ATA-forudsætninger
Gælder for: Advanced Threat Analytics version 1.9
I denne artikel beskrives kravene til en vellykket ATA-udrulning i dit miljø.
Bemærk!
Du kan få oplysninger om, hvordan du planlægger ressourcer og kapacitet, under ATA-kapacitetsplanlægning.
ATA består af ATA Center, ATA Gateway og/eller ATA Lightweight Gateway. Du kan få flere oplysninger om ATA-komponenterne under ATA-arkitektur.
ATA-systemet fungerer på active directory-skovgrænsen og understøtter FFL (Forest Functional Level) i Windows 2003 og nyere.
Før du starter: I dette afsnit vises en liste over oplysninger, du skal indsamle, og de konti og netværksenheder, du skal have, før du starter ATA-installationen.
ATA Center: I dette afsnit vises ATA Center-hardware, softwarekrav samt indstillinger, du skal konfigurere på din ATA Center-server.
ATA Gateway: I dette afsnit kan du se en liste over ATA Gateway-hardware, softwarekrav og indstillinger, du skal konfigurere på dine ATA Gateway-servere.
ATA Lightweight Gateway: I dette afsnit kan du se en liste over ATA Lightweight Gateway-hardware og softwarekrav.
ATA Console: I dette afsnit vises en liste over browserkrav til kørsel af ATA-konsollen.
Før du starter
I dette afsnit vises de oplysninger, du skal indsamle, samt de konti og netværksenheder, du skal have, før du starter ATA-installationen.
Brugerkonto og adgangskode med læseadgang til alle objekter i de overvågede domæner.
Bemærk!
Hvis du har angivet brugerdefinerede ACL'er på forskellige organisationsenheder (OU) i dit domæne, skal du sørge for, at den valgte bruger har læserettigheder til disse organisationsenheder.
Installér ikke Microsoft Message Analyzer på en ATA Gateway eller Letvægtsgateway. Message Analyzer-driveren er i konflikt med ATA Gateway- og Lightweight Gateway-drivere. Hvis du kører Wireshark på ATA Gateway, skal du genstarte Microsoft Advanced Threat Analytics Gateway Service, når du har stoppet Wireshark-hentningen. Hvis det ikke er det, stopper gatewayen med at registrere trafik. Kørsel af Wireshark på en ATA Lightweight Gateway forstyrrer ikke ATA Lightweight Gateway.
Anbefalet: Brugeren skal have skrivebeskyttede tilladelser til objektbeholderen Slettede objekter. Dette gør det muligt for ATA at registrere massesletning af objekter i domænet. Du kan få oplysninger om konfiguration af skrivebeskyttede tilladelser for objektbeholderen Slettede objekter i afsnittet Ændring af tilladelser for en objektbeholder til sletning i artiklen Vis eller Angiv tilladelser for et mappeobjekt .
Valgfrit: En brugerkonto for en bruger uden netværksaktiviteter. Denne konto kan konfigureres som en ATA Honeytoken-bruger. Hvis du vil konfigurere en konto som en Honeytoken-bruger, er det kun brugernavnet, der kræves. Du kan finde oplysninger om konfiguration af Honeytoken under Konfigurer IP-adresseudeladelser og Honeytoken-bruger.
Valgfrit: Ud over at indsamle og analysere netværkstrafik til og fra domænecontrollere kan ATA bruge Windows-hændelserne 4776, 4732, 4733, 4728, 4729, 4756 og 4757 til yderligere at forbedre ATA Pass-the-Hash, Brute Force, ændring af følsomme grupper og honningtokensregistreringer. Disse hændelser kan modtages fra din SIEM eller ved at angive Videresendelse af Windows-hændelse fra domænecontrolleren. Hændelser, der indsamles, giver ATA yderligere oplysninger, der ikke er tilgængelige via domænecontrollerens netværkstrafik.
KRAV TIL ATA Center
I dette afsnit beskrives kravene til ATA Center.
Generel
ATA Center understøtter installation på en server, der kører Windows Server 2012 R2 Windows Server 2016 og Windows Server 2019.
Bemærk!
ATA Center understøtter ikke Windows Server kerne.
ATA Center kan installeres på en server, der er medlem af et domæne eller en arbejdsgruppe.
Før du installerer ATA Center, der kører Windows 2012 R2, skal du bekræfte, at følgende opdatering er installeret: KB2919355.
Du kan kontrollere ved at køre følgende Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355].
Installation af ATA Center som en virtuel maskine understøttes.
Serverspecifikationer
Når du arbejder på en fysisk server, nødvendiggør ATA-databasen, at du deaktiverer NUMA (Non-Uniform Memory Access) i BIOS. Dit system kan referere til NUMA som NodeInterleaving, og i så fald skal du aktivere nodeinterleaving for at deaktivere NUMA. Du kan få flere oplysninger i dokumentationen til BIOS.
Du opnår optimal ydeevne ved at angive Power Option i ATA Center til Høj ydeevne.
Antallet af domænecontrollere, du overvåger, og belastningen på hver af domænecontrollerne bestemmer serverspecifikationerne. Du kan få flere oplysninger i ATA-kapacitetsplanlægning.
For Windows-operativsystemer 2008R2 og 2012 understøttes gateway ikke i en tilstand med flere processorgrupper . Du kan få flere oplysninger om gruppetilstand med flere processorer under Fejlfinding.
Tidssynkronisering
ATA Center-serveren, ATA Gateway-serverne og domænecontrollerne skal have tid synkroniseret til inden for fem minutter fra hinanden.
Netværkskort
Du skal have følgende sæt:
Mindst ét netværkskort (hvis du bruger en fysisk server i VLAN-miljøet, anbefales det at bruge to netværkskort)
En IP-adresse til kommunikation mellem ATA Center og ATA Gateway, der krypteres ved hjælp af SSL på port 443. (ATA-tjenesten bindes til alle IP-adresser, som ATA Center har på port 443).
Porte
I følgende tabel vises de minimumporte, der skal åbnes, for at ATA Center fungerer korrekt.
| Protokol | Transport | Havn | Til/fra | Retning |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Indgående |
| HTTP (valgfrit) | TCP | 80 | Firmanetværk | Indgående |
| HTTPS | TCP | 443 | Firmanetværk og ATA Gateway | Indgående |
| SMTP (valgfrit) | TCP | 25 | SMTP-server | Udgående |
| SMTPS (valgfrit) | TCP | 465 | SMTP-server | Udgående |
| Syslog (valgfrit) | TCP/UPS/TLS (kan konfigureres) | 514 (standard) | Syslog-server | Udgående |
| LDAP | TCP og UDP | 389 | Domænecontrollere | Udgående |
| LDAPS (valgfrit) | TCP | 636 | Domænecontrollere | Udgående |
| DNS | TCP og UDP | 53 | DNS-servere | Udgående |
| Kerberos (valgfrit, hvis domænet er tilsluttet) | TCP og UDP | 88 | Domænecontrollere | Udgående |
| Windows Time (valgfrit, hvis domænet er tilsluttet) | UDP | 123 | Domænecontrollere | Udgående |
Bemærk!
LDAP er påkrævet for at teste de legitimationsoplysninger, der skal bruges mellem ATA Gateways og domænecontrollerne. Testen udføres fra ATA Center til en domænecontroller for at teste gyldigheden af disse legitimationsoplysninger, hvorefter ATA Gateway bruger LDAP som en del af den normale løsningsproces.
Certifikater
Hvis du vil installere OG installere ATA hurtigere, kan du installere selvsignerede certifikater under installationen. Hvis du har valgt at bruge selvsignerede certifikater, anbefales det efter den indledende installation at erstatte selvsignerede certifikater med certifikater fra et internt nøglecenter, der skal bruges af ATA Center.
Sørg for, at ATA Center og ATA Gateways har adgang til dit CRL-distributionspunkt. Hvis de ikke har internetadgang, skal du følge proceduren for manuelt at importere en liste over tilbagekaldte certifikater og sørge for at installere alle CRL-distributionspunkterne for hele kæden.
Certifikatet skal have:
- En privat nøgle
- En providertype for enten CSP (Cryptographic Service Provider) eller KSP (Key Storage Provider)
- En offentlig nøglelængde på 2048 bit
- En værdi, der er angivet for flagene KeyEncipherment og ServerAuthentication
- KeySpec-værdien (KeyNumber) for "KeyExchange" (AT_KEYEXCHANGE). Værdien "Signatur" (AT_SIGNATURE) understøttes ikke .
- Alle gatewaycomputere skal kunne validere og have tillid til det valgte centercertifikat fuldt ud.
Du kan f.eks. bruge standardwebserveren eller Computerskabeloner .
Advarsel
Processen til fornyelse af et eksisterende certifikat understøttes ikke. Den eneste måde at forny et certifikat på er ved at oprette et nyt certifikat og konfigurere ATA til at bruge det nye certifikat.
Bemærk!
- Hvis du vil have adgang til ATA-konsollen fra andre computere, skal du sørge for, at disse computere har tillid til det certifikat, der bruges af ATA Center, ellers får du vist en advarselsside om, at der er problemer med webstedets sikkerhedscertifikat, før du går til logonsiden.
- Fra og med ATA version 1.8 administrerer ATA Gateways og Letvægtsgateways deres egne certifikater og har ikke brug for administratorinteraktion for at administrere dem.
ATA Gateway-krav
I dette afsnit beskrives kravene til ATA Gateway.
Generel
ATA Gateway understøtter installation på en server, der kører Windows Server 2012 R2 eller Windows Server 2016 og Windows Server 2019 (herunder serverkerne). ATA Gateway kan installeres på en server, der er medlem af et domæne eller en arbejdsgruppe. ATA Gateway kan bruges til at overvåge domænecontrollere med Windows 2003 og nyere domænefunktionsniveau.
Før du installerer ATA Gateway, der kører Windows 2012 R2, skal du bekræfte, at følgende opdatering er installeret: KB2919355.
Du kan kontrollere ved at køre følgende Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355].
Du kan få oplysninger om brug af virtuelle maskiner med ATA Gateway under Konfigurer portspejling.
Bemærk!
Der kræves mindst 5 GB plads, og 10 GB anbefales. Dette omfatter den plads, der kræves til ATA-binære filer, ATA-logge og ydeevnelogge.
Serverspecifikationer
Du opnår optimal ydeevne ved at angive Power Option for ATA Gateway til Høj ydeevne.
En ATA Gateway kan understøtte overvågning af flere domænecontrollere, afhængigt af mængden af netværkstrafik til og fra domænecontrollerne.
Hvis du vil vide mere om dynamisk hukommelse eller andre funktioner til administration af virtuel maskines hukommelse, skal du se Dynamisk hukommelse.
Du kan få flere oplysninger om hardwarekrav til ATA Gateway i ATA-kapacitetsplanlægning.
Tidssynkronisering
ATA Center-serveren, ATA Gateway-serverne og domænecontrollerne skal have tid synkroniseret til inden for fem minutter fra hinanden.
Netværkskort
ATA Gateway kræver mindst én administrationsadapter og mindst én Capture-adapter:
Administrationsadapter – bruges til kommunikation på virksomhedens netværk. Dette adapter skal konfigureres med følgende indstillinger:
Statisk IP-adresse, herunder standardgateway
Foretrukne og alternative DNS-servere
DNS-suffikset for denne forbindelse skal være domænets DNS-navn for hvert domæne, der overvåges.
Bemærk!
Hvis ATA Gateway er medlem af domænet, kan dette konfigureres automatisk.
Capture adapter – bruges til at hente trafik til og fra domænecontrollere.
Vigtigt!
- Konfigurer portspejling for hentningsadapteren som destination for domænecontrollerens netværkstrafik. Du kan få flere oplysninger under Konfigurer portspejling. Du skal typisk arbejde med netværks- eller virtualiseringsteamet for at konfigurere portspejling.
- Konfigurer en statisk IP-adresse, der ikke kan sendes, for dit miljø uden standardgateway og ingen DNS-serveradresser. For eksempel 1.1.1.1/32. Dette sikrer, at hentningsnetværkskortet kan registrere den maksimale mængde trafik, og at administrationsnetværkskortet bruges til at sende og modtage den påkrævede netværkstrafik.
Porte
I følgende tabel vises de minimumporte, som ATA Gateway kræver konfigureret på administrationsadapteren:
| Protokol | Transport | Havn | Til/fra | Retning |
|---|---|---|---|---|
| LDAP | TCP og UDP | 389 | Domænecontrollere | Udgående |
| Sikker LDAP (LDAPS) | TCP | 636 | Domænecontrollere | Udgående |
| LDAP til globalt katalog | TCP | 3268 | Domænecontrollere | Udgående |
| LDAPS til globalt katalog | TCP | 3269 | Domænecontrollere | Udgående |
| Kerberos | TCP og UDP | 88 | Domænecontrollere | Udgående |
| Netlogon (SMB, CIFS, SAM-R) | TCP og UDP | 445 | Alle enheder på netværket | Udgående |
| Windows Time | UDP | 123 | Domænecontrollere | Udgående |
| DNS | TCP og UDP | 53 | DNS-servere | Udgående |
| NTLM via RPC | TCP | 135 | Alle enheder på netværket | Begge |
| NetBIOS | UDP | 137 | Alle enheder på netværket | Begge |
| SSL | TCP | 443 | ATA Center | Udgående |
| Syslog (valgfrit) | UDP | 514 | SIEM-server | Indgående |
Bemærk!
Som en del af løsningsprocessen udført af ATA Gateway skal følgende porte være åbne indgående på enheder på netværket fra ATA Gateways.
- NTLM via RPC (TCP-port 135)
- NetBIOS (UDP-port 137)
- Ved hjælp af katalogtjenestebrugerkontoen forespørger ATA Gateway slutpunkterne i din organisation for lokale administratorer ved hjælp af SAM-R (netværkslogon) for at oprette grafen over tværgående bevægelsesstier. Du kan få flere oplysninger under Konfigurer de påkrævede SAM-R-tilladelser.
- Følgende porte skal være åbne indgående på enheder på netværket fra ATA Gateway:
- NTLM via RPC (TCP-port 135) til løsningsformål
- NetBIOS (UDP port 137) til løsningsformål
Krav til letvægtsgateway i ATA
I dette afsnit beskrives kravene til ATA Lightweight Gateway.
Generel
ATA Lightweight Gateway understøtter installation på en domænecontroller, der kører Windows Server 2008 R2 SP1 (inklusive ikke Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 og Windows Server 2019 (herunder Core, men ikke Nano).
Domænecontrolleren kan være en skrivebeskyttet domænecontroller (RODC).
Før du installerer ATA Lightweight Gateway på en domænecontroller, der kører Windows Server 2012 R2, skal du bekræfte, at følgende opdatering er installeret: KB2919355.
Du kan kontrollere dette ved at køre følgende Windows PowerShell cmdlet:[Get-HotFix -Id kb2919355]
Hvis installationen er til Windows server 2012 R2 Server Core, skal følgende opdatering også installeres: KB3000850.
Du kan kontrollere dette ved at køre følgende Windows PowerShell cmdlet:[Get-HotFix -Id kb3000850]
Under installationen installeres .Net Framework 4.6.1, og det kan medføre en genstart af domænecontrolleren.
Bemærk!
Der kræves mindst 5 GB plads, og 10 GB anbefales. Dette omfatter den plads, der kræves til ATA-binære filer, ATA-logge og ydeevnelogge.
Serverspecifikationer
ATA Lightweight Gateway kræver mindst 2 kerner og 6 GB RAM installeret på domænecontrolleren. Du opnår optimal ydeevne ved at angive Power Option for ATA Lightweight Gateway til høj ydeevne. ATA Lightweight Gateway kan installeres på domænecontrollere med forskellige belastninger og størrelser, afhængigt af mængden af netværkstrafik til og fra domænecontrollerne og mængden af ressourcer, der er installeret på den pågældende domænecontroller.
Hvis du vil vide mere om dynamisk hukommelse eller andre funktioner til administration af virtuel maskines hukommelse, skal du se Dynamisk hukommelse.
Du kan få flere oplysninger om hardwarekrav til ATA Lightweight Gateway i ATA-kapacitetsplanlægning.
Tidssynkronisering
ATA Center-serveren, ATA Lightweight Gateway-serverne og domænecontrollerne skal have tid synkroniseret til inden for fem minutter fra hinanden.
Netværkskort
ATA Lightweight Gateway overvåger den lokale trafik på alle domænecontrollerens netværkskort.
Efter udrulningen kan du bruge ATA-konsollen, hvis du vil ændre, hvilke netværkskort der overvåges.
Bemærk!
Letvægtsgatewayen understøttes ikke på domænecontrollere, der kører Windows 2008 R2 med Broadcom Network Adapter Teaming aktiveret.
Porte
I følgende tabel vises de mindste porte, som ATA Lightweight Gateway kræver:
| Protokol | Transport | Havn | Til/fra | Retning |
|---|---|---|---|---|
| DNS | TCP og UDP | 53 | DNS-servere | Udgående |
| NTLM via RPC | TCP | 135 | Alle enheder på netværket | Begge |
| NetBIOS | UDP | 137 | Alle enheder på netværket | Begge |
| SSL | TCP | 443 | ATA Center | Udgående |
| Syslog (valgfrit) | UDP | 514 | SIEM-server | Indgående |
| Netlogon (SMB, CIFS, SAM-R) | TCP og UDP | 445 | Alle enheder på netværket | Udgående |
Bemærk!
Som en del af den løsningsproces, der udføres af ATA Lightweight Gateway, skal følgende porte være åbne indgående på enheder på netværket fra ATA Lightweight Gateways.
- NTLM via RPC
- NetBIOS
- Ved hjælp af katalogtjenestebrugerkontoen forespørger ATA Lightweight Gateway slutpunkterne i din organisation for lokale administratorer ved hjælp af SAM-R (netværkslogon) for at oprette grafen over tværgående bevægelsesstier. Du kan få flere oplysninger under Konfigurer de påkrævede SAM-R-tilladelser.
- Følgende porte skal være åbne indgående på enheder på netværket fra ATA Gateway:
- NTLM via RPC (TCP-port 135) til løsningsformål
- NetBIOS (UDP port 137) til løsningsformål
Dynamisk hukommelse
Bemærk!
Når du kører ATA-tjenester som en virtuel maskine, kræver tjenesten hele tiden, at der allokeres al hukommelse til VM'en.
| VM, der kører på | Beskrivelse |
|---|---|
| Hyper-V | Sørg for, at Aktivér dynamisk hukommelse ikke er aktiveret for vm'en. |
| VMWare | Sørg for, at den mængde hukommelse, der er konfigureret, og den reserverede hukommelse er den samme, eller vælg følgende indstilling i indstillingen VM – reserver al gæstehukommelse (alle låste). |
| Anden virtualiseringsvært | Se dokumentationen fra leverandøren for at få oplysninger om, hvordan du sikrer, at der hele tiden allokeres fuld hukommelse til vm'en. |
Hvis du kører ATA Center som en virtuel maskine, skal du lukke serveren, før du opretter et nyt kontrolpunkt for at undgå potentielt beskadigelse af databasen.
ATA-konsol
Adgang til ATA-konsollen sker via en browser, der understøtter browsere og indstillinger:
Internet Explorer version 10 og nyere
Microsoft Edge
Google Chrome 40 og nyere
Minimumopløsning for skærmbredde på 1700 pixel