Az ATA előfeltételei
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk az ATA sikeres üzembe helyezésének követelményeit ismerteti a környezetben.
Megjegyzés:
Az erőforrások és kapacitások tervezéséről az ATA kapacitástervezését ismertető cikkben olvashat bővebben.
Az ATA az ATA-központból, az ATA-átjáróból és/vagy az egyszerűsített ATA-átjáróból áll. Az ATA-összetevőkkel kapcsolatos további információkért lásd: Az ATA architektúrája.
Az ATA-rendszer az Active Directory erdőhatárán működik, és támogatja a Windows 2003 és újabb rendszerek erdőfunkcionális szintjét (FFL).
Kezdés előtt: Ez a szakasz az ATA telepítése előtt összegyűjtendő információkat, valamint a szükséges fiókokat és hálózati entitásokat sorolja fel.
ATA-központ: Ez a szakasz az ATA-központ hardver- és szoftverkövetelményeit, valamint az ATA-központ kiszolgálóján konfigurálandó beállításokat sorolja fel.
ATA-átjáró: Ez a szakasz az ATA-átjáró hardvereit, szoftverkövetelményeit, valamint az ATA-átjárókiszolgálókon konfigurálandó beállításokat sorolja fel.
Egyszerűsített ATA-átjáró: Ebben a szakaszban az egyszerűsített ATA-átjáró hardver- és szoftverkövetelményei szerepelnek.
ATA-konzol: Ez a szakasz az ATA-konzol futtatására vonatkozó böngészőkövetelményeket sorolja fel.
Mielőtt elkezdené
Ez a szakasz az ATA telepítésének megkezdése előtt összegyűjtendő információkat, valamint a fiókokat és hálózati entitásokat sorolja fel.
Felhasználói fiók és jelszó olvasási hozzáféréssel a figyelt tartományok összes objektumához.
Megjegyzés:
Ha egyéni ACL-eket állított be a tartomány különböző szervezeti egységeihez ,győződjön meg arról, hogy a kiválasztott felhasználó olvasási engedéllyel rendelkezik ezekhez a szervezeti egységekhez.
Ne telepítse a Microsoft Message Analyzert ATA-átjáróra vagy egyszerűsített átjáróra. Az Üzenetelemző illesztőprogram ütközik az ATA-átjáró és az egyszerűsített átjáró illesztőprogramjaival. Ha a Wiresharkot az ATA-átjárón futtatja, a Wireshark-rögzítés leállítása után újra kell indítania a Microsoft Advanced Threat Analytics átjárószolgáltatást. Ha nem, az átjáró leállítja a forgalom rögzítését. A Wireshark egyszerűsített ATA-átjárón való futtatása nem zavarja az egyszerűsített ATA-átjárót.
Ajánlott: A felhasználónak írásvédett engedélyekkel kell rendelkeznie a Törölt objektumok tárolón. Ez lehetővé teszi, hogy az ATA észlelje a tartományban lévő objektumok tömeges törlését. A törölt objektumok tárolóra vonatkozó írásvédett engedélyek konfigurálásáról a Címtárobjektum engedélyeinek megtekintése vagy beállítása című cikk Engedélyek módosítása törölt objektumtárolón című szakaszában olvashat.
Nem kötelező: Hálózati tevékenység nélküli felhasználó felhasználói fiókja. Ez a fiók ATA Honeytoken-felhasználóként konfigurálható. Egy fiók Honeytoken-felhasználóként való konfigurálásához csak a felhasználónévre van szükség. A Honeytoken konfigurációs információiért lásd: IP-címek kizárásának konfigurálása és Honeytoken-felhasználó.
Nem kötelező: A tartományvezérlőkre érkező és onnan érkező hálózati forgalom gyűjtése és elemzése mellett az ATA a 4776-os, a 4732-ös, a 4733-as, a 4728-at, a 4729-et, a 4756-ot és a 4757-et is használhatja az ATA Pass-the-Hash, Brute Force, Modification to sensitive groups és Honey Tokens észlelések további fejlesztéséhez. Ezek az események fogadhatók a SIEM-ből, vagy a Windows eseménytovábbítás beállításával a tartományvezérlőről. Az összegyűjtött események olyan további információkat biztosítanak az ATA számára, amelyek nem érhetők el a tartományvezérlő hálózati forgalmán keresztül.
Az ATA-központ követelményei
Ez a szakasz az ATA-központ követelményeit sorolja fel.
Általános
Az ATA-központ támogatja a telepítést Windows Server 2012 R2 Windows Server 2016 és Windows Server 2019-ben.
Megjegyzés:
Az ATA-központ nem támogatja Windows Server magot.
Az ATA-központ olyan kiszolgálóra telepíthető, amely tagja egy tartománynak vagy munkacsoportnak.
A Windows 2012 R2-t futtató ATA-központ telepítése előtt ellenőrizze, hogy a következő frissítés telepítve van-e: KB2919355.
Az ellenőrzéshez futtassa a következő Windows PowerShell parancsmagot: [Get-HotFix -Id kb2919355].
Az ATA-központ virtuális gépként való telepítése támogatott.
Kiszolgálói specifikációk
Ha fizikai kiszolgálón dolgozik, az ATA-adatbázis megköveteli a nem egységes memóriahozzáférés (NUMA) letiltását a BIOS-ban. Előfordulhat, hogy a rendszer a NUMA-ra node interleaving néven hivatkozik, ebben az esetben engedélyeznie kell a Node Interleaving szolgáltatást a NUMA letiltásához. További információt a BIOS dokumentációjában talál.
Az optimális teljesítmény érdekében állítsa az ATA-központ Teljesítmény beállításátNagy teljesítményű értékre.
A figyelt tartományvezérlők száma és az egyes tartományvezérlők terhelése határozza meg a szükséges kiszolgálóspecifikációkat. További információ: Az ATA kapacitástervezése.
A Windows 2008R2 és 2012 operációs rendszerek esetében az átjáró nem támogatott többprocesszoros csoport módban. További információ a többprocesszoros csoport módról: Hibaelhárítás.
Időszinkronizálás
Az ATA-központ kiszolgálójának, az ATA-átjárókiszolgálóknak és a tartományvezérlőknek egymástól öt percen belül szinkronizálva kell lenniük.
Hálózati adapterek
A következő készlettel kell rendelkeznie:
Legalább egy hálózati adapter (ha fizikai kiszolgálót használ VLAN-környezetben, javasoljuk, hogy két hálózati adaptert használjon)
Egy IP-cím az ATA-központ és az ATA-átjáró közötti kommunikációhoz, amely SSL-lel van titkosítva a 443-s porton. (Az ATA-szolgáltatás minden OLYAN IP-címhez kapcsolódik, amelyet az ATA-központ a 443-at porton használ.)
Portok
Az alábbi táblázat felsorolja azokat a minimális portokat, amelyeket meg kell nyitni ahhoz, hogy az ATA-központ megfelelően működjön.
| Protocol (Protokoll) | Szállítás | Port | Feladó/feladó | Irány |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA-átjáró | Kikötőbe befutó |
| HTTP (nem kötelező) | TCP | 80 | Vállalati hálózat | Kikötőbe befutó |
| HTTPS | TCP | 443 | Vállalati hálózat és ATA-átjáró | Kikötőbe befutó |
| SMTP (nem kötelező) | TCP | 25 | SMTP-kiszolgáló | Kimenő |
| SMTPS (nem kötelező) | TCP | 465 | SMTP-kiszolgáló | Kimenő |
| Syslog (nem kötelező) | TCP/UPS/TLS (konfigurálható) | 514 (alapértelmezett) | Syslog-kiszolgáló | Kimenő |
| LDAP | TCP és UDP | 389 | Tartományvezérlők | Kimenő |
| LDAPS (nem kötelező) | TCP | 636 | Tartományvezérlők | Kimenő |
| DNS | TCP és UDP | 53 | DNS-kiszolgálók | Kimenő |
| Kerberos (nem kötelező, ha tartományhoz csatlakozik) | TCP és UDP | 88 | Tartományvezérlők | Kimenő |
| Windows idő (nem kötelező, ha tartományhoz csatlakozik) | UDP | 123 | Tartományvezérlők | Kimenő |
Megjegyzés:
Az LDAP szükséges az ATA-átjárók és a tartományvezérlők között használandó hitelesítő adatok teszteléséhez. A teszt végrehajtása az ATA-központból egy tartományvezérlőre történik ezen hitelesítő adatok érvényességének teszteléséhez, majd az ATA-átjáró az LDAP-t használja a normál feloldási folyamat részeként.
Tanúsítványok
Az ATA gyorsabb telepítéséhez és telepítéséhez a telepítés során önaláírt tanúsítványokat telepíthet. Ha önaláírt tanúsítványok használatát választotta, az első üzembe helyezés után ajánlott az önaláírt tanúsítványokat egy belső hitelesítésszolgáltató tanúsítványaival helyettesíteni, amelyeket az ATA-központ használni fog.
Győződjön meg arról, hogy az ATA-központ és az ATA-átjárók hozzáférnek a CRL-terjesztési ponthoz. Ha nem rendelkeznek internet-hozzáféréssel, kövesse az eljárást a CRL manuális importálásához, ügyelve arra, hogy a teljes lánc összes CRL-terjesztési pontját telepítse.
A tanúsítványnak a következőkre van szüksége:
- Titkos kulcs
- Titkosítási szolgáltató (CSP) vagy kulcstároló-szolgáltató (KSP) típusú szolgáltató
- A nyilvános kulcs hossza 2048 bit
- A KeyEncipherment és a ServerAuthentication használati jelzők értékkészlete
- KeySpec (KeyNumber) értéke "KeyExchange" (AT_KEYEXCHANGE). Az "Aláírás" (AT_SIGNATURE) érték nem támogatott.
- Minden átjárógépnek képesnek kell lennie a kiválasztott centertanúsítvány teljes ellenőrzésére és megbízhatóságára.
Használhatja például a szabványos webkiszolgálót vagy a számítógépsablonokat .
Figyelmeztetés
A meglévő tanúsítvány megújításának folyamata nem támogatott. A tanúsítványok megújításának egyetlen módja egy új tanúsítvány létrehozása és az ATA konfigurálása az új tanúsítvány használatára.
Megjegyzés:
- Ha más számítógépekről szeretné elérni az ATA-konzolt, győződjön meg arról, hogy ezek a számítógépek megbíznak az ATA-központ által használt tanúsítványban, különben a bejelentkezési lap megnyitása előtt figyelmeztetés jelenik meg arról, hogy probléma van a webhely biztonsági tanúsítványával.
- Az ATA 1.8-es verziójától kezdve az ATA-átjárók és az egyszerűsített átjárók saját tanúsítványokat kezelnek, és nincs szükség rendszergazdai beavatkozásra a kezelésükhöz.
Az ATA-átjáró követelményei
Ez a szakasz az ATA-átjáró követelményeit sorolja fel.
Általános
Az ATA-átjáró támogatja a telepítést Windows Server 2012 R2 vagy Windows Server 2016 és Windows Server 2019 rendszert futtató kiszolgálókon (beleértve a kiszolgálómagot is). Az ATA-átjáró olyan kiszolgálóra telepíthető, amely tagja egy tartománynak vagy munkacsoportnak. Az ATA-átjáró a Windows 2003 és újabb tartományi működési szinttel rendelkező tartományvezérlők figyelésére használható.
A Windows 2012 R2-t futtató ATA-átjáró telepítése előtt ellenőrizze, hogy a következő frissítés telepítve van-e: KB2919355.
Az ellenőrzéshez futtassa a következő Windows PowerShell parancsmagot: [Get-HotFix -Id kb2919355].
További információ a virtuális gépek ATA-átjáróval való használatáról: Porttükrözés konfigurálása.
Megjegyzés:
Legalább 5 GB tárterületre van szükség, és 10 GB ajánlott. Ez magában foglalja az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.
Kiszolgálói specifikációk
Az optimális teljesítmény érdekében állítsa az ATA-átjáró teljesítménybeállításátNagy teljesítményű értékre.
Az ATA-átjárók több tartományvezérlő monitorozását is támogathatják a tartományvezérlők felé és kimenő hálózati forgalom mennyiségétől függően.
A dinamikus memóriával vagy bármely más virtuálisgép-memóriakezelési funkcióval kapcsolatos további információkért lásd: Dinamikus memória.
További információ az ATA-átjáró hardverkövetelményeiről: Az ATA kapacitástervezése.
Időszinkronizálás
Az ATA-központ kiszolgálójának, az ATA-átjárókiszolgálóknak és a tartományvezérlőknek egymástól öt percen belül szinkronizálva kell lenniük.
Hálózati adapterek
Az ATA-átjáróhoz legalább egy felügyeleti adapter és legalább egy rögzítési adapter szükséges:
Felügyeleti adapter – a vállalati hálózaton folytatott kommunikációhoz használatos. Ezt az adaptert a következő beállításokkal kell konfigurálni:
Statikus IP-cím az alapértelmezett átjáróval együtt
Előnyben részesített és alternatív DNS-kiszolgálók
A kapcsolat DNS-utótagjának az egyes figyelt tartományok DNS-nevének kell lennie.
Megjegyzés:
Ha az ATA-átjáró a tartomány tagja, ez automatikusan konfigurálható.
Rögzítőadapter – a tartományvezérlők bejövő és kimenő forgalmának rögzítésére szolgál.
Fontos
- Konfigurálja a porttükrözést a rögzítőadapterhez a tartományvezérlő hálózati forgalmának célhelyeként. További információ: Porttükrözés konfigurálása. A porttükrözés konfigurálásához általában a hálózatkezelési vagy virtualizálási csapattal kell együttműködnie.
- Konfiguráljon egy statikus, nem irányítható IP-címet a környezethez alapértelmezett átjáró és DNS-kiszolgálócímek nélkül. Például: 1.1.1.1/32. Ez biztosítja, hogy a rögzítési hálózati adapter rögzíthesse a maximális forgalmat, és hogy a felügyeleti hálózati adapter a szükséges hálózati forgalom küldésére és fogadására legyen használva.
Portok
Az alábbi táblázat felsorolja azokat a minimális portokat, amelyeket az ATA-átjárónak konfigurálnia kell a felügyeleti adapteren:
| Protocol (Protokoll) | Szállítás | Port | Feladó/feladó | Irány |
|---|---|---|---|---|
| LDAP | TCP és UDP | 389 | Tartományvezérlők | Kimenő |
| Biztonságos LDAP (LDAPS) | TCP | 636 | Tartományvezérlők | Kimenő |
| LDAP–globális katalógus | TCP | 3268 | Tartományvezérlők | Kimenő |
| LDAPS–globális katalógus | TCP | 3269 | Tartományvezérlők | Kimenő |
| Kerberos | TCP és UDP | 88 | Tartományvezérlők | Kimenő |
| Netlogon (SMB, CIFS, SAM-R) | TCP és UDP | 445 | Minden eszköz a hálózaton | Kimenő |
| Windows idő | UDP | 123 | Tartományvezérlők | Kimenő |
| DNS | TCP és UDP | 53 | DNS-kiszolgálók | Kimenő |
| NTLM RPC-n keresztül | TCP | 135 | A hálózaton lévő összes eszköz | Mindkettő |
| NetBIOS | UDP | 137 | A hálózaton lévő összes eszköz | Mindkettő |
| SSL | TCP | 443 | ATA-központ | Kimenő |
| Syslog (nem kötelező) | UDP | 514 | SIEM-kiszolgáló | Kikötőbe befutó |
Megjegyzés:
Az ATA-átjáró által végzett feloldási folyamat részeként a következő portokat kell megnyitni a hálózaton lévő eszközökön az ATA-átjárókról.
- NTLM RPC-n keresztül (135-ös TCP-port)
- NetBIOS (137-ös UDP-port)
- A címtárszolgáltatás felhasználói fiókját használva az ATA-átjáró lekérdezi a szervezet végpontjait a helyi rendszergazdák számára az SAM-R (hálózati bejelentkezés) használatával az oldalirányú mozgási útvonal gráfjának létrehozásához. További információ: Sam-R szükséges engedélyek konfigurálása.
- Az alábbi portokat az ATA-átjáróból bejövő forgalomnak kell megnyitnia a hálózaton lévő eszközökön:
- NTLM RPC-n keresztül (135-ös TCP-port) megoldási célokra
- NetBIOS (137-edik UDP-port) megoldási célokra
Egyszerűsített ATA-átjáróra vonatkozó követelmények
Ez a szakasz az egyszerűsített ATA-átjáró követelményeit sorolja fel.
Általános
Az egyszerűsített ATA-átjáró támogatja a Windows Server 2008 R2 SP1 rendszert futtató tartományvezérlők telepítését (a Server Core kivételével), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 és Windows Server 2019(beleértve a Core-t, de a Nano-t nem).
A tartományvezérlő lehet írásvédett tartományvezérlő (RODC).
Mielőtt telepítené az egyszerűsített ATA-átjárót egy Windows Server 2012 R2-t futtató tartományvezérlőre, ellenőrizze, hogy a következő frissítés telepítve van-e: KB2919355.
Az ellenőrzéshez futtassa a következő Windows PowerShell parancsmagot:[Get-HotFix -Id kb2919355]
Ha a telepítés Windows Server 2012 R2 Server Core rendszerre történik, a következő frissítést is telepíteni kell: KB3000850.
Az ellenőrzéshez futtassa a következő Windows PowerShell parancsmagot:[Get-HotFix -Id kb3000850]
A telepítés során a .Net-keretrendszer 4.6.1-et telepíti, és a tartományvezérlő újraindítását okozhatja.
Megjegyzés:
Legalább 5 GB tárterületre van szükség, és 10 GB ajánlott. Ez magában foglalja az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.
Kiszolgálói specifikációk
Az egyszerűsített ATA-átjáró legalább 2 magot és 6 GB RAM-ot igényel a tartományvezérlőn. Az optimális teljesítmény érdekében állítsa az egyszerűsített ATA-átjáró energiabeállításátNagy teljesítményű értékre. Az egyszerűsített ATA-átjáró különböző terhelésű és méretű tartományvezérlőkön helyezhető üzembe, a tartományvezérlők felé és onnan érkező hálózati forgalom mennyiségétől, valamint a tartományvezérlőre telepített erőforrások mennyiségétől függően.
A dinamikus memóriával vagy bármely más virtuálisgép-memóriakezelési funkcióval kapcsolatos további információkért lásd: Dinamikus memória.
Az egyszerűsített ATA-átjáró hardverkövetelményeiről további információt az ATA kapacitástervezését ismertető cikkben talál.
Időszinkronizálás
Az ATA-központ kiszolgálójának, az egyszerűsített ATA-átjárókiszolgálóknak és a tartományvezérlőknek egymástól öt percen belül szinkronizálva kell lenniük.
Hálózati adapterek
Az egyszerűsített ATA-átjáró figyeli a helyi forgalmat a tartományvezérlő összes hálózati adapterén.
Az üzembe helyezés után használhatja az ATA-konzolt, ha bármikor módosítani szeretné, hogy mely hálózati adaptereket monitorozza a rendszer.
Megjegyzés:
Az egyszerűsített átjáró nem támogatott a Windows 2008 R2 rendszert futtató tartományvezérlőkön, amelyeken engedélyezve van a Broadcom hálózati adapterek összevonása.
Portok
Az alábbi táblázat az egyszerűsített ATA-átjáró által igényelt minimális portokat sorolja fel:
| Protocol (Protokoll) | Szállítás | Port | Feladó/feladó | Irány |
|---|---|---|---|---|
| DNS | TCP és UDP | 53 | DNS-kiszolgálók | Kimenő |
| NTLM RPC-n keresztül | TCP | 135 | A hálózaton lévő összes eszköz | Mindkettő |
| NetBIOS | UDP | 137 | A hálózaton lévő összes eszköz | Mindkettő |
| SSL | TCP | 443 | ATA-központ | Kimenő |
| Syslog (nem kötelező) | UDP | 514 | SIEM-kiszolgáló | Kikötőbe befutó |
| Netlogon (SMB, CIFS, SAM-R) | TCP és UDP | 445 | Minden eszköz a hálózaton | Kimenő |
Megjegyzés:
Az egyszerűsített ATA-átjáró által végrehajtott feloldási folyamat részeként a következő portoknak nyitva kell lenniük a hálózaton lévő eszközökön az egyszerűsített ATA-átjárókról.
- NTLM RPC-n keresztül
- NetBIOS
- A címtárszolgáltatás felhasználói fiókját használva az egyszerűsített ATA-átjáró lekérdezi a szervezet végpontjait a helyi rendszergazdák számára az SAM-R (hálózati bejelentkezés) használatával az oldalirányú mozgási útvonal gráfjának létrehozásához. További információ: Sam-R szükséges engedélyek konfigurálása.
- Az alábbi portokat az ATA-átjáróból bejövő forgalomnak kell megnyitnia a hálózaton lévő eszközökön:
- NTLM RPC-n keresztül (135-ös TCP-port) megoldási célokra
- NetBIOS (137-edik UDP-port) megoldási célokra
Dinamikus memória
Megjegyzés:
Az ATA-szolgáltatások virtuális gépként való futtatásakor a szolgáltatásnak minden memóriát le kell foglalnia a virtuális géphez.
| Virtuális gép, amelyen fut | Leírás |
|---|---|
| Hyper-V | Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gépen. |
| VMWare | Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza a következő lehetőséget a virtuális gép beállításában – Az összes vendégmemória lefoglalása (Minden zárolva). |
| Egyéb virtualizálási gazdagép | Tekintse meg a szállító által biztosított dokumentációt, amelyből megtudhatja, hogyan biztosíthatja, hogy a memória folyamatosan teljes mértékben le legyen foglalva a virtuális gép számára. |
Ha az ATA-központot virtuális gépként futtatja, állítsa le a kiszolgálót, mielőtt új ellenőrzőpontot hozna létre az adatbázis esetleges sérülésének elkerülése érdekében.
ATA-konzol
Az ATA-konzol elérése böngészőn keresztül történik, amely támogatja a böngészőket és a beállításokat:
Az Internet Explorer 10-es vagy újabb verziója
Microsoft Edge
Google Chrome 40 vagy újabb
Képernyőszélesség minimális felbontása 1700 képpont