Plánování kapacity ATA
Platí pro: Advanced Threat Analytics verze 1.9
Tento článek vám pomůže určit, kolik serverů ATA je potřeba k monitorování sítě. Pomůže vám odhadnout, kolik ATA Gateway a/nebo ATA Lightweight Gateway potřebujete, a kapacitu serveru pro komponenty ATA Center a ATA Gateway.
Poznámka
ATA Center je možné nasadit u libovolného dodavatele IaaS, pokud jsou splněné požadavky na výkon popsané v tomto článku.
Použití nástroje pro změnu velikosti
Doporučeným a nejjednodušším způsobem, jak určit kapacitu pro nasazení ATA, je použít nástroj PRO změnu velikosti ATA. Spusťte nástroj ATA Sizing Tool a ve výsledcích excelového souboru použijte následující pole k určení potřebné kapacity ATA:
Procesor a paměť ATA Center: Porovná pole Zaneprázdněné pakety za sekundu v souboru výsledků tabulky ATA Center s polem PAKETY ZA SEKUNDu v tabulce ATA Center.
Úložiště ATA Center: Porovná pole Avg Packets/s v souboru výsledků tabulky ATA Center s polem PAKETY ZA SEKUNDu v tabulce ATA Center.
ATA Gateway: V závislosti na zvoleném typu brány zadejte pole Busy Packets/s v tabulce ATA Gateway v souboru výsledků pole PACKETS PER SECOND (PAKETY ZA SEKUNDU) v tabulce ATA Gateway nebo ATA Lightweight Gateway.
Poznámka
Vzhledem k tomu, že se různá prostředí liší a mají několik zvláštních a neočekávaných charakteristik síťového provozu, bude možná potřeba po počátečním nasazení ATA a spuštění nástroje pro změnu velikosti upravit a doladit nasazení pro kapacitu.
Pokud nemůžete použít nástroj ATA Sizing Tool, ručně shromážděte informace o čítači paketů za sekundu s nízkým intervalem shromažďování (přibližně 5 sekund) ze všech řadičů domény po dobu 24 hodin. Pak pro každý řadič domény vypočítejte denní průměr a průměr nejvytíženějšího období (15 minut). Následující části obsahují pokyny ke shromažďování čítačů paketů za sekundu z jednoho řadiče domény.
Poznámka
Vzhledem k tomu, že se různá prostředí liší a mají několik zvláštních a neočekávaných charakteristik síťového provozu, bude možná potřeba po počátečním nasazení ATA a spuštění nástroje pro změnu velikosti upravit a doladit nasazení pro kapacitu.
Změna velikosti ATA Center
ATA Center vyžaduje pro analýzu chování uživatelů doporučenou minimálně 30denní data.
| Pakety za sekundu ze všech řadičů domény | Procesor (jádra*) | Paměť (GB) | Úložiště databáze za den (GB) | Úložiště databáze za měsíc (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*To zahrnuje fyzická jádra, ne jádra s hyper-vlákny.
**Průměrná čísla (čísla ve špičce)
Poznámka
- ATA Center dokáže zpracovat agregované maximum 1M paketů za sekundu ze všech monitorovaných řadičů domény. V některých prostředích může stejný ATA Center zpracovávat celkový provoz, který je vyšší než 1M, a některá prostředí můžou překročit kapacitu ATA. Pokud potřebujete pomoc s plánováním a odhadem rozsáhlých prostředí, kontaktujte nás na adrese azureatpfeedback@microsoft.com .
- Pokud vaše volné místo dosáhne minimálně 20 % nebo 200 GB, nejstarší kolekce dat se odstraní. Pokud není možné úspěšně snížit shromažďování dat na tuto úroveň, zaprotokoluje se upozornění. ATA bude fungovat až do dosažení prahové hodnoty 5 % nebo 50 GB volného místa. V tomto okamžiku ata přestane plnit databázi a vydá se další výstraha.
- ATA Center můžete nasadit u libovolného dodavatele IaaS, pokud jsou splněné požadavky na výkon popsané v tomto článku.
- Latence úložiště pro aktivity čtení a zápisu by měla být nižší než 10 ms.
- Poměr mezi aktivitami čtení a zápisu je přibližně 1:3 pod 100 000 paketů za sekundu a 1:6 nad 100 000 paketů za sekundu.
- Při spuštění centra jako virtuálního počítače vyžaduje, aby se virtuálnímu počítači přidělila veškerá paměť, a to po celou dobu. Další informace o spuštění ATA Center jako virtuálního počítače najdete v tématu Požadavky na ATA Center.
- Pokud chcete dosáhnout optimálního výkonu, nastavte možnost napájení ATA Center na Vysoký výkon.
- Při práci na fyzickém serveru vyžaduje databáze ATA, abyste v systému BIOS zakázali neunigenní přístup do paměti (NUMA). Systém může označovat NUMA jako prokládání uzlů. V tomto případě musíte povolit prokládání uzlů, abyste NUMA zakázali. Další informace najdete v dokumentaci k systému BIOS. To není relevantní, pokud je ATA Center spuštěný na virtuálním serveru.
Výběr správného typu brány pro vaše nasazení
V nasazení ATA se podporuje libovolná kombinace typů ATA Gateway:
- Pouze komponenty ATA Gateway
- Pouze KOMPONENTY ATA Lightweight Gateway
- Kombinace obou
Při rozhodování o typu nasazení brány zvažte následující výhody:
| Typ brány | Výhody | Cena | Topologie nasazení | Použití řadiče domény |
|---|---|---|---|---|
| ATA Gateway | Vzdálené nasazení znesnadňuje útočníkům zjišťování přítomnosti ATA. | Vyšší | Nainstalováno společně s řadičem domény (mimo pásmo) | Podporuje až 50 000 paketů za sekundu. |
| ATA Lightweight Gateway | Nevyžaduje vyhrazený server a konfiguraci zrcadlení portů. | Dolní | Nainstalované na řadiči domény | Podporuje až 10 000 paketů za sekundu. |
Tady jsou příklady scénářů, ve kterých by se měla ata lightweight gateway vztahovat na řadiče domény:
Pobočky
Virtuální řadiče domény nasazené v cloudu (IaaS)
Tady jsou příklady scénářů, ve kterých by měla ATA Gateway pokrývat řadiče domény:
- Centrová datacentra (s řadiči domény s více než 10 000 pakety za sekundu)
Nastavení velikosti ATA Lightweight Gateway
ATA Lightweight Gateway může podporovat monitorování jednoho řadiče domény na základě objemu síťového provozu, který řadič domény generuje.
| Pakety za sekundu* | Procesor (jádra**) | Paměť (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Celkový počet paketů za sekundu na řadiči domény monitorovaný konkrétní komponentou ATA Lightweight Gateway.
**Celkový počet jader bez hyperprocesu, která má tento řadič domény nainstalovaný.
I když je hyper threading pro ATA Lightweight Gateway přijatelný, při plánování kapacity byste měli počítat skutečná jádra, a ne jádra s hyper vlákny.
Celková velikost paměti, kterou má tento řadič domény nainstalovaný.
Poznámka
- Pokud řadič domény nemá prostředky vyžadované službou ATA Lightweight Gateway, nebude to mít vliv na výkon řadiče domény, ale ATA Lightweight Gateway nemusí fungovat podle očekávání.
- Při spuštění brány jako virtuálního počítače brána vyžaduje, aby se virtuálnímu počítači přidělila veškerá paměť, a to po celou dobu. Další informace o spuštění ATA Gateway jako virtuálního počítače najdete v tématu Požadavky na dynamickou paměť.
- Pro zajištění optimálního výkonu nastavte možnost napájení ATA Lightweight Gateway na Vysoký výkon.
- Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB, včetně místa potřebného pro binární soubory ATA, protokoly ATA a protokoly výkonu.
Nastavení velikosti ATA Gateway
Při rozhodování o tom, kolik KOMPONENT ATA Gateway nasadit, zvažte následující problémy.
-
Doménové struktury a domény služby Active Directory
ATA může monitorovat provoz z více domén z jedné doménové struktury Active Directory. Monitorování více doménových struktur Služby Active Directory vyžaduje samostatná nasazení ATA. Nekonfigurujte jedno nasazení ATA pro monitorování síťového provozu řadičů domény z různých doménových struktur. -
Zrcadlení portů
Aspekty zrcadlení portů můžou vyžadovat nasazení více ATA Gateway na bránu dat nebo lokalitu pobočky. -
Kapacita
ATA Gateway může podporovat monitorování více řadičů domény v závislosti na množství síťového provozu monitorovaných řadičů domény.
| Pakety za sekundu* | Procesor (jádra**) | Paměť (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Celkový průměrný počet paketů za sekundu ze všech řadičů domény monitorovaných konkrétní komponentou ATA Gateway během nejvytíženější hodiny dne.
*Celkový objem provozu zrcadleného portu řadiče domény nemůže překročit kapacitu síťové karty pro zachytávání na ATA Gateway.
**Technologie Hyper-threading musí být zakázaná.
Poznámka
- Při spuštění brány jako virtuálního počítače brána vyžaduje, aby se virtuálnímu počítači přidělila veškerá paměť, a to po celou dobu. Další informace o spuštění ATA Gateway jako virtuálního počítače najdete v tématu Požadavky na dynamickou paměť.
- Pokud chcete dosáhnout optimálního výkonu, nastavte možnost napájení ATA Gateway na Vysoký výkon.
- Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB, včetně místa potřebného pro binární soubory ATA, protokoly ATA a protokoly výkonu.