Az ATA architektúrája
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az Advanced Threat Analytics architektúrája az alábbi ábrán található:
Az ATA fizikai vagy virtuális kapcsolók használatával monitorozza a tartományvezérlő hálózati forgalmát az ATA-átjáró porttükrözésével. Ha az egyszerűsített ATA-átjárót közvetlenül a tartományvezérlőkön helyezi üzembe, az megszünteti a porttükrözés követelményét. Emellett az ATA felhasználhatja a (közvetlenül a tartományvezérlőkről vagy egy SIEM-kiszolgálóról továbbított) Windows-eseményeket, és elemezheti az adatokat a támadások és fenyegetések szempontjából. Ez a szakasz a hálózati és eseményrögzítési folyamatokat ismerteti, és részletesen ismerteti az ATA fő összetevőinek funkcióit: az ATA-átjárót, az egyszerűsített ATA-átjárót (amely ugyanazokkal az alapvető funkciókkal rendelkezik, mint az ATA-átjáró) és az ATA-központot.
ATA-összetevők
Az ATA a következő összetevőkből áll:
-
ATA-központ
Az ATA-központ minden telepített ATA-átjárótól és/vagy egyszerűsített ATA-átjárótól fogad adatokat. -
ATA-átjáró
Az ATA-átjáró egy dedikált kiszolgálóra van telepítve, amely porttükrözés vagy hálózati TAP használatával figyeli a tartományvezérlőkről érkező forgalmat. -
Egyszerűsített ATA-átjáró
Az egyszerűsített ATA-átjáró közvetlenül a tartományvezérlőkre van telepítve, és közvetlenül figyeli a forgalmat anélkül, hogy dedikált kiszolgálóra vagy porttükrözés konfigurálására van szükség. Ez az ATA-átjáró alternatíva.
Az ATA üzemelő példányai egyetlen ATA-központból állhatnak, amelyek az összes ATA-átjáróhoz, az egyszerűsített ATA-átjárókhoz vagy az ATA-átjárók és az egyszerűsített ATA-átjárók kombinációjához kapcsolódnak.
Üzembehelyezési lehetőségek
Az ATA az átjárók alábbi kombinációjával helyezhető üzembe:
-
Csak ATA-átjárók használata
Az ATA üzemelő példánya csak ATA-átjárókat tartalmazhat egyszerűsített ATA-átjárók nélkül: Az összes tartományvezérlőt úgy kell konfigurálni, hogy engedélyezze a porttükrözést egy ATA-átjárón, vagy hálózati TAP-knek kell lenniük. -
Csak egyszerűsített ATA-átjárók használata
Az ATA üzemelő példánya csak egyszerűsített ATA-átjárókat tartalmazhat: Az egyszerűsített ATA-átjárók minden tartományvezérlőn üzembe vannak helyezve, és nincs szükség további kiszolgálókra vagy porttükrözési konfigurációra. -
Az ATA-átjárók és az egyszerűsített ATA-átjárók használata
Az ATA üzemelő példányATA-átjárókat és egyszerűsített ATA-átjárókat is tartalmaz. Az egyszerűsített ATA-átjárók egyes tartományvezérlőkön (például a fiókwebhelyeken lévő összes tartományvezérlőn) telepítve vannak. A többi tartományvezérlőt ugyanakkor az ATA-átjárók (például a fő adatközpontok nagyobb tartományvezérlői) figyelik.
Ezekben az esetekben az összes átjáró elküldi az adatait az ATA-központnak.
ATA-központ
Az ATA-központ a következő funkciókat hajtja végre:
Az ATA-átjáró és az egyszerűsített ATA-átjáró konfigurációs beállításainak kezelése
Adatokat fogad az ATA-átjáróktól és az egyszerűsített ATA-átjáróktól
Gyanús tevékenységek észlelése
ATA viselkedési gépi tanulási algoritmusokat futtat a rendellenes viselkedés észleléséhez
Különböző determinisztikus algoritmusokat futtat a támadási láncon alapuló speciális támadások észleléséhez
Az ATA-konzol futtatása
Nem kötelező: Az ATA-központ konfigurálható úgy, hogy gyanús tevékenység észlelésekor e-maileket és eseményeket küldjön.
Az ATA-központ az ATA-átjárótól és az egyszerűsített ATA-átjárótól fogadja az elemzett forgalmat. Ezután elvégzi a profilkészítést, determinisztikus észlelést futtat, és gépi tanulási és viselkedési algoritmusokat futtat a hálózat megismeréséhez, lehetővé teszi az anomáliák észlelését, és figyelmezteti Önt a gyanús tevékenységekre.
| Típus | Leírás |
|---|---|
| Entitásérzékelő | Entitáskötegeket fogad az összes ATA-átjárótól és egyszerűsített ATA-átjárótól. |
| Hálózati tevékenység feldolgozója | Feldolgozza az összes hálózati tevékenységet az egyes fogadott kötegekben. Például egyeztetés a különböző számítógépekről végrehajtott Kerberos-lépések között |
| Entitásprofil-készítő | Profilt ad az összes egyedi entitásról a forgalom és az események alapján. Az ATA például frissíti az egyes felhasználói profilokhoz tartozó bejelentkezett számítógépek listáját. |
| Központi adatbázis | Kezeli a hálózati tevékenységek és események írási folyamatát az adatbázisba. |
| Adatbázis | Az ATA a MongoDB-t használja az összes adat rendszerbeli tárolására: - Hálózati tevékenységek - Eseménytevékenységek – Egyedi entitások - Gyanús tevékenységek – ATA-konfiguráció |
| Detektorok | A detektorok gépi tanulási algoritmusokkal és determinisztikus szabályokkal keresnek gyanús tevékenységeket és rendellenes felhasználói viselkedést a hálózatban. |
| ATA-konzol | Az ATA-konzol az ATA konfigurálására és az ATA által a hálózaton észlelt gyanús tevékenységek figyelésére használható. Az ATA-konzol nem függ az ATA-központ szolgáltatástól, és akkor is fut, ha a szolgáltatás le van állítva, feltéve, hogy képes kommunikálni az adatbázissal. |
Vegye figyelembe a következő feltételeket, amikor eldönti, hogy hány ATA-központot helyezzen üzembe a hálózaton:
Egy ATA-központ egyetlen Active Directory-erdőt figyelhet. Ha egynél több Active Directory-erdővel rendelkezik, active directory-erdőnként legalább egy ATA-központra van szüksége.
Nagy Active Directory-telepítések esetén előfordulhat, hogy egyetlen ATA-központ nem tudja kezelni az összes tartományvezérlő összes forgalmát. Ebben az esetben több ATA-központra van szükség. Az ATA-központok számát az ATA kapacitástervezésének kell meghatároznia.
ATA-átjáró és egyszerűsített ATA-átjáró
Átjáró alapvető funkciói
Az ATA-átjáró és az egyszerűsített ATA-átjáró ugyanazokkal az alapvető funkciókkal rendelkezik:
Rögzítse és vizsgálja meg a tartományvezérlő hálózati forgalmát. Ez az ATA-átjárók porttükrözéses forgalma és a tartományvezérlő helyi forgalma az egyszerűsített ATA-átjárókban.
Windows-események fogadása SIEM- vagy Syslog-kiszolgálókról, illetve tartományvezérlőkről Windows-eseménytovábbítással
Felhasználók és számítógépek adatainak lekérése az Active Directory-tartományból
Hálózati entitások (felhasználók, csoportok és számítógépek) feloldásának végrehajtása
A releváns adatok átvitele az ATA-központba
Több tartományvezérlő monitorozása egyetlen ATA-átjáróból, vagy egyetlen tartományvezérlő figyelése egy egyszerűsített ATA-átjáróhoz.
Az ATA-átjáró fogadja a hálózati forgalmat és a Windows-eseményeket a hálózatról, és a következő fő összetevőkben dolgozza fel:
| Típus | Leírás |
|---|---|
| Hálózatfigyelő | A hálózatfigyelő rögzíti a hálózati forgalmat, és elemzi a forgalmat. Ez egy processzorigényes feladat, ezért különösen fontos ellenőrizni az ATA-előfeltételeket az ATA-átjáró vagy az egyszerűsített ATA-átjáró tervezésekor. |
| Eseményfigyelő | Az eseményfigyelő rögzíti és elemzi a hálózaton lévő SIEM-kiszolgálóról továbbított Windows-eseményeket. |
| Windows eseménynapló-olvasó | A Windows eseménynapló-olvasója beolvassa és elemzi az ATA-átjáró Windows-eseménynaplójába a tartományvezérlőkről továbbított Windows-eseményeket. |
| Network Activity Translator | Az elemzett forgalmat az ATA (NetworkActivity) által használt forgalom logikai ábrázolására fordítja le. |
| Entitásfeloldó | Az Entitásfeloldó az elemezt adatokat (hálózati forgalmat és eseményeket) az Active Directoryval oldja fel a fiók- és identitásadatok megkereséséhez. Ezután a rendszer egyezteti az elemzési adatokban található IP-címekkel. Az Entity Resolver hatékonyan megvizsgálja a csomagfejléceket, hogy lehetővé tegye a hitelesítési csomagok elemzését a gépnevek, tulajdonságok és identitások számára. Az Entity Resolver egyesíti az elemzett hitelesítési csomagokat a tényleges csomagban lévő adatokkal. |
| Entitás feladója | Az entitásküldő elküldi az elemezt és egyeztetett adatokat az ATA-központnak. |
Egyszerűsített ATA-átjárók funkciói
Az alábbi funkciók eltérően működnek attól függően, hogy ATA-átjárót vagy egyszerűsített ATA-átjárót futtat.
Az egyszerűsített ATA-átjáró képes az események helyi olvasására anélkül, hogy konfigurálnia kellene az eseménytovábbítást.
Tartományszinkronizálási jelölt
A tartományszinkronizálási átjáró felelős egy adott Active Directory-tartomány összes entitásának proaktív szinkronizálásáért (hasonlóan ahhoz a mechanizmushoz, amelyet maguk a tartományvezérlők használnak a replikációhoz). A rendszer véletlenszerűen választ ki egy átjárót a jelöltek listájából, hogy tartományszinkronizálóként szolgáljon.
Ha a szinkronizáló több mint 30 percig offline állapotban van, a rendszer egy másik jelöltet választ. Ha egy adott tartományhoz nem érhető el tartományszinkronizálási jelölt, az ATA proaktívan szinkronizálja az entitásokat és azok módosításait, de az ATA aktívan lekéri az új entitásokat, amint a figyelt forgalom észleli őket.Ha nincs elérhető tartományszinkronizáló, a hozzá kapcsolódó forgalom nélküli entitások keresése nem jelenít meg eredményt.
Alapértelmezés szerint az összes ATA-átjáró tartományszinkronizálási jelölt.
Mivel az egyszerűsített ATA-átjárók nagyobb valószínűséggel lesznek üzembe helyezve a fiókhelyeken és a kis tartományvezérlőkön, alapértelmezés szerint nem szinkronizálók.
Olyan környezetben, ahol csak egyszerűsített átjárók vannak, javasolt két átjárót szinkronizálójelöltként hozzárendelni, ahol egy egyszerűsített átjáró az alapértelmezett szinkronizálási jelölt, az egyik pedig a biztonsági másolat arra az esetre, ha az alapértelmezett kapcsolat nélküli állapot több mint 30 percig lenne offline.
Erőforrás-korlátozások
Az egyszerűsített ATA-átjáró tartalmaz egy monitorozási összetevőt, amely kiértékeli az elérhető számítási és memóriakapacitást azon a tartományvezérlőn, amelyen fut. A monitorozási folyamat 10 másodpercenként fut, és dinamikusan frissíti az egyszerűsített ATA-átjáró folyamat processzor- és memóriahasználati kvótáját, hogy a tartományvezérlő az ingyenes számítási és memória-erőforrások legalább 15%-ával rendelkezik-e.Függetlenül attól, hogy mi történik a tartományvezérlőn, ez a folyamat mindig erőforrásokat szabadít fel, hogy a tartományvezérlő alapvető funkciói ne legyenek hatással.
Ha ez az egyszerűsített ATA-átjáró erőforrásainak elfogyását okozza, a rendszer csak részleges forgalmat figyel, és az Állapot lapon megjelenik az "Elvetett porttükrözésű hálózati forgalom" állapotriasztás.
Az alábbi táblázat egy példát mutat be egy olyan tartományvezérlőre, amely elegendő számítási erőforrással rendelkezik ahhoz, hogy nagyobb kvótát engedélyezzen, akkor jelenleg szükség van rá, hogy az összes forgalom figyelve legyen:
| Active Directory (Lsass.exe) | Egyszerűsített ATA-átjáró (Microsoft.Tri.Gateway.exe) | Egyéb (egyéb folyamatok) | Egyszerűsített ATA-átjárók kvótája | Átjáró elvetése |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | Nem |
Ha az Active Directorynak több számításra van szüksége, az egyszerűsített ATA-átjáró által igényelt kvóta csökken. Az alábbi példában az egyszerűsített ATA-átjárónak többre van szüksége a lefoglalt kvótánál, és elveti a forgalom egy részét (csak a részleges forgalmat figyeli):
| Active Directory (Lsass.exe) | Egyszerűsített ATA-átjáró (Microsoft.Tri.Gateway.exe) | Egyéb (egyéb folyamatok) | Egyszerűsített ATA-átjárók kvótája | Az átjáró eldobása |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Igen |
A hálózati összetevők
Az ATA használatához ellenőrizze, hogy az alábbi összetevők be vannak-e állítva.
Porttükrözés
Ha ATA-átjárókat használ, be kell állítania a porttükrözést a figyelt tartományvezérlőkhöz, és a fizikai vagy virtuális kapcsolók használatával be kell állítania az ATA-átjárót célként. Egy másik lehetőség a hálózati műszaki tanácsadók használata. Az ATA akkor működik, ha az összes tartományvezérlőt figyeli, de az észlelések kevésbé hatékonyak.
Bár a porttükrözés az ATA-átjáró felé irányuló összes tartományvezérlő hálózati forgalmat tükrözi, a rendszer csak a forgalom egy kis százalékát küldi el az ATA-központnak elemzés céljából, tömörítve.
A tartományvezérlők és az ATA-átjárók lehetnek fizikaiak vagy virtuálisak. További információt a Porttükrözés konfigurálása című témakörben talál.
Események
A Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Tokens ATA észlelésének javításához az ATA-nak a következő Windows-eseményekre van szüksége: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Ezeket automatikusan beolvashatja az egyszerűsített ATA-átjáró, vagy ha az egyszerűsített ATA-átjáró nincs üzembe helyezve, két módon továbbítható az ATA-átjárónak úgy, hogy konfigurálja az ATA-átjárót a SIEM-események figyelésére, vagy a Windows eseménytovábbítás konfigurálásával.
Az ATA-átjáró konfigurálása SIEM-események figyelésére
Konfigurálja úgy a SIEM-et, hogy adott Windows-eseményeket továbbítson az ATA-nak. Az ATA számos SIEM-szállítót támogat. További információ: Eseménygyűjtés konfigurálása.A Windows eseménytovábbításának konfigurálása
Az ATA egy másik módja az események lekérésének, ha úgy konfigurálja a tartományvezérlőket, hogy a Windows-eseményeket 4776, 4732, 4733, 4728, 4729, 4756 és 4757 eseményeket továbbíthassák az ATA-átjárónak. Ez különösen akkor hasznos, ha nem rendelkezik SIEM-sel, vagy ha az ATA jelenleg nem támogatja az SIEM-et. A Windows eseménytovábbítás konfigurálásának befejezéséhez az ATA-ban lásd: A Windows eseménytovábbításának konfigurálása. Ez csak a fizikai ATA-átjárókra vonatkozik, az egyszerűsített ATA-átjáróra nem.