ATA 体系结构
适用于:高级威胁分析版本 1.9
此图详细介绍了高级威胁分析体系结构:
ATA 使用物理或虚拟交换机通过端口镜像到 ATA 网关来监视域控制器网络流量。 如果直接在域控制器上部署 ATA 轻型网关,则无需进行端口镜像。 此外,ATA 可以利用直接从域控制器或 SIEM 服务器转发的 Windows 事件 () 并分析数据以查找攻击和威胁。 本部分介绍网络和事件捕获流,并向下钻取以描述 ATA main 组件的功能:ATA 网关、ATA 轻型网关 (,其核心功能与 ATA 网关) 相同,以及 ATA 中心。
ATA 组件
ATA 由以下组件组成:
-
ATA 中心
ATA 中心从部署的任何 ATA 网关和/或 ATA 轻型网关接收数据。 -
ATA 网关
ATA 网关安装在专用服务器上,该服务器使用端口镜像或网络 TAP 监视来自域控制器的流量。 -
ATA 轻型网关
ATA 轻型网关直接安装在域控制器上,直接监视其流量,无需专用服务器或端口镜像配置。 它是 ATA 网关的替代方法。
ATA 部署可以包含连接到所有 ATA 网关的单个 ATA 中心、所有 ATA 轻型网关或 ATA 网关和 ATA 轻型网关的组合。
部署选项
可以使用以下网关组合部署 ATA:
-
仅使用 ATA 网关
ATA 部署只能包含 ATA 网关,而不包含任何 ATA 轻型网关:必须将所有域控制器配置为启用到 ATA 网关的端口镜像,否则网络 TAP 必须到位。 -
仅使用 ATA 轻型网关
ATA 部署只能包含 ATA 轻型网关:ATA 轻型网关部署在每个域控制器上,无需其他服务器或端口镜像配置。 -
使用 ATA 网关和 ATA 轻型网关
ATA 部署包括 ATA 网关和 ATA 轻型网关。 ATA 轻型网关安装在某些域控制器上, (例如,分支站点中的所有域控制器) 。 同时,ATA 网关 (监视其他域控制器,例如,main数据中心中较大的域控制器) 。
在所有这些方案中,所有网关都会将其数据发送到 ATA 中心。
ATA 中心
ATA 中心执行以下功能:
管理 ATA 网关和 ATA 轻型网关配置设置
从 ATA 网关和 ATA 轻型网关接收数据
检测可疑活动
运行 ATA 行为机器学习算法以检测异常行为
运行各种确定性算法,以基于攻击终止链检测高级攻击
运行 ATA 控制台
可选:可以将 ATA 中心配置为在检测到可疑活动时发送电子邮件和事件。
ATA 中心接收来自 ATA 网关和 ATA 轻型网关的已分析流量。 然后,它执行分析,运行确定性检测,并运行机器学习和行为算法来了解网络,启用异常检测并警告可疑活动。
| 类型 | 说明 |
|---|---|
| 实体接收器 | 从所有 ATA 网关和 ATA 轻型网关接收批量实体。 |
| 网络活动处理器 | 处理收到的每个批中的所有网络活动。 例如,从可能不同的计算机执行的各种 Kerberos 步骤之间的匹配 |
| 实体探查器 | 根据流量和事件分析所有唯一实体。 例如,ATA 更新每个用户配置文件的已登录计算机列表。 |
| 中心数据库 | 管理网络活动和事件在数据库中的写入过程。 |
| Database | ATA 利用 MongoDB 来存储系统中的所有数据: - 网络活动 - 事件活动 - 唯一实体 - 可疑活动 - ATA 配置 |
| 探测器 | 检测器使用机器学习算法和确定性规则来查找网络中可疑活动和异常用户行为。 |
| ATA 控制台 | ATA 控制台用于配置 ATA 并监视 ATA 在网络上检测到的可疑活动。 ATA 控制台不依赖于 ATA 中心服务,即使在服务停止时也运行,只要它可以与数据库通信。 |
决定在网络上部署多少个 ATA 中心时,请考虑以下条件:
一个 ATA 中心可以监视单个 Active Directory 林。 如果有多个 Active Directory 林,则每个 Active Directory 林至少需要一个 ATA 中心。
在大型 Active Directory 部署中,单个 ATA 中心可能无法处理所有域控制器的所有流量。 在这种情况下,需要多个 ATA 中心。 ATA 中心的数量应由 ATA 容量规划决定。
ATA 网关和 ATA 轻型网关
网关核心功能
ATA 网关和 ATA 轻型网关具有相同的核心功能:
捕获并检查域控制器网络流量。 这是 ATA 网关的端口镜像流量和 ATA 轻型网关中域控制器的本地流量。
使用 Windows 事件转发从 SIEM、Syslog 服务器或域控制器接收 Windows 事件
从 Active Directory 域检索有关用户和计算机的数据
执行网络实体(用户、组和计算机)的解析
将相关数据传输到 ATA 中心
从单个 ATA 网关监视多个域控制器,或监视 ATA 轻型网关的单个域控制器。
ATA 网关从网络接收网络流量和 Windows 事件,并在以下main组件中对其进行处理:
| 类型 | 说明 |
|---|---|
| 网络侦听器 | 网络侦听器捕获网络流量并分析流量。 这是一项 CPU 密集型任务,因此在规划 ATA 网关或 ATA 轻型网关时,检查 ATA 先决条件尤其重要。 |
| 事件侦听器 | 事件侦听器捕获和分析从网络上的 SIEM 服务器转发的 Windows 事件。 |
| Windows 事件日志读取器 | Windows 事件日志读取器读取和分析从域控制器转发到 ATA 网关的 Windows 事件日志的 Windows 事件。 |
| 网络活动翻译器 | 将分析的流量转换为 ATA (NetworkActivity) 使用的流量的逻辑表示形式。 |
| 实体解析程序 | 实体解析程序将分析的数据 (网络流量和事件) ,并使用 Active Directory 解析这些数据以查找帐户和标识信息。 然后,它将与在分析的数据中找到的 IP 地址匹配。 实体解析程序会有效地检查数据包标头,以便分析计算机名称、属性和标识的身份验证数据包。 实体解析程序将分析的身份验证数据包与实际数据包中的数据相结合。 |
| 实体发送方 | 实体发送方将分析和匹配的数据发送到 ATA 中心。 |
ATA 轻型网关功能
根据运行的是 ATA 网关还是 ATA 轻型网关,以下功能的工作方式有所不同。
ATA 轻型网关可以在本地读取事件,而无需配置事件转发。
域同步器候选项
域同步器网关负责主动同步特定 Active Directory 域中的所有实体, (类似于域控制器本身用于复制) 的机制。 从候选项列表中随机选择一个网关作为域同步器。
如果同步器脱机超过 30 分钟,则会选择另一个候选项。 如果没有适用于特定域的域同步器候选项,ATA 会主动同步实体及其更改,但 ATA 会在监视的流量中检测到新实体时,以反应方式检索这些实体。如果没有可用的域同步器,则搜索没有与其相关的流量的实体不会显示任何结果。
默认情况下,所有 ATA 网关都是域同步器候选项。
由于所有 ATA 轻型网关更有可能部署在分支站点和小型域控制器上,因此默认情况下它们不是同步器候选项。
在仅具有轻型网关的环境中,建议将两个网关分配为同步器候选项,其中一个轻型网关是默认同步器候选项,一个是备份,以防默认网关脱机超过 30 分钟。
资源限制
ATA 轻型网关包括一个监视组件,用于评估运行它的域控制器上的可用计算和内存容量。 监视进程每 10 秒运行一次,并在 ATA 轻型网关进程中动态更新 CPU 和内存利用率配额,以确保在任何给定时间点,域控制器至少有 15% 的可用计算和内存资源。无论域控制器上发生什么情况,此过程都会始终释放资源,以确保域控制器的核心功能不受影响。
如果这导致 ATA 轻型网关耗尽资源,则仅监视部分流量,运行状况警报“已删除端口镜像网络流量”显示在“运行状况”页中。
下表提供了一个域控制器示例,该域控制器具有足够的可用计算资源,以允许当前需要更大的配额,以便监视所有流量:
| Active Directory (Lsass.exe) | ATA 轻型网关 (Microsoft.Tri.Gateway.exe) | 其他进程 () | ATA 轻型网关配额 | 网关删除 |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | 否 |
如果 Active Directory 需要更多计算,ATA 轻型网关所需的配额会减少。 在以下示例中,ATA 轻型网关需要超过分配的配额,并删除某些流量 (仅监视部分流量) :
| Active Directory (Lsass.exe) | ATA 轻型网关 (Microsoft.Tri.Gateway.exe) | 其他进程 () | ATA 轻型网关配额 | 网关是否删除 |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | 是 |
网络组件
若要使用 ATA,请确保检查设置了以下组件。
端口镜像
如果使用 ATA 网关,则必须为受监视的域控制器设置端口镜像,并使用物理或虚拟交换机将 ATA 网关设置为目标。 另一个选项是使用网络 TAP。 如果监视了部分(但不是所有)域控制器,但检测效果较差,则 ATA 有效。
当端口镜像将所有域控制器网络流量镜像到 ATA 网关时,只有一小部分流量随后被发送到 ATA 中心进行分析。
域控制器和 ATA 网关可以是物理网关或虚拟网关,有关详细信息,请参阅 配置端口镜像 。
事件
为了增强 ATA 对传递哈希、暴力破解、修改敏感组和蜜标的检测,ATA 需要以下 Windows 事件:4776、4732、4733、4728、4729、4756、4757。 ATA 轻型网关可以自动读取这些内容,或者在未部署 ATA 轻型网关的情况下,可以通过以下两种方式之一将其转发到 ATA 网关:将 ATA 网关配置为侦听 SIEM 事件或 配置 Windows 事件转发。
配置 ATA 网关以侦听 SIEM 事件
将 SIEM 配置为将特定 Windows 事件转发到 ATA。 ATA 支持许多 SIEM 供应商。 有关详细信息,请参阅 配置事件集合。配置 Windows 事件转发
ATA 获取事件的另一种方法是将域控制器配置为将 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757 转发到 ATA 网关。 如果没有 SIEM,或者 ATA 当前不支持 SIEM,这尤其有用。 若要在 ATA 中完成 Windows 事件转发的配置,请参阅 配置 Windows 事件转发。 这仅适用于物理 ATA 网关 - 不适用于 ATA 轻型网关。