Lire en anglais

Partager via


Planification de la capacité ATA

S’applique à : Advanced Threat Analytics version 1.9

Cet article vous aide à déterminer le nombre de serveurs ATA nécessaires pour surveiller votre réseau. Il vous permet d’estimer le nombre de passerelles ATA et/ou passerelles légères ATA dont vous avez besoin et la capacité du serveur pour votre centre ATA et vos passerelles ATA.

Notes

Le centre ATA peut être déployé sur n’importe quel fournisseur IaaS tant que les exigences de performances décrites dans cet article sont remplies.

Utilisation de l’outil de dimensionnement

La méthode recommandée et la plus simple pour déterminer la capacité de votre déploiement ATA consiste à utiliser l’outil de dimensionnement ATA. Exécutez l’outil de dimensionnement ATA et, à partir des résultats du fichier Excel, utilisez les champs suivants pour déterminer la capacité ATA dont vous avez besoin :

  • Processeur et mémoire du centre ATA : faites correspondre le champ Paquets occupés/s dans le fichier de résultats de la table du centre ATA au champ PACKETS PER SECOND de la table du centre ATA.

  • Stockage du centre ATA : faites correspondre le champ Avg Packets/sec dans le fichier de résultats de la table du centre ATA au champ PACKETS PER SECOND de la table du centre ATA.

  • Passerelle ATA : faites correspondre le champ Paquets occupés/s dans la table passerelle ATA du fichier de résultats au champ PACKETS PER SECOND de la table passerelle ATA ou de la table Passerelle légère ATA, selon le type de passerelle que vous choisissez.

Exemple d’outil de planification de la capacité.

Notes

Étant donné que les environnements varient et présentent plusieurs caractéristiques de trafic réseau spéciales et inattendues, après avoir initialement déployé ATA et exécuté l’outil de dimensionnement, vous devrez peut-être ajuster et ajuster votre déploiement en fonction de la capacité.

Si vous ne pouvez pas utiliser l’outil de dimensionnement ATA, collectez manuellement les informations du compteur paquet/s avec un intervalle de collecte faible (environ 5 secondes) à partir de tous vos contrôleurs de domaine pendant 24 heures. Ensuite, pour chaque contrôleur de domaine, calculez la moyenne quotidienne et la période la plus occupée (15 minutes) moyenne. Les sections suivantes fournissent des instructions sur la collecte du compteur de paquets/s à partir d’un contrôleur de domaine.

Notes

Étant donné que les environnements varient et présentent plusieurs caractéristiques de trafic réseau spéciales et inattendues, après avoir initialement déployé ATA et exécuté l’outil de dimensionnement, vous devrez peut-être ajuster et ajuster votre déploiement en fonction de la capacité.

Dimensionnement du centre ATA

Le centre ATA nécessite un minimum recommandé de 30 jours de données pour l’analyse comportementale des utilisateurs.

Paquets par seconde provenant de tous les contrôleurs de domaine Processeur (cœurs*) Mémoire (Go) Stockage de base de données par jour (Go) Stockage de base de données par mois (Go) IOPS**
1 000 2 32 0.3 9 30 (100)
40 000 4 48 12 360 500 (750)
200 000 8 64 60 1,800 1,000 (1,500)
400,000 12 96 120 3 600 2,000 (2,500)
750,000 24 112 225 6,750 2,500 (3,000)
1 000 000 40 128 300 9,000 4,000 (5,000)

*Cela inclut les cœurs physiques, et non les cœurs hyperthread.

**Nombres moyens (nombres de pointe)

Notes

  • Le centre ATA peut gérer un maximum agrégé de 1M paquets par seconde à partir de tous les contrôleurs de domaine surveillés. Dans certains environnements, le même centre ATA peut gérer le trafic global supérieur à 1 M et certains environnements peuvent dépasser la capacité ATA. Contactez-nous à l’adresse azureatpfeedback@microsoft.com pour obtenir de l’aide sur la planification et l’estimation des environnements volumineux.
  • Si votre espace libre atteint un minimum de 20 % ou 200 Go, la collection de données la plus ancienne est supprimée. S’il n’est pas possible de réduire correctement la collecte de données à ce niveau, une alerte est journalisée. ATA continuera de fonctionner jusqu’à ce que le seuil de 5 % ou 50 Go gratuit soit atteint. À ce stade, ATA cesse de remplir la base de données et une alerte supplémentaire est émise.
  • Vous pouvez déployer le centre ATA sur n’importe quel fournisseur IaaS si les exigences de performances décrites dans cet article sont remplies.
  • La latence de stockage pour les activités de lecture et d’écriture doit être inférieure à 10 ms.
  • Le rapport entre les activités de lecture et d’écriture est d’environ 1:3 sous 100 000 paquets par seconde et de 1:6 au-dessus de 100 000 paquets par seconde.
  • Lors de l’exécution du centre en tant que machine virtuelle, le centre nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence. Pour plus d’informations sur l’exécution du centre ATA en tant que machine virtuelle, consultez Configuration requise du centre ATA.
  • Pour des performances optimales, définissez l’option d’alimentation du centre ATA sur Hautes performances.
  • Lorsque vous travaillez sur un serveur physique, la base de données ATA vous demande de désactiver l’accès à la mémoire non uniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d’informations, consultez la documentation de votre BIOS. Cela n’est pas pertinent lorsque le centre ATA s’exécute sur un serveur virtuel.

Choix du type de passerelle approprié pour votre déploiement

Dans un déploiement ATA, toute combinaison des types de passerelle ATA est prise en charge :

  • Uniquement les passerelles ATA
  • Uniquement les passerelles légères ATA
  • Combinaison des deux

Lorsque vous choisissez le type de déploiement de passerelle, tenez compte des avantages suivants :

Type de passerelle Avantages Cost Topologie de déploiement Utilisation du contrôleur de domaine
Passerelle ATA Le déploiement hors bande rend plus difficile pour les attaquants de découvrir qu’ATA est présent Plus élevée Installé en même temps que le contrôleur de domaine (hors bande) Prend en charge jusqu’à 50 000 paquets par seconde
Passerelle légère ATA Ne nécessite pas de configuration de serveur dédié et de mise en miroir de ports Inférieur Installé sur le contrôleur de domaine Prend en charge jusqu’à 10 000 paquets par seconde

Voici des exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle légère ATA :

  • Sites de succursale

  • Contrôleurs de domaine virtuels déployés dans le cloud (IaaS)

Voici des exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle ATA :

  • Centres de données du siège social (avec des contrôleurs de domaine avec plus de 10 000 paquets par seconde)

Dimensionnement de la passerelle légère ATA

Une passerelle légère ATA peut prendre en charge la surveillance d’un contrôleur de domaine en fonction de la quantité de trafic réseau généré par le contrôleur de domaine.

Paquets par seconde* Processeur (cœurs**) Mémoire (Go)***
1 000 2 6
5,000 6 16
10 000 10 24

*Nombre total de paquets par seconde sur le contrôleur de domaine surveillé par la passerelle légère ATA spécifique.

**Nombre total de cœurs non hyperthread installés par ce contrôleur de domaine.
Bien que l’hyperthreading soit acceptable pour la passerelle légère ATA, lors de la planification de la capacité, vous devez compter les cœurs réels et non les cœurs hyper threadés.

Quantité totale de mémoire installée par ce contrôleur de domaine.

Notes

  • Si le contrôleur de domaine ne dispose pas des ressources requises par la passerelle légère ATA, les performances du contrôleur de domaine ne sont pas affectées, mais la passerelle légère ATA peut ne pas fonctionner comme prévu.
  • Lors de l’exécution de la passerelle en tant que machine virtuelle, la passerelle nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence. Pour plus d’informations sur l’exécution de la passerelle ATA en tant que machine virtuelle, consultez Exigences de mémoire dynamique.
  • Pour des performances optimales, définissez l’option d’alimentation de la passerelle légère ATA sur Hautes performances.
  • Un minimum de 5 Go d’espace est requis et 10 Go sont recommandés, y compris l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.

Dimensionnement de la passerelle ATA

Tenez compte des problèmes suivants lors du choix du nombre de passerelles ATA à déployer.

  • Forêts et domaines Active Directory
    ATA peut surveiller le trafic provenant de plusieurs domaines à partir d’une seule forêt Active Directory. La surveillance de plusieurs forêts Active Directory nécessite des déploiements ATA distincts. Ne configurez pas un déploiement ATA unique pour surveiller le trafic réseau des contrôleurs de domaine provenant de différentes forêts.
  • Mise en miroir de ports
    Les considérations relatives à la mise en miroir de ports peuvent vous obliger à déployer plusieurs passerelles ATA par passerelle de données ou site de branche.
  • Capacité
    Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau des contrôleurs de domaine surveillés.
Paquets par seconde* Processeur (cœurs**) Mémoire (Go)
1 000 1 6
5,000 2 10
10 000 3 12
20,000 6 24
50 000 16 48

*Nombre moyen total de paquets par seconde provenant de tous les contrôleurs de domaine surveillés par la passerelle ATA spécifique pendant l’heure la plus occupée de la journée.

*La quantité totale de trafic en miroir de ports du contrôleur de domaine ne peut pas dépasser la capacité de la carte réseau de capture sur la passerelle ATA.

**Hyper-threading doit être désactivé.

Notes

  • Lors de l’exécution de la passerelle en tant que machine virtuelle, la passerelle nécessite que toute la mémoire soit allouée à la machine virtuelle, en permanence. Pour plus d’informations sur l’exécution de la passerelle ATA en tant que machine virtuelle, consultez Exigences de mémoire dynamique.
  • Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Hautes performances.
  • Un minimum de 5 Go d’espace est requis et 10 Go sont recommandés, y compris l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.

Voir aussi