Предварительные требования ATA
Область применения: Advanced Threat Analytics версии 1.9
В этой статье описаны требования для успешного развертывания ATA в вашей среде.
Примечание.
Сведения о планировании ресурсов и емкости см. в разделе Планирование ресурсов ATA.
ATA состоит из центра ATA, шлюза ATA и (или) упрощенного шлюза ATA. Дополнительные сведения о компонентах ATA см. в разделе Архитектура ATA.
Система ATA работает на границе леса Active Directory и поддерживает функциональный уровень леса (FFL) Windows 2003 и более поздних версий.
Перед началом работы: в этом разделе перечислены сведения, которые необходимо собрать, а также учетные записи и сетевые сущности, которые у вас должны быть, перед началом установки ATA.
Центр ATA. В этом разделе перечислены требования к оборудованию и программному обеспечению центра ATA, а также параметры, которые необходимо настроить на сервере ЦЕНТРА ATA.
Шлюз ATA. В этом разделе перечислены требования к оборудованию и программному обеспечению шлюза ATA, а также параметры, которые необходимо настроить на серверах шлюза ATA.
Упрощенный шлюз ATA. В этом разделе перечислены требования к оборудованию и программному обеспечению упрощенного шлюза ATA.
Консоль ATA. В этом разделе перечислены требования к браузеру для запуска консоли ATA.
Перед началом работы
В этом разделе перечислены сведения, которые необходимо собрать, а также учетные записи и сетевые сущности, которые должны быть у вас перед началом установки ATA.
Учетная запись пользователя и пароль с доступом на чтение ко всем объектам в отслеживаемых доменах.
Примечание.
Если вы настроили настраиваемые списки ACL для различных подразделений в вашем домене, убедитесь, что выбранный пользователь имеет разрешения на чтение для этих подразделений.
Не устанавливайте анализатор сообщений Майкрософт на шлюз ATA или упрощенный шлюз. Драйвер анализатора сообщений конфликтует с драйверами шлюза ATA и упрощенного шлюза. Если вы запускаете Wireshark на шлюзе ATA, вам потребуется перезапустить службу шлюза Microsoft Advanced Threat Analytics после остановки записи Wireshark. В противном случае шлюз перестает записывать трафик. Запуск Wireshark в упрощенном шлюзе ATA не мешает работе упрощенного шлюза ATA.
Рекомендуется. Пользователь должен иметь разрешения только для чтения в контейнере Удаленные объекты. Это позволяет ATA обнаруживать массовое удаление объектов в домене. Сведения о настройке разрешений только для чтения в контейнере Удаленных объектов см. в разделе Изменение разрешений для контейнера удаленных объектов статьи Просмотр или установка разрешений для объекта каталога .
Необязательно: учетная запись пользователя без сетевых действий. Эту учетную запись можно настроить как пользователя ATA Honeytoken. Чтобы настроить учетную запись в качестве пользователя Honeytoken, требуется только имя пользователя. Сведения о конфигурации Honeytoken см . в разделах Настройка исключений IP-адресов и Пользователя Honeytoken.
Необязательно. Помимо сбора и анализа сетевого трафика к контроллерам домена и от него, ATA может использовать события Windows 4776, 4732, 4733, 4728, 4729, 4756 и 4757 для дальнейшего улучшения атак ATA Pass-the-Hash, Brute Force, Modification to sensitive groups and Honey Token detections. Эти события можно получить из SIEM или путем настройки переадресации событий Windows с контроллера домена. Собранные события предоставляют ATA дополнительные сведения, недоступные через сетевой трафик контроллера домена.
Требования центра ATA
В этом разделе перечислены требования к Центру ATA.
Общие
Центр ATA поддерживает установку на сервере под управлением Windows Server 2012 R2 Windows Server 2016 и Windows Server 2019.
Примечание.
Центр ATA не поддерживает ядро Windows Server.
Центр ATA можно установить на сервере, который является членом домена или рабочей группы.
Перед установкой Центра ATA под управлением Windows 2012 R2 убедитесь, что установлено следующее обновление: KB2919355.
Вы можете проверка, выполнив следующий командлет Windows PowerShell: [Get-HotFix -Id kb2919355].
Поддерживается установка центра ATA в качестве виртуальной машины.
Спецификации сервера
При работе на физическом сервере база данных ATA требует отключения неоднородного доступа к памяти (NUMA) в BIOS. Система может называться NUMA чередованием узлов. В этом случае необходимо включить чередование узлов, чтобы отключить NUMA. Дополнительные сведения см. в документации по BIOS.
Для оптимальной производительности установите для параметра питания центра ATA значение Высокая производительность.
Количество отслеживаемых контроллеров домена и нагрузка на каждый из контроллеров домена определяют необходимые спецификации сервера. Дополнительные сведения см. в разделе Планирование емкости ATA.
Для операционных систем Windows 2008R2 и 2012 шлюз не поддерживается в многопроцессорном групповом режиме. Дополнительные сведения о многопроцессорном групповом режиме см. в разделе Устранение неполадок.
синхронизация времени;
Сервер Центра ATA, серверы шлюза ATA и контроллеры домена должны синхронизировать время в течение пяти минут друг от друга.
Сетевые адаптеры
У вас должен быть следующий набор:
По крайней мере один сетевой адаптер (при использовании физического сервера в среде виртуальной локальной сети рекомендуется использовать два сетевых адаптера).
IP-адрес для обмена данными между Центром ATA и шлюзом ATA, зашифрованным с помощью SSL через порт 443. (Служба ATA привязывается ко всем IP-адресам, которые центр ATA имеет на порте 443.)
Порты
В следующей таблице перечислены минимальные порты, которые должны быть открыты для правильной работы Центра ATA.
| Протокол | Transport | Порт | To/From | Направление |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | Шлюз ATA | Прибывающий |
| HTTP (необязательно) | TCP | 80 | Корпоративная сеть | Прибывающий |
| HTTPS | TCP | 443 | Корпоративная сеть и шлюз ATA | Прибывающий |
| SMTP (необязательно) | TCP | 25 | SMTP-сервер | Исходящий |
| SMTPS (необязательно) | TCP | 465 | SMTP-сервер | Исходящий |
| Системный журнал (необязательно) | TCP/UPS/TLS (настраивается) | 514 (по умолчанию) | Сервер системного журнала | Исходящий |
| LDAP | TCP и UDP | 389 | Контроллеры доменов | Исходящий |
| LDAPS (необязательно) | TCP | 636 | Контроллеры доменов | Исходящий |
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящий |
| Kerberos (необязательно, если присоединен к домену) | TCP и UDP | 88 | Контроллеры доменов | Исходящий |
| Время Windows (необязательно, если присоединено к домену) | UDP | 123 | Контроллеры доменов | Исходящий |
Примечание.
Протокол LDAP требуется для проверки учетных данных, используемых между шлюзами ATA и контроллерами домена. Проверка выполняется из Центра ATA на контроллер домена для проверки допустимости этих учетных данных, после чего шлюз ATA использует ПРОТОКОЛ LDAP в рамках обычного процесса разрешения.
Сертификаты
Чтобы быстрее установить и развернуть ATA, можно установить самозаверяемые сертификаты во время установки. Если вы решили использовать самозаверяемые сертификаты, после первоначального развертывания рекомендуется заменить самозаверяемые сертификаты сертификатами из внутреннего центра сертификации, которые будут использоваться Центром ATA.
Убедитесь, что центр ATA и шлюзы ATA имеют доступ к точке распространения списка отзыва сертификатов. Если у них нет доступа к Интернету, выполните процедуру импорта списка отзыва сертификатов вручную, установив все точки распространения CRL для всей цепочки.
Сертификат должен иметь:
- Закрытый ключ
- Тип поставщика поставщика служб шифрования (CSP) или поставщика хранилища ключей (KSP)
- Длина открытого ключа 2048 бит
- Значение, заданное для флагов использования KeyEncipherment и ServerAuthentication.
- Значение KeySpec (KeyNumber) "KeyExchange" (AT_KEYEXCHANGE). Значение Signature (AT_SIGNATURE) не поддерживается.
- Все компьютеры шлюза должны иметь возможность полностью проверять выбранный сертификат Центра и доверять ему.
Например, можно использовать стандартный веб-сервер или шаблоны компьютеров .
Предупреждение
Процесс обновления существующего сертификата не поддерживается. Единственный способ обновить сертификат — создать новый сертификат и настроить ATA для использования нового сертификата.
Примечание.
- Если вы собираетесь получить доступ к консоли ATA с других компьютеров, убедитесь, что эти компьютеры доверяют сертификату, используемому центром ATA, в противном случае вы получите страницу предупреждения о наличии проблемы с сертификатом безопасности веб-сайта, прежде чем перейти на страницу входа.
- Начиная с ATA версии 1.8 шлюзы ATA и упрощенные шлюзы управляют собственными сертификатами и не нуждаются в взаимодействии с администратором для управления ими.
Требования к шлюзу ATA
В этом разделе перечислены требования к шлюзу ATA.
Общие
Шлюз ATA поддерживает установку на сервере под управлением Windows Server 2012 R2 или Windows Server 2016 и Windows Server 2019 (включая ядро сервера). Шлюз ATA можно установить на сервере, который является членом домена или рабочей группы. Шлюз ATA можно использовать для мониторинга контроллеров домена с уровнем функциональности домена Windows 2003 и более поздних версий.
Перед установкой шлюза ATA под управлением Windows 2012 R2 убедитесь, что установлено следующее обновление: KB2919355.
Вы можете проверка, выполнив следующий командлет Windows PowerShell: [Get-HotFix -Id kb2919355].
Сведения об использовании виртуальных машин со шлюзом ATA см. в статье Настройка зеркального отображения портов.
Примечание.
Требуется не менее 5 ГБ места и рекомендуется 10 ГБ. Сюда входит место, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Спецификации сервера
Для оптимальной производительности установите для параметра Питания шлюза ATA значение Высокая производительность.
Шлюз ATA может поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика к контроллерам домена и от нее.
Дополнительные сведения о динамической памяти или любой другой функции управления памятью виртуальных машин см. в статье Динамическая память.
Дополнительные сведения о требованиях к оборудованию шлюза ATA см. в разделе Планирование емкости ATA.
синхронизация времени;
Сервер Центра ATA, серверы шлюза ATA и контроллеры домена должны синхронизировать время в течение пяти минут друг от друга.
Сетевые адаптеры
Для шлюза ATA требуется по крайней мере один адаптер управления и по крайней мере один адаптер записи:
Адаптер управления — используется для обмена данными в корпоративной сети. Этот адаптер должен быть настроен со следующими параметрами:
Статический IP-адрес, включая шлюз по умолчанию
Предпочтительный и альтернативный DNS-серверы
DNS-суффикс для этого подключения должен быть DNS-именем домена для каждого отслеживаемого домена.
Примечание.
Если шлюз ATA является членом домена, это может быть настроено автоматически.
Адаптер записи — используется для отслеживания трафика в контроллеры домена и из нее.
Важно!
- Настройте зеркальное отображение портов для адаптера записи в качестве назначения сетевого трафика контроллера домена. Дополнительные сведения см. в разделе Настройка зеркального отображения портов. Как правило, для настройки зеркального отображения портов необходимо сотрудничать с командой по работе с сетью или виртуализацией.
- Настройте статический НЕ-маршрутизируемый IP-адрес для вашей среды без шлюза по умолчанию и адресов DNS-сервера. Например, 1.1.1.1/32. Это гарантирует, что сетевой адаптер записи может захватывать максимальный объем трафика и что сетевой адаптер управления используется для отправки и получения необходимого сетевого трафика.
Порты
В следующей таблице перечислены минимальные порты, которые требуются шлюзу ATA, настроенные в адаптере управления.
| Протокол | Transport | Порт | To/From | Направление |
|---|---|---|---|---|
| LDAP | TCP и UDP | 389 | Контроллеры доменов | Исходящий |
| Secure LDAP (LDAPS) | TCP | 636 | Контроллеры доменов | Исходящий |
| LDAP к глобальному каталогу | TCP | 3268 | Контроллеры доменов | Исходящий |
| LDAPS к глобальному каталогу | TCP | 3269 | Контроллеры доменов | Исходящий |
| Kerberos; | TCP и UDP | 88 | Контроллеры доменов | Исходящий |
| Netlogon (SMB, CIFS, SAM-R) | TCP и UDP | 445 | Все устройства в сети | Исходящий |
| Служба времени Windows | UDP | 123 | Контроллеры доменов | Исходящий |
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящий |
| NTLM по RPC | TCP | 135 | Все устройства в сети | Оба |
| NetBIOS | UDP | 137 | Все устройства в сети | Оба |
| SSL | TCP | 443 | Центр ATA | Исходящий |
| Системный журнал (необязательно) | UDP | 514 | Сервер SIEM | Прибывающий |
Примечание.
В рамках процесса разрешения, выполняемого шлюзом ATA, на устройствах в сети из шлюзов ATA должны быть открыты следующие порты.
- NTLM через RPC (TCP-порт 135)
- NetBIOS (UDP-порт 137)
- Используя учетную запись пользователя службы каталогов, шлюз ATA запрашивает конечные точки в вашей организации для локальных администраторов, использующих SAM-R (сетевой вход) для создания графа пути бокового перемещения. Дополнительные сведения см. в разделе Настройка необходимых разрешений SAM-R.
- На устройствах в сети из шлюза ATA должны быть открыты следующие порты:
- NTLM через RPC (TCP-порт 135) для разрешения
- NetBIOS (UDP-порт 137) для решения проблем
Требования к упрощенной шлюзе ATA
В этом разделе перечислены требования для упрощенного шлюза ATA.
Общие
Упрощенный шлюз ATA поддерживает установку на контроллере домена под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 (включая Core, но не Nano).
Контроллер домена может быть контроллером домена только для чтения (RODC).
Перед установкой упрощенного шлюза ATA на контроллере домена под управлением Windows Server 2012 R2 убедитесь, что установлено следующее обновление: KB2919355.
Вы можете проверка, выполнив следующий командлет Windows PowerShell:[Get-HotFix -Id kb2919355]
Если установка выполняется для Windows Server 2012 R2 Server Core, необходимо также установить следующее обновление: KB3000850.
Вы можете проверка, выполнив следующий командлет Windows PowerShell:[Get-HotFix -Id kb3000850]
Во время установки устанавливается платформа .Net Framework 4.6.1, что может привести к перезагрузке контроллера домена.
Примечание.
Требуется не менее 5 ГБ места и рекомендуется 10 ГБ. Сюда входит место, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Спецификации сервера
Для упрощенного шлюза ATA требуется не менее 2 ядер и 6 ГБ ОЗУ, установленных на контроллере домена. Для оптимальной производительности установите для параметра питания упрощенного шлюза ATA значение Высокая производительность. Упрощенный шлюз ATA можно развернуть на контроллерах домена различных нагрузок и размеров в зависимости от объема сетевого трафика контроллеров домена и от нее, а также от объема ресурсов, установленных на этом контроллере домена.
Дополнительные сведения о динамической памяти или любой другой функции управления памятью виртуальных машин см. в статье Динамическая память.
Дополнительные сведения о требованиях к оборудованию упрощенного шлюза ATA см. в разделе Планирование емкости ATA.
синхронизация времени;
Сервер центра ATA, серверы упрощенного шлюза ATA и контроллеры домена должны синхронизировать время в течение пяти минут друг от друга.
Сетевые адаптеры
Упрощенный шлюз ATA отслеживает локальный трафик на всех сетевых адаптерах контроллера домена.
После развертывания вы можете использовать консоль ATA, если вы хотите изменить, какие сетевые адаптеры отслеживаются.
Примечание.
Упрощенный шлюз не поддерживается на контроллерах домена под управлением Windows 2008 R2 с включенной командой сетевого адаптера Broadcom.
Порты
В следующей таблице перечислены минимальные порты, необходимые для упрощенного шлюза ATA:
| Протокол | Transport | Порт | To/From | Направление |
|---|---|---|---|---|
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящий |
| NTLM по RPC | TCP | 135 | Все устройства в сети | Оба |
| NetBIOS | UDP | 137 | Все устройства в сети | Оба |
| SSL | TCP | 443 | Центр ATA | Исходящий |
| Системный журнал (необязательно) | UDP | 514 | Сервер SIEM | Прибывающий |
| Netlogon (SMB, CIFS, SAM-R) | TCP и UDP | 445 | Все устройства в сети | Исходящий |
Примечание.
В рамках процесса разрешения, выполняемого упрощенным шлюзом ATA, на устройствах в сети из упрощенных шлюзов ATA должны быть открыты следующие порты.
- NTLM по RPC
- NetBIOS
- Используя учетную запись пользователя службы каталогов, упрощенный шлюз ATA запрашивает конечные точки в вашей организации для локальных администраторов, использующих SAM-R (сетевой вход) для построения графа пути бокового перемещения. Дополнительные сведения см. в разделе Настройка необходимых разрешений SAM-R.
- На устройствах в сети из шлюза ATA должны быть открыты следующие порты:
- NTLM через RPC (TCP-порт 135) для разрешения
- NetBIOS (UDP-порт 137) для решения проблем
Динамическая память
Примечание.
При запуске служб ATA в качестве виртуальной машины для службы требуется, чтобы виртуальная машина все время была выделена вся память.
| Виртуальная машина, запущенная на | Описание |
|---|---|
| Hyper-V | Убедитесь, что параметр Включить динамическую память не включен для виртуальной машины. |
| VMWare | Убедитесь, что настроенный и зарезервированный объем памяти совпадают, или выберите следующий параметр в параметре виртуальной машины — Резервировать всю гостевую память (все заблокировано). |
| Другой узел виртуализации | Сведения о том, как обеспечить полное выделение памяти виртуальной машине, см. в предоставленной поставщиком документации. |
Если вы запускаете центр ATA в качестве виртуальной машины, завершите работу сервера перед созданием новой контрольной точки, чтобы избежать потенциального повреждения базы данных.
Консоль ATA
Доступ к консоли ATA осуществляется через браузер, поддерживающий браузеры и параметры:
Интернет-Обозреватель версии 10 и выше
Microsoft Edge
Google Chrome 40 и более поздних версий
Минимальное разрешение ширины экрана: 1700 пикселей