ATA-Architektur
Gilt für: Advanced Threat Analytics, Version 1.9
Die Advanced Threat Analytics-Architektur ist in diesem Diagramm detailliert dargestellt:
ATA überwacht Ihren Domänencontroller-Netzwerkdatenverkehr, indem Portspiegelung mithilfe physischer oder virtueller Switches zu einem ATA-Gateway verwendet wird. Wenn Sie das ATA Lightweight Gateway direkt auf Ihren Domänencontrollern bereitstellen, wird die Anforderung für die Portspiegelung entfernt. Darüber hinaus kann ATA Windows-Ereignisse (direkt von Ihren Domänencontrollern weitergeleitet oder von einem SIEM-Server) nutzen und die Daten für Angriffe und Bedrohungen analysieren. In diesem Abschnitt wird der Fluss der Netzwerk- und Ereigniserfassung und Drilldowns beschrieben, um die Funktionalität der Standard-Komponenten von ATA zu beschreiben: das ATA-Gateway, das ATA-Lightweight-Gateway (das die gleiche Kernfunktionalität wie das ATA-Gateway hat) und das ATA Center.
ATA-Komponenten
ATA umfasst die folgenden Komponenten:
- ATA Center
Das ATA Center empfängt Daten von allen ATA-Gateways und/oder ATA Lightweight Gateways, die Sie bereitstellen. - ATA Gateway
Das ATA-Gateway wird auf einem dedizierten Server installiert, der den Datenverkehr von Ihren Domänencontrollern entweder mit Portspiegelung oder einem Netzwerk TAP überwacht. - ATA Lightweight Gateway
Das ATA Lightweight Gateway wird direkt auf Ihren Domänencontrollern installiert und überwacht den Datenverkehr direkt, ohne dass ein dedizierter Server oder eine dedizierte Konfiguration der Portspiegelung erforderlich ist. Es ist eine Alternative zum ATA-Gateway.
Eine ATA-Bereitstellung kann aus einem einzelnen ATA Center bestehen, das mit allen ATA-Gateways, allen ATA Lightweight Gateways oder einer Kombination aus ATA-Gateways und ATA Lightweight Gateways verbunden ist.
Bereitstellungsoptionen
Sie können ATA mithilfe der folgenden Kombination von Gateways bereitstellen:
- Nur ATA-Gateways verwenden
Ihre ATA-Bereitstellung kann nur ATA-Gateways ohne ATA Lightweight Gateways enthalten: Alle Domänencontroller müssen so konfiguriert sein, dass Portspiegelung zu einem ATA-Gateway oder Netzwerk-TAPs vorhanden sein muss. - Nur ATA Lightweight Gateways verwenden
Ihre ATA-Bereitstellung kann nur ATA Lightweight Gateways enthalten: Die ATA Lightweight Gateways werden auf jedem Domänencontroller bereitgestellt und es sind keine zusätzlichen Server oder Portspiegelungs-Konfiguration erforderlich. - Verwenden von ATA-Gateways und ATA Lightweight Gateways
Ihre ATA-Bereitstellung umfasst sowohl ATA-Gateways als auch ATA Lightweight Gateways. Die ATA Lightweight Gateways sind auf einigen Ihrer Domänencontroller installiert (z. B. alle do Standard Controller in Ihren Zweigstellenstandorten). Gleichzeitig werden andere Domänencontroller von ATA-Gateways überwacht (z. B. die größeren Domänencontroller in Ihren Standard Rechenzentren).
In all diesen Szenarien senden alle Gateways ihre Daten an das ATA Center.
ATA Center
Das ATA Center führt die folgenden Funktionen durch:
Verwaltet ATA-Gateway- und ATA Lightweight Gateway-Konfigurationseinstellungen
Empfängt Daten von ATA-Gateways und ATA Lightweight Gateways
Erkennt verdächtige Aktivitäten
Führt ATA-Algorithmen für maschinelles Lernen aus, um ungewöhnliches Verhalten zu erkennen
Führt verschiedene deterministische Algorithmen aus, um erweiterte Angriffe basierend auf der Angriffs-Killchain zu erkennen.
Führt die ATA-Konsole aus
Optional: Das ATA Center kann so konfiguriert werden, dass E-Mails und Ereignisse gesendet werden, wenn eine verdächtige Aktivität erkannt wird.
Das ATA Center empfängt analysierten Datenverkehr vom ATA-Gateway und ATA Lightweight Gateway. Es wendet Profilerstellung, deterministische Erkennungsmethoden, maschinelles Lernen und Verhaltensalgorithmen an, um Informationen zu Ihrem Netzwerk erhalten, die Erkennung von Anomalien zu verbessern und Sie bei verdächtigen Aktivitäten zu warnen.
| Typ | Beschreibung |
|---|---|
| Entitätsempfänger | Empfängt Batches von Entitäten von allen ATA-Gateways und ATA Lightweight Gateways. |
| Netzwerkaktivitätsprozessor | Verarbeitet alle Netzwerkaktivitäten innerhalb jedes empfangenen Batches. Beispiel: Abgleich zwischen den verschiedenen Kerberos-Schritten, die von potenziell unterschiedlichen Computern ausgeführt werden |
| Entitätsprofil-Erstellung | Profiliert alle einzigartigen Entitäten basierend auf Datenverkehr und Ereignissen. ATA aktualisiert beispielsweise die Liste der angemeldeten Computer für jedes Benutzerprofil. |
| Center-Datenbank | Verwaltet den Schreibvorgang der Netzwerkaktivitäten und Ereignisse in die Datenbank. |
| Datenbank | ATA nutzt MongoDB zum Speichern aller Daten im System: - Netzwerkaktiviäten - Ereignisaktivitäten - Eindeutige Entitäten - Verdächtige Aktivitäten - ATA-Konfiguration |
| Erkennungsmodule | Die Detektoren verwenden Machine Learning-Algorithmen und deterministische Regeln, um verdächtige Aktivitäten und ungewöhnliches Benutzerverhalten in Ihrem Netzwerk zu finden. |
| ATA-Konsole | Die ATA-Konsole dient zum Konfigurieren von ATA und zur Überwachung verdächtiger Aktivitäten, die von ATA in Ihrem Netzwerk erkannt wurden. Die ATA-Konsole ist nicht vom ATA Center-Dienst abhängig und wird auch dann ausgeführt, wenn der Dienst beendet wird, solange er mit der Datenbank kommunizieren kann. |
Berücksichtigen Sie die folgenden Kriterien, wenn Sie entscheiden, wie viele ATA Center in Ihrem Netzwerk bereitgestellt werden sollen:
Ein ATA Center kann eine einzelne Active Directory-Gesamtstruktur überwachen. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, benötigen Sie mindestens ein ATA Center pro Active Directory-Gesamtstruktur.
In großen Active Directory-Bereitstellungen ist ein einzelnes ATA Center möglicherweise nicht in der Lage, den gesamten Datenverkehr aller Ihrer Domänencontroller zu verarbeiten. In diesem Fall sind mehrere ATA-Center erforderlich. Die Anzahl der ATA-Zentren sollte von der ATA-Kapazitätsplanung bestimmt werden.
ATA-Gateway und ATA Lightweight Gateway
Gateway-Kernfunktionalität
ATA-Gateway und ATA Lightweight Gateway verfügen beide über die gleichen Kernfunktionen:
Erfassen und prüfen Sie Netzwerkdatenverkehr für Domänencontroller. Dies ist portgespiegelter Datenverkehr für ATA-Gateways und lokalen Datenverkehr der Domänencontroller in ATA Lightweight-Gateways.
Empfangen von Windows-Ereignissen von SIEM- oder Syslog-Servern oder von Domänencontrollern mithilfe der Windows-Ereignisweiterleitung
Abrufen von Daten zu Benutzern und Computern aus der Active Directory-Domäne
Ausführen der Auflösung von Netzwerkentitäten (Benutzer, Gruppen und Computer)
Übertragen relevanter Daten an das ATA Center
Überwachen Sie mehrere Domänencontroller von einem einzelnen ATA-Gateway oder überwachen Sie einen einzelnen Domänencontroller für ein ATA Lightweight Gateway.
Das ATA-Gateway empfängt Netzwerkdatenverkehr und Windows-Ereignisse aus Ihrem Netzwerk und verarbeitet es in den folgenden Standard-Komponenten:
| Typ | Beschreibung |
|---|---|
| Network Listener | Network Listener erfasst und analysiert Netzwerkdatenverkehr. Dies ist eine CPU-schwere Aufgabe, daher ist es besonders wichtig, die ATA-Voraussetzungen bei der Planung Ihres ATA-Gateways oder des ATA Lightweight Gateways zu überprüfen. |
| Ereignislistener | Der Ereignislistener erfasst und analysiert Windows-Ereignisse, die von einem SIEM-Server in Ihrem Netzwerk weitergeleitet werden. |
| Windows-Ereignisprotokollleser | Der Windows-Ereignisprotokollleser liest und analysiert Windows-Ereignisse, die über Domänencontroller an das Windows-Ereignisprotokoll des ATA-Gateways weitergeleitet werden. |
| Netzwerkaktivitäts-Übersetzer | Übersetzt analysierten Datenverkehr in eine logische Darstellung des von ATA (NetworkActivity) verwendeten Datenverkehrs. |
| Entitäts-Resolver | Der Entitäts-Resolver verwendet die analysierten Daten (Netzwerkdatenverkehr und -ereignisse) und löst sie mit Active Directory auf, um Konto- und Identitätsinformationen zu finden. Sie wird dann mit den in den analysierten Daten gefundenen IP-Adressen abgeglichen. Der Entity Resolver prüft die Paketheader effizient, um die Analyse von Authentifizierungspaketen für Computernamen, Eigenschaften und Identitäten zu ermöglichen. Der Entity Resolver kombiniert die analysierten Authentifizierungspakete mit den Daten im tatsächlichen Paket. |
| Entitätssender | Der Entitätssender sendet die analysierten und übereinstimmenden Daten an das ATA Center. |
ATA Lightweight Gateway-Features
Die folgenden Features funktionieren je nachdem, ob Sie ein ATA-Gateway oder ein ATA Lightweight Gateway ausführen.
Das ATA Lightweight Gateway kann Ereignisse lokal lesen, ohne die Ereignisweiterleitung konfigurieren zu müssen.
Domänensynchronizer-Kandidat
Das Domänensynchronizer-Gateway ist für die Synchronisierung aller Entitäten aus einer bestimmten Active Directory-Domäne proaktiv (ähnlich dem Mechanismus, der von dem Domänencontroller selbst für die Replikation verwendet wird). Ein Gateway wird zufällig aus der Liste der Kandidaten ausgewählt, um als Domänensynchronizer zu dienen.
Wenn der Synchronizer länger als 30 Minuten offline ist, wird stattdessen ein anderer Kandidat ausgewählt. Wenn kein Domänensynchronizer-Kandidat für eine bestimmte Domäne verfügbar ist, synchronisiert ATA proaktiv Entitäten und ihre Änderungen, ruft jedoch reaktiv neue Entitäten ab, da sie im überwachten Datenverkehr erkannt werden.Wenn kein Domänensynchronizer verfügbar ist, werden keine Ergebnisse angezeigt, wenn Sie nach einer Entität ohne Datenverkehr suchen.
Standardmäßig werden alle ATA-Gateways als Domänensynchronizer-Kandidaten festgelegt.
Da alle ATA Lightweight Gateways wahrscheinlicher an Zweigstellenstandorten und auf kleinen Domänencontrollern bereitgestellt werden, sind sie standardmäßig keine Synchronizerkandidaten.
In einer Umgebung mit nur Lightweight Gateways wird empfohlen, zwei der Gateways als Synchronizerkandidaten zuzuweisen, wobei ein Lightweight Gateway der Standard-Synchronizerkandidat ist und eines die Sicherung ist, falls die Standardeinstellung für mehr als 30 Minuten offline ist.
Ressourcenbeschränkungen
Das ATA Lightweight-Gateway enthält eine Überwachungskomponente, die die verfügbare Computer- und Arbeitsspeicherkapazität auf dem Domänencontroller auswertet, auf dem er ausgeführt wird. Der Überwachungsprozess wird alle 10 Sekunden ausgeführt und aktualisiert das CPU- und Speicherauslastungskontingent im ATA Lightweight Gateway-Prozess dynamisch, um sicherzustellen, dass der Domänencontroller zu einem bestimmten Zeitpunkt mindestens 15 % der freien Computer- und Arbeitsspeicherressourcen hat.Unabhängig davon, was auf dem Domänencontroller geschieht, gibt der Prozess kontinuierlich Ressourcen frei, um sicherzustellen, dass die Kernfunktionen des Domänencontrollers nicht betroffen sind.
Wenn dies dazu führt, dass das ATA Lightweight Gateway nicht mehr Ressourcen enthält, wird nur teilweiser Datenverkehr überwacht, und die Integritätswarnung "Verworfener Port-Spiegelungs-Netzwerkdatenverkehr" wird auf der Seite "Integrität" angezeigt.
Die folgende Tabelle enthält ein Beispiel für einen Domänencontroller mit ausreichend verfügbaren Computeressourcen, um ein größeres Kontingent zu verarbeiten, als zurzeit erforderlich ist, sodass der gesamte Datenverkehr überwacht wird:
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Sonstige (andere Prozesse) | ATA Lightweight Gateway-Kontingent | Gateway fällt ab |
|---|---|---|---|---|
| 30 % | 20 %% | 10 % | 45 % | Nein |
Wenn Active Directory mehr Rechenleistung benötigt, wird das vom ATA Lightweight Gateway benötigte Kontingent reduziert. Im folgenden Beispiel benötigt das ATA Lightweight-Gateway mehr als das zugewiesene Kontingent und legt einen Teil des Datenverkehrs ab (nur teilweisen Datenverkehr überwachen):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Sonstige (andere Prozesse) | ATA Lightweight Gateway-Kontingent | Fällt das Gateway ab |
|---|---|---|---|---|
| 60 % | 15 % | 10 % | 15 % | Ja |
Ihre Netzwerkkomponenten
Um mit ATA zu arbeiten, stellen Sie sicher, dass die folgenden Komponenten eingerichtet sind.
Portspiegelung
Wenn Sie ATA-Gateways verwenden, müssen Sie Portspiegelung für die Domänencontroller einrichten, die überwacht werden, und das ATA-Gateway als Ziel mithilfe der physischen oder virtuellen Switches festlegen. Eine weitere Möglichkeit besteht darin, Netzwerk-TAPs zu verwenden. ATA funktioniert, wenn einige, aber nicht alle Ihre Domänencontroller überwacht werden, aber Erkennungen sind weniger effektiv.
Während Portspiegelung den gesamten Netzwerkdatenverkehr vom Domänencontroller zum ATA-Gateway spiegelt, wird nur ein kleiner Prozentsatz dieses Datenverkehrs komprimiert zur Analyse an das ATA Center gesendet.
Ihre Domänencontroller und ATA-Gateways können physisch oder virtuell sein, siehe Konfigurieren von Portspiegelung für weitere Informationen.
Ereignisse
Um die ATA-Erkennung von Pass-the-Hash, Brute Force, Änderung vertraulicher Gruppen und Honeytoken zu verbessern, benötigt ATA die folgenden Windows-Ereignisse: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Diese können entweder automatisch vom ATA Lightweight Gateway gelesen werden oder wenn das ATA Lightweight Gateway nicht bereitgestellt wird, kann es auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, indem das ATA-Gateway so konfiguriert wird, dass er auf SIEM-Ereignisse lauscht, oder durch Konfigurieren der Windows-Ereignisweiterleitung.
Konfigurieren des ATA-Gateways zum Überwachen von SIEM-Ereignissen
Konfigurieren Sie Ihr SIEM, um bestimmte Windows-Ereignisse an ATA weiterzuleiten. ATA unterstützt eine Reihe von SIEM-Anbietern. Weitere Informationen finden Sie unter Konfigurieren der Eventsammlung.Konfigurieren der Windows-Ereignisweiterleitung
Eine weitere Möglichkeit zum Abrufen Ihrer Ereignisse ist die Konfiguration Ihrer Domänencontroller zum Weiterleiten von Windows-Ereignissen 4776, 4732, 4733, 4728, 4729, 4756 und 4757 an Ihr ATA-Gateway. Dies ist besonders hilfreich, wenn Sie kein SIEM haben oder wenn Ihr SIEM derzeit nicht von ATA unterstützt wird. Informationen zum Abschließen der Konfiguration der Windows-Ereignisweiterleitung in ATA finden Sie unter Konfigurieren der Windows-Ereignisweiterleitung. Dies gilt nur für physische ATA-Gateways – nicht für das ATA Lightweight Gateway.