Prérequis ATA
S’applique à : Advanced Threat Analytics version 1.9
Cet article décrit les exigences pour un déploiement réussi d’ATA dans votre environnement.
Remarque
Pour plus d'informations sur la planification des ressources et des capacités, consultez planification de capacité ATA.
ATA est composé du Centre ATA, de la passerelle ATA et/ou de la passerelle ATA Lightweight. Pour plus d’informations sur les composants ATA, consultez Architecture ATA.
Le système ATA fonctionne sur la délimitation de forêt Active Directory et prend en charge le niveau fonctionnel de forêt (journalisation de fichiers plats) de Windows 2003 et versions ultérieures.
Avant de commencer : cette section énumère les informations que vous devez rassembler et les comptes et entités réseau dont vous devez disposer avant de commencer l'installation d'ATA.
Centre ATA : cette section répertorie le matériel du Centre ATA, les configurations logicielles requises ainsi que les paramètres que vous devez configurer sur votre serveur du Centre ATA.
Passerelle ATA : cette section répertorie le matériel de passerelle ATA, la configuration logicielle requise et les paramètres que vous devez configurer sur vos serveurs de passerelle ATA.
Passerelle légère ATA : cette section présente la configuration matérielle et logicielle requise pour la passerelle légère ATA.
Console ATA : cette section répertorie les exigences du navigateur pour l’exécution de la Console ATA.
Avant de commencer
Cette section énumère les informations que vous devez rassembler ainsi que les comptes et les entités réseau dont vous devez disposer avant de commencer l'installation d'ATA.
Compte d'utilisateur et mot de passe avec accès en lecture à tous les objets des domaines surveillés.
Remarque
Si vous avez défini des ACL personnalisées sur différentes unités d’organisation dans votre domaine, vérifiez que l’utilisateur sélectionné dispose des autorisations d'accès en lecture sur ces UO.
N'installez pas Microsoft Message Analyzer sur une passerelle ATA ou une passerelle légère. Le gestionnaire Message Analyzer est en conflit avec la passerelle ATA et les gestionnaires de passerelle légère. Si vous exécutez Wireshark sur la passerelle ATA, vous devez redémarrer le service de passerelle Microsoft Advanced Threat Analytics après avoir arrêté la capture Wireshark. Si ce n’est pas le cas, la passerelle cesse de capturer le trafic. L’exécution de Wireshark sur une passerelle ATA Lightweight n’interfère pas avec la passerelle légère ATA.
Recommandé : l’utilisateur doit disposer d’autorisations en lecture seule sur le conteneur Objets Supprimés. Cela permet à ATA de détecter la suppression en bloc d’objets dans le domaine. Pour plus d'informations sur la configuration des autorisations en lecture seule sur le conteneur d'objets supprimés, consultez la section Modifications des autorisations sur un conteneur d'objets supprimés dans l'article Afficher ou définir les autorisations sur un objet annuaire.
Facultatif : compte d'un utilisateur n'ayant aucune activité sur le réseau. Ce compte est configurable en tant qu’utilisateur ATA Honeytoken. Pour configurer un compte en tant qu’utilisateur Honeytoken, seul le nom d’utilisateur est requis. Pour plus d’informations sur la configuration de Honeytoken, consultez Configurer les exclusions d’adresses IP et l’utilisateur Honeytoken.
Facultatif : en plus de collecter et d’analyser le trafic réseau vers et à partir des contrôleurs de domaine, ATA peut utiliser les événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer davantage atA Pass-the-Hash, Brute Force, Modification des groupes sensibles et des détections de jetons Honey. Ces événements peuvent être reçus de votre SIEM ou en configurant le transfert d’événements Windows à partir de votre contrôleur de domaine. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.
Configuration requise pour le Centre ATA
Cette section répertorie les exigences pour le Centre ATA.
Général
Le Centre ATA prend en charge l’installation sur un serveur exécutant Windows Server 2012 R2 Windows Server 2016 et Windows Server 2019.
Remarque
Le Centre ATA ne prend pas en charge Windows Server Core.
Le Centre ATA peut être installé sur un serveur membre d’un domaine ou d’un groupe de travail.
Avant d’installer le Centre ATA exécutant Windows 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb2919355].
L'installation du Centre ATA en tant qu’ordinateur virtuel est prise en charge.
Spécifications du serveur
Lorsque vous travaillez sur un serveur physique, la base de données ATA nécessite que vous désactiviez Accès mémoire non uniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d'informations, consultez votre documentation BIOS.
Pour des performances optimales, définissez Option d’alimentation du Centre ATA sur Haute performance.
Le nombre de contrôleurs de domaine que vous surveillez et la charge sur chacun des contrôleurs de domaine détermine les spécifications du serveur nécessaires. Pour plus d’informations, consultez Planification de capacité ATA.
Pour les systèmes d’exploitation Windows 2008R2 et 2012, la passerelle n’est pas pris en charge en mode Groupe multiprocesseur. Pour plus d’informations sur le mode groupe multiprocesseur, consultez dépannage.
Synchronisation de l’heure
Le serveur du Centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent avoir le temps synchronisé entre eux dans les cinq minutes.
Adaptateurs réseau
Vous devez avoir la configuration suivante :
Au moins un adaptateur réseau (si vous utilisez un serveur physique dans l’environnement VLAN, il est recommandé d’utiliser deux adaptateurs réseau)
Adresse IP pour la communication entre le Centre ATA et la passerelle ATA chiffrée à l’aide de SSL sur le port 443. (Le service ATA se lie à toutes les adresses IP que le Centre ATA possède sur le port 443.)
Ports
Le tableau suivant répertorie les ports minimum qui doivent être ouverts pour que le Centre ATA fonctionne correctement.
| Protocol | Transport | Port | Vers/De | Sens |
|---|---|---|---|---|
| SSL (Communications ATA) | TCP | 443 | Passerelle ATA | Entrante |
| HTTP (facultatif) | TCP | 80 | Réseau de la société | Entrante |
| HTTPS | TCP | 443 | Réseau d'entreprise et passerelle ATA | Entrante |
| SMTP (facultatif) | TCP | 25 | Serveur SMTP | Règle de trafic sortant |
| SMTPS (facultatif) | TCP | 465 | Serveur SMTP | Règle de trafic sortant |
| Syslog (facultatif) | TCP/Onduleur/TLS (configurable) | 514 (par défaut) | Serveur syslog | Règle de trafic sortant |
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Règle de trafic sortant |
| LDAPS (facultatif) | TCP | 636 | Contrôleurs de domaine | Règle de trafic sortant |
| DNS | TCP et UDP | 53 | Serveurs DNS | Règle de trafic sortant |
| Kerberos (facultatif si joint à un domaine) | TCP et UDP | 88 | Contrôleurs de domaine | Règle de trafic sortant |
| Heure Windows (facultatif si joint à un domaine) | UDP | 123 | Contrôleurs de domaine | Règle de trafic sortant |
Remarque
LDAP est nécessaire pour tester les identifiants à utiliser entre les passerelles ATA et les contrôleurs de domaine. Le test est effectué à partir du Centre ATA vers un contrôleur de domaine pour tester la validité de ces identifiants, après quoi la passerelle ATA utilise LDAP dans le cadre de son processus de résolution normal.
Certificats
Pour installer et déployer ATA plus rapidement, vous pouvez installer des certificats auto-signés pendant l’installation. Si vous avez choisi d'utiliser des certificats auto-signés, il est recommandé, après le déploiement initial, de remplacer les certificats auto-signés par des autorités de confiance interne qui seront utilisés par le Centre ATA.
Vérifiez que le Centre ATA et les passerelles ATA ont accès à votre point de distribution de liste de révocation de certificats. S’ils n’ont pas d’accès à Internet, suivez la procédure pour importer manuellement une liste de révocation de certificats, en prenant soin d’installer tous les points de distribution de la liste de révocation de certificats pour toute la chaîne.
Le certificat doit avoir :
- Une clé privée
- Type de fournisseur de services de chiffrement (CSP) ou fournisseur de stockage de clés (KSP)
- Longueur de clé publique de 2048 bits
- Ensemble de valeurs pour les indicateurs d’utilisation keyEncipherment et ServerAuthentication
- Valeur KeySpec (KeyNumber) de « KeyExchange » (AT_KEYEXCHANGE). La valeur « Signature » (AT_SIGNATURE) n’est pas prise en charge.
- Tous les ordinateurs de passerelle doivent être en mesure de valider et d’approuver entièrement le certificat centre sélectionné.
Par exemple, vous pouvez utiliser le serveur Web standard ou les modèles d’ordinateur.
Avertissement
Le processus de renouvellement d’un certificat existant n’est pas pris en charge. La seule façon de renouveler un certificat consiste à créer un certificat et à configurer ATA pour utiliser le nouveau certificat.
Remarque
- Si vous devez accéder à la console ATA à partir d'autres ordinateurs, assurez-vous que ces ordinateurs font confiance au certificat utilisé par le Centre ATA. Sinon, vous obtiendrez une page d'avertissement indiquant qu'il y a un problème avec le certificat de sécurité du site Internet avant d'arriver à la page de connexion.
- À compter d’ATA version 1.8, les passerelles ATA et les passerelles ATA Lightweight gèrent leurs propres certificats et n’ont besoin d’aucune interaction administrateur pour les gérer.
Exigences de la passerelle ATA
Cette section répertorie les exigences pour la passerelle ATA.
Général
La passerelle ATA prend en charge l'installation sur un serveur fonctionnant sous Windows Server 2012 R2 ou Windows Server 2016 et Windows Server 2019 (y compris Server Core). La passerelle ATA peut être installée sur un serveur membre d’un domaine ou d’un groupe de travail. La passerelle ATA peut être utilisée pour surveiller les contrôleurs de domaine dont le niveau fonctionnel est Windows 2003 ou supérieur.
Avant d’installer la passerelle ATA exécutant Windows 2012 R2, confirmer que la mise à jour suivante a été installée : KB2919355.
Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb2919355].
Pour plus d'informations sur l'utilisation de machines virtuelles avec la passerelle ATA, consultez Configurer la mise en miroir des ports.
Remarque
Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Spécifications du serveur
Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Haute performance.
Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau en provenance et à destination des contrôleurs de domaine.
Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire de machine virtuelle, consultez Mémoire dynamique.
Pour plus d’informations sur la configuration matérielle requise pour la passerelle ATA, consultez planification de capacité ATA.
Synchronisation de l’heure
Le serveur du Centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent avoir le temps synchronisé entre eux dans les cinq minutes.
Adaptateurs réseau
La passerelle ATA nécessite au moins un adaptateur de gestion et au moins un adaptateur de capture :
Adaptateur de gestion : utilisé pour les communications sur votre réseau de société. Cet adaptateur doit être configuré avec les paramètres suivants :
Adresse IP statique, y compris la passerelle par défaut
Serveurs DNS préférés et alternatifs
Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.
Remarque
Si la passerelle ATA est membre du domaine, elle peut être configurée automatiquement.
Adaptateur de capture : utilisé pour capturer le trafic vers et depuis les contrôleurs de domaine.
Important
- Configurer la mise en miroir des ports pour l'adaptateur de capture en tant que destination du trafic réseau du contrôleur de domaine. Pour plus d’informations, consultez Configurer la mise en miroir des ports. En règle générale, vous devez travailler avec l'équipe chargée de la mise en réseau ou de la virtualisation pour configurer la mise en miroir des ports.
- Configurer une adresse IP statique non routable pour votre environnement sans passerelle par défaut et aucune adresse du serveur DNS. For example, 1.1.1.1/32. Cela permet de s'assurer que l’adaptateur de réseau de capture peut capturer le maximum de trafic et que l’adaptateur réseau de gestion est utilisé pour envoyer et recevoir le trafic réseau nécessaire.
Ports
Le tableau suivant répertorie les ports minimums dont la passerelle ATA a besoin pour être configurée sur l'adaptateur de gestion :
| Protocol | Transport | Port | Vers/De | Sens |
|---|---|---|---|---|
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Règle de trafic sortant |
| LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Règle de trafic sortant |
| LDAP vers catalogue global | TCP | 3268 | Contrôleurs de domaine | Règle de trafic sortant |
| LDAPS vers catalogue global | TCP | 3269 | Contrôleurs de domaine | Règle de trafic sortant |
| Kerberos | TCP et UDP | 88 | Contrôleurs de domaine | Règle de trafic sortant |
| Netlogon (SMB, CIFS, SAM-R) | TCP et UDP | 445 | Tous les appareils sur le réseau | Règle de trafic sortant |
| Horloge Windows | UDP | 123 | Contrôleurs de domaine | Règle de trafic sortant |
| DNS | TCP et UDP | 53 | Serveurs DNS | Règle de trafic sortant |
| NTLM sur RPC | TCP | 135 | Tous les appareils sur le réseau | Les deux |
| NetBIOS | UDP | 137 | Tous les appareils sur le réseau | Les deux |
| SSL | TCP | 443 | Centre ATA | Règle de trafic sortant |
| Syslog (facultatif) | UDP | 514 | Serveur SIEM | Entrante |
Remarque
Dans le cadre du processus de résolution effectué par la passerelle ATA, les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir des passerelles ATA.
- NTLM sur RPC (port TCP 135)
- NetBIOS (port UDP 137)
- En utilisant le compte d'utilisateur du service d'annuaire, la passerelle ATA interroge les points de terminaison de votre organisation pour les administrateurs locaux à l'aide de SAM-R (ouverture de session réseau) afin de construire le graphique du chemin d'accès latéral. Pour plus d’informations, consultez Configurer les autorisations requises pour SAM-R.
- Les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir de la passerelle ATA :
- NTLM sur RPC (port TCP 135) à des fins de résolution
- NetBIOS (port UDP 137) à des fins de résolution
Exigences relatives à la passerelle légère ATA
Cette section répertorie les exigences pour la passerelle ATA Lightweight.
Général
La passerelle ATA Lightweight prend en charge l’installation sur un contrôleur de domaine exécutant Windows Server 2008 R2 SP1 (hors Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019 (y compris Core, mais pas Nano).
Le contrôleur de domaine peut être un contrôleur de domaine en lecture seule (RODC).
Avant d'installer la passerelle légère ATA sur un contrôleur de domaine exécutant Windows Server 2012 R2, confirmer que la mise à jour suivante a été installée : KB2919355.
Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb2919355]
Si l'installation concerne Windows server 2012 R2 Server Core, la mise à jour suivante doit également être installée : KB3000850.
Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb3000850]
Pendant l’installation, .Net Framework 4.6.1 est installé et peut entraîner un redémarrage du contrôleur de domaine.
Remarque
Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Spécifications du serveur
La passerelle ATA Lightweight nécessite un minimum de 2 cœurs et 6 Go de RAM installés sur le contrôleur de domaine. Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA Lightweight sur Haute performance. La passerelle ATA Lightweight peut être déployée sur les contrôleurs de domaine de différentes charges et tailles, en fonction de la quantité de trafic réseau vers et à partir des contrôleurs de domaine et de la quantité de ressources installées sur ce contrôleur de domaine.
Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire de machine virtuelle, consultez Mémoire dynamique.
Pour plus d’informations sur la configuration matérielle requise pour la passerelle ATA Lightweight, consultez Planification de capacité ATA.
Synchronisation de l’heure
Le serveur du Centre ATA, les serveurs de passerelle ATA Lightweight et les contrôleurs de domaine doivent avoir le temps synchronisé entre eux dans les cinq minutes.
Adaptateurs réseau
La passerelle ATA Lightweight surveille le trafic local sur tous les adaptateurs réseau du contrôleur de domaine.
Après le déploiement, vous pouvez utiliser la console ATA si vous souhaitez modifier les adaptateurs réseau surveillés.
Remarque
La passerelle légère n'est pas prise en charge sur les contrôleurs de domaine fonctionnant sous Windows 2008 R2 avec l'option Broadcom Network Adapter Teaming activée.
Ports
Le tableau suivant répertorie les ports minimum requis par la passerelle ATA Lightweight :
| Protocol | Transport | Port | Vers/De | Sens |
|---|---|---|---|---|
| DNS | TCP et UDP | 53 | Serveurs DNS | Règle de trafic sortant |
| NTLM sur RPC | TCP | 135 | Tous les appareils sur le réseau | Les deux |
| NetBIOS | UDP | 137 | Tous les appareils sur le réseau | Les deux |
| SSL | TCP | 443 | Centre ATA | Règle de trafic sortant |
| Syslog (facultatif) | UDP | 514 | Serveur SIEM | Entrante |
| Netlogon (SMB, CIFS, SAM-R) | TCP et UDP | 445 | Tous les appareils sur le réseau | Règle de trafic sortant |
Remarque
Dans le cadre du processus de résolution effectué par la passerelle ATA Lightweight, les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir des passerelles légères ATA.
- NTLM sur RPC
- NetBIOS
- À l’aide du compte d'utilisateur du service d'annuaire, la passerelle ATA Lightweight interroge les points de terminaison de votre organisation pour les administrateurs locaux à l’aide de SAM-R (ouverture de session réseau) afin de construire le graphique du chemin d'accès latéral. Pour plus d’informations, consultez Configurer les autorisations requises pour SAM-R.
- Les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir de la passerelle ATA :
- NTLM sur RPC (port TCP 135) à des fins de résolution
- NetBIOS (port UDP 137) à des fins de résolution
Mémoire dynamique
Remarque
Lors de l’exécution de services ATA en tant que machine virtuelle (ordinateur virtuel), le service nécessite que toutes les mémoires soient allouées à la machine virtuelle, à tout moment.
| Exécution de l’ordinateur virtuel | Description |
|---|---|
| Hyper-V | Vérifiez que Activer la mémoire dynamique n’est pas activée pour l’ordinateur virtuel. |
| VMWare | Assurez-vous que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l'option suivante dans le paramètre de l’ordinateur virtuel - Réserver toute la mémoire de l'invité (toutes verrouillées). |
| Autre hôte de virtualisation | Reportez-vous à la documentation fournie par le fournisseur sur la façon de s’assurer que la mémoire est entièrement allouée à l’ordinateur virtuel à tout moment. |
Si vous exécutez le Centre ATA en tant que machine virtuelle, éteignez le serveur avant de créer un nouveau point de contrôle afin d'éviter toute corruption potentielle de la base de données.
Console ATA
L’accès à la Console ATA est via un navigateur, prenant en charge les navigateurs et les paramètres :
Internet Explorer version 10 et ultérieur
Microsoft Edge
Google Chrome 40 et ultérieur
Résolution minimale de largeur d’écran de 1 700 pixels