Požadavky ATA
Platí pro: Advanced Threat Analytics verze 1.9
Tento článek popisuje požadavky na úspěšné nasazení ATA ve vašem prostředí.
Poznámka
Informace o plánování prostředků a kapacity najdete v tématu Plánování kapacity ATA.
ATA se skládá z ATA Center, ATA Gateway a/nebo ATA Lightweight Gateway. Další informace o komponentách ATA najdete v tématu Architektura ATA.
Systém ATA funguje na hranici doménové struktury služby Active Directory a podporuje úroveň funkčnosti doménové struktury (FFL) systému Windows 2003 a novějšího.
Než začnete: Tato část obsahuje informace, které byste měli shromáždit, a účty a síťové entity, které byste měli mít před zahájením instalace ATA.
ATA Center: Tato část obsahuje seznam hardwarových a softwarových požadavků ata Center a také nastavení, která je potřeba nakonfigurovat na serveru ATA Center.
ATA Gateway: Tato část obsahuje seznam hardwarových a softwarových požadavků ATA Gateway a také nastavení, která potřebujete nakonfigurovat na serverech ATA Gateway.
ATA Lightweight Gateway: Tato část obsahuje seznam hardwarových a softwarových požadavků ATA Lightweight Gateway.
Konzola ATA: Tato část obsahuje seznam požadavků na prohlížeč pro spuštění konzoly ATA.
Než začnete
Tato část obsahuje informace, které byste měli shromáždit, a také účty a síťové entity, které byste měli mít před zahájením instalace ATA.
Uživatelský účet a heslo s přístupem pro čtení ke všem objektům v monitorovaných doménách.
Poznámka
Pokud jste nastavili vlastní seznamy ACL pro různé organizační jednotky (OU) ve vaší doméně, ujistěte se, že vybraný uživatel má pro tyto organizační jednotky oprávnění ke čtení.
Neinstalujte Microsoft Message Analyzer na ATA Gateway nebo Lightweight Gateway. Ovladač Analyzátoru zpráv je v konfliktu s ovladači ATA Gateway a Lightweight Gateway. Pokud spustíte Wireshark na ATA Gateway, budete muset po zastavení zachytávání Wireshark restartovat službu Microsoft Advanced Threat Analytics Gateway Service. Pokud ne, brána zastaví zachytávání provozu. Spuštění wiresharku na ATA Lightweight Gateway nenarušuje ATA Lightweight Gateway.
Doporučeno: Uživatel by měl mít u kontejneru Odstraněné objekty oprávnění jen pro čtení. To ata umožňuje detekovat hromadné odstranění objektů v doméně. Informace o konfiguraci oprávnění jen pro čtení u kontejneru Odstraněné objekty najdete v části Změna oprávnění pro kontejner odstraněných objektů v článku Zobrazení nebo nastavení oprávnění u objektu adresáře .
Volitelné: Uživatelský účet uživatele bez síťových aktivit. Tento účet je možné konfigurovat jako uživatel ATA Honeytoken. Pokud chcete nakonfigurovat účet jako uživatele Honeytokenu, vyžaduje se jenom uživatelské jméno. Informace o konfiguraci Honeytokenu najdete v tématu Konfigurace vyloučení IP adres a uživatele Honeytokenu.
Volitelné: Kromě shromažďování a analýzy síťového provozu do a z řadičů domény může ATA používat události Windows 4776, 4732, 4733, 4728, 4729, 4756 a 4757 k dalšímu vylepšení ata pass-the-hash, hrubá síla, úpravy citlivých skupin a detekce honey tokenů. Tyto události je možné přijímat ze systému SIEM nebo nastavením předávání událostí Windows z řadiče domény. Shromážděné události poskytují ATA další informace, které nejsou dostupné prostřednictvím síťového provozu řadiče domény.
Požadavky na ATA Center
Tato část obsahuje seznam požadavků pro ATA Center.
Obecné
ATA Center podporuje instalaci na server s Windows Server 2016 Windows Server 2012 R2 a Windows Server 2019.
Poznámka
ATA Center nepodporuje Windows Server jádro.
ATA Center se dá nainstalovat na server, který je členem domény nebo pracovní skupiny.
Před instalací ATA Center se systémem Windows 2012 R2 ověřte, že je nainstalovaná následující aktualizace: KB2919355.
Kontrolu můžete provést spuštěním následující rutiny Windows PowerShell: [Get-HotFix -Id kb2919355].
Podporuje se instalace ATA Center jako virtuálního počítače.
Specifikace serveru
Při práci na fyzickém serveru vyžaduje databáze ATA zakázání technologie NUMA (Non-uniform memory access) v systému BIOS. Váš systém může Označovat NUMA jako prokládání uzlů. V tomto případě musíte povolit prokládání uzlů, abyste NUMA zakázali. Další informace najdete v dokumentaci k systému BIOS.
Pokud chcete dosáhnout optimálního výkonu, nastavte možnost napájení ATA Center na Vysoký výkon.
Počet řadičů domény, které monitorujete, a zatížení jednotlivých řadičů domény určuje potřebné specifikace serveru. Další informace najdete v tématu Plánování kapacity ATA.
V operačních systémech Windows 2008R2 a 2012 se brána nepodporuje v režimu skupiny více procesorů . Další informace o režimu skupiny s více procesory najdete v tématu Řešení potíží.
Synchronizace času
Server ATA Center, servery ATA Gateway a řadiče domény musí mít čas synchronizovaný do pěti minut od sebe.
Síťové adaptéry
Měli byste mít následující nastavení:
Alespoň jeden síťový adaptér (pokud používáte fyzický server v prostředí VLAN, doporučujeme použít dva síťové adaptéry)
IP adresa pro komunikaci mezi ATA Center a ATA Gateway, která je šifrovaná pomocí PROTOKOLU SSL na portu 443. (Služba ATA vytvoří vazbu na všechny IP adresy, které má ATA Center na portu 443.)
Porty
Následující tabulka uvádí minimální porty, které musí být otevřeny, aby ATA Center správně fungoval.
| Protocol (Protokol) | Přeprava | Port | Do/z | Směr |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Směřující sem |
| HTTP (volitelné) | TCP | 80 | Firemní síť | Směřující sem |
| HTTPS | TCP | 443 | Podniková síť a ATA Gateway | Směřující sem |
| SMTP (volitelné) | TCP | 25 | SMTP Server | Odchozí |
| SMTPS (volitelné) | TCP | 465 | SMTP Server | Odchozí |
| Syslog (volitelné) | TCP/UPS/TLS (konfigurovatelné) | 514 (výchozí) | Server Syslog | Odchozí |
| LDAP | TCP a UDP | 389 | Řadiče domény | Odchozí |
| LDAPS (volitelné) | TCP | 636 | Řadiče domény | Odchozí |
| DNS | TCP a UDP | 53 | Servery DNS | Odchozí |
| Kerberos (volitelné, pokud je připojeno k doméně) | TCP a UDP | 88 | Řadiče domény | Odchozí |
| Windows Time (volitelné, pokud je připojeno k doméně) | Protokol udp | 123 | Řadiče domény | Odchozí |
Poznámka
Protokol LDAP se vyžaduje k testování přihlašovacích údajů, které se mají použít mezi ATA Gateway a řadiči domény. Test se provádí z ATA Center na řadič domény, aby se otestovala platnost těchto přihlašovacích údajů. AtA Gateway pak použije protokol LDAP jako součást normálního procesu překladu.
Certifikáty
Pokud chcete ata nainstalovat a nasadit rychleji, můžete během instalace nainstalovat certifikáty podepsané svým držitelem. Pokud jste se rozhodli používat certifikáty podepsané svým držitelem, doporučujeme po počátečním nasazení nahradit certifikáty podepsané svým držitelem certifikáty od interní certifikační autority, které budou používány službou ATA Center.
Ujistěte se, že ATA Center a ATA Gateway mají přístup k distribučnímu bodu seznamu CRL. Pokud nemají přístup k internetu, postupujte podle postupu ručního importu seznamu CRL a dbejte na instalaci všech distribučních bodů seznamu CRL pro celý řetězec.
Certifikát musí mít:
- Privátní klíč
- Typ zprostředkovatele CSP (Kryptografické služby) nebo Zprostředkovatel úložiště klíčů (KSP)
- Délka veřejného klíče 2048 bitů
- Hodnota nastavená pro příznaky použití KeyEncipherment a ServerAuthentication
- KeySpec (KeyNumber) hodnota KeyExchange (AT_KEYEXCHANGE). Hodnota Signature (AT_SIGNATURE) není podporována.
- Všechny počítače brány musí být schopné plně ověřit a důvěřovat vybranému certifikátu center.
Můžete například použít standardní šablony webového serveru nebo počítače .
Upozornění
Proces prodloužení platnosti existujícího certifikátu se nepodporuje. Jediným způsobem, jak obnovit certifikát, je vytvořit nový certifikát a nakonfigurovat ATA tak, aby používala nový certifikát.
Poznámka
- Pokud chcete ke konzole ATA přistupovat z jiných počítačů, ujistěte se, že tyto počítače důvěřují certifikátu používanému aplikací ATA Center, jinak se před přechodem na přihlašovací stránku zobrazí stránka s upozorněním, že došlo k problému s certifikátem zabezpečení webu.
- Od ata verze 1.8 spravují komponenty ATA Gateway a Lightweight Gateway své vlastní certifikáty a ke správě je nepotřebují žádnou interakci správce.
Požadavky na ATA Gateway
Tato část obsahuje seznam požadavků pro ATA Gateway.
Obecné
ATA Gateway podporuje instalaci na serveru se systémem Windows Server 2012 R2 nebo Windows Server 2016 a Windows Server 2019 (včetně jádra serveru). ATA Gateway se dá nainstalovat na server, který je členem domény nebo pracovní skupiny. ATA Gateway je možné použít k monitorování řadičů domény s funkční úrovní domény systému Windows 2003 a novější.
Před instalací ATA Gateway se systémem Windows 2012 R2 ověřte, že je nainstalovaná následující aktualizace: KB2919355.
Kontrolu můžete provést spuštěním následující rutiny Windows PowerShell: [Get-HotFix -Id kb2919355].
Informace o používání virtuálních počítačů s ATA Gateway najdete v tématu Konfigurace zrcadlení portů.
Poznámka
Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB. To zahrnuje prostor potřebný pro binární soubory ATA, protokoly ATA a protokoly výkonu.
Specifikace serveru
Pokud chcete dosáhnout optimálního výkonu, nastavte možnost napájení ATA Gateway na Vysoký výkon.
ATA Gateway může podporovat monitorování více řadičů domény v závislosti na množství síťového provozu do a z řadičů domény.
Další informace o dynamické paměti nebo jakékoli jiné funkci správy paměti virtuálního počítače najdete v tématu Dynamická paměť.
Další informace o požadavcích na hardware ATA Gateway najdete v tématu Plánování kapacity ATA.
Synchronizace času
Server ATA Center, servery ATA Gateway a řadiče domény musí mít čas synchronizovaný do pěti minut od sebe.
Síťové adaptéry
ATA Gateway vyžaduje aspoň jeden adaptér pro správu a alespoň jeden adaptér pro zachycení:
Adaptér pro správu – slouží ke komunikaci v podnikové síti. Tento adaptér by měl být nakonfigurovaný s následujícími nastaveními:
Statická IP adresa včetně výchozí brány
Upřednostňované a alternativní servery DNS
Přípona DNS pro toto připojení by měla být název DNS domény pro každou monitorovanou doménu.
Poznámka
Pokud je ATA Gateway členem domény, může se nakonfigurovat automaticky.
Adaptér pro zachytávání – slouží k zachycení provozu do a z řadičů domény.
Důležité
- Nakonfigurujte zrcadlení portů pro adaptér pro zachytávání jako cíl síťového provozu řadiče domény. Další informace najdete v tématu Konfigurace zrcadlení portů. Na konfiguraci zrcadlení portů je obvykle potřeba spolupracovat se síťovým nebo virtualizačním týmem.
- Nakonfigurujte statickou nesměrovatelnou IP adresu pro vaše prostředí bez výchozí brány a bez adres serveru DNS. Například 1.1.1.1/32. Tím se zajistí, že síťový adaptér pro zachytávání může zachytit maximální objem provozu a že se síťový adaptér pro správu použije k odesílání a přijímání požadovaných síťových přenosů.
Porty
Následující tabulka uvádí minimální porty, které ATA Gateway vyžaduje nakonfigurované na adaptéru pro správu:
| Protocol (Protokol) | Přeprava | Port | Do/z | Směr |
|---|---|---|---|---|
| LDAP | TCP a UDP | 389 | Řadiče domény | Odchozí |
| Secure LDAP (LDAPS) | TCP | 636 | Řadiče domény | Odchozí |
| LDAP do globálního katalogu | TCP | 3268 | Řadiče domény | Odchozí |
| LDAPS do globálního katalogu | TCP | 3269 | Řadiče domény | Odchozí |
| Kerberos | TCP a UDP | 88 | Řadiče domény | Odchozí |
| Netlogon (SMB, CIFS, SAM-R) | TCP a UDP | 445 | Všechna zařízení v síti | Odchozí |
| Windows Time | Protokol udp | 123 | Řadiče domény | Odchozí |
| DNS | TCP a UDP | 53 | Servery DNS | Odchozí |
| NTLM přes RPC | TCP | 135 | Všechna zařízení v síti | Oba |
| Rozhraní netbios | Protokol udp | 137 | Všechna zařízení v síti | Oba |
| SSL | TCP | 443 | ATA Center | Odchozí |
| Syslog (volitelné) | Protokol udp | 514 | SIEM Server | Směřující sem |
Poznámka
V rámci procesu překladu, který provádí ATA Gateway, musí být na zařízeních v síti z ATA Gateway otevřené následující porty.
- PROTOKOL NTLM přes RPC (port TCP 135)
- NetBIOS (port UDP 137)
- Pomocí uživatelského účtu adresářové služby se ATA Gateway dotazuje koncových bodů ve vaší organizaci na místní správce pomocí SAM-R (síťové přihlášení), aby se vytvořil graf cest laterálního pohybu. Další informace najdete v tématu Konfigurace požadovaných oprávnění SAM-R.
- Na zařízeních v síti z ATA Gateway musí být otevřené následující porty:
- Protokol NTLM přes RPC (port TCP 135) pro účely rozlišení
- NetBIOS (port UDP 137) pro účely překladu
Požadavky ATA Lightweight Gateway
Tato část obsahuje seznam požadavků pro ATA Lightweight Gateway.
Obecné
ATA Lightweight Gateway podporuje instalaci na řadiči domény se systémem Windows Server 2008 R2 SP1 (bez jádra serveru), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 a Windows Server 2019 (včetně Core, ale ne Nano)
Řadičem domény může být řadič domény jen pro čtení (RODC).
Před instalací ATA Lightweight Gateway na řadič domény se systémem Windows Server 2012 R2 ověřte, že je nainstalovaná následující aktualizace: KB2919355.
Kontrolu můžete provést spuštěním následující rutiny Windows PowerShell:[Get-HotFix -Id kb2919355]
Pokud je instalace určená pro Windows Server 2012 R2 Server Core, měla by být nainstalovaná také následující aktualizace: KB3000850.
Kontrolu můžete provést spuštěním následující rutiny Windows PowerShell:[Get-HotFix -Id kb3000850]
Během instalace se nainstaluje rozhraní .Net Framework 4.6.1, které může způsobit restartování řadiče domény.
Poznámka
Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB. To zahrnuje prostor potřebný pro binární soubory ATA, protokoly ATA a protokoly výkonu.
Specifikace serveru
ATA Lightweight Gateway vyžaduje minimálně 2 jádra a 6 GB paměti RAM nainstalované na řadiči domény. Pro zajištění optimálního výkonu nastavte možnost napájení ATA Lightweight Gateway na Vysoký výkon. ATA Lightweight Gateway je možné nasadit na řadiče domény s různými zatíženími a velikostmi v závislosti na množství síťového provozu do a z řadičů domény a na množství prostředků nainstalovaných na daném řadiči domény.
Další informace o dynamické paměti nebo jakékoli jiné funkci správy paměti virtuálního počítače najdete v tématu Dynamická paměť.
Další informace o požadavcích na hardware ATA Lightweight Gateway najdete v tématu Plánování kapacity ATA.
Synchronizace času
Server ATA Center, servery ATA Lightweight Gateway a řadiče domény se musí synchronizovat do pěti minut od sebe.
Síťové adaptéry
ATA Lightweight Gateway monitoruje místní provoz na všech síťových adaptérech řadiče domény.
Po nasazení můžete konzolu ATA použít, pokud budete chtít někdy upravit, které síťové adaptéry se monitorují.
Poznámka
Lightweight Gateway není podporována na řadičích domény se systémem Windows 2008 R2 s povoleným seskupováním síťových adaptérů Broadcom.
Porty
Následující tabulka uvádí minimální porty, které ATA Lightweight Gateway vyžaduje:
| Protocol (Protokol) | Přeprava | Port | Do/z | Směr |
|---|---|---|---|---|
| DNS | TCP a UDP | 53 | Servery DNS | Odchozí |
| NTLM přes RPC | TCP | 135 | Všechna zařízení v síti | Oba |
| Rozhraní netbios | Protokol udp | 137 | Všechna zařízení v síti | Oba |
| SSL | TCP | 443 | ATA Center | Odchozí |
| Syslog (volitelné) | Protokol udp | 514 | SIEM Server | Směřující sem |
| Netlogon (SMB, CIFS, SAM-R) | TCP a UDP | 445 | Všechna zařízení v síti | Odchozí |
Poznámka
V rámci procesu překladu, který provádí ATA Lightweight Gateway, musí být na zařízeních v síti z ATA Lightweight Gateway otevřené následující porty.
- NTLM přes RPC
- Rozhraní netbios
- AtA Lightweight Gateway pomocí uživatelského účtu adresářové služby dotazuje koncové body ve vaší organizaci na místní správce pomocí SAM-R (síťové přihlášení), aby se vytvořil graf cest laterálního pohybu. Další informace najdete v tématu Konfigurace požadovaných oprávnění SAM-R.
- Na zařízeních v síti z ATA Gateway musí být otevřené následující porty:
- Protokol NTLM přes RPC (port TCP 135) pro účely rozlišení
- NetBIOS (port UDP 137) pro účely překladu
Dynamická paměť
Poznámka
Při spouštění služeb ATA jako virtuálního počítače služba vyžaduje, aby se virtuálnímu počítači neustále přidělila veškerá paměť.
| Virtuální počítač spuštěný na | Popis |
|---|---|
| Hyper-V | Ujistěte se, že pro virtuální počítač není povolená možnost Povolit dynamickou paměť . |
| VMWare | Ujistěte se, že velikost nakonfigurované paměti a rezervované paměti jsou stejné, nebo v nastavení virtuálního počítače vyberte následující možnost – Rezervovat veškerou paměť hosta (Vše uzamčeno). |
| Jiný hostitel virtualizace | Informace o tom, jak zajistit, aby se virtuálnímu počítači vždy plně přidělila paměť, najdete v dokumentaci dodané dodavatelem. |
Pokud ATA Center spouštíte jako virtuální počítač, vypněte server před vytvořením nového kontrolního bodu, abyste se vyhnuli potenciálnímu poškození databáze.
Konzola ATA
Přístup ke konzole ATA je přes prohlížeč, který podporuje prohlížeče a nastavení:
Internet Explorer verze 10 a novější
Microsoft Edge
Google Chrome 40 a novější
Minimální rozlišení šířky obrazovky 1700 pixelů