Prerequisiti ATA
Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo descrive i requisiti per una corretta distribuzione di ATA nell'ambiente.
Nota
Per informazioni su come pianificare risorse e capacità, vedere Pianificazione della capacità ATA.
ATA è costituito dal centro ATA, dal gateway ATA e/o dal gateway ATA Lightweight. Per altre informazioni sui componenti ATA, vedere Architettura di ATA.
Il sistema ATA funziona sul limite della foresta di Active Directory e supporta il livello funzionale della foresta (FFL) di Windows 2003 e versioni successive.
Prima di iniziare: questa sezione elenca le informazioni da raccogliere e gli account e le entità di rete che devono essere presenti prima di avviare l'installazione di ATA.
ATA Center: questa sezione elenca i requisiti hardware, software e hardware di ATA Center, nonché le impostazioni che è necessario configurare nel server ATA Center.
Gateway ATA: questa sezione elenca l'hardware del gateway ATA, i requisiti software e le impostazioni che è necessario configurare nei server del gateway ATA.
Gateway ATA Lightweight: questa sezione elenca i requisiti hardware e software di ATA Lightweight Gateway.
Console ATA: questa sezione elenca i requisiti del browser per l'esecuzione della console ATA.
Prima di iniziare
Questa sezione elenca le informazioni da raccogliere, nonché gli account e le entità di rete che è necessario avere prima di avviare l'installazione di ATA.
Account utente e password con accesso in lettura a tutti gli oggetti nei domini monitorati.
Nota
Se sono stati impostati ACL personalizzati in diverse unità organizzative (OU) nel dominio, assicurarsi che l'utente selezionato disponga delle autorizzazioni di lettura per tali unità organizzative.
Non installare Microsoft Message Analyzer in un gateway ATA o in un gateway lightweight. Il driver dell'analizzatore messaggi è in conflitto con i driver gateway ATA e Lightweight Gateway. Se si esegue Wireshark nel gateway ATA, sarà necessario riavviare il servizio Gateway Microsoft Advanced Threat Analytics dopo aver arrestato l'acquisizione di Wireshark. In caso contrario, il gateway interrompe l'acquisizione del traffico. L'esecuzione di Wireshark in un gateway ATA Lightweight non interferisce con il gateway ATA Lightweight.
Consigliato: l'utente deve disporre di autorizzazioni di sola lettura per il contenitore Oggetti eliminati. Ciò consente ad ATA di rilevare l'eliminazione bulk di oggetti nel dominio. Per informazioni sulla configurazione delle autorizzazioni di sola lettura nel contenitore Oggetti eliminati, vedere la sezione Modifica delle autorizzazioni per un contenitore di oggetti eliminati nell'articolo Visualizzare o impostare autorizzazioni per un oggetto directory .
Facoltativo: account utente di un utente senza attività di rete. Questo account è configurabile come utente ATA Honeytoken. Per configurare un account come utente Honeytoken, è necessario solo il nome utente. Per informazioni sulla configurazione di Honeytoken, vedere Configurare le esclusioni degli indirizzi IP e l'utente Honeytoken.
Facoltativo: oltre a raccogliere e analizzare il traffico di rete da e verso i controller di dominio, ATA può usare gli eventi di Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 per migliorare ulteriormente i rilevamenti di token Honey e pass-the-hash ATA. Questi eventi possono essere ricevuti dal SIEM o impostando Inoltro eventi di Windows dal controller di dominio. Gli eventi raccolti forniscono ad ATA informazioni aggiuntive non disponibili tramite il traffico di rete del controller di dominio.
Requisiti di ATA Center
Questa sezione elenca i requisiti per ATA Center.
Generale
ATA Center supporta l'installazione in un server che esegue Windows Server 2012 R2 Windows Server 2016 e Windows Server 2019.
Nota
ATA Center non supporta windows server core.
Il Centro ATA può essere installato in un server membro di un dominio o di un gruppo di lavoro.
Prima di installare ATA Center che esegue Windows 2012 R2, verificare che sia stato installato l'aggiornamento seguente: KB2919355.
È possibile controllare eseguendo il cmdlet di Windows PowerShell seguente: [Get-HotFix -Id kb2919355].
È supportata l'installazione di ATA Center come macchina virtuale.
Specifiche del server
Quando si lavora su un server fisico, il database ATA richiede la disabilitazione dell'accesso alla memoria non uniforme (NUMA) nel BIOS. Il sistema può fare riferimento a NUMA come Interleaving del nodo, nel qual caso è necessario abilitare l'interfoliazione dei nodi per disabilitare NUMA. Per altre informazioni, vedere la documentazione del BIOS.
Per ottenere prestazioni ottimali, impostare l'opzione Power di ATA Center su Prestazioni elevate.
Il numero di controller di dominio da monitorare e il carico su ognuno dei controller di dominio determina le specifiche del server necessarie. Per altre informazioni, vedere Pianificazione della capacità ATA.
Per i sistemi operativi Windows 2008R2 e 2012, il gateway non è supportato in modalità Gruppo multiprocessore . Per altre informazioni sulla modalità gruppo multiprocessore, vedere risoluzione dei problemi.
Sincronizzazione dell'ora
Il server ATA Center, i server gateway ATA e i controller di dominio devono avere tempo sincronizzato tra loro entro cinque minuti l'uno dall'altro.
Schede di rete
È necessario disporre del set seguente:
Almeno una scheda di rete (se si usa un server fisico nell'ambiente VLAN, è consigliabile usare due schede di rete)
Indirizzo IP per la comunicazione tra ATA Center e il gateway ATA crittografato tramite SSL sulla porta 443. Il servizio ATA viene associato a tutti gli indirizzi IP presenti nel Centro ATA sulla porta 443.
Porte
Nella tabella seguente sono elencate le porte minime che devono essere aperte affinché il Centro ATA funzioni correttamente.
| Protocollo | Trasporto | Porta | Da/verso | Direzione |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Inbound |
| HTTP (facoltativo) | TCP | 80 | Rete aziendale | Inbound |
| HTTPS | TCP | 443 | Rete aziendale e gateway ATA | Inbound |
| SMTP (facoltativo) | TCP | 25 | SMTP Server | In uscita |
| SMTPS (facoltativo) | TCP | 465 | SMTP Server | In uscita |
| Syslog (facoltativo) | TCP/UPS/TLS (configurabile) | 514 (impostazione predefinita) | Server Syslog | In uscita |
| LDAP | TCP e UDP | 389 | Controller di dominio | In uscita |
| LDAPS (facoltativo) | TCP | 636 | Controller di dominio | In uscita |
| DNS | TCP e UDP | 53 | Server DNS | In uscita |
| Kerberos (facoltativo se aggiunto a un dominio) | TCP e UDP | 88 | Controller di dominio | In uscita |
| Ora di Windows (facoltativo se aggiunto a un dominio) | UDP | 123 | Controller di dominio | In uscita |
Nota
LDAP è necessario per testare le credenziali da usare tra i gateway ATA e i controller di dominio. Il test viene eseguito da ATA Center a un controller di dominio per testare la validità di queste credenziali, dopo di che il gateway ATA usa LDAP come parte del normale processo di risoluzione.
Certificati
Per installare e distribuire ATA più rapidamente, è possibile installare i certificati autofirmati durante l'installazione. Se si è scelto di usare certificati autofirmati, dopo la distribuzione iniziale è consigliabile sostituire i certificati autofirmati con i certificati di un'autorità di certificazione interna che verrà usata dal Centro ATA.
Assicurarsi che il centro ATA e i gateway ATA abbiano accesso al punto di distribuzione CRL. Se non hanno accesso a Internet, seguire la procedura per importare manualmente un CRL, facendo attenzione a installare tutti i punti di distribuzione CRL per l'intera catena.
Il certificato deve avere:
- Una chiave privata
- Tipo di provider di provider CSP (Cryptographic Service Provider) o KSP (Key Storage Provider)
- Lunghezza della chiave pubblica di 2048 bit
- Valore impostato per i flag di utilizzo KeyEncipherment e ServerAuthentication
- Valore KeySpec (KeyNumber) di "KeyExchange" (AT_KEYEXCHANGE). Il valore "Signature" (AT_SIGNATURE) non è supportato.
- Tutti i computer gateway devono essere in grado di convalidare e considerare attendibile il certificato Del Centro selezionato.
Ad esempio, è possibile usare il server Web standard o i modelli computer .
Avviso
Il processo di rinnovo di un certificato esistente non è supportato. L'unico modo per rinnovare un certificato consiste nel creare un nuovo certificato e configurare ATA per l'uso del nuovo certificato.
Nota
- Se si intende accedere alla console ATA da altri computer, assicurarsi che tali computer consideri attendibile il certificato usato da ATA Center in caso contrario si riceve una pagina di avviso in cui si verifica un problema con il certificato di sicurezza del sito Web prima di accedere alla pagina di accesso.
- A partire da ATA versione 1.8, i gateway ATA e i gateway leggeri gestiscono i propri certificati e non necessitano di alcuna interazione con l'amministratore per gestirli.
Requisiti del gateway ATA
Questa sezione elenca i requisiti per il gateway ATA.
Generale
Il gateway ATA supporta l'installazione in un server che esegue Windows Server 2012 R2 o Windows Server 2016 e Windows Server 2019 (incluso il core del server). Il gateway ATA può essere installato in un server membro di un dominio o di un gruppo di lavoro. Il gateway ATA può essere usato per monitorare i controller di dominio con il livello di funzionalità del dominio di Windows 2003 e versioni successive.
Prima di installare il gateway ATA che esegue Windows 2012 R2, verificare che sia stato installato l'aggiornamento seguente: KB2919355.
È possibile controllare eseguendo il cmdlet di Windows PowerShell seguente: [Get-HotFix -Id kb2919355].
Per informazioni sull'uso di macchine virtuali con il gateway ATA, vedere Configurare il mirroring delle porte.
Nota
È necessario almeno 5 GB di spazio e sono consigliati 10 GB. Sono inclusi lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.
Specifiche del server
Per ottenere prestazioni ottimali, impostare l'opzione Power del gateway ATA su Prestazioni elevate.
Un gateway ATA può supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete da e verso i controller di dominio.
Per altre informazioni sulla memoria dinamica o su qualsiasi altra funzionalità di gestione della memoria delle macchine virtuali, vedere Memoria dinamica.
Per altre informazioni sui requisiti hardware del gateway ATA, vedere Pianificazione della capacità di ATA.
Sincronizzazione dell'ora
Il server ATA Center, i server gateway ATA e i controller di dominio devono avere tempo sincronizzato tra loro entro cinque minuti l'uno dall'altro.
Schede di rete
Il gateway ATA richiede almeno una scheda di gestione e almeno una scheda Capture:
Scheda di gestione : usata per le comunicazioni nella rete aziendale. Questa scheda deve essere configurata con le impostazioni seguenti:
Indirizzo IP statico, incluso il gateway predefinito
Server DNS preferiti e alternativi
Il suffisso DNS per questa connessione deve essere il nome DNS del dominio per ogni dominio monitorato.
Nota
Se il gateway ATA è un membro del dominio, è possibile configurarlo automaticamente.
Scheda di acquisizione : usata per acquisire il traffico da e verso i controller di dominio.
Importante
- Configurare il mirroring delle porte per la scheda di acquisizione come destinazione del traffico di rete del controller di dominio. Per altre informazioni, vedere Configurare il mirroring delle porte. In genere, è necessario collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte.
- Configurare un indirizzo IP statico non instradabile per l'ambiente senza gateway predefinito e senza indirizzi server DNS. Ad esempio, 1.1.1.1/32. Ciò garantisce che la scheda di rete di acquisizione possa acquisire la quantità massima di traffico e che la scheda di rete di gestione venga usata per inviare e ricevere il traffico di rete richiesto.
Porte
Nella tabella seguente sono elencate le porte minime richieste dal gateway ATA configurate nella scheda di gestione:
| Protocollo | Trasporto | Porta | Da/verso | Direzione |
|---|---|---|---|---|
| LDAP | TCP e UDP | 389 | Controller di dominio | In uscita |
| LDAP sicuro (LDAPS) | TCP | 636 | Controller di dominio | In uscita |
| DA LDAP a Catalogo globale | TCP | 3268 | Controller di dominio | In uscita |
| LDAPS al catalogo globale | TCP | 3269 | Controller di dominio | In uscita |
| Kerberos | TCP e UDP | 88 | Controller di dominio | In uscita |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Tutti i dispositivi in rete | In uscita |
| Ora di Windows | UDP | 123 | Controller di dominio | In uscita |
| DNS | TCP e UDP | 53 | Server DNS | In uscita |
| NTLM su RPC | TCP | 135 | Tutti i dispositivi in rete | Entrambi |
| NetBIOS | UDP | 137 | Tutti i dispositivi in rete | Entrambi |
| SSL | TCP | 443 | Centro ATA | In uscita |
| Syslog (facoltativo) | UDP | 514 | SIEM Server | Inbound |
Nota
Come parte del processo di risoluzione eseguito dal gateway ATA, le porte seguenti devono essere aperte in ingresso nei dispositivi in rete dai gateway ATA.
- NTLM su RPC (porta TCP 135)
- NetBIOS (porta UDP 137)
- Usando l'account utente del servizio directory, il gateway ATA esegue query sugli endpoint dell'organizzazione per gli amministratori locali usando SAM-R (accesso alla rete) per creare il grafico del percorso di spostamento laterale. Per altre informazioni, vedere Configurare le autorizzazioni necessarie per SAM-R.
- Le porte seguenti devono essere aperte in ingresso nei dispositivi in rete dal gateway ATA:
- NTLM su RPC (porta TCP 135) a scopo di risoluzione
- NetBIOS (porta UDP 137) a scopo di risoluzione
Requisiti del gateway ATA Lightweight
Questa sezione elenca i requisiti per il gateway ATA Lightweight.
Generale
Il gateway ATA Lightweight supporta l'installazione in un controller di dominio che esegue Windows Server 2008 R2 SP1 (escluso Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 (incluso Core ma non Nano).
Il controller di dominio può essere un controller di dominio di sola lettura.
Prima di installare ATA Lightweight Gateway in un controller di dominio che esegue Windows Server 2012 R2, verificare che sia stato installato l'aggiornamento seguente: KB2919355.
È possibile controllare eseguendo il cmdlet Windows PowerShell seguente:[Get-HotFix -Id kb2919355]
Se l'installazione è per Windows Server 2012 R2 Server Core, è necessario installare anche l'aggiornamento seguente: KB3000850.
È possibile controllare eseguendo il cmdlet Windows PowerShell seguente:[Get-HotFix -Id kb3000850]
Durante l'installazione, .Net Framework 4.6.1 viene installato e potrebbe causare un riavvio del controller di dominio.
Nota
È necessario almeno 5 GB di spazio e sono consigliati 10 GB. Sono inclusi lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.
Specifiche del server
Il gateway ATA Lightweight richiede almeno 2 core e 6 GB di RAM installati nel controller di dominio. Per ottenere prestazioni ottimali, impostare l'opzione Power del gateway ATA Lightweight su Prestazioni elevate. Il gateway ATA Lightweight può essere distribuito in controller di dominio di varie dimensioni e carichi, a seconda della quantità di traffico di rete da e verso i controller di dominio e della quantità di risorse installate in tale controller di dominio.
Per altre informazioni sulla memoria dinamica o su qualsiasi altra funzionalità di gestione della memoria delle macchine virtuali, vedere Memoria dinamica.
Per altre informazioni sui requisiti hardware di ATA Lightweight Gateway, vedere Pianificazione della capacità di ATA.
Sincronizzazione dell'ora
Il server ATA Center, i server ATA Lightweight Gateway e i controller di dominio devono avere tempo sincronizzato tra loro entro cinque minuti l'uno dall'altro.
Schede di rete
Il gateway ATA Lightweight monitora il traffico locale in tutte le schede di rete del controller di dominio.
Dopo la distribuzione, è possibile usare la console ATA se si desidera modificare le schede di rete monitorate.
Nota
Il gateway lightweight non è supportato nei controller di dominio che eseguono Windows 2008 R2 con Il teaming della scheda di rete Broadcom è abilitato.
Porte
Nella tabella seguente sono elencate le porte minime richieste dal gateway ATA Lightweight:
| Protocollo | Trasporto | Porta | Da/verso | Direzione |
|---|---|---|---|---|
| DNS | TCP e UDP | 53 | Server DNS | In uscita |
| NTLM su RPC | TCP | 135 | Tutti i dispositivi in rete | Entrambi |
| NetBIOS | UDP | 137 | Tutti i dispositivi in rete | Entrambi |
| SSL | TCP | 443 | Centro ATA | In uscita |
| Syslog (facoltativo) | UDP | 514 | SIEM Server | Inbound |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Tutti i dispositivi in rete | In uscita |
Nota
Come parte del processo di risoluzione eseguito dal gateway ATA Lightweight, le porte seguenti devono essere aperte in ingresso nei dispositivi in rete dai gateway ATA Lightweight.
- NTLM su RPC
- NetBIOS
- Usando l'account utente del servizio directory, il gateway ATA Lightweight esegue query sugli endpoint dell'organizzazione per gli amministratori locali usando SAM-R (accesso alla rete) per creare il grafico del percorso di spostamento laterale. Per altre informazioni, vedere Configurare le autorizzazioni necessarie per SAM-R.
- Le porte seguenti devono essere aperte in ingresso nei dispositivi in rete dal gateway ATA:
- NTLM su RPC (porta TCP 135) a scopo di risoluzione
- NetBIOS (porta UDP 137) a scopo di risoluzione
Memoria dinamica
Nota
Quando si eseguono servizi ATA come macchina virtuale , il servizio richiede che tutta la memoria venga allocata alla macchina virtuale, sempre.
| Macchina virtuale in esecuzione in | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| VMWare | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione seguente nell'impostazione della macchina virtuale: Riserva tutta la memoria guest (Tutti bloccati). |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia allocata completamente alla macchina virtuale in qualsiasi momento. |
Se si esegue ATA Center come macchina virtuale, arrestare il server prima di creare un nuovo checkpoint per evitare potenziali danneggiamenti del database.
ATA Console
L'accesso alla console ATA avviene tramite un browser che supporta i browser e le impostazioni:
Internet Explorer versione 10 e successive
Microsoft Edge
Google Chrome 40 e versioni successive
Risoluzione minima della larghezza dello schermo di 1700 pixel