ATA 体系结构

适用于:高级威胁分析版本 1.9

高级威胁分析体系结构如下图所示:

ATA architecture topology diagram.

ATA 通过物理或虚拟交换机,利用 ATA 网关的端口镜像来监视域控制器网络流量。 如果直接在域控制器上部署 ATA 轻型网关,则无需端口镜像。 此外,ATA 还可以利用 Windows 事件(直接从域控制器或 SIEM 服务器转发),并分析攻击和威胁的数据。 本部分介绍了网络和事件捕获的流程,并深入探讨了 ATA 主要组件的功能:ATA 网关、ATA 轻型网关(其核心功能与 ATA 网关相同)以及 ATA 中心。

ATA traffic flow diagram.

ATA 组件

ATA 包含以下组成部分:

  • ATA 中心
    ATA 中心接收来自部署的任何 ATA 网关和/或 ATA 轻型网关的数据。
  • ATA 网关
    ATA 网关安装在专用服务器上,该服务器使用端口镜像或网络 TAP 监视来自域控制器的流量。
  • ATA 轻型网关
    ATA 轻型网关直接安装在域控制器上并直接监视其流量,无需专用服务器或配置端口镜像。 此为 ATA 网关的替代方案。

ATA 部署可由连接到所有 ATA 网关、所有 ATA 轻型网关或这两种网关组合的单个 ATA 中心组成。

部署选项

可使用以下网关组合部署 ATA:

  • 仅使用 ATA 网关
    ATA 部署可仅包含 ATA 网关,而不包含任何 ATA 轻型网关:必须配置所有域控制器以启用到 ATA 网关的端口镜像,或者必须安装网络 TAP。
  • 仅使用 ATA 轻型网关
    ATA 部署可仅包含 ATA 轻型网关:ATA 轻型网关部署在每个域控制器上,无需其他服务器或端口镜像配置。
  • 同时使用 ATA 网关和 ATA 轻型网关
    ATA 部署包括 ATA 网关和 ATA 轻型网关。 ATA 轻型网关安装在某些域控制器上(例如分支站点中的所有域控制器)。 同时,ATA 网关监视其他域控制器(例如,主数据中心中的较大域控制器)。

在所有这些应用场景中,所有网关都会将其数据发送到 ATA 中心。

ATA 中心

ATA 中心执行以下功能:

  • 管理 ATA 网关和 ATA 轻型网关配置设置

  • 接收来自 ATA 网关和 ATA 轻型网关的数据

  • 检测可疑活动

  • 运行 ATA 行为机器学习算法来检测异常行为

  • 运行各种确定性算法,根据攻击杀伤链检测高级攻击

  • 运行 ATA 控制台

  • 可选:可将 ATA 中心配置为在检测到可疑活动时发送电子邮件和事件。

ATA 中心接收来自 ATA 网关和 ATA 轻型网关的解析流量。 然后,ATA 中心会执行分析、运行确定性检测、并运行机器学习和行为算法来了解你的网络,启用异常检测,并在出现可疑活动时发出警告。

类型 描述
实体接收器 接收所有来自 ATA 网关和 ATA 轻型网关的批量实体。
网络活动处理器 处理收到的每个批次中的所有网络活动。 例如,在可能不同的计算机上执行的各种 Kerberos 步骤之间进行匹配
实体探查器 根据流量和事件分析所有唯一实体。 例如,ATA 会更新每个用户配置文件的已登录计算机列表。
中心数据库 管理网络活动和事件写入数据库的过程。
Database ATA 利用 MongoDB 来存储系统中的所有数据:

- 网络活动
- 事件活动
– 唯一实体
- 可疑活动
- ATA 配置
检测程序 检测器使用机器学习算法和确定性规则在网络中查找可疑活动和异常用户行为。
ATA 控制台 ATA 控制台用于配置 ATA 并监视 ATA 在网络上检测到的可疑活动。 ATA 控制台不依赖于 ATA 中心服务,只要可与数据库通信,即使在服务停止时也会运行。

确定要在网络上部署的 ATA 中心数量时,请考虑以下条件:

  • 一个 ATA 中心可监视一个 Active Directory 林。 如果有多个 Active Directory 林,则每个 Active Directory 林至少需要一个 ATA 中心。

  • 在大型 Active Directory 部署中,单个 ATA 中心可能无法处理所有域控制器的所有流量。 在这种情况下,需要多个 ATA 中心。 ATA 中心的数量应由 ATA 容量计划决定。

ATA 网关和 ATA 轻型网关

网关核心功能

ATA 网关和ATA 轻型网关具有相同的核心功能:

  • 捕获和检查域控制器网络流量。 这是 ATA 网关的端口镜像流量,也是 ATA 轻型网关中域控制器的本地流量。

  • 通过 Windows 事件转发,接收来自 SIEM 或 Syslog 服务器或域控制器的 Windows 事件

  • 从 Active Directory 域检索有关用户和计算机的数据

  • 执行网络实体(用户、组和计算机)的解析

  • 将相关数据传输至 ATA 中心

  • 监视单个 ATA 网关的多个域控制器,或监视 ATA 轻型网关的单个域控制器。

ATA 网关接收来自网络的网络流量和 Windows 事件,并在以下主要组件中对其进行处理:

类型 描述
网络侦听器 网络侦听器捕获网络流量并对流量进行解析。 这是一项 CPU 密集型任务,因此在规划 ATA 网关或 ATA 轻型网关时,检查 ATA 先决条件尤为重要。
事件侦听器 事件侦听器捕获并解析从网络上的 SIEM 服务器转发的 Windows 事件。
Windows 事件日志读取器 Windows 事件日志读取器读取并解析从域控制器转发到 ATA 网关的 Windows 事件日志的 Windows 事件。
网络活动翻译 将解析的流量转换为 ATA (NetworkActivity) 使用的流量的逻辑表示形式。
实体解析器 实体解析器获取解析的数据(网络流量和事件),并使用 Active Directory 解析其数据以查找帐户和标识信息。 然后将其与解析数据中找到的 IP 地址进行匹配。 实体解析器可高效地检查数据包标头,以便分析身份验证数据包的计算机名称、属性和标识。 实体解析器将解析的身份验证数据包与实际数据包中的数据相结合。
实体发送器 实体发送器将解析并匹配的数据发送至 ATA 中心。

ATA 轻型网关功能

具体取决于运行的是 ATA 网关还是 ATA 轻型网关,以下功能的工作原理会有所不同。

  • ATA 轻型网关可以在本地读取事件,而无需配置事件转发。

  • 域同步器候选项
    域同步器网关负责主动同步特定 Active Directory 域中的所有实体(类似于域控制器本身用于复制的机制)。 从候选项列表中随机选择一个网关,用作域同步器。
    如果同步器处于脱机状态超过 30 分钟,则会自动选择另一个同步器。 如果没有可用于特定域的域同步器候选项,ATA 会主动同步实体及其更改,但在受监视的流量中检测到新实体时,ATA 会主动检索新实体。

    如果没有可用的域同步器,则搜索没有与其相关的流量的实体使,不会显示任何结果。

    默认情况下,所有 ATA 网关都是域同步器候选项。

    由于所有 ATA 轻型网关更有可能部署在分支站点和小型域控制器上,因此默认情况下轻型网关不是同步器候选项。

    在仅有轻型网关的环境中,建议分配两个网关作为同步器候选项,其中一个轻型网关是默认同步器候选项,另一个是备用网关,以防默认网关脱机超过 30 分钟。

  • 资源限制
    ATA 轻型网关包括一个监视组件,用于评估运行该网关的域控制器上的可用计算和内存容量。 监视进程每隔 10 秒运行一次,并动态更新 ATA 轻型网关进程的 CPU 和内存利用率配额,以确保在任何给定的时间点,域控制器至少有 15% 的可用计算和内存资源。

    无论域控制器上发生什么情况,此进程都会持续释放资源,以确保域控制器的核心功能不会受到影响。

    如果这会导致 ATA 轻型网关用尽所有资源,则仅监视部分流量,并在“运行状况”页面中显示运行状况警报“已丢弃端口镜像网络流量”。

下表提供了一个域控制器的示例,该域控制器具有足够的计算资源,可允许比当前所需更大的配额,以便监视所有流量:

Active Directory (Lsass.exe) ATA 轻型网关 (Microsoft.Tri.Gateway.exe) 其他(其他进程) ATA 轻型网关配额 网关丢弃
30% 20% 10% 45%

如果 Active Directory 需要更多计算,ATA 轻型网关所需的配额会减少。 在以下示例中,ATA 轻型网关需要的配额超过分配的配额,并丢弃了部分流量(仅监视部分流量):

Active Directory (Lsass.exe) ATA 轻型网关 (Microsoft.Tri.Gateway.exe) 其他(其他进程) ATA 轻型网关配额 网关是否丢弃
60% 15% 10% 15%

网络组件

要使用 ATA,请确保已设置以下组件。

端口镜像

如果使用的是 ATA 网关,则必须为受监视的域控制器设置端口镜像,并使用物理或虚拟交换机将 ATA 网关设置为目标。 另一种选择是使用网络 TAP。 如果监视某些但并非所有域控制器,则 ATA 可以发挥作用,但检测效果较差。

虽然端口镜像会将所有域控制器网络流量镜像到 ATA 网关,但只有一小部分流量会被压缩并发送到 ATA 中心进行分析。

域控制器和 ATA 网关可以是物理网关或虚拟网关,有关详细信息,请参阅配置端口镜像

事件

为了增强 ATA 对哈希传递、暴力攻击、敏感组修改及蜜令牌的检测,ATA 需要以下 Windows 事件:4776、4732、4733、4728、4729、4756、4757。 这些事件可由 ATA 轻型网关自动读取,或者如果未部署 ATA 轻型网关,可通过以下两种方式之一将其转发到 ATA 网关:配置 ATA 网关以侦听 SIEM 事件或 配置 Windows 事件转发

  • 配置 ATA 网关以侦听 SIEM 事件
    配置 SIEM 以将特定 Windows 事件转发给 ATA。 ATA 支持多家 SIEM 供应商。 有关详细信息,请参阅配置事件收集

  • 配置 Windows 事件转发
    AATA 获取事件的另一种方法是配置域控制器以将 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757 转发到 ATA 网关。 在没有 SIEM 或者 ATA 当前不支持 SIEM时,此方法尤其有用。 要在 ATA 中完成 Windows 事件转发的配置,请参阅配置 Windows 事件转发。 此方法仅适用于物理 ATA 网关,不适用于 ATA 轻型网关。

另请参阅