Pré-requisitos do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo descreve os requisitos para uma implementação bem-sucedida do ATA no seu ambiente.
Observação
Para obter informações sobre como planear recursos e capacidade, veja Planeamento da capacidade do ATA.
O ATA é composto pelo ATA Center, pelo ATA Gateway e/ou pelo ATA Lightweight Gateway. Para obter mais informações sobre os componentes do ATA, veja Arquitetura do ATA.
O Sistema ATA funciona no limite da floresta do Active Directory e suporta o Nível Funcional de Floresta (FFL) do Windows 2003 e superior.
Antes de começar: esta secção lista as informações que deve recolher e as contas e as entidades de rede que deve ter antes de iniciar a instalação do ATA.
ATA Center: esta secção lista o hardware do ATA Center, os requisitos de software, bem como as definições que precisa de configurar no servidor do ATA Center.
ATA Gateway: esta secção lista hardware do ATA Gateway, requisitos de software, bem como definições que precisa de configurar nos servidores do ATA Gateway.
ATA Lightweight Gateway: esta secção lista os requisitos de hardware e software do ATA Lightweight Gateway.
ATA Console: esta secção lista os requisitos do browser para executar a ATA Console.
Antes de começar
Esta secção lista as informações que deve recolher, bem como as contas e as entidades de rede que deve ter antes de iniciar a instalação do ATA.
Conta de utilizador e palavra-passe com acesso de leitura a todos os objetos nos domínios monitorizados.
Observação
Se tiver definido ACLs personalizadas em várias Unidades Organizacionais (UO) no seu domínio, certifique-se de que o utilizador selecionado tem permissões de leitura para essas UOs.
Não instale o Microsoft Message Analyzer num ATA Gateway ou Lightweight Gateway. O controlador do Analisador de Mensagens entra em conflito com os controladores ATA Gateway e Lightweight Gateway. Se executar o Wireshark no ATA Gateway, terá de reiniciar o Serviço de Gateway do Microsoft Advanced Threat Analytics depois de ter parado a captura do Wireshark. Caso contrário, o Gateway deixa de capturar tráfego. A execução do Wireshark num ATA Lightweight Gateway não interfere com o ATA Lightweight Gateway.
Recomendado: o utilizador deve ter permissões só de leitura no contentor Objetos Eliminados. Isto permite ao ATA detetar a eliminação em massa de objetos no domínio. Para obter informações sobre como configurar permissões só de leitura no contentor Objetos Eliminados, veja a secção Alterar permissões num contentor de objeto eliminado no artigo Ver ou Definir Permissões num Objeto de Diretório .
Opcional: uma conta de utilizador de um utilizador sem atividades de rede. Esta conta é configurável como um utilizador do ATA Honeytoken. Para configurar uma conta como um utilizador honeytoken, só é necessário o nome de utilizador. Para obter informações de configuração do Honeytoken, veja Configurar exclusões de endereços IP e utilizador honeytoken.
Opcional: além de recolher e analisar o tráfego de rede de e para os controladores de domínio, o ATA pode utilizar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para melhorar ainda mais as deteções de ATA Pass-the-Hash, Força Bruta, Modificação a grupos confidenciais e Honey Tokens. Estes eventos podem ser recebidos a partir do SIEM ou ao definir o Reencaminhamento de Eventos do Windows a partir do controlador de domínio. Os eventos recolhidos fornecem ao ATA informações adicionais que não estão disponíveis através do tráfego de rede do controlador de domínio.
Requisitos do ATA Center
Esta secção lista os requisitos do ATA Center.
Geral
O ATA Center suporta a instalação num servidor com Windows Server 2012 R2 Windows Server 2016 e Windows Server 2019.
Observação
O ATA Center não suporta Windows Server núcleo.
O ATA Center pode ser instalado num servidor que seja membro de um domínio ou grupo de trabalho.
Antes de instalar o ATA Center com o Windows 2012 R2, confirme que a seguinte atualização foi instalada: KB2919355.
Pode marcar ao executar o seguinte cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355].
É suportada a instalação do ATA Center como uma máquina virtual.
Especificações do servidor
Ao trabalhar num servidor físico, a base de dados do ATA necessita que desative o acesso não uniforme à memória (NUMA) no BIOS. O seu sistema pode referir-se a NUMA como Intercalação de Nós, caso em que tem de ativar a Intercalação de Nós para desativar o NUMA. Para obter mais informações, veja a documentação do BIOS.
Para um desempenho ideal, defina a Opção de Energia do ATA Center como Elevado Desempenho.
O número de controladores de domínio que está a monitorizar e a carga em cada um dos controladores de domínio dita as especificações do servidor necessárias. Para obter mais informações, veja Planeamento da capacidade do ATA.
Para os sistemas operativos Windows 2008R2 e 2012, o Gateway não é suportado num modo de Grupo com Vários Processadores . Para obter mais informações sobre o modo de grupo com vários processadores, veja Resolução de problemas.
Sincronização de hora
O servidor do ATA Center, os servidores do ATA Gateway e os controladores de domínio têm de ter a hora sincronizada para um período de cinco minutos entre si.
Adaptadores de rede
Deverá ter o seguinte conjunto:
Pelo menos uma placa de rede (se utilizar um servidor físico no ambiente VLAN, recomenda-se a utilização de duas placas de rede)
Um endereço IP para comunicação entre o ATA Center e o ATA Gateway que é encriptado com SSL na porta 443. (O serviço ATA vincula-se a todos os endereços IP que o ATA Center tem na porta 443.)
Portas
A tabela seguinte lista as portas mínimas que têm de ser abertas para que o ATA Center funcione corretamente.
| Protocolo | Transport | Porta | De/Para | Direção |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Entrada |
| HTTP (opcional) | TCP | 80 | Rede da Empresa | Entrada |
| HTTPS | TCP | 443 | Rede da Empresa e ATA Gateway | Entrada |
| SMTP (opcional) | TCP | 25 | Servidor SMTP | Saída |
| SMTPS (opcional) | TCP | 465 | Servidor SMTP | Saída |
| Syslog (opcional) | TCP/UPS/TLS (configurável) | 514 (predefinição) | Servidor Syslog | Saída |
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAPS (opcional) | TCP | 636 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| Kerberos (opcional se associado a um domínio) | TCP e UDP | 88 | Controladores de domínio | Saída |
| Hora do Windows (opcional se associado a um domínio) | UDP | 123 | Controladores de domínio | Saída |
Observação
O LDAP é necessário para testar as credenciais a utilizar entre os ATA Gateways e os controladores de domínio. O teste é realizado a partir do ATA Center para um controlador de domínio para testar a validade destas credenciais, após o qual o ATA Gateway utiliza LDAP como parte do processo de resolução normal.
Certificados
Para instalar e implementar o ATA mais rapidamente, pode instalar certificados autoassinados durante a instalação. Se tiver optado por utilizar certificados autoassinados, após a implementação inicial é recomendado substituir certificados autoassinados por certificados de uma Autoridade de Certificação interna a utilizar pelo ATA Center.
Certifique-se de que o ATA Center e os ATA Gateways têm acesso ao ponto de distribuição crl. Se não tiverem acesso à Internet, siga o procedimento para importar manualmente uma CRL, tendo o cuidado de instalar todos os pontos de distribuição crl para toda a cadeia.
O certificado tem de ter:
- Uma chave privada
- Um tipo de fornecedor do Fornecedor de Serviços Criptográficos (CSP) ou do Fornecedor de Armazenamento de Chaves (KSP)
- Um comprimento de chave pública de 2048 bits
- Um conjunto de valores para sinalizadores de utilização KeyEncipherment e ServerAuthentication
- Valor KeySpec (KeyNumber) de "KeyExchange" (AT_KEYEXCHANGE). O valor "Assinatura" (AT_SIGNATURE) não é suportado.
- Todos os computadores gateway têm de conseguir validar e confiar totalmente no certificado do Centro selecionado.
Por exemplo, pode utilizar o servidor Web padrão ou modelos de Computador .
Aviso
O processo de renovação de um certificado existente não é suportado. A única forma de renovar um certificado é através da criação de um novo certificado e da configuração do ATA para utilizar o novo certificado.
Observação
- Se pretender aceder à ATA Console a partir de outros computadores, certifique-se de que esses computadores confiam no certificado que está a ser utilizado pelo ATA Center. Caso contrário, recebe uma página de aviso a indicar que existe um problema com o certificado de segurança do site antes de aceder à página de início de sessão.
- A partir da versão 1.8 do ATA, os ATA Gateways e os Lightweight Gateways estão a gerir os seus próprios certificados e não precisam de interação de administrador para os gerir.
Requisitos do ATA Gateway
Esta secção lista os requisitos do ATA Gateway.
Geral
O ATA Gateway suporta a instalação num servidor com Windows Server 2012 R2 ou Windows Server 2016 e Windows Server 2019 (incluindo o server core). O ATA Gateway pode ser instalado num servidor que seja membro de um domínio ou grupo de trabalho. O ATA Gateway pode ser utilizado para monitorizar Controladores de Domínio com o Nível Funcional de Domínio do Windows 2003 e superior.
Antes de instalar o ATA Gateway com o Windows 2012 R2, confirme que a seguinte atualização foi instalada: KB2919355.
Pode marcar ao executar o seguinte cmdlet de Windows PowerShell: [Get-HotFix -Id kb2919355].
Para obter informações sobre como utilizar máquinas virtuais com o ATA Gateway, veja Configurar o espelhamento de porta.
Observação
É necessário um mínimo de 5 GB de espaço e recomenda-se 10 GB. Isto inclui o espaço necessário para os binários do ATA, os registos do ATA e os registos de desempenho.
Especificações do servidor
Para um desempenho ideal, defina a Opção de Energia do ATA Gateway como Elevado Desempenho.
Um ATA Gateway pode suportar a monitorização de vários controladores de domínio, consoante a quantidade de tráfego de rede de e para os controladores de domínio.
Para saber mais sobre a memória dinâmica ou qualquer outra funcionalidade de gestão de memória de máquinas virtuais, veja Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do ATA Gateway, veja Planeamento da capacidade do ATA.
Sincronização de hora
O servidor do ATA Center, os servidores do ATA Gateway e os controladores de domínio têm de ter a hora sincronizada para um período de cinco minutos entre si.
Adaptadores de rede
O ATA Gateway requer, pelo menos, um adaptador de Gestão e, pelo menos, um adaptador de Captura:
Adaptador de gestão – utilizado para comunicações na sua rede empresarial. Este adaptador deve ser configurado com as seguintes definições:
Endereço IP estático, incluindo gateway predefinido
Servidores DNS preferidos e alternativos
O sufixo DNS para esta ligação deve ser o nome DNS do domínio para cada domínio a ser monitorizado.
Observação
Se o ATA Gateway for membro do domínio, este poderá ser configurado automaticamente.
Adaptador de captura – utilizado para capturar tráfego de e para os controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como o destino do tráfego de rede do controlador de domínio. Para obter mais informações, veja Configurar o espelhamento de porta. Normalmente, tem de trabalhar com a equipa de rede ou virtualização para configurar o espelhamento de porta.
- Configure um endereço IP não encaminhável estático para o seu ambiente sem gateway predefinido e sem endereços de servidor DNS. Por exemplo, 1.1.1.1/32. Isto garante que o adaptador de rede de captura pode capturar a quantidade máxima de tráfego e que o adaptador de rede de gestão é utilizado para enviar e receber o tráfego de rede necessário.
Portas
A tabela seguinte lista as portas mínimas que o ATA Gateway necessita de configurar no adaptador de gestão:
| Protocolo | Transport | Porta | De/Para | Direção |
|---|---|---|---|---|
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| Secure LDAP (LDAPS) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para Catálogo Global | TCP | 3268 | Controladores de domínio | Saída |
| LDAPS para Catálogo Global | TCP | 3269 | Controladores de domínio | Saída |
| Kerberos | TCP e UDP | 88 | Controladores de domínio | Saída |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
| Tempo do Windows | UDP | 123 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM através de RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | ATA Center | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
Observação
Como parte do processo de resolução realizado pelo ATA Gateway, as seguintes portas têm de estar abertas em dispositivos na rede a partir dos ATA Gateways.
- NTLM através de RPC (Porta TCP 135)
- NetBIOS (porta UDP 137)
- Com a conta de utilizador do serviço de Diretório, o ATA Gateway consulta os pontos finais na sua organização para administradores locais com SAM-R (início de sessão de rede) para criar o grafo de caminho de movimento lateral. Para obter mais informações, veja Configurar as permissões necessárias do SAM-R.
- As seguintes portas têm de estar abertas em dispositivos na rede a partir do ATA Gateway:
- NTLM através de RPC (Porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Requisitos do ATA Lightweight Gateway
Esta secção lista os requisitos do ATA Lightweight Gateway.
Geral
O ATA Lightweight Gateway suporta a instalação num controlador de domínio com o Windows Server 2008 R2 SP1 (sem incluir o Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 (incluindo Núcleo, mas não Nano).
O controlador de domínio pode ser um RODC (controlador de domínio somente leitura).
Antes de instalar o ATA Lightweight Gateway num controlador de domínio com Windows Server 2012 R2, confirme que a seguinte atualização foi instalada: KB2919355.
Pode marcar ao executar o seguinte cmdlet Windows PowerShell:[Get-HotFix -Id kb2919355]
Se a instalação for para o Windows Server 2012 R2 Server Core, a seguinte atualização também deve ser instalada: KB3000850.
Pode marcar ao executar o seguinte cmdlet Windows PowerShell:[Get-HotFix -Id kb3000850]
Durante a instalação, o .Net Framework 4.6.1 é instalado e pode causar um reinício do controlador de domínio.
Observação
É necessário um mínimo de 5 GB de espaço e recomenda-se 10 GB. Isto inclui o espaço necessário para os binários do ATA, os registos do ATA e os registos de desempenho.
Especificações do servidor
O ATA Lightweight Gateway requer um mínimo de 2 núcleos e 6 GB de RAM instalados no controlador de domínio. Para um desempenho ideal, defina a Opção de Energia do ATA Lightweight Gateway como Elevado Desempenho. O ATA Lightweight Gateway pode ser implementado em controladores de domínio de várias cargas e tamanhos, consoante a quantidade de tráfego de rede de e para os controladores de domínio e a quantidade de recursos instalados nesse controlador de domínio.
Para saber mais sobre a memória dinâmica ou qualquer outra funcionalidade de gestão de memória de máquinas virtuais, veja Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do ATA Lightweight Gateway, veja Planeamento da capacidade do ATA.
Sincronização de hora
O servidor do ATA Center, os servidores ATA Lightweight Gateway e os controladores de domínio têm de ter a hora sincronizada para um período de cinco minutos entre si.
Adaptadores de rede
O ATA Lightweight Gateway monitoriza o tráfego local em todas as placas de rede do controlador de domínio.
Após a implementação, pode utilizar a ATA Console se quiser modificar as placas de rede que são monitorizadas.
Observação
O Lightweight Gateway não é suportado em controladores de domínio com o Windows 2008 R2 com o Agrupamento de Adaptadores de Rede da Broadcom ativado.
Portas
A tabela seguinte lista as portas mínimas necessárias para o ATA Lightweight Gateway:
| Protocolo | Transport | Porta | De/Para | Direção |
|---|---|---|---|---|
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM através de RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | ATA Center | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
Observação
Como parte do processo de resolução realizado pelo ATA Lightweight Gateway, as seguintes portas têm de estar abertas em dispositivos na rede a partir dos ATA Lightweight Gateways.
- NTLM através de RPC
- NetBIOS
- Com a conta de utilizador do serviço de Diretório, o ATA Lightweight Gateway consulta os pontos finais na sua organização para administradores locais com SAM-R (início de sessão de rede) para criar o gráfico de caminho de movimento lateral. Para obter mais informações, veja Configurar as permissões necessárias do SAM-R.
- As seguintes portas têm de estar abertas em dispositivos na rede a partir do ATA Gateway:
- NTLM através de RPC (Porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Memória dinâmica
Observação
Ao executar serviços do ATA como uma máquina virtual (VM), o serviço requer que toda a memória seja sempre alocada à VM.
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMWare | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a seguinte opção na definição VM – Reservar toda a memória de convidado (Tudo bloqueado). |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada à VM. |
Se executar o ATA Center como uma máquina virtual, encerre o servidor antes de criar um novo ponto de verificação para evitar potenciais danos na base de dados.
ATA Console
O acesso à ATA Console é através de um browser que suporta os browsers e as definições:
Internet Explorer versão 10 e superior
Microsoft Edge
Google Chrome 40 e superior
Resolução mínima de largura do ecrã de 1700 píxeis