Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
Die Advanced Threat Analytics Architektur ist in diesem Diagramm detailliert dargestellt:
ATA überwacht den Domänencontroller-Netzwerkdatenverkehr, indem es Portspiegelung zu einem ATA-Gateway durch Verwendung von physischen oder virtuellen Switches nutzt. Wenn Sie das ATA Lightweight Gateway direkt auf Ihren Domänencontrollern bereitstellen, wird die Anforderung für die Portspiegelung entfernt. Darüber hinaus kann ATA die Windows-Ereignisse nutzen (direkt von Ihren Domänencontrollern oder von einem SIEM-Server weitergeleitet) und die Daten auf Angriffe und Bedrohungen analysieren. In diesem Abschnitt wird der Fluss der Netzwerk- und Ereigniserfassung beschrieben, und es wird ein Drilldown durchgeführt, um die Funktionalität der Hauptkomponenten von ATA zu beschreiben: das ATA-Gateway, das ATA Lightweight Gateway (das die gleiche Kernfunktionalität wie das ATA-Gateway hat) und das ATA Center.
ATA-Komponenten
ATA besteht aus den folgenden Komponenten:
-
ATA Center
Das ATA Center empfängt Daten von allen ATA-Gateways und/oder ATA Lightweight Gateways, die Sie bereitstellen. -
ATA-Gateway
Das ATA-Gateway wird auf einem dedizierten Server installiert, der den Datenverkehr von Ihren Domänencontrollern mithilfe der Portspiegelung oder eines Netzwerk-TAP überwacht. -
ATA Lightweight Gateway
Das ATA Lightweight Gateway wird direkt auf Ihren Domänencontrollern installiert und überwacht den Datenverkehr direkt, ohne dass ein dedizierter Server oder eine Konfiguration der Portspiegelung erforderlich ist. Es ist eine Alternative zum ATA-Gateway.
Eine ATA-Bereitstellung kann aus einem einzelnen ATA Center bestehen, das mit allen ATA-Gateways, allen ATA Lightweight Gateways oder einer Kombination aus ATA-Gateways und ATA Lightweight Gateways verbunden ist.
Bereitstellungsoptionen
Sie können ATA mithilfe der folgenden Kombination von Gateways bereitstellen:
-
Nur ATA-Gateways verwenden
Ihre ATA-Bereitstellung kann nur ATA-Gateways ohne ATA Lightweight Gateways enthalten: Alle Domänencontroller müssen so konfiguriert werden, dass die Portspiegelung zu einem ATA-Gateway oder Netzwerk-TAPs aktiviert ist. -
Nur ATA Lightweight Gateways verwenden
Ihre ATA-Bereitstellung kann nur ATA Lightweight Gateways enthalten: Die ATA Lightweight Gateways werden auf jedem Domänencontroller bereitgestellt, und es sind keine zusätzlichen Server oder Portspiegelungskonfigurationen erforderlich. -
Verwenden von ATA-Gateways und ATA Lightweight Gateways
Ihre ATA-Bereitstellung umfasst sowohl ATA-Gateways als auch ATA Lightweight Gateways. Die ATA Lightweight Gateways werden auf einigen Ihrer Domänencontroller installiert (z. B. alle Domänencontroller in Ihren Zweigstellenstandorten). Gleichzeitig werden andere Domänencontroller von ATA-Gateways überwacht (z. B. die größeren Domänencontroller in Ihren Hauptdatenzentren).
In all diesen Szenarien senden alle Gateways ihre Daten an das ATA Center.
ATA Center
Das ATA Center führt die folgenden Funktionen aus:
Verwaltet ATA-Gateway- und ATA Lightweight Gateway-Konfigurationseinstellungen
Empfängt Daten von ATA-Gateways und ATA Lightweight Gateways
Erkennt verdächtige Aktivitäten
Führt ATA-Algorithmen für maschinelles Lernen aus, um ungewöhnliches Verhalten zu erkennen
Führt verschiedene deterministische Algorithmen aus, um erweiterte Angriffe basierend auf der Angriffs-Killchain zu erkennen.
Führt die ATA-Konsole aus
Optional: Das ATA Center kann so konfiguriert werden, dass E-Mails und Ereignisse gesendet werden, wenn eine verdächtige Aktivität erkannt wird.
Das ATA Center empfängt analysierten Datenverkehr vom ATA-Gateway und ATA Lightweight Gateway. Anschließend führt es Profilerstellung durch, führt deterministische Erkennung durch und führt Machine Learning- und Verhaltensalgorithmen aus, um mehr über Ihr Netzwerk zu erfahren, die Erkennung von Anomalien zu ermöglichen und Sie vor verdächtigen Aktivitäten zu warnen.
| Typ | Beschreibung |
|---|---|
| Entitätsempfänger | Empfängt Batches von Entitäten von allen ATA-Gateways und ATA Lightweight Gateways. |
| Netzwerkaktivitätsprozessor | Verarbeitet alle Netzwerkaktivitäten innerhalb jedes empfangenen Batches. Beispiel: Abgleich zwischen den verschiedenen Kerberos-Schritten, die von potenziell unterschiedlichen Computern ausgeführt werden |
| Entity Profiler | Erstellen Sie Profile von allen einzigartigen Einheiten gemäß dem Verkehr und den Ereignissen. AtA aktualisiert beispielsweise die Liste der angemeldeten Computer für jedes Benutzerprofil. |
| Center-Datenbank | Verwaltet den Schreibvorgang der Netzwerkaktivitäten und Ereignisse in die Datenbank. |
| Datenbank | ATA nutzt MongoDB zum Speichern aller Daten im System: - Netzwerkaktivitäten - Ereignisaktivitäten - Eindeutige Entitäten - Verdächtige Aktivitäten - ATA-Konfiguration |
| Detektoren | Die Detektoren verwenden Machine Learning-Algorithmen und deterministische Regeln, um verdächtige Aktivitäten und ungewöhnliches Benutzerverhalten in Ihrem Netzwerk zu finden. |
| ATA-Konsole | Die ATA-Konsole dient zum Konfigurieren von ATA und zur Überwachung verdächtiger Aktivitäten, die von ATA in Ihrem Netzwerk erkannt wurden. Die ATA-Konsole ist nicht vom ATA Center-Dienst abhängig und wird auch dann ausgeführt, wenn der Dienst beendet wird, solange er mit der Datenbank kommunizieren kann. |
Berücksichtigen Sie die folgenden Kriterien, wenn Sie entscheiden, wie viele ATA Center in Ihrem Netzwerk bereitgestellt werden sollen:
Ein ATA Center kann eine einzelne Active Directory Gesamtstruktur überwachen. Wenn Sie über mehrere Active Directory Gesamtstrukturen verfügen, benötigen Sie mindestens ein ATA Center pro Active Directory Gesamtstruktur.
In großen Active Directory Bereitstellungen kann ein einzelnes ATA Center möglicherweise nicht den gesamten Datenverkehr aller Domänencontroller verarbeiten. In diesem Fall sind mehrere ATA-Zentren erforderlich. Die Anzahl der ATA-Zentren sollte von der ATA-Kapazitätsplanung bestimmt werden.
ATA-Gateway und ATA Lightweight Gateway
Gatewaykernfunktionalität
Das ATA-Gateway und das ATA Lightweight Gateway verfügen beide über die gleichen Kernfunktionen:
Erfassen und prüfen Sie den Domänencontroller-Netzwerkdatenverkehr. Dies ist portgespiegelter Datenverkehr für ATA-Gateways und den lokalen Datenverkehr des Domänencontrollers in ATA Lightweight Gateways.
Empfangen Sie Windows-Ereignisse von SIEM- oder Syslog-Servern oder von Domänencontrollern mit Windows-Ereignisweiterleitung
Empfangen von Daten über Benutzer und Computer von der Active Directory-Domäne
Ausführen einer Auflösung von Netzwerkentitäten (Benutzer, Gruppen und Computer)
Übertragen relevanter Daten an das ATA Center
Überwachen Sie mehrere Domänencontroller von einem einzelnen ATA-Gateway oder überwachen Sie einen einzelnen Domänencontroller für ein ATA Lightweight Gateway.
Das ATA-Gateway empfängt Netzwerkdatenverkehr und Windows Ereignisse aus Ihrem Netzwerk und verarbeitet es in den folgenden Hauptkomponenten:
| Typ | Beschreibung |
|---|---|
| Netzwerklistener | Der Netzwerklistener erfasst Netzwerkdatenverkehr und analysiert den Datenverkehr. Dies ist eine CPU-schwere Aufgabe, daher ist es besonders wichtig, die ATA-Voraussetzungen bei der Planung Ihres ATA-Gateways oder des ATA Lightweight Gateways zu überprüfen. |
| Ereignislistener | Der Ereignislistener erfasst und analysiert Windows Ereignisse, die von einem SIEM-Server in Ihrem Netzwerk weitergeleitet werden. |
| Windows Ereignisprotokollleser | Der Windows Ereignisprotokollleser liest und analysiert Windows Ereignisse, die von den Domänencontrollern an das Windows Ereignisprotokoll des ATA-Gateways weitergeleitet werden. |
| Netzwerkaktivitätsübersetzer | Übersetzt die analysierten Verkehrsdaten in eine logische Darstellung des von ATA (NetworkActivity) verwendeten Datenverkehrs. |
| Entitätenauflöser | Der Entity Resolver verwendet die analysierten Daten (Netzwerkdatenverkehr und -ereignisse) und löst sie mit Active Directory auf, um Konto- und Identitätsinformationen zu finden. Sie wird dann mit den IN DEN analysierten Daten gefundenen IP-Adressen abgeglichen. Der Entity Resolver prüft die Paketheader effizient, um die Analyse von Authentifizierungspaketen für Computernamen, Eigenschaften und Identitäten zu ermöglichen. Der Entity Resolver kombiniert die analysierten Authentifizierungspakete mit den Daten im tatsächlichen Paket. |
| Entitätssender | Der Entitätssender sendet die analysierten und übereinstimmenden Daten an das ATA Center. |
Funktionen des ATA-Leichtgewicht-Gateways
Die folgenden Features funktionieren je nachdem, ob Sie ein ATA-Gateway oder ein ATA Lightweight Gateway ausführen.
Das ATA Lightweight Gateway kann Ereignisse lokal lesen, ohne die Ereignisweiterleitung konfigurieren zu müssen.
Domänensynchronisierungskandidat
Das Domänensynchronisierungsgateway ist für die Synchronisierung aller Entitäten aus einer bestimmten Active Directory Domäne verantwortlich (ähnlich dem Mechanismus, der von den Domänencontrollern selbst für die Replikation verwendet wird). Ein Gateway wird zufällig aus der Liste der Kandidaten ausgewählt, um als Domänen-Synchronizer zu dienen.
Wenn der Synchronizer länger als 30 Minuten offline ist, wird stattdessen ein anderer Kandidat ausgewählt. Wenn kein Domänensynchronisierungskandidat für eine bestimmte Domäne verfügbar ist, synchronisiert ATA proaktiv Entitäten und deren Änderungen, ata ruft jedoch reaktiv neue Entitäten ab, da sie im überwachten Datenverkehr erkannt werden.Wenn kein Domänen-Synchronizer verfügbar ist, werden beim Suchen nach einer Entität ohne Datenverkehr im Zusammenhang mit ihr keine Ergebnisse angezeigt.
Standardmäßig sind alle ATA-Gateways Domänensynchronisierungskandidaten.
Da alle ATA Lightweight Gateways wahrscheinlicher in Zweigstellen und auf kleinen Domänencontrollern bereitgestellt werden, sind sie standardmäßig nicht Synchronizerkandidaten.
In einer Umgebung mit nur Lightweight Gateways wird empfohlen, zwei der Gateways als Synchronizerkandidaten zuzuweisen, wobei ein Lightweight Gateway der Standard-Synchronizerkandidat ist und eines die Sicherung ist, falls die Standardeinstellung für mehr als 30 Minuten offline ist.
Ressourcenbeschränkungen
Das ATA Lightweight Gateway enthält eine Überwachungskomponente, die die verfügbare Compute- und Arbeitsspeicherkapazität auf dem Domänencontroller auswertet, auf dem sie ausgeführt wird. Der Überwachungsprozess wird alle 10 Sekunden ausgeführt und aktualisiert das CPU- und Speicherauslastungskontingent für den ATA Lightweight Gateway-Prozess dynamisch, um sicherzustellen, dass der Domänencontroller zu einem bestimmten Zeitpunkt mindestens 15% freier Compute- und Speicherressourcen hat.Unabhängig davon, was auf dem Domänencontroller geschieht, gibt dieser Prozess immer Ressourcen frei, um sicherzustellen, dass die Kernfunktionen des Domänencontrollers nicht betroffen sind.
Wenn dies dazu führt, dass das ATA Lightweight Gateway keine Ressourcen mehr hat, wird nur teilweiser Datenverkehr überwacht, und die Gesundheitswarnung "Gespeicherter Netzwerkdatenverkehr, der Port-Spiegelung nutzt" wird auf der Seite "Gesundheit" angezeigt.
Die folgende Tabelle zeigt ein Beispiel für einen Domänencontroller mit ausreichend verfügbarer Rechenressource, um ein größeres Kontingent zuzulassen als derzeit benötigt wird, sodass der gesamte Datenverkehr überwacht wird.
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Sonstige (andere Prozesse) | ATA Leichtgewicht-Gateway Kontingent | Ablegen des Gateways |
|---|---|---|---|---|
| 30 % | 20 % | 10 % | 45 % | No |
Wenn Active Directory mehr Berechnung benötigt, wird das vom ATA Lightweight Gateway benötigte Kontingent reduziert. Im folgenden Beispiel benötigt das ATA Lightweight Gateway mehr als das zugewiesene Kontingent und legt einen Teil des Datenverkehrs ab (nur teilweisen Datenverkehr überwachen):
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Sonstige (andere Prozesse) | ATA Lightweight Gateway-Kontingent | Wird das Gateway gelöscht |
|---|---|---|---|---|
| 60% | 15 % | 10 % | 15 % | Ja |
Ihre Netzwerkkomponenten
Um mit ATA zu arbeiten, stellen Sie sicher, dass die folgenden Komponenten eingerichtet sind.
Portspiegelung
Wenn Sie ATA-Gateways verwenden, müssen Sie die Portspiegelung für die Domänencontroller einrichten, die überwacht werden, und das ATA-Gateway als Ziel mithilfe der physischen oder virtuellen Switches festlegen. Eine weitere Möglichkeit besteht darin, Netzwerk-TAPs zu verwenden. ATA funktioniert, wenn einige, aber nicht alle Ihre Domänencontroller überwacht werden, wobei die Erkennungen weniger effektiv sind.
Während die Portspiegelung den gesamten Netzwerkverkehr des Domänencontrollers an das ATA-Gateway spiegelt, wird nur ein kleiner Prozentanteil dieses Datenverkehrs komprimiert an das ATA Center zur Analyse gesendet.
Ihre Domänencontroller und die ATA-Gateways können physisch oder virtuell sein. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung .
Ereignisse
Um die ATA-Erkennung für Pass-the-Hash, Brute Force, Änderungen an sensiblen Gruppen und Honigtoken zu verbessern, benötigt ATA die folgenden Windows Events: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Diese können entweder automatisch vom ATA Lightweight Gateway gelesen werden oder wenn das ATA Lightweight Gateway nicht bereitgestellt wird, kann es auf eine von zwei Arten an das ATA-Gateway weitergeleitet werden, indem das ATA-Gateway so konfiguriert wird, dass er auf SIEM-Ereignisse lauscht, oder durch Configuring Windows Event Forwarding.
Konfigurieren des ATA-Gateways zum Überwachen von SIEM-Ereignissen
Konfigurieren Sie Ihr SIEM so, dass bestimmte Windows Ereignisse an ATA weitergeleitet werden. ATA unterstützt eine Reihe von SIEM-Anbietern. Weitere Informationen finden Sie unter Konfigurieren der Ereignissammlung.Konfiguration der Windows-Ereignisweiterleitung
Eine andere Möglichkeit zum Abrufen Ihrer Ereignisse besteht darin, dass Ihre Domänencontroller Windows Ereignisse 4776, 4732, 4733, 4728, 4729, 4756 und 4757 an Ihr ATA-Gateway weiterleiten. Dies ist besonders hilfreich, wenn Sie kein SIEM haben oder wenn Ihr SIEM derzeit nicht von ATA unterstützt wird. Um Ihre Konfiguration der Windows-Ereignisweiterleitung in ATA abzuschließen, lesen Sie Konfigurieren der Windows-Ereignisweiterleitung. Dies gilt nur für physische ATA-Gateways – nicht für das ATA Lightweight Gateway.