Prérequis ATA

S’applique à : Advanced Threat Analytics version 1.9

Cet article décrit les exigences pour un déploiement réussi d’ATA dans votre environnement.

Remarque

Pour plus d'informations sur la planification des ressources et des capacités, consultez planification de capacité ATA.

ATA est composé du Centre ATA, de la passerelle ATA et/ou de la passerelle ATA Lightweight. Pour plus d’informations sur les composants ATA, consultez Architecture ATA.

Le système ATA fonctionne sur la délimitation de forêt Active Directory et prend en charge le niveau fonctionnel de forêt (journalisation de fichiers plats) de Windows 2003 et versions ultérieures.

Avant de commencer : cette section énumère les informations que vous devez rassembler et les comptes et entités réseau dont vous devez disposer avant de commencer l'installation d'ATA.

Centre ATA : cette section répertorie le matériel du Centre ATA, les configurations logicielles requises ainsi que les paramètres que vous devez configurer sur votre serveur du Centre ATA.

Passerelle ATA : cette section répertorie le matériel de passerelle ATA, la configuration logicielle requise et les paramètres que vous devez configurer sur vos serveurs de passerelle ATA.

Passerelle légère ATA : cette section présente la configuration matérielle et logicielle requise pour la passerelle légère ATA.

Console ATA : cette section répertorie les exigences du navigateur pour l’exécution de la Console ATA.

ATA architecture diagram.

Avant de commencer

Cette section énumère les informations que vous devez rassembler ainsi que les comptes et les entités réseau dont vous devez disposer avant de commencer l'installation d'ATA.

  • Compte d'utilisateur et mot de passe avec accès en lecture à tous les objets des domaines surveillés.

    Remarque

    Si vous avez défini des ACL personnalisées sur différentes unités d’organisation dans votre domaine, vérifiez que l’utilisateur sélectionné dispose des autorisations d'accès en lecture sur ces UO.

  • N'installez pas Microsoft Message Analyzer sur une passerelle ATA ou une passerelle légère. Le gestionnaire Message Analyzer est en conflit avec la passerelle ATA et les gestionnaires de passerelle légère. Si vous exécutez Wireshark sur la passerelle ATA, vous devez redémarrer le service de passerelle Microsoft Advanced Threat Analytics après avoir arrêté la capture Wireshark. Si ce n’est pas le cas, la passerelle cesse de capturer le trafic. L’exécution de Wireshark sur une passerelle ATA Lightweight n’interfère pas avec la passerelle légère ATA.

  • Recommandé : l’utilisateur doit disposer d’autorisations en lecture seule sur le conteneur Objets Supprimés. Cela permet à ATA de détecter la suppression en bloc d’objets dans le domaine. Pour plus d'informations sur la configuration des autorisations en lecture seule sur le conteneur d'objets supprimés, consultez la section Modifications des autorisations sur un conteneur d'objets supprimés dans l'article Afficher ou définir les autorisations sur un objet annuaire.

  • Facultatif : compte d'un utilisateur n'ayant aucune activité sur le réseau. Ce compte est configurable en tant qu’utilisateur ATA Honeytoken. Pour configurer un compte en tant qu’utilisateur Honeytoken, seul le nom d’utilisateur est requis. Pour plus d’informations sur la configuration de Honeytoken, consultez Configurer les exclusions d’adresses IP et l’utilisateur Honeytoken.

  • Facultatif : en plus de collecter et d’analyser le trafic réseau vers et à partir des contrôleurs de domaine, ATA peut utiliser les événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer davantage atA Pass-the-Hash, Brute Force, Modification des groupes sensibles et des détections de jetons Honey. Ces événements peuvent être reçus de votre SIEM ou en configurant le transfert d’événements Windows à partir de votre contrôleur de domaine. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.

Configuration requise pour le Centre ATA

Cette section répertorie les exigences pour le Centre ATA.

Général

Le Centre ATA prend en charge l’installation sur un serveur exécutant Windows Server 2012 R2 Windows Server 2016 et Windows Server 2019.

Remarque

Le Centre ATA ne prend pas en charge Windows Server Core.

Le Centre ATA peut être installé sur un serveur membre d’un domaine ou d’un groupe de travail.

Avant d’installer le Centre ATA exécutant Windows 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.

Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb2919355].

L'installation du Centre ATA en tant qu’ordinateur virtuel est prise en charge.

Spécifications du serveur

Lorsque vous travaillez sur un serveur physique, la base de données ATA nécessite que vous désactiviez Accès mémoire non uniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d'informations, consultez votre documentation BIOS.

Pour des performances optimales, définissez Option d’alimentation du Centre ATA sur Haute performance.
Le nombre de contrôleurs de domaine que vous surveillez et la charge sur chacun des contrôleurs de domaine détermine les spécifications du serveur nécessaires. Pour plus d’informations, consultez Planification de capacité ATA.

Pour les systèmes d’exploitation Windows 2008R2 et 2012, la passerelle n’est pas pris en charge en mode Groupe multiprocesseur. Pour plus d’informations sur le mode groupe multiprocesseur, consultez dépannage.

Synchronisation de l’heure

Le serveur du Centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent avoir le temps synchronisé entre eux dans les cinq minutes.

Adaptateurs réseau

Vous devez avoir la configuration suivante :

  • Au moins un adaptateur réseau (si vous utilisez un serveur physique dans l’environnement VLAN, il est recommandé d’utiliser deux adaptateurs réseau)

  • Adresse IP pour la communication entre le Centre ATA et la passerelle ATA chiffrée à l’aide de SSL sur le port 443. (Le service ATA se lie à toutes les adresses IP que le Centre ATA possède sur le port 443.)

Ports

Le tableau suivant répertorie les ports minimum qui doivent être ouverts pour que le Centre ATA fonctionne correctement.

Protocol Transport Port Vers/De Sens
SSL (Communications ATA) TCP 443 Passerelle ATA Entrante
HTTP (facultatif) TCP 80 Réseau de la société Entrante
HTTPS TCP 443 Réseau d'entreprise et passerelle ATA Entrante
SMTP (facultatif) TCP 25 Serveur SMTP Règle de trafic sortant
SMTPS (facultatif) TCP 465 Serveur SMTP Règle de trafic sortant
Syslog (facultatif) TCP/Onduleur/TLS (configurable) 514 (par défaut) Serveur syslog Règle de trafic sortant
LDAP TCP et UDP 389 Contrôleurs de domaine Règle de trafic sortant
LDAPS (facultatif) TCP 636 Contrôleurs de domaine Règle de trafic sortant
DNS TCP et UDP 53 Serveurs DNS Règle de trafic sortant
Kerberos (facultatif si joint à un domaine) TCP et UDP 88 Contrôleurs de domaine Règle de trafic sortant
Heure Windows (facultatif si joint à un domaine) UDP 123 Contrôleurs de domaine Règle de trafic sortant

Remarque

LDAP est nécessaire pour tester les identifiants à utiliser entre les passerelles ATA et les contrôleurs de domaine. Le test est effectué à partir du Centre ATA vers un contrôleur de domaine pour tester la validité de ces identifiants, après quoi la passerelle ATA utilise LDAP dans le cadre de son processus de résolution normal.

Certificats

Pour installer et déployer ATA plus rapidement, vous pouvez installer des certificats auto-signés pendant l’installation. Si vous avez choisi d'utiliser des certificats auto-signés, il est recommandé, après le déploiement initial, de remplacer les certificats auto-signés par des autorités de confiance interne qui seront utilisés par le Centre ATA.

Vérifiez que le Centre ATA et les passerelles ATA ont accès à votre point de distribution de liste de révocation de certificats. S’ils n’ont pas d’accès à Internet, suivez la procédure pour importer manuellement une liste de révocation de certificats, en prenant soin d’installer tous les points de distribution de la liste de révocation de certificats pour toute la chaîne.

Le certificat doit avoir :

  • Une clé privée
  • Type de fournisseur de services de chiffrement (CSP) ou fournisseur de stockage de clés (KSP)
  • Longueur de clé publique de 2048 bits
  • Ensemble de valeurs pour les indicateurs d’utilisation keyEncipherment et ServerAuthentication
  • Valeur KeySpec (KeyNumber) de « KeyExchange » (AT_KEYEXCHANGE). La valeur « Signature » (AT_SIGNATURE) n’est pas prise en charge.
  • Tous les ordinateurs de passerelle doivent être en mesure de valider et d’approuver entièrement le certificat centre sélectionné.

Par exemple, vous pouvez utiliser le serveur Web standard ou les modèles d’ordinateur.

Avertissement

Le processus de renouvellement d’un certificat existant n’est pas pris en charge. La seule façon de renouveler un certificat consiste à créer un certificat et à configurer ATA pour utiliser le nouveau certificat.

Remarque

  • Si vous devez accéder à la console ATA à partir d'autres ordinateurs, assurez-vous que ces ordinateurs font confiance au certificat utilisé par le Centre ATA. Sinon, vous obtiendrez une page d'avertissement indiquant qu'il y a un problème avec le certificat de sécurité du site Internet avant d'arriver à la page de connexion.
  • À compter d’ATA version 1.8, les passerelles ATA et les passerelles ATA Lightweight gèrent leurs propres certificats et n’ont besoin d’aucune interaction administrateur pour les gérer.

Exigences de la passerelle ATA

Cette section répertorie les exigences pour la passerelle ATA.

Général

La passerelle ATA prend en charge l'installation sur un serveur fonctionnant sous Windows Server 2012 R2 ou Windows Server 2016 et Windows Server 2019 (y compris Server Core). La passerelle ATA peut être installée sur un serveur membre d’un domaine ou d’un groupe de travail. La passerelle ATA peut être utilisée pour surveiller les contrôleurs de domaine dont le niveau fonctionnel est Windows 2003 ou supérieur.

Avant d’installer la passerelle ATA exécutant Windows 2012 R2, confirmer que la mise à jour suivante a été installée : KB2919355.

Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb2919355].

Pour plus d'informations sur l'utilisation de machines virtuelles avec la passerelle ATA, consultez Configurer la mise en miroir des ports.

Remarque

Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.

Spécifications du serveur

Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Haute performance.
Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau en provenance et à destination des contrôleurs de domaine.

Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire de machine virtuelle, consultez Mémoire dynamique.

Pour plus d’informations sur la configuration matérielle requise pour la passerelle ATA, consultez planification de capacité ATA.

Synchronisation de l’heure

Le serveur du Centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent avoir le temps synchronisé entre eux dans les cinq minutes.

Adaptateurs réseau

La passerelle ATA nécessite au moins un adaptateur de gestion et au moins un adaptateur de capture :

  • Adaptateur de gestion : utilisé pour les communications sur votre réseau de société. Cet adaptateur doit être configuré avec les paramètres suivants :

    • Adresse IP statique, y compris la passerelle par défaut

    • Serveurs DNS préférés et alternatifs

    • Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.

      Configure DNS suffix in advanced TCP/IP settings.

      Remarque

      Si la passerelle ATA est membre du domaine, elle peut être configurée automatiquement.

  • Adaptateur de capture : utilisé pour capturer le trafic vers et depuis les contrôleurs de domaine.

    Important

    • Configurer la mise en miroir des ports pour l'adaptateur de capture en tant que destination du trafic réseau du contrôleur de domaine. Pour plus d’informations, consultez Configurer la mise en miroir des ports. En règle générale, vous devez travailler avec l'équipe chargée de la mise en réseau ou de la virtualisation pour configurer la mise en miroir des ports.
    • Configurer une adresse IP statique non routable pour votre environnement sans passerelle par défaut et aucune adresse du serveur DNS. For example, 1.1.1.1/32. Cela permet de s'assurer que l’adaptateur de réseau de capture peut capturer le maximum de trafic et que l’adaptateur réseau de gestion est utilisé pour envoyer et recevoir le trafic réseau nécessaire.

Ports

Le tableau suivant répertorie les ports minimums dont la passerelle ATA a besoin pour être configurée sur l'adaptateur de gestion :

Protocol Transport Port Vers/De Sens
LDAP TCP et UDP 389 Contrôleurs de domaine Règle de trafic sortant
LDAP sécurisé (LDAPS) TCP 636 Contrôleurs de domaine Règle de trafic sortant
LDAP vers catalogue global TCP 3268 Contrôleurs de domaine Règle de trafic sortant
LDAPS vers catalogue global TCP 3269 Contrôleurs de domaine Règle de trafic sortant
Kerberos TCP et UDP 88 Contrôleurs de domaine Règle de trafic sortant
Netlogon (SMB, CIFS, SAM-R) TCP et UDP 445 Tous les appareils sur le réseau Règle de trafic sortant
Horloge Windows UDP 123 Contrôleurs de domaine Règle de trafic sortant
DNS TCP et UDP 53 Serveurs DNS Règle de trafic sortant
NTLM sur RPC TCP 135 Tous les appareils sur le réseau Les deux
NetBIOS UDP 137 Tous les appareils sur le réseau Les deux
SSL TCP 443 Centre ATA Règle de trafic sortant
Syslog (facultatif) UDP 514 Serveur SIEM Entrante

Remarque

Dans le cadre du processus de résolution effectué par la passerelle ATA, les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir des passerelles ATA.

  • NTLM sur RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • En utilisant le compte d'utilisateur du service d'annuaire, la passerelle ATA interroge les points de terminaison de votre organisation pour les administrateurs locaux à l'aide de SAM-R (ouverture de session réseau) afin de construire le graphique du chemin d'accès latéral. Pour plus d’informations, consultez Configurer les autorisations requises pour SAM-R.
  • Les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir de la passerelle ATA :
  • NTLM sur RPC (port TCP 135) à des fins de résolution
  • NetBIOS (port UDP 137) à des fins de résolution

Exigences relatives à la passerelle légère ATA

Cette section répertorie les exigences pour la passerelle ATA Lightweight.

Général

La passerelle ATA Lightweight prend en charge l’installation sur un contrôleur de domaine exécutant Windows Server 2008 R2 SP1 (hors Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019 (y compris Core, mais pas Nano).

Le contrôleur de domaine peut être un contrôleur de domaine en lecture seule (RODC).

Avant d'installer la passerelle légère ATA sur un contrôleur de domaine exécutant Windows Server 2012 R2, confirmer que la mise à jour suivante a été installée : KB2919355.

Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb2919355]

Si l'installation concerne Windows server 2012 R2 Server Core, la mise à jour suivante doit également être installée : KB3000850.

Vous pouvez vérifier en exécutant l’applet de commande Windows PowerShell comdlet suivante : [Get-HotFix -Id kb3000850]

Pendant l’installation, .Net Framework 4.6.1 est installé et peut entraîner un redémarrage du contrôleur de domaine.

Remarque

Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.

Spécifications du serveur

La passerelle ATA Lightweight nécessite un minimum de 2 cœurs et 6 Go de RAM installés sur le contrôleur de domaine. Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA Lightweight sur Haute performance. La passerelle ATA Lightweight peut être déployée sur les contrôleurs de domaine de différentes charges et tailles, en fonction de la quantité de trafic réseau vers et à partir des contrôleurs de domaine et de la quantité de ressources installées sur ce contrôleur de domaine.

Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire de machine virtuelle, consultez Mémoire dynamique.

Pour plus d’informations sur la configuration matérielle requise pour la passerelle ATA Lightweight, consultez Planification de capacité ATA.

Synchronisation de l’heure

Le serveur du Centre ATA, les serveurs de passerelle ATA Lightweight et les contrôleurs de domaine doivent avoir le temps synchronisé entre eux dans les cinq minutes.

Adaptateurs réseau

La passerelle ATA Lightweight surveille le trafic local sur tous les adaptateurs réseau du contrôleur de domaine.

Après le déploiement, vous pouvez utiliser la console ATA si vous souhaitez modifier les adaptateurs réseau surveillés.

Remarque

La passerelle légère n'est pas prise en charge sur les contrôleurs de domaine fonctionnant sous Windows 2008 R2 avec l'option Broadcom Network Adapter Teaming activée.

Ports

Le tableau suivant répertorie les ports minimum requis par la passerelle ATA Lightweight :

Protocol Transport Port Vers/De Sens
DNS TCP et UDP 53 Serveurs DNS Règle de trafic sortant
NTLM sur RPC TCP 135 Tous les appareils sur le réseau Les deux
NetBIOS UDP 137 Tous les appareils sur le réseau Les deux
SSL TCP 443 Centre ATA Règle de trafic sortant
Syslog (facultatif) UDP 514 Serveur SIEM Entrante
Netlogon (SMB, CIFS, SAM-R) TCP et UDP 445 Tous les appareils sur le réseau Règle de trafic sortant

Remarque

Dans le cadre du processus de résolution effectué par la passerelle ATA Lightweight, les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir des passerelles légères ATA.

  • NTLM sur RPC
  • NetBIOS
  • À l’aide du compte d'utilisateur du service d'annuaire, la passerelle ATA Lightweight interroge les points de terminaison de votre organisation pour les administrateurs locaux à l’aide de SAM-R (ouverture de session réseau) afin de construire le graphique du chemin d'accès latéral. Pour plus d’informations, consultez Configurer les autorisations requises pour SAM-R.
  • Les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir de la passerelle ATA :
  • NTLM sur RPC (port TCP 135) à des fins de résolution
  • NetBIOS (port UDP 137) à des fins de résolution

Mémoire dynamique

Remarque

Lors de l’exécution de services ATA en tant que machine virtuelle (ordinateur virtuel), le service nécessite que toutes les mémoires soient allouées à la machine virtuelle, à tout moment.

Exécution de l’ordinateur virtuel Description
Hyper-V Vérifiez que Activer la mémoire dynamique n’est pas activée pour l’ordinateur virtuel.
VMWare Assurez-vous que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l'option suivante dans le paramètre de l’ordinateur virtuel - Réserver toute la mémoire de l'invité (toutes verrouillées).
Autre hôte de virtualisation Reportez-vous à la documentation fournie par le fournisseur sur la façon de s’assurer que la mémoire est entièrement allouée à l’ordinateur virtuel à tout moment.

Si vous exécutez le Centre ATA en tant que machine virtuelle, éteignez le serveur avant de créer un nouveau point de contrôle afin d'éviter toute corruption potentielle de la base de données.

Console ATA

L’accès à la Console ATA est via un navigateur, prenant en charge les navigateurs et les paramètres :

  • Internet Explorer version 10 et ultérieur

  • Microsoft Edge

  • Google Chrome 40 et ultérieur

  • Résolution minimale de largeur d’écran de 1 700 pixels

Voir aussi