ATA 容量计划
适用于:高级威胁分析版本 1.9
本文介绍了如何确定监视网络所需的 ATA 服务器数量。 这将有助于估算所需的 ATA 网关和/或 ATA 轻型网关数量以及 ATA 中心和 ATA 网关的服务器容量。
注意
只要满足本文中所述的性能要求,就可以在任何 IaaS 供应商上部署 ATA 中心。
使用大小调整工具
确定 ATA 部署容量的建议和最简单的方法是使用 ATA 大小调整工具。 运行 ATA 大小调整工具,根据 Excel 文件结果,使用以下字段确定所需的 ATA 容量:
ATA 中心 CPU 和内存:将 ATA 中心表结果文件中的“Busy Packets/sec”字段与 ATA中心表中的“PACKETS PER SECOND”字段进行匹配。
ATA 中心 CPU 和内存:将 ATA 中心表结果文件中的“Avg Packets/sec”字段与 ATA中心表中的“PACKETS PER SECOND”字段进行匹配。
ATA 网关:将结果文件中 ATA 网关表中的“Busy Packets/sec”字段与 ATA 网关表或 ATA 轻型网关表中的“PACKETS PER SECOND”进行匹配,具体取决于所选网关类型。
注意
由于不同的环境各不相同,并且具有多种特殊和意外的网络流量特征,因此在最初部署 ATA 并运行大小调整工具后,可能需要根据容量调整和微调部署。
如果无法使用 ATA 大小调整工具,请在 24 小时内以较短的收集间隔(大约 5 秒)从所有域控制器中手动收集 packet/sec 计数器信息。 然后,计算每个域控制器的日平均值和最繁忙时段(15 分钟)的平均值。 以下部分提供了有关如何从一个域控制器收集 packets/sec 计数器的说明。
注意
由于不同的环境各不相同,并且具有多种特殊和意外的网络流量特征,因此在最初部署 ATA 并运行大小调整工具后,可能需要根据容量调整和微调部署。
ATA 中心大小调整
ATA 中心建议至少需要 30 天的数据进行用户行为分析。
| 每秒来自所有 DC 的数据包 | CPU(核心数*) | 内存 (GB) | 每日数据库存储量 (GB) | 每月数据库存储量 (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*数据包括物理内核,而不是超线程核心。
**平均数(峰值数)
注意
- ATA 中心每秒最多可处理来自所有受监视域控制器的 1 百万个数据包。 在某些环境中,同一个 ATA 中心可以处理高于 1 百万的总体流量,而某些环境可能会超过 ATA 容量。 如需有关规划和评估大型环境的帮助,请通过 azureatpfeedback@microsoft.com 联系我们。
- 如果可用空间达到最低 20% 或 200 GB,则会删除最早的数据集合。 如果无法成功将数据收集减少到此水平,则会记录警报。 ATA 将继续正常运行,直到达到 5% 或 50 GB 可用空间阈值。 此时,ATA 将停止填充数据库,并发出另一个警报。
- 只要能满足本文中所述的性能要求,就可以在任何 IaaS 供应商上部署 ATA 中心。
- 读取和写入活动的存储延迟应低于 10 毫秒。
- 在每秒 100,000 个数据包以下时,读取和写入活动之间的比率约为 1:3,在每秒 100,000 个数据包以上时,读取和写入活动之间的比率约为 1:6。
- 将中心作为虚拟机 (VM) 运行时,中心要求始终将所有内存分配给 VM。 有关将 ATA 中心作为虚拟机运行的详细信息,请参阅 ATA 中心要求。
- 为了获得最佳性能,请将 ATA 中心的“电源选项”设置为“高性能”。
- 在物理服务器上运行时,ATA 数据库需要禁用 BIOS 中的非统一内存访问 (NUMA)。 系统可能将 NUMA 视为节点交错,在这种情况下,必须启用节点交错才能禁用 NUMA。 有关详细信息,请参阅 BIOS 文档。 ATA 中心在虚拟服务器上运行时,无需此设置。
为部署选择正确的网关类型
在 ATA 部署中,可支持 ATA 网关类型的任意组合:
- 仅 ATA 网关
- 仅 ATA 轻型网关
- 两者的组合
确定网关部署类型时,请考虑以下优势:
| 网关类型 | 好处 | 成本 | 部署拓扑 | 域控制器使用 |
|---|---|---|---|---|
| ATA 网关 | 带外部署使攻击者更难发现 ATA 的存在 | 更高 | 与域控制器一起安装(带外) | 每秒最多支持 50,000 个数据包 |
| ATA 轻型网关 | 不需要专用服务器和端口镜像配置 | 更低 | 安装在域控制器上 | 每秒最多支持 10,000 个数据包 |
以下是 ATA 轻型网关应涵盖域控制器的应用场景示例:
分支站点
部署在云中的虚拟域控制器 (IaaS)
以下是 ATA 网关应涵盖域控制器的应用场景示例:
- 总部数据中心(拥有每秒超过 10,000 个数据包的域控制器)
ATA 轻型网关大小调整
ATA 轻型网关可根据域控制器生成的网络流量来支持对一个域控制器的监视。
| 每秒的数据包数* | CPU(核心数**) | 内存 (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*由特定 ATA 轻型网关监视的域控制器上的每秒数据包总数。
**此域控制器已安装的非超线程核心总数。
虽然 ATA 轻型网关支持超线程处理,但规划容量时,应计算实际核心,而不是超线程核心。
***此域控制器已安装的总内存量。
注意
ATA 网关大小调整
确定要部署的 ATA 网关数时,请注意以下问题。
- Active Directory 林和域
ATA 可以监视来自单个 Active Directory 林的多个域的流量。 监视多个 Active Directory 林需要单独的 ATA 部署。 请勿配置单个 ATA 部署来监视来自不同林的域控制器的网络流量。 - 端口镜像
端口镜像注意事项:可能需要为每个数据网关或分支站点部署多个 ATA 网关。 - 容量
ATA 网关可支持监视多个域控制器,具体取决于受监视的域控制器的网络流量大小。
| 每秒的数据包数* | CPU(核心数**) | 内存 (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*由特定 ATA 网关监视的所有域控制器在一天中最繁忙时段的每秒平均数据包总数。
*域控制器端口镜像流量总量不能超过 ATA 网关上捕获的 NIC 容量。
**必须禁用 Hyper-threading。
注意