PLANLÆGNING af ATA-kapacitet
Gælder for: Advanced Threat Analytics version 1.9
Denne artikel hjælper dig med at finde ud af, hvor mange ATA-servere der er nødvendige for at overvåge dit netværk. Det hjælper dig med at estimere, hvor mange ATA Gateways og/eller ATA Letvægtsgateways du har brug for, og serverkapaciteten til dit ATA Center og ATA Gateways.
Bemærk!
ATA Center kan udrulles på alle IaaS-leverandører, så længe de krav til ydeevne, der er beskrevet i denne artikel, er opfyldt.
Brug af tilpasningsværktøjet
Den anbefalede og enkleste måde at bestemme kapaciteten til din ATA-udrulning på er ved at bruge ATA-tilpasningsværktøjet. Kør ATA-tilpasningsværktøjet, og brug følgende felter fra Excel-filresultaterne til at bestemme den ATA-kapacitet, du har brug for:
ATA Center CPU og hukommelse: Match feltet Optaget pakker pr. sekund i ATA Center-tabelresultatfilen til feltet PACKETS PER SECOND i TABELLEN ATA Center.
ATA Center Storage: Match feltet Gns. pakker pr. sekund i resultatfilen for ATA Center-tabellen til feltet PACKETS PER SECOND i TABELLEN ATA Center.
ATA Gateway: Match feltet Optaget pakker pr. sekund i TABELLEN ATA Gateway i resultatfilen med feltet PACKETS PER SECOND i TABELLEN ATA Gateway eller tabellen ATA Lightweight Gateway, afhængigt af den valgte gatewaytype.
Bemærk!
Da forskellige miljøer varierer og har flere særlige og uventede egenskaber for netværkstrafik, kan det være nødvendigt at justere og finjustere udrulningen for kapacitet, når du først har udrullet ATA og kørt tilpasningsværktøjet.
Hvis du ikke kan bruge ATA-tilpasningsværktøjet, skal du manuelt indsamle oplysninger om pakker/sek. tællere med et lavt indsamlingsinterval (ca. 5 sekunder) fra alle dine domænecontrollere i 24 timer. Derefter skal du for hver domænecontroller beregne det daglige gennemsnit og det travleste periodegennemsnit (15 minutter). Følgende afsnit indeholder instruktioner om, hvordan du indsamler pakker/sekund-tælleren fra én domænecontroller.
Bemærk!
Da forskellige miljøer varierer og har flere særlige og uventede egenskaber for netværkstrafik, kan det være nødvendigt at justere og finjustere udrulningen for kapacitet, når du først har udrullet ATA og kørt tilpasningsværktøjet.
Tilpasning af ATA-center
ATA Center kræver mindst 30 dages data til brugeradfærdsanalyser.
| Pakker pr. sekund fra alle DCs | CPU (kerner*) | Hukommelse (GB) | Databaselager pr. dag (GB) | Databaselager pr. måned (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Dette omfatter fysiske kerner, ikke hypertrådede kerner.
**Gennemsnitlige tal (spidsbelastningstal)
Bemærk!
- ATA Center kan håndtere et samlet maksimum på 1 mio. pakker pr. sekund fra alle overvågede domænecontrollere. I nogle miljøer kan det samme ATA Center håndtere den samlede trafik, der er højere end 1 mio., og nogle miljøer kan overskride ATA-kapacitet. Kontakt os på azureatpfeedback@microsoft.com for at få hjælp til planlægning og vurdering af store miljøer.
- Hvis din ledige plads når et minimum på enten 20 % eller 200 GB, slettes den ældste samling af data. Hvis det ikke er muligt at reducere dataindsamlingen til dette niveau, logføres der en besked. ATA vil fortsætte med at fungere, indtil grænsen på 5 % eller 50 GB gratis er nået. På dette tidspunkt stopper ATA med at udfylde databasen, og der sendes en ekstra besked.
- Du kan udrulle ATA Center på en hvilken som helst IaaS-leverandør, hvis de krav til ydeevne, der er beskrevet i denne artikel, er opfyldt.
- Lagerventetiden for læse- og skriveaktiviteter skal være under 10 ms.
- Forholdet mellem læse- og skriveaktiviteter er ca. 1:3 under 100.000 pakker pr. sekund og 1:6 over 100.000 pakker pr. sekund.
- Når centeret kører som en virtuel maskine, kræver centeret hele tiden, at der allokeres al hukommelse til vm'en. Du kan få flere oplysninger om, hvordan du kører ATA Center som en virtuel maskine, under KRAV TIL ATA Center.
- Du opnår optimal ydeevne ved at angive Power Option i ATA Center til Høj ydeevne.
- Når du arbejder på en fysisk server, skal du i ATA-databasen deaktivere NUMA (Non-Uniform Memory Access) i BIOS. Dit system kan referere til NUMA som NodeInterleaving, og i dette tilfælde skal du aktivere NodeInterleaving for at deaktivere NUMA. Du kan få flere oplysninger i dokumentationen til BIOS. Dette er ikke relevant, når ATA Center kører på en virtuel server.
Valg af den rette gatewaytype til din installation
I en ATA-udrulning understøttes enhver kombination af ATA Gateway-typerne:
- Kun ATA Gateways
- Kun ATA Lightweight Gateways
- En kombination af begge
Når du beslutter dig for udrulningstypen for gatewayen, skal du overveje følgende fordele:
| Gatewaytype | Fordele | Koste | Installationstopologi | Brug af domænecontroller |
|---|---|---|---|---|
| ATA Gateway | Udrulningen uden for båndet gør det sværere for angribere at opdage, at ATA er til stede | Højere | Installeret sammen med domænecontrolleren (uden for bånd) | Understøtter op til 50.000 pakker pr. sekund |
| Letvægtsgateway for ATA | Kræver ikke en dedikeret server- og portspejlingskonfiguration | Sænke | Installeret på domænecontrolleren | Understøtter op til 10.000 pakker pr. sekund |
Følgende er eksempler på scenarier, hvor domænecontrollere skal dækkes af ATA Lightweight Gateway:
Forgreningswebsteder
Virtuelle domænecontrollere, der er installeret i cloudmiljøet (IaaS)
Følgende er eksempler på scenarier, hvor domænecontrollere skal dækkes af ATA Gateway:
- Datacentre i hovedkvarteret (med domænecontrollere med mere end 10.000 pakker pr. sekund)
Tilpasning af letvægtsgateway i ATA
En ATA Lightweight Gateway kan understøtte overvågning af én domænecontroller baseret på den netværkstrafik, som domænecontrolleren genererer.
| Pakker pr. sekund* | CPU (kerner**) | Hukommelse (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Det samlede antal pakker pr. sekund på domænecontrolleren, der overvåges af den specifikke ATA Lightweight Gateway.
**Det samlede antal ikke-hypertrådede kerner, som denne domænecontroller har installeret.
Selvom hypertrådning er acceptabel for ATA Lightweight Gateway, skal du, når du planlægger kapacitet, tælle faktiske kerner og ikke hypertrådede kerner, når du planlægger kapacitet.
Den samlede mængde hukommelse, som denne domænecontroller har installeret.
Bemærk!
- Hvis domænecontrolleren ikke har de ressourcer, der kræves af ATA Lightweight Gateway, påvirkes ydeevnen for domænecontrolleren ikke, men ATA Lightweight Gateway fungerer muligvis ikke som forventet.
- Når du kører gatewayen som en virtuel maskine, kræver gatewayen hele tiden, at der allokeres al hukommelse til vm'en. Du kan få flere oplysninger om, hvordan du kører ATA Gateway som en virtuel maskine, under Krav til dynamisk hukommelse.
- Du opnår optimal ydeevne ved at angive Power Option for ATA Lightweight Gateway til høj ydeevne.
- Der kræves mindst 5 GB plads, og 10 GB anbefales, herunder den nødvendige plads til ATA-binære filer, ATA-logge og ydelseslogge.
Størrelse på ATA-gateway
Overvej følgende problemer, når du beslutter, hvor mange ATA Gateways der skal udrulles.
-
Active Directory-skove og -domæner
ATA kan overvåge trafik fra flere domæner fra et enkelt Active Directory-område. Overvågning af flere Active Directory-områder kræver separate ATA-installationer. Konfigurer ikke en enkelt ATA-udrulning for at overvåge netværkstrafik for domænecontrollere fra forskellige skove. -
Portspejling
Overvejelser i forbindelse med portspejling kan kræve, at du installerer flere ATA Gateways pr. datagateway eller forgreningswebsted. -
Kapacitet
En ATA Gateway kan understøtte overvågning af flere domænecontrollere, afhængigt af mængden af netværkstrafik for de domænecontrollere, der overvåges.
| Pakker pr. sekund* | CPU (kerner**) | Hukommelse (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Det samlede gennemsnitlige antal pakker pr. sekund fra alle domænecontrollere, der overvåges af den specifikke ATA Gateway i løbet af deres travleste time på dagen.
*Den samlede mængde portspejlet trafik for domænecontrolleren må ikke overstige kapaciteten for hentnings-NIC'en på ATA Gateway.
**Hyper-threading skal deaktiveres.
Bemærk!
- Når du kører gatewayen som en virtuel maskine, kræver gatewayen hele tiden, at der allokeres al hukommelse til vm'en. Du kan få flere oplysninger om kørsel af ATA Gateway som en virtuel maskine under Krav til dynamisk hukommelse.
- Du opnår optimal ydeevne ved at angive Power Option for ATA Gateway til Høj ydeevne.
- Der kræves mindst 5 GB plads, og 10 GB anbefales, herunder den nødvendige plads til ATA-binære filer, ATA-logge og ydelseslogge.