Planeamento da capacidade do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo ajuda-o a determinar quantos servidores ATA são necessários para monitorizar a sua rede. Ajuda-o a estimar quantos ATA Gateways e/ou ATA Lightweight Gateways precisa e a capacidade do servidor para o ATA Center e os ATA Gateways.
Observação
O ATA Center pode ser implementado em qualquer fornecedor de IaaS, desde que os requisitos de desempenho descritos neste artigo sejam cumpridos.
Utilizar a ferramenta de dimensionamento
A forma recomendada e mais simples de determinar a capacidade da implementação do ATA é utilizar a Ferramenta de Dimensionamento do ATA. Execute a Ferramenta de Dimensionamento do ATA e, a partir dos resultados do ficheiro do Excel, utilize os seguintes campos para determinar a capacidade do ATA de que precisa:
CPU e Memória do ATA Center: corresponda o campo Pacotes Ocupados/seg no ficheiro de resultados da tabela do ATA Center ao campo PACOTES POR SEGUNDO na tabela do ATA Center.
Armazenamento do ATA Center: corresponda o campo Pacotes Médios/seg no ficheiro de resultados da tabela do ATA Center ao campo PACOTES POR SEGUNDO na tabela do ATA Center.
ATA Gateway: corresponda o campo Pacotes Ocupados/seg na tabela do ATA Gateway no ficheiro de resultados ao campo PACOTES POR SEGUNDO na tabela do ATA Gateway ou na tabela ATA Lightweight Gateway, consoante o tipo de gateway que escolher.
Observação
Uma vez que diferentes ambientes variam e têm múltiplas características de tráfego de rede especiais e inesperadas, depois de implementar inicialmente o ATA e executar a ferramenta de dimensionamento, poderá ter de ajustar e ajustar a sua implementação para a capacidade.
Se não conseguir utilizar a Ferramenta de Dimensionamento do ATA, recolha manualmente as informações do contador de pacotes/seg com um intervalo de recolha baixo (aproximadamente 5 segundos) de todos os Controladores de Domínio durante 24 horas. Em seguida, para cada Controlador de Domínio, calcule a média diária e a média do período mais movimentado (15 minutos). As secções seguintes fornecem instruções sobre como recolher os pacotes/contadores de seg de um Controlador de Domínio.
Observação
Uma vez que diferentes ambientes variam e têm múltiplas características de tráfego de rede especiais e inesperadas, depois de implementar inicialmente o ATA e executar a ferramenta de dimensionamento, poderá ter de ajustar e ajustar a sua implementação para a capacidade.
Dimensionamento do ATA Center
O ATA Center requer um mínimo recomendado de 30 dias de dados para a análise comportamental do utilizador.
| Pacotes por segundo de todos os DCs | CPU (núcleos*) | Memória (GB) | Armazenamento da base de dados por dia (GB) | Armazenamento de bases de dados por mês (GB) | IOPS** |
|---|---|---|---|---|---|
| 1.000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400.000 | 12 | 96 | 120 | 3.600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1.000.000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Isto inclui núcleos físicos, não núcleos de hiper-thread.
**Números médios (Números de pico)
Observação
- O ATA Center pode processar um máximo agregado de pacotes de 1 M por segundo de todos os controladores de domínio monitorizados. Em alguns ambientes, o mesmo ATA Center consegue processar tráfego geral superior a 1 M e alguns ambientes podem exceder a capacidade do ATA. Contacte-nos em azureatpfeedback@microsoft.com para obter assistência no planeamento e estimativa de ambientes grandes.
- Se o espaço livre atingir um mínimo de 20% ou 200 GB, a coleção de dados mais antiga será eliminada. Se não for possível reduzir com êxito a recolha de dados para este nível, será registado um alerta. O ATA continuará a funcionar até atingir o limiar de 5% ou 50 GB livres. Neste momento, o ATA deixará de preencher a base de dados e será emitido um alerta adicional.
- Pode implementar o ATA Center em qualquer fornecedor de IaaS se os requisitos de desempenho descritos neste artigo forem cumpridos.
- A latência de armazenamento para atividades de leitura e escrita deve ser inferior a 10 ms.
- A proporção entre atividades de leitura e escrita é aproximadamente 1:3 abaixo de 100.000 pacotes por segundo e 1:6 acima de 100.000 pacotes por segundo.
- Ao executar o Centro como uma máquina virtual (VM), o Centro requer que toda a memória seja sempre alocada à VM. Para obter mais informações sobre como executar o ATA Center como uma máquina virtual, veja Requisitos do ATA Center.
- Para um desempenho ideal, defina a Opção de Energia do ATA Center como Elevado Desempenho.
- Ao trabalhar num servidor físico, a base de dados do ATA precisa que desative o acesso não uniforme à memória (NUMA) no BIOS. O seu sistema pode referir-se a NUMA como Intercalação de Nós, caso em que tem de ativar a Intercalação de Nós para desativar o NUMA. Para obter mais informações, veja a documentação do BIOS. Isto não é relevante quando o ATA Center está em execução num servidor virtual.
Escolher o tipo de gateway certo para a implementação
Numa implementação do ATA, qualquer combinação dos tipos do ATA Gateway é suportada:
- Apenas ATA Gateways
- Apenas ATA Lightweight Gateways
- Uma combinação de ambos
Ao decidir o tipo de implementação gateway, considere os seguintes benefícios:
| Tipo de gateway | Benefícios | Custo | Topologia de implementação | Utilização do controlador de domínio |
|---|---|---|---|---|
| ATA Gateway | A implementação Fora de Banda torna mais difícil para os atacantes descobrirem que o ATA está presente | Superior | Instalado juntamente com o controlador de domínio (fora de banda) | Suporta até 50 000 pacotes por segundo |
| ATA Lightweight Gateway | Não requer um servidor dedicado e uma configuração de espelhamento de porta | Inferior | Instalado no controlador de domínio | Suporta até 10 000 pacotes por segundo |
Seguem-se exemplos de cenários em que os controladores de domínio devem ser abrangidos pelo ATA Lightweight Gateway:
Sites de ramo
Controladores de domínio virtual implementados na cloud (IaaS)
Seguem-se exemplos de cenários em que os controladores de domínio devem ser abrangidos pelo ATA Gateway:
- Centros de dados de sede (com controladores de domínio com mais de 10 000 pacotes por segundos)
Dimensionamento do ATA Lightweight Gateway
Um ATA Lightweight Gateway pode suportar a monitorização de um controlador de domínio com base na quantidade de tráfego de rede gerado pelo controlador de domínio.
| Pacotes por segundo* | CPU (núcleos**) | Memória (GB)*** |
|---|---|---|
| 1.000 | 2 | 6 |
| 5.000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Número total de pacotes por segundo no controlador de domínio que está a ser monitorizado pelo ATA Lightweight Gateway específico.
**Número total de núcleos de thread não hyper instalados por este controlador de domínio.
Embora o hyper threading seja aceitável para o ATA Lightweight Gateway, ao planear a capacidade, deve contar os núcleos reais e não os núcleos com hiper thread.
Quantidade total de memória que este controlador de domínio instalou.
Observação
- Se o controlador de domínio não tiver os recursos necessários para o ATA Lightweight Gateway, o desempenho do controlador de domínio não será afetado, mas o ATA Lightweight Gateway poderá não funcionar conforme esperado.
- Ao executar o Gateway como uma máquina virtual (VM), o Gateway requer que toda a memória seja sempre alocada à VM. Para obter mais informações sobre como executar o ATA Gateway como uma máquina virtual, veja Requisitos de memória dinâmicos).
- Para um desempenho ideal, defina a Opção de Energia do ATA Lightweight Gateway como Elevado Desempenho.
- É necessário um mínimo de 5 GB de espaço e são recomendados 10 GB, incluindo o espaço necessário para os binários do ATA, os registos do ATA e os registos de desempenho.
Dimensionamento do ATA Gateway
Considere os seguintes problemas ao decidir quantos ATA Gateways deve implementar.
-
Florestas e domínios do Active Directory
O ATA pode monitorizar o tráfego de vários domínios a partir de uma única floresta do Active Directory. A monitorização de várias florestas do Active Directory requer implementações do ATA separadas. Não configure uma única implementação do ATA para monitorizar o tráfego de rede de controladores de domínio de florestas diferentes. -
Espelhamento de Porta
As considerações de espelhamento de porta podem exigir que implemente vários ATA Gateways por Gateway de dados ou local de ramo. -
Capacidade
Um ATA Gateway pode suportar a monitorização de vários controladores de domínio, dependendo da quantidade de tráfego de rede dos controladores de domínio que estão a ser monitorizados.
| Pacotes por segundo* | CPU (núcleos**) | Memória (GB) |
|---|---|---|
| 1.000 | 1 | 6 |
| 5.000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Número médio total de pacotes por segundo de todos os controladores de domínio que estão a ser monitorizados pelo ATA Gateway específico durante a hora mais movimentada do dia.
*A quantidade total de tráfego espelhado na porta do controlador de domínio não pode exceder a capacidade do NIC de captura no ATA Gateway.
**O hyper-threading tem de estar desativado.
Observação
- Ao executar o Gateway como uma máquina virtual (VM), o Gateway requer que toda a memória seja sempre alocada à VM. Para obter mais informações sobre como executar o ATA Gateway como uma máquina virtual, veja Requisitos de memória dinâmicos.
- Para um desempenho ideal, defina a Opção de Energia do ATA Gateway como Elevado Desempenho.
- É necessário um mínimo de 5 GB de espaço e são recomendados 10 GB, incluindo o espaço necessário para os binários do ATA, os registos do ATA e os registos de desempenho.