ATA-Kapazitätsplanung
Gilt für: Advanced Threat Analytics, Version 1.9
In diesem Artikel erfahren Sie, wie viele ATA-Server zum Überwachen Ihres Netzwerks benötigt werden. Es hilft Ihnen zu schätzen, wie viele ATA-Gateways und/oder ATA Lightweight Gateways Sie benötigen, sowie die Serverkapazität für Ihre ATA Center- und ATA-Gateways.
Hinweis
Das ATA Center kann auf jedem IaaS-Anbieter bereitgestellt werden, solange die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
Verwenden des Größentools
Die empfohlene und einfachste Möglichkeit zum Ermitteln der Kapazität Für Ihre ATA-Bereitstellung ist die Verwendung des ATA-Größenanpassungstools. Führen Sie das ATA-Größenanpassungstool und aus den Excel-Dateiergebnissen aus, verwenden Sie die folgenden Felder, um die atA-Kapazität zu ermitteln, die Sie benötigen:
ATA Center CPU und Arbeitsspeicher: Stimmen Sie das Feld "Beschäftigt-Pakete/Sek " in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld "PACKETS PER SECOND " in der ATA Center-Tabelle überein.
ATA Center Storage: Stimmen Sie das Feld "Avg Packets/sec " in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld "PACKETS PER SECOND " in der ATA Center-Tabelle überein.
ATA-Gateway: Stimmen Sie das Feld "Beschäftigt-Pakete/Sek " in der TABELLE "ATA-Gateway" in der Ergebnisdatei dem Feld "PACKETS PER SECOND " in der ATA-Gatewaytabelle oder der TABELLE "ATA Lightweight Gateway" zu, je nachdem , welche Gatewaytyp Sie auswählen.
Hinweis
Da verschiedene Umgebungen unterschiedlich sind und mehrere spezielle und unerwartete Netzwerkdatenverkehrsmerkmale aufweisen, müssen Sie nach der ersten Bereitstellung ATA bereitstellen und das Größenanpassungstool ausführen, möglicherweise müssen Sie Die Bereitstellung auf Kapazität anpassen und optimieren.
Wenn Sie das ATA-Größenanpassungstool nicht verwenden können, sammeln Sie die Paket-/Sek.-Zählerinformationen manuell mit einem niedrigen Sammlungsintervall (ca. 5 Sekunden) aus all Ihren Do Standard Controllern für 24 Stunden. Berechnen Sie dann für jeden Do Standard Controller den täglichen Durchschnitt und den durchschnittlichsten Zeitraum (15 Minuten). In den folgenden Abschnitten finden Sie Anweisungen zum Sammeln der Pakete/Sek. von einem Do Standard Controller.
Hinweis
Da verschiedene Umgebungen unterschiedlich sind und mehrere spezielle und unerwartete Netzwerkdatenverkehrsmerkmale aufweisen, müssen Sie nach der ersten Bereitstellung ATA bereitstellen und das Größenanpassungstool ausführen, möglicherweise müssen Sie Die Bereitstellung auf Kapazität anpassen und optimieren.
ATA Center-Größe
Das ATA Center erfordert mindestens 30 Tage Daten für Benutzerverhaltensanalysen.
| Pakete pro Sekunde von allen DCs | CPU (Kerne*) | Arbeitsspeicher (GB) | Datenbankspeicher pro Tag (GB) | Datenbankspeicher pro Monat (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1\.800 | 1,000 (1,500) |
| 400.000 | 12 | 96 | 120 | 3.600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6\.750 | 2,500 (3,000) |
| 1\.000.000 | 40 | 128 | 300 | 9.000 | 4,000 (5,000) |
*Dies umfasst physische Kerne, nicht hyperthreadierte Kerne.
**Durchschnittliche Zahlen (Spitzenzahlen)
Hinweis
- Das ATA Center kann maximal 1M-Pakete pro Sekunde von allen überwachten Do Standard Controllern verarbeiten. In einigen Umgebungen kann dasselbe ATA Center den gesamten Datenverkehr verarbeiten, der höher als 1M ist, und einige Umgebungen können die ATA-Kapazität überschreiten. Wenden Sie sich an azureatpfeedback@microsoft.com uns, um Unterstützung bei der Planung und Schätzung großer Umgebungen zu erhalten.
- Wenn Ihr freier Speicherplatz mindestens 20 % oder 200 GB erreicht, wird die älteste Sammlung von Daten gelöscht. Wenn es nicht möglich ist, die Datensammlung auf diese Ebene erfolgreich zu reduzieren, wird eine Warnung protokolliert. ATA funktioniert weiterhin, bis der Schwellenwert von 5 % oder 50 GB frei erreicht ist. Zu diesem Zeitpunkt wird ATA die Datenbank nicht mehr auffüllen, und es wird eine zusätzliche Warnung ausgegeben.
- Sie können das ATA Center auf jedem IaaS-Anbieter bereitstellen, wenn die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
- Die Speicherlatenz für Lese- und Schreibaktivitäten sollte unter 10 ms liegen.
- Das Verhältnis zwischen Lese- und Schreibaktivitäten beträgt etwa 1:3 unter 100.000 Paketen pro Sekunde und 1:6 über 100.000 Pakete pro Sekunde.
- Wenn das Center als virtueller Computer (VM) ausgeführt wird, muss dem Virtuellen Computer der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen von ATA Center als virtueller Computer finden Sie unter ATA Center-Anforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA Center auf "Hohe Leistung" fest.
- Wenn Sie auf einem physischen Server arbeiten, muss die ATA-Datenbank den nicht uniformen Speicherzugriff (NON-Uniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System kann auf NUMA als Knoteninterleaving verweisen. In diesem Fall müssen Sie die Knoteninterleaving aktivieren, um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation. Dies ist nicht relevant, wenn das ATA Center auf einem virtuellen Server ausgeführt wird.
Auswählen des richtigen Gatewaytyps für Ihre Bereitstellung
In einer ATA-Bereitstellung wird eine beliebige Kombination der ATA-Gatewaytypen unterstützt:
- Nur ATA-Gateways
- Nur ATA Lightweight Gateways
- eine Kombination aus beidem.
Berücksichtigen Sie bei der Entscheidung des Gatewaybereitstellungstyps die folgenden Vorteile:
| Gatewaytyp | Vorteile | Kosten | Bereitstellungstopologie | Do Standard Controllerverwendung |
|---|---|---|---|---|
| ATA-Gateway | Die Out-of-Band-Bereitstellung erschwert Angreifern, ATA zu entdecken, ist vorhanden | Höher | Zusammen mit dem Do Standard-Controller (außerhalb des Bandes) installiert | Unterstützt bis zu 50.000 Pakete pro Sekunde |
| ATA Lightweight Gateway | Erfordert keine dedizierte Server- und Port-Spiegel ing-Konfiguration | Lower | Installiert auf dem Do Standard controller | Unterstützt bis zu 10.000 Pakete pro Sekunde |
Im Folgenden finden Sie Beispiele für Szenarien, in denen Standard Controller vom ATA Lightweight Gateway abgedeckt werden sollten:
Zweigstellen
Virtual do Standard Controller, die in der Cloud (IaaS) bereitgestellt werden
Im Folgenden finden Sie Beispiele für Szenarien, in denen Standard Controller vom ATA-Gateway abgedeckt werden sollten:
- Zentrale Rechenzentren (mit do Standard Controllern mit mehr als 10.000 Paketen pro Sekunden)
ATA Lightweight Gateway-Größe
Ein ATA Lightweight Gateway kann die Überwachung eines Do Standard Controllers basierend auf der Menge des Netzwerkdatenverkehrs unterstützen Standard Controller generiert wird.
| Pakete pro Sekunde* | CPU (Kerne**) | Arbeitsspeicher (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5.000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Die Gesamtanzahl der Pakete pro Sekunde auf dem do Standard Controller, der vom spezifischen ATA Lightweight Gateway überwacht wird.
**Die Gesamtzahl der nicht hyperthreadigen Kerne, die dies tun Standard Controller installiert ist.
Während Hyperthreading für das ATA Lightweight Gateway akzeptabel ist, sollten Sie bei der Planung der Kapazität tatsächliche Kerne und nicht hyperthreadierte Kerne zählen.
Gesamtmenge des Arbeitsspeichers Standard controller installiert ist.
Hinweis
- Wenn der Do Standard Controller nicht über die ressourcen verfügt, die vom ATA Lightweight Gateway benötigt werden, ist dies nicht betroffen Standard die Controllerleistung ist nicht betroffen, aber das ATA Lightweight Gateway funktioniert möglicherweise nicht wie erwartet.
- Wenn sie das Gateway als virtueller Computer (VM) ausführen, muss dem Gateway der vm der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Dynamische Speicheranforderungen).
- Legen Sie für eine optimale Leistung die Power-Option des ATA Lightweight Gateways auf hohe Leistung fest.
- Es ist mindestens 5 GB Speicherplatz erforderlich, und es wird 10 GB empfohlen, einschließlich speicherplatzbedarfs für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
ATA-Gatewaygröße
Berücksichtigen Sie die folgenden Probleme bei der Entscheidung, wie viele ATA-Gateways bereitgestellt werden sollen.
- Active Directory-Gesamtstrukturen und -aufgaben Standard
ATA kann datenverkehr von mehreren Do Standard s aus einer einzigen Active Directory-Gesamtstruktur überwachen. Für die Überwachung mehrerer Active Directory-Gesamtstrukturen sind separate ATA-Bereitstellungen erforderlich. Konfigurieren Sie keine einzelne ATA-Bereitstellung, um den Netzwerkdatenverkehr von do Standard Controllern aus verschiedenen Gesamtstrukturen zu überwachen. - Portspiegelung
Portierungs- Spiegel Überlegungen erfordern möglicherweise die Bereitstellung mehrerer ATA-Gateways pro Datengateway oder Zweigstellenstandort. - Kapazität
Ein ATA-Gateway kann die Überwachung mehrerer Do Standard-Controller unterstützen, je nachdem, wie viel Netzwerkdatenverkehr der Do Standard Controller überwacht wird.
| Pakete pro Sekunde* | CPU (Kerne**) | Arbeitsspeicher (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5\.000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20.000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Die durchschnittliche Anzahl von Paketen pro Sekunde von allen do Standard Controllern, die von dem spezifischen ATA-Gateway während der meisten Tagesstunden überwacht werden.
*Die Gesamtmenge der do Standard Controllerport-Spiegel Datenverkehr kann die Kapazität der Aufnahme-NIC auf dem ATA-Gateway nicht überschreiten.
**Hyperthreading muss deaktiviert sein.
Hinweis
- Wenn sie das Gateway als virtueller Computer (VM) ausführen, muss dem Gateway der vm der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Dynamische Speicheranforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA-Gateways auf hohe Leistung fest.
- Es ist mindestens 5 GB Speicherplatz erforderlich, und es wird 10 GB empfohlen, einschließlich speicherplatzbedarfs für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.