ATA-forutsetninger
Gjelder for: Advanced Threat Analytics versjon 1.9
Denne artikkelen beskriver kravene for en vellykket ATA-distribusjon i miljøet ditt.
Obs!
Hvis du vil ha informasjon om hvordan du planlegger ressurser og kapasitet, kan du se ATA-kapasitetsplanlegging.
ATA består av ATA Center, ATA Gateway og/eller ATA Lightweight Gateway. Hvis du vil ha mer informasjon om ATA-komponentene, kan du se ATA-arkitektur.
ATA-systemet fungerer på active directory-skoggrensen og støtter Forest Functional Level (FFL) i Windows 2003 og nyere.
Før du begynner: Denne delen viser informasjon du bør samle inn, og kontoer og nettverksenheter du bør ha, før du starter ATA-installasjonen.
ATA Center: Denne delen viser ATA Center-maskinvare, programvarekrav samt innstillinger du må konfigurere på ATA Center-serveren.
ATA Gateway: Denne delen viser ATA Gateway-maskinvare, programvarekrav samt innstillinger du må konfigurere på ATA Gateway-serverne.
ATA Lightweight Gateway: Denne delen viser ATA Lightweight Gateway-maskinvare og programvarekrav.
ATA-konsoll: Denne delen viser nettleserkrav for å kjøre ATA-konsollen.
Før du begynner
Denne delen viser informasjon du bør samle inn, i tillegg til kontoer og nettverksenheter du bør ha før du starter ATA-installasjonen.
Brukerkonto og passord med lesetilgang til alle objekter i de overvåkede domenene.
Obs!
Hvis du har angitt egendefinerte tilgangskontrollister for ulike organisasjonsenheter (OU) i domenet, må du kontrollere at den valgte brukeren har lesetillatelser for disse OU-ene.
Ikke installer Microsoft Message Analyzer på en ATA Gateway eller Lightweight Gateway. Message Analyzer-driveren er i konflikt med ATA Gateway- og Lightweight Gateway-driverne. Hvis du kjører Wireshark på ATA Gateway, må du starte Microsoft Advanced Threat Analytics Gateway Service på nytt etter at du har stoppet Wireshark-opptaket. Hvis ikke, slutter gatewayen å registrere trafikk. Å kjøre Wireshark på en ATA Lightweight Gateway forstyrrer ikke ATA Lightweight Gateway.
Anbefalt: Brukeren bør ha skrivebeskyttede tillatelser i beholderen Slettede objekter. Dette gjør at ATA kan oppdage massesletting av objekter i domenet. Hvis du vil ha informasjon om hvordan du konfigurerer skrivebeskyttede tillatelser i beholderen Slettede objekter, kan du se avsnittet Endre tillatelser for en slettet objektbeholder i artikkelen Vis eller Angi tillatelser for et katalogobjekt .
Valgfritt: En brukerkonto for en bruker uten nettverksaktiviteter. Denne kontoen kan konfigureres som en ATA Honeytoken-bruker. Hvis du vil konfigurere en konto som en Honeytoken-bruker, kreves bare brukernavnet. Hvis du vil ha informasjon om konfigurasjon av Honeytoken, kan du se Konfigurere IP-adresseutelukker og Honeytoken-bruker.
Valgfritt: I tillegg til å samle inn og analysere nettverkstrafikk til og fra domenekontrollørene, kan ATA bruke Windows-hendelser 4776, 4732, 4733, 4728, 4729, 4756 og 4757 for ytterligere å forbedre ATA Pass-the-Hash, Brute Force, Modifikasjon av sensitive grupper og Honey Tokens-gjenkjenninger. Disse hendelsene kan mottas fra SIEM eller ved å angi Windows Event Forwarding fra domenekontrolleren. Hendelser som samles inn, gir ATA tilleggsinformasjon som ikke er tilgjengelig via nettverkstrafikken til domenekontrolleren.
ATA Center-krav
Denne delen viser kravene for ATA-senteret.
Generelle
ATA Center støtter installasjon på en server som kjører Windows Server 2012 R2 Windows Server 2016 og Windows Server 2019.
Obs!
ATA-senteret støtter ikke Windows Server kjerne.
ATA-senteret kan installeres på en server som er medlem av et domene eller en arbeidsgruppe.
Før du installerer ATA Center som kjører Windows 2012 R2, må du kontrollere at følgende oppdatering er installert: KB2919355.
Du kan kontrollere ved å kjøre følgende Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355].
Installasjon av ATA-senteret som en virtuell maskin støttes.
Serverspesifikasjoner
Når du arbeider på en fysisk server, krever ATA-databasen at du deaktiverer ikke-ensartet minnetilgang (NUMA) i BIOS. Systemet kan referere til NUMA som Node Interleaving, i så fall må du aktivere Node Interleaving for å deaktivere NUMA. Hvis du vil ha mer informasjon, kan du se BIOS-dokumentasjonen.
Hvis du vil ha optimal ytelse, kan du sette Power Option for ATA Center til høy ytelse.
Antall domenekontrollere du overvåker, og belastningen på hver av domenekontrollerne dikterer serverspesifikasjonene som kreves. Hvis du vil ha mer informasjon, kan du se ATA-kapasitetsplanlegging.
For Windows-operativsystemer 2008R2 og 2012 støttes ikke Gateway i en gruppemodus for flere prosessorer . Hvis du vil ha mer informasjon om gruppemodus for flere prosessorer, kan du se feilsøking.
Tidssynkronisering
ATA Center-serveren, ATA Gateway-serverne og domenekontrollerne må ha tid synkronisert til innen fem minutter fra hverandre.
Nettverkskort
Du bør ha følgende sett:
Minst ett nettverkskort (hvis du bruker fysisk server i VLAN-miljøet, anbefales det å bruke to nettverkskort)
En IP-adresse for kommunikasjon mellom ATA Center og ATA Gateway som krypteres ved hjelp av SSL på port 443. (ATA-tjenesten binder seg til alle IP-adresser som ATA-senteret har på port 443.)
Porter
Tabellen nedenfor viser minimumsportene som må åpnes for at ATA-senteret skal fungere som de skal.
| Protokoll | Transport | Port | Til/fra | Retning |
|---|---|---|---|---|
| SSL (ATA Communications) | _tcp | 443 | ATA Gateway | Innkommende |
| HTTP (valgfritt) | _tcp | 80 | Firmanettverk | Innkommende |
| HTTPS | _tcp | 443 | Firmanettverk og ATA Gateway | Innkommende |
| SMTP (valgfritt) | _tcp | 25 | SMTP-server | Utgående |
| SMTPS (valgfritt) | _tcp | 465 | SMTP-server | Utgående |
| Syslog (valgfritt) | TCP/UPS/TLS (konfigurerbar) | 514 (standard) | Syslog-server | Utgående |
| LDAP | TCP og UDP | 389 | Domenekontrollere | Utgående |
| LDAPS (valgfritt) | _tcp | 636 | Domenekontrollere | Utgående |
| DNS | TCP og UDP | 53 | DNS-servere | Utgående |
| Kerberos (valgfritt hvis domenet er koblet til) | TCP og UDP | 88 | Domenekontrollere | Utgående |
| Windows-tid (valgfritt hvis domenet er koblet til) | UDP | 123 | Domenekontrollere | Utgående |
Obs!
LDAP kreves for å teste legitimasjonen som skal brukes mellom ATA-gatewayene og domenekontrollerne. Testen utføres fra ATA-senteret til en domenekontroller for å teste gyldigheten av denne legitimasjonen, hvoretter ATA Gateway bruker LDAP som en del av sin normale oppløsningsprosess.
Sertifikater
Hvis du vil installere og distribuere ATA raskere, kan du installere selvsignerte sertifikater under installasjonen. Hvis du har valgt å bruke selvsignerte sertifikater, anbefales det etter den første distribusjonen å erstatte selvsignerte sertifikater med sertifikater fra en intern sertifiseringsinstans som skal brukes av ATA-senteret.
Kontroller at ATA Center og ATA Gateways har tilgang til CRL-distribusjonspunktet. Hvis de ikke har Internett-tilgang, følger du fremgangsmåten for å importere en crl manuelt, slik at du installerer alle CRL-distribusjonspunktene for hele kjeden.
Sertifikatet må ha:
- En privatnøkkel
- En leverandørtype av enten kryptografisk tjenesteleverandør (CSP) eller key storage provider (KSP)
- En offentlig nøkkellengde på 2048 biter
- Et verdisett for bruksflagg for KeyEncipherment og ServerAuthentication
- KeySpec-verdien (KeyNumber) for KeyExchange (AT_KEYEXCHANGE). Verdien «Signatur» (AT_SIGNATURE) støttes ikke .
- Alle Gateway-maskiner må kunne validere og klarere det valgte Center-sertifikatet.
Du kan for eksempel bruke standard webserver - eller datamaskinmaler .
Advarsel
Prosessen med å fornye et eksisterende sertifikat støttes ikke. Den eneste måten å fornye et sertifikat på, er ved å opprette et nytt sertifikat og konfigurere ATA til å bruke det nye sertifikatet.
Obs!
- Hvis du skal få tilgang til ATA-konsollen fra andre datamaskiner, må du kontrollere at disse datamaskinene stoler på sertifikatet som brukes av ATA-senteret, ellers får du en advarselsside om at det er et problem med nettstedets sikkerhetssertifikat før du kommer til påloggingssiden.
- Fra og med ATA versjon 1.8 administrerer ATA Gateways og Lightweight Gateways sine egne sertifikater og trenger ingen administratorsamhandling for å administrere dem.
ATA Gateway-krav
Denne delen viser kravene for ATA Gateway.
Generelle
ATA Gateway støtter installasjon på en server som kjører Windows Server 2012 R2 eller Windows Server 2016 og Windows Server 2019 (inkludert serverkjerne). ATA Gateway kan installeres på en server som er medlem av et domene eller en arbeidsgruppe. ATA Gateway kan brukes til å overvåke domenekontrollere med domenefunksjonelt nivå i Windows 2003 og nyere.
Før du installerer ATA Gateway som kjører Windows 2012 R2, må du kontrollere at følgende oppdatering er installert: KB2919355.
Du kan kontrollere ved å kjøre følgende Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355].
Hvis du vil ha informasjon om hvordan du bruker virtuelle maskiner med ATA Gateway, kan du se Konfigurere portspeiling.
Obs!
Det kreves minst 5 GB plass, og 10 GB anbefales. Dette inkluderer plass som kreves for ATA-binærfilene, ATA-loggene og ytelsesloggene.
Serverspesifikasjoner
Hvis du vil ha optimal ytelse, kan du sette Power Option for ATA Gateway til høy ytelse.
En ATA Gateway kan støtte overvåking av flere domenekontrollere, avhengig av mengden nettverkstrafikk til og fra domenekontrollerne.
Hvis du vil lære mer om dynamisk minne eller andre funksjoner for minnebehandling for virtuell maskin, kan du se Dynamisk minne.
Hvis du vil ha mer informasjon om maskinvarekravene for ATA Gateway, kan du se PLANLEGGING AV ATA-kapasitet.
Tidssynkronisering
ATA Center-serveren, ATA Gateway-serverne og domenekontrollerne må ha tid synkronisert til innen fem minutter fra hverandre.
Nettverkskort
ATA Gateway krever minst én administrasjonsadapter og minst ett opptakskort:
Administrasjonsadapter – brukes til kommunikasjon på firmanettverket. Dette adapteret må konfigureres med følgende innstillinger:
Statisk IP-adresse inkludert standard gateway
Foretrukne og alternative DNS-servere
DNS-suffikset for denne tilkoblingen må være DNS-navnet på domenet for hvert domene som overvåkes.
Obs!
Hvis ATA Gateway er medlem av domenet, kan dette konfigureres automatisk.
Opptaksadapter – brukes til å registrere trafikk til og fra domenekontrollerne.
Viktig
- Konfigurer portspeiling for opptaksadapteren som mål for nettverkstrafikken til domenekontrolleren. Hvis du vil ha mer informasjon, kan du se Konfigurere portspeiling. Vanligvis må du jobbe med nettverks- eller virtualiseringsteamet for å konfigurere portspeiling.
- Konfigurer en statisk IP-adresse som ikke kan rutes for miljøet, uten standard gateway og ingen DNS-serveradresser. Eksempel: 1.1.1.1/32. Dette sikrer at nettverkskortet for oppfanging kan fange opp maksimal trafikk, og at nettverkskortet for administrasjon brukes til å sende og motta den nødvendige nettverkstrafikken.
Porter
Tabellen nedenfor viser minimumsportene som ATA Gateway krever konfigurert på administrasjonsadapteren:
| Protokoll | Transport | Port | Til/fra | Retning |
|---|---|---|---|---|
| LDAP | TCP og UDP | 389 | Domenekontrollere | Utgående |
| Sikker LDAP (LDAPS) | _tcp | 636 | Domenekontrollere | Utgående |
| LDAP til global katalog | _tcp | 3268 | Domenekontrollere | Utgående |
| LDAPS til global katalog | _tcp | 3269 | Domenekontrollere | Utgående |
| Kerberos | TCP og UDP | 88 | Domenekontrollere | Utgående |
| Netlogon (SMB, CIFS, SAM-R) | TCP og UDP | 445 | Alle enheter på nettverket | Utgående |
| Windows-tid | UDP | 123 | Domenekontrollere | Utgående |
| DNS | TCP og UDP | 53 | DNS-servere | Utgående |
| NTLM over RPC | _tcp | 135 | Alle enheter på nettverket | Begge |
| Netbios | UDP | 137 | Alle enheter på nettverket | Begge |
| SSL | _tcp | 443 | ATA-senter | Utgående |
| Syslog (valgfritt) | UDP | 514 | SIEM-server | Innkommende |
Obs!
Som en del av løsningsprosessen som utføres av ATA Gateway, må følgende porter være åpne inngående på enheter på nettverket fra ATA Gateways.
- NTLM over RPC (TCP-port 135)
- NetBIOS (UDP-port 137)
- Ved hjelp av brukerkontoen for katalogtjenesten spør ATA Gateway endepunktene i organisasjonen for lokale administratorer ved hjelp av SAM-R (nettverkspålogging) for å bygge grafen for lateral bevegelsesbane. Hvis du vil ha mer informasjon, kan du se Konfigurere NØDVENDIGE SAM-R-tillatelser.
- Følgende porter må være åpne inngående på enheter på nettverket fra ATA Gateway:
- NTLM over RPC (TCP Port 135) for løsningsformål
- NetBIOS (UDP port 137) for løsningsformål
KRAV til ATA Lightweight Gateway
Denne delen viser kravene for ATA Lightweight Gateway.
Generelle
ATA Lightweight Gateway støtter installasjon på en domenekontroller som kjører Windows Server 2008 R2 SP1 (ikke inkludert Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 og Windows Server 2019 (inkludert Core, men ikke Nano).
Domenekontrolleren kan være en skrivebeskyttet domenekontroller (RODC).
Før du installerer ATA Lightweight Gateway på en domenekontroller som kjører Windows Server 2012 R2, må du kontrollere at følgende oppdatering er installert: KB2919355.
Du kan kontrollere ved å kjøre følgende Windows PowerShell cmdlet:[Get-HotFix -Id kb2919355]
Hvis installasjonen er for Windows Server 2012 R2 Server Core, bør følgende oppdatering også installeres: KB3000850.
Du kan kontrollere ved å kjøre følgende Windows PowerShell cmdlet:[Get-HotFix -Id kb3000850]
Under installasjonen er .Net Framework 4.6.1 installert og kan føre til omstart av domenekontrolleren.
Obs!
Det kreves minst 5 GB plass, og 10 GB anbefales. Dette inkluderer plass som kreves for ATA-binærfilene, ATA-loggene og ytelsesloggene.
Serverspesifikasjoner
ATA Lightweight Gateway krever minst 2 kjerner og 6 GB RAM installert på domenekontrolleren. Hvis du vil ha optimal ytelse, angir du Power Option for ATA Lightweight Gateway til høy ytelse. ATA Lightweight Gateway kan distribueres på domenekontrollere av ulike belastninger og størrelser, avhengig av mengden nettverkstrafikk til og fra domenekontrollerne og mengden ressurser som er installert på denne domenekontrolleren.
Hvis du vil lære mer om dynamisk minne eller andre funksjoner for minnebehandling for virtuell maskin, kan du se Dynamisk minne.
Hvis du vil ha mer informasjon om maskinvarekravene for ATA Lightweight Gateway, kan du se ATA-kapasitetsplanlegging.
Tidssynkronisering
ATA Center-serveren, ATA Lightweight Gateway-serverne og domenekontrollerne må ha tid synkronisert til innen fem minutter fra hverandre.
Nettverkskort
ATA Lightweight Gateway overvåker den lokale trafikken på alle domenekontrollerens nettverkskort.
Etter distribusjon kan du bruke ATA-konsollen hvis du vil endre hvilke nettverkskort som overvåkes.
Obs!
Lightweight Gateway støttes ikke på domenekontrollere som kjører Windows 2008 R2 med Broadcom Network Adapter Teaming aktivert.
Porter
Tabellen nedenfor viser minimumsportene som ATA Lightweight Gateway krever:
| Protokoll | Transport | Port | Til/fra | Retning |
|---|---|---|---|---|
| DNS | TCP og UDP | 53 | DNS-servere | Utgående |
| NTLM over RPC | _tcp | 135 | Alle enheter på nettverket | Begge |
| Netbios | UDP | 137 | Alle enheter på nettverket | Begge |
| SSL | _tcp | 443 | ATA-senter | Utgående |
| Syslog (valgfritt) | UDP | 514 | SIEM-server | Innkommende |
| Netlogon (SMB, CIFS, SAM-R) | TCP og UDP | 445 | Alle enheter på nettverket | Utgående |
Obs!
Som en del av løsningsprosessen som utføres av ATA Lightweight Gateway, må følgende porter være åpne inngående på enheter på nettverket fra ATA Lightweight Gateways.
- NTLM over RPC
- Netbios
- Ved hjelp av brukerkontoen for katalogtjenesten spør ATA Lightweight Gateway endepunktene i organisasjonen for lokale administratorer ved hjelp av SAM-R (nettverkspålogging) for å bygge grafen for lateral bevegelsesbane. Hvis du vil ha mer informasjon, kan du se Konfigurere NØDVENDIGE SAM-R-tillatelser.
- Følgende porter må være åpne inngående på enheter på nettverket fra ATA Gateway:
- NTLM over RPC (TCP Port 135) for løsningsformål
- NetBIOS (UDP port 137) for løsningsformål
Dynamisk minne
Obs!
Når du kjører ATA-tjenester som en virtuell maskin (VM), krever tjenesten at alt minne tildeles den virtuelle maskinen hele tiden.
| VM kjører på | Beskrivelse |
|---|---|
| Hyper-V | Kontroller at Aktiver dynamisk minne ikke er aktivert for den virtuelle maskinen. |
| VMWare | Kontroller at mengden minne som er konfigurert og det reserverte minnet er det samme, eller velg følgende alternativ i VM-innstillingen – reserver alt gjesteminne (låst). |
| Annen virtualiseringsvert | Se leverandørens dokumentasjon om hvordan du sikrer at minnet er fullstendig allokert til den virtuelle maskinen til enhver tid. |
Hvis du kjører ATA-senteret som en virtuell maskin, må du avslutte serveren før du oppretter et nytt kontrollpunkt for å unngå potensiell databasekorrupsjon.
ATA-konsoll
Tilgang til ATA-konsollen er via en nettleser som støtter nettlesere og innstillinger:
Internet Explorer versjon 10 og nyere
Microsoft Edge
Google Chrome 40 og nyere
Minste skjermbreddeoppløsning på 1700 piksler