ATA-kapacitástervezés
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk segít meghatározni, hogy hány ATA-kiszolgálóra van szükség a hálózat figyeléséhez. Segítségével megbecsülheti, hogy hány ATA-átjáróra és/vagy egyszerűsített ATA-átjáróra van szüksége, valamint az ATA-központ és az ATA-átjárók kiszolgálókapacitását.
Megjegyzés:
Az ATA-központ bármely IaaS-szállítón üzembe helyezhető, amennyiben a cikkben ismertetett teljesítménykövetelmények teljesülnek.
A méretezési eszköz használata
Az ATA-telepítés kapacitásának meghatározásához ajánlott és legegyszerűbb módszer az ATA méretezési eszköz használata. Futtassa az ATA-méretezési eszközt, és az Excel-fájl eredményeiből az alábbi mezők segítségével állapítsa meg a szükséges ATA-kapacitást:
ATA-központ processzora és memóriája: Egyezzen az ATA-központ tábla eredményfájljának Foglalt csomagok/mp mezőjével az ATA-központ tábla PACKETS PER Standard kiadás COND mezőjével.
ATA-központ tárhelye: Egyezzen az ATA-központ tábla eredményfájljának Avg Packets/sec mezőjével az ATA-központ tábla PACKETS PER Standard kiadás COND mezőjével.
ATA-átjáró: Az ATA-átjáró tábla Foglalt csomagok/mp mezőjének egyeztetése az eredményfájlban az ATA-átjáró tábla CSOMAGONKÉNT Standard kiadás KOND mezőjével az ATA-átjáró táblában vagy az egyszerűsített ATA-átjáró táblában a választott átjárótípustól függően.
Megjegyzés:
Mivel a különböző környezetek eltérőek, és több speciális és váratlan hálózati forgalmi jellemzővel rendelkeznek, az ATA kezdeti üzembe helyezése és a méretezési eszköz futtatása után előfordulhat, hogy módosítania kell és finomhangolnia kell az üzembe helyezést a kapacitáshoz.
Ha nem tudja használni az ATA-méretezési eszközt, 24 órán keresztül manuálisan gyűjtse össze a csomag/mp számláló adatait alacsony gyűjtési intervallummal (körülbelül 5 másodperc) az összes tartományvezérlőről. Ezután minden tartományvezérlő esetében számítsa ki a napi átlagot és a legforgalmassági időszak (15 perc) átlagát. Az alábbi szakaszok útmutatást nyújtanak a csomagok/másodpercek számlálójának egy tartományvezérlőről való gyűjtéséhez.
Megjegyzés:
Mivel a különböző környezetek eltérőek, és több speciális és váratlan hálózati forgalmi jellemzővel rendelkeznek, az ATA kezdeti üzembe helyezése és a méretezési eszköz futtatása után előfordulhat, hogy módosítania kell és finomhangolnia kell az üzembe helyezést a kapacitáshoz.
ATA-központ méretezése
Az ATA-központ legalább 30 napos ajánlott adatot igényel a felhasználói viselkedéselemzéshez.
Csomagok másodpercenként az összes tartományvezérlőről | CPU (magok*) | Memória (GB) | Adatbázis-tárolás naponta (GB) | Adatbázis-tárolás havonta (GB) | IOPS** |
---|---|---|---|---|---|
1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
40 000 | 4 | 48 | 12 | 360 | 500 (750) |
200,000 | 8 | 64 | 60 | 1800 | 1,000 (1,500) |
400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
1,000,000 | 40 | 128 | 300 | 9 000 | 4,000 (5,000) |
*Ide tartoznak a fizikai magok, nem pedig a hiperszálas magok.
**Átlagszámok (csúcsszámok)
Megjegyzés:
- Az ATA-központ másodpercenként legfeljebb 1 M csomagot képes kezelni az összes figyelt tartományvezérlőtől. Egyes környezetekben ugyanaz az ATA-központ képes kezelni az 1 M-nél nagyobb teljes forgalmat, és egyes környezetek meghaladhatják az ATA-kapacitást. Vegye fel velünk a azureatpfeedback@microsoft.com kapcsolatot a nagy környezetek tervezésével és becslésével kapcsolatos segítségért.
- Ha a szabad terület eléri a legalább 20%-ot vagy a 200 GB-ot, a rendszer törli a legrégebbi adatgyűjteményt. Ha nem lehet az adatgyűjtést ilyen szintre csökkenteni, a rendszer riasztást naplóz. Az ATA addig működik, amíg el nem éri az 5%-os vagy 50 GB-os ingyenes küszöbértéket. Ezen a ponton az ATA leállítja az adatbázis feltöltését, és további riasztást ad ki.
- Az ATA-központot bármely IaaS-szállítón üzembe helyezheti, ha a cikkben ismertetett teljesítménykövetelmények teljesülnek.
- Az olvasási és írási tevékenységek tárolási késésének 10 ms alatt kell lennie.
- Az olvasási és írási tevékenységek aránya körülbelül 1:3 100 000 csomag/másodperc alatt, 1:6 pedig 100 000 csomag/másodpercnél.
- A Központ virtuális gépként (VM) való futtatásakor a központnak minden memóriát le kell foglalnia a virtuális gép számára. Az ATA-központ virtuális gépként való futtatásával kapcsolatos további információkért lásd az ATA-központ követelményeit.
- Az optimális teljesítmény érdekében állítsa az ATA-központ Power Option elemét nagy teljesítményűre.
- Ha fizikai kiszolgálón dolgozik, az ATA-adatbázisnak le kell tiltania a nem egységes memóriahozzáférést (NUMA) a BIOS-ban. Előfordulhat, hogy a rendszer a NUMA-ra csomópontközi szolgáltatásként hivatkozik, ebben az esetben engedélyeznie kell a Node Interleaving használatát a NUMA letiltásához. További információkért tekintse meg a BIOS dokumentációját. Ez nem releváns, ha az ATA-központ virtuális kiszolgálón fut.
A megfelelő átjárótípus kiválasztása az üzembe helyezéshez
ATA-üzemelő példányokban az ATA-átjárótípusok bármely kombinációja támogatott:
- Csak ATA-átjárók
- Csak egyszerűsített ATA-átjárók
- A kettő kombinációja
Az átjáró üzembehelyezési típusának kiválasztásakor vegye figyelembe a következő előnyöket:
Átjáró típusa | Benefits | Költség | Üzembe helyezési topológia | Tartományvezérlő használata |
---|---|---|---|---|
ATA-átjáró | A sávon kívüli üzembe helyezés megnehezíti a támadók számára az ATA jelenlétének felderítését | Magasabb | A tartományvezérlő mellett telepítve (sávon kívül) | Másodpercenként legfeljebb 50 000 csomagot támogat |
Egyszerűsített ATA-átjáró | Nincs szükség dedikált kiszolgálóra és porttükrözési konfigurációra | Lower | Telepítve a tartományvezérlőn | Másodpercenként legfeljebb 10 000 csomagot támogat |
Az alábbi példák olyan forgatókönyvekre mutatnak be példákat, amelyekben a tartományvezérlőket az egyszerűsített ATA-átjárónak kell lefednie:
Elágazási helyek
A felhőben üzembe helyezett virtuális tartományvezérlők (IaaS)
Az alábbi példák olyan forgatókönyvekre mutatnak be példákat, amelyekben a tartományvezérlőket az ATA-átjárónak kell lefednie:
- Központi adatközpontok (amelyek tartományvezérlői másodpercenként több mint 10 000 csomaggal rendelkeznek)
Egyszerűsített ATA-átjáró méretezése
Az egyszerűsített ATA-átjárók támogathatják egy tartományvezérlő monitorozását a tartományvezérlő által generált hálózati forgalom mennyisége alapján.
Csomagok másodpercenként* | CPU (magok**) | Memória (GB)*** |
---|---|---|
1,000 | 2 | 6 |
5000 | 6 | 16 |
10,000. | 10 | 24 |
*Az adott egyszerűsített ATA-átjáró által figyelt tartományvezérlőn másodpercenkénti csomagok teljes száma.
**A tartományvezérlő által telepített nem hiperszálas magok teljes száma.
Bár a rugalmas szálkezelés elfogadható az egyszerűsített ATA-átjáró esetében, a kapacitás tervezésekor a tényleges magokat kell megszámolnia, nem pedig a hiperszálas magokat.
A tartományvezérlő által telepített memória teljes mennyisége.
Megjegyzés:
- Ha a tartományvezérlő nem rendelkezik az egyszerűsített ATA-átjáró által igényelt erőforrásokkal, a tartományvezérlő teljesítménye nem lesz hatással, de előfordulhat, hogy az egyszerűsített ATA-átjáró nem a várt módon működik.
- Az átjáró virtuális gépként (VM) való futtatásakor az átjárónak minden memóriát le kell foglalnia a virtuális gép számára. Az ATA-átjáró virtuális gépként való futtatásáról további információt a dinamikus memóriakövetelmények című témakörben talál.
- Az optimális teljesítmény érdekében állítsa az egyszerűsített ATA-átjáró power-beállítását nagy teljesítményűre.
- Legalább 5 GB tárhelyre van szükség, és 10 GB ajánlott, beleértve az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.
ATA-átjáró méretezése
Vegye figyelembe az alábbi problémákat, amikor eldönti, hogy hány ATA-átjárót szeretne üzembe helyezni.
- Active Directory-erdők és tartományok
Az ATA egyetlen Active Directory-erdőből több tartományból érkező forgalmat is figyelhet. Több Active Directory-erdő monitorozásához külön ATA-telepítésre van szükség. Ne konfiguráljon egyetlen ATA-üzembe helyezést a különböző erdők tartományvezérlőinek hálózati forgalmának figyeléséhez. - Porttükrözés
A porttükrözési szempontok megkövetelik, hogy adatátjárónként vagy ágwebhelyenként több ATA-átjárót telepítsen. - Kapacitás
Az ATA-átjárók több tartományvezérlő monitorozását is támogathatják a figyelt tartományvezérlők hálózati forgalmának mennyiségétől függően.
Csomagok másodpercenként* | CPU (magok**) | Memória (GB) |
---|---|---|
1,000 | 1 | 6 |
5000 | 2 | 10 |
10,000. | 3 | 12 |
20 000 | 6 | 24 |
50 000 | 16 | 48 |
*Az adott ATA-átjáró által figyelt összes tartományvezérlő másodpercenkénti csomagjainak teljes átlagos száma a nap legforgalmasságú órájában.
*A tartományvezérlő porttükrözési forgalmának teljes mennyisége nem haladhatja meg a rögzítési hálózati adapter kapacitását az ATA-átjárón.
**A hyper-threadinget le kell tiltani.
Megjegyzés:
- Az átjáró virtuális gépként (VM) való futtatásakor az átjárónak minden memóriát le kell foglalnia a virtuális gép számára. Az ATA-átjáró virtuális gépként való futtatásáról további információt a dinamikus memóriakövetelmények című témakörben talál.
- Az optimális teljesítmény érdekében állítsa az ATA-átjáró tápellátási beállítását nagy teljesítményűre.
- Legalább 5 GB tárhelyre van szükség, és 10 GB ajánlott, beleértve az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.