Aracılığıyla paylaş


ATA Mimarisi

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Advanced Threat Analytics mimarisi bu diyagramda ayrıntılı olarak gösterilmiştir:

ATA mimarisi topoloji diyagramı.

ATA, fiziksel veya sanal anahtarlar kullanarak bir ATA Gateway'e bağlantı noktası yansıtma kullanarak etki alanı denetleyicisi ağ trafiğinizi izler. ATA Lightweight Gateway'i doğrudan etki alanı denetleyicilerinize dağıtırsanız bağlantı noktası yansıtma gereksinimi ortadan kaldırılır. Ayrıca ATA, Windows olaylarından (doğrudan etki alanı denetleyicilerinizden veya bir SIEM sunucusundan iletilir) yararlanabilir ve saldırılar ve tehditler için verileri analiz edebilir. Bu bölümde ağ ve olay yakalama akışı açıklanır ve ATA'nın ana bileşenlerinin işlevselliğini açıklamak için detaya gidin: ATA Gateway, ATA Lightweight Gateway (ATA Gateway ile aynı çekirdek işlevselliğe sahiptir) ve ATA Center.

ATA trafik akışı diyagramı.

ATA Bileşenleri

ATA aşağıdaki bileşenlerden oluşur:

  • ATA Center
    ATA Center, dağıttığınız tüm ATA Gateway'lerden ve/veya ATA Lightweight Gateway'lerden veri alır.
  • ATA Gateway
    ATA Gateway, bağlantı noktası yansıtma veya ağ TAP kullanarak etki alanı denetleyicilerinizden gelen trafiği izleyen ayrılmış bir sunucuya yüklenir.
  • ATA Lightweight Gateway
    ATA Lightweight Gateway, ayrılmış bir sunucuya veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan doğrudan etki alanı denetleyicilerinize yüklenir ve trafiği doğrudan izler. BU, ATA Gateway'e bir alternatiftir.

ATA dağıtımı, tüm ATA Gateway'lere, tüm ATA Lightweight Gateway'lere veya ATA Gateway'ler ile ATA Lightweight Gateway'lerin birleşimine bağlı tek bir ATA Center'ı içerebilir.

Dağıtım seçenekleri

ATA'yi aşağıdaki ağ geçitleri birleşimini kullanarak dağıtabilirsiniz:

  • Yalnızca ATA Gateway'leri kullanma
    ATA dağıtımınız, ATA Lightweight Gateway olmadan yalnızca ATA Gateway'leri içerebilir: Ata Gateway'e bağlantı noktası yansıtmayı etkinleştirmek için tüm etki alanı denetleyicilerinin yapılandırılması veya ağ TAP'lerinin yerinde olması gerekir.
  • Yalnızca ATA Lightweight Gateway'leri kullanma
    ATA dağıtımınız yalnızca ATA Lightweight Gateway'leri içerebilir: ATA Lightweight Gateway'ler her etki alanı denetleyicisine dağıtılır ve ek sunucu veya bağlantı noktası yansıtma yapılandırması gerekmez.
  • Hem ATA Gateway'leri hem de ATA Lightweight Gateway'leri kullanma
    ATA dağıtımınız hem ATA Gateway'leri hem de ATA Lightweight Gateway'leri içerir. ATA Lightweight Gateway'ler bazı etki alanı denetleyicilerinize (örneğin, dal sitelerinizdeki tüm etki alanı denetleyicilerine) yüklenir. Aynı zamanda, diğer etki alanı denetleyicileri ATA Gateway'ler (örneğin, ana veri merkezlerinizdeki daha büyük etki alanı denetleyicileri) tarafından izlenir.

Tüm bu senaryolarda tüm ağ geçitleri verilerini ATA Center'a gönderir.

ATA Center

ATA Center aşağıdaki işlevleri gerçekleştirir:

  • ATA Gateway ve ATA Lightweight Gateway yapılandırma ayarlarını yönetir

  • ATA Gateway'lerden ve ATA Lightweight Gateway'lerden veri alır

  • Şüpheli etkinlikleri algılar

  • Anormal davranışları algılamak için ATA davranışsal makine öğrenmesi algoritmalarını çalıştırır

  • Saldırı sonlandırma zincirine dayalı gelişmiş saldırıları algılamak için çeşitli belirleyici algoritmalar çalıştırır

  • ATA Konsolu'nu çalıştırır

  • İsteğe bağlı: ATA Center, şüpheli bir etkinlik algılandığında e-posta ve olay gönderecek şekilde yapılandırılabilir.

ATA Center, ATA Gateway ve ATA Lightweight Gateway'den ayrıştırılmış trafik alır. Daha sonra ağınız hakkında bilgi edinmek, anomali algılamayı etkinleştirmek ve sizi şüpheli etkinlikler konusunda uyarmak için profil oluşturma gerçekleştirir, belirleyici algılamayı çalıştırır ve makine öğrenmesi ile davranışsal algoritmaları çalıştırır.

Tür Açıklama
Varlık Alıcısı Tüm ATA Gateway'lerden ve ATA Lightweight Gateway'lerden toplu varlıklar alır.
Ağ Etkinlik İşlemcisi Alınan her toplu iş içindeki tüm ağ etkinliklerini işler. Örneğin, farklı olabilecek bilgisayarlardan gerçekleştirilen çeşitli Kerberos adımları arasında eşleştirme
Varlık Profil Oluşturucu Trafiğe ve olaylara göre tüm Benzersiz Varlıkların profilini oluşturur. Örneğin, ATA her kullanıcı profili için oturum açmış bilgisayarların listesini güncelleştirir.
Center Database Ağ Etkinliklerinin ve olaylarının veritabanına yazma işlemini yönetir.
Veritabanı ATA, sistemdeki tüm verileri depolamak için MongoDB'yi kullanır:

- Ağ etkinlikleri
- Etkinlik etkinlikleri
- Benzersiz varlıklar
- Şüpheli etkinlikler
- ATA yapılandırması
Dedektörleri Algılayıcılar, ağınızdaki şüpheli etkinlikleri ve anormal kullanıcı davranışlarını bulmak için makine öğrenmesi algoritmalarını ve belirlenimci kuralları kullanır.
ATA Konsolu ATA Konsolu, ATA'nın yapılandırılması ve ağınızda ATA tarafından algılanan şüpheli etkinliklerin izlenmesine yöneliktir. ATA Konsolu, ATA Center hizmetine bağımlı değildir ve veritabanıyla iletişim kurabildiği sürece hizmet durdurulduğunda bile çalışır.

Ağınızda kaç ATA Merkezi dağıtılacağına karar verirken aşağıdaki ölçütleri göz önünde bulundurun:

  • Bir ATA Center, tek bir Active Directory ormanlarını izleyebilir. Birden fazla Active Directory ormanınız varsa, Active Directory ormanı başına en az bir ATA Center gerekir.

  • Büyük Active Directory dağıtımlarında, tek bir ATA Center tüm etki alanı denetleyicilerinizin tüm trafiğini işleyemeyebilir. Bu durumda, birden çok ATA Merkezi gerekir. ATA Merkezlerinin sayısı , ATA kapasite planlaması tarafından dikte edilmelidir.

ATA Gateway ve ATA Lightweight Gateway

Ağ geçidi çekirdek işlevselliği

ATA Gateway ve ATA Lightweight Gateway'in her ikisi de aynı temel işlevselliğe sahiptir:

  • Etki alanı denetleyicisi ağ trafiğini yakalayın ve inceleyin. Bu, ATA Gateway'ler için bağlantı noktası yansıtılmış trafik ve ATA Lightweight Gateways'teki etki alanı denetleyicisinin yerel trafiğidir.

  • SIEM veya Syslog sunucularından veya Windows Olay İletme'yi kullanarak etki alanı denetleyicilerinden Windows olaylarını alma

  • Active Directory etki alanından kullanıcılar ve bilgisayarlar hakkındaki verileri alma

  • Ağ varlıklarının (kullanıcılar, gruplar ve bilgisayarlar) çözümlemesini gerçekleştirme

  • İlgili verileri ATA Center'a aktarma

  • Tek bir ATA Gateway'den birden çok etki alanı denetleyicisini izleyin veya ATA Lightweight Gateway için tek bir etki alanı denetleyicisini izleyin.

ATA Gateway ağınızdan ağ trafiğini ve Windows Olaylarını alır ve aşağıdaki ana bileşenlerde işler:

Tür Açıklama
Ağ Dinleyicisi Ağ Dinleyicisi ağ trafiğini yakalar ve trafiği ayrıştırıyor. Bu yoğun CPU kullanan bir görev olduğundan, ATA Gateway veya ATA Lightweight Gateway'inizi planlarken ATA Önkoşullarını denetlemeniz özellikle önemlidir.
Olay Dinleyicisi Olay Dinleyicisi ağınızdaki bir SIEM sunucusundan iletilen Windows Olaylarını yakalar ve ayrıştırıyor.
Windows Olay Günlüğü Okuyucusu Windows Olay Günlüğü Okuyucusu, etki alanı denetleyicilerinden ATA Gateway'in Windows Olay Günlüğü'ne iletilen Windows Olaylarını okur ve ayrıştırıyor.
Ağ Etkinlik Çevirisi Ayrıştırılmış trafiği ATA (NetworkActivity) tarafından kullanılan trafiğin mantıksal bir gösterimine çevirir.
Varlık Çözümleyicisi Varlık Çözümleyicisi ayrıştırılan verileri (ağ trafiği ve olaylar) alır ve hesap ve kimlik bilgilerini bulmak için Active Directory ile bu verileri çözümler. Ardından ayrıştırılan verilerde bulunan IP adresleriyle eşleştirilir. Varlık Çözümleyicisi, makine adları, özellikler ve kimlikler için kimlik doğrulama paketlerinin ayrıştırmasını etkinleştirmek için paket üst bilgilerini verimli bir şekilde inceler. Varlık Çözümleyicisi, ayrıştırılmış kimlik doğrulama paketlerini gerçek paketteki verilerle birleştirir.
Varlık Göndereni Varlık Göndereni ayrıştırılmış ve eşleşen verileri ATA Center'a gönderir.

ATA Lightweight Gateway özellikleri

Aşağıdaki özellikler, ATA Gateway mi yoksa ATA Lightweight Gateway mi çalıştırdığınıza bağlı olarak farklı çalışır.

  • ATA Lightweight Gateway, olay iletmeyi yapılandırmaya gerek kalmadan olayları yerel olarak okuyabilir.

  • Etki alanı eşitleyici adayı
    Etki alanı eşitleyici ağ geçidi, belirli bir Active Directory etki alanındaki tüm varlıkları proaktif olarak eşitlemekten sorumludur (çoğaltma için etki alanı denetleyicilerinin kendileri tarafından kullanılan mekanizmaya benzer). Bir ağ geçidi, aday listesinden etki alanı eşitleyici olarak görev yapmak için rastgele seçilir.
    Eşitleyici 30 dakikadan uzun süre çevrimdışıysa, bunun yerine başka bir aday seçilir. Belirli bir etki alanı için kullanılabilir bir etki alanı eşitleyici adayı yoksa, ATA varlıkları ve bunların değişikliklerini proaktif olarak eşitler, ancak ATA izlenen trafikte algılanan yeni varlıkları yeniden alır.

    Kullanılabilir bir etki alanı eşitleyicisi olmadığında, bununla ilgili trafiği olmayan bir varlık arandığında hiçbir sonuç görüntülenmez.

    Varsayılan olarak, tüm ATA Gateway'ler etki alanı eşitleyici adaylarıdır.

    Tüm ATA Lightweight Gateway'lerin dal sitelerine ve küçük etki alanı denetleyicilerine dağıtılma olasılığı daha yüksek olduğundan, bunlar varsayılan olarak eşitleyici adayı değildir.

    Yalnızca Lightweight Gateway'lerin bulunduğu bir ortamda, iki ağ geçidini eşitleyici adayı olarak atamanız önerilir; burada bir Lightweight Gateway varsayılan eşitleyici adayıdır ve biri varsayılanın 30 dakikadan uzun süre çevrimdışı olması durumunda yedeklemedir.

  • Kaynak sınırlamaları
    ATA Lightweight Gateway, üzerinde çalıştığı etki alanı denetleyicisinde kullanılabilir işlem ve bellek kapasitesini değerlendiren bir izleme bileşeni içerir. İzleme işlemi her 10 saniyede bir çalıştırılır ve belirli bir noktada etki alanı denetleyicisinin boş işlem ve bellek kaynaklarının en az %15'ine sahip olduğundan emin olmak için ATA Lightweight Gateway işlemindeki CPU ve bellek kullanım kotasını dinamik olarak güncelleştirir.

    Etki alanı denetleyicisinde ne olursa olsun, bu işlem etki alanı denetleyicisinin temel işlevselliğinin etkilenmediğinden emin olmak için her zaman kaynakları serbest bıraktır.

    Bu, ATA Lightweight Gateway'in kaynaklarının yetersiz çalışmasına neden olursa, yalnızca kısmi trafik izlenir ve Sistem Durumu sayfasında "Bağlantı noktası yansıtılmış ağ trafiği bırakıldı" sistem durumu uyarısı görüntülenir.

Aşağıdaki tabloda, tüm trafiğin izlenmesi için şu anda daha büyük bir kotaya izin vermek için yeterli işlem kaynağına sahip bir etki alanı denetleyicisi örneği verilmiştir:

Active Directory (Lsass.exe) ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Çeşitli (diğer işlemler) ATA Lightweight Gateway Kotası Ağ geçidi bırakılıyor
30% 20% 10% 45% Hayır

Active Directory'nin daha fazla işlem yapması gerekiyorsa, ATA Lightweight Gateway tarafından gereken kota azaltılır. Aşağıdaki örnekte, ATA Lightweight Gateway'in ayrılan kotadan daha fazlasına ihtiyacı vardır ve trafiğin bir kısmını bırakır (yalnızca kısmi trafiği izleme):

Active Directory (Lsass.exe) ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) Çeşitli (diğer işlemler) ATA Lightweight Gateway Kotası Ağ geçidi bırakılıyor mu
60% 15% 10% 15% Evet

Ağ bileşenleriniz

ATA ile çalışmak için aşağıdaki bileşenlerin ayarlandığından emin olun.

Bağlantı noktası yansıtma

ATA Gateway kullanıyorsanız, izlenen etki alanı denetleyicileri için bağlantı noktası yansıtmayı ayarlamanız ve ATA Gateway'i fiziksel veya sanal anahtarları kullanarak hedef olarak ayarlamanız gerekir. Bir diğer seçenek de ağ TAP'lerini kullanmaktır. Etki alanı denetleyicilerinizin bazıları izlenmiyorsa ancak tümü izlenmiyorsa, ancak algılamalar daha az etkiliyse ATA çalışır.

Bağlantı noktası yansıtma tüm etki alanı denetleyicisi ağ trafiğini ATA Gateway'e yansıtsa da, analiz için bu trafiğin yalnızca küçük bir yüzdesi ATA Center'a gönderilir, sıkıştırılır.

Etki alanı denetleyicileriniz ve ATA Gateway'leriniz fiziksel veya sanal olabilir. Daha fazla bilgi için bkz. Bağlantı noktası yansıtmayı yapılandırma .

Olay

ATA'nın Karma Geçişi, Deneme Yanılma, Hassas gruplarda değişiklik ve Bal Belirteçleri algılamasını geliştirmek için ATA'nın şu Windows olaylarına ihtiyacı vardır: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Bunlar, ATA Lightweight Gateway tarafından otomatik olarak okunabilir veya ATA Lightweight Gateway'in dağıtılmaması durumunda, ATA Gateway'i SIEM olaylarını dinleyecek şekilde yapılandırarak veya Windows Olay İletme'yi yapılandırarak ATA Gateway'e iki yoldan biriyle iletilebilir.

  • ATA Gateway'i SIEM olaylarını dinleyecek şekilde yapılandırma
    SIEM'inizi belirli Windows olaylarını ATA'ya iletecek şekilde yapılandırın. ATA, bir dizi SIEM satıcısını destekler. Daha fazla bilgi için bkz. Olay koleksiyonunu yapılandırma.

  • Windows Olay İletme'yi yapılandırma
    ATA'nın olaylarınızı alabilmesinin bir diğer yolu da etki alanı denetleyicilerinizi Windows 4776, 4732, 4733, 4728, 4729, 4756 ve 4757 olaylarını ATA Gateway'inize iletecek şekilde yapılandırmaktır. Bu özellikle SIEM'niz yoksa veya SIEM'iniz şu anda ATA tarafından desteklenmiyorsa kullanışlıdır. ATA'da Windows Olay İletme yapılandırmanızı tamamlamak için bkz . Windows olay iletmeyi yapılandırma. Bu yalnızca fiziksel ATA Gateway'ler için geçerlidir, ATA Lightweight Gateway için geçerli değildir.

Ayrıca Bkz