ATA 架構
適用于:進階威脅分析 1.9 版
此圖詳述進階威脅分析架構:
ATA 會使用實體或虛擬交換器,利用埠鏡像對 ATA 閘道監視網域控制站網路流量。 如果您直接在網域控制站上部署 ATA 輕量型閘道,則會移除埠鏡像的需求。 此外,ATA 還可以利用 Windows 事件(直接從您的網域控制站或 SIEM 伺服器轉送),並分析攻擊和威脅的資料。 本節描述網路和事件擷取和向下切入流程,以描述 ATA 的主要元件功能:ATA 閘道、ATA 輕量型閘道(其核心功能與 ATA 閘道相同),以及 ATA 中心。
ATA 元件
ATA 包含下列元件:
- ATA 中心
ATA 中心會從您部署的任何 ATA 閘道和/或 ATA 輕量型閘道接收資料。 - ATA 閘道
ATA 閘道會安裝在專用伺服器上,以使用埠鏡像或網路 TAP 來監視來自網域控制站的流量。 - ATA 輕量型閘道
ATA 輕量型閘道會直接安裝在網域控制站上,並直接監視其流量,而不需要專用伺服器或埠鏡像設定。 這是 ATA 閘道的替代方案。
ATA 部署可以包含單一 ATA 中心,連線到所有 ATA 閘道、所有 ATA 輕量型閘道,或 ATA 閘道和 ATA 輕量型閘道的組合。
部署選項
您可以使用下列閘道組合來部署 ATA:
- 僅使用 ATA 閘道
您的 ATA 部署只能包含 ATA 閘道,而不需要任何 ATA 輕量型閘道:所有網域控制站都必須設定為啟用 ATA 閘道的埠鏡像,或網路 TAP 必須就緒。 - 僅使用 ATA 輕量型閘道
您的 ATA 部署只能包含 ATA 輕量型閘道:ATA 輕量型閘道會部署在每個網域控制站上,而且不需要額外的伺服器或埠鏡像設定。 - 同時使用 ATA 閘道和 ATA 輕量型閘道
您的 ATA 部署同時包含 ATA 閘道和 ATA 輕量型閘道。 ATA 輕量型閘道會安裝在部分網域控制站上(例如,分支網站中的所有網域控制站)。 同時,ATA 閘道會監視其他網域控制站(例如,主要資料中心內的較大網域控制站)。
在這些案例中,所有閘道都會將其資料傳送至 ATA 中心。
ATA 中心
ATA 中心 會執行下列功能:
管理 ATA 閘道和 ATA 輕量型閘道組態設定
從 ATA 閘道和 ATA 輕量型閘道接收資料
偵測可疑活動
執行 ATA 行為機器學習演算法來偵測異常行為
執行各種決定性演算法,根據攻擊終止鏈偵測進階攻擊
執行 ATA 主控台
選擇性:ATA 中心可以設定為在偵測到可疑活動時傳送電子郵件和事件。
ATA 中心會接收來自 ATA 閘道和 ATA 輕量型閘道的剖析流量。 然後,它會執行分析、執行具決定性的偵測,以及執行機器學習和行為演算法來瞭解您的網路、啟用異常偵測,並警告您可疑的活動。
類型 | 描述 |
---|---|
實體接收者 | 接收來自所有 ATA 閘道和 ATA 輕量型閘道的實體批次。 |
網路活動處理器 | 處理每個收到的批次內的所有網路活動。 例如,從可能不同的電腦執行的各種 Kerberos 步驟之間比對 |
實體分析工具 | 根據流量和事件來分析所有唯一實體。 例如,ATA 會針對每個使用者設定檔更新登入的電腦清單。 |
中心資料庫 | 管理將網路活動和事件的寫入程式寫入資料庫。 |
Database | ATA 會利用 MongoDB 將所有資料儲存在系統中: - 網路活動 - 事件活動 - 唯一實體 - 可疑的活動 - ATA 組態 |
偵測器 | 偵測器會使用機器學習演算法和決定性規則,在您的網路中尋找可疑的活動和異常使用者行為。 |
ATA 主控台 | ATA 主控台用於設定 ATA,並監視您網路上 ATA 偵測到的可疑活動。 ATA 主控台不相依于 ATA 中心服務,即使在服務停止時仍會執行,只要它可以與資料庫通訊即可。 |
決定要在網路上部署多少 ATA 中心時,請考慮下列準則:
一個 ATA 中心可以監視單一 Active Directory 樹系。 如果您有一個以上的 Active Directory 樹系,則每個 Active Directory 樹系至少需要一個 ATA 中心。
在大型 Active Directory 部署中,單一 ATA 中心可能無法處理所有網域控制站的所有流量。 在此情況下,需要多個 ATA 中心。 ATA 中心的數目應由 ATA 容量規劃 決定。
ATA 閘道和 ATA 輕量型閘道
閘道核心功能
ATA 閘道 和 ATA 輕量型閘道 都有相同的核心功能:
擷取並檢查網域控制站網路流量。 這是 ATA 閘道的埠鏡像流量,也是 ATA 輕量型閘道中網域控制站的本機流量。
從 SIEM 或 Syslog 伺服器,或使用 Windows 事件轉送從網域控制站接收 Windows 事件
從 Active Directory 網域擷取使用者和電腦的相關資料
執行網路實體解析(使用者、群組和電腦)
將相關資料傳送至 ATA 中心
從單一 ATA 閘道監視多個網域控制站,或監視 ATA 輕量型閘道的單一網域控制站。
ATA 閘道會從您的網路接收網路流量和 Windows 事件,並在下列主要元件中處理它:
類型 | 描述 |
---|---|
網路接聽程式 | 網路接聽程式會擷取網路流量並剖析流量。 這是 CPU 繁重的工作,因此在規劃 ATA 閘道或 ATA 輕量型閘道時,檢查 ATA 必要條件 特別重要。 |
事件接聽程式 | 事件接聽程式會擷取和剖析從您網路上 SIEM 伺服器轉送的 Windows 事件。 |
Windows 事件記錄讀取器 | Windows 事件記錄讀取器會從網域控制站讀取和剖析轉送至 ATA 閘道的 Windows 事件記錄檔。 |
網路活動翻譯工具 | 將剖析的流量轉譯為 ATA (NetworkActivity) 所使用流量的邏輯標記法。 |
實體解析程式 | 實體解析程式會採用剖析的資料(網路流量和事件),並使用 Active Directory 解析資料,以尋找帳戶和身分識別資訊。 然後,它會與剖析的資料中找到的 IP 位址進行比對。 Entity Resolver 會有效率地檢查封包標頭,以針對電腦名稱稱、屬性和身分識別啟用驗證封包剖析。 實體解析程式會結合剖析的驗證封包與實際封包中的資料。 |
實體寄件者 | 實體傳送者會將剖析和相符的資料傳送至 ATA 中心。 |
ATA 輕量型閘道功能
根據您執行 ATA 閘道或 ATA 輕量型閘道,下列功能的運作方式會有所不同。
ATA 輕量型閘道可以在本機讀取事件,而不需要設定事件轉送。
網域同步器候選項目
網域同步器閘道負責主動同步處理特定 Active Directory 網域的所有實體(類似于網域控制站本身用於複寫的機制)。 從候選項目清單中隨機播放一個閘道,作為網域同步器。
如果同步器離線超過 30 分鐘,則會改為選擇另一個候選項目。 如果特定網域沒有可用的網域同步器候選項目,ATA 會主動同步處理實體及其變更,不過 ATA 會在受監視的流量中偵測到新實體時,以回應方式擷取新的實體。當沒有可用的網域同步器時,搜尋沒有與其相關流量的實體不會顯示任何結果。
根據預設,所有 ATA 閘道都是網域同步器候選項目。
由於所有 ATA 輕量型閘道更有可能部署在分支月臺和小型網域控制站上,因此預設不會有同步器候選項目。
在只有輕量型閘道的環境中,建議將兩個閘道指派為同步器候選項目,其中一個輕量型閘道是預設同步器候選項目,一個是備份,以防預設值離線超過 30 分鐘。
資源限制
ATA 輕量型閘道包含監視元件,可評估其執行所在的網域控制站上可用的計算和記憶體容量。 監視程式會每隔 10 秒執行一次,並動態更新 ATA 輕量型閘道進程上的 CPU 和記憶體使用率配額,以確保在任何指定的時間點,網域控制站至少有 15% 的可用計算和記憶體資源。無論網域控制站發生什麼情況,此程式一律會釋出資源,以確保網域控制站的核心功能不會受到影響。
如果這會導致 ATA 輕量型閘道耗盡資源,則只會監視部分流量,且健康情況警示「已卸載的埠鏡像網路流量」會出現在 [健康情況] 頁面中。
下表提供網域控制站的範例,其中有足夠的計算資源可供目前需要更大的配額,以便監視所有流量:
Active Directory (Lsass.exe) | ATA 輕量型閘道 (Microsoft.Tri.Gateway.exe) | 其他(其他程式) | ATA 輕量型閘道配額 | 閘道卸載 |
---|---|---|---|---|
30% | 20% | 10% | 45% | No |
如果 Active Directory 需要更多計算,ATA 輕量型閘道所需的配額會減少。 在下列範例中,ATA 輕量型閘道需要超過配置的配額,並捨棄部分流量(僅監視部分流量):
Active Directory (Lsass.exe) | ATA 輕量型閘道 (Microsoft.Tri.Gateway.exe) | 其他(其他程式) | ATA 輕量型閘道配額 | 閘道是否卸載 |
---|---|---|---|---|
60% | 15% | 10% | 15% | Yes |
您的網路元件
若要使用 ATA,請務必檢查是否已設定下列元件。
連接埠鏡像
如果您使用 ATA 閘道,您必須為受監視的網域控制站設定埠鏡像,並使用實體或虛擬交換器將 ATA 閘道設定為目的地。 另一個選項是使用網路 TAP。 如果監視部分但並非所有網域控制站的 ATA 運作,但偵測效率較低。
雖然埠鏡像會將所有網域控制站網路流量鏡像到 ATA 閘道,但只有少量的流量會傳送、壓縮到 ATA 中心進行分析。
您的網域控制站和 ATA 閘道可以是實體或虛擬,請參閱 設定埠鏡像 以取得詳細資訊。
事件
若要增強 ATA 偵測傳遞雜湊、暴力密碼破解、修改敏感性群組和 Honey 權杖,ATA 需要下列 Windows 事件:4776、4732、4733、4728、4729、4756、4757。 這些可由 ATA 輕量型閘道自動讀取,或如果未部署 ATA 輕量型閘道,則可以透過下列兩種方式之一,將 ATA 閘道設定為接聽 SIEM 事件或 設定 Windows 事件轉送 ,將其轉送至 ATA 閘道。
設定 ATA 閘道以接聽 SIEM 事件
將您的 SIEM 設定為將特定 Windows 事件轉送至 ATA。 ATA 支援許多 SIEM 廠商。 如需詳細資訊,請參閱 設定事件集合 。設定 Windows 事件轉送
ATA 可以取得事件的另一種方式是將網域控制站設定為將 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757 轉送至 ATA 閘道。 如果您沒有 SIEM,或 ATA 目前不支援 SIEM,這特別有用。 若要完成 ATA 中的 Windows 事件轉送設定,請參閱 設定 Windows 事件轉送 。 這只適用于實體 ATA 閘道 - 不適用於 ATA 輕量型閘道。