Planowanie pojemności usługi ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
Ten artykuł pomaga określić, ile serwerów usługi ATA jest potrzebnych do monitorowania sieci. Pomaga to oszacować, ile bram usługi ATA i/lub uproszczonych bram usługi ATA jest potrzebnych, oraz pojemność serwera dla centrum usługi ATA i bram usługi ATA.
Uwaga
Centrum usługi ATA można wdrożyć u dowolnego dostawcy usług IaaS, o ile zostaną spełnione wymagania dotyczące wydajności opisane w tym artykule.
Korzystanie z narzędzia do określania rozmiaru
Zalecanym i najprostszym sposobem określenia pojemności wdrożenia usługi ATA jest użycie narzędzia do określania rozmiaru usługi ATA. Uruchom narzędzie do określania rozmiaru usługi ATA i w wynikach pliku programu Excel użyj następujących pól, aby określić potrzebną pojemność usługi ATA:
Procesor i pamięć centrum usługi ATA: dopasuj pole Zajęte pakiety/s w pliku wyników tabeli centrum usługi ATA do pola PACKETS PER SECOND w tabeli Centrum usługi ATA.
Magazyn centrum usługi ATA: dopasuj pole Avg Packets/s w pliku wyników tabeli centrum usługi ATA do pola PACKETS PER SECOND w tabeli Centrum usługi ATA.
Brama usługi ATA: dopasuj pole Zajęte pakiety/s w tabeli Brama usługi ATA w pliku wyników do pola PACKETS PER SECOND w tabeli Brama usługi ATA lub tabeli Uproszczona brama usługi ATA, w zależności od wybranego typu bramy.
Uwaga
Ponieważ różne środowiska różnią się i mają wiele specjalnych i nieoczekiwanych cech ruchu sieciowego, po początkowym wdrożeniu usługi ATA i uruchomieniu narzędzia do ustalania rozmiaru może być konieczne dostosowanie i dostosowanie wdrożenia pod kątem pojemności.
Jeśli nie możesz użyć narzędzia do określania rozmiaru usługi ATA, ręcznie zbierz informacje licznika pakietów/s z niskim interwałem zbierania (około 5 sekund) ze wszystkich kontrolerów domeny przez 24 godziny. Następnie dla każdego kontrolera domeny oblicz średnią dzienną i najbardziej ruchliwy okres (15 minut). Poniższe sekcje zawierają instrukcje dotyczące sposobu zbierania licznika pakietów/s z jednego kontrolera domeny.
Uwaga
Ponieważ różne środowiska różnią się i mają wiele specjalnych i nieoczekiwanych cech ruchu sieciowego, po początkowym wdrożeniu usługi ATA i uruchomieniu narzędzia do ustalania rozmiaru może być konieczne dostosowanie i dostosowanie wdrożenia pod kątem pojemności.
Ustalanie rozmiaru centrum usługi ATA
Centrum usługi ATA wymaga zalecanego minimum 30 dni danych na potrzeby analizy zachowania użytkowników.
| Pakiety na sekundę ze wszystkich kontrolerów domeny | Procesor CPU (rdzenie*) | Pamięć (GB) | Magazyn bazy danych dziennie (GB) | Magazyn bazy danych miesięcznie (GB) | Liczba operacji we/wy na sekundę** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Obejmuje to rdzenie fizyczne, a nie rdzenie hiperwątkowe.
**Średnie liczby (numery szczytowe)
Uwaga
- Centrum usługi ATA może obsługiwać zagregowane maksymalnie 1 mln pakietów na sekundę ze wszystkich monitorowanych kontrolerów domeny. W niektórych środowiskach to samo centrum usługi ATA może obsługiwać ogólny ruch większy niż 1 mln, a niektóre środowiska mogą przekraczać pojemność usługi ATA. Skontaktuj się z nami, azureatpfeedback@microsoft.com aby uzyskać pomoc w planowaniu i szacowaniu dużych środowisk.
- Jeśli ilość wolnego miejsca osiągnie co najmniej 20% lub 200 GB, najstarsza kolekcja danych zostanie usunięta. Jeśli nie można pomyślnie zmniejszyć zbierania danych do tego poziomu, zostanie zarejestrowany alert. Usługa ATA będzie nadal działać do momentu osiągnięcia progu 5% lub 50 GB bezpłatnego. W tym momencie usługa ATA przestanie wypełniać bazę danych i zostanie wystawiony dodatkowy alert.
- Centrum usługi ATA można wdrożyć u dowolnego dostawcy usług IaaS, jeśli zostaną spełnione wymagania dotyczące wydajności opisane w tym artykule.
- Opóźnienie magazynu dla działań odczytu i zapisu powinno być mniejsze niż 10 ms.
- Stosunek między działaniami odczytu i zapisu wynosi około 1:3 poniżej 100 000 pakietów na sekundę i 1:6 powyżej 100 000 pakietów na sekundę.
- W przypadku uruchamiania centrum jako maszyny wirtualnej centrum wymaga, aby cała pamięć była przydzielana do maszyny wirtualnej przez cały czas. Aby uzyskać więcej informacji na temat uruchamiania centrum usługi ATA jako maszyny wirtualnej, zobacz Wymagania centrum usługi ATA.
- Aby uzyskać optymalną wydajność, ustaw opcję zasilania centrum usługi ATA na wysoką wydajność.
- Podczas pracy na serwerze fizycznym baza danych usługi ATA wymaga wyłączenia nieujemnego dostępu do pamięci (NUMA) w systemie BIOS. System może nazywać się NUMA interleaving węzła, w którym to przypadku należy włączyć interleaving węzła, aby wyłączyć NUMA. Aby uzyskać więcej informacji, zobacz dokumentację systemu BIOS. Nie ma to znaczenia, gdy centrum usługi ATA jest uruchomione na serwerze wirtualnym.
Wybieranie odpowiedniego typu bramy dla wdrożenia
We wdrożeniu usługi ATA obsługiwana jest dowolna kombinacja typów bram usługi ATA:
- Tylko bramy usługi ATA
- Tylko uproszczone bramy usługi ATA
- Kombinacja obu
Podczas podejmowania decyzji o typie wdrożenia bramy należy wziąć pod uwagę następujące korzyści:
| Typ bramy | Korzyści | Koszt | Topologia wdrożenia | Korzystanie z kontrolera domeny |
|---|---|---|---|---|
| Brama usługi ATA | Wdrożenie poza pasmem utrudnia osobom atakującym odnajdywanie usługi ATA | Wyższe | Zainstalowany obok kontrolera domeny (poza pasmem) | Obsługuje do 50 000 pakietów na sekundę |
| Uproszczona brama usługi ATA | Nie wymaga dedykowanego serwera i konfiguracji dublowania portów | Dolny | Zainstalowany na kontrolerze domeny | Obsługuje do 10 000 pakietów na sekundę |
Poniżej przedstawiono przykłady scenariuszy, w których kontrolery domeny powinny być objęte uproszczoną bramą usługi ATA:
Lokacje gałęzi
Wirtualne kontrolery domeny wdrożone w chmurze (IaaS)
Poniżej przedstawiono przykłady scenariuszy, w których kontrolery domeny powinny być objęte bramą usługi ATA:
- Główne centra danych (z kontrolerami domeny z ponad 10 000 pakietów na sekundę)
Uproszczone określanie rozmiaru bramy usługi ATA
Uproszczona brama usługi ATA może obsługiwać monitorowanie jednego kontrolera domeny na podstawie ilości ruchu sieciowego generowanej przez kontroler domeny.
| Pakiety na sekundę* | Procesor CPU (rdzenie**) | Pamięć (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Całkowita liczba pakietów na sekundę na kontrolerze domeny monitorowanym przez określoną uproszczoną bramę usługi ATA.
**Całkowita liczba rdzeni innych niż hiperwątkowe, które zainstalowano na tym kontrolerze domeny.
Chociaż hiperwątkowość jest akceptowalna dla uproszczonej bramy usługi ATA, podczas planowania pojemności należy policzyć rzeczywiste rdzenie, a nie rdzenie hiperwątkowe.
Całkowita ilość pamięci zainstalowanej przez ten kontroler domeny.
Uwaga
- Jeśli kontroler domeny nie ma zasobów wymaganych przez uproszczoną bramę usługi ATA, nie ma to wpływu na wydajność kontrolera domeny, ale uproszczona brama usługi ATA może nie działać zgodnie z oczekiwaniami.
- Podczas uruchamiania bramy jako maszyny wirtualnej brama wymaga, aby cała pamięć była przydzielana do maszyny wirtualnej przez cały czas. Aby uzyskać więcej informacji na temat uruchamiania bramy usługi ATA jako maszyny wirtualnej, zobacz Wymagania dotyczące pamięci dynamicznej).
- Aby uzyskać optymalną wydajność, ustaw opcję zasilania uproszczonej bramy usługi ATA na wysoką wydajność.
- Wymagane jest co najmniej 5 GB miejsca i zalecane jest 10 GB, w tym miejsce wymagane dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.
Określanie rozmiaru bramy usługi ATA
Podczas podejmowania decyzji o liczbie bram usługi ATA do wdrożenia należy wziąć pod uwagę następujące problemy.
-
Lasy i domeny usługi Active Directory
Usługa ATA może monitorować ruch z wielu domen z jednego lasu usługi Active Directory. Monitorowanie wielu lasów usługi Active Directory wymaga oddzielnych wdrożeń usługi ATA. Nie konfiguruj pojedynczego wdrożenia usługi ATA w celu monitorowania ruchu sieciowego kontrolerów domeny z różnych lasów. -
Dublowanie portów
Zagadnienia dotyczące dublowania portów mogą wymagać wdrożenia wielu bram usługi ATA na bramę danych lub lokację gałęzi. -
Pojemność
Brama usługi ATA może obsługiwać monitorowanie wielu kontrolerów domeny w zależności od ilości ruchu sieciowego monitorowanych kontrolerów domeny.
| Pakiety na sekundę* | Procesor CPU (rdzenie**) | Pamięć (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Całkowita średnia liczba pakietów na sekundę ze wszystkich kontrolerów domeny monitorowanych przez określoną bramę usługi ATA w najbardziej ruchliwej godzinie dnia.
*Całkowita ilość ruchu dublowanego przez port kontrolera domeny nie może przekroczyć pojemności karty sieciowej przechwytywania w bramie usługi ATA.
**Funkcja hyper-threading musi być wyłączona.
Uwaga
- Podczas uruchamiania bramy jako maszyny wirtualnej brama wymaga, aby cała pamięć była przydzielana do maszyny wirtualnej przez cały czas. Aby uzyskać więcej informacji na temat uruchamiania bramy usługi ATA jako maszyny wirtualnej, zobacz Wymagania dotyczące pamięci dynamicznej.
- Aby uzyskać optymalną wydajność, ustaw opcję zasilania bramy usługi ATA na wysoką wydajność.
- Wymagane jest co najmniej 5 GB miejsca i zalecane jest 10 GB, w tym miejsce wymagane dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.