Dela via

ATA-kapacitetsplanering

  • Artikel

Gäller för: Advanced Threat Analytics version 1.9

Den här artikeln hjälper dig att avgöra hur många ATA-servrar som behövs för att övervaka nätverket. Den hjälper dig att uppskatta hur många ATA-gatewayer och/eller ATA Lightweight Gateways du behöver och serverkapaciteten för dina ATA Center- och ATA-gatewayer.

Obs!

ATA Center kan distribueras på valfri IaaS-leverantör så länge prestandakraven som beskrivs i den här artikeln uppfylls.

Använda storleksverktyget

Det rekommenderade och enklaste sättet att fastställa kapacitet för ATA-distributionen är att använda ATA-storleksverktyget. Kör ATA-storleksverktyget och använd följande fält i Excel-filresultatet för att fastställa vilken ATA-kapacitet du behöver:

Exempel på kapacitetsplaneringsverktyg.

Obs!

Eftersom olika miljöer varierar och har flera särskilda och oväntade egenskaper för nätverkstrafik kan du behöva justera och finjustera distributionen för kapacitet när du först distribuerar ATA och kör storleksverktyget.

Om du inte kan använda ATA Sizing Tool samlar du in manuellt paket/sek-räknarinformationen med ett lågt insamlingsintervall (cirka 5 sekunder) från alla domänkontrollanter i 24 timmar. För varje domänkontrollant beräknar du sedan det dagliga genomsnittet och genomsnittet för den mest trafikerade perioden (15 minuter). Följande avsnitt innehåller instruktioner om hur du samlar in paket/sek-räknaren från en domänkontrollant.

Obs!

Eftersom olika miljöer varierar och har flera särskilda och oväntade egenskaper för nätverkstrafik kan du behöva justera och finjustera distributionen för kapacitet när du först distribuerar ATA och kör storleksverktyget.

ATA Center-storleksändring

ATA Center kräver minst 30 dagars data för användarbeteendeanalys.

Paket per sekund från alla domänkontrollanter CPU (kärnor*) Minne (GB) Databaslagring per dag (GB) Databaslagring per månad (GB) IOPS**
1 000 2 32 0.3 9 30 (100)
40,000 4 48 12 360 500 (750)
200,000 8 64 60 1,800 1,000 (1,500)
400,000 12 96 120 3,600 2,000 (2,500)
750,000 24 112 225 6,750 2,500 (3,000)
1,000,000 40 128 300 9,000 4,000 (5,000)

*Detta omfattar fysiska kärnor, inte hypertrådade kärnor.

**Genomsnittliga tal (högsta tal)

Obs!

  • ATA Center kan hantera sammanlagt högst 1 miljon paket per sekund från alla övervakade domänkontrollanter. I vissa miljöer kan samma ATA Center hantera övergripande trafik som är högre än 1 M och vissa miljöer kan överskrida ATA-kapaciteten. Kontakta oss på azureatpfeedback@microsoft.com för hjälp med planering och uppskattning av stora miljöer.
  • Om ditt lediga utrymme når minst 20 % eller 200 GB tas den äldsta datasamlingen bort. Om det inte går att minska datainsamlingen till den här nivån loggas en avisering. ATA fortsätter att fungera tills tröskelvärdet på 5 % eller 50 GB ledigt nås. Nu slutar ATA att fylla i databasen och ytterligare en avisering utfärdas.
  • Du kan distribuera ATA Center på valfri IaaS-leverantör om de prestandakrav som beskrivs i den här artikeln uppfylls.
  • Lagringsfördröjningen för läs- och skrivaktiviteter bör vara under 10 ms.
  • Förhållandet mellan läs- och skrivaktiviteter är cirka 1:3 under 100 000 paket per sekund och 1:6 över 100 000 paket per sekund.
  • När du kör Center som en virtuell dator (VM) kräver centret att allt minne allokeras till den virtuella datorn, hela tiden. Mer information om hur du kör ATA Center som en virtuell dator finns i ATA Center-krav.
  • För optimala prestanda ställer du in Energialternativet för ATA Center på Höga prestanda.
  • När du arbetar på en fysisk server behöver ATA-databasen att du inaktiverar NUMA (Non-Uniform Memory Access) i BIOS. Systemet kan referera till NUMA som Node Interleaving, i så fall måste du aktivera Node Interleaving för att inaktivera NUMA. Mer information finns i BIOS-dokumentationen. Detta är inte relevant när ATA Center körs på en virtuell server.

Välja rätt gatewaytyp för distributionen

I en ATA-distribution stöds alla kombinationer av ATA Gateway-typerna:

  • Endast ATA-gatewayer
  • Endast ATA Lightweight Gateways
  • En kombination av båda

När du bestämmer gatewaydistributionstypen bör du tänka på följande fördelar:

Gatewaytyp Fördelar Kostnad Distributionstopologi Användning av domänkontrollant
ATA Gateway Out of band-distributionen gör det svårare för angripare att upptäcka att ATA finns Högre Installeras tillsammans med domänkontrollanten (out of band) Stöder upp till 50 000 paket per sekund
ATA Lightweight Gateway Kräver inte någon dedikerad server- och portspeglingskonfiguration Nedre Installerat på domänkontrollanten Stöder upp till 10 000 paket per sekund

Följande är exempel på scenarier där domänkontrollanter ska omfattas av ATA Lightweight Gateway:

  • Avdelningswebbplatser

  • Virtuella domänkontrollanter som distribueras i molnet (IaaS)

Följande är exempel på scenarier där domänkontrollanter ska omfattas av ATA Gateway:

  • Datacenter med huvudkontor (med domänkontrollanter med fler än 10 000 paket per sekund)

STORLEK PÅ ATA Lightweight Gateway

En ATA Lightweight Gateway kan stödja övervakning av en domänkontrollant baserat på mängden nätverkstrafik som domänkontrollanten genererar.

Paket per sekund* CPU (kärnor**) Minne (GB)***
1 000 2 6
5,000 6 16
10 000 10 24

*Totalt antal paket per sekund på domänkontrollanten som övervakas av den specifika ATA Lightweight Gateway.

**Totalt antal icke-hypertrådade kärnor som domänkontrollanten har installerat.
Hypertrådning är acceptabelt för ATA Lightweight Gateway, men när du planerar för kapacitet bör du räkna faktiska kärnor och inte hypertrådade kärnor.

Total mängd minne som den här domänkontrollanten har installerat.

Obs!

  • Om domänkontrollanten inte har de resurser som krävs av ATA Lightweight Gateway påverkas inte domänkontrollantens prestanda, men ATA Lightweight Gateway kanske inte fungerar som förväntat.
  • När gatewayen körs som en virtuell dator (VM) kräver gatewayen att allt minne allokeras till den virtuella datorn, hela tiden. Mer information om hur du kör ATA Gateway som en virtuell dator finns i Krav på dynamiskt minne).
  • För optimala prestanda ställer du in energialternativet för ATA Lightweight Gateway på Höga prestanda.
  • Minst 5 GB utrymme krävs och 10 GB rekommenderas, inklusive det utrymme som behövs för ATA-binärfiler, ATA-loggar och prestandaloggar.

Storleksändring för ATA Gateway

Tänk på följande när du bestämmer hur många ATA-gatewayer som ska distribueras.

  • Active Directory-skogar och domäner
    ATA kan övervaka trafik från flera domäner från en enda Active Directory-skog. Övervakning av flera Active Directory-skogar kräver separata ATA-distributioner. Konfigurera inte en enda ATA-distribution för att övervaka nätverkstrafik för domänkontrollanter från olika skogar.
  • Portspegling
    Överväganden för portspegling kan kräva att du distribuerar flera ATA-gatewayer per datagateway eller grenplats.
  • Kapacitet
    En ATA Gateway kan ha stöd för övervakning av flera domänkontrollanter, beroende på mängden nätverkstrafik för domänkontrollanterna som övervakas.
Paket per sekund* CPU (kärnor**) Minne (GB)
1 000 1 6
5,000 2 10
10 000 3 12
20 000 6 24
50 000 16 48

*Totalt genomsnittligt antal paket per sekund från alla domänkontrollanter som övervakas av den specifika ATA Gateway under den mest hektiska timmen på dagen.

*Den totala mängden portspeglingstrafik för domänkontrollanter får inte överskrida kapaciteten för det infångade nätverkskortet på ATA Gateway.

**Hypertrådning måste inaktiveras.

Obs!

  • När gatewayen körs som en virtuell dator (VM) kräver gatewayen att allt minne allokeras till den virtuella datorn, hela tiden. Mer information om hur du kör ATA Gateway som en virtuell dator finns i Krav på dynamiskt minne.
  • För optimala prestanda ställer du in energialternativet för ATA Gateway på Höga prestanda.
  • Minst 5 GB utrymme krävs och 10 GB rekommenderas, inklusive det utrymme som behövs för ATA-binärfiler, ATA-loggar och prestandaloggar.

Se även