■ 河南 许红军

编者按：根据统计分析，对于76%的攻击行为来说，主要以窃取数据敏感信息（例如密码，凭据等）作为主要目标，当黑客掌握了用户的凭据信息后，就可以进行诸如窃取用户邮件，盗取银行资金等行为，给用户数据安全造成很大的威胁。黑客除了利用恶意程序等方式获取凭据外，还可能利用一些看似合规的程序来达到目的。

高级攻击检测的作用

为了防御日益严重的安全威胁，很多企业都会部署各种类型的安全解决方案。但是常规的安全解决方法往往存在一些不足，比如部署繁琐、成本较高等。为了抗击不同的入侵行为，需要配置复杂的安全规则，为了满足实际的需要，往往要进行各种调优操作，这常常需要较长的适应过程方可实现。

针对上述情况，微软在Windows Server 2016中提供了高级的网络攻击分析解决方案（Advanced Therat Analytics，ATA）。其核心是以用户的凭据作为监控对象，围绕用户凭据在网络中的活动作为基本立足点，通过监控用户凭据在日常使用情况来发现异常行为。

例如某个用户日常只是使用自己的凭据信息登录邮箱，如果突然有试图使用该凭据来查看其他信息（如DNS记录等），就会被系统判定为异常攻击行为。通过将凭据日常使用和异常使用对比分析，就可以判断用户的哪些行为是不合规的，并生成报告信息发送给管理员。不管用户使用平板、手机等移动设备，还是传统的PC，只要涉及到凭据的登录行为，都会处于ATA的检测范围内。

对于ATA来说，完全可以和传统的安全检测产品进行结合，传统的安全检测产品获取的监控信息，可以作为ATA的监本数据源使用。

对于ATA来说，部署起来很简单。当部署完成后，无需进行复杂的规则配置，TAT会使用机器学习的方式，自动分析活动目录日志以及其他的监控信息，该过程是完全自动化的。

ATA可以帮助用户检测安全风险和漏洞，例如当用户计算机和活动目录的信任关系丢失，计算机密码被重置等，都会被ATA自动检测到。因为黑客非法获取用户凭据的方法（如暴力破解等）有很多，当这些攻击行为发生时，就会被ATA检测到，并形成相应的报告，记录诸如哪台主机试图通过何种方式来获取凭据，攻击的目标主机等信息。其他违规行为如非法登录、远程执行、未知威胁、可疑行为，密码共享等，也完全处于ATA监控之下。

ATA的工作方式

当部署了ATA之后，其工作方式分为四个阶段，第一个阶段是对现有信息（如活动目录安全日志、用户活动信息、Radius日志、syslog日志等）进行收集和分析；第二阶段可以利用上述信息来了解不同用户正常的活动行为特征，例如经常访问哪些设备等，来探索不同用户正常的使用边界；在第三阶段可以根据以上信息来检测用户的异常行为，例如某用户试图获取高权限的账户密码，访问不经常使用的设备等；第四个阶段就会生成警告信息，创建相应的报告，让管理员可以及时了解到基本的安全威胁信息。

ATA主要包含ATA Gateway和ATA Center组件，对于前者来说，可以直接部署在活动目录服务器中，来自动收集在活动目录中由用户凭据所产生的所有活动信息。当然，也可以将其部署到普通的Windows Server 2012/2016服务器，这需要利用端口镜像技术，在交换机上进行相应的配置。例如配置一个端口连接DC，另一个端口连接ATA Gateway主机，将两者配置为端口镜像模式。这样，就可以将域控的数据镜像到Gateway组件中。ATA Gateway还可以集成现有的安全解决方案，收集相应的日志信息。

对于后者来说，主要将收集到的数据存储到数据库中，这里使用的是MongoDB数据库。利用ATA Center，可以对ATA进行相应的配置，并且可以查看生成的警告信息。

ATA的部署实例

在本例中，采用的是端口镜像的方式，将ATA的两个组件分别部署在两台Windows Server 2012 R2/2016服务器上。

图1 ATA Center配置页面

首先需要准备好所需的域账户，在域控上打开ActiveDirectory用户和计算机窗口，在其中创建一个域账户（例如“Atauser”），该账户仅仅是一个普通的域账户，无需拥有额外的权限。因为普通的域账户是有权限读取Active Directory中相关的信息的。在ATA Center主机上运行Microsoft ATA Center Setup安装程序，在其安装界面中可以更改安装路径和数据库存储目录，默认使用自签名证书认证。

如果已经配置了证书，可以取消“Create selfsigned certificate”项，在“Center service SSL certificate”栏中选择对应的证书。安装之后自动打开ATA配置页面，在“Directory Services”面板中输入上述域账户和密码以及域名信息（如图1所示）。利用该域账户，ATA就可以发现和同步域中的所有的账户信息，了解在域中有哪些用户的凭据，通过各种数据的来源来分析用户的正常行为，进而发现和判断用户的异常行为，从而形成报告信息。点击“Test connection”按钮进行连接测试。

图2 配置ATA Gateway组件

点击“Save”按钮，ATA就可以发现域中的所有账户信息。ATA要想判断这些账户的正常行为，必须拥有合适的数据样本，样本信息需要通过Gateway组件来收集。在ATA Gateway主机上打开浏览器，访问ATA Center主机，例如输入“https://atacenter.xxx.com”，在弹出的认证窗口中合适的域账户和密码来访问ATA Center，其中的“atacenter.xxx.com”为ATA Center主机的域名。在打开页面中点击“Download Gateway Setup”链接，点击“Gateway Setup”按钮，执行下载和安装操作。

在上述ATA Center配置界面左侧选择“Gateways”项，在右侧显示已经存在的ATA Gateway服务器信息，包括其名称、类型、版本、服务状态、健康状态等。点击该ATA Center项目，在打开窗口中输入如描述信息（如图1），在“Port Mirrored Domain Controllers(FQDN)”栏中输入与之形成端口镜像的域控名称，例如“dc1.xxx.com”等，ATA Gateway从该DC上获取相应的流量数据。

在“Capture network adapter”栏中选择配置了端口镜像的网卡。在“Domain synchroniz”栏中确保选择“On”项，来执行数据同步操作，ATA Gateway可以从目标域名上捕获所需的信息，并将其存储到ATA Center的数据库，从而形成数据样本。

在右侧的“Entities recently learning”栏中显示收集的信息提示，包括域的数量、域控制器的数量、域中用户的数量、域中计算机的数量、域中组的数量等。

如果企业已经部署了其他的安全检测分析工具，也可以将其监控信息导入进来。在ATA Center配置页面左侧选择“Syslog Server”项，在右侧的“Syslog server endpoint”栏中输入对应产品的Syslog的服务的入口地址。之后在左侧选择“SIEM”项，在右侧的“syslog”栏中选择“On”项，可以通过ATA Gateway收集相关的数据。

如果存在VPN用户，可以在左侧选择“VPN”项，在右侧 的“Radius Accounting”栏中选择“On”项，那么ATA Gateway就会从Radius服务器中收集日志信息。

利用ATA检测可疑行为

经过以上操作，就已经完成了对ATA的配置操作。可以看出，管理员不需要进行复杂的规则的配置，就可以对域中用户的行为进行判断和分析。

例如，当某个用户想了解目标服务器的域名，就可以执行“nslookup”命令，对目标服务器进行域名解析。而如果仅仅是对单台的服务器进行域名解析，则可以视作正常的操作行为。如果该用户是出于某种目的（例如探测可以攻击的服务器），就可能会在“nslookup”命令提示符下执行“ls -d xxx.com”命令，来获取指定域中所集成的所有域名信息，进而得到网络中的计算机的列表。

之后就会针对不同的主机执行诸如探测漏洞、扫描甚至是攻击操作。这些行为已经远远超出了正常操作的范围。

实际上，管理员也会在DNS服务器上配置相关的安全项目，来拒绝这种批量的探测行为。用户的上述可疑行为实际上已经被ATA捕获并记录下来，在ATA管理页面右侧的“Suspicious activity”栏中已经显示探测到的异常行为，例如点击其中的“Reconnaissan using DNS”项，在左侧显示图形化的检测画面，显示究竟是哪台客户机发起的该可疑的探测行为。

选择该客户机，在打开面板中有显示其安装的操作版本、所述的域、发起探测的时间、账户名等参数，并且还会显示该探测行为执行的次数、是否被拒绝等信息。在该事件报告窗口中点击“Open”按钮，在弹出窗口中点击“Download Details”项，可以下载包含更加详细的检测信息的XLSX文件，让管理员可以对其进行更加深入的解读。

点击“Close”项，可以关闭该探测项目，但是如果其再次发生就继续警告，选择“Suppress”项，表示对其进行忽略处理，但是如果在7天之内连续出现则继续警告。选择“Close and exclude CLT”项，表示仅仅关闭并忽略。

点击工具栏中的“配置”按钮，在配置界面左侧选择“Exclusions”项，在右侧提供了很多的排除项目，可以根据实际需要进行选用，以便于执行一些安全测试之类的操作。