Az ATA kapacitástervezése
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk segít meghatározni, hogy hány ATA-kiszolgálóra van szükség a hálózat figyeléséhez. Segítségével megbecsülheti, hogy hány ATA-átjáróra és/vagy egyszerűsített ATA-átjáróra van szüksége, valamint az ATA-központ és az ATA-átjárók kiszolgálókapacitását.
Megjegyzés:
Az ATA-központ bármely IaaS-szállítón üzembe helyezhető, ha a cikkben ismertetett teljesítménykövetelmények teljesülnek.
A méretezési eszköz használata
Az ATA üzembe helyezéséhez szükséges kapacitás meghatározásának ajánlott és legegyszerűbb módja az ATA méretezési eszköz használata. Futtassa az ATA méretezési eszközét, és az Excel-fájl eredményeiből az alábbi mezőkkel állapítsa meg a szükséges ATA-kapacitást:
ATA-központ processzora és memóriája: Az ATA-központ tábla eredményfájljának Foglalt csomagok/mp mezőjének egyeztetése az ATA-központ táblaPACKETS PER SECOND (CSOMAGOK MÁSODPERCENKÉNT) mezőjével.
ATA-központ tárhelye: Egyezzen az ATA-központ tábla eredményfájljának AVG Packets/sec mezőjével az ATA-központ táblaPACKETS PER SECOND (CSOMAGOK MÁSODPERCENKÉNT) mezőjével.
ATA-átjáró: A választott átjárótípustól függően egyezzen az eredményfájl ATA-átjáró táblázatának Foglalt csomagok/mp mezőjével az ATA-átjáró vagy az egyszerűsített ATA-átjáró táblaPACKETS PER SECOND mezőjével.
Megjegyzés:
Mivel a különböző környezetek eltérőek, és több speciális és váratlan hálózati forgalmi jellemzővel rendelkeznek, az ATA kezdeti üzembe helyezése és a méretezési eszköz futtatása után előfordulhat, hogy módosítania kell és finomhangolnia kell az üzemelő példányt a kapacitáshoz.
Ha nem tudja használni az ATA méretezési eszközét, gyűjtse össze manuálisan a csomag/mp számláló adatait alacsony gyűjtési időközzel (körülbelül 5 másodperc) az összes tartományvezérlőről 24 órán keresztül. Ezután minden tartományvezérlő esetében számítsa ki a napi átlagot és a legforgalmasább időszak (15 perc) átlagát. A következő szakaszok útmutatást nyújtanak arra vonatkozóan, hogyan gyűjtheti össze a csomag/mp számlálót egy tartományvezérlőről.
Megjegyzés:
Mivel a különböző környezetek eltérőek, és több speciális és váratlan hálózati forgalmi jellemzővel rendelkeznek, az ATA kezdeti üzembe helyezése és a méretezési eszköz futtatása után előfordulhat, hogy módosítania kell és finomhangolnia kell az üzemelő példányt a kapacitáshoz.
ATA-központ méretezése
Az ATA-központnak legalább 30 napnyi adatra van szüksége a felhasználói viselkedéselemzéshez.
| Csomagok másodpercenként az összes nic-ből | CPU (magok*) | Memória (GB) | Adatbázis-tárterület naponta (GB) | Adatbázis-tárterület havonta (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Ide tartoznak a fizikai magok, nem a hiperszálas magok.
**Átlagszámok (csúcsszámok)
Megjegyzés:
- Az ATA-központ másodpercenként legfeljebb 1M összesített csomagokat képes kezelni az összes figyelt tartományvezérlőről. Egyes környezetekben ugyanaz az ATA-központ képes kezelni az 1 M-nél nagyobb teljes forgalmat, és egyes környezetek meghaladhatják az ATA kapacitását. Vegye fel velünk a kapcsolatot a azureatpfeedback@microsoft.com nagy méretű környezetek tervezésével és becslésével kapcsolatos segítségért.
- Ha a szabad terület eléri a legalább 20%-ot vagy a 200 GB-ot, a rendszer törli a legrégebbi adatgyűjteményt. Ha nem lehet az adatgyűjtést ilyen szintre csökkenteni, a rendszer riasztást naplóz. Az ATA addig működik tovább, amíg el nem éri az 5%-os vagy 50 GB-os ingyenes küszöbértéket. Ekkor az ATA leállítja az adatbázis feltöltését, és további riasztást ad ki.
- Az ATA-központot bármely IaaS-szállítón üzembe helyezheti, ha a cikkben ismertetett teljesítménykövetelmények teljesülnek.
- Az olvasási és írási tevékenységek tárolási késésének 10 ms alatt kell lennie.
- Az olvasási és írási tevékenységek aránya körülbelül 1:3 100 000 csomag/másodperc alatt és 1:6 a 100 000 csomag/másodperc fölött.
- A Központ virtuális gépként való futtatásakor a központnak minden memóriát ki kell osztania a virtuális géphez. Az ATA-központ virtuális gépként való futtatásával kapcsolatos további információkért lásd: Az ATA-központ követelményei.
- Az optimális teljesítmény érdekében állítsa az ATA-központ Teljesítmény beállításátNagy teljesítményű értékre.
- Amikor fizikai kiszolgálón dolgozik, az ATA-adatbázisnak le kell tiltania a BIOS-ban a nem egységes memóriahozzáférést (NUMA). Előfordulhat, hogy a rendszer a NUMA-ra node interleaving néven hivatkozik, ebben az esetben engedélyeznie kell a Node Interleaving szolgáltatást a NUMA letiltásához. További információt a BIOS dokumentációjában talál. Ez nem releváns, ha az ATA-központ virtuális kiszolgálón fut.
Az üzembe helyezéshez megfelelő átjárótípus kiválasztása
Az ATA-környezetekben az ATA-átjárótípusok bármilyen kombinációja támogatott:
- Csak ATA-átjárók
- Csak egyszerűsített ATA-átjárók
- A kettő kombinációja
Az átjáró üzembehelyezési típusának kiválasztásakor vegye figyelembe a következő előnyöket:
| Átjáró típusa | Előnyök | Költség | Üzembehelyezési topológia | Tartományvezérlő használata |
|---|---|---|---|---|
| ATA-átjáró | A sávon kívüli üzembe helyezés megnehezíti a támadók számára az ATA jelenlétének felderítését | Magasabb | A tartományvezérlő mellett telepítve (sávon kívül) | Másodpercenként legfeljebb 50 000 csomagot támogat |
| Egyszerűsített ATA-átjáró | Nincs szükség dedikált kiszolgálóra és porttükrözési konfigurációra | Alsó | Telepítve a tartományvezérlőre | Másodpercenként legfeljebb 10 000 csomagot támogat |
Az alábbi példák olyan forgatókönyvekre mutatnak be példákat, amelyekben a tartományvezérlőket az egyszerűsített ATA-átjárónak kell lefednie:
Fiókirodák
A felhőben üzembe helyezett virtuális tartományvezérlők (IaaS)
Az alábbi példák olyan forgatókönyvekre mutatnak be példákat, amelyekben az ATA-átjárónak tartományvezérlőket kell lefednie:
- Központi adatközpontok (amelyek tartományvezérlői másodpercenként több mint 10 000 csomaggal rendelkeznek)
Egyszerűsített ATA-átjáró méretezése
Az egyszerűsített ATA-átjárók támogathatják egy tartományvezérlő monitorozását a tartományvezérlő által generált hálózati forgalom mennyisége alapján.
| Csomagok másodpercenként* | CPU (magok**) | Memória (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Az adott egyszerűsített ATA-átjáró által figyelt tartományvezérlőn másodpercenkénti csomagok teljes száma.
**A tartományvezérlő által telepített nem hiperszálas magok teljes száma.
Bár a rugalmas szálkezelés elfogadható az egyszerűsített ATA-átjáró számára, a kapacitás tervezésekor a tényleges magokat kell megszámolnia, nem pedig a hiperszálas magokat.
A tartományvezérlő által telepített memória teljes mennyisége.
Megjegyzés:
- Ha a tartományvezérlő nem rendelkezik az egyszerűsített ATA-átjáró által igényelt erőforrásokkal, a tartományvezérlő teljesítménye nem lesz hatással, de előfordulhat, hogy az egyszerűsített ATA-átjáró nem a várt módon működik.
- Amikor virtuális gépként futtatja az átjárót, az átjárónak minden memóriát ki kell osztania a virtuális géphez. További információ az ATA-átjáró virtuális gépként való futtatásáról: Dinamikus memóriakövetelmények).
- Az optimális teljesítmény érdekében állítsa az egyszerűsített ATA-átjáró energiabeállításátNagy teljesítményű értékre.
- Legalább 5 GB tárterületre van szükség, és 10 GB ajánlott, beleértve az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.
ATA-átjáró méretezése
Vegye figyelembe a következő problémákat, amikor eldönti, hány ATA-átjárót szeretne üzembe helyezni.
-
Active Directory-erdők és -tartományok
Az ATA képes egyetlen Active Directory-erdőből több tartományból érkező forgalmat figyelni. Több Active Directory-erdő monitorozásához külön ATA-telepítésre van szükség. Ne konfiguráljon egyetlen ATA-telepítést a különböző erdőkből származó tartományvezérlők hálózati forgalmának figyeléséhez. -
Porttükrözés
A porttükrözési szempontok megkövetelik, hogy adatátjárónként vagy ághelyenként több ATA-átjárót telepítsen. -
Kapacitás
Az ATA-átjárók a figyelt tartományvezérlők hálózati forgalmának mennyiségétől függően több tartományvezérlő monitorozását is támogathatják.
| Csomagok másodpercenként* | CPU (magok**) | Memória (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Az adott ATA-átjáró által az adott ATA-átjáró által figyelt összes tartományvezérlő csomagjainak másodpercenkénti átlagos száma a nap legforgalmasább órájában.
*A tartományvezérlő porttükrözéses forgalmának teljes mennyisége nem haladhatja meg a rögzítési hálózati adapter kapacitását az ATA-átjárón.
**A hyper-threadinget le kell tiltani.
Megjegyzés:
- Amikor virtuális gépként futtatja az átjárót, az átjárónak minden memóriát ki kell osztania a virtuális géphez. További információ az ATA-átjáró virtuális gépként való futtatásáról: Dinamikus memóriakövetelmények.
- Az optimális teljesítmény érdekében állítsa az ATA-átjáró teljesítménybeállításátNagy teljesítményű értékre.
- Legalább 5 GB tárterületre van szükség, és 10 GB ajánlott, beleértve az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.