ATA-Kapazitätsplanung
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Artikel erfahren Sie, wie viele ATA-Server zum Überwachen Ihres Netzwerks benötigt werden. Es hilft Ihnen zu schätzen, wie viele ATA-Gateways und/oder ATA-Lightweight-Gateways Sie benötigen, und die Serverkapazität für Ihre ATA Center- und ATA-Gateways.
Hinweis
ATA Center kann auf jedem IaaS-Anbieter bereitgestellt werden, solange die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
Verwenden des Größenanpassungstools
Die empfohlene und einfachste Möglichkeit zum Ermitteln der Kapazität für Ihre ATA-Bereitstellung ist die Verwendung des ATA-Größentools. Führen Sie das ATA-Größenanpassungstool aus, und verwenden Sie aus den Excel-Dateiergebnissen die folgenden Felder, um die ata-Kapazität zu ermitteln, die Sie benötigen:
ATA Center CPU und Arbeitsspeicher: Vergleichen Sie das Feld Ausgelastete Pakete/Sekunde in der ATA Center-Tabellenergebnisdatei mit dem Feld PAKETE PRO SEKUNDE in der ATA Center-Tabelle.
ATA Center Storage: Vergleichen Sie das Feld Durchschn. Pakete/Sek . in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld PAKETE PRO SEKUNDE in der ATA Center-Tabelle.
ATA-Gateway: Passen Sie das Feld Ausgelastete Pakete/Sekunde in der Tabelle ATA-Gateway in der Ergebnisdatei dem Feld PACKETS PER SECOND in der ATA Gateway-Tabelle oder der ATA Lightweight Gateway-Tabelle an, je nach ausgewähltem Gatewaytyp.
Hinweis
Da verschiedene Umgebungen variieren und mehrere spezielle und unerwartete Merkmale des Netzwerkdatenverkehrs aufweisen, müssen Sie nach der ersten Bereitstellung von ATA und dem Tool zur Größenanpassung möglicherweise Ihre Bereitstellung anpassen und optimieren, um die Kapazität zu optimieren.
Wenn Sie das ATA-Größenanpassungstool nicht verwenden können, sammeln Sie die Paket-/s-Indikatorinformationen mit einem niedrigen Sammlungsintervall (ca. 5 Sekunden) von allen Ihren Domänencontrollern 24 Stunden lang manuell. Berechnen Sie dann für jeden Domänencontroller den Tagesdurchschnitt und den durchschnittlichen Zeitraum mit der größten Auslastung (15 Minuten). Die folgenden Abschnitte enthalten Anweisungen zum Erfassen der Pakete/Sekunde von einem Domänencontroller.
Hinweis
Da verschiedene Umgebungen variieren und mehrere spezielle und unerwartete Merkmale des Netzwerkdatenverkehrs aufweisen, müssen Sie nach der ersten Bereitstellung von ATA und dem Tool zur Größenanpassung möglicherweise Ihre Bereitstellung anpassen und optimieren, um die Kapazität zu optimieren.
ATA Center-Größenanpassung
Ata Center erfordert eine empfohlene Datenmenge von mindestens 30 Tagen für die Analyse des Benutzerverhaltens.
| Pakete pro Sekunde von allen DCs | CPU (Kerne*) | Arbeitsspeicher (GB) | Datenbankspeicher pro Tag (GB) | Datenbankspeicher pro Monat (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3.600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Dies schließt physische Kerne ein, keine Hyperthreadkerne.
**Durchschnittliche Zahlen (Spitzenzahlen)
Hinweis
- ATA Center kann maximal 1 Millionen Pakete pro Sekunde von allen überwachten Domänencontrollern verarbeiten. In einigen Umgebungen kann dasselbe ATA Center den gesamten Datenverkehr verarbeiten, der größer als 1M ist, und einige Umgebungen können die ATA-Kapazität überschreiten. Kontaktieren Sie uns unter azureatpfeedback@microsoft.com , um Unterstützung bei der Planung und Schätzung großer Umgebungen zu erhalten.
- Wenn Ihr freier Speicherplatz mindestens 20 % oder 200 GB erreicht, wird die älteste Datensammlung gelöscht. Wenn es nicht möglich ist, die Datensammlung erfolgreich auf diese Ebene zu reduzieren, wird eine Warnung protokolliert. ATA funktioniert weiterhin, bis der Schwellenwert von 5 % oder 50 GB free erreicht ist. An diesem Punkt beendet ATA das Auffüllen der Datenbank, und es wird eine zusätzliche Warnung ausgegeben.
- Sie können ATA Center auf jedem IaaS-Anbieter bereitstellen, wenn die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
- Die Speicherlatenz für Lese- und Schreibaktivitäten sollte unter 10 ms liegen.
- Das Verhältnis zwischen Lese- und Schreibaktivitäten beträgt ungefähr 1:3 unterhalb von 100.000 Paketen pro Sekunde und 1:6 über 100.000 Paketen pro Sekunde.
- Wenn Das Center als virtueller Computer (VM) ausgeführt wird, muss dem virtuellen Computer jederzeit der gesamte Arbeitsspeicher zugeordnet werden. Weitere Informationen zum Ausführen von ATA Center als virtueller Computer finden Sie unter ATA Center-Anforderungen.
- Um eine optimale Leistung zu erzielen, legen Sie die Energieoption von ATA Center auf Hohe Leistung fest.
- Wenn Sie auf einem physischen Server arbeiten, muss die ATA-Datenbank den nicht einheitlichen Speicherzugriff (Non-Uniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System kann NUMA als Knotenverschachtelung bezeichnen. In diesem Fall müssen Sie Node Interleaving aktivieren , um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation. Dies ist nicht relevant, wenn ATA Center auf einem virtuellen Server ausgeführt wird.
Auswählen des richtigen Gatewaytyps für Ihre Bereitstellung
In einer ATA-Bereitstellung wird eine beliebige Kombination der ATA-Gatewaytypen unterstützt:
- Nur ATA-Gateways
- Nur ATA Lightweight-Gateways
- Eine Kombination aus beiden
Berücksichtigen Sie bei der Entscheidung des Gatewaybereitstellungstyps die folgenden Vorteile:
| Gatewaytyp | Vorteile | Kosten | Bereitstellungstopologie | Verwenden des Domänencontrollers |
|---|---|---|---|---|
| ATA-Gateway | Die Out-of-Band-Bereitstellung erschwert es Angreifern, ata zu erkennen, dass vorhanden ist | Higher | Installation neben dem Domänencontroller (Out-of-Band) | Unterstützt bis zu 50.000 Pakete pro Sekunde |
| ATA Lightweight Gateway | Erfordert keinen dedizierten Server und keine Konfiguration für die Portspiegelung | Lower | Auf dem Domänencontroller installiert | Unterstützt bis zu 10.000 Pakete pro Sekunde |
Im Folgenden finden Sie Beispiele für Szenarien, in denen Domänencontroller vom ATA-Lightweight-Gateway abgedeckt werden sollten:
Zweigstellenstandorte
In der Cloud bereitgestellte virtuelle Domänencontroller (IaaS)
Im Folgenden finden Sie Beispiele für Szenarien, in denen Domänencontroller vom ATA-Gateway abgedeckt werden sollten:
- Zentrale Rechenzentren (mit Domänencontrollern mit mehr als 10.000 Paketen pro Sekunde)
ATA Lightweight Gateway– Dimensionierung
Ein ATA-Lightweight-Gateway kann die Überwachung eines Domänencontrollers basierend auf dem Vom Domänencontroller generierten Netzwerkdatenverkehr unterstützen.
| Pakete pro Sekunde* | CPU (Kerne**) | Arbeitsspeicher (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Gesamtanzahl der Pakete pro Sekunde auf dem Domänencontroller, die vom spezifischen ATA-Lightweight-Gateway überwacht werden.
**Die Gesamtanzahl der Nicht-Hyperthreadkerne, die auf diesem Domänencontroller installiert sind.
Hyperthreading ist zwar für das ATA-Lightweight-Gateway akzeptabel, bei der Kapazitätsplanung sollten Sie jedoch die tatsächlichen Kerne und keine Hyperthreadkerne zählen.
Gesamtspeichermenge, die auf diesem Domänencontroller installiert ist.
Hinweis
- Wenn der Domänencontroller nicht über die für das ATA-Lightweight-Gateway erforderlichen Ressourcen verfügt, wird die Leistung des Domänencontrollers nicht beeinträchtigt, aber das ATA-Lightweightgateway funktioniert möglicherweise nicht wie erwartet.
- Beim Ausführen des Gateways als virtueller Computer (VM) muss der gesamte Arbeitsspeicher des Gateways jederzeit dem virtuellen Computer zugeordnet werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Anforderungen an den dynamischen Arbeitsspeicher.
- Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des ATA Lightweight-Gateways auf Hohe Leistung fest.
- Es sind mindestens 5 GB Speicherplatz erforderlich, und es werden 10 GB empfohlen, einschließlich des speicherplatzes, der für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle erforderlich ist.
Dimensionierung des ATA-Gateways
Berücksichtigen Sie die folgenden Probleme, wenn Sie entscheiden, wie viele ATA-Gateways bereitgestellt werden sollen.
-
Active Directory-Gesamtstrukturen und -Domänen
ATA kann Datenverkehr von mehreren Domänen aus einer einzelnen Active Directory-Gesamtstruktur überwachen. Die Überwachung mehrerer Active Directory-Gesamtstrukturen erfordert separate ATA-Bereitstellungen. Konfigurieren Sie keine einzelne ATA-Bereitstellung, um den Netzwerkdatenverkehr von Domänencontrollern aus verschiedenen Gesamtstrukturen zu überwachen. -
Portspiegelung
Überlegungen zur Portspiegelung erfordern möglicherweise, dass Sie mehrere ATA-Gateways pro Datengateway oder Zweigstellenstandort bereitstellen. -
Kapazität
Ein ATA-Gateway kann die Überwachung mehrerer Domänencontroller unterstützen, abhängig vom Umfang des Netzwerkdatenverkehrs der überwachten Domänencontroller.
| Pakete pro Sekunde* | CPU (Kerne**) | Arbeitsspeicher (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Die durchschnittliche Gesamtanzahl der Pakete pro Sekunde von allen Domänencontrollern, die von dem jeweiligen ATA-Gateway während der aktivsten Stunde des Tages überwacht werden.
*Die Gesamtmenge des datenverkehrsgespiegelten Domänencontrollers darf die Kapazität der Erfassungs-NIC auf dem ATA-Gateway nicht überschreiten.
**Hyperthreading muss deaktiviert sein.
Hinweis
- Beim Ausführen des Gateways als virtueller Computer (VM) muss der gesamte Arbeitsspeicher des Gateways jederzeit dem virtuellen Computer zugeordnet werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Anforderungen an dynamischen Arbeitsspeicher.
- Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des ATA-Gateways auf Hohe Leistung fest.
- Es sind mindestens 5 GB Speicherplatz erforderlich, und es werden 10 GB empfohlen, einschließlich des speicherplatzes, der für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle erforderlich ist.