ATA-vereisten
Van toepassing op: Advanced Threat Analytics versie 1.9
In dit artikel worden de vereisten beschreven voor een geslaagde ATA-implementatie in uw omgeving.
Opmerking
Zie ATA-capaciteitsplanning voor meer informatie over het plannen van resources en capaciteit.
ATA bestaat uit het ATA Center, de ATA-gateway en/of de ATA Lightweight-gateway. Zie ATA-architectuur voor meer informatie over de ATA-onderdelen.
Het ATA-systeem werkt op active directory-forestgrens en ondersteunt Forest Functional Level (FFL) van Windows 2003 en hoger.
Voordat u begint: in deze sectie vindt u informatie die u moet verzamelen en accounts en netwerkentiteiten die u moet hebben voordat u de ATA-installatie start.
ATA Center: in deze sectie vindt u een overzicht van ata Center-hardware, softwarevereisten en instellingen die u moet configureren op uw ATA Center-server.
ATA Gateway: in deze sectie vindt u een overzicht van ata Gateway-hardware, softwarevereisten en instellingen die u moet configureren op uw ATA Gateway-servers.
ATA Lightweight Gateway: in deze sectie worden de hardware- en softwarevereisten voor ATA Lightweight Gateway vermeld.
ATA Console: in deze sectie vindt u een overzicht van de browservereisten voor het uitvoeren van de ATA-console.
Voordat u van start gaat
In deze sectie vindt u informatie die u moet verzamelen, evenals accounts en netwerkentiteiten die u moet hebben voordat u de ATA-installatie start.
Gebruikersaccount en wachtwoord met leestoegang tot alle objecten in de bewaakte domeinen.
Opmerking
Als u aangepaste ACL's hebt ingesteld voor verschillende organisatie-eenheden (OE's) in uw domein, moet u ervoor zorgen dat de geselecteerde gebruiker leesmachtigingen heeft voor deze organisatie-eenheden.
Installeer Microsoft Message Analyzer niet op een ATA-gateway of lightweight-gateway. Het Message Analyzer-stuurprogramma conflicteert met de STUURPROGRAMMA's ATA Gateway en Lightweight Gateway. Als u Wireshark uitvoert op ATA Gateway, moet u de Microsoft Advanced Threat Analytics Gateway-service opnieuw starten nadat u de Wireshark-opname hebt gestopt. Zo niet, dan stopt de gateway met het vastleggen van verkeer. Het uitvoeren van Wireshark op een ATA Lightweight-gateway heeft geen invloed op de ATA Lightweight-gateway.
Aanbevolen: de gebruiker moet alleen-lezenmachtigingen hebben voor de container Verwijderde objecten. Hierdoor kan ATA bulksgewijs verwijderen van objecten in het domein detecteren. Zie de sectie Machtigingen wijzigen voor een verwijderde objectcontainer in het artikel Machtigingen voor een mapobject weergeven of instellen voor meer informatie over het configureren van alleen-lezenmachtigingen voor de container Verwijderde objecten.
Optioneel: een gebruikersaccount van een gebruiker zonder netwerkactiviteiten. Dit account kan worden geconfigureerd als ata Honeytoken-gebruiker. Als u een account wilt configureren als Honeytoken-gebruiker, is alleen de gebruikersnaam vereist. Zie Ip-adresuitsluitingen configureren en Honeytoken-gebruiker voor informatie over de configuratie van Honeytoken.
Optioneel: naast het verzamelen en analyseren van netwerkverkeer van en naar de domeincontrollers, kan ATA Windows-gebeurtenissen 4776, 4732, 4733, 4728, 4729, 4756 en 4757 gebruiken om de detecties van ATA Pass-the-Hash, Brute Force, Aanpassing aan gevoelige groepen en Honey Tokens verder te verbeteren. Deze gebeurtenissen kunnen worden ontvangen van uw SIEM of door Windows Event Forwarding in te stellen vanaf uw domeincontroller. Verzamelde gebeurtenissen bieden ATA aanvullende informatie die niet beschikbaar is via het netwerkverkeer van de domeincontroller.
VEREISTEN VOOR ATA Center
In deze sectie vindt u de vereisten voor het ATA Center.
Algemeen
Het ATA Center ondersteunt de installatie op een server met Windows Server 2012 R2 Windows Server 2016 en Windows Server 2019.
Opmerking
Het ATA Center biedt geen ondersteuning voor Windows Server kern.
Het ATA Center kan worden geïnstalleerd op een server die lid is van een domein of werkgroep.
Voordat u ATA Center installeert met Windows 2012 R2, controleert u of de volgende update is geïnstalleerd: KB2919355.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren: [Get-HotFix -Id kb2919355].
De installatie van het ATA Center als een virtuele machine wordt ondersteund.
Serverspecificaties
Wanneer u op een fysieke server werkt, moet u voor de ATA-database Niet-uniforme geheugentoegang (NUMA) uitschakelen in het BIOS. Uw systeem verwijst mogelijk naar NUMA als Node Interleaving. In dat geval moet u Node Interleaving inschakelen om NUMA uit te schakelen. Zie de BIOS-documentatie voor meer informatie.
Stel voor optimale prestaties de aan/uit-optie van het ATA Center in op Hoge prestaties.
Het aantal domeincontrollers dat u bewaakt en de belasting van elk van de domeincontrollers bepaalt de serverspecificaties die nodig zijn. Zie ATA-capaciteitsplanning voor meer informatie.
Voor Windows-besturingssystemen 2008R2 en 2012 wordt Gateway niet ondersteund in de modus Multi Processor Group . Zie Probleemoplossing voor meer informatie over de groepsmodus met meerdere processoren.
Tijdsynchronisatie
De ATA Center-server, de ATA Gateway-servers en de domeincontrollers moeten binnen vijf minuten na elkaar zijn gesynchroniseerd.
Netwerkadapters
U moet de volgende set hebben:
Ten minste één netwerkadapter (als u een fysieke server in een VLAN-omgeving gebruikt, wordt het aanbevolen om twee netwerkadapters te gebruiken)
Een IP-adres voor communicatie tussen het ATA Center en de ATA Gateway dat is versleuteld met SSL op poort 443. (De ATA-service verbindt zich met alle IP-adressen die het ATA Center op poort 443 heeft.)
Poorten
De volgende tabel bevat de minimale poorten die moeten worden geopend om het ATA Center goed te laten werken.
| Protocol | Vervoer | Poort | Naar/van | Richting |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Inkomende |
| HTTP (optioneel) | TCP | 80 | Bedrijfsnetwerk | Inkomende |
| HTTPS | TCP | 443 | Bedrijfsnetwerk en ATA Gateway | Inkomende |
| SMTP (optioneel) | TCP | 25 | SMTP-server | Uitgaand |
| SMTPS (optioneel) | TCP | 465 | SMTP-server | Uitgaand |
| Syslog (optioneel) | TCP/UPS/TLS (configureerbaar) | 514 (standaard) | Syslog-server | Uitgaand |
| LDAP | TCP en UDP | 389 | Domeincontrollers | Uitgaand |
| LDAPS (optioneel) | TCP | 636 | Domeincontrollers | Uitgaand |
| DNS | TCP en UDP | 53 | DNS-servers | Uitgaand |
| Kerberos (optioneel als het domein is toegevoegd) | TCP en UDP | 88 | Domeincontrollers | Uitgaand |
| Windows Time (optioneel als domein is toegevoegd) | UDP | 123 | Domeincontrollers | Uitgaand |
Opmerking
LDAP is vereist om de referenties te testen die moeten worden gebruikt tussen de ATA-gateways en de domeincontrollers. De test wordt uitgevoerd vanuit het ATA Center naar een domeincontroller om de geldigheid van deze referenties te testen, waarna de ATA Gateway LDAP gebruikt als onderdeel van het normale oplossingsproces.
Certificaten
Als u ATA sneller wilt installeren en implementeren, kunt u zelfondertekende certificaten installeren tijdens de installatie. Als u ervoor hebt gekozen om zelfondertekende certificaten te gebruiken, wordt het aanbevolen om na de eerste implementatie zelfondertekende certificaten te vervangen door certificaten van een interne certificeringsinstantie die moeten worden gebruikt door het ATA Center.
Zorg ervoor dat het ATA Center en de ATA-gateways toegang hebben tot uw CRL-distributiepunt. Als ze geen internettoegang hebben, volgt u de procedure om handmatig een CRL te importeren, waarbij u ervoor zorgt dat alle CRL-distributiepunten voor de hele keten worden geïnstalleerd.
Het certificaat moet het volgende hebben:
- Een persoonlijke sleutel
- Een providertype van Cryptografische serviceprovider (CSP) of Key Storage Provider (KSP)
- Een openbare sleutellengte van 2048 bits
- Een waarde die is ingesteld voor de gebruiksvlagken KeyEncipherment en ServerAuthentication
- KeySpec -waarde (KeyNumber) van 'KeyExchange' (AT_KEYEXCHANGE). De waarde 'Handtekening' (AT_SIGNATURE) wordt niet ondersteund.
- Alle gatewaycomputers moeten het geselecteerde Center-certificaat volledig kunnen valideren en vertrouwen.
U kunt bijvoorbeeld de standaardwebserver - of computersjablonen gebruiken.
Waarschuwing
Het proces voor het vernieuwen van een bestaand certificaat wordt niet ondersteund. De enige manier om een certificaat te vernieuwen is door een nieuw certificaat te maken en ATA te configureren voor gebruik van het nieuwe certificaat.
Opmerking
- Als u toegang wilt krijgen tot de ATA Console vanaf andere computers, moet u ervoor zorgen dat deze computers het certificaat vertrouwen dat wordt gebruikt door ATA Center, anders krijgt u een waarschuwingspagina dat er een probleem is met het beveiligingscertificaat van de website voordat u naar de aanmeldingspagina gaat.
- Vanaf ATA versie 1.8 beheren de ATA-gateways en Lightweight-gateways hun eigen certificaten en hebben ze geen tussenkomst van de beheerder nodig om ze te beheren.
VEREISTEN VOOR ATA Gateway
In deze sectie vindt u de vereisten voor de ATA-gateway.
Algemeen
De ATA Gateway ondersteunt installatie op een server met Windows Server 2012 R2 of Windows Server 2016 en Windows Server 2019 (inclusief serverkern). De ATA Gateway kan worden geïnstalleerd op een server die lid is van een domein of werkgroep. De ATA Gateway kan worden gebruikt voor het bewaken van domeincontrollers met het functionele domeinniveau van Windows 2003 en hoger.
Voordat u ATA Gateway met Windows 2012 R2 installeert, controleert u of de volgende update is geïnstalleerd: KB2919355.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren: [Get-HotFix -Id kb2919355].
Zie Poortspiegeling configureren voor meer informatie over het gebruik van virtuele machines met de ATA Gateway.
Opmerking
Er is minimaal 5 GB aan ruimte vereist en 10 GB wordt aanbevolen. Dit omvat ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.
Serverspecificaties
Stel voor optimale prestaties de aan/uit-optie van de ATA-gateway in op Hoge prestaties.
Een ATA-gateway kan ondersteuning bieden voor het bewaken van meerdere domeincontrollers, afhankelijk van de hoeveelheid netwerkverkeer van en naar de domeincontrollers.
Zie Dynamisch geheugen voor meer informatie over dynamisch geheugen of een andere functie voor geheugenbeheer van virtuele machines.
Zie ATA-capaciteitsplanning voor meer informatie over de hardwarevereisten voor ATA Gateway.
Tijdsynchronisatie
De ATA Center-server, de ATA Gateway-servers en de domeincontrollers moeten binnen vijf minuten na elkaar zijn gesynchroniseerd.
Netwerkadapters
Voor de ATA-gateway is ten minste één beheeradapter en ten minste één Capture-adapter vereist:
Beheeradapter : gebruikt voor communicatie op uw bedrijfsnetwerk. Deze adapter moet worden geconfigureerd met de volgende instellingen:
Statisch IP-adres inclusief standaardgateway
Voorkeurs- en alternatieve DNS-servers
Het DNS-achtervoegsel voor deze verbinding moet de DNS-naam van het domein zijn voor elk domein dat wordt bewaakt.
Opmerking
Als de ATA-gateway lid is van het domein, kan dit automatisch worden geconfigureerd.
Capture-adapter : wordt gebruikt om verkeer van en naar de domeincontrollers vast te leggen.
Belangrijk
- Configureer poortspiegeling voor de opnameadapter als de bestemming van het netwerkverkeer van de domeincontroller. Zie Poortspiegeling configureren voor meer informatie. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren.
- Configureer een statisch niet-routeerbaar IP-adres voor uw omgeving zonder standaardgateway en geen DNS-serveradressen. Bijvoorbeeld 1.1.1.1/32. Dit zorgt ervoor dat de capture-netwerkadapter de maximale hoeveelheid verkeer kan vastleggen en dat de beheernetwerkadapter wordt gebruikt om het vereiste netwerkverkeer te verzenden en te ontvangen.
Poorten
De volgende tabel bevat de minimale poorten die voor de ATA-gateway zijn geconfigureerd op de beheeradapter:
| Protocol | Vervoer | Poort | Naar/van | Richting |
|---|---|---|---|---|
| LDAP | TCP en UDP | 389 | Domeincontrollers | Uitgaand |
| Secure LDAP (LDAPS) | TCP | 636 | Domeincontrollers | Uitgaand |
| LDAP naar globale catalogus | TCP | 3268 | Domeincontrollers | Uitgaand |
| LDAPS naar globale catalogus | TCP | 3269 | Domeincontrollers | Uitgaand |
| Kerberos | TCP en UDP | 88 | Domeincontrollers | Uitgaand |
| Netlogon (SMB, CIFS, SAM-R) | TCP en UDP | 445 | Alle apparaten in het netwerk | Uitgaand |
| Windows Time | UDP | 123 | Domeincontrollers | Uitgaand |
| DNS | TCP en UDP | 53 | DNS-servers | Uitgaand |
| NTLM via RPC | TCP | 135 | Alle apparaten in het netwerk | Beide |
| NetBIOS | UDP | 137 | Alle apparaten in het netwerk | Beide |
| SSL | TCP | 443 | ATA Center | Uitgaand |
| Syslog (optioneel) | UDP | 514 | SIEM-server | Inkomende |
Opmerking
Als onderdeel van het oplossingsproces dat door de ATA Gateway wordt uitgevoerd, moeten de volgende poorten binnenkomend zijn geopend op apparaten in het netwerk van de ATA Gateways.
- NTLM via RPC (TCP-poort 135)
- NetBIOS (UDP-poort 137)
- Met behulp van het gebruikersaccount van de Directory-service voert de ATA Gateway query's uit op eindpunten in uw organisatie voor lokale beheerders met behulp van SAM-R (netwerkaanmelding) om de grafiek van het laterale verplaatsingspad te maken. Zie Vereiste SAM-R-machtigingen configureren voor meer informatie.
- De volgende poorten moeten binnenkomend zijn geopend op apparaten in het netwerk vanaf de ATA Gateway:
- NTLM via RPC (TCP-poort 135) voor oplossingsdoeleinden
- NetBIOS (UDP-poort 137) voor oplossingsdoeleinden
Vereisten voor ATA Lightweight Gateway
In deze sectie vindt u de vereisten voor de ATA Lightweight-gateway.
Algemeen
De ATA Lightweight Gateway ondersteunt installatie op een domeincontroller met Windows Server 2008 R2 SP1 (exclusief Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 en Windows Server 2019 (inclusief Core, maar niet Nano).
De domeincontroller kan een alleen-lezen domeincontroller (RODC) zijn.
Voordat u ATA Lightweight Gateway installeert op een domeincontroller waarop Windows Server 2012 R2 wordt uitgevoerd, controleert u of de volgende update is geïnstalleerd: KB2919355.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren:[Get-HotFix -Id kb2919355]
Als de installatie voor Windows Server 2012 R2 Server Core is, moet de volgende update ook worden geïnstalleerd: KB3000850.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren:[Get-HotFix -Id kb3000850]
Tijdens de installatie wordt .Net Framework 4.6.1 geïnstalleerd, waardoor de domeincontroller mogelijk opnieuw wordt opgestart.
Opmerking
Er is minimaal 5 GB aan ruimte vereist en 10 GB wordt aanbevolen. Dit omvat ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.
Serverspecificaties
De ATA Lightweight-gateway vereist minimaal 2 kernen en 6 GB RAM-geheugen geïnstalleerd op de domeincontroller. Voor optimale prestaties stelt u de aan/uit-optie van de ATA Lightweight-gateway in op Hoge prestaties. De ATA Lightweight Gateway kan worden geïmplementeerd op domeincontrollers van verschillende belastingen en grootten, afhankelijk van de hoeveelheid netwerkverkeer van en naar de domeincontrollers en het aantal resources dat op die domeincontroller is geïnstalleerd.
Zie Dynamisch geheugen voor meer informatie over dynamisch geheugen of een andere functie voor geheugenbeheer van virtuele machines.
Zie ATA-capaciteitsplanning voor meer informatie over de hardwarevereisten voor ATA Lightweight Gateway.
Tijdsynchronisatie
De ATA Center-server, de ATA Lightweight-gatewayservers en de domeincontrollers moeten de tijd binnen vijf minuten van elkaar hebben gesynchroniseerd.
Netwerkadapters
De ATA Lightweight-gateway bewaakt het lokale verkeer op alle netwerkadapters van de domeincontroller.
Na de implementatie kunt u de ATA-console gebruiken als u wilt wijzigen welke netwerkadapters worden bewaakt.
Opmerking
De Lightweight Gateway wordt niet ondersteund op domeincontrollers met Windows 2008 R2 waarop Broadcom Network Adapter Teaming is ingeschakeld.
Poorten
De volgende tabel bevat de minimale poorten die de ATA Lightweight-gateway vereist:
| Protocol | Vervoer | Poort | Naar/van | Richting |
|---|---|---|---|---|
| DNS | TCP en UDP | 53 | DNS-servers | Uitgaand |
| NTLM via RPC | TCP | 135 | Alle apparaten in het netwerk | Beide |
| NetBIOS | UDP | 137 | Alle apparaten in het netwerk | Beide |
| SSL | TCP | 443 | ATA Center | Uitgaand |
| Syslog (optioneel) | UDP | 514 | SIEM-server | Inkomende |
| Netlogon (SMB, CIFS, SAM-R) | TCP en UDP | 445 | Alle apparaten in het netwerk | Uitgaand |
Opmerking
Als onderdeel van het oplossingsproces dat door de ATA Lightweight-gateway wordt uitgevoerd, moeten de volgende poorten binnenkomend zijn geopend op apparaten in het netwerk van de ATA Lightweight-gateways.
- NTLM via RPC
- NetBIOS
- Met behulp van het gebruikersaccount van de Directory-service voert de ATA Lightweight Gateway query's uit op eindpunten in uw organisatie voor lokale beheerders met behulp van SAM-R (netwerkaanmelding) om de grafiek van het laterale verplaatsingspad te maken. Zie Vereiste SAM-R-machtigingen configureren voor meer informatie.
- De volgende poorten moeten binnenkomend zijn geopend op apparaten in het netwerk vanaf de ATA Gateway:
- NTLM via RPC (TCP-poort 135) voor oplossingsdoeleinden
- NetBIOS (UDP-poort 137) voor oplossingsdoeleinden
Dynamisch geheugen
Opmerking
Bij het uitvoeren van ATA-services als een virtuele machine (VM) moet voor de service altijd al het geheugen worden toegewezen aan de VM.
| VM die wordt uitgevoerd op | Beschrijving |
|---|---|
| Hyper-V | Zorg ervoor dat Dynamisch geheugen inschakelen niet is ingeschakeld voor de VM. |
| VMWare | Zorg ervoor dat de hoeveelheid geconfigureerd geheugen en het gereserveerde geheugen hetzelfde zijn, of selecteer de volgende optie in de VM-instelling: alle gastgeheugen reserveren (alles vergrendeld). |
| Andere virtualisatiehost | Raadpleeg de door de leverancier geleverde documentatie over hoe u ervoor kunt zorgen dat geheugen te allen tijde volledig is toegewezen aan de VM. |
Als u ata Center uitvoert als een virtuele machine, sluit u de server af voordat u een nieuw controlepunt maakt om mogelijke beschadiging van de database te voorkomen.
ATA Console
Toegang tot de ATA-console vindt plaats via een browser, ter ondersteuning van de browsers en instellingen:
Internet Explorer versie 10 en hoger
Microsoft Edge
Google Chrome 40 en hoger
Minimale schermbreedteresolutie van 1700 pixels