veya etki alanı denetleyicilerinden Windows olaylarını alma
Active Directory etki alanından kullanıcılar ve bilgisayarlar hakkındaki verileri alma
Ağ varlıklarının (kullanıcılar, gruplar ve bilgisayarlar) çözümlemesini gerçekleştirme
İlgili verileri ATA Center'a aktarma
Tek bir ATA Gateway'den birden çok etki alanı denetleyicisini veya ATA Lightweight Gateway için tek bir etki alanı denetleyicisini izleyin.
ATA Gateway ağınızdan ağ trafiğini ve Windows Olaylarını alır ve bunu aşağıdaki ana bileşenlerde işler:
| Türü | Tanım |
|---|---|
| Ağ Dinleyicisi | Ağ Dinleyicisi, ağ trafiğini yakalar ve trafiği ayrıştırıyor. Bu yoğun CPU kullanan bir görev olduğundan, ATA Gateway veya ATA Lightweight Gateway'inizi planlarken ATA Önkoşullarını denetlemek özellikle önemlidir. |
| Olay Dinleyicisi | Olay Dinleyicisi ağınızdaki bir SIEM sunucusundan iletilen Windows Olaylarını yakalar ve ayrıştırıyor. |
| Windows Olay Günlüğü Okuyucusu | Windows Olay Günlüğü Okuyucusu, etki alanı denetleyicilerinden ATA Gateway'in Windows Olay Günlüğü'ne iletilen Windows Olaylarını okur ve ayrıştırıyor. |
| Ağ Etkinliği Çeviri | Ayrıştırılmış trafiği ATA (NetworkActivity) tarafından kullanılan trafiğin mantıksal bir gösterimine çevirir. |
| Varlık Çözümleyicisi | Varlık Çözümleyicisi ayrıştırılan verileri (ağ trafiği ve olaylar) alır ve hesap ve kimlik bilgilerini bulmak için Active Directory ile bu verileri çözümler. Ardından ayrıştırılan verilerde bulunan IP adresleriyle eşleştirilir. Varlık Çözümleyicisi, makine adları, özellikler ve kimlikler için kimlik doğrulama paketlerinin ayrıştırılması için paket üst bilgilerini verimli bir şekilde inceler. Varlık Çözümleyicisi, ayrıştırılan kimlik doğrulama paketlerini gerçek paketteki verilerle birleştirir. |
| Varlık Göndereni | Varlık Göndereni, ayrıştırılan ve eşleşen verileri ATA Center'a gönderir. |
ATA Lightweight Gateway özellikleri
Aşağıdaki özellikler, ATA Gateway mi yoksa ATA Lightweight Gateway mi çalıştırdığınıza bağlı olarak farklı çalışır.
ATA Lightweight Gateway, olay iletmeyi yapılandırmaya gerek kalmadan olayları yerel olarak okuyabilir.
Etki alanı eşitleyici adayı
Etki alanı eşitleyici ağ geçidi, belirli bir Active Directory etki alanındaki tüm varlıkları proaktif olarak eşitlemekten sorumludur (çoğaltma için etki alanı denetleyicilerinin kendileri tarafından kullanılan mekanizmaya benzer). Bir ağ geçidi, aday listesinden etki alanı eşitleyicisi olarak görev yapmak üzere rastgele seçilir.
Eşitleyici 30 dakikadan uzun süre çevrimdışıysa, bunun yerine başka bir aday seçilir. Belirli bir etki alanı için kullanılabilir etki alanı eşitleyici adayı yoksa, ATA varlıkları ve değişikliklerini proaktif olarak eşitler, ancak ATA izlenen trafikte algılandığında yeni varlıkları yeniden alır.Kullanılabilir bir etki alanı eşitleyici olmadığında, bununla ilgili trafik olmayan bir varlık arandığında sonuç görüntülenmez.
Varsayılan olarak, tüm ATA Gateway'ler etki alanı eşitleyici adaylarıdır.
Tüm ATA Lightweight Gateway'lerin dal sitelerine ve küçük etki alanı denetleyicilerine dağıtılma olasılığı daha yüksek olduğundan, varsayılan olarak eşitleyici adayları değildir.
Yalnızca Lightweight Gateway'lerin bulunduğu bir ortamda, iki ağ geçidinin eşitleyici adayı olarak atanacağı önerilir; burada bir Lightweight Gateway varsayılan eşitleyici adayıdır ve biri varsayılanın 30 dakikadan uzun süre çevrimdışı olması durumunda yedeklemedir.
Kaynak sınırlamaları
ATA Lightweight Gateway, üzerinde çalıştığı etki alanı denetleyicisinde kullanılabilir işlem ve bellek kapasitesini değerlendiren bir izleme bileşeni içerir. İzleme işlemi her 10 saniyede bir çalıştırılır ve ATA Lightweight Gateway işlemindeki CPU ve bellek kullanım kotasını dinamik olarak güncelleştirerek etki alanı denetleyicisinin boş işlem ve bellek kaynaklarının en az %15'ine sahip olduğundan emin olur.Etki alanı denetleyicisinde ne olursa olsun, bu işlem etki alanı denetleyicisinin çekirdek işlevselliğinin etkilenmediğinden emin olmak için her zaman kaynakları boşaltıyor.
Bu durum ATA Lightweight Gateway'in kaynaklarının tükenmiş olması durumunda yalnızca kısmi trafik izlenir ve Sistem Durumu sayfasında "Bağlantı noktası yansıtılmış ağ trafiği bırakıldı" sistem durumu uyarısı görüntülenir.
Aşağıdaki tabloda, tüm trafiğin izlenmesi için şu anda daha büyük bir kotaya izin vermek için yeterli işlem kaynağına sahip bir etki alanı denetleyicisi örneği verilmiştir:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Çeşitli (diğer işlemler) | ATA Lightweight Gateway Kotası | Ağ geçidi bırakılıyor |
|---|---|---|---|---|
| %30 | %20 | %10 | %45 | Hayır |
Active Directory'nin daha fazla işlem yapması gerekiyorsa, ATA Lightweight Gateway için gereken kota azaltılır. Aşağıdaki örnekte ATA Lightweight Gateway,ayrılan kotadan daha fazlasına ihtiyaç duyar ve trafiğin bir kısmını bırakır (yalnızca kısmi trafiği izler):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Çeşitli (diğer işlemler) | ATA Lightweight Gateway Kotası | Ağ geçidi bırakılıyor mu |
|---|---|---|---|---|
| %60 | %15 | %10 | %15 | Evet |
Ağ bileşenleriniz
ATA ile çalışmak için aşağıdaki bileşenlerin ayarlandığından emin olun.
Bağlantı noktası yansıtma
ATA Gateway kullanıyorsanız, izlenen etki alanı denetleyicileri için bağlantı noktası yansıtmayı ayarlamanız ve fiziksel veya sanal anahtarları kullanarak ATA Gateway'i hedef olarak ayarlamanız gerekir. Bir diğer seçenek de ağ TAP'lerini kullanmaktır. ETKI alanı denetleyicilerinizin bazıları izlenmiyorsa ancak tümü izlenmiyorsa ATA çalışır, ancak algılamalar daha az etkili olur.
Bağlantı noktası yansıtma tüm etki alanı denetleyicisi ağ trafiğini ATA Gateway'e yansıtsa da, bu trafiğin yalnızca küçük bir yüzdesi analiz için ATA Center'a gönderilir, sıkıştırılır.
Etki alanı denetleyicileriniz ve ATA Gateway'leriniz fiziksel veya sanal olabilir. Daha fazla bilgi için bkz . Bağlantı noktası yansıtmayı yapılandırma .
Ekinlikler
ATA'nın Karma Geçiş, Deneme YanıLma, Hassas gruplarda ve Bal Belirteçlerinde değişiklik algılamasını geliştirmek için ATA'nın şu Windows olaylarına ihtiyacı vardır: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Bunlar, ATA Lightweight Gateway tarafından otomatik olarak okunabilir veya ATA Lightweight Gateway'in dağıtılmaması durumunda, ATA Gateway'i SIEM olaylarını dinleyecek şekilde yapılandırarak veya Windows Olay İletme'yi yapılandırarak ATA Gateway'e iki yoldan biriyle iletilebilir.
ATA Gateway'i SIEM olaylarını dinleyecek şekilde yapılandırma
SIEM'inizi belirli Windows olaylarını ATA'ya iletecek şekilde yapılandırın. ATA, bir dizi SIEM satıcısını destekler. Daha fazla bilgi için bkz . Olay koleksiyonunu yapılandırma.Windows Olay İletme'yi yapılandırma
ATA'nın olaylarınızı alabilmesinin bir diğer yolu da etki alanı denetleyicilerinizi Windows 4776, 4732, 4733, 4728, 4729, 4756 ve 4757 olaylarını ATA Gateway'inize iletecek şekilde yapılandırmaktır. Bu özellikle SIEM'niz yoksa veya SIEM'iniz şu anda ATA tarafından desteklenmiyorsa kullanışlıdır. ATA'da Windows Olay İletme yapılandırmanızı tamamlamak için bkz . Windows olay iletmeyi yapılandırma. Bu yalnızca fiziksel ATA Gateway'ler için geçerlidir, ATA Lightweight Gateway için geçerli değildir.