Requisitos previos de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
En este artículo se describen los requisitos para una implementación correcta de ATA en el entorno.
Nota:
Para obtener información sobre cómo planear recursos y capacidad, vea Planeamiento de capacidad de ATA.
ATA se compone del Centro ATA, la puerta de enlace de ATA o la puerta de enlace ligera de ATA. Para obtener más información sobre los componentes de ATA, vea Arquitectura de ATA.
El sistema ATA funciona en los límites del bosque de Active Directory y admite el nivel funcional de bosque (FFL) de Windows 2003 y versiones posteriores.
Antes de empezar: en esta sección se muestra la información que debe recopilar y las cuentas y entidades de red que debe tener antes de iniciar la instalación de ATA.
Centro ATA: en esta sección se muestra el hardware del Centro ATA, los requisitos de software, así como la configuración que debe configurar en el servidor del Centro ATA.
Puerta de enlace de ATA: en esta sección se muestra el hardware de la puerta de enlace de ATA, los requisitos de software, así como la configuración que debe configurar en los servidores de puerta de enlace de ATA.
Puerta de enlace ligera de ATA: en esta sección se enumeran los requisitos de hardware y software de la puerta de enlace ligera de ATA.
Consola de ATA: en esta sección se enumeran los requisitos del explorador para ejecutar la consola de ATA.
Antes de empezar
En esta sección se muestra información que debe recopilar, así como cuentas y entidades de red que debe tener antes de iniciar la instalación de ATA.
Cuenta de usuario y contraseña con acceso de lectura a todos los objetos de los dominios supervisados.
Nota:
Si ha establecido ACL personalizadas en varias unidades organizativas (UO) de su dominio, asegúrese de que el usuario seleccionado tiene permisos de lectura para esas unidades organizativas.
No instale Microsoft Message Analyzer en una puerta de enlace de ATA o una puerta de enlace ligera. El controlador de Message Analyzer entra en conflicto con los controladores de puerta de enlace ATA y puerta de enlace ligera. Si ejecuta Wireshark en la puerta de enlace de ATA, deberá reiniciar el servicio de puerta de enlace de Microsoft Advanced Threat Analytics después de detener la captura de Wireshark. Si no es así, la puerta de enlace deja de capturar tráfico. La ejecución de Wireshark en una puerta de enlace ligera de ATA no interfiere con la puerta de enlace ligera de ATA.
Recomendado: el usuario debe tener permisos de solo lectura en el contenedor Objetos eliminados. Esto permite a ATA detectar la eliminación masiva de objetos en el dominio. Para obtener información sobre cómo configurar permisos de solo lectura en el contenedor Objetos eliminados, consulte la sección Cambio de permisos en un contenedor de objetos eliminados en el artículo Ver o establecer permisos en un objeto de directorio .
Opcional: una cuenta de usuario de un usuario sin actividades de red. Esta cuenta se puede configurar como un usuario de Honeytoken de ATA. Para configurar una cuenta como usuario honeytoken, solo se requiere el nombre de usuario. Para obtener información sobre la configuración de Honeytoken, consulte Configurar exclusiones de direcciones IP y usuario de Honeytoken.
Opcional: además de recopilar y analizar el tráfico de red hacia y desde los controladores de dominio, ATA puede usar los eventos de Windows 4776, 4732, 4733, 4728, 4729, 4756 y 4757 para mejorar aún más las detecciones de ATA Pass-the-Hash, Brute Force, Modification to sensitive groups y Honey Tokens. Estos eventos se pueden recibir desde siem o estableciendo el reenvío de eventos de Windows desde el controlador de dominio. Los eventos recopilados proporcionan a ATA información adicional que no está disponible a través del tráfico de red del controlador de dominio.
Requisitos del Centro ATA
En esta sección se enumeran los requisitos del Centro ATA.
General
El Centro ATA admite la instalación en un servidor que ejecuta Windows Server 2012 R2 Windows Server 2016 y Windows Server 2019.
Nota:
El Centro ATA no admite Windows Server núcleo.
El Centro ATA se puede instalar en un servidor que sea miembro de un dominio o grupo de trabajo.
Antes de instalar ATA Center que ejecuta Windows 2012 R2, confirme que se ha instalado la siguiente actualización: KB2919355.
Para comprobarlo, ejecute el siguiente cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355].
Se admite la instalación del Centro ATA como una máquina virtual.
Especificaciones del servidor
Al trabajar en un servidor físico, la base de datos de ATA necesita deshabilitar el acceso a memoria no uniforme (NUMA) en el BIOS. El sistema puede hacer referencia a NUMA como entrelazado de nodos, en cuyo caso debe habilitar la intercalación de nodos para deshabilitar NUMA. Para obtener más información, consulte la documentación del BIOS.
Para un rendimiento óptimo, establezca la opción De energía del Centro ATA en Alto rendimiento.
El número de controladores de dominio que está supervisando y la carga en cada uno de los controladores de dominio determina las especificaciones del servidor necesarias. Para obtener más información, vea Planeamiento de capacidad de ATA.
En el caso de los sistemas operativos Windows 2008R2 y 2012, la puerta de enlace no se admite en un modo de grupo de varios procesadores . Para obtener más información sobre el modo de grupo de varios procesadores, consulte solución de problemas.
Sincronización de hora
El servidor del Centro ATA, los servidores de puerta de enlace de ATA y los controladores de dominio deben tener tiempo sincronizado entre sí en un plazo de cinco minutos.
Adaptadores de red
Debe tener el siguiente conjunto:
Al menos un adaptador de red (si se usa el servidor físico en el entorno VLAN, se recomienda usar dos adaptadores de red)
Dirección IP para la comunicación entre el Centro ATA y la puerta de enlace de ATA cifrada mediante SSL en el puerto 443. (El servicio ATA se enlaza a todas las direcciones IP que el Centro ATA tiene en el puerto 443).
Puertos
En la tabla siguiente se enumeran los puertos mínimos que deben abrirse para que el Centro ATA funcione correctamente.
| Protocolo | Transport | Puerto | Hacia/Desde | Dirección |
|---|---|---|---|---|
| SSL (Comunicaciones ATA) | TCP | 443 | Puerta de enlace de ATA | Entrada |
| HTTP (opcional) | TCP | 80 | Red de empresa | Entrada |
| HTTPS | TCP | 443 | Red de empresa y puerta de enlace de ATA | Entrada |
| SMTP (opcional) | TCP | 25 | Servidor SMTP | Salida |
| SMTPS (opcional) | TCP | 465 | Servidor SMTP | Salida |
| Syslog (opcional) | TCP/UPS/TLS (configurable) | 514 (valor predeterminado) | Servidor syslog | Salida |
| LDAP | TCP y UDP | 389 | Controladores de dominio | Salida |
| LDAPS (opcional) | TCP | 636 | Controladores de dominio | Salida |
| DNS | TCP y UDP | 53 | Servidores DNS | Salida |
| Kerberos (opcional si está unido a un dominio) | TCP y UDP | 88 | Controladores de dominio | Salida |
| Hora de Windows (opcional si está unido a un dominio) | UDP | 123 | Controladores de dominio | Salida |
Nota:
LDAP es necesario para probar las credenciales que se van a usar entre las puertas de enlace de ATA y los controladores de dominio. La prueba se realiza desde el Centro ATA a un controlador de dominio para probar la validez de estas credenciales, después de lo cual la puerta de enlace de ATA usa LDAP como parte de su proceso de resolución normal.
Certificados
Para instalar e implementar ATA más rápidamente, puede instalar certificados autofirmados durante la instalación. Si ha elegido usar certificados autofirmados, después de la implementación inicial se recomienda reemplazar los certificados autofirmados por certificados de una entidad de certificación interna que usará el Centro ATA.
Asegúrese de que el Centro ATA y las puertas de enlace de ATA tienen acceso al punto de distribución crl. Si no tienen acceso a Internet, siga el procedimiento para importar manualmente una CRL, teniendo cuidado de instalar todos los puntos de distribución de CRL para toda la cadena.
El certificado debe tener:
- Una clave privada
- Un tipo de proveedor de proveedores de servicios criptográficos (CSP) o proveedor de almacenamiento de claves (KSP)
- Una longitud de clave pública de 2048 bits
- Un valor establecido para las marcas de uso KeyEncipherment y ServerAuthentication
- Valor de KeySpec (KeyNumber) de "KeyExchange" (AT_KEYEXCHANGE). No se admite el valor "Signature" (AT_SIGNATURE).
- Todas las máquinas de puerta de enlace deben poder validar completamente y confiar en el certificado del Centro seleccionado.
Por ejemplo, puede usar el servidor web estándar o las plantillas de equipo .
Advertencia
No se admite el proceso de renovación de un certificado existente. La única manera de renovar un certificado es crear un nuevo certificado y configurar ATA para usar el nuevo certificado.
Nota:
- Si va a acceder a la consola de ATA desde otros equipos, asegúrese de que esos equipos confían en el certificado que usa el Centro ATA; de lo contrario, obtendrá una página de advertencia de que hay un problema con el certificado de seguridad del sitio web antes de acceder a la página de inicio de sesión.
- A partir de la versión 1.8 de ATA, las puertas de enlace de ATA y las puertas de enlace ligeras administran sus propios certificados y no necesitan ninguna interacción del administrador para administrarlos.
Requisitos de la puerta de enlace de ATA
En esta sección se enumeran los requisitos de la puerta de enlace de ATA.
General
La puerta de enlace de ATA admite la instalación en un servidor que ejecuta Windows Server 2012 R2 o Windows Server 2016 y Windows Server 2019 (incluido server core). La puerta de enlace de ATA se puede instalar en un servidor que sea miembro de un dominio o grupo de trabajo. La puerta de enlace de ATA se puede usar para supervisar controladores de dominio con el nivel funcional de dominio de Windows 2003 y versiones posteriores.
Antes de instalar la puerta de enlace de ATA que ejecuta Windows 2012 R2, confirme que se ha instalado la siguiente actualización: KB2919355.
Para comprobarlo, ejecute el siguiente cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355].
Para obtener información sobre el uso de máquinas virtuales con la puerta de enlace de ATA, consulte Configuración de la creación de reflejo de puertos.
Nota:
Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB. Esto incluye el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.
Especificaciones del servidor
Para obtener un rendimiento óptimo, establezca la opción power de la puerta de enlace de ATA en Alto rendimiento.
Una puerta de enlace de ATA puede admitir la supervisión de varios controladores de dominio, en función de la cantidad de tráfico de red hacia y desde los controladores de dominio.
Para obtener más información sobre la memoria dinámica o cualquier otra característica de administración de memoria de máquina virtual, consulte Memoria dinámica.
Para obtener más información sobre los requisitos de hardware de la puerta de enlace de ATA, consulte Planeamiento de la capacidad de ATA.
Sincronización de hora
El servidor del Centro ATA, los servidores de puerta de enlace de ATA y los controladores de dominio deben tener tiempo sincronizado entre sí en un plazo de cinco minutos.
Adaptadores de red
La puerta de enlace de ATA requiere al menos un adaptador de administración y al menos un adaptador de captura:
Adaptador de administración : se usa para las comunicaciones en la red corporativa. Este adaptador debe configurarse con los siguientes valores:
Dirección IP estática, incluida la puerta de enlace predeterminada
Servidores DNS preferidos y alternativos
El sufijo DNS de esta conexión debe ser el nombre DNS del dominio para cada dominio que se va a supervisar.
Nota:
Si la puerta de enlace de ATA es miembro del dominio, puede configurarse automáticamente.
Adaptador de captura : se usa para capturar el tráfico hacia y desde los controladores de dominio.
Importante
- Configure la creación de reflejo del puerto para el adaptador de captura como destino del tráfico de red del controlador de dominio. Para obtener más información, vea Configurar la creación de reflejo de puertos. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto.
- Configure una dirección IP estática no enrutable para su entorno sin ninguna puerta de enlace predeterminada y sin direcciones de servidor DNS. Por ejemplo, 1.1.1.1/32. Esto garantiza que el adaptador de red de captura pueda capturar la cantidad máxima de tráfico y que el adaptador de red de administración se use para enviar y recibir el tráfico de red necesario.
Puertos
En la tabla siguiente se enumeran los puertos mínimos que la puerta de enlace de ATA requiere configurados en el adaptador de administración:
| Protocolo | Transport | Puerto | Hacia/Desde | Dirección |
|---|---|---|---|---|
| LDAP | TCP y UDP | 389 | Controladores de dominio | Salida |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de dominio | Salida |
| LDAP al catálogo global | TCP | 3268 | Controladores de dominio | Salida |
| LDAPS al catálogo global | TCP | 3269 | Controladores de dominio | Salida |
| Kerberos | TCP y UDP | 88 | Controladores de dominio | Salida |
| Netlogon (SMB, CIFS, SAM-R) | TCP y UDP | 445 | Todos los dispositivos de la red | Salida |
| Horario de Windows | UDP | 123 | Controladores de dominio | Salida |
| DNS | TCP y UDP | 53 | Servidores DNS | Salida |
| NTLM a través de RPC | TCP | 135 | Todos los dispositivos de la red | Ambas |
| NetBIOS | UDP | 137 | Todos los dispositivos de la red | Ambas |
| SSL | TCP | 443 | Centro ATA | Salida |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
Nota:
Como parte del proceso de resolución realizado por la puerta de enlace de ATA, los siguientes puertos deben estar abiertos de entrada en los dispositivos de la red desde las puertas de enlace de ATA.
- NTLM sobre RPC (puerto TCP 135)
- NetBIOS (puerto UDP 137)
- Con la cuenta de usuario del servicio De directorio, la puerta de enlace de ATA consulta los puntos de conexión de su organización para administradores locales mediante SAM-R (inicio de sesión de red) con el fin de crear el gráfico de rutas de desplazamiento lateral. Para obtener más información, vea Configurar los permisos necesarios de SAM-R.
- Los puertos siguientes deben estar abiertos de entrada en los dispositivos de la red desde la puerta de enlace de ATA:
- NTLM sobre RPC (puerto TCP 135) con fines de resolución
- NetBIOS (puerto UDP 137) con fines de resolución
Requisitos de puerta de enlace ligera de ATA
En esta sección se enumeran los requisitos de la puerta de enlace ligera de ATA.
General
La puerta de enlace ligera de ATA admite la instalación en un controlador de dominio que ejecuta Windows Server 2008 R2 SP1 (sin incluir Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 y Windows Server 2019 (incluyendo Core pero no Nano).
El controlador de dominio puede ser un controlador de dominio de sólo lectura (RODC).
Antes de instalar la puerta de enlace ligera de ATA en un controlador de dominio que ejecute Windows Server 2012 R2, confirme que se ha instalado la siguiente actualización: KB2919355.
Para comprobarlo, ejecute el siguiente cmdlet de Windows PowerShell:[Get-HotFix -Id kb2919355]
Si la instalación es para Windows Server 2012 R2 Server Core, también debe instalarse la siguiente actualización: KB3000850.
Para comprobarlo, ejecute el siguiente cmdlet de Windows PowerShell:[Get-HotFix -Id kb3000850]
Durante la instalación, .Net Framework 4.6.1 está instalado y puede provocar un reinicio del controlador de dominio.
Nota:
Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB. Esto incluye el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.
Especificaciones del servidor
La puerta de enlace ligera de ATA requiere un mínimo de 2 núcleos y 6 GB de RAM instalados en el controlador de dominio. Para obtener un rendimiento óptimo, establezca la opción power de la puerta de enlace ligera de ATA en Alto rendimiento. La puerta de enlace ligera de ATA se puede implementar en controladores de dominio de varias cargas y tamaños, en función de la cantidad de tráfico de red hacia y desde los controladores de dominio y la cantidad de recursos instalados en ese controlador de dominio.
Para obtener más información sobre la memoria dinámica o cualquier otra característica de administración de memoria de máquina virtual, consulte Memoria dinámica.
Para obtener más información sobre los requisitos de hardware de puerta de enlace ligera de ATA, consulte Planeamiento de la capacidad de ATA.
Sincronización de hora
El servidor del Centro ATA, los servidores de puerta de enlace ligera de ATA y los controladores de dominio deben tener tiempo sincronizado entre sí en un plazo de cinco minutos.
Adaptadores de red
La puerta de enlace ligera de ATA supervisa el tráfico local en todos los adaptadores de red del controlador de dominio.
Después de la implementación, puede usar la consola de ATA si alguna vez desea modificar qué adaptadores de red se supervisan.
Nota:
La puerta de enlace ligera no se admite en controladores de dominio que ejecutan Windows 2008 R2 con Broadcom Network Adapter Teaming habilitado.
Puertos
En la tabla siguiente se enumeran los puertos mínimos que requiere la puerta de enlace ligera de ATA:
| Protocolo | Transport | Puerto | Hacia/Desde | Dirección |
|---|---|---|---|---|
| DNS | TCP y UDP | 53 | Servidores DNS | Salida |
| NTLM a través de RPC | TCP | 135 | Todos los dispositivos de la red | Ambas |
| NetBIOS | UDP | 137 | Todos los dispositivos de la red | Ambas |
| SSL | TCP | 443 | Centro ATA | Salida |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
| Netlogon (SMB, CIFS, SAM-R) | TCP y UDP | 445 | Todos los dispositivos de la red | Salida |
Nota:
Como parte del proceso de resolución realizado por la puerta de enlace ligera de ATA, los siguientes puertos deben estar abiertos de entrada en los dispositivos de la red desde las puertas de enlace ligeras de ATA.
- NTLM a través de RPC
- NetBIOS
- Con la cuenta de usuario del servicio De directorio, la puerta de enlace ligera de ATA consulta los puntos de conexión de su organización para administradores locales mediante SAM-R (inicio de sesión de red) con el fin de crear el gráfico de rutas de desplazamiento lateral. Para obtener más información, vea Configurar los permisos necesarios de SAM-R.
- Los puertos siguientes deben estar abiertos de entrada en los dispositivos de la red desde la puerta de enlace de ATA:
- NTLM sobre RPC (puerto TCP 135) con fines de resolución
- NetBIOS (puerto UDP 137) con fines de resolución
Memoria dinámica
Nota:
Cuando se ejecutan servicios de ATA como una máquina virtual (VM), el servicio requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo.
| Máquina virtual en ejecución | Descripción |
|---|---|
| Hyper-V | Asegúrese de que La habilitación de la memoria dinámica no está habilitada para la máquina virtual. |
| VMWare | Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales, o bien seleccione la siguiente opción en la configuración de máquina virtual: Reservar toda la memoria de invitado (todo bloqueado). |
| Otro host de virtualización | Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento. |
Si ejecuta el Centro ATA como una máquina virtual, apague el servidor antes de crear un nuevo punto de control para evitar posibles daños en la base de datos.
Consola de ATA
El acceso a la consola de ATA se realiza a través de un explorador, lo que admite los exploradores y la configuración:
Versión 10 y posteriores de Internet Explorer
Microsoft Edge
Google Chrome 40 y versiones posteriores
Resolución mínima de ancho de pantalla de 1700 píxeles