Что представляет собой средство анализа угроз повышенной сложности Microsoft Advanced Threat Analytics?

Инструмент Microsoft Advanced Threat Analytics (ATA) достался Microsoft при покупке компании Aorato. Он предоставляет собой решение, которое может помочь защитить вашу компанию от наиболее сложных атак. ATA использует ряд методов для идентификации и выдачи предупреждений при атаках на вашу среду до того, как они смогут причинить значительный вред. Самая лучшая аналогия, которую я слышал, такова: компании, занимающиеся кредитными картами, контролируют ваши обычные траты и предупреждают, если появляется что-то неожиданное. Это именно то, что делает ATA для системы безопасности вашей организации. Ключевые методы обнаружения атак следующие.

  • Анализ поведения Behavioral Analytics — это изучение обычного поведения пользователей и устройств, с которыми они работают. Необычные явления будут отмечаться, например использование иных устройств, или работа в непривычное время, или работа в течение более длительного времени. Механизм Behavioral Analytics активируется через изучение систем и данных из службы каталогов. Удачный пример того, как это работает, — знаменитый случай Сноудена, когда он использовал свои учетные данные для получения доступа к огромному количеству данных, вместо доступа к обычным данным. Механизм задействует технологию углубленной проверки пакетов deep packet inspection (DPI) и эвристический алгоритм, основанный на тактике, методах и процедурах, применяемых взломщиками (Tactics, Techniques and Procedures, TTP).
  • Обнаружение известных вредоносных атак и проблем системы безопасности — известные атаки, такие как обход билета, обход хеша, физическое воздействие и т. д.

Когда инструмент ATA развернут, он начинает изучать поведение, а затем отмечать необычные события и выдавать предупреждения на веб-консоль, используя интерфейс в виде ленты сообщений, которая показывает подозрительные виды деятельности. Дополнительно, если требуется, ATA отсылает предупреждения по электронной почте. Продукт интегрируется с системами класса Security Information and Event Management (SIEM) посредством сбора данных и составления отчетов. ATA не устанавливается на контроллеры домена в среде. Вместо этого используется зеркалирование портов для отсылки трафика контроллеров домена на шлюз ATA, где он обрабатывается. Если вы используете виртуальные контроллеры домена, тогда можно задействовать зеркалирование портов. Если контроллеры домена физические, вам нужно использовать сетевое оборудование для зеркалирования трафика. Затем шлюз анализирует данные, взаимодействуя с контроллерами домена и системами SIEM, после чего передает данные на центральный сервер ATA Center, который выполняет глубокий анализ.

Отличное видео об АТА можно найти здесь: https://channel9.msdn.com/Events/Ignite/2015/BRK3870.

Основная страничка, посвященная АТА, находится по адресу: http://www.microsoft.com/en-us/server-cloud/products/advanced-threat-analytics/.

Загрузить компонент можно по ссылке: http://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics.

У меня есть контроллеры домена на нескольких серверах Hyper-V, и я хочу отсылать их трафик на сервер Microsoft Advanced Threat Analytics (ATA). Как мне это осуществить?

В среде Hyper-V вы можете это сделать путем настройки сетевого контроллера домена так, чтобы он был источником для зеркалирования порта (организуйте процесс через настройки виртуальной машины, сетевой адаптер, дополнительные свойства, зеркалирование портов), а затем настройте шлюз ATA Gateway так, чтобы он был местом назначения при зеркалировании портов.

Для нескольких контроллеров домена на нескольких хостах Hyper-V решением является развертывание ATA Gateway на каждом хосте Hyper-V, где есть контроллер домена, и настройка требуемой зависимости по зеркалированию портов. Таким путем весь трафик со всех контроллеров домена будет отсылаться на ATA для выполнения анализа.

Microsoft Advanced Threat Analytics необходимо получить доступ ко всему сетевому трафику контроллеров домена до того, как средство сможет выполнить глубокий анализ данных, отсылаемых контроллерами домена, и идентифицировать подозрительную активность. Когда шлюз ATA сможет отсылать копии всего трафика на контроллеры домена, потребуется убедиться, что ATA Center имеет полный доступ к шлюзам ATA на каждом хосте.

Может ли одиночное развертывание центра анализа угроз повышенной сложности Microsoft Advanced Threat Analytics Center поддерживать несколько лесов?

Нет. На данный момент ATA Center поддерживает одиночный лес. Вам потребуется отдельный экземпляр ATA Center для каждого леса, который вы хотите «мониторить». В будущем ситуация, вероятно, изменится. Кроме того, пока вы не можете связывать несколько экземпляров ATA Center.

Как мне развернуть Microsoft Advanced Threat Analytics?

Процесс развертывания очень прост и занимает примерно 15 минут. Обычно средство запускается как виртуальная машина и должно быть помещено на тот же самый хост Hyper-V в качестве контроллера домена (если используется Hyper-V), чтобы разрешить зеркалирование портов с контроллеров домена в экземпляр АТА. Зеркалирование позволяет экземпляру АТА видеть весь трафик контроллера домена и выполнять глубокий анализ пакетов без добавления каких-либо непроизводительных издержек для работающего DC. Для работы используются два сертификата. Один применяется для реальных коммуникаций центра АТА и может быть самозаверяющим сертификатом. Другой используется для активации соединения SSL с веб-сайтом управления АТА и тоже может быть самозаверяющим. Весьма вероятно, что вы захотите задействовать сертификат удостоверяющего центра своей организации: именно ему доверяют все системы в вашей сети.

АТА требует запуска на Windows Server 2012 R2, и система может быть членом домена или рабочей группы. Подробные требования можно найти в документе https://technet.microsoft.com/en-US/library/dn707709.aspx? f=255&MSPPError=-2147217396. В нем рассказывается о размере базы данных и аппаратном обеспечении, в зависимости от числа контроллеров домена и нагрузки от аутентификации.

Существует два компонента АТА:

  • центр Center;
  • шлюз Gateway.

Оба могут запускаться на одном и том же экземпляре операционной системы в тестовой среде (но этого следует избегать в производственной среде), следовательно, IP-адрес центра коммуникации Center Communication настроен на параметр 127.0.0.2 (который является IP-адресом обратной связи, как и любой другой адрес из диапазона 127.0.0.0/8, только не 127.0.0.1). В обычном развертывании вам нужно иметь как минимум два IP-адреса для АТА, что активирует дополнительные шлюзы для подсоединения к единому экземпляру Center. Но для тестового варианта или одиночных развертываний этот IP-адрес обратной связи подходит, хотя, если вы используете один IP, вам нужно изменить номер порта для Center Communication со значения 443 на другое, например на 444. Также в производственной среде диск базы данных должен быть отделен от диска с установкой, для того чтобы гарантировать необходимую производительность операций ввода-вывода. Существует только один экран для настройки параметров, где указываются размер выбранной базы данных, которая должна быть выбрана, и IP-адреса и сертификаты, которые должны быть выбраны. Установка будет завершена после введения пользователем информации (см. экран 1).

 

Установка АТА
Экран 1. Установка АТА

Когда установка будет завершена, в веб-браузере откройте страницу настройки по адресу https://savdalata01.savilltech.net/configuration. Если вдруг вы получите ошибку сертификата, то причина в том, что он по умолчанию использует IP-адрес. Чтобы решить эту проблему, просто измените URL так, чтобы он использовал имя сервера, которое соответствует вашему сертификату веб-сайта управления. Теперь необходимо завершить настройку. Пользователь, который установил АТА, сможет получить доступ к порталу управления, как и члены локальной группы администраторов и локальной группы администраторов аналитики угроз повышенной сложности Microsoft Advanced Threat Analytics Administrators на сервере ATA Center.

Первая задача — это настройка учетной записи, которую будут использовать экземпляры шлюза (которых еще нет) для коммуникации с Active Directory, чтобы собрать информацию. Необходимо создать выделенную учетную запись, чтобы АТА ее использовал. Важно, чтобы учетная запись была типа Domain User, никаких других прав не требуется.

Когда учетная запись домена будет сохранена, станет доступна кнопка загрузки Download Gateway Setup. Нажмите ее для того, чтобы загрузить программное обеспечение шлюза Gateway (см. экран 2). Основные настройки ATA Center теперь завершены. Gateway может быть установлен на экземпляр операционной системы центра управления или на экземпляры другой операционной системы. Загруженный файл программного обеспечения Gateway может использоваться на нескольких серверах шлюза. Загрузив программное обеспечение Gateway, откройте файл архива и скопируйте его содержимое в папку, доступную всем экземплярам операционной системы, которые будут серверами шлюзов. Запустите настройку Gateway и выполните базовую установку. Снова будет использоваться самозаверяющий сертификат наряду с указанием пользовательской учетной записи, которая должна иметь права локального администратора. Сертификат применяется для обоюдной аутентификации между АТА Center и АТА Gateway. Gateway также должен иметь два сетевых адаптера: один для захвата пакетов и один для управления, хотя это не является обязательным требованием. Желательно переименовать эти адаптеры в операционной системе так, чтобы они соответствовали цели.

 

Настройка учетной записи
Экран 2. Настройка учетной записи

После установки шлюза конечным этапом завершения его настройки будет добавление контроллеров домена, которые шлюз будет мониторить, и сетевого адаптера, который будет получать зеркально отраженные данные с контроллеров домена. Щелкните Save после введения данных (см. экран 3).

 

Настройка шлюза
Экран 3. Настройка шлюза

Теперь необходимо настроить порт зеркалирования так, чтобы шлюз получал необходимый трафик. В Hyper-V для исходной виртуальной машины (DC) это можно сделать в открытых настройках сетевого адаптера: откройте Advanced Features, затем в Port mirroring укажите как Mirroring mode режим Source. Для виртуальной машины АТА настройте режим зеркалирования Mirroring mode на Destination (см. экран 4).

 

Настройка зеркалирования портов
Экран 4. Настройка зеркалирования портов

Через несколько минут должны появиться данные, которые можно просмотреть, если щелкнуть по значку звонка Bell (уведомления) в правом верхнем углу веб-консоли.

Щелкнув на значке в ленте сообщений (второй значок слева на экране 5), вы увидите обзор сообщений, где будет показана подозрительная активность. Потратьте немного времени на просмотр различных параметров настройки, которые дают дополнительные возможности, включая отправку предупреждений по электронной почте. Более подробную информацию о развертывании можно найти по адресу: https://technet.microsoft.com/en-US/library/dn707704.aspx.

 

Работа с лентой сообщений
Экран 5. Работа с лентой сообщений