Ermanno Goletto
Roberto MassaMicrosoft Advanced Threath Analytics: Prerequisiti
Come abbiamo visto nell’articolo precedente ATA è strutturato in due componenti principali, in questo articolo verranno elencati i prerequisiti e le best practice per l’installazione corretta di tutte le componenti in relazione agli scenari di utilizzo. Un’ultima sezione è dedicata alla rilevazione del traffico tramite i performance counter del sistema operativo, questo valore risulta determinante al fine di dimensionare correttamente i Gateway all’interno dell’infrastruttura.
ATA Center Prerequisiti
È il componente server sul quale avviene l’interpretazione e la correlazione degli eventi e sul quale è disponibile la console di gestione, vediamo di seguito i prerequisiti per la sua installazione
ATA Center è supportato ad oggi in Windows 2012 R2,può essere indifferentemente installato su macchina in join al dominio oppure in workgroup ed in ambienti fisici o virtuali. Se installato in ambiente virtuale, (il database di ATA non è VSS-Aware) è necessario spegnere la VM prima di generare eventuali snapshot.
ATA utilizza come database MongoDB.
Per quanto riguarda Il sistema operativo è richiesto che venga disabilitata la compatibilità NUMA dal bios, ed è consigliabile il settaggio delle Power-Options a livello High.
Tutte le entità coinvolte, ATA Center, Gateway e Domain Controller monitorati, devono essere sincronizzati gli uni rispetto agli altri e con uno scarto non superiore a 5 minuti.
Normalmente il server è utile che disponga di due IP, uno per il management ed uno per le comunicazioni con i Gateway.
LA comunicazione tra ATA Center e Gateway avviene in SSL (porta 443) predefinita, ma può essere modificata a seconda delle esigenze.
Di seguito è riportato un elenco porte utilizzate e dei relativi servizi
| Servizio | Protocollo | Porta | destinazione | Direzione | Indirizzo |
| SSL (infrastruttura ATA) | TCP | 443 | ATA Gateway | Inbound | IP address 1 |
| HTTP | TCP | 80 | LAN Network | Inbound | IP address 2 |
| HTTPS | TCP | 443 | LAN Network / ATA Gateway | Inbound | IP address 2 |
| SMTP (opzionale) | TCP | 25 | SMTP Server | Outbound | IP address 2 |
| SMTPS (opzionale) | TCP | 465 | SMTP Server | Outbound | IP address 2 |
| Syslog (opzionale) | TCP | 514 | Syslog server |
ATA Center può utilizzare certificati di tipo Self-Signed, generati automaticamente in fase di installazione. Sarà comunque possibile sostituire i certificati in una fase successiva, in questo caso si potranno utilizzare certificati pubblici rilasciate da CA Trusted
ATA Gateway prerequisiti
È La componente di ATA che si occupa della rilevazione degli eventi e del loro invio al Center, il suo funzionamento è riconducibile a quello di “sensore”.
Così come ATA Center il Gateway può essere installato in sistemi 2012 R2 ed indifferentemente in macchine domain joined o in workgroup.
Sul sistema operativo deve essere installata la KB 2919255 che viene richiesta prima dell’installazione del software.
Valgono per questo oggetto le stesse considerazioni in termini di time source, impostazioni HW Bios viste in precedenza.
A differenza del Center il Gateway richiede due schede di rete, una per il Management ed una per le attività di analisi del traffico.
Impostazioni dell’adapter di management
- IP Statico
- Dichiarazione del/dei DNS server di riferimento
- Impostazione del DNS suffix per la connessione cui si riferisce l’adapter.
Impostazioni dell’adapter di rilevazione del traffico
- Deve essere il destinatario di un port monitor
- È consigliato dichiarare un IP statico non instradabile, p.es. 1.1.1.1/32 senza DNS e def. Gtw.
“In questo modo si esplicita in modo corretto l’adapter di management”
Nella tabella qui sotto sono riportati in dettaglio i vari servizi e relative porte e protocolli necessari
| SERVIZIO | Protocollo | Porta | Destinazione | direzione |
| LDAP | TCP/UDP | 389 | Domain controllers | Outbound |
| Secure LDAP (LDAPS) | TCP | 636 | Domain controllers | Outbound |
| LDAP Global Catalog | TCP | 3268 | Domain controllers | Outbound |
| LDAPS Global Catalog | TCP | 3269 | Domain controllers | Outbound |
| Kerberos | TCP/UDP | 88 | Domain controllers | Outbound |
| Netlogon | TCP/UDP | 445 | Domain controllers | Outbound |
| Windows Time | UDP | 123 | Domain controllers | Outbound |
| DNS | TCP/UDP | 53 | DNS Servers | Outbound |
| NTLM over RPC | TCP | 135 | Tutti I dispositivi monitorati | Outbound |
| NetBIOS | UDP | 137 | Tutti I dispositivi monitorati | Outbound |
| SSL | TCP | 443 (se default) | ATA Center IP Address IIS IP Address |
Outbound |
| Syslog (opzionale) | UDP | 514 | SIEM Server | Inbound |
Nota bene i vari device oggetto di rilevazione da parte del Gateway devono consentire in ingresso il traffico per i protocolli NTLM over RPC e NetBIOS da parte del Gateway stesso.
ATA Lightweight Gateway
Come già detto nell’articolo precedente questa è la vera novità della versione 1.6 ossia la possibilità di installare un’agent, su un DC senza dover utilizzare un port monitor.
Il Lightweight agent può essere installato su DC dalla versione 2008 R2 in poi (ad oggi non è ancora dichiarato il supporto per W2016 server).
Richiede un minimo di 2 Core e 6 Gb di Ram sul DC e valgono le considerazioni espresse sopra per Center e Gateway.
Una volta installato utilizza la NIC del Domain controller per l’analisi del traffico ed è possibile tramite la console di ATA modificare la scheda su cui è in “ascolto”
Nella tabella qui sotto sono riportati in dettaglio i vari servizi e relative porte e protocolli necessari
| servizio | protocollo | Porta | destinazione | direzione |
| DNS | TCP and UDP | 53 | DNS Servers | Outbound |
| NTLM over RPC | TCP | 135 | Tutti I dispositivi monitorati | Outbound |
| NetBIOS | UDP | 137 | Tutti I dispositivi monitorati | Outbound |
| SSL | TCP | 443 (se default) | ATA Center: ATA Center IP Address IIS IP Address |
Outbound |
| Syslog (opzionale) | UDP | 514 | SIEM Server | Inbound |
Dimensionamento dell’infrastruttura dedicata alla gestione
Per essere “operativo” ossia per poter fornire dati attendibili è consigliabile che ATA possa aver analizzato il comportamento dei vari utenti ed i relativi eventi per circa 30 giorni.
Per quanto riguarda il dimensionamento del sistema è necessario tenere conto della quantità di dati che verranno raccolti con i vari Gateway, la tabella seguente, fornisce indicazioni di massima sulle dimensioni dei sistemi, appare chiaro che la componente server richiede risorse significative soprattutto se si considera il canale dischi.
| Pacchetti al secondo | CPU (cores) | Memoria (GB) | GB al giorno | IOPS |
| 1,000 | 2 | 32 | 0.3 | 30 (100) |
| 10,000 | 4 | 48 | 3 | 200 (300) |
| 40,000 | 8 | 64 | 12 | 500 (1,000) |
| 100,000 | 12 | 96 | 30 | 1,000 (1,500) |
| 400,000 | 40 | 128 | 120 | 2,000 (2,500) |
Il numero di pacchetti al secondo è da intendersi come la media di tutti i DC monitorati dagli ATA Gateway. Il numero di core è quello dell’ambiente fisico o quelli fisicamente attribuiti alla VM, non sono conteggiabili i core derivanti dall’attivazione dell’hyperthreading.
Gli IOPS riportati tra parentesi sono valori di picco mentre il primo valore esprime un valore medio di IO su disco. È consigliata una latenza per gli accessi disco sia in lettura che in scrittura, non maggiore di 10 ms.
Lo spazio disco deve essere dimensionato in modo da prevedere i futuri incrementi ed in ogni caso il disco dove è installato il DB dovrebbe avere sempre il 20% di spazio libero, nel momento in cui lo spazio libero si riduce al di sotto di 100 Gb o del 20% i dati più vecchi sono automaticamente cancellati, fino al mantenimento dei dati degli ultimi due giorni.
L’acquisizione si arresta alla soglia del 5% di spazio libero od al raggiungimento dei 50 Gb di spazio disponibile.
Scelta della tipologia di Gateway da installare
Microsoft raccomanda, dove possibile di installare la versione Lightweight del Gateway in questa ottica devono essere considerate le esigenze del software in rapporto alla tabella qui sotto, ed in considerazione del fatto che il Lightweight Gateway opererà su un Domain Controller.
Come considerazione ulteriore è in termini di sicurezza è consigliabile che tutti i Domain controller installati presso gli uffici periferici e quelli eventualmente operanti su infrastrutture esterne, ad esempio servizi IaaS su cui sono presenti DC virtuali, siano monitorati e protetti da ATA.
Dimensionamento di ATA Lightweight Gateway
Un singolo Lightweight Gateway può monitorate un solo DC ed il dimensionamento deve essere considerato in base al traffico che il DC genera.
Nella tabella è riportato il dimensionamento dell’HW dei DC con il Lightweight Gateway installato.
| PACCHETTI AL SECONDO | CPU (CORES) | MEMORIA(GB) |
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
È importante considerare nel caso in cui le risorse di un Domain Controller non siano sufficienti anche a permettere il funzionamento della componente ATA, che le funzionalità tipiche del DC non sono alterate, mentre il Gateway potrebbe non operare correttamente.
Dimensionamento di ATA Gateway
L’installazione di un ATA Gateway permette il monitoraggio di più Domain Controller e di più domini all’interno di una Foresta mentre il monitoraggio di Foreste diverse richiede il deploy di un ATA Center per singola foresta.
Nella tabella è riportato il dimensionamento dell’HW dei server con il Gateway installato.
| PACCHETTI AL SECONDO | CPU (cores) | Memoria (GB) |
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
Il volume totale di traffico non deve eccedere la capacità totale di analisi e cattura della singola NIC
Calcolo del traffico in termini di pacchetti trasmessi per singolo DC
Al fine poter correttamente dimensionare ogni singolo ATA Gateway il numero totale necessario è utile rilevare il traffico che ogni DC produce, se non si dispone di un tool dedicato (p.es. Wireshark) è possibile effettuarne una rilevazione con il performance monitor.
Procedere come segue:
- Creare un nuovo Data Collector Set
- Definire il tipo di dati da raccogliere come Performance Counter
- Aggiungere il Counter per il Network Adapter e selezionare quindi la voce Packets/Sec per tutte le istanze
-
Impostare il campionamento con la frequenza di 1 secondo
- Mantenere la rilevazione per 24 ore
- Rilevare i valori di Picco e di Media al fine di determinare e confrontare con le tabelle sopra riportate il dimensionamento di ogni singolo componente Gateway
Per approfondimenti:
https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-prerequisites
https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning