Microsoft Advanced Threath Analitycs: Prerequisiti

Come abbiamo visto nell’articolo precedente ATA è strutturato in due componenti principali, in questo articolo verranno elencati i prerequisiti e le best practice per l’installazione corretta di tutte le componenti in relazione agli scenari di utilizzo. Un’ultima sezione è dedicata alla rilevazione del traffico tramite i performance counter del sistema operativo, questo valore risulta determinante al fine di dimensionare correttamente i Gateway all’interno dell’infrastruttura.

ATA Center Prerequisiti

È il componente server sul quale avviene l’interpretazione e la correlazione degli eventi e sul quale è disponibile la console di gestione, vediamo di seguito i prerequisiti per la sua installazione

ATA Center è supportato ad oggi in Windows 2012 R2,può essere indifferentemente installato su macchina in join al dominio oppure in workgroup ed in ambienti fisici o virtuali. Se installato in ambiente virtuale, (il database di ATA non è VSS-Aware) è necessario spegnere la VM prima di generare eventuali snapshot.

ATA utilizza come database MongoDB.

Per quanto riguarda Il sistema operativo è richiesto che venga disabilitata la compatibilità NUMA dal bios, ed è consigliabile il settaggio delle Power-Options a livello High.

Tutte le entità coinvolte, ATA Center, Gateway e Domain Controller monitorati, devono essere sincronizzati gli uni rispetto agli altri e con uno scarto non superiore a 5 minuti.

Normalmente il server è utile che disponga di due IP, uno per il management ed uno per le comunicazioni con i Gateway.

LA comunicazione tra ATA Center e Gateway avviene in SSL (porta 443) predefinita, ma può essere modificata a seconda delle esigenze.

Di seguito è riportato un elenco porte utilizzate e dei relativi servizi

Servizio Protocollo Porta destinazione Direzione Indirizzo
SSL (infrastruttura ATA) TCP 443 ATA Gateway Inbound IP address 1
HTTP TCP 80 LAN Network Inbound IP address 2
HTTPS TCP 443 LAN Network / ATA Gateway Inbound IP address 2
SMTP (opzionale) TCP 25 SMTP Server Outbound IP address 2
SMTPS (opzionale) TCP 465 SMTP Server Outbound IP address 2
Syslog (opzionale) TCP 514 Syslog server

ATA Center può utilizzare certificati di tipo Self-Signed, generati automaticamente in fase di installazione. Sarà comunque possibile sostituire i certificati in una fase successiva, in questo caso si potranno utilizzare certificati pubblici rilasciate da CA Trusted

ATA Gateway prerequisiti

È La componente di ATA che si occupa della rilevazione degli eventi e del loro invio al Center, il suo funzionamento è riconducibile a quello di “sensore”.

Così come ATA Center il Gateway può essere installato in sistemi 2012 R2 ed indifferentemente in macchine domain joined o in workgroup.

Sul sistema operativo deve essere installata la KB 2919255 che viene richiesta prima dell’installazione del software.

Valgono per questo oggetto le stesse considerazioni in termini di time source, impostazioni HW Bios viste in precedenza.

A differenza del Center il Gateway richiede due schede di rete, una per il Management ed una per le attività di analisi del traffico.

Impostazioni dell’adapter di management

  • IP Statico
  • Dichiarazione del/dei DNS server di riferimento
  • Impostazione del DNS suffix per la connessione cui si riferisce l’adapter.

Impostazioni dell’adapter di rilevazione del traffico

  • Deve essere il destinatario di un port monitor
  • È consigliato dichiarare un IP statico non instradabile, p.es. 1.1.1.1/32 senza DNS e def. Gtw.

“In questo modo si esplicita in modo corretto l’adapter di management”

Nella tabella qui sotto sono riportati in dettaglio i vari servizi e relative porte e protocolli necessari

SERVIZIO Protocollo Porta Destinazione direzione
LDAP TCP/UDP 389 Domain controllers Outbound
Secure LDAP (LDAPS) TCP 636 Domain controllers Outbound
LDAP Global Catalog TCP 3268 Domain controllers Outbound
LDAPS Global Catalog TCP 3269 Domain controllers Outbound
Kerberos TCP/UDP 88 Domain controllers Outbound
Netlogon TCP/UDP 445 Domain controllers Outbound
Windows Time UDP 123 Domain controllers Outbound
DNS TCP/UDP 53 DNS Servers Outbound
NTLM over RPC TCP 135 Tutti I dispositivi monitorati Outbound
NetBIOS UDP 137 Tutti I dispositivi monitorati Outbound
SSL TCP 443 (se default) ATA Center IP Address
IIS IP Address
Outbound
Syslog (opzionale) UDP 514 SIEM Server Inbound

Nota bene i vari device oggetto di rilevazione da parte del Gateway devono consentire in ingresso il traffico per i protocolli NTLM over RPC e NetBIOS da parte del Gateway stesso.

ATA Lightweight Gateway

Come già detto nell’articolo precedente questa è la vera novità della versione 1.6 ossia la possibilità di installare un’agent, su un DC senza dover utilizzare un port monitor.

Il Lightweight agent può essere installato su DC dalla versione 2008 R2 in poi (ad oggi non è ancora dichiarato il supporto per W2016 server).

Richiede un minimo di 2 Core e 6 Gb di Ram sul DC e valgono le considerazioni espresse sopra per Center e Gateway.

Una volta installato utilizza la NIC del Domain controller per l’analisi del traffico ed è possibile tramite la console di ATA modificare la scheda su cui è in “ascolto”

Nella tabella qui sotto sono riportati in dettaglio i vari servizi e relative porte e protocolli necessari

servizio protocollo Porta destinazione direzione
DNS TCP and UDP 53 DNS Servers Outbound
NTLM over RPC TCP 135 Tutti I dispositivi monitorati Outbound
NetBIOS UDP 137 Tutti I dispositivi monitorati Outbound
SSL TCP 443 (se default) ATA Center:
ATA Center IP Address
IIS IP Address
Outbound
Syslog (opzionale) UDP 514 SIEM Server Inbound

Dimensionamento dell’infrastruttura dedicata alla gestione

Per essere “operativo” ossia per poter fornire dati attendibili è consigliabile che ATA possa aver analizzato il comportamento dei vari utenti ed i relativi eventi per circa 30 giorni.

Per quanto riguarda il dimensionamento del sistema è necessario tenere conto della quantità di dati che verranno raccolti con i vari Gateway, la tabella seguente, fornisce indicazioni di massima sulle dimensioni dei sistemi, appare chiaro che la componente server richiede risorse significative soprattutto se si considera il canale dischi.

Pacchetti al secondo CPU (cores) Memoria (GB) GB al giorno IOPS
1,000 2 32 0.3 30 (100)
10,000 4 48 3 200 (300)
40,000 8 64 12 500 (1,000)
100,000 12 96 30 1,000 (1,500)
400,000 40 128 120 2,000 (2,500)

Il numero di pacchetti al secondo è da intendersi come la media di tutti i DC monitorati dagli ATA Gateway. Il numero di core è quello dell’ambiente fisico o quelli fisicamente attribuiti alla VM, non sono conteggiabili i core derivanti dall’attivazione dell’hyperthreading.

Gli IOPS riportati tra parentesi sono valori di picco mentre il primo valore esprime un valore medio di IO su disco. È consigliata una latenza per gli accessi disco sia in lettura che in scrittura, non maggiore di 10 ms.

Lo spazio disco deve essere dimensionato in modo da prevedere i futuri incrementi ed in ogni caso il disco dove è installato il DB dovrebbe avere sempre il 20% di spazio libero, nel momento in cui lo spazio libero si riduce al di sotto di 100 Gb o del 20% i dati più vecchi sono automaticamente cancellati, fino al mantenimento dei dati degli ultimi due giorni.

L’acquisizione si arresta alla soglia del 5% di spazio libero od al raggiungimento dei 50 Gb di spazio disponibile.

Scelta della tipologia di Gateway da installare

Microsoft raccomanda, dove possibile di installare la versione Lightweight del Gateway in questa ottica devono essere considerate le esigenze del software in rapporto alla tabella qui sotto, ed in considerazione del fatto che il Lightweight Gateway opererà su un Domain Controller.

Come considerazione ulteriore è in termini di sicurezza è consigliabile che tutti i Domain controller installati presso gli uffici periferici e quelli eventualmente operanti su infrastrutture esterne, ad esempio servizi IaaS su cui sono presenti DC virtuali, siano monitorati e protetti da ATA.

Dimensionamento di ATA Lightweight Gateway

Un singolo Lightweight Gateway può monitorate un solo DC ed il dimensionamento deve essere considerato in base al traffico che il DC genera.

Nella tabella è riportato il dimensionamento dell’HW dei DC con il Lightweight Gateway installato.

PACCHETTI AL SECONDO CPU (CORES) MEMORIA(GB)
1,000 2 6
5,000 6 16
10,000 10 24

È importante considerare nel caso in cui le risorse di un Domain Controller non siano sufficienti anche a permettere il funzionamento della componente ATA, che le funzionalità tipiche del DC non sono alterate, mentre il Gateway potrebbe non operare correttamente.

Dimensionamento di ATA Gateway

L’installazione di un ATA Gateway permette il monitoraggio di più Domain Controller e di più domini all’interno di una Foresta mentre il monitoraggio di Foreste diverse richiede il deploy di un ATA Center per singola foresta.

Nella tabella è riportato il dimensionamento dell’HW dei server con il Gateway installato.

PACCHETTI AL SECONDO CPU (cores) Memoria (GB)
1,000 1 6
5,000 2 10
10,000 3 12
20,000 6 24
50,000 16 48

Il volume totale di traffico non deve eccedere la capacità totale di analisi e cattura della singola NIC

Calcolo del traffico in termini di pacchetti trasmessi per singolo DC

Al fine poter correttamente dimensionare ogni singolo ATA Gateway il numero totale necessario è utile rilevare il traffico che ogni DC produce, se non si dispone di un tool dedicato (p.es. Wireshark) è possibile effettuarne una rilevazione con il performance monitor.

Procedere come segue:

  1. Creare un nuovo Data Collector Set

  1. Definire il tipo di dati da raccogliere come Performance Counter
  2. Aggiungere il Counter per il Network Adapter e selezionare quindi la voce Packets/Sec per tutte le istanze
  3. Impostare il campionamento con la frequenza di 1 secondo

  1. Mantenere la rilevazione per 24 ore
  2. Rilevare i valori di Picco e di Media al fine di determinare e confrontare con le tabelle sopra riportate il dimensionamento di ogni singolo componente Gateway

Per approfondimenti:

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-prerequisites

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning