ATA-capaciteitsplanning
Van toepassing op: Advanced Threat Analytics versie 1.9
In dit artikel kunt u bepalen hoeveel ATA-servers er nodig zijn om uw netwerk te bewaken. Hiermee kunt u een schatting maken van het aantal ATA-gateways en/of ATA Lightweight-gateways dat u nodig hebt en de servercapaciteit voor uw ATA Center en ATA Gateways.
Opmerking
Het ATA Center kan op elke IaaS-leverancier worden geïmplementeerd zolang aan de prestatievereisten in dit artikel wordt voldaan.
Het hulpprogramma voor het aanpassen van de grootte gebruiken
De aanbevolen en eenvoudigste manier om de capaciteit voor uw ATA-implementatie te bepalen, is door het ATA Sizing Tool te gebruiken. Voer het hulpprogramma voor het formaat van ATA uit en gebruik de volgende velden om de ATA-capaciteit te bepalen die u nodig hebt vanuit de resultaten van het Excel-bestand:
ATA Center CPU en geheugen: koppel het veld Bezet pakketten per seconde in het tabelresultatenbestand VAN ATA Center aan het veld PAKKETTEN PER SECONDE in de tabel ATA Center.
ATA Center Storage: koppel het veld Gemiddelde pakketten per seconde in het tabelresultatenbestand van ATA Center aan het veld PAKKETTEN PER SECONDE in de tabel ATA Center.
ATA-gateway: koppel het veld Bezet pakketten per seconde in de tabel ATA Gateway in het resultatenbestand aan het veld PAKKETTEN PER SECONDE in de TABEL ATA Gateway of de TABEL ATA Lightweight Gateway, afhankelijk van het gatewaytype dat u kiest.
Opmerking
Omdat verschillende omgevingen variëren en meerdere speciale en onverwachte kenmerken van netwerkverkeer hebben, moet u mogelijk uw implementatie aanpassen en verfijnen voor capaciteit nadat u ATA in eerste instantie hebt geïmplementeerd en het hulpprogramma voor het aanpassen van de grootte.
Als u de ATA Sizing Tool niet kunt gebruiken, verzamelt u handmatig de gegevens van de teller voor pakketten per seconde met een laag verzamelingsinterval (ongeveer 5 seconden) van al uw domeincontrollers gedurende 24 uur. Bereken vervolgens voor elke domeincontroller het dagelijkse gemiddelde en de drukste periode (15 minuten). In de volgende secties vindt u instructies voor het verzamelen van de teller voor pakketten per seconde van één domeincontroller.
Opmerking
Omdat verschillende omgevingen variëren en meerdere speciale en onverwachte kenmerken van netwerkverkeer hebben, moet u mogelijk uw implementatie aanpassen en verfijnen voor capaciteit nadat u ATA in eerste instantie hebt geïmplementeerd en het hulpprogramma voor het aanpassen van de grootte.
GROOTTE VAN ATA Center
Het ATA Center vereist een aanbevolen minimum van 30 dagen aan gegevens voor gedragsanalyse van gebruikers.
| Pakketten per seconde van alle DC's | CPU (kernen*) | Geheugen (GB) | Databaseopslag per dag (GB) | Databaseopslag per maand (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Dit omvat fysieke kernen, niet hyperthread-kernen.
**Gemiddelde getallen (piekcijfers)
Opmerking
- Het ATA Center kan een geaggregeerd maximum van 1 miljoen pakketten per seconde van alle bewaakte domeincontrollers verwerken. In sommige omgevingen kan hetzelfde ATA Center het totale verkeer verwerken dat hoger is dan 1M en sommige omgevingen kunnen de ATA-capaciteit overschrijden. Neem contact met ons op voor azureatpfeedback@microsoft.com hulp bij het plannen en schatten van grote omgevingen.
- Als uw vrije ruimte minimaal 20% of 200 GB bereikt, wordt de oudste verzameling gegevens verwijderd. Als het niet mogelijk is om het verzamelen van gegevens tot dit niveau te beperken, wordt er een waarschuwing geregistreerd. ATA blijft functioneren totdat de drempelwaarde van 5% of 50 GB gratis is bereikt. Op dit moment stopt ATA met het vullen van de database en wordt er een extra waarschuwing uitgegeven.
- U kunt het ATA Center implementeren op elke IaaS-leverancier als aan de prestatievereisten in dit artikel wordt voldaan.
- De opslaglatentie voor lees- en schrijfactiviteiten moet kleiner zijn dan 10 ms.
- De verhouding tussen lees- en schrijfactiviteiten is ongeveer 1:3 onder de 100.000 pakketten per seconde en 1:6 boven 100.000 pakketten per seconde.
- Bij het uitvoeren van het Center als een virtuele machine (VM) vereist het Centrum dat alle geheugen altijd aan de VM wordt toegewezen. Zie ATA Center-vereisten voor meer informatie over het uitvoeren van ATA Center als een virtuele machine.
- Stel voor optimale prestaties de aan/uit-optie van het ATA Center in op Hoge prestaties.
- Wanneer u op een fysieke server werkt, moet u in de ATA-database niet-uniforme geheugentoegang (NUMA) uitschakelen in het BIOS. Uw systeem verwijst mogelijk naar NUMA als Node Interleaving. In dat geval moet u Node Interleaving inschakelen om NUMA uit te schakelen. Zie de BIOS-documentatie voor meer informatie. Dit is niet relevant wanneer het ATA Center wordt uitgevoerd op een virtuele server.
Het juiste gatewaytype voor uw implementatie kiezen
In een ATA-implementatie wordt elke combinatie van de ATA Gateway-typen ondersteund:
- Alleen ATA-gateways
- Alleen ATA Lightweight-gateways
- Een combinatie van beide
Houd bij het bepalen van het implementatietype gateway rekening met de volgende voordelen:
| Gatewaytype | Voordelen | Kosten | Implementatietopologie | Domeincontroller gebruiken |
|---|---|---|---|---|
| ATA Gateway | De out-of-band-implementatie maakt het moeilijker voor aanvallers om te ontdekken dat ATA aanwezig is | Hoger | Geïnstalleerd naast de domeincontroller (buiten band) | Ondersteunt maximaal 50.000 pakketten per seconde |
| ATA Lightweight Gateway | Vereist geen toegewezen server en configuratie voor poortspiegeling | Verlagen | Geïnstalleerd op de domeincontroller | Ondersteunt maximaal 10.000 pakketten per seconde |
Hier volgen voorbeelden van scenario's waarin domeincontrollers moeten worden gedekt door de ATA Lightweight-gateway:
Vertakkingssites
Virtuele domeincontrollers geïmplementeerd in de cloud (IaaS)
Hier volgen voorbeelden van scenario's waarin domeincontrollers moeten worden gedekt door de ATA-gateway:
- Datacenters op het hoofdkantoor (met domeincontrollers met meer dan 10.000 pakketten per seconde)
Grootte van ATA Lightweight-gateway
Een ATA Lightweight Gateway kan de bewaking van één domeincontroller ondersteunen op basis van de hoeveelheid netwerkverkeer die de domeincontroller genereert.
| Pakketten per seconde* | CPU (kernen**) | Geheugen (GB)** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Totaal aantal pakketten per seconde op de domeincontroller dat wordt bewaakt door de specifieke ATA Lightweight-gateway.
**Totaal aantal niet-hyperthreaded kernen dat deze domeincontroller heeft geïnstalleerd.
Hoewel hyperthreading acceptabel is voor de ATA Lightweight-gateway, moet u bij het plannen van capaciteit de werkelijke kernen tellen en niet de kernen met hyperthreads.
De totale hoeveelheid geheugen die deze domeincontroller heeft geïnstalleerd.
Opmerking
- Als de domeincontroller niet beschikt over de resources die vereist zijn voor de ATA Lightweight-gateway, worden de prestaties van de domeincontroller niet beïnvloed, maar werkt de ATA Lightweight-gateway mogelijk niet zoals verwacht.
- Bij het uitvoeren van de gateway als een virtuele machine (VM) moet voor de gateway altijd al het geheugen aan de VM worden toegewezen. Zie Vereisten voor dynamisch geheugen voor meer informatie over het uitvoeren van ATA Gateway als een virtuele machine.
- Voor optimale prestaties stelt u de aan/uit-optie van de ATA Lightweight-gateway in op Hoge prestaties.
- Er is minimaal 5 GB aan ruimte vereist en 10 GB wordt aanbevolen, inclusief ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.
GROOTTE VAN ATA-gateway
Houd rekening met de volgende problemen bij het bepalen van het aantal ATA-gateways dat moet worden geïmplementeerd.
-
Active Directory-forests en -domeinen
ATA kan verkeer van meerdere domeinen vanuit één Active Directory-forest bewaken. Voor het bewaken van meerdere Active Directory-forests zijn afzonderlijke ATA-implementaties vereist. Configureer geen enkele ATA-implementatie om netwerkverkeer van domeincontrollers uit verschillende forests te bewaken. -
Poortspiegeling
Overwegingen voor poortspiegeling kunnen vereisen dat u meerdere ATA-gateways per gegevensgateway of vertakkingssite implementeert. -
Capaciteit
Een ATA-gateway kan ondersteuning bieden voor het bewaken van meerdere domeincontrollers, afhankelijk van de hoeveelheid netwerkverkeer van de domeincontrollers die worden bewaakt.
| Pakketten per seconde* | CPU (kernen**) | Geheugen (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20.000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Totaal gemiddeld aantal pakketten per seconde van alle domeincontrollers die worden bewaakt door de specifieke ATA Gateway tijdens het drukste uur van de dag.
*De totale hoeveelheid poortgespiegeld verkeer van domeincontrollers mag niet groter zijn dan de capaciteit van de opname-NIC op de ATA Gateway.
**Hyperthreading moet zijn uitgeschakeld.
Opmerking
- Bij het uitvoeren van de gateway als een virtuele machine (VM) moet voor de gateway altijd al het geheugen aan de VM worden toegewezen. Zie Vereisten voor dynamisch geheugen voor meer informatie over het uitvoeren van ATA Gateway als een virtuele machine.
- Stel voor optimale prestaties de aan/uit-optie van de ATA-gateway in op Hoge prestaties.
- Er is minimaal 5 GB aan ruimte vereist en 10 GB wordt aanbevolen, inclusief ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.