Wymagania wstępne usługi ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
W tym artykule opisano wymagania dotyczące pomyślnego wdrożenia usługi ATA w środowisku.
Uwaga
Aby uzyskać informacje na temat planowania zasobów i pojemności, zobacz Planowanie pojemności usługi ATA.
Usługa ATA składa się z centrum usługi ATA, bramy usługi ATA i/lub uproszczonej bramy usługi ATA. Aby uzyskać więcej informacji na temat składników usługi ATA, zobacz Architektura usługi ATA.
System USŁUGI ATA działa na granicy lasu usługi Active Directory i obsługuje poziom funkcjonalności lasu (FFL) systemu Windows 2003 lub nowszego.
Przed rozpoczęciem: w tej sekcji wymieniono informacje, które należy zebrać, oraz konta i jednostki sieciowe, które należy mieć przed rozpoczęciem instalacji usługi ATA.
Centrum usługi ATA: w tej sekcji wymieniono sprzęt centrum usługi ATA, wymagania dotyczące oprogramowania, a także ustawienia, które należy skonfigurować na serwerze centrum usługi ATA.
Brama usługi ATA: w tej sekcji wymieniono sprzęt bramy usługi ATA, wymagania dotyczące oprogramowania, a także ustawienia, które należy skonfigurować na serwerach bramy usługi ATA.
Uproszczona brama usługi ATA: w tej sekcji wymieniono wymagania sprzętowe i programowe usługi ATA Lightweight Gateway.
Konsola usługi ATA: w tej sekcji wymieniono wymagania przeglądarki dotyczące uruchamiania konsoli usługi ATA.
Przed rozpoczęciem
W tej sekcji wymieniono informacje, które należy zebrać, a także konta i jednostki sieciowe, które powinny być dostępne przed rozpoczęciem instalacji usługi ATA.
Konto użytkownika i hasło z dostępem do odczytu do wszystkich obiektów w monitorowanych domenach.
Uwaga
Jeśli ustawiono niestandardowe listy ACL dla różnych jednostek organizacyjnych w domenie, upewnij się, że wybrany użytkownik ma uprawnienia do odczytu dla tych jednostek organizacyjnych.
Nie instaluj analizatora komunikatów firmy Microsoft w bramie usługi ATA ani w uproszczonej bramie. Sterownik Analizatora komunikatów powoduje konflikt z bramą usługi ATA i sterownikami uproszczonej bramy. Jeśli uruchomisz narzędzie Wireshark w bramie usługi ATA, musisz ponownie uruchomić usługę Brama usługi Microsoft Advanced Threat Analytics po zatrzymaniu przechwytywania narzędzia Wireshark. Jeśli tak nie jest, brama przestaje przechwytywania ruchu. Uruchomienie narzędzia Wireshark w uproszczonej bramie usługi ATA nie zakłóca uproszczonej bramy usługi ATA.
Zalecane: Użytkownik powinien mieć uprawnienia tylko do odczytu w kontenerze Usunięte obiekty. Dzięki temu usługa ATA może wykrywać zbiorcze usuwanie obiektów w domenie. Aby uzyskać informacje na temat konfigurowania uprawnień tylko do odczytu w kontenerze Usunięte obiekty, zobacz sekcję Zmienianie uprawnień w usuniętym kontenerze obiektów w artykule Wyświetlanie lub ustawianie uprawnień obiektu katalogu .
Opcjonalnie: konto użytkownika użytkownika bez działań sieciowych. To konto można skonfigurować jako użytkownik usługi ATA Honeytoken. Aby skonfigurować konto jako użytkownik honeytoken, wymagana jest tylko nazwa użytkownika. Aby uzyskać informacje o konfiguracji aplikacji Honeytoken, zobacz Configure IP address exclusions and Honeytoken user (Konfigurowanie wykluczeń adresów IP i użytkownika aplikacji Honeytoken).
Opcjonalnie: oprócz zbierania i analizowania ruchu sieciowego do i z kontrolerów domeny usługa ATA może używać zdarzeń systemu Windows 4776, 4732, 4733, 4728, 4729, 4756 i 4757 w celu dalszego ulepszania wykrywania typu pass-the-hash usługi ATA, sił zbrojnych, modyfikacji wrażliwych grup i tokenów miodu. Te zdarzenia mogą być odbierane z rozwiązania SIEM lub przez ustawienie przekazywania zdarzeń systemu Windows z kontrolera domeny. Zebrane zdarzenia zapewniają usłudze ATA dodatkowe informacje, które nie są dostępne za pośrednictwem ruchu sieciowego kontrolera domeny.
Wymagania centrum usługi ATA
Ta sekcja zawiera listę wymagań centrum usługi ATA.
Ogólne
Centrum usługi ATA obsługuje instalację na serwerze z systemem Windows Server 2012 R2 Windows Server 2016 i Windows Server 2019.
Uwaga
Centrum usługi ATA nie obsługuje rdzenia Windows Server.
Centrum usługi ATA można zainstalować na serwerze należącym do domeny lub grupy roboczej.
Przed zainstalowaniem centrum usługi ATA z systemem Windows 2012 R2 upewnij się, że zainstalowano następującą aktualizację: KB2919355.
Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet Windows PowerShell: [Get-HotFix -Id kb2919355].
Instalacja centrum usługi ATA jako maszyny wirtualnej jest obsługiwana.
Specyfikacje serwera
Podczas pracy na serwerze fizycznym baza danych usługi ATA wymaga wyłączenia nieujemnego dostępu do pamięci (NUMA) w systemie BIOS. System może nazywać się NUMA interleaving węzłów, w którym to przypadku należy włączyć interleaving węzła w celu wyłączenia NUMA. Aby uzyskać więcej informacji, zobacz dokumentację systemu BIOS.
Aby uzyskać optymalną wydajność, ustaw opcję zasilania centrum usługi ATA na wysoką wydajność.
Liczba monitorowanych kontrolerów domeny i obciążenie każdego kontrolera domeny określają wymagane specyfikacje serwera. Aby uzyskać więcej informacji, zobacz Planowanie pojemności usługi ATA.
W systemach operacyjnych Windows 2008R2 i 2012 brama nie jest obsługiwana w trybie grupy wielu procesorów . Aby uzyskać więcej informacji na temat trybu grupy z wieloma procesorami, zobacz rozwiązywanie problemów.
Synchronizacja czasu
Serwer centrum usługi ATA, serwery bramy usługi ATA i kontrolery domeny muszą mieć czas zsynchronizowany w ciągu pięciu minut od siebie.
Karty sieciowe
Powinien istnieć następujący zestaw:
Co najmniej jedna karta sieciowa (jeśli używasz serwera fizycznego w środowisku sieci VLAN, zaleca się użycie dwóch kart sieciowych)
Adres IP do komunikacji między centrum usługi ATA i bramą usługi ATA, który jest szyfrowany przy użyciu protokołu SSL na porcie 443. (Usługa ATA wiąże się ze wszystkimi adresami IP, które centrum usługi ATA ma na porcie 443).
Porty
W poniższej tabeli wymieniono minimalne porty, które muszą zostać otwarte, aby centrum usługi ATA działało prawidłowo.
| Protocol (Protokół) | Transport | Port | Do/z | Kierunek |
|---|---|---|---|---|
| SSL (komunikacja usługi ATA) | TCP | 443 | Brama usługi ATA | Przychodzących |
| HTTP (opcjonalnie) | TCP | 80 | Sieć firmowa | Przychodzących |
| HTTPS | TCP | 443 | Sieć firmy i brama usługi ATA | Przychodzących |
| SMTP (opcjonalnie) | TCP | 25 | Serwer SMTP | Wychodzące |
| SMTPS (opcjonalnie) | TCP | 465 | Serwer SMTP | Wychodzące |
| Dziennik systemowy (opcjonalnie) | TCP/UPS/TLS (konfigurowalny) | 514 (wartość domyślna) | Serwer Syslog | Wychodzące |
| LDAP | TCP i UDP | 389 | Kontrolery domeny | Wychodzące |
| LDAPS (opcjonalnie) | TCP | 636 | Kontrolery domeny | Wychodzące |
| DNS | TCP i UDP | 53 | Serwery DNS | Wychodzące |
| Kerberos (opcjonalnie, jeśli przyłączono do domeny) | TCP i UDP | 88 | Kontrolery domeny | Wychodzące |
| Czas systemu Windows (opcjonalnie, jeśli przyłączono domenę) | UDP | 123 | Kontrolery domeny | Wychodzące |
Uwaga
Protokół LDAP jest wymagany do przetestowania poświadczeń, które mają być używane między bramami usługi ATA i kontrolerami domeny. Test jest wykonywany z centrum usługi ATA do kontrolera domeny w celu przetestowania ważności tych poświadczeń, po czym brama usługi ATA używa protokołu LDAP w ramach normalnego procesu rozpoznawania.
Certyfikaty
Aby szybciej zainstalować i wdrożyć usługę ATA, można zainstalować certyfikaty z podpisem własnym podczas instalacji. Jeśli wybrano użycie certyfikatów z podpisem własnym, po początkowym wdrożeniu zaleca się zastąpienie certyfikatów z podpisem własnym certyfikatami z wewnętrznym urzędem certyfikacji, które mają być używane przez Centrum usługi ATA.
Upewnij się, że centrum usługi ATA i bramy usługi ATA mają dostęp do punktu dystrybucji listy CRL. Jeśli nie mają dostępu do Internetu, postępuj zgodnie z procedurą, aby ręcznie zaimportować listę CRL, dbając o zainstalowanie wszystkich punktów dystrybucji listy CRL dla całego łańcucha.
Certyfikat musi mieć następujące elementy:
- Klucz prywatny
- Typ dostawcy dostawcy usług kryptograficznych (CSP) lub dostawcy magazynu kluczy (KSP)
- Długość klucza publicznego 2048 bitów
- Zestaw wartości dla flag użycia KeyEncipherment i ServerAuthentication
- KeySpec (KeyNumber) wartość "KeyExchange" (AT_KEYEXCHANGE). Wartość "Signature" (AT_SIGNATURE) nie jest obsługiwana.
- Wszystkie maszyny bramy muszą mieć możliwość pełnej weryfikacji i zaufania wybranemu certyfikatowi Centrum.
Możesz na przykład użyć standardowych szablonów serwera sieci Web lub komputera .
Ostrzeżenie
Proces odnawiania istniejącego certyfikatu nie jest obsługiwany. Jedynym sposobem odnowienia certyfikatu jest utworzenie nowego certyfikatu i skonfigurowanie usługi ATA do korzystania z nowego certyfikatu.
Uwaga
- Jeśli zamierzasz uzyskać dostęp do konsoli usługi ATA z innych komputerów, upewnij się, że te komputery ufają certyfikatowi używanemu przez centrum usługi ATA, w przeciwnym razie zostanie wyświetlona strona z ostrzeżeniem, że wystąpił problem z certyfikatem zabezpieczeń witryny internetowej przed przejściem do strony logowania.
- Począwszy od usługi ATA w wersji 1.8, bramy usługi ATA i uproszczone bramy zarządzają własnymi certyfikatami i nie wymagają interakcji z administratorami, aby nimi zarządzać.
Wymagania bramy usługi ATA
W tej sekcji wymieniono wymagania dotyczące bramy usługi ATA.
Ogólne
Brama usługi ATA obsługuje instalację na serwerze z systemem Windows Server 2012 R2 lub Windows Server 2016 i Windows Server 2019 (w tym rdzeniem serwera). Bramę usługi ATA można zainstalować na serwerze należącym do domeny lub grupy roboczej. Brama usługi ATA może służyć do monitorowania kontrolerów domeny z poziomem funkcjonalności domeny systemu Windows 2003 lub nowszym.
Przed zainstalowaniem bramy usługi ATA z systemem Windows 2012 R2 upewnij się, że zainstalowano następującą aktualizację: KB2919355.
Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet Windows PowerShell: [Get-HotFix -Id kb2919355].
Aby uzyskać informacje na temat korzystania z maszyn wirtualnych z bramą usługi ATA, zobacz Konfigurowanie dublowania portów.
Uwaga
Wymagane jest co najmniej 5 GB miejsca i zalecane jest 10 GB. Obejmuje to miejsce wymagane dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.
Specyfikacje serwera
Aby uzyskać optymalną wydajność, ustaw opcję zasilania bramy usługi ATA na wysoką wydajność.
Brama usługi ATA może obsługiwać monitorowanie wielu kontrolerów domeny, w zależności od ilości ruchu sieciowego do i z kontrolerów domeny.
Aby dowiedzieć się więcej na temat pamięci dynamicznej lub dowolnej innej funkcji zarządzania pamięcią maszyny wirtualnej, zobacz Pamięć dynamiczna.
Aby uzyskać więcej informacji na temat wymagań sprzętowych bramy usługi ATA, zobacz Planowanie pojemności usługi ATA.
Synchronizacja czasu
Serwer centrum usługi ATA, serwery bramy usługi ATA i kontrolery domeny muszą mieć czas zsynchronizowany w ciągu pięciu minut od siebie.
Karty sieciowe
Brama usługi ATA wymaga co najmniej jednej karty zarządzania i co najmniej jednej karty przechwytywania:
Karta zarządzania — używana do komunikacji w sieci firmowej. Ta karta powinna być skonfigurowana z następującymi ustawieniami:
Statyczny adres IP, w tym brama domyślna
Preferowane i alternatywne serwery DNS
Sufiks DNS dla tego połączenia powinien być nazwą DNS domeny dla każdej monitorowanej domeny.
Uwaga
Jeśli brama usługi ATA jest członkiem domeny, może to być skonfigurowane automatycznie.
Przechwytywanie karty — służy do przechwytywania ruchu do i z kontrolerów domeny.
Ważna
- Skonfiguruj dublowanie portów dla karty przechwytywania jako miejsca docelowego ruchu sieciowego kontrolera domeny. Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania portów. Zazwyczaj należy współpracować z zespołem ds. sieci lub wirtualizacji, aby skonfigurować dublowanie portów.
- Skonfiguruj statyczny adres IP bez routingu dla środowiska bez bramy domyślnej i bez adresów serwera DNS. Na przykład 1.1.1.1/32. Dzięki temu karta sieciowa przechwytywania może przechwytywać maksymalną ilość ruchu oraz że karta sieciowa zarządzania jest używana do wysyłania i odbierania wymaganego ruchu sieciowego.
Porty
W poniższej tabeli wymieniono minimalne porty wymagane przez bramę usługi ATA skonfigurowane na karcie zarządzania:
| Protocol (Protokół) | Transport | Port | Do/z | Kierunek |
|---|---|---|---|---|
| LDAP | TCP i UDP | 389 | Kontrolery domeny | Wychodzące |
| Bezpieczny protokół LDAP (LDAPS) | TCP | 636 | Kontrolery domeny | Wychodzące |
| Protokół LDAP do wykazu globalnego | TCP | 3268 | Kontrolery domeny | Wychodzące |
| LDAPS do wykazu globalnego | TCP | 3269 | Kontrolery domeny | Wychodzące |
| Kerberos | TCP i UDP | 88 | Kontrolery domeny | Wychodzące |
| Netlogon (SMB, CIFS, SAM-R) | TCP i UDP | 445 | Wszystkie urządzenia w sieci | Wychodzące |
| Usługa Czas systemu Windows | UDP | 123 | Kontrolery domeny | Wychodzące |
| DNS | TCP i UDP | 53 | Serwery DNS | Wychodzące |
| NTLM za pośrednictwem RPC | TCP | 135 | Wszystkie urządzenia w sieci | Obie |
| Netbios | UDP | 137 | Wszystkie urządzenia w sieci | Obie |
| Protokół SSL | TCP | 443 | Centrum usługi ATA | Wychodzące |
| Dziennik systemowy (opcjonalnie) | UDP | 514 | Serwer SIEM | Przychodzących |
Uwaga
W ramach procesu rozpoznawania wykonywanego przez bramę usługi ATA następujące porty muszą być otwarte dla urządzeń w sieci z bram usługi ATA.
- NTLM przez RPC (port TCP 135)
- NetBIOS (port UDP 137)
- Przy użyciu konta użytkownika usługi katalogowej brama usługi ATA wysyła zapytania do punktów końcowych w organizacji dla administratorów lokalnych przy użyciu języka SAM-R (logowanie sieciowe) w celu utworzenia wykresu ścieżki ruchu bocznego. Aby uzyskać więcej informacji, zobacz Konfigurowanie wymaganych uprawnień SAM-R.
- Następujące porty muszą być otwarte w ruchu przychodzącym na urządzeniach w sieci z bramy usługi ATA:
- NTLM przez RPC (port TCP 135) do celów rozpoznawania
- NetBIOS (port UDP 137) do celów rozpoznawania
Wymagania dotyczące uproszczonej bramy usługi ATA
W tej sekcji wymieniono wymagania dotyczące uproszczonej bramy usługi ATA.
Ogólne
Uproszczona brama usługi ATA obsługuje instalację na kontrolerze domeny z systemem Windows Server 2008 R2 z dodatkiem SP1 (bez server core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 i Windows Server 2019 (w tym Core, ale nie Nano).
Kontroler domeny może być kontrolerem domeny tylko do odczytu (RODC).
Przed zainstalowaniem uproszczonej bramy usługi ATA na kontrolerze domeny z systemem Windows Server 2012 R2 upewnij się, że zainstalowano następującą aktualizację: KB2919355.
Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet Windows PowerShell:[Get-HotFix -Id kb2919355]
Jeśli instalacja dotyczy systemu Windows Server 2012 R2 Server Core, należy również zainstalować następującą aktualizację: KB3000850.
Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet Windows PowerShell:[Get-HotFix -Id kb3000850]
Podczas instalacji jest zainstalowany program .Net Framework 4.6.1 i może spowodować ponowne uruchomienie kontrolera domeny.
Uwaga
Wymagane jest co najmniej 5 GB miejsca i zalecane jest 10 GB. Obejmuje to miejsce wymagane dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.
Specyfikacje serwera
Uproszczona brama usługi ATA wymaga co najmniej 2 rdzeni i 6 GB pamięci RAM zainstalowanej na kontrolerze domeny. Aby uzyskać optymalną wydajność, ustaw opcję zasilania uproszczonej bramy usługi ATA na wysoką wydajność. Uproszczoną bramę usługi ATA można wdrożyć na kontrolerach domeny o różnych obciążeniach i rozmiarach, w zależności od ilości ruchu sieciowego do i z kontrolerów domeny oraz ilości zasobów zainstalowanych na tym kontrolerze domeny.
Aby dowiedzieć się więcej na temat pamięci dynamicznej lub dowolnej innej funkcji zarządzania pamięcią maszyny wirtualnej, zobacz Pamięć dynamiczna.
Aby uzyskać więcej informacji na temat wymagań sprzętowych usługi ATA Lightweight Gateway, zobacz Planowanie pojemności usługi ATA.
Synchronizacja czasu
Serwer centrum usługi ATA, serwery uproszczonej bramy usługi ATA i kontrolery domeny muszą mieć czas zsynchronizowany w ciągu pięciu minut od siebie.
Karty sieciowe
Uproszczona brama usługi ATA monitoruje ruch lokalny na wszystkich kartach sieciowych kontrolera domeny.
Po wdrożeniu można użyć konsoli usługi ATA, jeśli kiedykolwiek chcesz zmodyfikować, które karty sieciowe są monitorowane.
Uwaga
Uproszczona brama nie jest obsługiwana na kontrolerach domeny z systemem Windows 2008 R2 z włączoną obsługą tworzenia zespołu kart sieciowych Broadcom.
Porty
W poniższej tabeli wymieniono minimalne porty, których wymaga uproszczona brama usługi ATA:
| Protocol (Protokół) | Transport | Port | Do/z | Kierunek |
|---|---|---|---|---|
| DNS | TCP i UDP | 53 | Serwery DNS | Wychodzące |
| NTLM za pośrednictwem RPC | TCP | 135 | Wszystkie urządzenia w sieci | Obie |
| Netbios | UDP | 137 | Wszystkie urządzenia w sieci | Obie |
| Protokół SSL | TCP | 443 | Centrum usługi ATA | Wychodzące |
| Dziennik systemowy (opcjonalnie) | UDP | 514 | Serwer SIEM | Przychodzących |
| Netlogon (SMB, CIFS, SAM-R) | TCP i UDP | 445 | Wszystkie urządzenia w sieci | Wychodzące |
Uwaga
W ramach procesu rozpoznawania wykonywanego przez uproszczoną bramę usługi ATA następujące porty muszą być otwarte dla urządzeń w sieci z bram ata Lightweight Gateway.
- NTLM za pośrednictwem RPC
- Netbios
- Przy użyciu konta użytkownika usługi katalogowej uproszczona brama usługi ATA wysyła zapytania do punktów końcowych w organizacji dla administratorów lokalnych korzystających z języka SAM-R (logowanie sieciowe) w celu utworzenia wykresu ścieżki ruchu bocznego. Aby uzyskać więcej informacji, zobacz Konfigurowanie wymaganych uprawnień SAM-R.
- Następujące porty muszą być otwarte w ruchu przychodzącym na urządzeniach w sieci z bramy usługi ATA:
- NTLM przez RPC (port TCP 135) do celów rozpoznawania
- NetBIOS (port UDP 137) do celów rozpoznawania
Pamięć dynamiczna
Uwaga
W przypadku uruchamiania usług ATA jako maszyny wirtualnej usługa wymaga, aby cała pamięć była przydzielana do maszyny wirtualnej przez cały czas.
| Maszyna wirtualna uruchomiona na | Opis |
|---|---|
| Funkcja Hyper-V | Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej. |
| VMWare | Upewnij się, że ilość skonfigurowanej pamięci i pamięć zarezerwowana są takie same, lub wybierz następującą opcję w ustawieniu maszyny wirtualnej — zarezerwuj całą pamięć gościa (wszystkie zablokowane). |
| Inny host wirtualizacji | Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest w pełni przydzielona do maszyny wirtualnej przez cały czas. |
Jeśli uruchomisz centrum usługi ATA jako maszynę wirtualną, zamknij serwer przed utworzeniem nowego punktu kontrolnego, aby uniknąć potencjalnego uszkodzenia bazy danych.
Konsola usługi ATA
Dostęp do konsoli usługi ATA odbywa się za pośrednictwem przeglądarki, która obsługuje przeglądarki i ustawienia:
Internet Explorer w wersji 10 lub nowszej
Microsoft Edge
Google Chrome 40 i nowsze
Minimalna rozdzielczość szerokości ekranu wynosząca 1700 pikseli