Pianificazione della capacità ATA
Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo consente di determinare il numero di server ATA necessari per monitorare la rete. Consente di stimare il numero di gateway ATA e/o ATA Lightweight Gateway necessari e la capacità del server per il centro ATA e i gateway ATA.
Nota
ATA Center può essere distribuito in qualsiasi fornitore IaaS purché siano soddisfatti i requisiti di prestazioni descritti in questo articolo.
Uso dello strumento di ridimensionamento
Il modo più semplice e consigliato per determinare la capacità per la distribuzione di ATA consiste nell'usare lo strumento di ridimensionamento ATA. Eseguire lo strumento di ridimensionamento ATA e dai risultati del file di Excel usare i campi seguenti per determinare la capacità ATA necessaria:
CPU e memoria centro ATA: corrispondono al campo Pacchetti occupati/sec nel file dei risultati della tabella ATA Center al campo PACCHETTI AL SECONDO della tabella ATA Center.
Archiviazione centro ATA: associare il campo Avg Packets/sec nel file dei risultati della tabella ATA Center al campo PACKETS PER SECOND nella tabella ATA Center.
Gateway ATA: associare il campo Pacchetti occupati/sec nella tabella del gateway ATA nel file dei risultati al campo PACKETS PER SECOND nella tabella gateway ATA o nella tabella ATA Lightweight Gateway, a seconda del tipo di gateway scelto.
Nota
Poiché ambienti diversi variano e presentano più caratteristiche di traffico di rete speciali e impreviste, dopo aver inizialmente distribuito ATA ed eseguito lo strumento di dimensionamento, potrebbe essere necessario modificare e ottimizzare la distribuzione per la capacità.
Se non è possibile usare lo strumento di ridimensionamento ATA, raccogliere manualmente le informazioni sul contatore dei pacchetti/sec con un intervallo di raccolta basso (circa 5 secondi) da tutti i controller di dominio per 24 ore. Quindi, per ogni controller di dominio, calcolare la media giornaliera e il periodo più occupato (15 minuti). Nelle sezioni seguenti vengono fornite istruzioni su come raccogliere il contatore dei pacchetti/sec da un controller di dominio.
Nota
Poiché ambienti diversi variano e presentano più caratteristiche di traffico di rete speciali e impreviste, dopo aver inizialmente distribuito ATA ed eseguito lo strumento di dimensionamento, potrebbe essere necessario modificare e ottimizzare la distribuzione per la capacità.
Ridimensionamento di ATA Center
Il centro ATA richiede un minimo consigliato di 30 giorni di dati per l'analisi del comportamento degli utenti.
| Pacchetti al secondo da tutti i controller di dominio | CPU (core*) | Memoria (GB) | Archiviazione del database al giorno (GB) | Archiviazione del database al mese (GB) | OPERAZIONI DI I/O al secondo** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400.000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Sono inclusi i core fisici, non i core iperthreading.
**Numeri medi (numeri di picco)
Nota
- ATA Center può gestire un massimo aggregato di 1M pacchetti al secondo da tutti i controller di dominio monitorati. In alcuni ambienti, lo stesso centro ATA può gestire il traffico complessivo superiore a 1M e alcuni ambienti potrebbero superare la capacità ATA. Contattaci all'indirizzo azureatpfeedback@microsoft.com per assistenza nella pianificazione e nella stima di ambienti di grandi dimensioni.
- Se lo spazio disponibile raggiunge almeno il 20% o 200 GB, viene eliminata la raccolta di dati meno recente. Se non è possibile ridurre correttamente la raccolta dati a questo livello, verrà registrato un avviso. ATA continuerà a funzionare fino al raggiungimento della soglia del 5% o 50 GB di spazio disponibile. A questo punto, ATA smetterà di popolare il database e verrà emesso un avviso aggiuntivo.
- È possibile distribuire ATA Center in qualsiasi fornitore IaaS se vengono soddisfatti i requisiti di prestazioni descritti in questo articolo.
- La latenza di archiviazione per le attività di lettura e scrittura deve essere inferiore a 10 ms.
- Il rapporto tra le attività di lettura e scrittura è di circa 1:3 sotto i 100.000 pacchetti al secondo e 1:6 sopra i 100.000 pacchetti al secondo.
- Quando si esegue il Centro come macchina virtuale (VM), il Centro richiede che tutta la memoria venga allocata alla macchina virtuale, per tutto il tempo. Per altre informazioni sull'esecuzione di ATA Center come macchina virtuale, vedere Requisiti di ATA Center.
- Per ottenere prestazioni ottimali, impostare l'opzione Power di ATA Center su Prestazioni elevate.
- Quando si lavora su un server fisico, il database ATA deve disabilitare l'accesso alla memoria non uniforme (NUMA) nel BIOS. Il sistema può fare riferimento a NUMA come Interleaving del nodo, nel qual caso è necessario abilitare l'interfoliazione dei nodi per disabilitare NUMA. Per altre informazioni, vedere la documentazione del BIOS. Questa operazione non è rilevante quando il Centro ATA è in esecuzione in un server virtuale.
Scelta del tipo di gateway corretto per la distribuzione
In una distribuzione ATA è supportata qualsiasi combinazione dei tipi di gateway ATA:
- Solo gateway ATA
- Solo gateway ATA Lightweight
- Una combinazione di
Quando si decide il tipo di distribuzione del gateway, considerare i vantaggi seguenti:
| Tipo di gateway | Vantaggi | Costo | Topologia di distribuzione | Uso del controller di dominio |
|---|---|---|---|---|
| ATA Gateway | La distribuzione fuori banda rende più difficile per gli utenti malintenzionati scoprire che ATA è presente | Higher | Installato insieme al controller di dominio (fuori banda) | Supporta fino a 50.000 pacchetti al secondo |
| ATA Lightweight Gateway | Non richiede una configurazione dedicata del server e del mirroring delle porte | Lower | Installato nel controller di dominio | Supporta fino a 10.000 pacchetti al secondo |
Di seguito sono riportati alcuni esempi di scenari in cui i controller di dominio devono essere coperti dal gateway ATA Lightweight:
Siti di succursali
Controller di dominio virtuali distribuiti nel cloud (IaaS)
Di seguito sono riportati alcuni esempi di scenari in cui i controller di dominio devono essere coperti dal gateway ATA:
- Data center con sede centrale (con controller di dominio con più di 10.000 pacchetti al secondo)
Dimensionamento del gateway ATA Lightweight
Un gateway ATA Lightweight può supportare il monitoraggio di un controller di dominio in base alla quantità di traffico di rete generato dal controller di dominio.
| Pacchetti al secondo* | CPU (core**) | Memoria (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Numero totale di pacchetti al secondo nel controller di dominio monitorato dal gateway ATA Lightweight specifico.
**Numero totale di core non iperthreading installati da questo controller di dominio.
Sebbene l'hyper threading sia accettabile per il gateway ATA Lightweight, quando si pianifica la capacità, è necessario contare i core effettivi e non i core iperthreading.
Quantità totale di memoria installata da questo controller di dominio.
Nota
- Se il controller di dominio non dispone delle risorse richieste dal gateway ATA Lightweight, le prestazioni del controller di dominio non sono interessate, ma il gateway ATA Lightweight potrebbe non funzionare come previsto.
- Quando si esegue il gateway come macchina virtuale, il gateway richiede che tutta la memoria venga allocata alla macchina virtuale, per tutto il tempo. Per altre informazioni sull'esecuzione del gateway ATA come macchina virtuale, vedere Requisiti di memoria dinamica.
- Per ottenere prestazioni ottimali, impostare l'opzione Power del gateway ATA Lightweight su Prestazioni elevate.
- È necessario almeno 5 GB di spazio e sono consigliati 10 GB, incluso lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.
Ridimensionamento del gateway ATA
Quando si decide il numero di gateway ATA da distribuire, considerare i problemi seguenti.
-
Foreste e domini di Active Directory
ATA può monitorare il traffico da più domini da una singola foresta di Active Directory. Il monitoraggio di più foreste di Active Directory richiede distribuzioni ATA separate. Non configurare una singola distribuzione ATA per monitorare il traffico di rete dei controller di dominio da foreste diverse. -
Mirroring delle porte
Considerazioni sul mirroring delle porte potrebbero richiedere la distribuzione di più gateway ATA per gateway dati o sito di succursale. -
Capacità
Un gateway ATA può supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete dei controller di dominio monitorati.
| Pacchetti al secondo* | CPU (core**) | Memoria (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Numero medio totale di pacchetti al secondo da tutti i controller di dominio monitorati dal gateway ATA specifico durante l'ora più trafficata del giorno.
*La quantità totale di traffico con mirroring delle porte del controller di dominio non può superare la capacità della scheda di interfaccia di rete di acquisizione nel gateway ATA.
**L'hyperthreading deve essere disabilitato.
Nota
- Quando si esegue il gateway come macchina virtuale, il gateway richiede che tutta la memoria venga allocata alla macchina virtuale, per tutto il tempo. Per altre informazioni sull'esecuzione del gateway ATA come macchina virtuale, vedere Requisiti di memoria dinamica.
- Per ottenere prestazioni ottimali, impostare l'opzione Power del gateway ATA su Prestazioni elevate.
- È necessario almeno 5 GB di spazio e sono consigliati 10 GB, incluso lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.