ATA چیست و معماری آن چگونه است – قسمت اول

ATA چیست؟ مخفف Advanced Treat analytics است.  در نمودار زیر جزئیات تجزیه‌ و تحلیل پیشرفته تهدیدات یا ATA را مشاهده می‌کنید.

ATA با استفاده از Port Mirroring یک ATA Gateway بوسیله سوئیچ‌های فیزیکی یا مجازی، ترافیک شبکه‌های Domain Controller را مانیتور می‌کند. اگر ATA Lightweight Gateway به‌طور مستقیم در کنترلرهای دامین پیاده‌سازی شود، نیاز‌ به Port Mirroring را رفع می‌نماید. علاوه بر آن Advanced Threat Analytics می‌تواند از رویدادهای ویندوز بدست آمده از خود دامین کنترولر یا سامانه SIEM استفاده کند و داده‌ها را برای تهدیدات و حملات تحلیل کند. در این بخش جریان شبکه و Capture کردن رخدادها و بطور جزئی‌تر، کارکرد اجزای اصلی Advanced Threat Analytics شرح داده می‌شود؛ این اجزا شامل ATA Gateway، ATA Lightweight Gateway که کارکرد اصلی یکسانی با ATA Gateway دارد و ATA Center می‌شوند.

اجزای Advanced Threat Analytics یا ATA

ATA از قسمت‌های زیر تشکیل شده است:

• Advanced Threat Analytics Center

این بخش داده‌ها را از هر نوع از ATA Gatewayها یا ATA Lightweight Gatewayها که پیاده‌سازی شده‌اند دریافت می‌کند.

• ATA Gateway

ATA Gateway در یک سرور اختصاصی نصب می‌گردد که ترافیک منتقل شده از کنترلرهای دامین با استفاده از Port Mirroring یا Network TAP در آن مانیتور می‌شوند.

• ATA Lightweight Gateway

این قسمت بطور مستقیم در کنترلرهای دامین نصب شده و ترافیک را بدون نیاز به سرور اختصاصی یا پیکربندی Port Mirroring کنترل می‌کند و در واقع یک جایگزین برای ATA Gateway است.

پیاده‌سازی Advanced Threat Analytics می‌تواند متشکل از یک ATA Center واحد باشد که به تمامی ATA Gatewayها، ATA Lightweight Gatewayها و یا ترکیبی از این دو متصل است.

گزینه‌های پیاده‌سازی Advanced Threat Analytics

می‌توان با ترکیب‌های مختلفی از Gatewayها ATA را پیاده‌سازی کرد:

• فقط استفاده از ATA Gatewayها

پیاده‌سازی ATA می‌تواند فقط شامل  ATA Gatewayها باشد و هیچ یک از ATA Lightweight Gatewayها را شامل نگردد: تمامی کنترلرهای دامین باید پیکربندی شوند تا Port Mirroring به یک ATA Gateway را فعال کنند یا اینکه باید از Network TAPها برای انتقال ترافیک استفاده شود.

• فقط استفاده از Lightweight Gatewayها

پیاده‌سازی Advanced Threat Analytics می‌تواند تنها شامل ATA Lightweight Gatewayها باشد: ATA Lightweight Gatewayها در هریک از کنترلرهای دامین پیاده‌سازی می‌شوند و نیاز به هیچ سرور اضافه و یا پیکربندی Port Mirroring نیست.

• استفاده از Lightweight Gatewayها و ATA Gatewayها

در این گزینه، پیاده‌ سازی ATA شامل هردو نوع Gateway می‌شود. ATA Lightweight Gatewayها در برخی از کنترلرهای دامین، مثلا ‌آنهایی که در سایت‌های شعبه موجود هستند، نصب شده و بطور همزمان سایر کنترلر‌های دامین‌ توسط ATA Gateway مانیتور می‌شوند، مثلا کنترلرهای دامین بزرگتر در دیتاسنتر اصلی.

در تمامی این سناریوها، تمامی Gatewayها داده‌های خود را به ATA Center ارسال می‌کنند.

ATA Center

ATA Center کارکردهای زیر را دارا است:

• مدیریت تنظیمات پیکربندی ATA Gateway و ATA Lightweight Gateway
• دریافت داده‌ها از ATA Gateway و ATA Lightweight Gateway
• ردیابی فعالیت‌های مشکوک
• اجرای الگوریتم‌های یادگیری ماشینی رفتاری ATA به منظور تشخیص رفتارهای غیرعادی
• اجرای الگوریتم‌های قطعی (Deterministic) گوناگون برای تشخیص حملات پیشرفته براساس زنجیره حملات
• اجرای کنسول Advanced Threat Analytics
• اختیاری: می‌توان ATA Center را پیکربندی کرد تا در صورت تشخیص یک فعالیت مشکوک، ایمیل و رخداد ارسال کند.

ATA Center ترافیک تجزیه شده را از ATA Gateway و ATA Lightweight Gateway دریافت می‌کند. سپس پروفایل‌بندی انجام می‌دهد، ردیابی‌های قطعی را انجام می‌دهد و الگوریتم‌های رفتاری و یادگیری ماشینی را اجرا می‌نماید تا در مورد شبکه اطلاعات کسب گردد، شناسایی موارد غیرعادی ممکن شود و موارد مشکوک را گزارش دهد.

شاخص‌های زیر را درخصوص اینکه چند ATA Center باید در شبکه پیاده‌سازی شوند، می‌توان بررسی کرد:

• یک ATA Center تنها می‌تواند یک Active Directory Forest واحد را مانیتور کند. اگر بیشتر از یک Active Directory Forest موجود باشد، به حداقل یک ATA Center به ازای Active Directory Forest نیاز است.

در پیاده‌سازی‌های گسترده‌ی Active Directory، یک ATA Center تنها شاید قادر نباشد به ترافیک تمامی کنترلرهای دامین رسیدگی کند. در این شرایط، ATA Centerهای چندگانه مورد نیاز است. تعداد ATA Centerها باید از طریق برنامه‌ریزی ظرفیت Advanced Threat Analytics تعیین شود.

مقاله های مرتبط: