ATA-edellytykset
Koskee: Advanced Threat Analytics -versio 1.9
Tässä artikkelissa kuvataan vaatimukset onnistuneelle ATA-käyttöönotolle ympäristössäsi.
Huomautus
Lisätietoja resurssien ja kapasiteetin suunnittelusta on artikkelissa ATA-kapasiteetin suunnittelu.
ATA koostuu ATA-keskuksesta, ATA-yhdyskäytävästä ja/tai ATA:n kevyestä yhdyskäytävästä. Lisätietoja ATA-osista on artikkelissa ATA-arkkitehtuuri.
ATA-järjestelmä toimii Active Directory -toimialuepuuryhmän reunassa ja tukee Windows 2003:n ja sitä uudempien versioiden Toimialuepuuryhmän toiminnallista tasoa (FFL).
Ennen kuin aloitat: Tässä osassa luetellaan tiedot, jotka sinun tulee kerätä ja tilit sekä verkkoentiteetit, jotka sinulla pitäisi olla, ennen kuin aloitat ATA-asennuksen.
ATA Center: Tässä osiossa luetellaan ATA Center -laitteisto, ohjelmistovaatimukset sekä asetukset, jotka sinun on määritettävä ATA Center -palvelimessa.
ATA-yhdyskäytävä: Tässä osiossa luetellaan ATA Gateway -laitteisto, ohjelmistovaatimukset sekä asetukset, jotka sinun on määritettävä ATA Gateway -palvelimilla.
ATA Lightweight Gateway: Tässä osiossa luetellaan ATA Lightweight Gateway -laitteisto ja ohjelmistovaatimukset.
ATA-konsoli: Tässä osassa luetellaan ATA-konsolin suorittamisen selainvaatimukset.
Ennen aloittamista
Tässä osassa on luettelo keräämistäsi tiedoista sekä tileistä ja verkkoentiteeteistä, jotka sinulla tulisi olla ennen ATA-asennuksen aloittamista.
Käyttäjätili ja salasana sekä kaikkien valvotuissa toimialueissa olevien objektien lukuoikeudet.
Huomautus
Jos olet määrittänyt mukautettuja käyttöoikeusluetteloita eri organisaatioyksiköille (OU) toimialueellasi, varmista, että valitulla käyttäjällä on lukuoikeudet kyseisiin OU:ihin.
Älä asenna Microsoft Message Analyzeria ATA-yhdyskäytävään tai kevyeen yhdyskäytävään. Viestin analysointi -ohjain on ristiriidassa ATA-yhdyskäytävän ja kevyen yhdyskäytävän ohjainten kanssa. Jos suoritat Wireshark-komennon ATA Gatewayssa, sinun on käynnistettävä Microsoft Advanced Threat Analytics Gateway Service uudelleen, kun olet pysäyttänyt Wireshark-sieppauksen. Jos näin ei ole, yhdyskäytävä lakkaa sieppaamasta liikennettä. Wireshekin suorittaminen ATA:n kevyessä yhdyskäytävässä ei häiritse ATA:n kevyttä yhdyskäytävää.
Suositus: Käyttäjällä tulee olla vain luku -oikeudet Poistetut objektit -säilöön. Tämän avulla ATA voi tunnistaa toimialueen objektien joukkopoiston. Lisätietoja vain luku -käyttöoikeuksien määrittämisestä Poistetut objektit -säilöön on poistettujen objektisäilöjen käyttöoikeuksien muuttaminen -osassa artikkelissa Hakemistoobjektin käyttöoikeuksien tarkasteleminen tai määrittäminen .
Valinnainen: Käyttäjätili käyttäjälle, jolla ei ole verkkotoimintoja. Tämä tili voidaan määrittää ATA Honeytoken -käyttäjäksi. Jos haluat määrittää tilin Honeytoken-käyttäjäksi, tarvitaan vain käyttäjänimi. Honeytoken-määritystiedot ovat kohdassa IP-osoitteen poissulkemisten määrittäminen ja Honeytoken-käyttäjä.
Valinnainen: Toimialueen ohjauskoneiden verkkoliikenteen keräämisen ja analysoimisen lisäksi ATA voi käyttää Windows-tapahtumia 4776, 4732, 4733, 4728, 4729, 4756 ja 4757 parantaakseen edelleen ATA Pass-the-Hash-, Brute Force-, Muutos luottamuksellisiin ryhmiin ja Honey Tokens -tunnistuksia. Nämä tapahtumat voidaan vastaanottaa SIEM:stä tai määrittämällä Windowsin tapahtumien edelleenlähetys toimialueen ohjauskoneesta. Kerätyt tapahtumat antavat ATA:lle lisätietoja, jotka eivät ole käytettävissä toimialueen ohjauskoneen verkkoliikenteen kautta.
ATA Centerin vaatimukset
Tässä osassa luetellaan ATA-keskuksen vaatimukset.
Yleiset
ATA Center tukee asentamista palvelimeen, jossa on käytössä Windows Server 2012 R2 Windows Server 2016 ja Windows Server 2019.
Huomautus
ATA-keskus ei tue Windows Server ydintä.
ATA-keskus voidaan asentaa palvelimeen, joka on toimialueen tai työryhmän jäsen.
Ennen kuin asennat ATA Centerin, jossa on windows 2012 R2, varmista, että seuraava päivitys on asennettu: KB2919355.
Voit tarkistaa sen suorittamalla seuraavan Windows PowerShell cmdlet-komennon: [Get-HotFix -Id kb2919355].
ATA-keskuksen asentamista näennäiskoneena tuetaan.
Palvelinmääritykset
Kun työskentelet fyysisessä palvelimessa, ATA-tietokanta edellyttää, että poistat ei-yhtenäisen muistin käytön (NUMA) biosissa. Järjestelmäsi saattaa viitata NUMA:aan solmun välitallennuksena, jolloin sinun on otettava node interleaving käyttöön , jotta NUMA voidaan poistaa käytöstä. Lisätietoja on BIOS-dokumentaatiossa.
Parhaan suorituskyvyn takaamiseksi aseta ATA-keskuksen Power-asetuskorkeaan suorituskykyyn.
Valvottavien toimialueen ohjauskoneiden määrä ja kunkin toimialueen ohjauskoneen kuormitus määrää tarvittavat palvelinmääritykset. Lisätietoja on artikkelissa ATA-kapasiteetin suunnittelu.
Windows-käyttöjärjestelmissä 2008R2 ja 2012 yhdyskäytävää ei tueta monisuoritinryhmätilassa . Lisätietoja usean suorittimen ryhmätilasta on kohdassa Vianmääritys.
Ajan synkronointi
ATA Center -palvelimella, ATA-yhdyskäytäväpalvelimilla ja toimialueen ohjauskoneilla on oltava synkronoitu aika viiden minuutin kuluessa toisistaan.
Verkkosovittimet
Sinulla pitäisi olla seuraavat asetukset:
Vähintään yksi verkkosovitin (käytettäessä fyysistä palvelinta VLAN-ympäristössä on suositeltavaa käyttää kahta verkkosovitinta)
ATA-keskuksen ja ATA-yhdyskäytävän välisen tietoliikenteen IP-osoite, joka on salattu SSL:n avulla portissa 443. (ATA-palvelu sitoo kaikkiin IP-osoitteisiin, jotka ATA-keskuksessa on portissa 443.)
Portit
Seuraavassa taulukossa on lueteltu vähimmäisportit, jotka on avattava, jotta ATA-keskus toimisi oikein.
| Protocol (Protokolla) | Kuljetus | Portti | Kohteeseen tai lähettäjään | Suunta |
|---|---|---|---|---|
| SSL (ATA-viestintä) | TCP | 443 | ATA-yhdyskäytävä | Saapuva |
| HTTP (valinnainen) | TCP | 80 | Yrityksen verkko | Saapuva |
| HTTPS | TCP | 443 | Yrityksen verkko ja ATA-yhdyskäytävä | Saapuva |
| SMTP (valinnainen) | TCP | 25 | SMTP-palvelin | Lähtevä |
| SMTPS (valinnainen) | TCP | 465 | SMTP-palvelin | Lähtevä |
| Syslog (valinnainen) | TCP/UPS/TLS (määritettävissä) | 514 (oletus) | Syslog-palvelin | Lähtevä |
| LDAP | TCP ja UDP | 389 | Toimialueen ohjauskoneet | Lähtevä |
| LDAPS (valinnainen) | TCP | 636 | Toimialueen ohjauskoneet | Lähtevä |
| DNS | TCP ja UDP | 53 | DNS-palvelimet | Lähtevä |
| Kerberos (valinnainen, jos toimialueeseen on liitetty) | TCP ja UDP | 88 | Toimialueen ohjauskoneet | Lähtevä |
| Windowsin aika (valinnainen, jos toimialueeseen liitetty) | UDP | 123 | Toimialueen ohjauskoneet | Lähtevä |
Huomautus
LDAP vaaditaan tunnistetietojen testaamiseen, jotta niitä voidaan käyttää ATA-yhdyskäytäviä ja toimialueen ohjauskoneita välillä. Testi suoritetaan ATA-keskuksesta toimialueen ohjauskoneeseen näiden tunnistetietojen pätevyyden testaamiseksi, minkä jälkeen ATA-yhdyskäytävä käyttää LDAP:tä osana normaalia ratkaisuprosessiaan.
Todistukset
Jos haluat asentaa ja ottaa käyttöön ATA:n nopeammin, voit asentaa itse allekirjoitettuja varmenteita asennuksen aikana. Jos olet valinnut itse allekirjoitettujen varmenteiden käyttämisen, alkuperäisen käyttöönoton jälkeen on suositeltavaa korvata itse allekirjoitetut varmenteet sisäisen varmenteiden myöntäjän varmenteilla, joita ATA-keskus käyttää.
Varmista, että ATA-keskuksella ja ATA-yhdyskäytävissä on käyttöoikeus crl-jakelupisteeseen. Jos heillä ei ole Internet-yhteyttä, tuo crl manuaalisesti noudattamalla ohjeita ja huolehtimalla kaikkien crl-jakelupisteiden asentamisesta koko ketjulle.
Varmenteessa on oltava:
- Yksityinen avain
- Joko salauspalveluntarjoajan (CSP) tai avainsäilöpalvelun (KSP) toimittajatyyppi
- Julkisen avaimen pituus 2048 bittiä
- KeyEncipherment- ja ServerAuthentication-käyttömerkintöjen arvo
- KeySpec-arvo (KeyExchange) (AT_KEYEXCHANGE). Arvoa Signature (AT_SIGNATURE) ei tueta.
- Kaikkien yhdyskäytäväkoneiden on pystyttävä täysin vahvistamaan valittu Keskus-varmenne ja luottamaan siihen.
Voit käyttää esimerkiksi tavallisia VERKKOpalvelin - tai Tietokone-malleja .
Varoitus
Aiemmin luodun varmenteen uusimisprosessia ei tueta. Varmenteen voi uusia vain luomalla uuden varmenteen ja määrittämällä ATA:n käyttämään uutta varmennetta.
Huomautus
- Jos aiot käyttää ATA-konsolia muista tietokoneista, varmista, että tietokoneet luottavat ATA-keskuksen käyttämään varmenteeseen. Muussa tapauksessa saat varoitussivun, jossa kerrotaan, että sivuston suojausvarmenteessa on ongelma, ennen kuin siirryt kirjautumissivulle.
- ATA-versiosta 1.8 alkaen ATA-yhdyskäytävät ja kevyet yhdyskäytävät hallitsevat omia varmenteitaan, eivätkä ne tarvitse järjestelmänvalvojan toimia niiden hallintaan.
ATA-yhdyskäytävän vaatimukset
Tässä osiossa luetellaan ATA-yhdyskäytävän vaatimukset.
Yleiset
ATA-yhdyskäytävä tukee asentamista palvelimeen, jossa on käytössä Windows Server 2012 R2 tai Windows Server 2016 ja Windows Server 2019 (mukaan lukien palvelinydin). ATA-yhdyskäytävä voidaan asentaa palvelimeen, joka on toimialueen tai työryhmän jäsen. ATA-yhdyskäytävän avulla voidaan valvoa toimialueen ohjauskoneita Windows 2003:n tai sitä uudempien versioiden toimialueen toiminnallisella tasolla.
Varmista ennen Windows 2012 R2 -ATA Gatewayn asentamista, että seuraava päivitys on asennettu: KB2919355.
Voit tarkistaa sen suorittamalla seuraavan Windows PowerShell cmdlet-komennon: [Get-HotFix -Id kb2919355].
Lisätietoja näennäiskoneiden käyttämisestä ATA-yhdyskäytävän kanssa on kohdassa Porttien peilauksen määrittäminen.
Huomautus
Tarvitaan vähintään 5 Gigatavua tilaa, ja suosittelemme 10 Gt:n levyistä tilaa. Tämä sisältää ATA-binaaritiedostojen, ATA-lokien ja suorituskykylokien tilan.
Palvelinmääritykset
Parhaan suorituskyvyn takaamiseksi aseta ATA-yhdyskäytävän Power-asetuskorkeaan suorituskykyyn.
ATA-yhdyskäytävä voi tukea useiden toimialueen ohjauskoneiden seurantaa sen mukaan, kuinka paljon verkkoliikennettä toimialueen ohjauskoneisiin ja niistä lähtee.
Lisätietoja dynaamisesta muistista tai mistä tahansa muusta näennäiskoneen muistinhallintaominaisuudesta on artikkelissa Dynaaminen muisti.
Lisätietoja ATA-yhdyskäytävän laitteistovaatimuksista on artikkelissa ATA-kapasiteetin suunnittelu.
Ajan synkronointi
ATA Center -palvelimella, ATA-yhdyskäytäväpalvelimilla ja toimialueen ohjauskoneilla on oltava synkronoitu aika viiden minuutin kuluessa toisistaan.
Verkkosovittimet
ATA-yhdyskäytävä edellyttää vähintään yhtä hallintasovitinta ja vähintään yhtä Capture-sovitinta:
Hallintasovitin – käytetään viestintään yrityksen verkossa. Tämä sovitin tulisi määrittää seuraavilla asetuksilla:
Staattinen IP-osoite, mukaan lukien oletusyhdyskäytävä
Ensisijaiset ja vaihtoehtoiset DNS-palvelimet
Tämän yhteyden DNS-jälkiliitteen on oltava kunkin valvottavan toimialueen DNS-nimi.
Huomautus
Jos ATA-yhdyskäytävä on toimialueen jäsen, se voidaan määrittää automaattisesti.
Sieppaussovitin – käytetään liikenteen sieppaamiseen toimialueen ohjauskoneisiin ja toimialueen ohjauskoneista.
Tärkeää
- Määritä sieppaussovittimen porttipeilaus toimialueen ohjauskoneen verkkoliikenteen kohteeksi. Lisätietoja on kohdassa Porttien peilauksen määrittäminen. Yleensä sinun on tehtävä yhteistyötä verkko- tai virtualisointitiimin kanssa porttien peilauksen määrittämiseksi.
- Määritä staattinen ei-reititettävä IP-osoite ympäristöllesi ilman oletusyhdyskäytävää ja DNS-palvelimen osoitteita. Esimerkiksi 1.1.1.1/32. Näin varmistetaan, että sieppausverkon sovitin pystyy sieppaamaan suurimman määrän liikennettä ja että hallinnan verkkosovitinta käytetään tarvittavan verkkoliikenteen lähettämiseen ja vastaanottamiseen.
Portit
Seuraavassa taulukossa on lueteltu vähimmäisportit, joita ATA-yhdyskäytävä edellyttää määritettynä hallintasovittimessa:
| Protocol (Protokolla) | Kuljetus | Portti | Kohteeseen tai lähettäjään | Suunta |
|---|---|---|---|---|
| LDAP | TCP ja UDP | 389 | Toimialueen ohjauskoneet | Lähtevä |
| Suojattu LDAP (LDAPS) | TCP | 636 | Toimialueen ohjauskoneet | Lähtevä |
| LDAP yleiseen luetteloon | TCP | 3268 | Toimialueen ohjauskoneet | Lähtevä |
| LDAPS yleiseen luetteloon | TCP | 3269 | Toimialueen ohjauskoneet | Lähtevä |
| Kerberos | TCP ja UDP | 88 | Toimialueen ohjauskoneet | Lähtevä |
| Netlogon (SMB, CIFS, SAM-R) | TCP ja UDP | 445 | Kaikki verkon laitteet | Lähtevä |
| Windowsin aika | UDP | 123 | Toimialueen ohjauskoneet | Lähtevä |
| DNS | TCP ja UDP | 53 | DNS-palvelimet | Lähtevä |
| NTLM RPC:n yli | TCP | 135 | Kaikki verkon laitteet | Molemmat |
| Netbios | UDP | 137 | Kaikki verkon laitteet | Molemmat |
| SSL | TCP | 443 | ATA-keskus | Lähtevä |
| Syslog (valinnainen) | UDP | 514 | SIEM-palvelin | Saapuva |
Huomautus
ATA-yhdyskäytävän suorittaman ratkaisuprosessin osana seuraavien porttien on oltava avoimina verkossa oleviin laitteisiin ATA-yhdyskäytävistä.
- NTLM RPC:n kautta (TCP-portti 135)
- NetBIOS (UDP-portti 137)
- Hakemistopalvelun käyttäjätiliä käyttämällä ATA-yhdyskäytävä lähettää organisaatiosi päätepisteet paikallisille järjestelmänvalvojille SAM-R:n (verkon kirjautumisen) avulla sivuttaisen siirtopolun kaavion rakentamiseksi. Lisätietoja on kohdassa SAM-R:n edellyttämien käyttöoikeuksien määrittäminen.
- Seuraavien porttien on oltava avoimina verkossa olevissä laitteissa ATA-yhdyskäytävästä:
- NTLM RPC:n (TCP-portti 135) kautta selvitystarkoituksiin
- NetBIOS (UDP-portti 137) selvitystarkoituksiin
ATA:n kevyen yhdyskäytävän vaatimukset
Tässä osiossa luetellaan ATA Lightweight Gatewayn vaatimukset.
Yleiset
ATA Lightweight Gateway tukee asentamista toimialueen ohjauskoneeseen, jossa on käytössä Windows Server 2008 R2 SP1 (ei sisällä Server Corea), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ja Windows Server 2019 (mukaan lukien Core mutta ei Nano).
Toimialueen ohjauskone voi olla vain luku -tyyppinen toimialueen ohjauskone (RODC).
Ennen kuin asennat ATA Lightweight Gatewayn toimialueen ohjauskoneeseen, jossa on käytössä Windows Server 2012 R2, varmista, että seuraava päivitys on asennettu: KB2919355.
Voit tarkistaa suorittamalla seuraavan Windows PowerShell cmdlet-komennon:[Get-HotFix -Id kb2919355]
Jos asennus on windows server 2012 R2 Server Corelle, sinun on asennettava myös seuraava päivitys: KB3000850.
Voit tarkistaa suorittamalla seuraavan Windows PowerShell cmdlet-komennon:[Get-HotFix -Id kb3000850]
Asennuksen aikana asennetaan .Net Framework 4.6.1, mikä saattaa aiheuttaa toimialueen ohjauskoneen uudelleenkäynnistyksen.
Huomautus
Tarvitaan vähintään 5 Gigatavua tilaa, ja suosittelemme 10 Gt:n levyistä tilaa. Tämä sisältää ATA-binaaritiedostojen, ATA-lokien ja suorituskykylokien tilan.
Palvelinmääritykset
ATA Lightweight Gateway edellyttää, että toimialueen ohjauskoneeseen on asennettu vähintään 2 ydintä ja 6 Gt RAM-muistia. Parhaan suorituskyvyn takaamiseksi aseta ATA-kevyt yhdyskäytävän Power-asetuskorkeaan suorituskykyyn. ATA Lightweight Gateway voidaan ottaa käyttöön toimialueen ohjauskoneissa eri kuormituksella ja koolla riippuen siitä, kuinka paljon verkkoliikennettä toimialueen ohjauskoneisiin ja toimialueen ohjauskoneisiin on asennettu ja kuinka paljon resursseja kyseiseen toimialueen ohjauskoneeseen on asennettu.
Lisätietoja dynaamisesta muistista tai mistä tahansa muusta näennäiskoneen muistinhallintaominaisuudesta on artikkelissa Dynaaminen muisti.
Lisätietoja ATA Lightweight Gatewayn laitteistovaatimuksista on artikkelissa ATA-kapasiteetin suunnittelu.
Ajan synkronointi
ATA Center -palvelimella, ATA Lightweight Gateway -palvelimilla ja toimialueen ohjauskoneilla on oltava synkronoitu aika viiden minuutin kuluessa toisistaan.
Verkkosovittimet
ATA Lightweight Gateway valvoo paikallista liikennettä kaikilla toimialueen ohjauskoneen verkkosovittimella.
Käyttöönoton jälkeen voit käyttää ATA-konsolia, jos haluat muokata, mitä verkkosovittimia valvotaan.
Huomautus
Kevyttä yhdyskäytävää ei tueta toimialueen ohjauskoneissa, joissa on käytössä Windows 2008 R2 ja Broadcom-verkkosovitintiimi.
Portit
Seuraavassa taulukossa on lueteltu ATA Lightweight Gatewayn vaatimien porttien vähimmäisvaatimukset:
| Protocol (Protokolla) | Kuljetus | Portti | Kohteeseen tai lähettäjään | Suunta |
|---|---|---|---|---|
| DNS | TCP ja UDP | 53 | DNS-palvelimet | Lähtevä |
| NTLM RPC:n yli | TCP | 135 | Kaikki verkon laitteet | Molemmat |
| Netbios | UDP | 137 | Kaikki verkon laitteet | Molemmat |
| SSL | TCP | 443 | ATA-keskus | Lähtevä |
| Syslog (valinnainen) | UDP | 514 | SIEM-palvelin | Saapuva |
| Netlogon (SMB, CIFS, SAM-R) | TCP ja UDP | 445 | Kaikki verkon laitteet | Lähtevä |
Huomautus
ATA Lightweight Gatewayn suorittaman ratkaisuprosessin osana seuraavat portit on avattava verkossa oleviin laitteisiin ATA:n kevyistä yhdyskäytävistä.
- NTLM RPC:n yli
- Netbios
- Hakemistopalvelun käyttäjätiliä käyttämällä ATA Lightweight Gateway lähettää organisaatiosi päätepisteet paikallisille järjestelmänvalvojille SAM-R:n (verkon kirjautumisen) avulla , jotta sivuttaisen siirtopolun kaavio voidaan muodostaa. Lisätietoja on kohdassa SAM-R:n edellyttämien käyttöoikeuksien määrittäminen.
- Seuraavien porttien on oltava avoimina verkossa olevissä laitteissa ATA-yhdyskäytävästä:
- NTLM RPC:n (TCP-portti 135) kautta selvitystarkoituksiin
- NetBIOS (UDP-portti 137) selvitystarkoituksiin
Dynaaminen muisti
Huomautus
Kun ATA-palveluita suoritetaan näennäiskoneena (VM), palvelu edellyttää, että kaikki muisti on kohdistettu näennäiskoneelle koko ajan.
| Näennäiskone käynnissä | Kuvaus |
|---|---|
| Hyper-V | Varmista, että Ota käyttöön dynaaminen muisti ei ole käytössä näennäiskoneessa. |
| VMWare | Varmista, että määritetty muistin määrä ja varattu muisti ovat samat, tai valitse seuraava vaihtoehto näennäiskoneasetuksesta – Varaa kaikki vierasmuisti (kaikki lukittu). |
| Muu virtualisoinnin isäntä | Katso toimittajan toimittamasta dokumentaatiosta, miten voit varmistaa, että muisti on aina kohdistettu täysin näennäiskoneeseen. |
Jos suoritat ATA-keskuksen näennäiskoneena, sulje palvelin ennen uuden tarkistuspisteen luomista, jotta tietokannan mahdollinen vioittuminen voidaan välttää.
ATA-konsoli
ATA-konsolin käyttö tapahtuu selaimen kautta, joka tukee selaimia ja asetuksia:
Internet Explorer 10 tai uudempi versio
Microsoft Edge
Google Chrome 40 tai uudempi
Näytön vähimmäisleveyden tarkkuus 1700 kuvapistettä