Planification de la capacité ATA
S’applique à : Advanced Threat Analytics version 1.9
Cet article vous aide à déterminer le nombre de serveurs ATA nécessaires pour surveiller votre réseau. Il vous permet d’estimer le nombre de passerelles ATA et/ou passerelles légères ATA dont vous avez besoin et la capacité du serveur pour votre centre ATA et vos passerelles ATA.
Remarque
Le centre ATA peut être déployé sur n’importe quel fournisseur IaaS tant que les exigences de performances décrites dans cet article sont remplies.
Utilisation de l’outil de dimensionnement
La méthode recommandée et la plus simple pour déterminer la capacité de votre déploiement ATA consiste à utiliser l’outil de dimensionnement ATA. Exécutez l’outil de dimensionnement ATA et, à partir des résultats du fichier Excel, utilisez les champs suivants pour déterminer la capacité ATA dont vous avez besoin :
Processeur et mémoire du centre ATA : faites correspondre le champ Paquets occupés/s dans le fichier de résultats de la table du centre ATA au champ PACKETS PER SECOND de la table du centre ATA.
Stockage du centre ATA : faites correspondre le champ Avg Packets/sec dans le fichier de résultats de la table du centre ATA au champ PACKETS PER SECOND de la table du centre ATA.
Passerelle ATA : faites correspondre le champ Paquets occupés/s dans la table passerelle ATA du fichier de résultats au champ PACKETS PER SECOND de la table passerelle ATA ou de la table Passerelle légère ATA, selon le type de passerelle que vous choisissez.
Remarque
Étant donné que les environnements varient et présentent plusieurs caractéristiques de trafic réseau spéciales et inattendues, après avoir initialement déployé ATA et exécuté l’outil de dimensionnement, vous devrez peut-être ajuster et ajuster votre déploiement en fonction de la capacité.
Si vous ne pouvez pas utiliser l’outil de dimensionnement ATA, collectez manuellement les informations du compteur paquet/s avec un intervalle de collecte faible (environ 5 secondes) à partir de tous vos contrôleurs de domaine pendant 24 heures. Ensuite, pour chaque contrôleur de domaine, calculez la moyenne quotidienne et la période la plus occupée (15 minutes) moyenne. Les sections suivantes fournissent des instructions sur la collecte du compteur de paquets/s à partir d’un contrôleur de domaine.
Remarque
Étant donné que les environnements varient et présentent plusieurs caractéristiques de trafic réseau spéciales et inattendues, après avoir initialement déployé ATA et exécuté l’outil de dimensionnement, vous devrez peut-être ajuster et ajuster votre déploiement en fonction de la capacité.
Dimensionnement du centre ATA
Le centre ATA nécessite un minimum recommandé de 30 jours de données pour l’analyse comportementale des utilisateurs.
| Paquets par seconde provenant de tous les contrôleurs de domaine | Processeur (cœurs*) | Mémoire (Go) | Stockage de base de données par jour (Go) | Stockage de base de données par mois (Go) | IOPS** |
|---|---|---|---|---|---|
| 1 000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40 000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200 000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1 000 000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Cela inclut les cœurs physiques, et non les cœurs hyperthread.
**Nombres moyens (nombres de pointe)
Remarque
- Le centre ATA peut gérer un maximum agrégé de 1M paquets par seconde à partir de tous les contrôleurs de domaine surveillés. Dans certains environnements, le même centre ATA peut gérer le trafic global supérieur à 1 M et certains environnements peuvent dépasser la capacité ATA. Contactez-nous à l’adresse azureatpfeedback@microsoft.com pour obtenir de l’aide sur la planification et l’estimation des environnements volumineux.
- Si votre espace libre atteint un minimum de 20 % ou 200 Go, la collection de données la plus ancienne est supprimée. S’il n’est pas possible de réduire correctement la collecte de données à ce niveau, une alerte est journalisée. ATA continuera de fonctionner jusqu’à ce que le seuil de 5 % ou 50 Go gratuit soit atteint. À ce stade, ATA cesse de remplir la base de données et une alerte supplémentaire est émise.
- Vous pouvez déployer le centre ATA sur n’importe quel fournisseur IaaS si les exigences de performances décrites dans cet article sont remplies.
- La latence de stockage pour les activités de lecture et d’écriture doit être inférieure à 10 ms.
- Le rapport entre les activités de lecture et d’écriture est d’environ 1:3 sous 100 000 paquets par seconde et de 1:6 au-dessus de 100 000 paquets par seconde.
- Lors de l’exécution du centre en tant que machine virtuelle, le centre nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence. Pour plus d’informations sur l’exécution du centre ATA en tant que machine virtuelle, consultez Configuration requise du centre ATA.
- Pour des performances optimales, définissez l’option d’alimentation du centre ATA sur Hautes performances.
- Lorsque vous travaillez sur un serveur physique, la base de données ATA vous demande de désactiver l’accès à la mémoire non uniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d’informations, consultez la documentation de votre BIOS. Cela n’est pas pertinent lorsque le centre ATA s’exécute sur un serveur virtuel.
Choix du type de passerelle approprié pour votre déploiement
Dans un déploiement ATA, toute combinaison des types de passerelle ATA est prise en charge :
- Uniquement les passerelles ATA
- Uniquement les passerelles légères ATA
- Combinaison des deux
Lorsque vous choisissez le type de déploiement de passerelle, tenez compte des avantages suivants :
| Type de passerelle | Avantages | Cost | Topologie de déploiement | Utilisation du contrôleur de domaine |
|---|---|---|---|---|
| Passerelle ATA | Le déploiement hors bande rend plus difficile pour les attaquants de découvrir qu’ATA est présent | Plus élevée | Installé en même temps que le contrôleur de domaine (hors bande) | Prend en charge jusqu’à 50 000 paquets par seconde |
| Passerelle légère ATA | Ne nécessite pas de configuration de serveur dédié et de mise en miroir de ports | Inférieur | Installé sur le contrôleur de domaine | Prend en charge jusqu’à 10 000 paquets par seconde |
Voici des exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle légère ATA :
Sites de succursale
Contrôleurs de domaine virtuels déployés dans le cloud (IaaS)
Voici des exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle ATA :
- Centres de données du siège social (avec des contrôleurs de domaine avec plus de 10 000 paquets par seconde)
Dimensionnement de la passerelle légère ATA
Une passerelle légère ATA peut prendre en charge la surveillance d’un contrôleur de domaine en fonction de la quantité de trafic réseau généré par le contrôleur de domaine.
| Paquets par seconde* | Processeur (cœurs**) | Mémoire (Go)*** |
|---|---|---|
| 1 000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10 000 | 10 | 24 |
*Nombre total de paquets par seconde sur le contrôleur de domaine surveillé par la passerelle légère ATA spécifique.
**Nombre total de cœurs non hyperthread installés par ce contrôleur de domaine.
Bien que l’hyperthreading soit acceptable pour la passerelle légère ATA, lors de la planification de la capacité, vous devez compter les cœurs réels et non les cœurs hyper threadés.
Quantité totale de mémoire installée par ce contrôleur de domaine.
Remarque
- Si le contrôleur de domaine ne dispose pas des ressources requises par la passerelle légère ATA, les performances du contrôleur de domaine ne sont pas affectées, mais la passerelle légère ATA peut ne pas fonctionner comme prévu.
- Lors de l’exécution de la passerelle en tant que machine virtuelle, la passerelle nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence. Pour plus d’informations sur l’exécution de la passerelle ATA en tant que machine virtuelle, consultez Exigences de mémoire dynamique.
- Pour des performances optimales, définissez l’option d’alimentation de la passerelle légère ATA sur Hautes performances.
- Un minimum de 5 Go d’espace est requis et 10 Go sont recommandés, y compris l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Dimensionnement de la passerelle ATA
Tenez compte des problèmes suivants lors du choix du nombre de passerelles ATA à déployer.
-
Forêts et domaines Active Directory
ATA peut surveiller le trafic provenant de plusieurs domaines à partir d’une seule forêt Active Directory. La surveillance de plusieurs forêts Active Directory nécessite des déploiements ATA distincts. Ne configurez pas un déploiement ATA unique pour surveiller le trafic réseau des contrôleurs de domaine provenant de différentes forêts. -
Mise en miroir de ports
Les considérations relatives à la mise en miroir de ports peuvent vous obliger à déployer plusieurs passerelles ATA par passerelle de données ou site de branche. -
Capacité
Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau des contrôleurs de domaine surveillés.
| Paquets par seconde* | Processeur (cœurs**) | Mémoire (Go) |
|---|---|---|
| 1 000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10 000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50 000 | 16 | 48 |
*Nombre moyen total de paquets par seconde provenant de tous les contrôleurs de domaine surveillés par la passerelle ATA spécifique pendant l’heure la plus occupée de la journée.
*La quantité totale de trafic en miroir de ports du contrôleur de domaine ne peut pas dépasser la capacité de la carte réseau de capture sur la passerelle ATA.
**Hyper-threading doit être désactivé.
Remarque
- Lors de l’exécution de la passerelle en tant que machine virtuelle, la passerelle nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence. Pour plus d’informations sur l’exécution de la passerelle ATA en tant que machine virtuelle, consultez Exigences de mémoire dynamique.
- Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Hautes performances.
- Un minimum de 5 Go d’espace est requis et 10 Go sont recommandés, y compris l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.