ATA önkoşulları
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Bu makalede ortamınızda başarılı bir ATA dağıtımının gereksinimleri açıklanmaktadır.
Not
Kaynakları ve kapasiteyi planlama hakkında bilgi için bkz. ATA kapasite planlaması.
ATA, ATA Center, ATA Gateway ve/veya ATA Lightweight Gateway'lerden oluşur. ATA bileşenleri hakkında daha fazla bilgi için bkz. ATA mimarisi.
ATA Sistemi Active Directory orman sınırı üzerinde çalışır ve Windows 2003 ve üzerinin Orman İşlev Düzeyi'ni (FFL) destekler.
Başlamadan önce: Bu bölümde, ATA yüklemesini başlatmadan önce toplamanız gereken bilgiler ve sahip olmanız gereken hesaplar ve ağ varlıkları listelenir.
ATA Center: Bu bölümde ATA Center donanımı, yazılım gereksinimleri ve ATA Center sunucunuzda yapılandırmanız gereken ayarlar listelenir.
ATA Gateway: Bu bölümde ATA Gateway donanımları, yazılım gereksinimleri ve ATA Gateway sunucularınızda yapılandırmanız gereken ayarlar listelenir.
ATA Lightweight Gateway: Bu bölümde ATA Lightweight Gateway donanım ve yazılım gereksinimleri listelenir.
ATA Konsolu: Bu bölümde, ATA Konsolu'nu çalıştırmak için tarayıcı gereksinimleri listelenir.
Başlamadan önce
Bu bölümde, ATA yüklemesini başlatmadan önce toplamanız gereken bilgilerin yanı sıra sahip olmanız gereken hesaplar ve ağ varlıkları listelenir.
İzlenen etki alanlarındaki tüm nesnelere okuma erişimi olan kullanıcı hesabı ve parolası.
Not
Etki alanınızdaki çeşitli Kuruluş Birimlerinde (OU) özel ACL'ler ayarladıysanız, seçilen kullanıcının bu OU'lar için okuma izinlerine sahip olduğundan emin olun.
Microsoft Message Analyzer'ı ATA Gateway'e veya Lightweight Gateway'e yüklemeyin. İleti Çözümleyicisi sürücüsü ATA Gateway ve Lightweight Gateway sürücüleriyle çakşır. ATA Gateway'de Wireshark çalıştırırsanız Wireshark yakalamasını durdurduktan sonra Microsoft Advanced Threat Analytics Ağ Geçidi Hizmeti'ni yeniden başlatmanız gerekir. Aksi takdirde Ağ Geçidi trafiği yakalamayı durdurur. ATA Lightweight Gateway'de Wireshark çalıştırmak ATA Lightweight Gateway'i engellemez.
Önerilen: Kullanıcının Silinmiş Nesneler kapsayıcısı üzerinde salt okunur izinlere sahip olması gerekir. Bu, ATA'nın etki alanındaki nesnelerin toplu silinmesini algılamasına olanak tanır. Silinmiş Nesneler kapsayıcısında salt okunur izinleri yapılandırma hakkında bilgi için, Dizin Nesnesinde İzinleri Görüntüleme veya Ayarlama makalesinin Silinmiş nesne kapsayıcısında izinleri değiştirme bölümüne bakın.
İsteğe bağlı: Ağ etkinliği olmayan bir kullanıcının kullanıcı hesabı. Bu hesap, ATA Honeytoken kullanıcısı olarak yapılandırılabilir. Bir hesabı Honeytoken kullanıcısı olarak yapılandırmak için yalnızca kullanıcı adı gereklidir. Honeytoken yapılandırma bilgileri için bkz. IP adresi dışlamalarını ve Honeytoken kullanıcısını yapılandırma.
İsteğe bağlı: ETKI alanı denetleyicilerine gelen ve etki alanı denetleyicilerinden gelen ağ trafiğini toplamaya ve analiz etmeye ek olarak, ATA, ATA Pass-the-Hash, Deneme Yanılma, Hassas gruplarda değişiklik ve Bal Belirteçleri algılamalarını daha da geliştirmek için 4776, 4732, 4733, 4728, 4729, 4756 ve 4757 Windows olaylarını kullanabilir. Bu olaylar SIEM'inizden veya etki alanı denetleyicinizden Windows Olay İletme ayarıyla alınabiliyor. Toplanan olaylar ATA'ya etki alanı denetleyicisi ağ trafiği aracılığıyla kullanılamayan ek bilgiler sağlar.
ATA Center gereksinimleri
Bu bölümde, ATA Center gereksinimlerini listeler.
Genel
ATA Center, Windows Server 2012 R2 Windows Server 2016 ve Windows Server 2019 çalıştıran bir sunucuya yüklemeyi destekler.
Not
ATA Center Windows Server çekirdeği desteklemez.
ATA Center, bir etki alanının veya çalışma grubunun üyesi olan bir sunucuya yüklenebilir.
Windows 2012 R2 çalıştıran ATA Center'ı yüklemeden önce aşağıdaki güncelleştirmenin yüklendiğini onaylayın: KB2919355.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak kontrol edebilirsiniz: [Get-HotFix -Id kb2919355].
ATA Center'ın sanal makine olarak yüklenmesi desteklenir.
Sunucu belirtimleri
Fiziksel sunucuda çalışırken, ATA veritabanı BIOS'ta Tekdüzen Olmayan bellek erişimini (NUMA) devre dışı bırakmanızı gerektirir. Sisteminiz NUMA'yı Düğüm Araya Ekleme olarak adlandırabilir. Bu durumda NUMA'yı devre dışı bırakmak için Düğüm Araya Ekleme'yi etkinleştirmeniz gerekir. Daha fazla bilgi için BIOS belgelerinize bakın.
En iyi performans için ATA Center'ın Güç SeçeneğiniYüksek Performans olarak ayarlayın.
İzlediğiniz etki alanı denetleyicilerinin sayısı ve etki alanı denetleyicilerinin her birinin yükü, gereken sunucu belirtimlerini belirler. Daha fazla bilgi için bkz. ATA kapasite planlaması.
Windows İşletim sistemleri 2008R2 ve 2012 için Ağ Geçidi , Çok İşlemcili Grup modunda desteklenmez. Çok işlemcili grup modu hakkında daha fazla bilgi için bkz . sorun giderme.
Zaman eşitleme
ATA Center sunucusu, ATA Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanları olmalıdır.
Ağ bağdaştırıcıları
Aşağıdaki kümeye sahip olmanız gerekir:
En az bir ağ bağdaştırıcısı (VLAN ortamında fiziksel sunucu kullanılıyorsa, iki ağ bağdaştırıcısı kullanılması önerilir)
443 numaralı bağlantı noktasında SSL kullanılarak şifrelenen ATA Center ile ATA Gateway arasındaki iletişim için bir IP adresi. (ATA hizmeti, ATA Center'ın 443 numaralı bağlantı noktasındaki tüm IP adreslerine bağlanır.)
Bağlantı Noktaları
Aşağıdaki tabloda, ATA Center'ın düzgün çalışması için açılması gereken en düşük bağlantı noktaları listelenir.
| Protokol | Taşıma | Bağlantı noktası | Son/Kimden | Yön |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Gelen |
| HTTP (isteğe bağlı) | TCP | 80 | Şirket Ağı | Gelen |
| HTTPS | TCP | 443 | Şirket Ağı ve ATA Gateway | Gelen |
| SMTP (isteğe bağlı) | TCP | 25 | SMTP Sunucusu | Giden |
| SMTPS (isteğe bağlı) | TCP | 465 | SMTP Sunucusu | Giden |
| Syslog (isteğe bağlı) | TCP/UPS/TLS (yapılandırılabilir) | 514 (varsayılan) | Syslog sunucusu | Giden |
| LDAP | TCP ve UDP | 389 | Etki alanı denetleyicileri | Giden |
| LDAPS (isteğe bağlı) | TCP | 636 | Etki alanı denetleyicileri | Giden |
| DNS | TCP ve UDP | 53 | DNS sunucuları | Giden |
| Kerberos (etki alanına katılmışsa isteğe bağlı) | TCP ve UDP | 88 | Etki alanı denetleyicileri | Giden |
| Windows Saati (etki alanına katılmışsa isteğe bağlı) | UDP | 123 | Etki alanı denetleyicileri | Giden |
Not
ATA Gateway'ler ve etki alanı denetleyicileri arasında kullanılacak kimlik bilgilerini test etmek için LDAP gereklidir. Test, bu kimlik bilgilerinin geçerliliğini test etmek için ATA Center'dan bir etki alanı denetleyicisine gerçekleştirilir ve ardından ATA Gateway, normal çözümleme işleminin bir parçası olarak LDAP kullanır.
Sertifikalar
ATA'yı daha hızlı yüklemek ve dağıtmak için, yükleme sırasında otomatik olarak imzalanan sertifikaları yükleyebilirsiniz. Otomatik olarak imzalanan sertifikaları kullanmayı seçtiyseniz, ilk dağıtımdan sonra otomatik olarak imzalanan sertifikaları ATA Center tarafından kullanılacak bir iç Sertifika Yetkilisinin sertifikalarıyla değiştirmeniz önerilir.
ATA Center ve ATA Gateway'lerin CRL dağıtım noktanıza erişimi olduğundan emin olun. İnternet erişimi yoksa, bir CRL'yi el ile içeri aktarmak için yordamı izleyin ve zincirin tamamı için tüm CRL dağıtım noktalarını yüklemeye dikkat edin.
Sertifikanın sahip olması gerekenler:
- Özel anahtar
- Şifreleme Hizmeti Sağlayıcısı (CSP) veya Anahtar Depolama Sağlayıcısı (KSP) sağlayıcı türü
- 2048 bit ortak anahtar uzunluğu
- KeyEncipherment ve ServerAuthentication kullanım bayrakları için bir değer kümesi
- "KeyExchange" (AT_KEYEXCHANGE) değerinin KeySpec (KeyNumber) değeri. "signature" (AT_SIGNATURE) değeri desteklenmez .
- Tüm Ağ Geçidi makinelerinin seçilen Center sertifikasını tam olarak doğrulayabilmesi ve güvenebilmesi gerekir.
Örneğin, standart Web sunucusunu veya Bilgisayar şablonlarını kullanabilirsiniz.
Uyarı
Mevcut bir sertifikayı yenileme işlemi desteklenmez. Sertifikayı yenilemenin tek yolu, yeni bir sertifika oluşturup ATA'nın yeni sertifikayı kullanacak şekilde yapılandırılmasıdır.
Not
- ATA Konsolu'na diğer bilgisayarlardan erişecekseniz, bu bilgisayarların ATA Center tarafından kullanılan sertifikaya güvendiğinden emin olun, aksi takdirde oturum açma sayfasına geçmeden önce web sitesinin güvenlik sertifikasıyla ilgili bir sorun olduğuna ilişkin bir uyarı sayfası alırsınız.
- ATA 1.8 sürümünden başlayarak, ATA Gateway'ler ve Lightweight Gateway'ler kendi sertifikalarını yönetir ve bunları yönetmek için yönetici etkileşimi gerekmez.
ATA Gateway gereksinimleri
Bu bölümde, ATA Gateway gereksinimlerini listelemektedir.
Genel
ATA Gateway, Windows Server 2012 R2 veya Windows Server 2016 ve Windows Server 2019 (sunucu çekirdeği dahil) çalıştıran bir sunucuya yüklemeyi destekler. ATA Gateway, bir etki alanının veya çalışma grubunun üyesi olan bir sunucuya yüklenebilir. ATA Gateway, Etki Alanı İşlev Düzeyi Windows 2003 ve üzeri olan Etki Alanı Denetleyicilerini izlemek için kullanılabilir.
Windows 2012 R2 çalıştıran ATA Gateway'i yüklemeden önce aşağıdaki güncelleştirmenin yüklendiğini onaylayın: KB2919355.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak kontrol edebilirsiniz: [Get-HotFix -Id kb2919355].
ATA Gateway ile sanal makineleri kullanma hakkında bilgi için bkz. Bağlantı noktası yansıtmayı yapılandırma.
Not
En az 5 GB alan gerekir ve 10 GB önerilir. Buna ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan dahildir.
Sunucu belirtimleri
En iyi performans için ATA Gateway'in Güç SeçeneğiniYüksek Performans olarak ayarlayın.
ATA Gateway, etki alanı denetleyicilerine gelen ve bu denetleyicilerden gelen ağ trafiği miktarına bağlı olarak birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.
Dinamik bellek veya başka bir sanal makine bellek yönetimi özelliği hakkında daha fazla bilgi edinmek için bkz. Dinamik bellek.
ATA Gateway donanım gereksinimleri hakkında daha fazla bilgi için bkz. ATA kapasite planlaması.
Zaman eşitleme
ATA Center sunucusu, ATA Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanları olmalıdır.
Ağ bağdaştırıcıları
ATA Gateway için en az bir Yönetim bağdaştırıcısı ve en az bir Yakalama bağdaştırıcısı gerekir:
Yönetim bağdaştırıcısı - kurumsal ağınızdaki iletişimler için kullanılır. Bu bağdaştırıcı aşağıdaki ayarlarla yapılandırılmalıdır:
Varsayılan ağ geçidi dahil statik IP adresi
Tercih edilen ve alternatif DNS sunucuları
Bu bağlantının DNS soneki, izlenen her etki alanı için etki alanının DNS adı olmalıdır.
Not
ATA Gateway etki alanının bir üyesiyse, bu otomatik olarak yapılandırılabilir.
Yakalama bağdaştırıcısı - etki alanı denetleyicilerine gelen ve bu denetleyicilerden gelen trafiği yakalamak için kullanılır.
Önemli
- Yakalama bağdaştırıcısı için bağlantı noktası yansıtmayı etki alanı denetleyicisi ağ trafiğinin hedefi olarak yapılandırın. Daha fazla bilgi için bkz. Bağlantı noktası yansıtmayı yapılandırma. Genellikle bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle çalışmanız gerekir.
- Ortamınız için varsayılan ağ geçidi ve DNS sunucusu adresi olmadan statik yönlendirilemeyen bir IP adresi yapılandırın. Örneğin, 1.1.1.1/32. Bu, yakalama ağ bağdaştırıcısının maksimum trafik miktarını yakalayabilmesini ve yönetim ağ bağdaştırıcısının gerekli ağ trafiğini gönderip almak için kullanılmasını sağlar.
Bağlantı Noktaları
Aşağıdaki tabloda, ATA Gateway'in yönetim bağdaştırıcısında yapılandırılması gereken en düşük bağlantı noktaları listelenmektedir:
| Protokol | Taşıma | Bağlantı noktası | Son/Kimden | Yön |
|---|---|---|---|---|
| LDAP | TCP ve UDP | 389 | Etki alanı denetleyicileri | Giden |
| Güvenli LDAP (LDAPS) | TCP | 636 | Etki alanı denetleyicileri | Giden |
| LDAP'yi Genel Katalog'a | TCP | 3268 | Etki alanı denetleyicileri | Giden |
| LDAPS-Genel Katalog | TCP | 3269 | Etki alanı denetleyicileri | Giden |
| Kerberos | TCP ve UDP | 88 | Etki alanı denetleyicileri | Giden |
| Netlogon (SMB, CIFS, SAM-R) | TCP ve UDP | 445 | Ağdaki tüm cihazlar | Giden |
| Windows Saati | UDP | 123 | Etki alanı denetleyicileri | Giden |
| DNS | TCP ve UDP | 53 | DNS Sunucuları | Giden |
| RPC üzerinden NTLM | TCP | 135 | Ağdaki tüm cihazlar | Her ikisi |
| NetBIOS | UDP | 137 | Ağdaki tüm cihazlar | Her ikisi |
| SSL | TCP | 443 | ATA Center | Giden |
| Syslog (isteğe bağlı) | UDP | 514 | SIEM Sunucusu | Gelen |
Not
ATA Gateway tarafından yapılan çözümleme işleminin bir parçası olarak, aşağıdaki bağlantı noktalarının ağdaki cihazlarda ATA Gateway'lerden gelen açık olması gerekir.
- RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
- NetBIOS (UDP bağlantı noktası 137)
- Dizin hizmeti kullanıcı hesabını kullanarak ATA Gateway, yanal hareket yolu grafiğini oluşturmak için SAM-R (ağ oturumu açma) kullanarak yerel yöneticiler için kuruluşunuzdaki uç noktaları sorgular. Daha fazla bilgi için bkz. SAM-R gerekli izinlerini yapılandırma.
- Aşağıdaki bağlantı noktalarının ağdaki cihazlarda ATA Gateway'den gelen açık olması gerekir:
- Çözümleme amacıyla RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
- Çözümleme amacıyla NetBIOS (UDP bağlantı noktası 137)
ATA Lightweight Gateway gereksinimleri
Bu bölümde ATA Lightweight Gateway gereksinimlerini listelemektedir.
Genel
ATA Lightweight Gateway, Windows Server 2008 R2 SP1 (Sunucu Çekirdeği dahil değildir), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ve Windows Server çalıştıran bir etki alanı denetleyicisine yüklemeyi destekler 2019 (Core dahil ancak Nano dahil değil).
Etki alanı denetleyicisi salt okunur bir etki alanı denetleyicisi (RODC) olabilir.
WINDOWS SERVER 2012 R2 çalıştıran bir etki alanı denetleyicisine ATA Lightweight Gateway'i yüklemeden önce aşağıdaki güncelleştirmenin yüklendiğini onaylayın: KB2919355.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak kontrol edebilirsiniz:[Get-HotFix -Id kb2919355]
Yükleme Windows server 2012 R2 Server Core içinse, aşağıdaki güncelleştirme de yüklenmelidir: KB3000850.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak kontrol edebilirsiniz:[Get-HotFix -Id kb3000850]
Yükleme sırasında .Net Framework 4.6.1 yüklenir ve etki alanı denetleyicisinin yeniden başlatılmasına neden olabilir.
Not
En az 5 GB alan gerekir ve 10 GB önerilir. Buna ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan dahildir.
Sunucu belirtimleri
ATA Lightweight Gateway, etki alanı denetleyicisinde en az 2 çekirdek ve 6 GB RAM gerektirir. En iyi performans için ATA Lightweight Gateway'in Güç SeçeneğiniYüksek Performans olarak ayarlayın. ATA Lightweight Gateway, etki alanı denetleyicilerine gelen ve bu etki alanı denetleyicisine yüklenen kaynak miktarına bağlı olarak çeşitli yük ve boyutlardaki etki alanı denetleyicilerine dağıtılabilir.
Dinamik bellek veya başka bir sanal makine bellek yönetimi özelliği hakkında daha fazla bilgi edinmek için bkz. Dinamik bellek.
ATA Lightweight Gateway donanım gereksinimleri hakkında daha fazla bilgi için bkz. ATA kapasite planlaması.
Zaman eşitleme
ATA Center sunucusu, ATA Lightweight Gateway sunucuları ve etki alanı denetleyicilerinin zamanları birbirine beş dakika içinde eşitlenmelidir.
Ağ bağdaştırıcıları
ATA Lightweight Gateway, etki alanı denetleyicisinin tüm ağ bağdaştırıcılarında yerel trafiği izler.
Dağıtımdan sonra, hangi ağ bağdaştırıcılarının izleneceğini değiştirmek isterseniz ATA Konsolu'nu kullanabilirsiniz.
Not
Lightweight Gateway, Broadcom Ağ Bağdaştırıcısı Grubu Oluşturma etkinken Windows 2008 R2 çalıştıran etki alanı denetleyicilerinde desteklenmez.
Bağlantı Noktaları
Aşağıdaki tabloda, ATA Lightweight Gateway için gereken en düşük bağlantı noktaları listelenir:
| Protokol | Taşıma | Bağlantı noktası | Son/Kimden | Yön |
|---|---|---|---|---|
| DNS | TCP ve UDP | 53 | DNS Sunucuları | Giden |
| RPC üzerinden NTLM | TCP | 135 | Ağdaki tüm cihazlar | Her ikisi |
| NetBIOS | UDP | 137 | Ağdaki tüm cihazlar | Her ikisi |
| SSL | TCP | 443 | ATA Center | Giden |
| Syslog (isteğe bağlı) | UDP | 514 | SIEM Sunucusu | Gelen |
| Netlogon (SMB, CIFS, SAM-R) | TCP ve UDP | 445 | Ağdaki tüm cihazlar | Giden |
Not
ATA Lightweight Gateway tarafından gerçekleştirilen çözümleme işleminin bir parçası olarak, aşağıdaki bağlantı noktalarının ağdaki cihazlarda ATA Lightweight Gateway'lerden gelen açık olması gerekir.
- RPC üzerinden NTLM
- NetBIOS
- Dizin hizmeti kullanıcı hesabını kullanan ATA Lightweight Gateway, yanal hareket yolu grafiğini oluşturmak için SAM-R (ağ oturum açma) kullanarak yerel yöneticiler için kuruluşunuzdaki uç noktaları sorgular. Daha fazla bilgi için bkz. SAM-R gerekli izinlerini yapılandırma.
- Aşağıdaki bağlantı noktalarının ağdaki cihazlarda ATA Gateway'den gelen açık olması gerekir:
- Çözümleme amacıyla RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
- Çözümleme amacıyla NetBIOS (UDP bağlantı noktası 137)
Dinamik bellek
Not
ATA hizmetlerini sanal makine (VM) olarak çalıştırırken, hizmet her zaman tüm belleğin VM'ye ayrılmasını gerektirir.
| Vm üzerinde çalışıyor | Açıklama |
|---|---|
| Hyper-V | Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun. |
| VMWare | Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarında aşağıdaki seçeneği belirtin: Tüm konuk belleğini ayır (Tümü kilitli). |
| Diğer sanallaştırma konağı | Belleğin vm'ye her zaman tamamen ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın. |
ATA Center'ı sanal makine olarak çalıştırırsanız, olası veritabanı bozulmalarını önlemek için yeni bir denetim noktası oluşturmadan önce sunucuyu kapatın.
ATA Konsolu
ATA Konsolu'na tarayıcı üzerinden erişim, tarayıcıları ve ayarları destekler:
Internet Explorer sürüm 10 ve üzeri
Microsoft Edge
Google Chrome 40 ve üzeri
En az 1700 piksel ekran genişliği çözünürlüğü