ATA-arkitektur
Gäller för: Advanced Threat Analytics version 1.9
Advanced Threat Analytics-arkitekturen beskrivs i det här diagrammet:
ATA övervakar din domänkontrollants nätverkstrafik genom att använda portspegling till en ATA Gateway med hjälp av fysiska eller virtuella växlar. Om du distribuerar ATA Lightweight Gateway direkt på dina domänkontrollanter eliminerar det kravet på portspegling. Dessutom kan ATA använda Windows-händelser (vidarebefordras direkt från dina domänkontrollanter eller från en SIEM-server) och analysera data för attacker och hot. Det här avsnittet beskriver flödet av nätverks- och händelsefångst och ökar detaljnivån för att beskriva funktionerna i huvudkomponenterna i ATA: ATA Gateway, ATA Lightweight Gateway (som har samma kärnfunktioner som ATA Gateway) och ATA Center.
ATA-komponenter
ATA består av följande komponenter:
-
ATA Center
ATA Center tar emot data från alla ATA-gatewayer och/eller ATA Lightweight Gateways som du distribuerar. -
ATA Gateway
ATA Gateway är installerad på en dedikerad server som övervakar trafiken från dina domänkontrollanter med hjälp av antingen portspegling eller en nätverks-TAP. -
ATA Lightweight Gateway
ATA Lightweight Gateway installeras direkt på domänkontrollanterna och övervakar trafiken direkt, utan att det behövs någon dedikerad server eller konfiguration av portspegling. Det är ett alternativ till ATA Gateway.
En ATA-distribution kan bestå av ett enda ATA Center som är anslutet till alla ATA-gatewayer, alla ATA Lightweight Gateways eller en kombination av ATA-gatewayer och ATA Lightweight Gateways.
Distributionsalternativ
Du kan distribuera ATA med hjälp av följande kombination av gatewayer:
-
Använda endast ATA-gatewayer
ATA-distributionen kan bara innehålla ATA-gatewayer, utan ata lightweight-gatewayer: Alla domänkontrollanter måste konfigureras för att aktivera portspegling till en ATA Gateway eller så måste nätverks-TAP:er finnas på plats. -
Använda endast ATA Lightweight Gateways
ATA-distributionen kan bara innehålla ATA Lightweight-gatewayer: ATA Lightweight-gatewayerna distribueras på varje domänkontrollant och inga ytterligare servrar eller portspeglingskonfiguration krävs. -
Använda både ATA-gatewayer och ATA Lightweight-gatewayer
ATA-distributionen innehåller både ATA-gatewayer och ATA Lightweight Gateways. ATA Lightweight Gateways installeras på några av dina domänkontrollanter (till exempel alla domänkontrollanter på dina grenplatser). Samtidigt övervakas andra domänkontrollanter av ATA-gatewayer (till exempel de större domänkontrollanterna i dina huvudsakliga datacenter).
I alla dessa scenarier skickar alla gatewayer sina data till ATA Center.
ATA Center
ATA Center utför följande funktioner:
Hanterar konfigurationsinställningar för ATA Gateway och ATA Lightweight Gateway
Tar emot data från ATA Gateways och ATA Lightweight Gateways
Identifierar misstänkta aktiviteter
Kör ATA-beteendebaserade maskininlärningsalgoritmer för att identifiera onormalt beteende
Kör olika deterministiska algoritmer för att identifiera avancerade attacker baserat på attackkedjan
Kör ATA-konsolen
Valfritt: ATA Center kan konfigureras för att skicka e-postmeddelanden och händelser när en misstänkt aktivitet identifieras.
ATA Center tar emot tolkad trafik från ATA Gateway och ATA Lightweight Gateway. Den utför sedan profilering, kör deterministisk identifiering och kör maskininlärnings- och beteendealgoritmer för att lära sig mer om ditt nätverk, aktivera identifiering av avvikelser och varna dig för misstänkta aktiviteter.
| Typ | Beskrivning |
|---|---|
| Entitetsmottagare | Tar emot batchar med entiteter från alla ATA Gateways och ATA Lightweight Gateways. |
| Processor för nätverksaktivitet | Bearbetar alla nätverksaktiviteter i varje batch som tas emot. Matchning mellan de olika Kerberos-stegen som utförs från potentiellt olika datorer |
| Entitetsprofilerare | Profilerar alla unika entiteter enligt trafik och händelser. ATA uppdaterar till exempel listan över inloggade datorer för varje användarprofil. |
| Center-databas | Hanterar skrivprocessen för nätverksaktiviteter och händelser i databasen. |
| Databas | ATA använder MongoDB för att lagra alla data i systemet: – Nätverksaktiviteter – Händelseaktiviteter – Unika entiteter – Misstänkta aktiviteter – ATA-konfiguration |
| Detektorer | Detektorerna använder maskininlärningsalgoritmer och deterministiska regler för att hitta misstänkta aktiviteter och onormalt användarbeteende i nätverket. |
| ATA-konsol | ATA-konsolen används för att konfigurera ATA och övervaka misstänkta aktiviteter som identifierats av ATA i nätverket. ATA-konsolen är inte beroende av ATA Center-tjänsten och körs även när tjänsten stoppas, så länge den kan kommunicera med databasen. |
Tänk på följande kriterier när du bestämmer hur många ATA Centers som ska distribueras i nätverket:
Ett ATA Center kan övervaka en enda Active Directory-skog. Om du har fler än en Active Directory-skog behöver du minst ett ATA Center per Active Directory-skog.
I stora Active Directory-distributioner kanske ett enda ATA Center inte kan hantera all trafik för alla domänkontrollanter. I det här fallet krävs flera ATA Center. Antalet ATA-centra bör dikteras av ATA-kapacitetsplanering.
ATA Gateway och ATA Lightweight Gateway
Gateway core-funktioner
BÅDE ATA Gateway och ATA Lightweight Gateway har samma grundläggande funktioner:
Samla in och inspektera nätverkstrafik för domänkontrollanter. Det här är portspeglingstrafik för ATA-gatewayer och lokal trafik för domänkontrollanten i ATA Lightweight Gateways.
Ta emot Windows-händelser från SIEM- eller Syslog-servrar eller från domänkontrollanter med hjälp av Vidarebefordran av Windows-händelser
Hämta data om användare och datorer från Active Directory-domänen
Utföra upplösning av nätverksentiteter (användare, grupper och datorer)
Överföra relevanta data till ATA Center
Övervaka flera domänkontrollanter från en enda ATA Gateway eller övervaka en enda domänkontrollant för en ATA Lightweight Gateway.
ATA Gateway tar emot nätverkstrafik och Windows-händelser från nätverket och bearbetar den i följande huvudkomponenter:
| Typ | Beskrivning |
|---|---|
| Nätverkslyssnare | Nätverkslyssnaren samlar in nätverkstrafik och parsar trafiken. Det här är en cpu-tung uppgift, så det är särskilt viktigt att kontrollera ATA-kraven när du planerar din ATA Gateway eller ATA Lightweight Gateway. |
| Händelselyssnare | Händelselyssnaren samlar in och parsar Windows-händelser som vidarebefordras från en SIEM-server i nätverket. |
| Windows-händelseloggläsare | Windows-händelseloggläsaren läser och parsar Windows-händelser som vidarebefordras till ATA Gateways Windows-händelselogg från domänkontrollanterna. |
| Translator för nätverksaktivitet | Översätter tolkad trafik till en logisk representation av trafiken som används av ATA (NetworkActivity). |
| Entitetsmatchare | Entity Resolver tar parsade data (nätverkstrafik och händelser) och löser data med Active Directory för att hitta konto- och identitetsinformation. Den matchas sedan med DE IP-adresser som finns i de parsade data. Entity Resolver inspekterar paketrubrikerna effektivt för att aktivera parsning av autentiseringspaket för datornamn, egenskaper och identiteter. Entitetslösaren kombinerar de parsade autentiseringspaketen med data i det faktiska paketet. |
| Entitetssändare | Entitetssändaren skickar parsade och matchade data till ATA Center. |
ATA Lightweight Gateway-funktioner
Följande funktioner fungerar olika beroende på om du kör en ATA Gateway eller en ATA Lightweight Gateway.
ATA Lightweight Gateway kan läsa händelser lokalt, utan att behöva konfigurera vidarebefordran av händelser.
Kandidat för domänsynkronisering
Domänsynkroniseringsgatewayen ansvarar för att synkronisera alla entiteter från en specifik Active Directory-domän proaktivt (liknar den mekanism som används av domänkontrollanterna själva för replikering). En gateway väljs slumpmässigt, från listan över kandidater, för att fungera som domänsynkronisering.
Om synkroniseraren är offline i mer än 30 minuter väljs en annan kandidat i stället. Om det inte finns någon domänsynkroniseringskandidat tillgänglig för en specifik domän synkroniserar ATA proaktivt entiteter och deras ändringar, men ATA hämtar nya entiteter reaktivt när de identifieras i den övervakade trafiken.När ingen domänsynkronisering är tillgänglig visas inga resultat när du söker efter en entitet utan trafik som är relaterad till den.
Som standard är alla ATA-gatewayer kandidater för domänsynkronisering.
Eftersom alla ATA Lightweight Gateways är mer benägna att distribueras på avdelningsplatser och på små domänkontrollanter är de inte synkroniserarkandidater som standard.
I en miljö med endast Lightweight Gateways rekommenderar vi att du tilldelar två av gatewayerna som synkroniserarkandidater, där en Lightweight Gateway är standardkandidat för synkroniseraren och en är säkerhetskopieringen om standardinställningen är offline i mer än 30 minuter.
Resursbegränsningar
ATA Lightweight Gateway innehåller en övervakningskomponent som utvärderar den tillgängliga beräknings- och minneskapaciteten på domänkontrollanten som den körs på. Övervakningsprocessen körs var 10:e sekund och uppdaterar dynamiskt processor- och minnesanvändningskvoten på ATA Lightweight Gateway-processen för att se till att domänkontrollanten vid en viss tidpunkt har minst 15 % av de kostnadsfria beräknings- och minnesresurserna.Oavsett vad som händer på domänkontrollanten frigör den här processen alltid resurser för att se till att domänkontrollantens kärnfunktioner inte påverkas.
Om detta gör att ATA Lightweight Gateway får slut på resurser övervakas endast partiell trafik och hälsoaviseringen "Ignorerad portspegling av nätverkstrafik" visas på sidan Hälsa.
Följande tabell innehåller ett exempel på en domänkontrollant med tillräckligt med beräkningsresurser tillgängliga för att tillåta en större kvot än vad som för närvarande behövs, så att all trafik övervakas:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diverse (andra processer) | ATA Lightweight Gateway-kvot | Gatewayen släpps |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nej |
Om Active Directory behöver mer beräkning minskas kvoten som krävs av ATA Lightweight Gateway. I följande exempel behöver ATA Lightweight Gateway mer än den allokerade kvoten och släpper en del av trafiken (endast övervakning av partiell trafik):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Diverse (andra processer) | ATA Lightweight Gateway-kvot | Tas gatewayen bort |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Ja |
Dina nätverkskomponenter
För att kunna arbeta med ATA kontrollerar du att följande komponenter har konfigurerats.
Portspegling
Om du använder ATA-gatewayer måste du konfigurera portspegling för de domänkontrollanter som övervakas och ange ATA Gateway som mål med hjälp av fysiska eller virtuella växlar. Ett annat alternativ är att använda nätverks-TAP:er. ATA fungerar om vissa men inte alla domänkontrollanter övervakas, men identifieringar är mindre effektiva.
Medan portspegling speglar all nätverkstrafik för domänkontrollanten till ATA Gateway skickas endast en liten procentandel av trafiken, komprimerad, till ATA Center för analys.
Domänkontrollanterna och ATA-gatewayerna kan vara fysiska eller virtuella. Mer information finns i Konfigurera portspegling .
Händelser
För att förbättra ATA-identifiering av Pass-the-Hash, Brute Force, Ändring av känsliga grupper och Honey Tokens behöver ATA följande Windows-händelser: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Dessa kan antingen läsas automatiskt av ATA Lightweight Gateway eller om ATA Lightweight Gateway inte har distribuerats, kan den vidarebefordras till ATA Gateway på något av två sätt genom att konfigurera ATA Gateway för att lyssna efter SIEM-händelser eller genom att konfigurera vidarebefordran av Windows-händelser.
Konfigurera ATA Gateway för att lyssna efter SIEM-händelser
Konfigurera SIEM för att vidarebefordra specifika Windows-händelser till ATA. ATA stöder ett antal SIEM-leverantörer. Mer information finns i Konfigurera händelsesamling.Konfigurera vidarebefordran av Windows-händelser
Ett annat sätt för ATA att hämta dina händelser är att konfigurera domänkontrollanterna för att vidarebefordra Windows-händelser 4776, 4732, 4733, 4728, 4729, 4756 och 4757 till ata-gatewayen. Detta är särskilt användbart om du inte har någon SIEM eller om din SIEM för närvarande inte stöds av ATA. Information om hur du slutför konfigurationen av Vidarebefordran av Windows-händelser i ATA finns i Konfigurera vidarebefordran av Windows-händelser. Detta gäller endast fysiska ATA-gatewayer – inte ATA Lightweight Gateway.