ATA 必要條件
適用於:Advanced Threat Analytics 1.9 版
本文說明在您的環境中成功部署 ATA 的需求。
注意事項
如需如何規劃資源和容量的資訊,請參閱 ATA 容量規劃。
ATA 是由 ATA 中心、ATA 閘道和/或 ATA 輕量型閘道所組成。 如需 ATA 元件的詳細資訊,請參閱 ATA 架構。
ATA 系統可在 Active Directory 樹系界限上運作,並支援 Windows 2003 和更新版本的 FFL (FFL) 樹系功能等級。
開始之前:本節列出開始安裝 ATA 之前,您應該收集的資訊,以及您應該擁有的帳戶和網路實體。
ATA 中心:本節列出 ATA 中心硬體、軟體需求,以及您需要在 ATA 中心伺服器上設定的設定。
ATA 閘道:本節列出 ATA 閘道硬體、軟體需求,以及您需要在 ATA 閘道伺服器上設定的設定。
ATA 輕量型閘道:本節列出 ATA 輕量型閘道硬體和軟體需求。
ATA 控制台:本節列出執行 ATA 控制台的瀏覽器需求。
開始之前
本節列出開始安裝 ATA 之前,您應該收集的資訊,以及您應該擁有的帳戶和網路實體。
具有受監視網域中所有物件讀取許可權的用戶帳戶和密碼。
注意事項
如果您已在網域中的各種組織單位 (OU) 上設定自定義 ACL,請確定選取的使用者具有這些 OU 的讀取許可權。
請勿在 ATA 閘道或輕量型閘道上安裝Microsoft訊息分析器。 訊息分析器驅動程式與 ATA 閘道和輕量型閘道驅動程式衝突。 如果您在 ATA 閘道上執行 Wireshark,則必須在停止 Wireshark 擷取之後,重新啟動Microsoft進階威脅分析閘道服務。 如果沒有,閘道會停止擷取流量。 在 ATA 輕量型閘道上執行 Wireshark 不會干擾 ATA 輕量型閘道。
建議:用戶應具有 [刪除的物件] 容器的只讀許可權。 這可讓 ATA 偵測網域中物件的大量刪除。 如需在刪除的物件容器上設定唯讀許可權的資訊,請參閱檢視或設定目錄對象的許可權一文中的變更已刪除物件容器的許可權一節。
選擇性:沒有網路活動的用戶帳戶。 此帳戶可設定為 ATA Honeytoken 使用者。 若要將帳戶設定為 Honeytoken 使用者,只需要用戶名稱。 如需 Honeytoken 設定資訊, 請參閱設定 IP 位址排除和 Honeytoken 使用者。
選擇性:除了收集和分析進出域控制器的網路流量之外,ATA 還可以使用 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757 來進一步增強 ATA 傳遞哈希、暴力密碼破解、修改敏感性群組和 Honey Tokens 偵測。 您可以從您的 SIEM 接收這些事件,或從域控制器設定 Windows 事件轉送。 收集的事件會提供 ATA 無法透過域控制器網路流量取得的其他資訊。
ATA 中心需求
本節列出 ATA 中心的需求。
一般
ATA 中心支援在執行 Windows Server 2012 R2 Windows Server 2016 和 Windows Server 2019 的伺服器上安裝。
注意事項
ATA 中心不支援 Windows Server 核心。
ATA 中心可以安裝在屬於網域或工作組成員的伺服器上。
安裝執行 Windows 2012 R2 的 ATA 中心之前,請確認已安裝下列更新: KB2919355。
您可以執行下列 Windows PowerShell Cmdlet 來檢查:[Get-HotFix -Id kb2919355]。
支援將 ATA 中心安裝為虛擬機。
伺服器規格
在實體伺服器上工作時,ATA 資料庫必須停用 BIOS 中 NUMA) (非統 一記憶體存取。 您的系統可能會將 NUMA 稱為「節點交錯」,在此情況下,您必須 啟 用節點交錯,才能停用 NUMA。 如需詳細資訊,請參閱您的BIOS檔。
為了達到最佳效能,請將 ATA 中心的 [電源選項 ] 設定為 [高效能]。
您要監視的域控制器數目,以及每個域控制器的負載會決定所需的伺服器規格。 如需詳細資訊,請參閱 ATA 容量規劃。
針對 Windows 作業系統 2008R2 和 2012, 多處理器群組 模式不支援閘道。 如需多處理器群組模式的詳細資訊,請參閱 疑難解答。
時間同步處理
ATA 中心伺服器、ATA 閘道伺服器和域控制器的時間必須同步到彼此相隔五分鐘內。
網路配接器
您應該設定下列專案:
如果在 VLAN 環境中使用實體伺服器,則至少 (一個網路適配器,建議使用兩個網路適配器)
在埠 443 上使用 SSL 加密的 ATA 中心與 ATA 閘道之間通訊的 IP 位址。 (ATA 服務會系結至 ATA 中心在埠 443.) 上擁有的所有 IP 位址
連接埠
下表列出必須開啟才能讓 ATA 中心正常運作的最小埠。
| Protocol (通訊協定) | 傳輸 | 連接埠 | 來回 | 方向 |
|---|---|---|---|---|
| SSL (ATA 通訊) | TCP | 443 | ATA 閘道 | 入境 |
| HTTP (選擇性) | TCP | 80 | 公司網路 | 入境 |
| HTTPS | TCP | 443 | 公司網路和 ATA 閘道 | 入境 |
| SMTP (選擇性) | TCP | 25 | SMTP 伺服器 | 出埠 |
| SMTPS (選擇性) | TCP | 465 | SMTP 伺服器 | 出埠 |
| Syslog (選擇性) | TCP/UPS/TLS (可設定) | 514 (預設) | Syslog 伺服器 | 出埠 |
| LDAP | TCP 和 UDP | 389 | 網域控制站 | 出埠 |
| LDAPS (選擇性) | TCP | 636 | 網域控制站 | 出埠 |
| DNS | TCP 和 UDP | 53 | DNS 伺服器 | 出埠 |
| 如果已加入網域,Kerberos (選擇性) | TCP 和 UDP | 88 | 網域控制站 | 出埠 |
| 如果已加入網域,Windows Time (選擇性) | UDP | 123 | 網域控制站 | 出埠 |
注意事項
需要LDAP才能測試要在 ATA 閘道與域控制器之間使用的認證。 測試會從 ATA 中心執行到域控制器,以測試這些認證的有效性,之後 ATA 閘道會使用 LDAP 作為其一般解析程式的一部分。
憑證
若要更快速地安裝和部署 ATA,您可以在安裝期間安裝自我簽署憑證。 如果您已選擇使用自我簽署憑證,建議您在初始部署之後,將自我簽署憑證取代為 ATA 中心要使用的內部證書頒發機構單位憑證。
請確定 ATA 中心和 ATA 閘道可以存取您的 CRL 發佈點。 如果沒有因特網存取權,請遵循 手動匯入CRL的程式,並小心安裝整個鏈結的所有CRL發佈點。
憑證必須具有:
- 私鑰
- 密碼編譯服務提供者 (CSP) 或金鑰記憶體提供者 (KSP)
- 公鑰長度為 2048 位
- 為 KeyEncipherment 和 ServerAuthentication 使用方式旗標設定的值
- KeySpec (KeyNumber) “KeyExchange” (AT_KEYEXCHANGE) 值。 不支援 「Signature」 值 (AT_SIGNATURE) 。
- 所有閘道機器都必須能夠完整驗證並信任選取的中心憑證。
例如,您可以使用標準 Web 伺服器 或 電腦 範本。
警告
不支援更新現有憑證的程式。 更新憑證的唯一方式是建立新的憑證,並將 ATA 設定為使用新的憑證。
注意事項
- 如果您要從其他計算機存取 ATA 控制台,請確定這些電腦信任 ATA 中心所使用的憑證,否則您會收到警告頁面,指出網站的安全性憑證在登入頁面之前發生問題。
- 從 ATA 1.8 版開始,ATA 閘道和輕量型閘道會管理自己的憑證,而且不需要系統管理員互動即可管理憑證。
ATA 閘道需求
本節列出 ATA 閘道的需求。
一般
ATA 閘道支援在執行 Windows Server 2012 R2 或 Windows Server 2016 以及 2019 Windows Server 2019 (的伺服器上安裝,包括伺服器核心) 。 ATA 閘道可以安裝在屬於網域或工作組成員的伺服器上。 ATA 閘道可用來監視網域功能等級為 Windows 2003 和更新版本的域控制器。
安裝執行 Windows 2012 R2 的 ATA 閘道之前,請確認已安裝下列更新: KB2919355。
您可以執行下列 Windows PowerShell Cmdlet 來檢查:[Get-HotFix -Id kb2919355]。
如需搭配 ATA 閘道使用虛擬機的詳細資訊,請參閱 設定埠鏡像。
注意事項
至少需要 5 GB 的空間,建議使用 10 GB。 這包括 ATA 二進位檔、ATA 記錄檔和 效能記錄所需的空間。
伺服器規格
為了達到最佳效能,請將 ATA 閘道的 [電源選項 ] 設定為 [高效能]。
ATA 閘道可以支援監視多個域控制器,視域控制器的網路流量而定。
若要深入瞭解易失記憶體或任何其他虛擬機記憶體管理功能,請參閱 易失記憶體。
如需 ATA 閘道硬體需求的詳細資訊,請參閱 ATA 容量規劃。
時間同步處理
ATA 中心伺服器、ATA 閘道伺服器和域控制器的時間必須同步到彼此相隔五分鐘內。
網路配接器
ATA 閘道至少需要一個管理適配卡和至少一個擷取配接器:
管理配接器 - 用於公司網路上的通訊。 此配接器應使用下列設定進行設定:
靜態IP位址,包括預設閘道
慣用和替代 DNS 伺服器
此連線的 DNS 後綴應該是每個受監視網域的網域 DNS 名稱。
注意事項
如果 ATA 閘道是網域的成員,則可能會自動設定。
擷取配接器 - 用來擷取域控制器的流量。
重要事項
- 將擷取配接器的埠鏡像設定為域控制器網路流量的目的地。 如需詳細資訊, 請參閱設定埠鏡像。 一般而言,您需要與網路或虛擬化小組合作,以設定埠鏡像。
- 為您的環境設定靜態非可路由IP位址,其中沒有預設閘道,也沒有 DNS 伺服器位址。 例如,1.1.1.1/32。 這可確保擷取網路適配器可以擷取最大流量,而且會使用管理網路適配器來傳送和接收所需的網路流量。
連接埠
下表列出 ATA 閘道在管理配接器上設定所需的最小埠:
| Protocol (通訊協定) | 傳輸 | 連接埠 | 來回 | 方向 |
|---|---|---|---|---|
| LDAP | TCP 和 UDP | 389 | 網域控制站 | 出埠 |
| 保護LDAP (LDAPS) | TCP | 636 | 網域控制站 | 出埠 |
| LDAP 至全域目錄 | TCP | 3268 | 網域控制站 | 出埠 |
| LDAPS 至全域目錄 | TCP | 3269 | 網域控制站 | 出埠 |
| Kerberos | TCP 和 UDP | 88 | 網域控制站 | 出埠 |
| Netlogon (SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 網路上的所有裝置 | 出埠 |
| Windows 時間 | UDP | 123 | 網域控制站 | 出埠 |
| DNS | TCP 和 UDP | 53 | DNS 伺服器 | 出埠 |
| 透過 RPC 的 NTLM | TCP | 135 | 網路上的所有裝置 | 兩者都要 |
| NetBIOS | UDP | 137 | 網路上的所有裝置 | 兩者都要 |
| SSL | TCP | 443 | ATA 中心 | 出埠 |
| Syslog (選擇性) | UDP | 514 | SIEM 伺服器 | 入境 |
注意事項
在 ATA 閘道完成的解決程式中,下列埠必須從 ATA 閘道在網路上的裝置上開啟輸入。
- 透過 RPC (TCP 連接埠 135 的 NTLM)
- NetBIOS (UDP 連接埠 137)
- 使用目錄服務用戶帳戶,ATA 閘道會使用 SAM-R (網路登入) 來查詢您組織中的端點,以供本機系統管理員使用,以建置 橫向動作路徑圖表。 如需詳細資訊, 請參閱設定 SAM-R 必要許可權。
- 下列埠必須從 ATA 閘道在網路上的裝置上開啟輸入:
- 針對解決目的,透過 RPC (TCP 連接埠 135) 的 NTLM
- NetBIOS (UDP 連接埠 137) 以進行解析
ATA 輕量型閘道需求
本節列出 ATA 輕量型閘道的需求。
一般
ATA 輕量型閘道支援在執行 Windows Server 2008 R2 SP1 的域控制器上安裝, (不包括 Server Core) 、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server2019 (包括 Core,但不包含 Nano) 。
網域控制站可以是唯讀網域控制器(RODC)。
在執行 Windows Server 2012 R2 的域控制器上安裝 ATA 輕量型閘道之前,請確認已安裝下列更新:KB2919355。
您可以執行下列 Windows PowerShell Cmdlet 來檢查:[Get-HotFix -Id kb2919355]
如果安裝適用於 Windows Server 2012 R2 Server Core,也應該安裝下列更新: KB3000850。
您可以執行下列 Windows PowerShell Cmdlet 來檢查:[Get-HotFix -Id kb3000850]
在安裝期間,會安裝 .Net Framework 4.6.1,而且可能會導致域控制器重新啟動。
注意事項
至少需要 5 GB 的空間,建議使用 10 GB。 這包括 ATA 二進位檔、ATA 記錄檔和 效能記錄所需的空間。
伺服器規格
ATA 輕量型閘道至少需要在域控制器上安裝 2 個核心和 6 GB 的 RAM。 為了達到最佳效能,請將 ATA 輕量型閘道的 [電源選項 ] 設定為 [高效能]。 ATA 輕量型閘道可以部署在各種負載和大小的域控制器上,視域控制器來回的網路流量,以及該域控制器上安裝的資源量而定。
若要深入瞭解易失記憶體或任何其他虛擬機記憶體管理功能,請參閱 易失記憶體。
如需 ATA 輕量型閘道硬體需求的詳細資訊,請參閱 ATA 容量規劃。
時間同步處理
ATA 中心伺服器、ATA 輕量型閘道伺服器和域控制器的時間必須彼此同步到五分鐘內。
網路配接器
ATA 輕量型閘道會監視域控制器所有網路適配器上的本機流量。
部署之後,如果您想要修改受監視的網路適配器,可以使用 ATA 控制台。
注意事項
在已啟用 Broadcom Network Adapter Teaming 的執行 Windows 2008 R2 的域控制器上不支援輕量型閘道。
連接埠
下表列出 ATA 輕量型閘道所需的最小埠:
| Protocol (通訊協定) | 傳輸 | 連接埠 | 來回 | 方向 |
|---|---|---|---|---|
| DNS | TCP 和 UDP | 53 | DNS 伺服器 | 出埠 |
| 透過 RPC 的 NTLM | TCP | 135 | 網路上的所有裝置 | 兩者都要 |
| NetBIOS | UDP | 137 | 網路上的所有裝置 | 兩者都要 |
| SSL | TCP | 443 | ATA 中心 | 出埠 |
| Syslog (選擇性) | UDP | 514 | SIEM 伺服器 | 入境 |
| Netlogon (SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 網路上的所有裝置 | 出埠 |
注意事項
在 ATA 輕量型閘道所執行的解析程式中,下列埠必須從 ATA 輕量型閘道在網路上的裝置上開啟輸入。
- 透過 RPC 的 NTLM
- NetBIOS
- 使用目錄服務用戶帳戶,ATA 輕量型閘道會使用 SAM-R (網路登入) 來查詢您組織中的端點,以供本機系統管理員使用,以建置 橫向動作路徑圖表。 如需詳細資訊, 請參閱設定 SAM-R 必要許可權。
- 下列埠必須從 ATA 閘道在網路上的裝置上開啟輸入:
- 針對解決目的,透過 RPC (TCP 連接埠 135) 的 NTLM
- NetBIOS (UDP 連接埠 137) 以進行解析
動態記憶體
注意事項
以虛擬機 (VM 執行 ATA 服務時,) 服務需要一直將所有記憶體配置給 VM。
| 在上執行的 VM | 描述 |
|---|---|
| Hyper-V | 確定 VM 未啟用 [ 啟用易失記憶體 ]。 |
| VMWare | 請確定已設定的記憶體數量和保留的記憶體相同,或在 [VM] 設定中選取下列選項 – 保留所有客體內存 (所有鎖定) 。 |
| 其他虛擬化主機 | 請參閱廠商提供的文件,瞭解如何確保記憶體隨時都完全配置給 VM。 |
如果您以虛擬機身分執行 ATA 中心,請先關閉伺服器,再建立新的檢查點,以避免潛在的資料庫損毀。
ATA 控制台
ATA 控制台的存取權是透過瀏覽器,支援瀏覽器和設定:
Internet Explorer 第 10 版和更新版本
Microsoft Edge
Google Chrome 40 和更新版本
屏幕寬度解析度下限為 1700 像素