Prérequis ATA
S’applique à : Advanced Threat Analytics version 1.9
Cet article décrit les conditions requises pour un déploiement ATA réussi dans votre environnement.
Remarque
Pour plus d’informations sur la planification des ressources et de la capacité, consultez Planification de la capacité ATA.
ATA se compose du centre ATA, de la passerelle ATA et/ou de la passerelle légère ATA. Pour plus d’informations sur les composants ATA, consultez Architecture ATA.
Le système ATA fonctionne sur la limite de forêt Active Directory et prend en charge le niveau FFL (Forest Functional Level) de Windows 2003 et versions ultérieures.
Avant de commencer : cette section répertorie les informations que vous devez collecter, ainsi que les comptes et les entités réseau dont vous devez disposer avant de démarrer l’installation d’ATA.
Centre ATA : cette section répertorie le matériel du centre ATA, la configuration logicielle requise ainsi que les paramètres que vous devez configurer sur votre serveur du centre ATA.
Passerelle ATA : cette section répertorie le matériel de la passerelle ATA, la configuration logicielle requise ainsi que les paramètres que vous devez configurer sur vos serveurs de passerelle ATA.
Passerelle légère ATA : cette section répertorie la configuration matérielle et logicielle requise pour la passerelle légère ATA.
Console ATA : cette section répertorie les exigences du navigateur pour l’exécution de la console ATA.
Avant de commencer
Cette section répertorie les informations que vous devez collecter, ainsi que les comptes et les entités réseau dont vous devez disposer avant de démarrer l’installation d’ATA.
Compte d’utilisateur et mot de passe avec accès en lecture à tous les objets dans les domaines surveillés.
Remarque
Si vous avez défini des listes de contrôle d’accès personnalisées sur différentes unités d’organisation (UO) dans votre domaine, assurez-vous que l’utilisateur sélectionné dispose d’autorisations de lecture sur ces unités d’organisation.
N’installez pas Microsoft Message Analyzer sur une passerelle ATA ou une passerelle légère. Le pilote De message Analyzer est en conflit avec les pilotes passerelle ATA et Passerelle légère. Si vous exécutez Wireshark sur la passerelle ATA, vous devez redémarrer le service de passerelle Microsoft Advanced Threat Analytics après avoir arrêté la capture Wireshark. Si ce n’est pas le cas, la passerelle arrête de capturer le trafic. L’exécution de Wireshark sur une passerelle légère ATA n’interfère pas avec la passerelle légère ATA.
Recommandé : l’utilisateur doit disposer d’autorisations en lecture seule sur le conteneur Objets supprimés. Cela permet à ATA de détecter la suppression en bloc d’objets dans le domaine. Pour plus d’informations sur la configuration des autorisations en lecture seule sur le conteneur Objets supprimés, consultez la section Modification des autorisations sur un conteneur d’objets supprimés dans l’article Afficher ou Définir des autorisations sur un objet Directory .
Facultatif : compte d’utilisateur d’un utilisateur sans activités réseau. Ce compte est configurable en tant qu’utilisateur Honeytoken ATA. Pour configurer un compte en tant qu’utilisateur Honeytoken, seul le nom d’utilisateur est requis. Pour plus d’informations sur la configuration d’Honeytoken, consultez Configurer des exclusions d’adresses IP et Utilisateur Honeytoken.
Facultatif : En plus de collecter et d’analyser le trafic réseau vers et depuis les contrôleurs de domaine, ATA peut utiliser les événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer davantage les détections ATA Pass-the-Hash, Brute Force, Modification de groupes sensibles et Honey Tokens. Ces événements peuvent être reçus à partir de votre SIEM ou en définissant le transfert d’événements Windows à partir de votre contrôleur de domaine. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.
Configuration requise du centre ATA
Cette section répertorie les conditions requises pour le centre ATA.
Généralités
Le centre ATA prend en charge l’installation sur un serveur exécutant Windows Server 2012 R2 Windows Server 2016 et Windows Server 2019.
Remarque
Le centre ATA ne prend pas en charge Windows Server cœur.
Le centre ATA peut être installé sur un serveur membre d’un domaine ou d’un groupe de travail.
Avant d’installer ATA Center exécutant Windows 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez case activée en exécutant l’applet de commande Windows PowerShell suivante : [Get-HotFix -Id kb2919355].
L’installation du centre ATA en tant que machine virtuelle est prise en charge.
Spécifications du serveur
Lorsque vous travaillez sur un serveur physique, la base de données ATA nécessite la désactivation de l’accès à la mémoire non uniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d’informations, consultez la documentation de votre BIOS.
Pour des performances optimales, définissez l’option d’alimentation du centre ATA sur Hautes performances.
Le nombre de contrôleurs de domaine que vous surveillez et la charge sur chacun des contrôleurs de domaine déterminent les spécifications du serveur nécessaires. Pour plus d’informations, consultez Planification de la capacité ATA.
Pour les systèmes d’exploitation Windows 2008R2 et 2012, la passerelle n’est pas prise en charge en mode groupe multiprocesseur . Pour plus d’informations sur le mode de groupe multiprocesseur, consultez résolution des problèmes.
Synchronisation date/heure
Le serveur du centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent avoir une synchronisation de temps à moins de cinq minutes les uns des autres.
Cartes réseau
Vous devez avoir l’ensemble suivant :
Au moins une carte réseau (si vous utilisez un serveur physique dans un environnement VLAN, il est recommandé d’utiliser deux cartes réseau)
Adresse IP pour la communication entre le centre ATA et la passerelle ATA chiffrée à l’aide de SSL sur le port 443. (Le service ATA est lié à toutes les adresses IP du centre ATA sur le port 443.)
Ports
Le tableau suivant répertorie les ports minimum à ouvrir pour que le centre ATA fonctionne correctement.
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | Passerelle ATA | Entrant |
| HTTP (facultatif) | TCP | 80 | Réseau d’entreprise | Entrant |
| HTTPS | TCP | 443 | Réseau d’entreprise et passerelle ATA | Entrant |
| SMTP (facultatif) | TCP | 25 | Serveur SMTP | Sortant |
| SMTPS (facultatif) | TCP | 465 | Serveur SMTP | Sortant |
| Syslog (facultatif) | TCP/UPS/TLS (configurable) | 514 (par défaut) | Serveur Syslog | Sortant |
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAPS (facultatif) | TCP | 636 | Contrôleurs de domaine | Sortant |
| DNS | TCP et UDP | 53 | Serveurs DNS | Sortant |
| Kerberos (facultatif si joint à un domaine) | TCP et UDP | 88 | Contrôleurs de domaine | Sortant |
| Heure Windows (facultatif si joint à un domaine) | UDP | 123 | Contrôleurs de domaine | Sortant |
Remarque
LDAP est requis pour tester les informations d’identification à utiliser entre les passerelles ATA et les contrôleurs de domaine. Le test est effectué à partir du centre ATA vers un contrôleur de domaine pour tester la validité de ces informations d’identification, après quoi la passerelle ATA utilise LDAP dans le cadre de son processus de résolution normal.
Certificats
Pour installer et déployer ATA plus rapidement, vous pouvez installer des certificats auto-signés pendant l’installation. Si vous avez choisi d’utiliser des certificats auto-signés, après le déploiement initial, il est recommandé de remplacer les certificats auto-signés par des certificats d’une autorité de certification interne à utiliser par le Centre ATA.
Assurez-vous que le centre ATA et les passerelles ATA ont accès à votre point de distribution de liste de révocation de certificats. S’ils n’ont pas accès à Internet, suivez la procédure pour importer manuellement une liste de révocation de certificats, en prenant soin d’installer tous les points de distribution de la liste de révocation de certificats pour l’ensemble de la chaîne.
Le certificat doit avoir :
- Une clé privée
- Type de fournisseur csp (Cryptographic Service Provider) ou Key Storage Provider (KSP)
- Une longueur de clé publique de 2 048 bits
- Valeur définie pour les indicateurs d’utilisation keyEncipherment et ServerAuthentication
- Valeur KeySpec (KeyNumber) de « KeyExchange » (AT_KEYEXCHANGE). La valeur « Signature » (AT_SIGNATURE) n’est pas prise en charge.
- Toutes les machines de passerelle doivent être en mesure de valider et d’approuver entièrement le certificat center sélectionné.
Par exemple, vous pouvez utiliser les modèles de serveur web ou d’ordinateur standard.
Avertissement
Le processus de renouvellement d’un certificat existant n’est pas pris en charge. La seule façon de renouveler un certificat consiste à créer un certificat et à configurer ATA pour utiliser le nouveau certificat.
Remarque
- Si vous envisagez d’accéder à la console ATA à partir d’autres ordinateurs, assurez-vous que ces ordinateurs approuvent le certificat utilisé par le Centre ATA. Sinon, vous recevez une page d’avertissement indiquant qu’il existe un problème avec le certificat de sécurité du site web avant d’accéder à la page de connexion.
- À compter d’ATA version 1.8, les passerelles ATA et les passerelles légères gèrent leurs propres certificats et n’ont besoin d’aucune interaction de l’administrateur pour les gérer.
Configuration requise pour la passerelle ATA
Cette section répertorie les conditions requises pour la passerelle ATA.
Généralités
La passerelle ATA prend en charge l’installation sur un serveur exécutant Windows Server 2012 R2 ou Windows Server 2016 et Windows Server 2019 (y compris server Core). La passerelle ATA peut être installée sur un serveur membre d’un domaine ou d’un groupe de travail. La passerelle ATA peut être utilisée pour surveiller les contrôleurs de domaine avec le niveau fonctionnel de domaine de Windows 2003 et versions ultérieures.
Avant d’installer la passerelle ATA exécutant Windows 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez case activée en exécutant l’applet de commande Windows PowerShell suivante : [Get-HotFix -Id kb2919355].
Pour plus d’informations sur l’utilisation de machines virtuelles avec la passerelle ATA, consultez Configurer la mise en miroir de ports.
Remarque
Un minimum de 5 Go d’espace est requis et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Spécifications du serveur
Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Hautes performances.
Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau vers et depuis les contrôleurs de domaine.
Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire des machines virtuelles, consultez Mémoire dynamique.
Pour plus d’informations sur la configuration matérielle requise pour la passerelle ATA, consultez Planification de la capacité ATA.
Synchronisation date/heure
Le serveur du centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent avoir une synchronisation de temps à moins de cinq minutes les uns des autres.
Cartes réseau
La passerelle ATA nécessite au moins un adaptateur de gestion et au moins un adaptateur De capture :
Carte de gestion : utilisée pour les communications sur votre réseau d’entreprise. Cet adaptateur doit être configuré avec les paramètres suivants :
Adresse IP statique, y compris la passerelle par défaut
Serveurs DNS préférés et alternatifs
Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.
Remarque
Si la passerelle ATA est membre du domaine, celle-ci peut être configurée automatiquement.
Adaptateur de capture : utilisé pour capturer le trafic à destination et en provenance des contrôleurs de domaine.
Importante
- Configurez la mise en miroir de ports pour la carte de capture comme destination du trafic réseau du contrôleur de domaine. Pour plus d’informations, consultez Configurer la mise en miroir de ports. En règle générale, vous devez travailler avec l’équipe de mise en réseau ou de virtualisation pour configurer la mise en miroir de ports.
- Configurez une adresse IP statique non routable pour votre environnement sans passerelle par défaut et sans adresse de serveur DNS. Par exemple, 1.1.1.1/32. Cela garantit que la carte réseau de capture peut capturer la quantité maximale de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau requis.
Ports
Le tableau suivant répertorie les ports minimaux que la passerelle ATA requiert configurés sur l’adaptateur de gestion :
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Sortant |
| LDAP vers catalogue global | TCP | 3268 | Contrôleurs de domaine | Sortant |
| LDAPS vers le catalogue global | TCP | 3269 | Contrôleurs de domaine | Sortant |
| Kerberos | TCP et UDP | 88 | Contrôleurs de domaine | Sortant |
| Netlogon (SMB, CIFS, SAM-R) | TCP et UDP | 445 | Tous les appareils sur le réseau | Sortant |
| Horloge Windows | UDP | 123 | Contrôleurs de domaine | Sortant |
| DNS | TCP et UDP | 53 | Serveurs DNS | Sortant |
| NTLM sur RPC | TCP | 135 | Tous les appareils sur le réseau | Les deux |
| Netbios | UDP | 137 | Tous les appareils sur le réseau | Les deux |
| SSL | TCP | 443 | Centre ATA | Sortant |
| Syslog (facultatif) | UDP | 514 | Serveur SIEM | Entrant |
Remarque
Dans le cadre du processus de résolution effectué par la passerelle ATA, les ports suivants doivent être ouverts en entrée sur les appareils sur le réseau à partir des passerelles ATA.
- NTLM sur RPC (Port TCP 135)
- NetBIOS (Port UDP 137)
- À l’aide du compte d’utilisateur du service d’annuaire, la passerelle ATA interroge les points de terminaison dans votre organization pour les administrateurs locaux à l’aide de SAM-R (ouverture de session réseau) afin de générer le graphe de chemin de mouvement latéral. Pour plus d’informations, consultez Configurer les autorisations sam-R requises.
- Les ports suivants doivent être ouverts en entrée sur les appareils sur le réseau à partir de la passerelle ATA :
- NTLM sur RPC (port TCP 135) à des fins de résolution
- NetBIOS (port UDP 137) à des fins de résolution
Configuration requise pour la passerelle légère ATA
Cette section répertorie la configuration requise pour la passerelle légère ATA.
Généralités
La passerelle légère ATA prend en charge l’installation sur un contrôleur de domaine exécutant Windows Server 2008 R2 SP1 (sans Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019 (y compris Core mais pas Nano).
Le contrôleur de domaine peut être un contrôleur de domaine en lecture seule.
Avant d’installer la passerelle légère ATA sur un contrôleur de domaine exécutant Windows Server 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez case activée en exécutant l’applet de commande Windows PowerShell suivante :[Get-HotFix -Id kb2919355]
Si l’installation est pour Windows Server 2012 R2 Server Core, la mise à jour suivante doit également être installée : KB3000850.
Vous pouvez case activée en exécutant l’applet de commande Windows PowerShell suivante :[Get-HotFix -Id kb3000850]
Pendant l’installation, .Net Framework 4.6.1 est installé et peut entraîner un redémarrage du contrôleur de domaine.
Remarque
Un minimum de 5 Go d’espace est requis et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Spécifications du serveur
La passerelle légère ATA nécessite un minimum de 2 cœurs et 6 Go de RAM installés sur le contrôleur de domaine. Pour des performances optimales, définissez l’option d’alimentation de la passerelle légère ATA sur Hautes performances. La passerelle légère ATA peut être déployée sur des contrôleurs de domaine de différentes charges et tailles, en fonction de la quantité de trafic réseau à destination et en provenance des contrôleurs de domaine et de la quantité de ressources installées sur ce contrôleur de domaine.
Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire des machines virtuelles, consultez Mémoire dynamique.
Pour plus d’informations sur la configuration matérielle requise pour la passerelle légère ATA, consultez Planification de la capacité ATA.
Synchronisation date/heure
Le serveur du centre ATA, les serveurs de passerelle légère ATA et les contrôleurs de domaine doivent avoir une synchronisation dans un délai de cinq minutes les uns des autres.
Cartes réseau
La passerelle légère ATA surveille le trafic local sur toutes les cartes réseau du contrôleur de domaine.
Après le déploiement, vous pouvez utiliser la console ATA si vous souhaitez modifier les cartes réseau surveillées.
Remarque
La passerelle légère n’est pas prise en charge sur les contrôleurs de domaine exécutant Windows 2008 R2 avec l’association de cartes réseau Broadcom activée.
Ports
Le tableau suivant répertorie les ports minimum requis par la passerelle légère ATA :
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| DNS | TCP et UDP | 53 | Serveurs DNS | Sortant |
| NTLM sur RPC | TCP | 135 | Tous les appareils sur le réseau | Les deux |
| Netbios | UDP | 137 | Tous les appareils sur le réseau | Les deux |
| SSL | TCP | 443 | Centre ATA | Sortant |
| Syslog (facultatif) | UDP | 514 | Serveur SIEM | Entrant |
| Netlogon (SMB, CIFS, SAM-R) | TCP et UDP | 445 | Tous les appareils sur le réseau | Sortant |
Remarque
Dans le cadre du processus de résolution effectué par la passerelle légère ATA, les ports suivants doivent être ouverts en entrée sur les appareils sur le réseau à partir des passerelles légères ATA.
- NTLM sur RPC
- Netbios
- À l’aide du compte d’utilisateur du service d’annuaire, la passerelle légère ATA interroge les points de terminaison de votre organization pour les administrateurs locaux à l’aide de SAM-R (ouverture de session réseau) afin de créer le graphe de chemin de mouvement latéral. Pour plus d’informations, consultez Configurer les autorisations sam-R requises.
- Les ports suivants doivent être ouverts en entrée sur les appareils sur le réseau à partir de la passerelle ATA :
- NTLM sur RPC (port TCP 135) à des fins de résolution
- NetBIOS (port UDP 137) à des fins de résolution
Mémoire dynamique
Remarque
Lors de l’exécution de services ATA en tant que machine virtuelle, le service nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence.
| Machine virtuelle en cours d’exécution sur | Description |
|---|---|
| Hyper-V | Vérifiez que l’option Activer la mémoire dynamique n’est pas activée pour la machine virtuelle. |
| VMWare | Vérifiez que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option suivante dans le paramètre de machine virtuelle : Réserver toute la mémoire de l’invité (tout verrouillé). |
| Autre hôte de virtualisation | Reportez-vous à la documentation fournie par le fournisseur pour vous assurer que la mémoire est entièrement allouée à la machine virtuelle à tout moment. |
Si vous exécutez le centre ATA en tant que machine virtuelle, arrêtez le serveur avant de créer un nouveau point de contrôle pour éviter toute altération potentielle de la base de données.
ATA Console
L’accès à la console ATA se fait via un navigateur, prenant en charge les navigateurs et les paramètres :
Internet Explorer version 10 et ultérieure
Microsoft Edge
Google Chrome 40 et versions ultérieures
Résolution de largeur d’écran minimale de 1700 pixels