ATA-Voraussetzungen
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Artikel werden die Anforderungen für eine erfolgreiche ATA-Bereitstellung in Ihrer Umgebung beschrieben.
Hinweis
Informationen zum Planen von Ressourcen und Kapazität finden Sie unter ATA-Kapazitätsplanung.
ATA besteht aus DEM ATA Center, dem ATA-Gateway und/oder dem ATA-Lightweight-Gateway. Weitere Informationen zu den ATA-Komponenten finden Sie unter ATA-Architektur.
Das ATA-System funktioniert auf der Active Directory-Gesamtstrukturgrenze und unterstützt die Gesamtstrukturfunktionsebene (FFL) von Windows 2003 und höher.
Bevor Sie beginnen: In diesem Abschnitt werden Informationen aufgeführt, die Sie erfassen sollten, sowie Konten und Netzwerkentitäten, die Sie vor dem Starten der ATA-Installation benötigen.
ATA Center: In diesem Abschnitt werden ATA Center-Hardware, Softwareanforderungen sowie Einstellungen aufgeführt, die Sie auf Ihrem ATA Center-Server konfigurieren müssen.
ATA-Gateway: In diesem Abschnitt werden ATA Gateway-Hardware, Softwareanforderungen sowie Einstellungen aufgeführt, die Sie auf Ihren ATA-Gatewayservern konfigurieren müssen.
ATA Lightweight Gateway: In diesem Abschnitt werden die Hardware- und Softwareanforderungen für ATA Lightweight Gateway aufgeführt.
ATA-Konsole: In diesem Abschnitt werden die Browseranforderungen für die Ausführung der ATA-Konsole aufgeführt.
Vorbereitende Schritte
In diesem Abschnitt werden Informationen aufgeführt, die Sie sammeln sollten, sowie Konten und Netzwerkentitäten, die Sie vor dem Starten der ATA-Installation benötigen.
Benutzerkonto und Kennwort mit Lesezugriff auf alle Objekte in den überwachten Domänen.
Hinweis
Wenn Sie benutzerdefinierte ACLs für verschiedene Organisationseinheiten (OE) in Ihrer Domäne festgelegt haben, stellen Sie sicher, dass der ausgewählte Benutzer über Leseberechtigungen für diese Organisationseinheiten verfügt.
Installieren Sie Microsoft Message Analyzer nicht auf einem ATA-Gateway oder Lightweight-Gateway. Der Message Analyzer-Treiber steht in Konflikt mit dem ATA-Gateway und den Lightweight Gateway-Treibern. Wenn Sie Wireshark auf dem ATA-Gateway ausführen, müssen Sie den Microsoft Advanced Threat Analytics-Gatewaydienst neu starten, nachdem Sie die Wireshark-Erfassung beendet haben. Andernfalls beendet das Gateway die Erfassung von Datenverkehr. Das Ausführen von Wireshark auf einem ATA Lightweight Gateway beeinträchtigt das ATA-Lightweight-Gateway nicht.
Empfohlen: Der Benutzer sollte über schreibgeschützte Berechtigungen für den Container "Gelöschte Objekte" verfügen. Dadurch kann ATA das Massenlöschen von Objekten in der Domäne erkennen. Informationen zum Konfigurieren schreibgeschützter Berechtigungen für den Container "Gelöschte Objekte" finden Sie im Abschnitt Ändern von Berechtigungen für einen gelöschten Objektcontainer im Artikel Anzeigen oder Festlegen von Berechtigungen für ein Verzeichnisobjekt .
Optional: Ein Benutzerkonto eines Benutzers ohne Netzwerkaktivitäten. Dieses Konto kann als ATA Honeytoken-Benutzer konfiguriert werden. Um ein Konto als Honeytoken-Benutzer zu konfigurieren, ist nur der Benutzername erforderlich. Informationen zur Honeytoken-Konfiguration finden Sie unter Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzer.
Optional: Zusätzlich zum Sammeln und Analysieren von Netzwerkdatenverkehr zu und von den Domänencontrollern kann ATA die Windows-Ereignisse 4776, 4732, 4733, 4728, 4729, 4756 und 4757 verwenden, um die Erkennungen von ATA-Pass-the-Hash, Brute Force, Änderung an sensiblen Gruppen und Honey Tokens weiter zu verbessern. Diese Ereignisse können von Ihrem SIEM oder durch Festlegen der Windows-Ereignisweiterleitung von Ihrem Domänencontroller empfangen werden. Erfasste Ereignisse stellen ATA zusätzliche Informationen bereit, die nicht über den Netzwerkdatenverkehr des Domänencontrollers verfügbar sind.
ATA Center-Anforderungen
In diesem Abschnitt werden die Anforderungen für ATA Center aufgeführt.
Allgemein
ATA Center unterstützt die Installation auf einem Server unter Windows Server 2012 R2 Windows Server 2016 und Windows Server 2019.
Hinweis
Das ATA Center unterstützt Windows Server Core nicht.
ATA Center kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist.
Vergewissern Sie sich vor der Installation von ATA Center unter Windows 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Sie können dies überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355].
Die Installation von ATA Center als virtueller Computer wird unterstützt.
Serverspezifikationen
Wenn Sie auf einem physischen Server arbeiten, müssen Sie für die ATA-Datenbank den nicht einheitlichen Speicherzugriff (Non-Uniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System kann NUMA als Knotenverschachtelung bezeichnen. In diesem Fall müssen Sie Node Interleaving aktivieren , um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation.
Um eine optimale Leistung zu erzielen, legen Sie die Energieoption von ATA Center auf Hohe Leistung fest.
Die Anzahl der überwachten Domänencontroller und die Last auf den einzelnen Domänencontrollern bestimmen die erforderlichen Serverspezifikationen. Weitere Informationen finden Sie unter ATA-Kapazitätsplanung.
Für die Windows-Betriebssysteme 2008R2 und 2012 wird gateway im Modus "Multi Processor Group " nicht unterstützt. Weitere Informationen zum Gruppenmodus mit mehreren Prozessoren finden Sie unter Problembehandlung.
Zeitsynchronisierung
Für den ATA Center-Server, die ATA-Gatewayserver und die Domänencontroller muss die Zeit innerhalb von fünf Minuten synchronisiert sein.
Netzwerkkarte
Folgendes sollte festgelegt sein:
Mindestens einen Netzwerkadapter (bei Verwendung eines physischen Servers in einer VLAN-Umgebung wird empfohlen, zwei Netzwerkadapter zu verwenden)
Eine IP-Adresse für die Kommunikation zwischen ATA Center und dem ATA-Gateway, die mit SSL an Port 443 verschlüsselt wird. (Der ATA-Dienst bindet an alle IP-Adressen, über die ATA Center an Port 443 verfügt.)
Ports
In der folgenden Tabelle sind die Ports aufgeführt, die mindestens geöffnet werden müssen, damit ATA Center ordnungsgemäß funktioniert.
| Protokoll | Transport | Port | An/Von | Richtung |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA-Gateway | Eingehend |
| HTTP (optional) | TCP | 80 | Unternehmensnetzwerk | Eingehend |
| HTTPS | TCP | 443 | Unternehmensnetzwerk und ATA-Gateway | Eingehend |
| SMTP (optional) | TCP | 25 | SMTP-Server | Ausgehend |
| SMTPS (optional) | TCP | 465 | SMTP-Server | Ausgehend |
| Syslog (optional) | TCP/UPS/TLS (konfigurierbar) | 514 (Standard) | Syslog-Server | Ausgehend |
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| LDAPS (optional) | TCP | 636 | Domänencontroller | Ausgehend |
| DNS | TCP und UDP | 53 | DNS-Server | Ausgehend |
| Kerberos (optional bei Domänenbeigetreten) | TCP und UDP | 88 | Domänencontroller | Ausgehend |
| Windows-Zeit (optional bei Domänenbeigetreten) | UDP | 123 | Domänencontroller | Ausgehend |
Hinweis
LDAP ist erforderlich, um die Anmeldeinformationen zu testen, die zwischen den ATA-Gateways und den Domänencontrollern verwendet werden sollen. Der Test wird von ATA Center auf einen Domänencontroller durchgeführt, um die Gültigkeit dieser Anmeldeinformationen zu testen. Danach verwendet das ATA-Gateway LDAP als Teil seines normalen Auflösungsprozesses.
Zertifikate
Um ATA schneller zu installieren und bereitzustellen, können Sie selbstsignierte Zertifikate während der Installation installieren. Wenn Sie sich für die Verwendung selbstsignierter Zertifikate entschieden haben, empfiehlt es sich, nach der ersten Bereitstellung selbstsignierte Zertifikate durch Zertifikate einer internen Zertifizierungsstelle zu ersetzen, die von ATA Center verwendet werden sollen.
Stellen Sie sicher, dass die ATA Center- und ATA-Gateways Zugriff auf Ihren CRL-Verteilungspunkt haben. Wenn sie keinen Internetzugriff haben, führen Sie das Verfahren zum manuellen Importieren einer Zertifikatsperrliste aus, wobei Sie darauf achten, dass alle CRL-Verteilungspunkte für die gesamte Kette installiert werden.
Das Zertifikat muss Folgendes aufweisen:
- Ein privater Schlüssel
- Ein Anbietertyp von Kryptografiedienstanbieter (CSP) oder Key Storage Provider (KSP)
- Eine Länge des öffentlichen Schlüssels von 2048 Bits
- Ein Wert, der für die Verwendungsflags "KeyEncipherment" und "ServerAuthentication" festgelegt ist
- KeySpec-Wert (KeyNumber) von "KeyExchange" (AT_KEYEXCHANGE). Der Wert "Signature" (AT_SIGNATURE) wird nicht unterstützt.
- Alle Gatewaycomputer müssen in der Lage sein, das ausgewählte Center-Zertifikat vollständig zu überprüfen und zu vertrauen.
Sie können z. B. die Standard-Webserver - oder Computervorlagen verwenden.
Warnung
Das Verlängern eines vorhandenen Zertifikats wird nicht unterstützt. Die einzige Möglichkeit zum Verlängern eines Zertifikats besteht darin, ein neues Zertifikat zu erstellen und ATA für die Verwendung des neuen Zertifikats zu konfigurieren.
Hinweis
- Wenn Sie von anderen Computern aus auf die ATA-Konsole zugreifen möchten, stellen Sie sicher, dass diese Computer dem von ATA Center verwendeten Zertifikat vertrauen, andernfalls erhalten Sie eine Warnungsseite, dass ein Problem mit dem Sicherheitszertifikat der Website vorliegt, bevor Sie zur Anmeldeseite gelangen.
- Ab ATA Version 1.8 verwalten die ATA-Gateways und Lightweight-Gateways ihre eigenen Zertifikate und benötigen keine Administratorinteraktion, um sie zu verwalten.
ATA-Gatewayanforderungen
In diesem Abschnitt werden die Anforderungen für das ATA-Gateway aufgeführt.
Allgemein
Das ATA-Gateway unterstützt die Installation auf einem Server mit Windows Server 2012 R2 oder Windows Server 2016 und Windows Server 2019 (einschließlich Server Core). Das ATA-Gateway kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist. Das ATA-Gateway kann zum Überwachen von Domänencontrollern mit Domänenfunktionsebene von Windows 2003 und höher verwendet werden.
Vergewissern Sie sich vor der Installation des ATA-Gateways unter Windows 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Sie können dies überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355].
Informationen zur Verwendung virtueller Computer mit dem ATA-Gateway finden Sie unter Konfigurieren der Portspiegelung.
Hinweis
Es sind mindestens 5 GB Speicherplatz erforderlich, und es werden 10 GB empfohlen. Dies schließt den erforderlichen Speicherplatz für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle ein.
Serverspezifikationen
Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des ATA-Gateways auf Hohe Leistung fest.
Ein ATA-Gateway kann die Überwachung mehrerer Domänencontroller unterstützen, abhängig von der Menge des Netzwerkdatenverkehrs zu und von den Domänencontrollern.
Weitere Informationen zum dynamischen Arbeitsspeicher oder zu anderen Features für die Arbeitsspeicherverwaltung virtueller Computer finden Sie unter Dynamischer Arbeitsspeicher.
Weitere Informationen zu den Hardwareanforderungen für ATA-Gateways finden Sie unter ATA-Kapazitätsplanung.
Zeitsynchronisierung
Für den ATA Center-Server, die ATA-Gatewayserver und die Domänencontroller muss die Zeit innerhalb von fünf Minuten synchronisiert sein.
Netzwerkkarte
Das ATA-Gateway erfordert mindestens einen Verwaltungsadapter und mindestens einen Capture-Adapter:
Verwaltungsadapter : Wird für die Kommunikation in Ihrem Unternehmensnetzwerk verwendet. Dieser Adapter sollte mit den folgenden Einstellungen konfiguriert werden:
Statische IP-Adresse einschließlich Standardgateway
Bevorzugte und alternative DNS-Server
Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Domäne für jede zu überwachende Domäne sein.
Hinweis
Wenn das ATA-Gateway Mitglied der Domäne ist, kann dies automatisch konfiguriert werden.
Erfassungsadapter : Dient zum Erfassen von Datenverkehr zu und von den Domänencontrollern.
Wichtig
- Konfigurieren Sie die Portspiegelung für den Erfassungsadapter als Ziel des Netzwerkdatenverkehrs des Domänencontrollers. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam zusammenarbeiten, um die Portspiegelung zu konfigurieren.
- Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse für Ihre Umgebung ohne Standardgateway und DNS-Serveradressen. Beispiel: 1.1.1.1/32. Dadurch wird sichergestellt, dass der Capture-Netzwerkadapter die maximale Menge an Datenverkehr erfassen kann und dass der Verwaltungsnetzwerkadapter zum Senden und Empfangen des erforderlichen Netzwerkdatenverkehrs verwendet wird.
Ports
In der folgenden Tabelle sind die Mindestensports aufgeführt, die für das ATA-Gateway auf dem Verwaltungsadapter konfiguriert werden müssen:
| Protokoll | Transport | Port | An/Von | Richtung |
|---|---|---|---|---|
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Secure LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
| Kerberos | TCP und UDP | 88 | Domänencontroller | Ausgehend |
| Netlogon (SMB, CIFS, SAM-R) | TCP und UDP | 445 | Alle Geräte im Netzwerk | Ausgehend |
| Windows-Zeitdienst | UDP | 123 | Domänencontroller | Ausgehend |
| DNS | TCP und UDP | 53 | DNS-Server | Ausgehend |
| NTLM über RPC | TCP | 135 | Alle Geräte im Netzwerk | In beide Richtungen |
| NetBIOS | UDP | 137 | Alle Geräte im Netzwerk | In beide Richtungen |
| SSL | TCP | 443 | ATA Center | Ausgehend |
| Syslog (optional) | UDP | 514 | SIEM-Server | Eingehend |
Hinweis
Im Rahmen des Vom ATA-Gateway durchgeführten Lösungsprozesses müssen die folgenden Ports auf Geräten im Netzwerk von den ATA-Gateways aus eingehend geöffnet sein.
- NTLM über RPC (TCP-Port 135)
- NetBIOS (UDP-Port 137)
- Mithilfe des Verzeichnisdienstbenutzerkontos fragt das ATA-Gateway Endpunkte in Ihrem organization für lokale Administratoren ab, indem SAM-R (Netzwerkanmeldung) verwendet wird, um das Lateral Movement-Pfaddiagramm zu erstellen. Weitere Informationen finden Sie unter Konfigurieren der erforderlichen SAM-R-Berechtigungen.
- Die folgenden Ports müssen auf Geräten im Netzwerk vom ATA-Gateway eingehend geöffnet sein:
- NTLM über RPC (TCP-Port 135) zu Auflösungszwecken
- NetBIOS (UDP-Port 137) zu Auflösungszwecken
ATA Lightweight Gateway-Anforderungen
In diesem Abschnitt werden die Anforderungen für das ATA-Lightweight-Gateway aufgeführt.
Allgemein
Das ATA Lightweight Gateway unterstützt die Installation auf einem Domänencontroller unter Windows Server 2008 R2 SP1 (ohne Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 und Windows Server 2019 (einschließlich Core, aber nicht Nano).
Der Domänencontroller kann ein schreibgeschützter Domänencontroller (RODC) sein.
Vergewissern Sie sich vor der Installation von ATA Lightweight Gateway auf einem Domänencontroller mit Windows Server 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Sie können dies überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen:[Get-HotFix -Id kb2919355]
Wenn die Installation für Windows Server 2012 R2 Server Core vorgesehen ist, sollte auch das folgende Update installiert werden: KB3000850.
Sie können dies überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen:[Get-HotFix -Id kb3000850]
Während der Installation wird .NET Framework 4.6.1 installiert und kann zu einem Neustart des Domänencontrollers führen.
Hinweis
Es sind mindestens 5 GB Speicherplatz erforderlich, und es werden 10 GB empfohlen. Dies schließt den erforderlichen Speicherplatz für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle ein.
Serverspezifikationen
Das ATA-Lightweight-Gateway erfordert mindestens 2 Kerne und 6 GB RAM, die auf dem Domänencontroller installiert sind. Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des ATA Lightweight-Gateways auf Hohe Leistung fest. Das ATA-Lightweight-Gateway kann auf Domänencontrollern mit verschiedenen Lasten und Größen bereitgestellt werden, abhängig von der Menge des Netzwerkdatenverkehrs zu und von den Domänencontrollern und der Menge der auf diesem Domänencontroller installierten Ressourcen.
Weitere Informationen zum dynamischen Arbeitsspeicher oder zu anderen Features für die Arbeitsspeicherverwaltung virtueller Computer finden Sie unter Dynamischer Arbeitsspeicher.
Weitere Informationen zu den Hardwareanforderungen für ATA Lightweight Gateway finden Sie unter ATA-Kapazitätsplanung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA-Lightweight-Gatewayserver und die Domänencontroller müssen innerhalb von fünf Minuten mit synchronisiert werden.
Netzwerkkarte
Das ATA-Lightweight-Gateway überwacht den lokalen Datenverkehr auf allen Netzwerkadaptern des Domänencontrollers.
Nach der Bereitstellung können Sie die ATA-Konsole verwenden, wenn Sie jemals ändern möchten, welche Netzwerkadapter überwacht werden.
Hinweis
Das Lightweight-Gateway wird auf Domänencontrollern unter Windows 2008 R2 mit aktiviertem Teaming für Broadcom-Netzwerkadapter nicht unterstützt.
Ports
In der folgenden Tabelle sind die Mindestports aufgeführt, die für das ATA-Lightweight-Gateway erforderlich sind:
| Protokoll | Transport | Port | An/Von | Richtung |
|---|---|---|---|---|
| DNS | TCP und UDP | 53 | DNS-Server | Ausgehend |
| NTLM über RPC | TCP | 135 | Alle Geräte im Netzwerk | In beide Richtungen |
| NetBIOS | UDP | 137 | Alle Geräte im Netzwerk | In beide Richtungen |
| SSL | TCP | 443 | ATA Center | Ausgehend |
| Syslog (optional) | UDP | 514 | SIEM-Server | Eingehend |
| Netlogon (SMB, CIFS, SAM-R) | TCP und UDP | 445 | Alle Geräte im Netzwerk | Ausgehend |
Hinweis
Im Rahmen des Auflösungsprozesses, der vom ATA-Lightweight-Gateway ausgeführt wird, müssen die folgenden Ports von den ATA-Lightweight-Gateways eingehend auf Geräten im Netzwerk geöffnet sein.
- NTLM über RPC
- NetBIOS
- Mithilfe des Verzeichnisdienstbenutzerkontos fragt das ATA Lightweight Gateway Endpunkte in Ihrem organization für lokale Administratoren ab, indem SAM-R (Netzwerkanmeldung) verwendet wird, um das Lateral Movement-Pfaddiagramm zu erstellen. Weitere Informationen finden Sie unter Konfigurieren der erforderlichen SAM-R-Berechtigungen.
- Die folgenden Ports müssen auf Geräten im Netzwerk vom ATA-Gateway eingehend geöffnet sein:
- NTLM über RPC (TCP-Port 135) zu Auflösungszwecken
- NetBIOS (UDP-Port 137) zu Auflösungszwecken
Dynamischer Arbeitsspeicher
Hinweis
Wenn ATA-Dienste als virtueller Computer (VM) ausgeführt werden, muss der gesamte Arbeitsspeicher dem virtuellen Computer jederzeit zugewiesen werden.
| VIRTUELLER Computer, der auf ausgeführt wird | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| VMWare | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie die folgende Option in der VM-Einstellung aus: Gesamten Gastspeicher reservieren (Alle gesperrt). |
| Anderer Virtualisierungshost | In der vom Hersteller bereitgestellten Dokumentation erfahren Sie, wie Sie sicherstellen können, dass der vm jederzeit vollständig Arbeitsspeicher zugeordnet ist. |
Wenn Sie ATA Center als virtuellen Computer ausführen, fahren Sie den Server herunter, bevor Sie einen neuen Prüfpunkt erstellen, um potenzielle Datenbankbeschädigungen zu vermeiden.
ATA-Konsole
Der Zugriff auf die ATA-Konsole erfolgt über einen Browser, der die Browser und Einstellungen unterstützt:
Internet Explorer Version 10 und höher
Microsoft Edge
Google Chrome 40 und höher
Minimale Bildschirmbreitenauflösung von 1700 Pixeln