ATA 容量規劃
適用於:Advanced Threat Analytics 1.9 版
本文可協助您判斷監視網路所需的 ATA 伺服器數目。 它可協助您估計所需的 ATA 閘道和/或 ATA 輕量型閘道數量,以及 ATA 中心和 ATA 閘道的伺服器容量。
注意事項
只要符合本文所述的效能需求,ATA 中心就可以部署在任何 IaaS 廠商上。
使用重設大小工具
判斷 ATA 部署容量的建議最簡單方式是使用 ATA 重設大小工具。 執行 ATA 重設大小工具,並從 Excel 檔案結果中,使用下列欄位來判斷您需要的 ATA 容量:
ATA 中心 CPU 和記憶體:比對 ATA 中心數據表結果檔中的 [忙碌封包/秒] 欄位與 ATA 中心資料表中的 [每秒封包數] 字段。
ATA 中心記憶體:比對 ATA 中心數據表結果檔案中的 Avg Packets/sec 欄位與 ATA 中心數據表中的 PACKETS PER SECOND 欄位。
ATA 閘道:根據您選擇的閘道類型,比對結果檔案中 ATA 閘道資料表中的 [忙碌封包/秒] 字段與 ATA 閘道數據表或 ATA 輕量型閘道資料表中的 [每秒封包數] 字段。
注意事項
由於不同的環境會有所不同,且具有多個特殊和非預期的網路流量特性,因此在您一開始部署 ATA 並執行重設大小工具之後,您可能需要調整和微調容量的部署。
如果您無法使用 ATA 重設大小工具,請以低收集間隔手動收集封包/秒計數器資訊, (大約 5 秒) 所有域控制器 24 小時。 然後,針對每個域控制器計算每日平均值和最忙碌期間 (平均) 15 分鐘。 下列各節提供如何從一個域控制器收集封包/秒計數器的指示。
注意事項
由於不同的環境會有所不同,且具有多個特殊和非預期的網路流量特性,因此在您一開始部署 ATA 並執行重設大小工具之後,您可能需要調整和微調容量的部署。
ATA 中心大小調整
ATA 中心需要至少 30 天的數據,才能進行用戶行為分析。
| 來自所有 DC 的每秒封包數 | CPU (cores*) | 記憶體 (GB) | 每日資料庫記憶體 (GB) | 每月的資料庫記憶體 (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*這包括實體核心,而非超線程核心。
**尖峰數 (平均數位)
注意事項
- ATA 中心可以處理來自所有受監視域控制器的每秒 100 萬封包匯總上限。 在某些環境中,相同的 ATA 中心可以處理高於 1M 的整體流量,而某些環境可能會超過 ATA 容量。 請連絡我們, azureatpfeedback@microsoft.com 以取得規劃和估計大型環境的協助。
- 如果您的可用空間至少達到 20% 或 200 GB,則會刪除最舊的數據集合。 如果無法成功將數據收集縮減到此層級,將會記錄警示。 ATA 會繼續運作,直到達到 5% 或 50 GB 可用的閾值為止。 此時,ATA 將會停止填入資料庫,併發出額外的警示。
- 如果符合本文所述的效能需求,您可以在任何 IaaS 廠商上部署 ATA 中心。
- 讀取和寫入活動的記憶體延遲應該低於 10 毫秒。
- 讀取和寫入活動之間的比率約為每秒 100,000 個封包的 1:3,而高於每秒 100,000 個封包的 1:6。
- 以虛擬機 (VM) 執行 Center 時,中心需要隨時將所有記憶體配置給 VM。 如需將 ATA 中心作為虛擬機執行的詳細資訊,請參閱 ATA 中心需求。
- 為了達到最佳效能,請將 ATA 中心的 [電源選項 ] 設定為 [高效能]。
- 在實體伺服器上工作時,ATA 資料庫需要您 停用 BIOS 中 NUMA) (非統一記憶體存取。 您的系統可能會將 NUMA 稱為「節點交錯」,在此情況下,您必須 啟用 節點交錯以停用 NUMA。 如需詳細資訊,請參閱您的BIOS檔。 當 ATA 中心在虛擬伺服器上執行時,這不相關。
為您的部署選擇正確的閘道類型
在 ATA 部署中,支援任何 ATA 閘道型態的組合:
- 僅限 ATA 閘道
- 僅限 ATA 輕量型閘道
- 兩者的組合
決定閘道部署類型時,請考慮下列優點:
| 閘道類型 | 優點 | 成本 | 部署拓撲 | 域控制器使用 |
|---|---|---|---|---|
| ATA 閘道 | 頻外部署讓攻擊者更難發現 ATA 存在 | 較高 | 與域控制器一起安裝 (超出頻) | 每秒最多支援 50,000 個封包 |
| ATA 輕量型閘道 | 不需要專用伺服器和埠鏡像設定 | 較低 | 安裝在域控制器上 | 每秒最多支援 10,000 個封包 |
以下是 ATA 輕量型閘道應涵蓋域控制器的案例範例:
分支網站
部署在雲端中的虛擬域控制器 (IaaS)
以下是 ATA 閘道應涵蓋域控制器的案例範例:
- 總部數據中心 (擁有每秒超過 10,000 個封包的域控制器)
ATA 輕量型閘道大小調整
ATA 輕量型閘道可以根據域控制器產生的網路流量,支援監視一個域控制器。
| 每秒封包* | CPU (核心**) | 記憶體 (GB) } |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*特定 ATA 輕量型閘道所監視的域控制器每秒封包總數。
**此域控制器已安裝的非超線程核心總數。
雖然 ATA 輕量型閘道可接受超線程,但規劃容量時,您應該計算實際核心,而不是超線程核心。
此域控制器已安裝的總記憶體數量。
注意事項
ATA 閘道大小調整
決定要部署多少 ATA 閘道時,請考慮下列問題。
-
Active Directory 樹系和網域
ATA 可以監視來自單一 Active Directory 樹系之多個網域的流量。 監視多個 Active Directory 樹系需要個別的 ATA 部署。 請勿設定單一 ATA 部署來監視來自不同樹系之域控制器的網路流量。 -
埠鏡像
埠鏡像考慮可能需要您為每個數據閘道或分支月臺部署多個 ATA 閘道。 -
容量
ATA 閘道可以支援監視多個域控制器,視受監視域控制器的網路流量而定。
| 每秒封包* | CPU (核心**) | 記憶體 (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*特定 ATA 閘道在一天中最忙碌的一小時內,每秒從特定 ATA 閘道監視的所有域控制器平均封包數目總計。
*域控制器埠鏡像流量的總數不能超過 ATA 閘道上擷取 NIC 的容量。
**必須停用超線程。
注意事項