Compartir a través de


Requisitos previos de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

En este artículo se describen los requisitos para una implementación correcta de ATA en un entorno.

Nota:

Para obtener más información sobre cómo planificar la capacidad y los recursos, consulte Planeamiento de capacidad de ATA.

ATA se compone del Centro de ATA, la puerta de enlace de ATA o la puerta de enlace ligera de ATA. Para obtener más información sobre los componentes de ATA, consulte Arquitectura de ATA.

El sistema ATA funciona en el límite del bosque de Active Directory y admite el nivel funcional del bosque (FFL) de Windows 2003 y versiones posteriores.

Antes de empezar: en esta sección se muestra información que debe recopilar y cuentas y entidades de red que debe tener antes de iniciar la instalación de ATA.

Centro de ATA: en esta sección se enumeran los requisitos de hardware y software del Centro de ATA, así como las opciones que necesita configurar en el servidor del Centro de ATA.

Puerta de enlace de ATA: en esta sección se enumeran los requisitos de hardware y software de la puerta de enlace de ATA, así como las opciones que necesita configurar en los servidores de puerta de enlace de ATA.

Puerta de enlace ligera de ATA: en esta sección se enumeran los requisitos de hardware y software de la puerta de enlace ligera de ATA.

Consola de ATA: en esta sección se enumeran los requisitos del navegador para ejecutar la consola de ATA.

ATA architecture diagram.

Antes de comenzar

En esta sección se muestra la información que debe reunir, así como las cuentas y las entidades de red que deben existir antes de comenzar la instalación de ATA.

  • Cuenta de usuario y contraseña con acceso de lectura a todos los objetos en los dominios supervisados.

    Nota:

    Si ha establecido ACL personalizadas en varias unidades organizativas (OU) de su dominio, asegúrese de que el usuario seleccionado tenga permisos de lectura para esas unidades organizativas.

  • No instale el Analizador de mensajes de Microsoft en una puerta de enlace ni en una puerta de enlace ligera de ATA. El driver del Analizador de mensajes entra en conflicto con los drivers de la puerta de enlace y la puerta de enlace ligera de ATA. Si ejecuta Wireshark en la puerta de enlace de ATA, deberá reiniciar el servicio de puerta de enlace de Microsoft Advanced Threat Analytics después de haber detenido la captura de Wireshark. Si no lo hace, la puerta de enlace dejará de capturar el tráfico. La ejecución de Wireshark en una puerta de enlace ligera de ATA no interfiere con la puerta de enlace ligera de ATA.

  • Recomendación: los usuarios deben tener permisos de solo lectura en el contenedor Objetos eliminados. Esto permite a ATA detectar la eliminación en masa de objetos en el dominio. Para obtener información sobre cómo configurar permisos de solo lectura en el contenedor Objetos eliminados, consulte Cambiar permisos en un contenedor de objetos eliminados en el artículo Visualización o establecimiento de permisos en un objeto de directorio.

  • Opcional: una cuenta de usuario de un usuario sin actividades de red. Esta cuenta se puede configurar como un usuario Honeytoken de ATA. Para configurar una cuenta como usuario Honeytoken, solo se requiere el nombre de usuario. Para obtener información sobre la configuración de Honeytoken, consulte Configuración de exclusiones de direcciones IP y del usuario Honeytoken.

  • Opcional: además de recopilar y analizar el tráfico de red hacia y desde los controladores de dominio, ATA puede usar los eventos de Windows 4776, 4732, 4733, 4728, 4729, 4756 y 4757 para mejorar aún más las detecciones de ATA de Pass-the-Hash, fuerza bruta, modificación de grupos confidenciales y Honeytokens. Estos eventos se puede recibir desde su SIEM o estableciendo el reenvío de eventos de Windows desde el controlador de dominio. Los eventos recopilados proporcionan a ATA información adicional que no está disponible a través del tráfico de red del controlador de dominio.

Requisitos del Centro de ATA

En esta sección se enumeran los requisitos del Centro de ATA.

General

El Centro de ATA admite la instalación en un servidor que ejecuta Windows Server 2012 R2, Windows Server 2016 y Windows Server 2019.

Nota:

El Centro ATA no admite Server Core de Windows.

El Centro de ATA se puede instalar en un servidor que sea miembro de un dominio o grupo de trabajo.

Antes de instalar el Centro de ATA que ejecuta Windows 2012 R2, confirme que se ha instalado la siguiente actualización: KB2919355.

Para ello, ejecute el siguiente cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355].

Se admite la instalación del Centro de ATA como una máquina virtual.

Especificaciones del servidor

Al trabajar en un servidor físico, la base de datos de ATA necesita que inhabilite el acceso a memoria no uniforme (NUMA) en el BIOS. El sistema puede hacer referencia a NUMA como intercalación de nodos, en cuyo caso tiene que habilitar la intercalación de nodos para inhabilitar NUMA. Para obtener más información, consulte la documentación del BIOS.

Para obtener un rendimiento óptimo, establezca la opción de energía del Centro de ATA en Alto rendimiento.
El número de controladores de dominio que está supervisando y la carga en cada uno de los controladores de dominio determinan las especificaciones del servidor necesarias. Para obtener más información, consulte Planeamiento de capacidad de ATA.

En el caso de los sistemas operativos Windows 2008 R2 y 2012, la puerta de enlace no se admite en el modo de grupo de varios procesadores. Para obtener más información sobre el modo de grupo de varios procesadores, consulte la solución de problemas.

Sincronización de tiempo

El servidor del Centro de ATA, los servidores de la puerta de enlace de ATA y los controladores de dominio deben tener el tiempo sincronizado en cinco minutos de separación.

Adaptadores de red

Debe tener la siguiente configuración:

  • Al menos un adaptador de red (si usa un servidor físico en el entorno de VLAN, se recomienda usar dos adaptadores de red).

  • Una dirección IP para la comunicación entre el Centro de ATA y la puerta de enlace de ATA que se cifra con SSL en el puerto 443. (El servicio de ATA se enlaza a todas las direcciones IP que el Centro de ATA tiene en el puerto 443).

Puertos

En la tabla siguiente se enumeran los puertos mínimos que se deben abrir para que el Centro de ATA funcione correctamente.

Protocolo Transporte Port Hacia/Desde Dirección
SSL (comunicaciones de ATA) TCP 443 Puerta de enlace de ATA Entrada
HTTP (opcional) TCP 80 Red de la empresa Entrada
HTTPS TCP 443 Red de la empresa y puerta de enlace de ATA Entrada
SMTP (opcional) TCP 25 Servidor SMTP Salida
SMTPS (opcional) TCP 465 Servidor SMTP Salida
Syslog (opcional) TCP/UPS/TLS (configurable) 514 (valor predeterminado) Servidor de Syslog Salida
LDAP TCP y UDP 389 Controladores de dominios Salida
LDAPS (opcional) TCP 636 Controladores de dominios Salida
DNS TCP y UDP 53 Servidores DNS Salida
Kerberos (opcional si está unido a un dominio) TCP y UDP 88 Controladores de dominios Salida
Hora de Windows (opcional si está unida a un dominio) UDP 123 Controladores de dominios Salida

Nota:

Se requiere LDAP para probar las credenciales que se usarán entre las puertas de enlace de ATA y los controladores de dominio. La prueba se realiza desde el Centro de ATA hasta un controlador de dominio para probar la validez de estas credenciales, después de lo cual la puerta de enlace de ATA usa LDAP como parte de su proceso de resolución normal.

Certificados

Para instalar e implementar ATA más rápidamente, puede instalar certificados autofirmados durante la instalación. Si ha elegido usar certificados autofirmados, después de la implementación inicial se recomienda reemplazar los certificados autofirmados por certificados de una autoridad de certificado interna que usará el Centro de ATA.

Asegúrese de que el Centro de ATA y las puertas de enlace de ATA tengan acceso al punto de distribución CRL. Si no tienen acceso a Internet, siga el procedimiento para importar manualmente una CRL y tenga cuidado de instalar todos los puntos de distribución de CRL para toda la cadena.

El certificado debe tener lo siguiente:

  • Una clave privada
  • Un tipo de proveedor de proveedor de servicios criptográficos (CSP) o proveedor de almacenamiento de claves (KSP)
  • Una longitud de clave pública de 2048 bits
  • Un valor establecido para las marcas de uso KeyEncipherment y ServerAuthentication
  • Valor KeySpec (KeyNumber) de "KeyExchange" (AT_KEYEXCHANGE). No se admite el valor "Signature" (AT_SIGNATURE).
  • Todas las máquinas de puerta de enlace deben poder validar y confiar completamente en el certificado del Centro seleccionado.

Por ejemplo, puede usar el servidor web estándar o las plantillas de equipo.

Advertencia

No se admite el proceso de renovación de un certificado existente. La única manera de renovar un certificado es crear un nuevo certificado y configurar ATA para usar el nuevo certificado.

Nota:

  • Si va a acceder a la consola de ATA desde otros ordenadores, asegúrese de que esos ordenadores confían en el certificado que usa el Centro de ATA; de lo contrario, recibirá una página de advertencia conforme hay un problema con el certificado de seguridad del sitio web antes de llegar a la página de inicio de sesión.
  • A partir de la versión 1.8 de ATA, las puertas de enlace y las puertas de enlace ligeras de ATA administran sus propios certificados y no necesitan interacción del administrador para administrarlos.

Requisitos de puerta de enlace de ATA

En esta sección se enumeran los requisitos de la puerta de enlace de ATA.

General

La puerta de enlace de ATA admite la instalación en un servidor que ejecuta Windows Server 2012 R2, Windows Server 2016 y Windows Server 2019 (lo que incluye Server Core). La puerta de enlace de ATA se puede instalar en un servidor que sea miembro de un dominio o grupo de trabajo. La puerta de enlace de ATA se puede usar para supervisar controladores de dominio con el nivel de dominio funcional de Windows 2003 y versiones posteriores.

Antes de instalar la puerta de enlace de ATA que ejecuta Windows 2012 R2, confirme que se ha instalado la siguiente actualización: KB2919355.

Para ello, ejecute el siguiente cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355].

Para obtener más información sobre cómo usar máquinas virtuales con la puerta de enlace de ATA, consulte Configuración de la creación de reflejo del puerto.

Nota:

Se requiere un mínimo de 5 GB de espacio, pero se recomienda disponer de 10 GB. Esto incluye el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.

Especificaciones del servidor

Para obtener un rendimiento óptimo, establezca la opción de energía de la puerta de enlace de ATA en Alto rendimiento.
La puerta de enlace de ATA permite supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia y desde estos.

Para obtener más información sobre la memoria dinámica o cualquier otra característica de administración de memoria de máquina virtual, consulte Memoria dinámica.

Para obtener más información sobre los requisitos de hardware de la puerta de enlace de ATA, consulte Planeamiento de capacidad de ATA.

Sincronización de tiempo

El servidor del Centro de ATA, los servidores de la puerta de enlace de ATA y los controladores de dominio deben tener el tiempo sincronizado en cinco minutos de separación.

Adaptadores de red

La puerta de enlace de ATA requiere al menos un adaptador de administración y un adaptador de captura:

  • Adaptador de administración: se usa para las comunicaciones de la red corporativa. Este adaptador debe configurarse con los valores siguientes:

    • Dirección IP estática, incluida la puerta de enlace predeterminada

    • Servidores DNS preferidos y alternativos

    • El sufijo DNS para esta conexión debe ser el nombre DNS del dominio para cada dominio que se esté supervisando.

      Configure DNS suffix in advanced TCP/IP settings.

      Nota:

      Si la puerta de enlace de ATA es miembro del dominio, se puede configurar automáticamente.

  • Adaptador de captura: se usa para capturar el tráfico hacia y desde los controladores de dominio.

    Importante

    • Configure la creación de reflejo del puerto para el adaptador de captura como destino del tráfico de red del controlador de dominio. Para obtener más información, consulte Configuración de la creación de reflejo del puerto. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto.
    • Configure una dirección IP no enrutable estática para su entorno sin puerta de enlace predeterminada y ninguna dirección de servidor DNS. Por ejemplo, 1.1.1.1/32. Esto garantiza que el adaptador de red de captura pueda capturar la cantidad máxima de tráfico y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.

Puertos

En la tabla siguiente se enumeran los puertos mínimos que la puerta de enlace de ATA necesita que se configuren en el adaptador de administración:

Protocolo Transporte Port Hacia/Desde Dirección
LDAP TCP y UDP 389 Controladores de dominios Salida
LDAP seguro (LDAPS) TCP 636 Controladores de dominios Salida
LDAP en el catálogo global TCP 3268 Controladores de dominios Salida
LDAPS en el catálogo global TCP 3269 Controladores de dominios Salida
Kerberos TCP y UDP 88 Controladores de dominios Salida
Netlogon (SMB, CIFS y SAM-R) TCP y UDP 445 Todos los dispositivos de la red Salida
Hora de Windows UDP 123 Controladores de dominios Salida
DNS TCP y UDP 53 Servidores DNS Salida
NTLM sobre RPC TCP 135 Todos los dispositivos de la red Ambos
NetBIOS UDP 137 Todos los dispositivos de la red Ambos
SSL TCP 443 Centro de ATA Salida
Syslog (opcional) UDP 514 Servidor de SIEM Entrada

Nota:

Como parte del proceso de resolución realizado por la puerta de enlace de ATA, los siguientes puertos deben estar abiertos de entrada en los dispositivos de la red desde las puertas de enlace de ATA.

  • NTLM a través de RPC (puerto TCP 135)
  • NetBIOS (puerto UDP 137)
  • Con la cuenta de usuario del servicio de directorio, la puerta de enlace de ATA realiza consultas a los puntos de conexión de la organización para identificar administradores locales que usan SAM-R (inicio de sesión de red) a fin de crear el gráfico de ruta de desplazamiento lateral. Para obtener más información, consulte Configuración de los permisos necesarios de SAM-R.
  • Los puertos siguientes deben estar abiertos de entrada en los dispositivos de la red desde la puerta de enlace de ATA:
  • NTLM a través de RPC (puerto TCP 135) con fines de resolución
  • NetBIOS (puerto UDP 137) con fines de resolución

Requisitos de puerta de enlace ligera de ATA

En esta sección se enumeran los requisitos de la puerta de enlace ligera de ATA.

General

La puerta de enlace ligera de ATA admite la instalación en un controlador de dominio que ejecute Windows Server 2008 R2 SP1 (sin incluir Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 y Windows Server 2019 (incluido Core, pero no Nano).

El controlador de dominio puede ser un controlador de dominio de solo lectura (RODC).

Antes de instalar la puerta de enlace ligera de ATA en un controlador de dominio que ejecuta Windows Server 2012 R2, confirme que se ha instalado la siguiente actualización: KB2919355.

Para ello, ejecute el siguiente cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355]

Si la instalación es para Windows Server 2012 R2 Server Core, también se debe instalar la siguiente actualización: KB3000850.

Para ello, ejecute el siguiente cmdlet de Windows PowerShell: [Get-HotFix -Id kb3000850]

Durante la instalación, .NET Framework 4.6.1 está instalado y puede provocar un reinicio del controlador de dominio.

Nota:

Se requiere un mínimo de 5 GB de espacio, pero se recomienda disponer de 10 GB. Esto incluye el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.

Especificaciones del servidor

La puerta de enlace ligera de ATA necesita tener instalados 2 núcleos y 6 GB de RAM como mínimo en el controlador de dominio. Para obtener un rendimiento óptimo, establezca la opción de energía de la puerta de enlace ligera de ATA en Alto rendimiento. La puerta de enlace ligera de ATA se puede implementar en controladores de dominio de varias cargas y tamaños, en función de la cantidad de tráfico de red hacia y desde los controladores de dominio y la cantidad de recursos instalados en ese controlador de dominio.

Para obtener más información sobre la memoria dinámica o cualquier otra característica de administración de memoria de máquina virtual, consulte Memoria dinámica.

Para obtener más información sobre los requisitos de hardware de la puerta de enlace ligera de ATA, consulte Planeamiento de capacidad de ATA.

Sincronización de tiempo

El servidor del Centro de ATA, los servidores de la puerta de enlace ligera de ATA y los controladores de dominio deben tener el tiempo sincronizado en cinco minutos de separación.

Adaptadores de red

La puerta de enlace ligera de ATA supervisa el tráfico local en todos los adaptadores de red del controlador de dominio.

Después de la implementación, puede usar la consola de ATA si alguna vez desea modificar qué adaptadores de red se supervisan.

Nota:

La puerta de enlace ligera no se admite en controladores de dominio que ejecutan Windows 2008 R2 con la agrupación de adaptadores de red Broadcom habilitada.

Puertos

En la tabla siguiente se enumeran los puertos mínimos que requiere la puerta de enlace ligera de ATA:

Protocolo Transporte Port Hacia/Desde Dirección
DNS TCP y UDP 53 Servidores DNS Salida
NTLM sobre RPC TCP 135 Todos los dispositivos de la red Ambos
NetBIOS UDP 137 Todos los dispositivos de la red Ambos
SSL TCP 443 Centro de ATA Salida
Syslog (opcional) UDP 514 Servidor de SIEM Entrada
Netlogon (SMB, CIFS y SAM-R) TCP y UDP 445 Todos los dispositivos de la red Salida

Nota:

Como parte del proceso de resolución realizado por la puerta de enlace ligera de ATA, los siguientes puertos deben estar abiertos de entrada en los dispositivos de la red desde las puertas de enlace ligeras de ATA.

  • NTLM sobre RPC
  • NetBIOS
  • Con la cuenta de usuario del servicio de directorio, la puerta de enlace ligera de ATA realiza consultas a los puntos de conexión de la organización para identificar administradores locales que usan SAM-R (inicio de sesión de red) a fin de crear el gráfico de ruta de desplazamiento lateral. Para obtener más información, consulte Configuración de los permisos necesarios de SAM-R.
  • Los puertos siguientes deben estar abiertos de entrada en los dispositivos de la red desde la puerta de enlace de ATA:
  • NTLM a través de RPC (puerto TCP 135) con fines de resolución
  • NetBIOS (puerto UDP 137) con fines de resolución

Memoria dinámica

Nota:

Cuando se ejecutan servicios de ATA como una máquina virtual (VM), el servicio requiere que se asigne toda la memoria a la máquina virtual, todo el tiempo.

La máquina virtual se ejecuta en Descripción
Hyper-V Asegúrese de que Habilitar memoria dinámica no esté habilitado para la máquina virtual.
VMware Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales, o seleccione la opción siguiente en la configuración de la máquina virtual: Reserve all guest memory (All locked).
Otro host de virtualización Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento.

Si ejecuta el Centro de ATA como una máquina virtual, apague el servidor antes de crear un nuevo punto de control para evitar posibles daños en la base de datos.

Consola de ATA

El acceso a la consola de ATA es a través de un navegador y es compatible con los navegadores y la configuración siguientes:

  • Internet Explorer, versión 10 y posteriores

  • Microsoft Edge

  • Google Chrome 40 y versiones posteriores

  • Resolución mínima de ancho de pantalla de 1700 píxeles

Consulte también