Požadavky ATA
Platí pro: Advanced Threat Analytics verze 1.9
Tento článek popisuje požadavky na úspěšné nasazení ATA ve vašem prostředí.
Poznámka:
Informace o plánování prostředků a kapacity najdete v tématu Plánování kapacity ATA.
ATA se skládá z ATA Center, ATA Gateway nebo ATA Lightweight Gateway. Další informace o komponentách ATA najdete v architektuře ATA.
Systém ATA funguje na hranici doménové struktury služby Active Directory a podporuje úroveň funkčnosti doménové struktury (FFL) systému Windows 2003 a vyšší.
Než začnete: V této části jsou uvedené informace, které byste měli shromáždit, a účty a síťové entity, které byste měli mít před zahájením instalace ATA.
ATA Center: Tato část obsahuje seznam hardwarových, softwarových požadavků ATA Center a nastavení, která musíte nakonfigurovat na serveru ATA Center.
ATA Gateway: Tato část obsahuje seznam hardwarových, softwarových požadavků ATA Gateway a nastavení, která je potřeba nakonfigurovat na serverech ATA Gateway.
ATA Lightweight Gateway: Tato část obsahuje seznam hardwarových a softwarových požadavků ATA Lightweight Gateway.
Konzola ATA: V této části jsou uvedeny požadavky prohlížeče pro spuštění konzoly ATA.
Než začnete
Tato část obsahuje informace, které byste měli shromáždit, a také účty a síťové entity, které byste měli mít před zahájením instalace ATA.
Uživatelský účet a heslo s přístupem pro čtení ke všem objektům v monitorovaných doménách.
Poznámka:
Pokud jste nastavili vlastní seznamy ACL pro různé organizační jednotky (OU) ve vaší doméně, ujistěte se, že má vybraný uživatel oprávnění ke čtení těchto organizačních jednotek.
Neinstalujte Microsoft Message Analyzer na ATA Gateway nebo Lightweight Gateway. Ovladač Message Analyzeru koliduje s ovladači ATA Gateway a Lightweight Gateway. Pokud na ATA Gateway spustíte Wireshark, budete muset po zastavení zachytávání Wireshark restartovat službu Microsoft Advanced Threat Analytics Gateway. Pokud ne, brána zastaví zachytávání provozu. Spuštění Wiresharku na ATA Lightweight Gateway nezasahuje do ATA Lightweight Gateway.
Doporučeno: Uživatel by měl mít oprávnění jen pro čtení v kontejneru Odstraněné objekty. AtA tak může detekovat hromadné odstranění objektů v doméně. Informace o konfiguraci oprávnění jen pro čtení v kontejneru Odstraněné objekty najdete v části Změna oprávnění u kontejneru odstraněného objektu v článku Zobrazení nebo Nastavení oprávnění pro objekt adresáře.
Volitelné: Uživatelský účet uživatele bez síťových aktivit. Tento účet je konfigurovatelný jako uživatel ATA Honeytoken. Pokud chcete účet nakonfigurovat jako uživatele Honeytokenu, vyžaduje se jenom uživatelské jméno. Informace o konfiguraci Honeytokenu najdete v tématu Konfigurace vyloučení IP adres a uživatele Honeytoken.
Volitelné: Kromě shromažďování a analýzy síťového provozu do a z řadičů domény může ATA používat události Windows 4776, 4732, 4733, 4728, 4729, 4756 a 4757 k dalšímu vylepšení ATA Pass-the-Hash, Hrubá síla, Úprava citlivých skupin a detekce medových tokenů. Tyto události lze přijímat z vašeho SYSTÉMU SIEM nebo nastavením předávání událostí systému Windows z řadiče domény. Shromážděné události poskytují ATA další informace, které nejsou dostupné prostřednictvím síťového provozu řadiče domény.
Požadavky ATA Center
Tato část obsahuje seznam požadavků pro ATA Center.
Všeobecné
ATA Center podporuje instalaci na serveru se systémem Windows Server 2012 R2 Windows Server 2016 a Windows Server 2019.
Poznámka:
ATA Center nepodporuje jádro Windows Serveru.
ATA Center je možné nainstalovat na server, který je členem domény nebo pracovní skupiny.
Před instalací ATA Center s Windows 2012 R2 ověřte, že je nainstalovaná následující aktualizace: KB2919355.
Kontrolu můžete provést spuštěním následující rutiny Prostředí Windows PowerShell: [Get-HotFix -Id kb2919355].
Instalace ATA Center jako virtuálního počítače se podporuje.
Specifikace serveru
Při práci na fyzickém serveru databáze ATA vyžaduje, abyste v systému BIOS zakázali ne uniformní přístup k paměti (NUMA). Váš systém může odkazovat na NUMA jako prokládání uzlů, v takovém případě musíte povolit prokládání uzlů, aby bylo možné technologii NUMA zakázat. Další informace najdete v dokumentaci k systému BIOS.
Pokud chcete dosáhnout optimálního výkonu , nastavte možnost napájení ATA Center na vysoký výkon.
Počet řadičů domény, které monitorujete, a zatížení jednotlivých řadičů domény určuje potřebné specifikace serveru. Další informace najdete v tématu Plánování kapacity ATA.
V případě operačních systémů Windows 2008R2 a 2012 se brána nepodporuje v režimu skupiny více procesorů. Další informace o režimu skupiny s více procesory najdete v tématu řešení potíží.
Čas synchronizace
Server ATA Center, servery ATA Gateway a řadiče domény musí být synchronizované do pěti minut od sebe.
Síťové adaptéry
Měli byste mít následující sadu:
Alespoň jeden síťový adaptér (pokud používáte fyzický server v prostředí sítě VLAN, doporučuje se použít dva síťové adaptéry).
IP adresa pro komunikaci mezi ATA Center a ATA Gateway, která je šifrovaná pomocí SSL na portu 443. (Služba ATA vytvoří vazbu na všechny IP adresy, které má ATA Center na portu 443.)
Porty
Následující tabulka uvádí minimální porty, které je potřeba otevřít, aby ATA Center fungovaly správně.
| Protokol | Přeprava | Přístav | Do/From | Směr |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Příchozí |
| HTTP (volitelné) | TCP | 80 | Firemní síť | Příchozí |
| HTTPS | TCP | 443 | Firemní síť a ATA Gateway | Příchozí |
| SMTP (volitelné) | TCP | 25 | Server SMTP | Odchozí |
| SMTPS (volitelné) | TCP | 465 | Server SMTP | Odchozí |
| Syslog (volitelné) | TCP/UPS/TLS (konfigurovatelné) | 514 (výchozí) | Server syslogu | Odchozí |
| LDAP | TCP a UDP | 389 | Řadiče domény | Odchozí |
| LDAPS (volitelné) | TCP | 636 | Řadiče domény | Odchozí |
| DNS | TCP a UDP | 53 | Servery DNS | Odchozí |
| Kerberos (volitelné, pokud je připojená k doméně) | TCP a UDP | 88 | Řadiče domény | Odchozí |
| Windows Time (volitelné, pokud je doména připojená) | UDP | 123 | Řadiče domény | Odchozí |
Poznámka:
Protokol LDAP se vyžaduje k otestování přihlašovacích údajů, které se mají použít mezi ATA Gateway a řadiči domény. Test se provádí z ATA Center na řadič domény a otestuje platnost těchto přihlašovacích údajů, po kterém ATA Gateway používá protokol LDAP jako součást svého normálního procesu řešení.
Certifikáty
Pokud chcete ATA nainstalovat a nasadit rychleji, můžete během instalace nainstalovat certifikáty podepsané svým držitelem. Pokud jste se rozhodli používat certifikáty podepsané svým držitelem, doporučujeme po počátečním nasazení nahradit certifikáty podepsané svým držitelem certifikáty certifikáty z interní certifikační autority, kterou bude používat ATA Center.
Ujistěte se, že komponenty ATA Center a ATA Gateway mají přístup k distribučnímu bodu seznamu CRL. Pokud nemají přístup k internetu, postupujte podle postupu ručního importu seznamu CRL a dbejte na instalaci všech distribučních bodů seznamu CRL pro celý řetězec.
Certifikát musí obsahovat:
- Privátní klíč
- Typ zprostředkovatele zprostředkovatele kryptografických služeb (CSP) nebo poskytovatele úložiště klíčů (KSP)
- Délka veřejného klíče 2048 bitů
- Hodnota nastavená pro příznaky použití KeyEncipherment a ServerAuthentication
- Hodnota KeySpec (KeyNumber) hodnoty KeyExchange (AT_KEYEXCHANGE). Hodnota Signature (AT_SIGNATURE) není podporována.
- Všechny počítače brány musí být schopné plně ověřit a důvěřovat vybranému certifikátu Centra.
Můžete například použít standardní webový server nebo šablony počítače .
Upozorňující
Proces obnovení existujícího certifikátu se nepodporuje. Jediným způsobem, jak obnovit certifikát, je vytvoření nového certifikátu a konfigurace ATA pro použití nového certifikátu.
Poznámka:
- Pokud se chystáte získat přístup ke konzole ATA z jiných počítačů, ujistěte se, že tyto počítače důvěřují certifikátu používanému ATA Center, jinak se zobrazí stránka s upozorněním, že došlo k problému s certifikátem zabezpečení webu, než se dostanete na přihlašovací stránku.
- Počínaje ATA verze 1.8 spravují komponenty ATA Gateway a Lightweight Gateway vlastní certifikáty a nepotřebují ke správě žádné interakce správce.
Požadavky ATA Gateway
Tato část obsahuje seznam požadavků pro ATA Gateway.
Všeobecné
ATA Gateway podporuje instalaci na serveru se systémem Windows Server 2012 R2 nebo Windows Server 2016 a Windows Server 2019 (včetně jádra serveru). ATA Gateway je možné nainstalovat na server, který je členem domény nebo pracovní skupiny. ATA Gateway lze použít k monitorování řadičů domény s úrovní funkčnosti domény systému Windows 2003 a vyšší.
Před instalací ATA Gateway se systémem Windows 2012 R2 ověřte, že je nainstalovaná následující aktualizace: KB2919355.
Kontrolu můžete provést spuštěním následující rutiny Prostředí Windows PowerShell: [Get-HotFix -Id kb2919355].
Informace o používání virtuálních počítačů s ATA Gateway najdete v tématu Konfigurace zrcadlení portů.
Poznámka:
Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB. To zahrnuje prostor potřebný pro binární soubory ATA, protokoly ATA a protokoly výkonu.
Specifikace serveru
Pokud chcete dosáhnout optimálního výkonu , nastavte možnost napájení ATA Gateway na vysoký výkon.
ATA Gateway může podporovat monitorování více řadičů domény v závislosti na množství síťového provozu do a z řadičů domény.
Další informace o dynamické paměti nebo jakékoli jiné funkci správy paměti virtuálního počítače najdete v tématu Dynamická paměť.
Další informace o požadavcích na hardware ATA Gateway najdete v tématu Plánování kapacity ATA.
Čas synchronizace
Server ATA Center, servery ATA Gateway a řadiče domény musí být synchronizované do pěti minut od sebe.
Síťové adaptéry
ATA Gateway vyžaduje alespoň jeden adaptér pro správu a alespoň jeden adaptér pro zachytávání:
Adaptér pro správu – používá se pro komunikaci v podnikové síti. Tento adaptér by měl být nakonfigurovaný s následujícím nastavením:
Statická IP adresa včetně výchozí brány
Upřednostňované a alternativní servery DNS
Přípona DNS pro toto připojení by měla být název DNS domény pro každou monitorovanou doménu.
Poznámka:
Pokud je ATA Gateway členem domény, může se tato konfigurace nakonfigurovat automaticky.
Adaptér pro zachytávání – slouží k zachytávání provozu do a z řadičů domény.
Důležité
- Nakonfigurujte zrcadlení portů pro adaptér pro zachytávání jako cíl síťového provozu řadiče domény. Další informace naleznete v tématu Konfigurace zrcadlení portů. Při konfiguraci zrcadlení portů obvykle potřebujete spolupracovat se síťovým týmem nebo týmem virtualizace.
- Nakonfigurujte statickou nesměrovatelnou IP adresu pro vaše prostředí bez výchozí brány a žádné adresy serveru DNS. Například 1.1.1.1/32. Tím zajistíte, že síťový adaptér pro zachytávání dokáže zachytit maximální objem provozu a že se síťový adaptér pro správu používá k odesílání a přijímání požadovaného síťového provozu.
Porty
Následující tabulka uvádí minimální porty, které ATA Gateway vyžaduje nakonfigurované na adaptéru pro správu:
| Protokol | Přeprava | Přístav | Do/From | Směr |
|---|---|---|---|---|
| LDAP | TCP a UDP | 389 | Řadiče domény | Odchozí |
| Secure LDAP (LDAPS) | TCP | 636 | Řadiče domény | Odchozí |
| LDAP do globálního katalogu | TCP | 3 268 | Řadiče domény | Odchozí |
| LDAPS do globálního katalogu | TCP | 3269 | Řadiče domény | Odchozí |
| Kerberos | TCP a UDP | 88 | Řadiče domény | Odchozí |
| Netlogon (SMB, CIFS, SAM-R) | TCP a UDP | 445 | Všechna zařízení v síti | Odchozí |
| Čas ve Windows | UDP | 123 | Řadiče domény | Odchozí |
| DNS | TCP a UDP | 53 | Servery DNS | Odchozí |
| NTLM přes RPC | TCP | 135 | Všechna zařízení v síti | Obojí |
| NetBIOS | UDP | 137 | Všechna zařízení v síti | Obojí |
| SSL | TCP | 443 | ATA Center | Odchozí |
| Syslog (volitelné) | UDP | 514 | SIEM Server | Příchozí |
Poznámka:
V rámci procesu řešení, který ATA Gateway provádí, musí být na zařízeních v síti z ATA Gateway otevřené příchozí porty.
- NTLM přes RPC (port TCP 135)
- NetBIOS (port UDP 137)
- Pomocí uživatelského účtu adresářové služby ATA Gateway dotazuje koncové body ve vaší organizaci pro místní správce pomocí SAM-R (přihlášení k síti), aby se vytvořil graf cest laterálního pohybu. Další informace najdete v tématu Konfigurace požadovaných oprávnění SAM-R.
- Na zařízeních v síti z ATA Gateway musí být otevřené následující porty:
- NTLM přes RPC (port TCP 135) pro účely překladu
- Rozhraní NetBIOS (port UDP 137) pro účely řešení
Požadavky ATA Lightweight Gateway
Tato část obsahuje seznam požadavků pro ATA Lightweight Gateway.
Všeobecné
ATA Lightweight Gateway podporuje instalaci na řadiči domény se systémem Windows Server 2008 R2 SP1 (včetně jádra serveru), Windows Serveru 2012, Windows Serveru 2012 R2, Windows Serveru 2016 a Windows Serveru 2019 (včetně jádra, ale ne Nano).
Řadič domény může být řadič domény jen pro čtení (RODC).
Před instalací ATA Lightweight Gateway na řadič domény se systémem Windows Server 2012 R2 ověřte, že je nainstalovaná následující aktualizace: KB2919355.
Kontrolu můžete provést spuštěním následující rutiny Windows PowerShellu: [Get-HotFix -Id kb2919355]
Pokud je instalace pro jádro Windows Serveru 2012 R2, měla by být nainstalována také následující aktualizace: KB3000850.
Kontrolu můžete provést spuštěním následující rutiny Windows PowerShellu: [Get-HotFix -Id kb3000850]
Během instalace se nainstaluje rozhraní .Net Framework 4.6.1 a může způsobit restartování řadiče domény.
Poznámka:
Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB. To zahrnuje prostor potřebný pro binární soubory ATA, protokoly ATA a protokoly výkonu.
Specifikace serveru
ATA Lightweight Gateway vyžaduje minimálně 2 jádra a 6 GB paměti RAM nainstalované na řadiči domény. Pro zajištění optimálního výkonu nastavte možnost napájení ATA Lightweight Gateway na vysoký výkon. ATA Lightweight Gateway je možné nasadit na řadiče domény s různými zatíženími a velikostmi v závislosti na množství síťového provozu do a z řadičů domény a na množství prostředků nainstalovaných v daném řadiči domény.
Další informace o dynamické paměti nebo jakékoli jiné funkci správy paměti virtuálního počítače najdete v tématu Dynamická paměť.
Další informace o požadavcích na hardware ATA Lightweight Gateway najdete v tématu Plánování kapacity ATA.
Čas synchronizace
Server ATA Center, servery ATA Lightweight Gateway a řadiče domény musí být synchronizované do pěti minut od sebe.
Síťové adaptéry
ATA Lightweight Gateway monitoruje místní provoz na všech síťových adaptérech řadiče domény.
Po nasazení můžete konzolu ATA použít, pokud byste někdy chtěli upravit, které síťové adaptéry se monitorují.
Poznámka:
Lightweight Gateway není podporována na řadičích domény se systémem Windows 2008 R2 s povoleným seskupováním síťových adaptérů Broadcom.
Porty
Následující tabulka uvádí minimální porty, které ATA Lightweight Gateway vyžaduje:
| Protokol | Přeprava | Přístav | Do/From | Směr |
|---|---|---|---|---|
| DNS | TCP a UDP | 53 | Servery DNS | Odchozí |
| NTLM přes RPC | TCP | 135 | Všechna zařízení v síti | Obojí |
| NetBIOS | UDP | 137 | Všechna zařízení v síti | Obojí |
| SSL | TCP | 443 | ATA Center | Odchozí |
| Syslog (volitelné) | UDP | 514 | SIEM Server | Příchozí |
| Netlogon (SMB, CIFS, SAM-R) | TCP a UDP | 445 | Všechna zařízení v síti | Odchozí |
Poznámka:
V rámci procesu řešení prováděného ATA Lightweight Gateway musí být na zařízeních v síti z ATA Lightweight Gateway otevřené následující porty.
- NTLM přes RPC
- NetBIOS
- Pomocí uživatelského účtu adresářové služby ATA Lightweight Gateway dotazuje koncové body ve vaší organizaci pro místní správce pomocí SAM-R (přihlášení k síti), aby se vytvořil graf cest laterálního pohybu. Další informace najdete v tématu Konfigurace požadovaných oprávnění SAM-R.
- Na zařízeních v síti z ATA Gateway musí být otevřené následující porty:
- NTLM přes RPC (port TCP 135) pro účely překladu
- Rozhraní NetBIOS (port UDP 137) pro účely řešení
Dynamická paměť
Poznámka:
Při spouštění služeb ATA jako virtuálního počítače služba vyžaduje přidělení veškeré paměti virtuálnímu počítači po celou dobu.
| Virtuální počítač spuštěný na | Popis |
|---|---|
| Hyper-V | Ujistěte se, že pro virtuální počítač není povolená dynamická paměť . |
| VMWare | Ujistěte se, že je nakonfigurovaná velikost paměti a vyhrazená paměť stejná, nebo v nastavení virtuálního počítače vyberte následující možnost – Zarezervujte veškerou paměť hosta (vše uzamčeno). |
| Jiný hostitel virtualizace | Informace o tom, jak zajistit, aby byla paměť plně přidělená virtuálnímu počítači, najdete v dokumentaci od dodavatele. |
Pokud ATA Center spustíte jako virtuální počítač, vypněte server před vytvořením nového kontrolního bodu, abyste se vyhnuli potenciálnímu poškození databáze.
Konzola ATA
Přístup ke konzole ATA je prostřednictvím prohlížeče, který podporuje prohlížeče a nastavení:
Internet Explorer verze 10 a novější
Microsoft Edge
Google Chrome 40 a novější
Minimální rozlišení šířky obrazovky 1700 pixelů