ATA 先决条件
适用于:高级威胁分析版本 1.9
本文介绍在环境中成功部署 ATA 的要求。
注意
有关如何规划资源和容量的信息,请参阅 ATA 容量规划。
ATA 由 ATA 中心、ATA 网关和/或 ATA 轻型网关组成。 有关 ATA 组件的详细信息,请参阅 ATA 体系结构。
ATA 系统适用于活动目录林边界,并支持林功能级别 (Windows 2003 及更高版本的 FFL) 。
开始之前:本部分列出了在开始 ATA 安装之前应收集的信息以及应拥有的帐户和网络实体。
ATA 中心:本部分列出了 ATA 中心硬件、软件要求以及需要在 ATA 中心服务器上配置的设置。
ATA 网关:本部分列出了 ATA 网关硬件、软件要求以及需要在 ATA 网关服务器上配置的设置。
ATA 轻型网关:本部分列出了 ATA 轻型网关硬件和软件要求。
ATA 控制台:本部分列出了运行 ATA 控制台的浏览器要求。
准备工作
本部分列出了在开始 ATA 安装之前应收集的信息,以及应拥有的帐户和网络实体。
对受监视域中的所有对象具有读取访问权限的用户帐户和密码。
注意
如果在域中的各个组织单位 (OU) 上设置了自定义 ACL,请确保所选用户对这些 OU 具有读取权限。
请勿在 ATA 网关或轻型网关上安装Microsoft消息分析器。 消息分析器驱动程序与 ATA 网关和轻型网关驱动程序冲突。 如果在 ATA 网关上运行 Wireshark,则需要在停止 Wireshark 捕获后重启Microsoft高级威胁分析网关服务。 否则,网关停止捕获流量。 在 ATA 轻型网关上运行 Wireshark 不会干扰 ATA 轻型网关。
建议:用户应对“已删除对象”容器具有只读权限。 这允许 ATA 检测域中对象的批量删除。 有关配置对已删除对象容器的只读权限的信息,请参阅查看或设置对目录对象的权限一文中的更改对已删除对象容器的权限部分。
可选:没有网络活动的用户的用户帐户。 此帐户可配置为 ATA Honeytoken 用户。 若要将帐户配置为 Honeytoken 用户,只需用户名。 有关 Honeytoken 配置信息,请参阅 配置 IP 地址排除项和 Honeytoken 用户。
可选:除了收集和分析传入和传出域控制器的网络流量外,ATA 还可以使用 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757 来进一步增强 ATA 传递哈希、暴力破解、敏感组修改和 Honey 令牌检测。 可以从 SIEM 接收这些事件,也可以通过从域控制器设置 Windows 事件转发来接收这些事件。 收集的事件为 ATA 提供了无法通过域控制器网络流量获取的其他信息。
ATA 中心要求
本部分列出了 ATA 中心的要求。
一般信息
ATA 中心支持在运行 Windows Server 2012 R2 Windows Server 2016 和 Windows Server 2019 的服务器上安装。
注意
ATA 中心不支持Windows Server核心。
ATA 中心可以安装在属于域或工作组的服务器上。
在安装运行 Windows 2012 R2 的 ATA Center 之前,请确认已安装以下更新: KB2919355。
可以通过运行以下Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb2919355]。
支持将 ATA 中心安装为虚拟机。
服务器规范
在物理服务器上工作时,ATA 数据库需要在 BIOS 中 禁用 非统一内存访问 (NUMA) 。 系统可能会将 NUMA 称为节点交错,在这种情况下,必须 启用 节点交错才能禁用 NUMA。 有关详细信息,请参阅 BIOS 文档。
为了获得最佳性能,请将 ATA 中心的 电源选项 设置为 “高性能”。
要监视的域控制器数量和每个域控制器上的负载决定了所需的服务器规格。 有关详细信息,请参阅 ATA 容量规划。
对于 Windows 操作系统 2008R2 和 2012, 在多处理器组 模式下不支持网关。 有关多处理器组模式的详细信息,请参阅 故障排除。
时间同步
ATA 中心服务器、ATA 网关服务器和域控制器必须在五分钟内将时间同步到彼此。
网络适配器
应具有以下设置:
如果在 VLAN 环境中使用物理服务器,则至少 (一个网络适配器,建议使用两个网络适配器)
用于在端口 443 上使用 SSL 加密的 ATA 中心和 ATA 网关之间的通信的 IP 地址。 (ATA 服务绑定到 ATA 中心在端口 443.)
端口
下表列出了为使 ATA 中心正常工作而必须打开的最小端口。
| 协议 | Transport | 端口 | To/From | 方向 |
|---|---|---|---|---|
| SSL (ATA 通信) | TCP | 443 | ATA 网关 | 入境 |
| HTTP (可选) | TCP | 80 | 公司网络 | 入境 |
| HTTPS | TCP | 443 | 公司网络和 ATA 网关 | 入境 |
| SMTP (可选) | TCP | 25 | SMTP 服务器 | 出站 |
| SMTPS (可选) | TCP | 465 | SMTP 服务器 | 出站 |
| Syslog (可选) | TCP/UPS/TLS (可配置) | 514 (默认) | Syslog 服务器 | 出站 |
| LDAP | TCP 和 UDP | 389 | 域控制器 | 出站 |
| LDAPS (可选) | TCP | 636 | 域控制器 | 出站 |
| DNS | TCP 和 UDP | 53 | DNS 服务器 | 出站 |
| 如果已加入域) ,则 Kerberos (可选 | TCP 和 UDP | 88 | 域控制器 | 出站 |
| 如果已加入域) ,则 Windows 时间 (可选 | UDP | 123 | 域控制器 | 出站 |
注意
需要 LDAP 来测试 ATA 网关和域控制器之间要使用的凭据。 从 ATA 中心到域控制器执行测试,以测试这些凭据的有效性,之后 ATA 网关使用 LDAP 作为其正常解析过程的一部分。
证书
若要更快地安装和部署 ATA,可以在安装过程中安装自签名证书。 如果选择使用自签名证书,建议在初始部署后将自签名证书替换为 ATA 中心要使用的内部证书颁发机构的证书。
确保 ATA 中心和 ATA 网关有权访问 CRL 分发点。 如果他们无法访问 Internet,请按照 手动导入 CRL 的过程进行操作,并注意为整个链安装所有 CRL 分发点。
证书必须具有:
- 私钥
- 加密服务提供程序 (CSP) 或密钥存储提供程序 (KSP)
- 2048 位的公钥长度
- 为 KeyEncipherment 和 ServerAuthentication 用法标志设置的值
- KeySpec (KeyNumber) “KeyExchange” (AT_KEYEXCHANGE) 的值。 不支持值“Signature” (AT_SIGNATURE) 。
- 所有网关计算机都必须能够完全验证并信任所选的中心证书。
例如,可以使用标准 Web 服务器 或 计算机 模板。
警告
不支持续订现有证书的过程。 续订证书的唯一方法是创建新证书并将 ATA 配置为使用新证书。
注意
- 如果要从其他计算机访问 ATA 控制台,请确保这些计算机信任 ATA 中心正在使用的证书,否则在访问登录页之前,会收到一个警告页面,指出网站的安全证书存在问题。
- 从 ATA 版本 1.8 开始,ATA 网关和轻型网关将管理自己的证书,无需管理员交互来管理它们。
ATA 网关要求
本部分列出了 ATA 网关的要求。
一般信息
ATA 网关支持在运行 Windows Server 2012 R2 或 Windows Server 2016 和 Windows Server 2019 的服务器上安装, (包括服务器核心) 。 ATA 网关可以安装在属于域或工作组的服务器上。 ATA 网关可用于监视域功能级别为 Windows 2003 及更高级别的域控制器。
在安装运行 Windows 2012 R2 的 ATA 网关之前,请确认已安装以下更新: KB2919355。
可以通过运行以下Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb2919355]。
有关将虚拟机与 ATA 网关配合使用的信息,请参阅 配置端口镜像。
注意
至少需要 5 GB 的空间,建议使用 10 GB 的空间。 这包括 ATA 二进制文件、ATA 日志 和性能日志所需的空间。
服务器规范
为了获得最佳性能,请将 ATA 网关的 电源选项 设置为 “高性能”。
ATA 网关可以支持监视多个域控制器,具体取决于传入和传出域控制器的网络流量。
若要详细了解动态内存或任何其他虚拟机内存管理功能,请参阅 动态内存。
有关 ATA 网关硬件要求的详细信息,请参阅 ATA 容量规划。
时间同步
ATA 中心服务器、ATA 网关服务器和域控制器必须在五分钟内将时间同步到彼此。
网络适配器
ATA 网关至少需要一个管理适配器和至少一个捕获适配器:
管理适配器 - 用于公司网络上的通信。 应使用以下设置配置此适配器:
包括默认网关的静态 IP 地址
首选 DNS 服务器和备用 DNS 服务器
此连接的 DNS 后缀应是所监视的每个域的 DNS 名称。
注意
如果 ATA 网关是域的成员,则这可以自动配置。
捕获适配器 - 用于捕获传入和传出域控制器的流量。
重要
- 将捕获适配器的端口镜像配置为域控制器网络流量的目标。 有关详细信息,请参阅 配置端口镜像。 通常,需要与网络或虚拟化团队合作来配置端口镜像。
- 为没有默认网关和 DNS 服务器地址的环境配置静态不可路由 IP 地址。 例如,1.1.1.1/32。 这可确保捕获网络适配器可以捕获最大流量,并且使用管理网络适配器发送和接收所需的网络流量。
端口
下表列出了 ATA 网关需要在管理适配器上配置的最小端口:
| 协议 | Transport | 端口 | To/From | 方向 |
|---|---|---|---|---|
| LDAP | TCP 和 UDP | 389 | 域控制器 | 出站 |
| 安全 LDAP (LDAPS) | TCP | 636 | 域控制器 | 出站 |
| LDAP 到全局编录 | TCP | 3268 | 域控制器 | 出站 |
| LDAPS 到全局编录 | TCP | 3269 | 域控制器 | 出站 |
| Kerberos | TCP 和 UDP | 88 | 域控制器 | 出站 |
| Netlogon (SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 网络上的所有设备 | 出站 |
| Windows 时间配置 | UDP | 123 | 域控制器 | 出站 |
| DNS | TCP 和 UDP | 53 | DNS 服务器 | 出站 |
| NTLM over RPC | TCP | 135 | 网络上的所有设备 | 两者都有 |
| NetBIOS | UDP | 137 | 网络上的所有设备 | 两者都有 |
| SSL | TCP | 443 | ATA 中心 | 出站 |
| Syslog (可选) | UDP | 514 | SIEM 服务器 | 入境 |
注意
在 ATA 网关完成的解析过程中,需要从 ATA 网关在网络上的设备上打开以下入站端口。
- NTLM over RPC (TCP Port 135)
- NetBIOS (UDP 端口 137)
- 使用目录服务用户帐户,ATA 网关使用 SAM-R (网络登录) 查询组织中本地管理员的终结点,以生成 横向移动路径图。 有关详细信息,请参阅 配置 SAM-R 所需的权限。
- 以下端口需要从 ATA 网关在网络上的设备上打开入站端口:
- NTLM over RPC (TCP Port 135) for resolution
- 用于解析目的的 NetBIOS (UDP 端口 137)
ATA 轻型网关要求
本部分列出了 ATA 轻型网关的要求。
一般信息
ATA 轻型网关支持在运行 Windows Server 2008 R2 SP1 的域控制器上安装 (不包括服务器核心) 、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016和Windows Server2019 (包括 Core,但不包括 Nano) 。
域控制器可以是只读域控制器 (RODC)。
在运行 Windows Server 2012 R2 的域控制器上安装 ATA 轻型网关之前,请确认已安装以下更新:KB2919355。
可以通过运行以下Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb2919355]
如果安装适用于 Windows Server 2012 R2 Server Core,则还应安装以下更新: KB3000850。
可以通过运行以下Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb3000850]
在安装过程中,已安装 .Net Framework 4.6.1,并可能导致域控制器重新启动。
注意
至少需要 5 GB 的空间,建议使用 10 GB 的空间。 这包括 ATA 二进制文件、ATA 日志 和性能日志所需的空间。
服务器规范
ATA 轻型网关要求域控制器上安装至少 2 个核心和 6 GB RAM。 为了获得最佳性能,请将 ATA 轻型网关的 “电源选项” 设置为 “高性能”。 ATA 轻型网关可以部署在各种负载和大小的域控制器上,具体取决于传入和传出域控制器的网络流量以及该域控制器上安装的资源量。
若要详细了解动态内存或任何其他虚拟机内存管理功能,请参阅 动态内存。
有关 ATA 轻型网关硬件要求的详细信息,请参阅 ATA 容量规划。
时间同步
ATA 中心服务器、ATA 轻型网关服务器和域控制器必须在五分钟内相互同步。
网络适配器
ATA 轻型网关监视域控制器的所有网络适配器上的本地流量。
部署后,如果想要修改要监视的网络适配器,可以使用 ATA 控制台。
注意
在启用了 Broadcom 网络适配器组合的运行 Windows 2008 R2 的域控制器上不支持轻型网关。
端口
下表列出了 ATA 轻型网关所需的最小端口:
| 协议 | Transport | 端口 | To/From | 方向 |
|---|---|---|---|---|
| DNS | TCP 和 UDP | 53 | DNS 服务器 | 出站 |
| NTLM over RPC | TCP | 135 | 网络上的所有设备 | 两者都有 |
| NetBIOS | UDP | 137 | 网络上的所有设备 | 两者都有 |
| SSL | TCP | 443 | ATA 中心 | 出站 |
| Syslog (可选) | UDP | 514 | SIEM 服务器 | 入境 |
| Netlogon (SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 网络上的所有设备 | 出站 |
注意
在 ATA 轻型网关执行的解析过程中,需要从 ATA 轻型网关在网络上的设备上打开以下入站端口。
- NTLM over RPC
- NetBIOS
- 使用目录服务用户帐户,ATA 轻型网关使用 SAM-R (网络登录) 查询组织中的本地管理员终结点,以便生成 横向移动路径图。 有关详细信息,请参阅 配置 SAM-R 所需的权限。
- 以下端口需要从 ATA 网关在网络上的设备上打开入站端口:
- NTLM over RPC (TCP Port 135) for resolution
- 用于解析目的的 NetBIOS (UDP 端口 137)
动态内存
注意
当将 ATA 服务作为虚拟机 (VM 运行时,) 服务需要将所有内存一直分配给 VM。
| 在 上运行的 VM | 说明 |
|---|---|
| Hyper-V | 确保未为 VM 启用 动态内存 。 |
| VMWare | 确保配置的内存量和预留内存量相同,或者在 VM 设置中选择以下选项 – 保留所有来宾内存 (所有锁定) 。 |
| 其他虚拟化主机 | 请参阅供应商提供的文档,了解如何确保随时将内存完全分配给 VM。 |
如果作为虚拟机运行 ATA 中心,请在创建新检查点之前关闭服务器,以避免潜在的数据库损坏。
ATA 控制台
通过浏览器访问 ATA 控制台,支持浏览器和设置:
Internet Explorer 版本 10 及更高版本
Microsoft Edge
Google Chrome 40 及更高版本
最小屏幕宽度分辨率为 1700 像素