ATA-kapasitetsplanlegging
Gjelder for: Advanced Threat Analytics versjon 1.9
Denne artikkelen hjelper deg med å finne ut hvor mange ATA-servere som kreves for å overvåke nettverket. Det hjelper deg med å beregne hvor mange ATA-gatewayer og/eller ATA Lightweight Gateways du trenger, og serverkapasiteten for ATA-senteret og ATA Gateways.
Obs!
ATA-senteret kan distribueres på alle IaaS-leverandører så lenge ytelseskravene som er beskrevet i denne artikkelen, oppfylles.
Bruke skaleringsverktøyet
Den anbefalte og enkleste måten å bestemme kapasitet for ATA-distribusjonen på, er å bruke ATA-skaleringsverktøyet. Kjør ATA-skaleringsverktøyet, og bruk følgende felt fra Excel-filresultatene til å bestemme ATA-kapasiteten du trenger:
CPU og minne for ATA-senteret: Tilordne feltet Opptatte pakker/sek i ATA Center-tabellresultatfilen til PACKETS PER SEKUND-feltet i ATA Center-tabellen.
ATA Center Storage: Samsvarer med Feltet Gjennomsnittspakker/sek i ATA Center-tabellresultatfilen til PACKETS PER SECOND-feltet i ATA Center-tabellen.
ATA Gateway: Samsvar med feltet Opptatte pakker/sekund i ATA Gateway-tabellen i resultatfilen til PACKETS PER SECOND-feltet i ATA Gateway-tabellen eller ATA Lightweight Gateway-tabellen, avhengig av gatewaytypen du velger.
Obs!
Fordi ulike miljøer varierer og har flere spesielle og uventede nettverkstrafikkegenskaper, må du kanskje justere og finjustere distribusjonen for kapasitet etter at du først har distribuert ATA og kjørt skaleringsverktøyet.
Hvis du ikke kan bruke ATA-skaleringsverktøyet, kan du manuelt samle inn informasjon om pakke/sek-telleren med et lavt samlingsintervall (omtrent 5 sekunder) fra alle domenekontrollerne i 24 timer. Deretter beregner du det daglige gjennomsnittet og det travleste gjennomsnittet (15 minutter) for hver domenekontroller. Avsnittene nedenfor gir instruksjoner om hvordan du samler inn pakker/sek-telleren fra én domenekontroller.
Obs!
Fordi ulike miljøer varierer og har flere spesielle og uventede nettverkstrafikkegenskaper, må du kanskje justere og finjustere distribusjonen for kapasitet etter at du først har distribuert ATA og kjørt skaleringsverktøyet.
ATA Center Sizing
ATA-senteret krever minst 30 dager med data for brukeratferdsanalyse.
| Pakker per sekund fra alle datamaskiner | CPU (kjerner*) | Minne (GB) | Databaselagring per dag (GB) | Databaselagring per måned (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Dette inkluderer fysiske kjerner, ikke hypertrådede kjerner.
**Gjennomsnittstall (topptall)
Obs!
- ATA-senteret kan håndtere maksimalt 1 m pakker per sekund fra alle overvåkede domenekontrollere. I enkelte miljøer kan samme ATA-senter håndtere generell trafikk som er høyere enn 1 million, og noen miljøer kan overskride ATA-kapasiteten. Kontakt oss på azureatpfeedback@microsoft.com for å få hjelp til planlegging og estimering av store miljøer.
- Hvis ledig plass når minst 20 % eller 200 GB, slettes den eldste samlingen av data. Hvis det ikke er mulig å redusere datainnsamlingen til dette nivået, logges et varsel. ATA vil fortsette å fungere til terskelen på 5% eller 50 GB gratis er nådd. På dette tidspunktet vil ATA slutte å fylle ut databasen, og det vil bli utstedt et ekstra varsel.
- Du kan distribuere ATA-senteret på en hvilken som helst leverandør av IaaS hvis ytelseskravene som er beskrevet i denne artikkelen, er oppfylt.
- Ventetiden for lagring for lese- og skriveaktiviteter bør være under 10 ms.
- Forholdet mellom lese- og skriveaktiviteter er omtrent 1:3 under 100 000 pakker per sekund og 1:6 over 100 000 pakker per sekund.
- Når du kjører Midtstill som en virtuell maskin (VM), krever senteret at alt minne tildeles den virtuelle maskinen hele tiden. Hvis du vil ha mer informasjon om hvordan du kjører ATA Center som en virtuell maskin, kan du se ATA Center-krav.
- Hvis du vil ha optimal ytelse, kan du sette Power Option for ATA Center til høy ytelse.
- Når du arbeider på en fysisk server, må ATA-databasen deaktivere ikke-ensartet minnetilgang (NUMA) i BIOS. Systemet kan referere til NUMA som Node Interleaving, i så fall må du aktivere Node Interleaving for å deaktivere NUMA. Hvis du vil ha mer informasjon, kan du se BIOS-dokumentasjonen. Dette er ikke relevant når ATA-senteret kjører på en virtuell server.
Velge riktig gatewaytype for distribusjonen
I en ATA-distribusjon støttes en kombinasjon av ATA Gateway-typer:
- Bare ATA-gatewayer
- Bare ATA Lightweight Gateways
- En kombinasjon av begge
Når du bestemmer deg for distribusjonstypen for gatewayen, bør du vurdere følgende fordeler:
| Gatewaytype | Fordeler | Kostnad | Distribusjonstopologi | Bruk av domenekontroller |
|---|---|---|---|---|
| ATA Gateway | Out of band-distribusjonen gjør det vanskeligere for angripere å oppdage at ATA er til stede | Høyere | Installert sammen med domenekontrolleren (ikke tilgjengelig) | Støtter opptil 50 000 pakker per sekund |
| ATA Lightweight Gateway | Krever ikke en dedikert server- og portspeilingskonfigurasjon | Nedre | Installert på domenekontrolleren | Støtter opptil 10 000 pakker per sekund |
Følgende er eksempler på scenarioer der domenekontrollere bør dekkes av ATA Lightweight Gateway:
Avdelingsområder
Virtuelle domenekontrollere distribuert i skyen (IaaS)
Følgende er eksempler på scenarioer der domenekontrollere bør dekkes av ATA Gateway:
- Headquarter-datasentre (har domenekontrollere med mer enn 10 000 pakker per sekunder)
ATA Lightweight Gateway-skalering
En ATA Lightweight Gateway kan støtte overvåking av én domenekontroller basert på hvor mye nettverkstrafikk domenekontrolleren genererer.
| Pakker per sekund* | CPU (kjerner**) | Minne (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Totalt antall pakker per sekund på domenekontrolleren som overvåkes av den spesifikke ATA Lightweight Gateway.
**Totalt antall ikke-hypertrådede kjerner som denne domenekontrolleren har installert.
Selv om hypertråding er akseptabelt for ATA Lightweight Gateway, bør du telle faktiske kjerner og ikke hypertrådede kjerner når du planlegger kapasitet.
Total mengde minne som denne domenekontrolleren har installert.
Obs!
- Hvis domenekontrolleren ikke har ressursene som kreves av ATA Lightweight Gateway, påvirkes ikke domenekontrollerens ytelse, men ATA Lightweight Gateway fungerer kanskje ikke som forventet.
- Når gatewayen kjøres som en virtuell maskin (VM), krever gatewayen at alt minne tildeles den virtuelle maskinen hele tiden. Hvis du vil ha mer informasjon om hvordan du kjører ATA Gateway som en virtuell maskin, kan du se krav til dynamisk minne.
- Hvis du vil ha optimal ytelse, angir du Power Option for ATA Lightweight Gateway til høy ytelse.
- Det kreves minst 5 GB plass, og 10 GB anbefales, inkludert plass som kreves for ATA-binærfilene, ATA-loggene og ytelsesloggene.
ATA Gateway Sizing
Vurder følgende problemer når du bestemmer hvor mange ATA-gatewayer som skal distribueres.
-
Active Directory-skoger og -domener
ATA kan overvåke trafikk fra flere domener fra én enkelt Active Directory-skog. Overvåking av flere Active Directory-skoger krever separate ATA-distribusjoner. Ikke konfigurer én enkelt ATA-distribusjon for å overvåke nettverkstrafikken til domenekontrollere fra forskjellige skoger. -
Port speiling
Vurderinger for portspeiling kan kreve at du distribuerer flere ATA-gatewayer per datagateway eller grenområde. -
Kapasitet
En ATA Gateway kan støtte overvåking av flere domenekontrollere, avhengig av mengden nettverkstrafikk for domenekontrollerne som overvåkes.
| Pakker per sekund* | CPU (kjerner**) | Minne (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Totalt gjennomsnittlig antall pakker per sekund fra alle domenekontrollere som overvåkes av den bestemte ATA Gateway i løpet av den travleste timen på dagen.
*Den totale mengden portspeilet trafikk for domenekontrolleren kan ikke overskride kapasiteten til oppfanget NIC på ATA Gateway.
**Hypertråder må deaktiveres.
Obs!
- Når gatewayen kjøres som en virtuell maskin (VM), krever gatewayen at alt minne tildeles den virtuelle maskinen hele tiden. Hvis du vil ha mer informasjon om hvordan du kjører ATA Gateway som en virtuell maskin, kan du se Krav til dynamisk minne.
- Hvis du vil ha optimal ytelse, kan du sette Power Option for ATA Gateway til høy ytelse.
- Det kreves minst 5 GB plass, og 10 GB anbefales, inkludert plass som kreves for ATA-binærfilene, ATA-loggene og ytelsesloggene.