ATA 容量計画
適用対象: Advanced Threat Analytics バージョン 1.9
この記事では、ネットワークを監視するために必要な ATA サーバーの数を判断するのに役立ちます。 これは、必要な ATA ゲートウェイまたは ATA ライトウェイト ゲートウェイの数と、ATA センターと ATA ゲートウェイのサーバー容量を見積もるのに役立ちます。
注:
ATA センターは、この記事で説明されているパフォーマンス要件が満たされている限り、任意の IaaS ベンダーに展開できます。
サイズ設定ツールの使用
ATA デプロイの容量を判断するための推奨される最も簡単な方法は、 ATA サイズ設定ツールを使用することです。 ATA サイズ設定ツールを実行し、Excel ファイルの結果から次のフィールドを使用して、必要な ATA 容量を決定します。
ATA センターの CPU とメモリ: ATA センター テーブルの結果ファイルの [ビジー パケット数/秒] フィールドを ATA センター テーブルの [PACKETS PER SECOND] フィールドに一致させます。
ATA センター ストレージ: ATA センター テーブルの結果ファイルの [Avg Packets/sec] フィールドを ATA センター テーブルの [PACKETS PER SECOND] フィールドに一致させます。
ATA ゲートウェイ: 選択したゲートウェイの種類に応じて、結果ファイルの ATA ゲートウェイ テーブルの [ビジー パケット数/秒] フィールドを ATA ゲートウェイ テーブルまたは ATA ライトウェイト ゲートウェイ テーブルの [PACKETS PER SECOND] フィールドに一致させます。
注:
環境が異なり、特殊で予期しない複数のネットワーク トラフィック特性があるため、ATA を最初にデプロイしてサイズ設定ツールを実行した後、容量に合わせてデプロイを調整して微調整する必要がある場合があります。
ATA サイズ設定ツールを使用できない場合は、すべてのドメイン コントローラーから 24 時間、収集間隔が低い (約 5 秒) のパケット/秒カウンター情報を手動で収集します。 次に、ドメイン コントローラーごとに、1 日の平均と最も多い期間 (15 分) の平均を計算します。 次のセクションでは、1 つのドメイン コントローラーからパケット/秒カウンターを収集する方法について説明します。
注:
環境が異なり、特殊で予期しない複数のネットワーク トラフィック特性があるため、ATA を最初にデプロイしてサイズ設定ツールを実行した後、容量に合わせてデプロイを調整して微調整する必要がある場合があります。
ATA センターのサイズ設定
ATA センターでは、ユーザーの行動分析に推奨される最小 30 日間のデータが必要です。
| すべての DC からの 1 秒あたりのパケット数 | CPU (コア*) | メモリ (GB) | 1 日あたりのデータベース ストレージ (GB) | 1 か月あたりのデータベース ストレージ (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*これには、ハイパースレッド コアではなく物理コアが含まれます。
**平均数値 (ピーク値)
注:
- ATA センターでは、監視対象のすべてのドメイン コントローラーから 1 秒あたり最大 1M のパケットを処理できます。 一部の環境では、同じ ATA センターが 1M を超える全体的なトラフィックを処理でき、一部の環境では ATA 容量を超える可能性があります。 大規模な環境の計画と見積もりについては、 azureatpfeedback@microsoft.com までお問い合わせください。
- 空き領域が少なくとも 20% または 200 GB に達すると、最も古いデータのコレクションが削除されます。 データ収集をこのレベルに正常に削減できない場合は、アラートがログに記録されます。 ATA は、5% または 50 GB の空き容量のしきい値に達するまで機能し続けます。 この時点で、ATA はデータベースの設定を停止し、追加のアラートが発行されます。
- この記事で説明されているパフォーマンス要件が満たされている場合は、任意の IaaS ベンダーに ATA センターを展開できます。
- 読み取りおよび書き込みアクティビティのストレージ待機時間は、10 ミリ秒未満にする必要があります。
- 読み取りアクティビティと書き込みアクティビティの比率は、1 秒あたり 100,000 パケット未満の約 1:3、1 秒あたり 100,000 パケットを超えて 1:6 です。
- 仮想マシン (VM) としてセンターを実行する場合、センターでは常にすべてのメモリを VM に割り当てる必要があります。 仮想マシンとしての ATA センターの実行の詳細については、「 ATA センターの要件」を参照してください。
- 最適なパフォーマンスを得るには、ATA センターの 電源オプション を [高パフォーマンス] に設定します。
- 物理サーバーで作業する場合、ATA データベースでは、BIOS で非均一メモリ アクセス (NUMA) を 無効にする 必要があります。 システムでは、ノード インターリーブとして NUMA を参照できます。その場合は、ノード インターリーブを有効にして NUMA を無効 にする 必要があります。 詳細については、BIOS のドキュメントを参照してください。 これは、ATA センターが仮想サーバーで実行されている場合は関係ありません。
デプロイに適したゲートウェイの種類を選択する
ATA デプロイでは、ATA ゲートウェイの種類の任意の組み合わせがサポートされます。
- ATA ゲートウェイのみ
- ATA ライトウェイト ゲートウェイのみ
- 両方の組み合わせ
ゲートウェイのデプロイの種類を決定するときは、次の利点を考慮してください。
| ゲートウェイの種類 | 利点 | コスト | デプロイ トポロジ | ドメイン コントローラーの使用 |
|---|---|---|---|---|
| ATA ゲートウェイ | 帯域外デプロイを使用すると、攻撃者が ATA が存在することを検出するのが困難になります | Higher | ドメイン コントローラーと共にインストール (帯域外) | 1 秒あたり最大 50,000 パケットをサポート |
| ATA ライトウェイト ゲートウェイ | 専用サーバーとポート ミラーリング構成は必要ありません | Lower | ドメイン コントローラーにインストールされている | 1 秒あたり最大 10,000 パケットをサポート |
ドメイン コントローラーを ATA ライトウェイト ゲートウェイでカバーする必要があるシナリオの例を次に示します。
ブランチ サイト
クラウドにデプロイされた仮想ドメイン コントローラー (IaaS)
ドメイン コントローラーを ATA ゲートウェイでカバーする必要があるシナリオの例を次に示します。
- 本社データ センター (1 秒あたり 10,000 パケットを超えるドメイン コントローラーを持つ)
ATA ライトウェイト ゲートウェイのサイズ設定
ATA Lightweight Gateway では、ドメイン コントローラーが生成するネットワーク トラフィックの量に基づいて、1 つのドメイン コントローラーの監視をサポートできます。
| 1 秒あたりのパケット数* | CPU (コア**) | メモリ (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*特定の ATA ライトウェイト ゲートウェイによって監視されているドメイン コントローラー上の 1 秒あたりのパケットの合計数。
**このドメイン コントローラーがインストールした非ハイパー スレッド コアの合計数。
ハイパー スレッドは ATA ライトウェイト ゲートウェイで許容されますが、容量を計画するときは、ハイパー スレッド コアではなく実際のコアをカウントする必要があります。
このドメイン コントローラーがインストールしたメモリの合計量。
注:
- ドメイン コントローラーに ATA ライトウェイト ゲートウェイに必要なリソースがない場合、ドメイン コントローラーのパフォーマンスは影響を受けませんが、ATA ライトウェイト ゲートウェイが期待どおりに動作しない可能性があります。
- ゲートウェイを仮想マシン (VM) として実行する場合、ゲートウェイでは常にすべてのメモリを VM に割り当てる必要があります。 仮想マシンとして ATA ゲートウェイを実行する方法の詳細については、「 動的メモリ要件」を参照してください。
- 最適なパフォーマンスを得るには、ATA ライトウェイト ゲートウェイの 電源オプション を [ハイ パフォーマンス] に設定します。
- 少なくとも 5 GB の領域が必要であり、ATA バイナリ、 ATA ログ、 パフォーマンス ログに必要な領域を含め、10 GB を推奨します。
ATA ゲートウェイのサイズ設定
デプロイする ATA ゲートウェイの数を決定する場合は、次の問題を考慮してください。
-
Active Directory フォレストとドメイン
ATA は、1 つの Active Directory フォレストから複数のドメインからのトラフィックを監視できます。 複数の Active Directory フォレストを監視するには、個別の ATA デプロイが必要です。 異なるフォレストからのドメイン コントローラーのネットワーク トラフィックを監視するように、単一の ATA デプロイを構成しないでください。 -
ポート ミラーリング
ポート ミラーリングに関する考慮事項では、データ ゲートウェイまたはブランチ サイトごとに複数の ATA ゲートウェイをデプロイすることが必要になる場合があります。 -
容量
ATA ゲートウェイは、監視されるドメイン コントローラーのネットワーク トラフィックの量に応じて、複数のドメイン コントローラーの監視をサポートできます。
| 1 秒あたりのパケット数* | CPU (コア**) | メモリ (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*1 日の最も多い時間に、特定の ATA ゲートウェイによって監視されているすべてのドメイン コントローラーからの 1 秒あたりのパケット数の合計。
*ドメイン コントローラーのポート ミラー化されたトラフィックの合計量は、ATA ゲートウェイ上のキャプチャ NIC の容量を超えることはできません。
**ハイパースレッディングを無効にする必要があります。
注:
- ゲートウェイを仮想マシン (VM) として実行する場合、ゲートウェイでは常にすべてのメモリを VM に割り当てる必要があります。 仮想マシンとして ATA ゲートウェイを実行する方法の詳細については、「 動的メモリ要件」を参照してください。
- 最適なパフォーマンスを得るには、ATA ゲートウェイの 電源オプション を [高パフォーマンス] に設定します。
- 少なくとも 5 GB の領域が必要であり、ATA バイナリ、 ATA ログ、 パフォーマンス ログに必要な領域を含め、10 GB を推奨します。