ATA 先决条件
适用于:高级威胁分析版本 1.9
本文介绍在环境中成功部署 ATA 所要满足的要求。
注意
若要了解如何计划资源和容量,请参阅 ATA 容量计划。
ATA 由 ATA 中心、ATA 网关和/或 ATA 轻型网关组成。 有关此体系结构组件的详细信息,请参阅 ATA 体系架构。
ATA 系统适用于 Active Directory 林边界,并支持 Windows 2003 及更高版本的林功能级别(FFL)。
准备工作:本节列出了在开始安装 ATA 之前应收集的信息以及应拥有的帐户和网络实体。
ATA 中心:本节列出了 ATA 中心硬件、软件要求以及需要在 ATA 中心服务器上配置的设置。
ATA 网关:本节列出了 ATA 网关硬件、软件要求以及需要在 ATA 网关服务器上配置的设置。
ATA 轻型网关:本节列出了 ATA 轻型网关硬件和软件要求。
ATA 控制台:本节列出了运行 ATA 控制台的浏览器所需满足的要求。
准备工作
本节列出了在开始安装 ATA 前应收集的信息,以及要准备好的帐户和网络实体。
对受监视域中的所有对象具有读取权限的用户帐户和密码。
注意
如果在域中的各个组织单位 (OU) 上设置了自定义 ACL,请确保所选用户对这些 OU 具有读取权限。
请勿在 ATA 网关或轻型网关上安装 Microsoft Message Analyzer。 消息分析器驱动程序与 ATA 网关和轻型网关驱动程序冲突。 如果在 ATA 网关上运行 Wireshark,则需要在停止 Wireshark 捕获后重启 Microsoft 高级威胁分析网关服务。 否则,网关将停止捕获流量。 在 ATA 轻型网关上运行 Wireshark 不会干扰 ATA 轻型网关。
建议:用户应对“已删除的对象”容器具有只读权限。 这使 ATA 可以检测域中对象的批量删除。 有关配置已删除对象容器只读权限的信息,请参阅查看或设置目录对象的权限一文中的“更改已删除对象容器的权限”部分。
可选:没有网络活动的用户的用户帐户。 可将此帐户配置为 ATA Honeytoken 用户。 要将帐户配置为 Honeytoken 用户,只需要用户名即可。 有关 Honeytoken 配置信息,请参阅配置 IP 地址排除和 Honeytoken 用户。
可选:除了收集和分析传入和传出域控制器的网络流量外,ATA 还可以使用 Windows 事件 4776、4732、4733、4728、4729、4756 及 4757 进一步增强 ATA 哈希传递、暴力破解、敏感组修改及蜜令牌检测。 可以从 SIEM 接收这些事件,也可以通过在域控制器中设置 Windows 事件转发来接收这些事件。 收集的事件为 ATA 提供了更多信息,而这些信息无法通过域控制器网络流量来获得。
ATA 中心所需满足的要求
本节列出了 ATA 中心所需满足的要求。
常规
ATA 中心支持在运行 Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019 的服务器上安装。
注意
ATA 中心不支持 Windows Server Core。
ATA 中心可以安装在域或工作组成员的服务器上。
在安装运行 Windows 2012 R2 的 ATA 中心之前,请确认已安装以下更新:KB2919355。
可运行以下 Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb2919355]。
支持将 ATA 中心安装为虚拟机。
服务器规范
使用物理服务器上时,ATA 数据库需要禁用 BIOS 中的非统一内存访问 (NUMA)。 系统可能将 NUMA 视为节点交错,在这种情况下,必须启用节点交错才能禁用 NUMA。 有关详细信息,请参阅 BIOS 文档。
为了获得最佳性能,请将 ATA 中心的“电源选项”设置为“高性能”。
要监视的域控制器数量以及每个域控制器上的负载决定了所需的服务器规范。 有关详细信息,请参阅 ATA 容量计划。
对于 Windows 操作系统 2008R2 和 2012,多处理器组模式不支持网关。 有关多处理器组模式的详细信息,请参阅故障排除。
时间同步
ATA 中心服务器、ATA 网关服务器和域控制器的时间必须同步到彼此相差五分钟之内。
网络适配器
应具有以下设置:
至少一个网络适配器(如果在 VLAN 环境下使用物理服务器,建议使用两个网络适配器)
用于在端口 443 上使用 SSL 加密的 ATA 中心与 ATA 网关之间通信的 IP 地址。 (ATA 服务绑定到 ATA 中心在端口 443 上拥有的所有 IP 地址。)
端口
下表列出了 ATA 中心正常运行必须打开的最少端口数。
| 协议 | 运输 | 端口 | 到/从 | 方向 |
|---|---|---|---|---|
| SSL(ATA 通信) | TCP | 443 | ATA 网关 | 入站 |
| HTTP(可选) | TCP | 80 | 公司网络 | 入站 |
| HTTPS | TCP | 443 | 公司网络和 ATA 网关 | 入站 |
| SMTP(可选) | TCP | 25 | SMTP 服务器 | Outbound |
| SMTPS(可选) | TCP | 465 | SMTP 服务器 | 出站 |
| Syslog(可选) | TCP/UPS/TLS(可配置) | 514(默认) | Syslog 服务器 | 出站 |
| LDAP | TCP 和 UDP | 389 | 域控制器 | 出站 |
| LDAPS(可选) | TCP | 636 | 域控制器 | 出站 |
| DNS | TCP 和 UDP | 53 | DNS 服务器 | 出站 |
| Kerberos(如果已加入域,则为可选) | TCP 和 UDP | 88 | 域控制器 | 出站 |
| Windows 时间(如果已加入域,则为可选) | UDP | 123 | 域控制器 | 出站 |
注意
需要 LDAP 才能测试 ATA 网关和域控制器之间要使用的凭据。 从 ATA 中心到域控制器进行测试,以测试凭据的有效性,之后 ATA 网关将 LDAP 作为其正常解析过程的一部分。
证书
为了更快地安装和部署 ATA,可以在安装过程中安装自签名证书。 如果选择使用自签名证书,建议在初始部署后将自签名证书替换为 ATA 中心要使用的内部证书颁发机构的证书。
确保 ATA 中心和 ATA 网关有权访问 CRL 分发点。 如果没有 Internet 访问权限,请按照步骤手动导入 CRL,并注意安装整个链的所有 CRL 分发点。
证书须具有:
- 私钥
- 加密服务提供程序 (CSP) 或密钥存储提供程序 (KSP) 的提供程序类型
- 长度为 2048 位的公钥
- 为 KeyEncipherment 和 ServerAuthentication 用法标志设置的值
- "KeyExchange" (AT_KEYEXCHANGE) 的 KeySpec (KeyNumber) 值。 不支持值 "Signature" (AT_SIGNATURE)。
- 所有网关计算机必须能够完全验证和信任所选中心证书。
例如,可以使用标准“Web 服务器”或“计算机模板”。
警告
不支持续订现有证书的流程。 续订证书的唯一方法是创建新证书并将 ATA 配置为使用新证书。
注意
- 如果选择从其他计算机访问 ATA 控制台,请确保这些计算机信任 ATA 中心使用的证书,否则在进入登录页面之前,会看到一个警告页面,指出网站的安全证书存在问题。
- 从 ATA 版本 1.8 开始,ATA 网关和轻型网关能够自动管理证书,管理员无需进行任何操作。
ATA 网关所需满足的要求
本节列出了 ATA 网关的要求。
常规
ATA 网关支持在运行 Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019(包括 Server Core)的服务器上安装。 ATA 网关可以安装在域或工作组成员的服务器上。 ATA 网关可用于监视具有 Windows 2003 及更高版本的域功能级别的域控制器。
在安装运行 Windows 2012 R2 的 ATA 网关之前,请确认已安装以下更新:KB2919355。
可运行以下 Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb2919355]。
有关在 ATA 网关中使用虚拟机的信息,请参阅配置端口镜像。
注意
最少需要 5 GB 的磁盘空间,建议使用 10 GB。 这包括 ATA 二进制文件、ATA 日志和性能日志所需的空间。
服务器规范
为了获得最佳性能,请将 ATA 网关的“电源选项”设置为“高性能”。
ATA 网关可支持监视多个域控制器,具体取决于传入和传出域控制器的网络流量大小。
要详细了解动态内存或任何其他虚拟机内存管理功能,请参阅动态内存。
有关 ATA 网关硬件要求的详细信息,请参阅 ATA 容量计划。
时间同步
ATA 中心服务器、ATA 网关服务器和域控制器的时间必须同步到彼此相差五分钟之内。
网络适配器
ATA 网关需要至少一个管理适配器和一个捕获适配器:
管理适配器 – 用于企业网络上的通信。 此适配器应配置以下设置:
静态 IP 地址(包括默认网关)
首选和备用 DNS 服务器
此连接的 DNS 后缀应为每个受监视域的域的 DNS 名称。
注意
如果 ATA 网关是域的成员,则可能会自动配置。
捕获适配器 – 用于捕获传入和传出域控制器的流量。
重要
- 将捕获适配器的端口镜像配置为域控制器网络流量的目标。 有关详细信息,请参阅配置端口镜像。 通常,需要与网络或虚拟化团队协作来配置端口镜像。
- 为环境配置一个静态非路由 IP 地址,没有默认网关也没有 DNS 服务器地址。 例如:1.1.1.1/32。 这可确保捕获网络适配器可以捕获最大流量,并确保管理网络适配器用于发送和接收所需的网络流量。
端口
下表列出了 ATA 网关要求在管理适配器上配置的最低端口数:
| 协议 | 运输 | 端口 | 到/从 | 方向 |
|---|---|---|---|---|
| LDAP | TCP 和 UDP | 389 | 域控制器 | 出站 |
| 安全 LDAP (LDAPS) | TCP | 636 | 域控制器 | 出站 |
| LDAP 至全局编录 | TCP | 3268 | 域控制器 | 出站 |
| LDAPS 至全局编录 | TCP | 3269 | 域控制器 | 出站 |
| Kerberos | TCP 和 UDP | 88 | 域控制器 | Outbound |
| Netlogon(SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 网络上的所有设备 | 出站 |
| Windows 时间 | UDP | 123 | 域控制器 | Outbound |
| DNS | TCP 和 UDP | 53 | DNS 服务器 | Outbound |
| 基于 RPC 的 NTLM | TCP | 135 | 网络上的所有设备 | 两者 |
| NetBIOS | UDP | 137 | 网络上的所有设备 | 推送、请求和匿名 |
| SSL | TCP | 443 | ATA 中心 | 出站 |
| Syslog(可选) | UDP | 514 | SIEM 服务器 | 入站 |
注意
作为 ATA 网关完成解析过程的一部分,需要从 ATA 网关在网络上的设备上打开以下入站端口。
- NTLM over RPC(TCP 端口 135)
- NetBIOS(UDP 端口 137)
- 使用目录服务用户帐户,ATA 网关使用 SAM-R(网络登录)查询组织中的终结点以获取本地管理员信息,从而构建横向移动路径图。 有关详细信息,请参阅配置 SAM-R 所需的权限。
- 需要从 ATA 网关在网络上的设备上打开以下入站端口:
- 用于解析目的 NTLM over RPC(TCP 端口 135)
- 用于解析目的 NetBIOS (UDP 端口 137)
ATA 轻型网关所需满足的要求
本节列出了 ATA 轻型网关所需满足的要求。
常规
ATA 轻型网关支持在运行 Windows Server 2008 R2 SP1(不包括 Server Core)、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019(包括 Core 但不包括 Nano)的域控制器上安装。
域控制器可以是只读域控制器 (RODC)。
在运行 Windows Server 2012 R2 的域控制器上安装 ATA 轻型网关之前,请确认已安装以下更新:KB2919355。
可运行以下 Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb2919355]
如果安装用于 Windows Server 2012 R2 Server Core,则还应安装以下更新:3000850。
可运行以下 Windows PowerShell cmdlet 来检查:[Get-HotFix -Id kb3000850]
安装期间,会安装 .Net Framework 4.6.1,这可能导致域控制器重新启动。
注意
最少需要 5 GB 的磁盘空间,建议使用 10 GB。 这包括 ATA 二进制文件、ATA 日志和性能日志所需的空间。
服务器规范
ATA 轻型网关要求在域控制器上至少安装 2 个核心和 6 GB 的 RAM。 为了获得最佳性能,请将 ATA 轻型网关的“电源选项”设置为“高性能”。 ATA 轻型网关可以在各种负载和大小的域控制器上部署,具体取决于传入和传出域控制器的网络流量以及该域控制器上安装的资源量。
要详细了解动态内存或任何其他虚拟机内存管理功能,请参阅动态内存。
有关 ATA 轻型网关硬件要求的详细信息,请参阅 ATA 容量计划。
时间同步
ATA 中心服务器、ATA 轻型网关服务器和域控制器的时间必须同步到彼此相差五分钟之内。
网络适配器
ATA 轻型网关监视所有域控制器网络适配器上的本地流量。
部署后,如果需要修改监视的网络适配器,可以使用 ATA 控制台。
注意
不支持在启用了 Broadcom 网络适配器组合的 Windows 2008 R2 域控制器上运行轻型网关。
端口
下表列出了 ATA 轻型网关所需的最少端口数:
| 协议 | 运输 | 端口 | 到/从 | 方向 |
|---|---|---|---|---|
| DNS | TCP 和 UDP | 53 | DNS 服务器 | 出站 |
| 基于 RPC 的 NTLM | TCP | 135 | 网络上的所有设备 | 两者 |
| NetBIOS | UDP | 137 | 网络上的所有设备 | 两者 |
| SSL | TCP | 443 | ATA 中心 | 出站 |
| Syslog(可选) | UDP | 514 | SIEM 服务器 | 入站 |
| Netlogon(SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 网络上的所有设备 | 出站 |
注意
作为 ATA 轻型网关执行的解析过程的一部分,需要从 ATA 轻型网关在网络上的设备上打开以下端口入站。
- 基于 RPC 的 NTLM
- NetBIOS
- 使用目录服务用户帐户,ATA 轻型网关使用 SAM-R(网络登录)查询组织中的终结点以获取本地管理员信息,从而构建横向移动路径图。 有关详细信息,请参阅配置 SAM-R 所需的权限。
- 需要从 ATA 网关在网络上的设备上打开以下入站端口:
- 用于解析目的 NTLM over RPC(TCP 端口 135)
- 用于解析目的 NetBIOS (UDP 端口 137)
动态内存
注意
将 ATA 服务作为虚拟机 (VM) 运行时,服务要求始终将所有内存分配给 VM。
| VM 运行位置 | 说明 |
|---|---|
| Hyper-V | 确保 VM 未启用“启用动态内存” 。 |
| VMWare | 确保配置的内存量和保留的内存量相同,或在 VM 设置中选择以下选项 – 保留所有来宾内存(全部锁定)。 |
| 其他虚拟化主机 | 请参阅供应商提供的文档,了解如何确保始终将内存完全分配给虚拟机。 |
如果将 ATA 中心作为虚拟机运行,请在创建新的检查点之前关闭服务器,以避免潜在的数据库损坏。
ATA 控制台
通过浏览器访问 ATA 控制台,支持以下浏览器和设置:
Internet Explorer 版本 10 及更高版本
Microsoft Edge
Google Chrome 40 及更高版本
屏幕宽度分辨率最低为 1700 像素