ATA の前提条件
適用対象: Advanced Threat Analytics バージョン 1.9
この記事では、環境での ATA デプロイを成功させるために必要な要件について説明します。
注:
リソースと容量を計画する方法については、 ATA 容量計画に関するページを参照してください。
ATA は、ATA センター、ATA ゲートウェイ、または ATA ライトウェイト ゲートウェイで構成されます。 ATA コンポーネントの詳細については、「 ATA アーキテクチャ」を参照してください。
ATA システムは、Active Directory フォレストの境界で動作し、Windows 2003 以降のフォレスト機能レベル (FFL) をサポートします。
開始する前に: このセクションでは、ATA のインストールを開始する前に、収集する必要がある情報と、必要なアカウントとネットワーク エンティティの一覧を示します。
ATA センター: このセクションでは、ATA Center ハードウェア、ソフトウェア要件、ATA センター サーバーで構成する必要がある設定の一覧を示します。
ATA ゲートウェイ: このセクションでは、ATA Gateway ハードウェア、ソフトウェア要件、ATA ゲートウェイ サーバーで構成する必要がある設定の一覧を示します。
ATA Lightweight Gateway: このセクションでは、ATA ライトウェイト ゲートウェイのハードウェアとソフトウェアの要件を示します。
ATA コンソール: このセクションでは、ATA コンソールを実行するためのブラウザー要件の一覧を示します。
始める前に
このセクションでは、ATA のインストールを開始する前に収集する必要がある情報と、アカウントとネットワーク エンティティの一覧を示します。
監視対象ドメイン内のすべてのオブジェクトへの読み取りアクセス権を持つユーザー アカウントとパスワード。
注:
ドメイン内のさまざまな組織単位 (OU) にカスタム ACL を設定している場合は、選択したユーザーがそれらの OU に対する読み取りアクセス許可を持っていることを確認します。
ATA ゲートウェイまたはライトウェイト ゲートウェイに Microsoft Message Analyzer をインストールしないでください。 メッセージ アナライザー ドライバーが ATA ゲートウェイドライバーとライトウェイト ゲートウェイ ドライバーと競合します。 ATA ゲートウェイでWiresharkを実行する場合は、Wireshark キャプチャを停止した後、Microsoft Advanced Threat Analytics ゲートウェイ サービスを再起動する必要があります。 そうでない場合、ゲートウェイはトラフィックのキャプチャを停止します。 ATA ライトウェイト ゲートウェイでWiresharkを実行しても、ATA ライトウェイト ゲートウェイに干渉しません。
推奨: ユーザーは、削除されたオブジェクト コンテナーに対する読み取り専用アクセス許可を持っている必要があります。 これにより、ATA はドメイン内のオブジェクトの一括削除を検出できます。 削除済みオブジェクト コンテナーに対する読み取り専用アクセス許可の構成については、「ディレクトリ オブジェクトに対するアクセス許可の表示または設定」の「削除されたオブジェクト コンテナーに対するアクセス許可の変更」セクションを参照してください。
省略可能: ネットワーク アクティビティのないユーザーのユーザー アカウント。 このアカウントは、ATA Honeytoken ユーザーとして構成できます。 アカウントを Honeytoken ユーザーとして構成するには、ユーザー名のみが必要です。 Honeytoken 構成情報については、「 IP アドレスの除外と Honeytoken ユーザーの構成」を参照してください。
省略可能: ATA では、ドメイン コントローラーとの間のネットワーク トラフィックの収集と分析に加えて、Windows イベント 4776、4732、4733、4728、4729、4756、4757 を使用して、ATA Pass-the-Hash、ブルート フォース、機密グループへの変更、および蜂蜜トークン検出をさらに強化できます。 これらのイベントは、SIEM から受信するか、ドメイン コントローラーから Windows イベント転送を設定することで受け取ることができます。 収集されたイベントは、ドメイン コントローラーのネットワーク トラフィックを介して使用できない追加情報を ATA に提供します。
ATA センターの要件
このセクションでは、ATA センターの要件の一覧を示します。
全般
ATA センターでは、R2 Windows Server 2016 と Windows Server 2019 Windows Server 2012実行されているサーバーへのインストールがサポートされています。
注:
ATA センターでは、Windows Server コアはサポートされていません。
ATA センターは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。
Windows 2012 R2 を実行している ATA センターをインストールする前に、次の更新プログラムがインストールされていることを確認 します:KB2919355。
チェックは、次のWindows PowerShell コマンドレットを実行して[Get-HotFix -Id kb2919355]できます。
仮想マシンとしての ATA センターのインストールがサポートされています。
サーバーの仕様
物理サーバーで作業する場合、ATA データベースでは、BIOS で非均一メモリ アクセス (NUMA) を 無効にする 必要があります。 システムは NUMA をノード インターリーブと参照する場合があります。その場合は、NUMA を無効にするためにノード インターリーブを 有効にする 必要があります。 詳細については、BIOS のドキュメントを参照してください。
最適なパフォーマンスを得るには、ATA センターの 電源オプション を [高パフォーマンス] に設定します。
監視しているドメイン コントローラーの数と、各ドメイン コントローラーの負荷によって、必要なサーバー仕様が決まります。 詳細については、「 ATA 容量計画」を参照してください。
Windows オペレーティング システム 2008R2 および 2012 の場合、 ゲートウェイはマルチ プロセッサ グループ モードではサポートされていません。 マルチプロセッサ グループ モードの詳細については、「 トラブルシューティング」を参照してください。
コンピューターの時計の同期
ATA センター サーバー、ATA ゲートウェイ サーバー、およびドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。
ネットワーク アダプター
次の設定が必要です。
少なくとも 1 つのネットワーク アダプター (VLAN 環境で物理サーバーを使用する場合は、2 つのネットワーク アダプターを使用することをお勧めします)
ポート 443 で SSL を使用して暗号化された ATA センターと ATA ゲートウェイ間の通信用の IP アドレス。 (ATA サービスは、ATA センターがポート 443 で持つすべての IP アドレスにバインドします)。
ポート
次の表は、ATA センターが正常に動作するために開く必要がある最小ポートの一覧です。
| プロトコル | Transport | ポート | To/From | 方向 |
|---|---|---|---|---|
| SSL (ATA 通信) | TCP | 443 | ATA ゲートウェイ | 受信 |
| HTTP (省略可能) | TCP | 80 | 会社ネットワーク | 受信 |
| HTTPS | TCP | 443 | 会社ネットワークと ATA ゲートウェイ | 受信 |
| SMTP (省略可能) | TCP | 25 | SMTP サーバー | 送信 |
| SMTPS (省略可能) | TCP | 465 | SMTP サーバー | 送信 |
| Syslog (省略可能) | TCP/UPS/TLS (構成可能) | 514 (既定値) | Syslog サーバー | 送信 |
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | 送信 |
| LDAPS (省略可能) | TCP | 636 | ドメイン コントローラー | 送信 |
| DNS | TCP と UDP | 53 | DNS サーバー | 送信 |
| Kerberos (ドメインに参加している場合は省略可能) | TCP と UDP | 88 | ドメイン コントローラー | 送信 |
| Windows 時刻 (ドメインに参加している場合は省略可能) | UDP | 123 | ドメイン コントローラー | 送信 |
注:
ATA ゲートウェイとドメイン コントローラーの間で使用する資格情報をテストするには、LDAP が必要です。 このテストは、ATA センターからドメイン コントローラーに対して実行され、これらの資格情報の有効性がテストされ、その後、ATA ゲートウェイは通常の解決プロセスの一部として LDAP を使用します。
証明書
ATA をより迅速にインストールして展開するには、インストール中に自己署名証明書をインストールします。 自己署名証明書を使用することを選択した場合は、最初の展開後に、自己署名証明書を ATA センターで使用する内部証明機関の証明書に置き換えることをお勧めします。
ATA センターと ATA ゲートウェイが CRL 配布ポイントにアクセスできることを確認します。 インターネットにアクセスできない場合は、手順に従って CRL を手動でインポートし、チェーン全体のすべての CRL 配布ポイントをインストールします。
証明書には次のものが必要です。
- 秘密キー
- 暗号化サービス プロバイダー (CSP) またはキー ストレージ プロバイダー (KSP) のプロバイダーの種類
- 公開キーの長さ 2048 ビット
- KeyEncipherment および ServerAuthentication 使用フラグの値セット
- "KeyExchange" (AT_KEYEXCHANGE) の KeySpec (KeyNumber) 値。 値 "Signature" (AT_SIGNATURE) はサポート されていません 。
- すべてのゲートウェイ マシンは、選択したセンター証明書を完全に検証して信頼できる必要があります。
たとえば、標準の Web サーバー または コンピューター テンプレートを使用できます。
警告
既存の証明書を更新するプロセスはサポートされていません。 証明書を更新する唯一の方法は、新しい証明書を作成し、新しい証明書を使用するように ATA を構成することです。
注:
- 他のコンピューターから ATA コンソールにアクセスする場合は、それらのコンピューターが ATA センターで使用されている証明書を信頼していることを確認してください。そうしないと、ログイン ページにアクセスする前に、Web サイトのセキュリティ証明書に問題があることを示す警告ページが表示されます。
- ATA バージョン 1.8 以降、ATA ゲートウェイとライトウェイト ゲートウェイは独自の証明書を管理しており、管理者による管理操作は必要ありません。
ATA ゲートウェイの要件
このセクションでは、ATA ゲートウェイの要件の一覧を示します。
全般
ATA Gateway では、R2 または Windows Server 2016 Windows Server 2012実行されているサーバーでのインストールと、Windows Server 2019 (サーバー コアを含む) がサポートされます。 ATA ゲートウェイは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。 ATA ゲートウェイを使用して、Windows 2003 以降のドメイン機能レベルのドメイン コントローラーを監視できます。
Windows 2012 R2 を実行している ATA ゲートウェイをインストールする前に、次の更新プログラムがインストールされていることを確認 します:KB2919355。
チェックは、次のWindows PowerShell コマンドレットを実行して[Get-HotFix -Id kb2919355]できます。
ATA ゲートウェイで仮想マシンを使用する方法については、「 ポート ミラーリングの構成」を参照してください。
注:
少なくとも 5 GB の領域が必要であり、10 GB が推奨されます。 これには、ATA バイナリ、ATA ログ、 パフォーマンス ログに必要な領域が含まれます。
サーバーの仕様
最適なパフォーマンスを得るには、ATA ゲートウェイの 電源オプション を [高パフォーマンス] に設定します。
ATA ゲートウェイは、ドメイン コントローラーとの間のネットワーク トラフィックの量に応じて、複数のドメイン コントローラーの監視をサポートできます。
動的メモリまたはその他の仮想マシン メモリ管理機能の詳細については、「 動的メモリ」を参照してください。
ATA ゲートウェイのハードウェア要件の詳細については、「 ATA 容量計画」を参照してください。
コンピューターの時計の同期
ATA センター サーバー、ATA ゲートウェイ サーバー、およびドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。
ネットワーク アダプター
ATA ゲートウェイには、少なくとも 1 つの管理アダプターと少なくとも 1 つのキャプチャ アダプターが必要です。
管理アダプター - 企業ネットワーク上の通信に使用されます。 このアダプターは、次の設定で構成する必要があります。
既定のゲートウェイを含む静的 IP アドレス
優先 DNS サーバーと代替 DNS サーバー
この接続の DNS サフィックスは、監視対象の各ドメインのドメインの DNS 名である必要があります。
注:
ATA ゲートウェイがドメインのメンバーである場合、これは自動的に構成される可能性があります。
キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックをキャプチャするために使用されます。
重要
- キャプチャ アダプターのポート ミラーリングをドメイン コントローラーのネットワーク トラフィックの宛先として構成します。 詳細については、「 ポート ミラーリングの構成」を参照してください。 通常、ポート ミラーリングを構成するには、ネットワークまたは仮想化チームと連携する必要があります。
- 既定のゲートウェイがなく、DNS サーバー アドレスもない環境に対してルーティング不可能な静的 IP アドレスを構成します。 たとえば、1.1.1.1/32 などです。 これにより、キャプチャ ネットワーク アダプターがトラフィックの最大量をキャプチャでき、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックを送受信できるようになります。
ポート
次の表は、ATA ゲートウェイが管理アダプターで構成する必要がある最小ポートの一覧です。
| プロトコル | Transport | ポート | To/From | 方向 |
|---|---|---|---|---|
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | 送信 |
| Secure LDAP (LDAPS) | TCP | 636 | ドメイン コントローラー | 送信 |
| LDAP からグローバル カタログ | TCP | 3268 | ドメイン コントローラー | 送信 |
| LDAPS からグローバル カタログへ | TCP | 3269 | ドメイン コントローラー | 送信 |
| Kerberos | TCP と UDP | 88 | ドメイン コントローラー | 送信 |
| Netlogon (SMB、CIFS、SAM-R) | TCP と UDP | 445 | ネットワーク上のすべてのデバイス | 送信 |
| Windows Time | UDP | 123 | ドメイン コントローラー | 送信 |
| DNS | TCP と UDP | 53 | DNS サーバー | 送信 |
| RPC 経由の NTLM | TCP | 135 | ネットワーク上のすべてのデバイス | Both/フォーム/データシート |
| NetBIOS | UDP | 137 | ネットワーク上のすべてのデバイス | Both/フォーム/データシート |
| SSL | TCP | 443 | ATA センター | 送信 |
| Syslog (省略可能) | UDP | 514 | SIEM サーバー | 受信 |
注:
ATA ゲートウェイによって実行される解決プロセスの一環として、次のポートは、ATA ゲートウェイからネットワーク上のデバイスで受信を開く必要があります。
- NTLM over RPC (TCP ポート 135)
- NetBIOS (UDP ポート 137)
- ディレクトリ サービス ユーザー アカウントを使用して、ATA ゲートウェイは、SAM-R (ネットワーク ログオン) を使用してローカル管理者に対してorganization内のエンドポイントを照会して、横移動パス グラフを構築します。 詳細については、「 SAM-R に必要なアクセス許可を構成する」を参照してください。
- 次のポートは、ATA ゲートウェイからネットワーク上のデバイスで受信を開く必要があります。
- 解決のために NTLM over RPC (TCP ポート 135)
- 解決のために NetBIOS (UDP ポート 137)
ATA ライトウェイト ゲートウェイの要件
このセクションでは、ATA ライトウェイト ゲートウェイの要件を示します。
全般
ATA Lightweight Gateway では、Windows Server 2008 R2 SP1 (Server Core を含まない)、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Serverを実行しているドメイン コントローラーへのインストールがサポートされています。2019 (コアを含むが Nano を含まない)。
ドメインコントローラーは読み取り専用のドメインコントローラー (RODC) にすることができます。
R2 を実行しているドメイン コントローラーに ATA ライトウェイト ゲートウェイWindows Server 2012インストールする前に、次の更新プログラムがインストールされていることを確認します:KB2919355。
次のWindows PowerShell コマンドレットを実行してチェックできます。[Get-HotFix -Id kb2919355]
インストールが Windows Server 2012 R2 Server Core 用の場合は、次の更新プログラムもインストールする必要があります: KB3000850。
次のWindows PowerShell コマンドレットを実行してチェックできます。[Get-HotFix -Id kb3000850]
インストール中に.Net Framework 4.6.1 がインストールされ、ドメイン コントローラーが再起動される可能性があります。
注:
少なくとも 5 GB の領域が必要であり、10 GB が推奨されます。 これには、ATA バイナリ、ATA ログ、 パフォーマンス ログに必要な領域が含まれます。
サーバーの仕様
ATA ライトウェイト ゲートウェイには、少なくとも 2 コアと 6 GB の RAM がドメイン コントローラーにインストールされている必要があります。 最適なパフォーマンスを得るには、ATA ライトウェイト ゲートウェイの 電源オプション を [ハイ パフォーマンス] に設定します。 ATA Lightweight Gateway は、ドメイン コントローラーとの間のネットワーク トラフィックの量と、そのドメイン コントローラーにインストールされているリソースの量に応じて、さまざまな負荷とサイズのドメイン コントローラーにデプロイできます。
動的メモリまたはその他の仮想マシン メモリ管理機能の詳細については、「 動的メモリ」を参照してください。
ATA ライトウェイト ゲートウェイのハードウェア要件の詳細については、「 ATA 容量計画」を参照してください。
コンピューターの時計の同期
ATA センター サーバー、ATA ライトウェイト ゲートウェイ サーバー、およびドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。
ネットワーク アダプター
ATA ライトウェイト ゲートウェイは、すべてのドメイン コントローラーのネットワーク アダプターでローカル トラフィックを監視します。
デプロイ後に、監視するネットワーク アダプターを変更する場合は、ATA コンソールを使用できます。
注:
Broadcom ネットワーク アダプター チーミングが有効になっている Windows 2008 R2 を実行しているドメイン コントローラーでは、ライトウェイト ゲートウェイはサポートされていません。
ポート
次の表に、ATA ライトウェイト ゲートウェイで必要な最小ポートを示します。
| プロトコル | Transport | ポート | To/From | 方向 |
|---|---|---|---|---|
| DNS | TCP と UDP | 53 | DNS サーバー | 送信 |
| RPC 経由の NTLM | TCP | 135 | ネットワーク上のすべてのデバイス | Both/フォーム/データシート |
| NetBIOS | UDP | 137 | ネットワーク上のすべてのデバイス | Both/フォーム/データシート |
| SSL | TCP | 443 | ATA センター | 送信 |
| Syslog (省略可能) | UDP | 514 | SIEM サーバー | 受信 |
| Netlogon (SMB、CIFS、SAM-R) | TCP と UDP | 445 | ネットワーク上のすべてのデバイス | 送信 |
注:
ATA ライトウェイト ゲートウェイによって実行される解決プロセスの一環として、次のポートは、ATA ライトウェイト ゲートウェイからネットワーク上のデバイスで受信を開く必要があります。
- RPC 経由の NTLM
- NetBIOS
- ディレクトリ サービス ユーザー アカウントを使用して、ATA Lightweight Gateway は、SAM-R (ネットワーク ログオン) を使用してローカル管理者のorganization内のエンドポイントを照会して、横移動パス グラフを構築します。 詳細については、「 SAM-R に必要なアクセス許可を構成する」を参照してください。
- 次のポートは、ATA ゲートウェイからネットワーク上のデバイスで受信を開く必要があります。
- 解決のために NTLM over RPC (TCP ポート 135)
- 解決のために NetBIOS (UDP ポート 137)
動的メモリ
注:
ATA サービスを仮想マシン (VM) として実行する場合、サービスでは常にすべてのメモリを VM に割り当てる必要があります。
| で実行されている VM | 説明 |
|---|---|
| Hyper-V | VM で [動的メモリの有効化] が有効になっていないことを確認します。 |
| VMWare | 構成されたメモリの量と予約済みメモリが同じであることを確認するか、[VM] 設定の [ すべてのゲスト メモリを予約する (すべてロック済み)] で次のオプションを選択します。 |
| その他の仮想化ホスト | メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。 |
ATA センターを仮想マシンとして実行する場合は、データベースの破損の可能性を回避するために、新しいチェックポイントを作成する前にサーバーをシャットダウンします。
ATA コンソール
ATA コンソールへのアクセスはブラウザーを介して行われ、ブラウザーと設定がサポートされます。
インターネット エクスプローラー バージョン 10 以降
Microsoft Edge
Google Chrome 40 以降
1700 ピクセルの最小画面幅解像度