Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
L'architettura Advanced Threat Analytics è descritta in dettaglio in questo diagramma:
ATA monitora il traffico di rete del tuo controller di dominio utilizzando la replicazione di porta verso un gateway ATA tramite commutatori fisici o virtuali. Se si distribuisce il gateway ATA Lightweight direttamente nei controller di dominio, viene rimosso il requisito per il mirroring delle porte. ATA può inoltre sfruttare gli eventi Windows (inoltrati direttamente dai controller di dominio o da un server SIEM) e analizzare i dati per attacchi e minacce. Questa sezione descrive il flusso di acquisizione di rete ed eventi ed esegue il drill-down per descrivere le funzionalità dei componenti principali di ATA: il gateway ATA, il gateway ATA Lightweight (che ha la stessa funzionalità di base del gateway ATA) e il Centro ATA.
Componenti ATA
ATA è costituito dai componenti seguenti:
-
ATA Center
ATA Center riceve i dati da tutti i gateway ATA e/o i gateway ATA Lightweight distribuiti. -
ATA Gateway
Il gateway ATA viene installato in un server dedicato che monitora il traffico dai controller di dominio usando il mirroring delle porte o un TAP di rete. -
ATA Lightweight Gateway
Il gateway ATA Lightweight viene installato direttamente nei controller di dominio e monitora il traffico direttamente, senza la necessità di un server dedicato o di una configurazione del mirroring delle porte. È un'alternativa al gateway ATA.
Una distribuzione ATA può essere costituita da un singolo centro ATA connesso a tutti i gateway ATA, a tutti i gateway ATA Lightweight o a una combinazione di gateway ATA e gateway ATA Lightweight.
Opzioni di distribuzione
È possibile distribuire ATA usando la combinazione di gateway seguente:
-
Uso solo di gateway ATA
La distribuzione di ATA può contenere solo ATA Gateways, senza nessun ATA Lightweight Gateways: tutti i controller di dominio devono essere configurati per abilitare il mirroring delle porte in un ATA Gateway o i TAP di rete devono essere presenti. -
Utilizzando solo i gateway leggeri ATA
La distribuzione di ATA può contenere solo gateway ATA Lightweight: i gateway ATA Lightweight vengono distribuiti in ogni controller di dominio e non è necessaria alcuna configurazione di mirroring delle porte o server aggiuntivi. -
Uso di Gateway ATA e Gateway ATA Lightweight
La distribuzione di ATA include sia i Gateway ATA che i Gateway Lightweight ATA. I gateway ATA Lightweight vengono installati in alcuni controller di dominio, ad esempio tutti i controller di dominio nei siti di succursale. Allo stesso tempo, altri controller di dominio vengono monitorati dai gateway ATA , ad esempio i controller di dominio più grandi nei data center principali.
In tutti questi scenari, tutti i gateway inviano i dati al Centro ATA.
ATA Center
AtA Center esegue le funzioni seguenti:
Gestisce le impostazioni di configurazione del gateway ATA e del gateway ATA Lightweight
Riceve i dati dai gateway ATA e dai gateway ATA Lightweight
Rileva attività sospette
Esegue algoritmi di Machine Learning comportamentali ATA per rilevare un comportamento anomalo
Esegue vari algoritmi deterministici per rilevare attacchi avanzati basati sulla kill chain di attacco
Avvia la console ATA
Facoltativo: ATA Center può essere configurato per inviare messaggi di posta elettronica ed eventi quando viene rilevata un'attività sospetta.
ATA Center riceve il traffico analizzato dal gateway ATA e dal gateway ATA Lightweight. Esegue quindi la profilatura, esegue il rilevamento deterministico ed esegue algoritmi di Machine Learning e comportamentali per ottenere informazioni sulla rete, abilitare il rilevamento delle anomalie e avvisare l'utente di attività sospette.
| Tipo | Descrizione |
|---|---|
| Ricevitore di entità | Riceve lotti di entità da tutti i gateway ATA e i gateway ATA Lightweight. |
| Il processore delle attività di rete | Elabora tutte le attività di rete all'interno di ogni batch ricevuto. Ad esempio, la corrispondenza tra i vari passaggi Kerberos eseguiti da computer potenzialmente diversi |
| Profiler di entità | Profila tutte le entità univoche in base al traffico e agli eventi. Ad esempio, ATA aggiorna l'elenco dei computer connessi per ogni profilo utente. |
| Centro Database | Gestisce il processo di scrittura delle attività di rete e degli eventi nel database. |
| Banca dati | ATA usa MongoDB ai fini dell'archiviazione di tutti i dati nel sistema: - Attività di rete - Attività degli eventi - Entità univoche - Attività sospette - Configurazione di ATA |
| Rivelatori | I rilevatori usano algoritmi di Machine Learning e regole deterministiche per individuare attività sospette e comportamenti anomali degli utenti nella rete. |
| ATA Console | La console ATA consente di configurare ATA e monitorare le attività sospette rilevate da ATA nella rete. La console ATA non dipende dal servizio ATA Center e viene eseguita anche quando il servizio viene arrestato, purché possa comunicare con il database. |
Quando si decide il numero di centri ATA da distribuire nella rete, prendere in considerazione i criteri seguenti:
Un centro ATA può monitorare una singola foresta Active Directory. Se sono presenti più foreste Active Directory, è necessario almeno un centro ATA per ogni foresta Active Directory.
Nelle distribuzioni di Active Directory di grandi dimensioni, un singolo CENTRO ATA potrebbe non essere in grado di gestire tutto il traffico di tutti i controller di dominio. In questo caso, sono necessari più centri ATA. Il numero di centri ATA deve essere determinato dalla pianificazione della capacità di ATA.
Gateway ATA e Gateway ATA Lightweight
Funzionalità di base del gateway
Il gateway ATA e il gateway ATA Lightweight hanno entrambe le stesse funzionalità di base:
Acquisire ed esaminare il traffico di rete del controller di dominio. Si tratta del traffico di port mirroring per gli ATA Gateway e del traffico locale del controller di dominio nei Gateway ATA Lightweight.
Ricevere gli eventi di Windows dai server SIEM o Syslog, o dai controller di dominio, usando l'inoltro eventi di Windows
recuperare dati relativi a utenti e computer da Active Directory Domain
eseguire la risoluzione delle entità di rete (utenti, gruppi e computer)
Trasferire i dati pertinenti al Centro ATA
Monitorare più controller di dominio da un singolo gateway ATA o monitorare un singolo controller di dominio per un gateway ATA Lightweight.
Il gateway ATA riceve il traffico di rete e gli eventi Windows dalla rete e lo elabora nei componenti principali seguenti:
| Tipo | Descrizione |
|---|---|
| Listener di rete | Il listener di rete acquisisce il traffico di rete e analizza il traffico. Si tratta di un'attività con utilizzo elevato della CPU, quindi è particolarmente importante controllare i prerequisiti ATA durante la pianificazione del gateway ATA o del gateway ATA Lightweight. |
| Ascoltatore di eventi | Il listener di eventi acquisisce e interpreta gli eventi di Windows inoltrati dal server SIEM nella tua rete. |
| lettore registro eventi Windows | Il lettore del registro eventi di Windows legge e analizza gli eventi di Windows inoltrati dal registro eventi Windows al gateway ATA dai controller di dominio. |
| Traduttore dell'Attività di Rete | Converte il traffico analizzato in una rappresentazione logica del traffico usato da ATA (NetworkActivity). |
| Sistema di risoluzione delle entità | Il sistema di risoluzione delle entità accetta i dati analizzati (traffico di rete ed eventi) e lo risolve con Active Directory per trovare informazioni sull'account e sull'identità. Viene quindi confrontato con gli indirizzi IP trovati nei dati analizzati. Il sistema di risoluzione delle entità esamina le intestazioni dei pacchetti in modo efficiente, per consentire l'analisi dei pacchetti di autenticazione per nomi, proprietà e identità dei computer. Il resolver di entità combina i pacchetti di autenticazione analizzati con i dati nel pacchetto effettivo. |
| Entità mittente | Il mittente dell'entità invia i dati analizzati e corrispondenti al Centro ATA. |
Funzionalità del gateway ATA Lightweight
Le funzionalità seguenti funzionano in modo diverso a seconda che si esegua un gateway ATA o un gateway ATA Lightweight.
Il gateway ATA Lightweight può leggere gli eventi in locale, senza la necessità di configurare l'inoltro degli eventi.
Candidato per la sincronizzazione del dominio
Il gateway di sincronizzazione del dominio è responsabile della sincronizzazione proattiva di tutte le entità da un dominio specifico Active Directory (simile al meccanismo usato dai controller di dominio stessi per la replica). Un gateway viene scelto in modo casuale, dall'elenco dei candidati, da usare come programma di sincronizzazione del dominio.
Se il programma di sincronizzazione è offline per più di 30 minuti, viene scelto un altro candidato. Se non è disponibile alcun candidato per il programma di sincronizzazione di dominio per un dominio specifico, ATA sincronizza in modo proattivo le entità e le relative modifiche, tuttavia ATA recupererà in modo reattivo le nuove entità man mano che vengono rilevate nel traffico monitorato.Quando non è disponibile alcun programma di sincronizzazione di dominio, la ricerca di un'entità senza traffico correlato non visualizza alcun risultato.
Per impostazione predefinita, tutti i gateway ATA sono candidati per la sincronizzazione del dominio.
Poiché è più probabile che tutti i gateway ATA Lightweight vengano distribuiti nei siti di succursali e in controller di dominio di piccole dimensioni, non sono candidati per la sincronizzazione per impostazione predefinita.
In un ambiente con solo gateway lightweight, è consigliabile assegnare due dei gateway come candidati per la sincronizzazione, dove un gateway Lightweight è il candidato per la sincronizzazione predefinito e uno è il backup nel caso in cui il valore predefinito sia offline per più di 30 minuti.
Limiti delle risorse
Il gateway ATA Lightweight include un componente di monitoraggio che valuta la capacità di calcolo e memoria disponibile nel controller di dominio in cui è in esecuzione. Il processo di monitoraggio viene eseguito ogni 10 secondi e aggiorna dinamicamente la quota di utilizzo della CPU e della memoria nel processo del gateway ATA Lightweight per assicurarsi che in un determinato momento, il controller di dominio abbia almeno 15% di risorse di calcolo e memoria gratuite.Indipendentemente da ciò che accade nel controller di dominio, questo processo libera sempre le risorse per assicurarsi che la funzionalità principale del controller di dominio non sia interessata.
Se in questo modo il gateway ATA Lightweight esaurisce le risorse, viene monitorato solo il traffico parziale e viene visualizzato l'avviso di integrità "Traffico di rete con mirroring delle porte rimosse" nella pagina Integrità.
La tabella seguente fornisce un esempio di un controller di dominio che dispone di risorse di calcolo sufficienti per garantire una quota maggiore rispetto a quella attualmente necessaria, in modo che tutto il traffico possa essere monitorato.
| Active Directory (Lsass.exe) | ATA Lightweight Gateway (Microsoft.Tri.Gateway.exe) | Varie (altri processi) | Quota del Gateway Leggero ATA | Eliminazione del gateway |
|---|---|---|---|---|
| 30% | 20% | 10% | 45% | No |
Se Active Directory richiede più calcolo, la quota necessaria per il gateway ATA Lightweight viene ridotta. Nell'esempio seguente il gateway ATA Lightweight richiede più della quota allocata e elimina parte del traffico (monitoraggio solo del traffico parziale):
| Active Directory (Lsass.exe) | Gateway Leggero ATA (Microsoft.Tri.Gateway.exe) | Varie (altri processi) | Quota della Gateway Leggera ATA | Il gateway sta cadendo |
|---|---|---|---|---|
| 60% | 15% | 10% | 15% | Sì |
Componenti di rete
Per usare ATA, assicurarsi di verificare che siano configurati i componenti seguenti.
Mirroring delle porte
Se si usano gateway ATA, è necessario configurare il mirroring delle porte per i controller di dominio monitorati e impostare il gateway ATA come destinazione usando i commutatori fisici o virtuali. Un'altra opzione consiste nell'usare TAP di rete. ATA funziona se alcuni ma non tutti i controller di dominio vengono monitorati, ma i rilevamenti sono meno efficaci.
Mentre il mirroring delle porte esegue il mirroring di tutto il traffico di rete del controller di dominio verso il gateway ATA, solo una piccola percentuale del traffico viene quindi inviata, compressa, al centro ATA per l'analisi.
I controller di dominio e i gateway ATA possono essere fisici o virtuali, vedere Configurare il mirroring delle porte per altre informazioni.
Events
Per migliorare il rilevamento da parte di ATA di Pass-the-Hash, forza bruta, la modifica dei gruppi sensibili e degli honey token, ATA ha bisogno dei seguenti eventi di Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757. Questi possono essere letti automaticamente dal gateway ATA Lightweight o nel caso in cui il gateway ATA Lightweight non sia distribuito, può essere inoltrato al gateway ATA in uno dei due modi, configurando il gateway ATA per l'ascolto degli eventi SIEM o Configuring Windows Event Forwarding.
Configurazione del gateway ATA per l'ascolto degli eventi SIEM
Configurare il sistema SIEM per inoltrare eventi di Windows specifici ad ATA. ATA supporta diversi fornitori SIEM. Per altre informazioni, vedere Configurare la raccolta di eventi.Configurazione dell'inoltro di eventi Windows
Un altro modo in cui ATA può ottenere gli eventi consiste nel configurare i controller di dominio per inoltrare Windows eventi 4776, 4732, 4733, 4728, 4729, 4756 e 4757 al gateway ATA. Ciò è particolarmente utile se non si dispone di una soluzione SIEM o se il siem non è attualmente supportato da ATA. Per completare la configurazione dell'inoltro di eventi Windows in ATA, vedere Configuring Windows event forwarding. Questo vale solo per i gateway ATA fisici, non per il gateway ATA Lightweight.