Az ATA előfeltételei
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk az ATA sikeres üzembe helyezésének követelményeit ismerteti a környezetben.
Megjegyzés:
Az erőforrások és a kapacitás tervezéséről további információt az ATA kapacitástervezésében talál.
Az ATA az ATA-központból, az ATA-átjáróból és/vagy az egyszerűsített ATA-átjáróból áll. További információ az ATA-összetevőkről: ATA-architektúra.
Az ATA-rendszer az Active Directory erdőhatárán működik, és támogatja a Windows 2003 és újabb verziók erdőfunkciós szintjét (FFL).
Kezdés előtt: Ez a szakasz az ATA telepítése előtt összegyűjtendő információkat, valamint a szükséges fiókokat és hálózati entitásokat sorolja fel.
ATA-központ: Ez a szakasz az ATA-központ hardvereit, szoftverkövetelményeit és az ATA-központ kiszolgálóján konfigurálandó beállításokat sorolja fel.
ATA-átjáró: Ez a szakasz az ATA-átjáró hardvereit, szoftverkövetelményeit és az ATA-átjárókiszolgálókon konfigurálandó beállításokat sorolja fel.
Egyszerűsített ATA-átjáró: Ez a szakasz az egyszerűsített ATA-átjáró hardver- és szoftverkövetelményét sorolja fel.
ATA-konzol: Ez a szakasz az ATA-konzol futtatására vonatkozó böngészőkövetelményeket sorolja fel.
Előkészületek
Ez a szakasz az ATA telepítése előtt összegyűjtendő információkat, valamint a szükséges fiókokat és hálózati entitásokat sorolja fel.
Felhasználói fiók és jelszó olvasási hozzáféréssel a figyelt tartományok összes objektumához.
Megjegyzés:
Ha a tartomány különböző szervezeti egységeihez egyéni ACL-eket állított be, győződjön meg arról, hogy a kiválasztott felhasználó olvasási engedélyekkel rendelkezik ezekhez a szervezeti egységekhez.
Ne telepítse a Microsoft Message Analyzert ATA-átjáróra vagy egyszerűsített átjáróra. Az Üzenetelemző illesztőprogram ütközik az ATA-átjáróval és az egyszerűsített átjáróillesztőkkel. Ha a Wiresharkot az ATA-átjárón futtatja, a Wireshark-rögzítés leállítása után újra kell indítania a Microsoft Advanced Threat Analytics átjárószolgáltatást. Ha nem, az átjáró leállítja a forgalom rögzítését. A Wireshark egyszerűsített ATA-átjárón való futtatása nem zavarja az egyszerűsített ATA-átjárót.
Ajánlott: A felhasználónak írásvédett engedélyekkel kell rendelkeznie a Törölt objektumok tárolón. Ez lehetővé teszi, hogy az ATA észlelje a tartományban lévő objektumok tömeges törlését. Az írásvédett engedélyeknek a Törölt objektumok tárolón való konfigurálásáról a Címtárobjektum-cikk Nézet vagy Engedélyek beállítása szakaszában, a törölt objektumtárolók engedélyeinek módosítása című szakaszában talál további információt.
Nem kötelező: Hálózati tevékenység nélküli felhasználó felhasználói fiókja. Ez a fiók ATA Honeytoken-felhasználóként konfigurálható. Egy fiók Honeytoken-felhasználóként való konfigurálásához csak a felhasználónévre van szükség. A Honeytoken konfigurációs információiért lásd az IP-címek kizárásainak és a Honeytoken-felhasználónak a konfigurálását ismertető cikket.
Nem kötelező: A tartományvezérlők felé és onnan érkező hálózati forgalom gyűjtése és elemzése mellett az ATA a Windows 4776, 4732, 4733, 4728, 4729, 4756 és 4757 eseményeit is használhatja az ATA Pass-the-Hash, Brute Force, Modification to sensitive groups és Honey Tokens észlelések továbbfejlesztéséhez. Ezek az események a SIEM-ből vagy a Windows eseménytovábbítás tartományvezérlőről történő beállításával fogadhatók. Az összegyűjtött események további információkat nyújtanak az ATA számára, amelyek nem érhetők el a tartományvezérlő hálózati forgalmán keresztül.
Az ATA-központ követelményei
Ez a szakasz az ATA-központ követelményeit sorolja fel.
Általános
Az ATA-központ támogatja a Windows Server 2012 R2 Windows Server 2016 és Windows Server 2019 rendszert futtató kiszolgálókon történő telepítést.
Megjegyzés:
Az ATA-központ nem támogatja a Windows Server core-t.
Az ATA-központ olyan kiszolgálón telepíthető, amely egy tartomány vagy munkacsoport tagja.
A Windows 2012 R2 rendszert futtató ATA-központ telepítése előtt győződjön meg arról, hogy a következő frissítés lett telepítve: KB2919355.
Az alábbi Windows PowerShell-parancsmag futtatásával ellenőrizheti: [Get-HotFix -Id kb2919355].
Az ATA-központ virtuális gépként való telepítése támogatott.
Kiszolgálói specifikációk
Fizikai kiszolgálón való munka esetén az ATA-adatbázis megköveteli, hogy letiltsa a nem egységes memóriahozzáférést (NUMA) a BIOS-ban. Előfordulhat, hogy a rendszer a NUMA-t csomópontközi szolgáltatásként hivatkozik, ebben az esetben engedélyeznie kell a Node Interleavinget a NUMA letiltásához. További információkért tekintse meg a BIOS dokumentációját.
Az optimális teljesítmény érdekében állítsa az ATA-központ Power Option elemét nagy teljesítményűre.
A monitorozott tartományvezérlők száma és az egyes tartományvezérlők terhelése határozza meg a szükséges kiszolgálói specifikációkat. További információ: ATA-kapacitástervezés.
A Windows 2008R2 és 2012 operációs rendszerek esetében az átjáró nem támogatott többprocesszoros csoport módban. További információ a többprocesszoros csoport módról: hibaelhárítás.
Időszinkronizálás
Az ATA-központ kiszolgálójának, az ATA-átjárókiszolgálóknak és a tartományvezérlőknek egymástól öt percen belül szinkronizálva kell lenniük.
Hálózati adapterek
A következő készlettel kell rendelkeznie:
Legalább egy hálózati adapter (ha fizikai kiszolgálót használ VLAN-környezetben, javasoljuk, hogy két hálózati adaptert használjon)
Ip-cím az ATA-központ és az ATA-átjáró közötti kommunikációhoz, amely SSL használatával van titkosítva a 443-as porton. (Az ATA szolgáltatás az ATA-központ által a 443-as porton található összes IP-címhez kapcsolódik.)
Ports
Az alábbi táblázat felsorolja azokat a minimális portokat, amelyeket meg kell nyitni ahhoz, hogy az ATA-központ megfelelően működjön.
| Protokoll | Átvitel | Port | Feladó/feladó | Direction |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA-átjáró | Inbound |
| HTTP (nem kötelező) | TCP | 80 | Vállalati hálózat | Inbound |
| HTTPS | TCP | 443 | Vállalati hálózat és ATA-átjáró | Inbound |
| SMTP (nem kötelező) | TCP | 25 | SMTP-kiszolgáló | Outbound |
| SMTPS (nem kötelező) | TCP | 465 | SMTP-kiszolgáló | Outbound |
| Syslog (nem kötelező) | TCP/UPS/TLS (konfigurálható) | 514 (alapértelmezett) | Syslog-kiszolgáló | Outbound |
| LDAP | TCP és UDP | 389 | Tartományvezérlők | Outbound |
| LDAPS (nem kötelező) | TCP | 636 | Tartományvezérlők | Outbound |
| DNS | TCP és UDP | 53 | DNS-kiszolgálók | Outbound |
| Kerberos (nem kötelező, ha a tartomány csatlakozik) | TCP és UDP | 88 | Tartományvezérlők | Outbound |
| Windows-idő (tartományhoz való csatlakozás esetén nem kötelező) | UDP | 123 | Tartományvezérlők | Outbound |
Megjegyzés:
Az LDAP szükséges az ATA-átjárók és a tartományvezérlők között használandó hitelesítő adatok teszteléséhez. A teszt az ATA-központból egy tartományvezérlőre történik ezen hitelesítő adatok érvényességének teszteléséhez, amely után az ATA-átjáró ldAP-t használ a normál feloldási folyamat részeként.
Certificates
Az ATA gyorsabb telepítéséhez és üzembe helyezéséhez önaláírt tanúsítványokat telepíthet a telepítés során. Ha önaláírt tanúsítványok használata mellett döntött, az első üzembe helyezés után ajánlott az önaláírt tanúsítványokat egy belső hitelesítésszolgáltató tanúsítványára cserélni, amelyet az ATA-központ használ.
Győződjön meg arról, hogy az ATA-központ és az ATA-átjárók hozzáférnek a CRL-terjesztési ponthoz. Ha nem rendelkeznek internet-hozzáféréssel, kövesse az eljárást a CRL manuális importálásához, ügyelve arra, hogy a teljes lánc összes CRL-terjesztési pontját telepítse.
A tanúsítványnak a következőt kell tartalmaznia:
- Titkos kulcs
- Titkosítási szolgáltató (CSP) vagy kulcstároló szolgáltató (KSP) szolgáltatótípusa
- A nyilvános kulcs hossza 2048 bit
- A KeyEncipherment és a ServerAuthentication használati jelzőinek értékkészlete
- A KeyExchange (AT_KEYEXCHANGE) KeySpec (KeyNumber) értéke. Az "Aláírás" (AT_SIGNATURE) érték nem támogatott.
- Minden átjárógépnek képesnek kell lennie a kijelölt centertanúsítvány teljes ellenőrzésére és megbízhatóságára.
Használhatja például a szabványos webkiszolgálót vagy számítógépsablonokat .
Figyelmeztetés:
A meglévő tanúsítvány megújításának folyamata nem támogatott. A tanúsítványok megújításának egyetlen módja egy új tanúsítvány létrehozása és az ATA konfigurálása az új tanúsítvány használatára.
Megjegyzés:
- Ha más számítógépekről szeretné elérni az ATA-konzolt, győződjön meg arról, hogy ezek a számítógépek megbíznak az ATA-központ által használt tanúsítványban, különben figyelmeztetést kap arról, hogy probléma van a webhely biztonsági tanúsítványával a bejelentkezési lap megnyitása előtt.
- Az ATA 1.8-ás verziójától kezdve az ATA-átjárók és az egyszerűsített átjárók saját tanúsítványokat kezelnek, és nincs szükségük rendszergazdai beavatkozásra a kezelésükhöz.
Az ATA-átjáró követelményei
Ez a szakasz az ATA-átjáró követelményeit sorolja fel.
Általános
Az ATA-átjáró támogatja a Telepítést Windows Server 2012 R2 vagy Windows Server 2016 és Windows Server 2019 rendszert futtató kiszolgálón (beleértve a kiszolgálómagot is). Az ATA-átjáró olyan kiszolgálón telepíthető, amely egy tartomány vagy munkacsoport tagja. Az ATA-átjáró a Windows 2003 vagy újabb tartományi működési szinttel rendelkező tartományvezérlők figyelésére használható.
A Windows 2012 R2 rendszert futtató ATA-átjáró telepítése előtt győződjön meg arról, hogy a következő frissítés lett telepítve: KB2919355.
Az alábbi Windows PowerShell-parancsmag futtatásával ellenőrizheti: [Get-HotFix -Id kb2919355].
További információ a virtuális gépek ATA-átjáróval való használatáról: Porttükrözés konfigurálása.
Megjegyzés:
Legalább 5 GB tárhely szükséges, és 10 GB ajánlott. Ez magában foglalja az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.
Kiszolgálói specifikációk
Az optimális teljesítmény érdekében állítsa az ATA-átjáró tápellátási beállítását nagy teljesítményűre.
Az ATA-átjárók több tartományvezérlő monitorozását is támogathatják a tartományvezérlők felé és onnan érkező hálózati forgalom mennyiségétől függően.
A dinamikus memóriáról vagy bármely más virtuálisgép-memóriakezelési funkcióról további információt a Dinamikus memória című témakörben talál.
Az ATA-átjáró hardverkövetelményeivel kapcsolatos további információkért lásd az ATA-kapacitástervezést.
Időszinkronizálás
Az ATA-központ kiszolgálójának, az ATA-átjárókiszolgálóknak és a tartományvezérlőknek egymástól öt percen belül szinkronizálva kell lenniük.
Hálózati adapterek
Az ATA-átjáróhoz legalább egy felügyeleti adapter és legalább egy rögzítési adapter szükséges:
Felügyeleti adapter – a vállalati hálózaton történő kommunikációhoz használatos. Ezt az adaptert a következő beállításokkal kell konfigurálni:
Statikus IP-cím az alapértelmezett átjáróval együtt
Előnyben részesített és másodlagos DNS-kiszolgálók
A kapcsolat DNS-utótagjának az egyes figyelt tartományok DNS-nevének kell lennie.
Megjegyzés:
Ha az ATA-átjáró a tartomány tagja, ez automatikusan konfigurálható.
Rögzítési adapter – a tartományvezérlők felé és onnan érkező forgalom rögzítésére szolgál.
Fontos
- Konfigurálja a porttükrözést a rögzítési adapterhez a tartományvezérlő hálózati forgalmának céljaként. További információ: Porttükrözés konfigurálása. A porttükrözés konfigurálásához általában a hálózatkezelési vagy virtualizálási csapattal kell együttműködnie.
- Konfiguráljon egy statikus, nem módosítható IP-címet a környezethez alapértelmezett átjáró és DNS-kiszolgálócímek nélkül. Például: 1.1.1.1/32. Ez biztosítja, hogy a rögzítési hálózati adapter rögzíthesse a maximális forgalmat, és hogy a felügyeleti hálózati adapter a szükséges hálózati forgalom küldésére és fogadására szolgáljon.
Ports
Az alábbi táblázat felsorolja az ATA-átjáró által a felügyeleti adapteren konfigurált minimális portokat:
| Protokoll | Átvitel | Port | Feladó/feladó | Direction |
|---|---|---|---|---|
| LDAP | TCP és UDP | 389 | Tartományvezérlők | Outbound |
| Biztonságos LDAP (LDAPS) | TCP | 636 | Tartományvezérlők | Outbound |
| LDAP–globális katalógus | TCP | 3268 | Tartományvezérlők | Outbound |
| LDAPS–globális katalógus | TCP | 3269 | Tartományvezérlők | Outbound |
| Kerberos | TCP és UDP | 88 | Tartományvezérlők | Outbound |
| Netlogon (SMB, CIFS, SAM-R) | TCP és UDP | 445 | A hálózaton lévő összes eszköz | Outbound |
| Windows-idő | UDP | 123 | Tartományvezérlők | Outbound |
| DNS | TCP és UDP | 53 | DNS-szerverek | Outbound |
| NTLM RPC-n keresztül | TCP | 135 | A hálózaton lévő összes eszköz | Both |
| NetBIOS | UDP | 137 | A hálózaton lévő összes eszköz | Both |
| SSL | TCP | 443 | ATA-központ | Outbound |
| Syslog (nem kötelező) | UDP | 514 | SIEM-kiszolgáló | Inbound |
Megjegyzés:
Az ATA-átjáró által végzett megoldási folyamat részeként az alábbi portoknak nyitva kell lenniük a hálózaton lévő eszközökön az ATA-átjárókról.
- NTLM RPC-n keresztül (135-ös TCP-port)
- NetBIOS (UDP-port 137)
- A címtárszolgáltatás felhasználói fiókjával az ATA-átjáró lekérdezi a szervezet végpontjait a helyi rendszergazdák számára SAM-R (hálózati bejelentkezés) használatával az oldalirányú mozgási útvonal gráfjának létrehozásához. További információ: SAM-R szükséges engedélyek konfigurálása.
- Az alábbi portokat az ATA-átjáróról bejövő forgalomnak kell megnyitnia a hálózaton lévő eszközökön:
- NTLM RPC-n keresztül (TCP Port 135) megoldás céljából
- NetBIOS (UDP-port 137) megoldási célokra
Egyszerűsített ATA-átjáróra vonatkozó követelmények
Ez a szakasz az egyszerűsített ATA-átjáróra vonatkozó követelményeket sorolja fel.
Általános
Az egyszerűsített ATA-átjáró támogatja a Windows Server 2008 R2 SP1 rendszert (a Server Core-t nem beleértve), a Windows Server 2012, a Windows Server 2012 R2, a Windows Server 2016 és a Windows Server 2019 rendszert futtató tartományvezérlőkön (beleértve a Core-t, de a Nano-t nem).
A tartományvezérlő írásvédett tartományvezérlő (RODC) is lehet.
Mielőtt telepíti az egyszerűsített ATA-átjárót egy Windows Server 2012 R2 rendszerű tartományvezérlőre, győződjön meg arról, hogy a következő frissítés lett telepítve: KB2919355.
Az alábbi Windows PowerShell-parancsmag futtatásával ellenőrizheti: [Get-HotFix -Id kb2919355]
Ha a telepítés Windows Server 2012 R2 Server Core rendszeren történik, a következő frissítést is telepíteni kell: KB3000850.
Az alábbi Windows PowerShell-parancsmag futtatásával ellenőrizheti: [Get-HotFix -Id kb3000850]
A telepítés során a .Net Framework 4.6.1 telepítve van, és a tartományvezérlő újraindítását okozhatja.
Megjegyzés:
Legalább 5 GB tárhely szükséges, és 10 GB ajánlott. Ez magában foglalja az ATA bináris fájljaihoz, az ATA-naplókhoz és a teljesítménynaplókhoz szükséges helyet.
Kiszolgálói specifikációk
Az egyszerűsített ATA-átjáró legalább 2 magot és 6 GB RAM-ot igényel a tartományvezérlőn. Az optimális teljesítmény érdekében állítsa az egyszerűsített ATA-átjáró power-beállítását nagy teljesítményűre. Az egyszerűsített ATA-átjáró különböző terhelésű és méretű tartományvezérlőkön helyezhető üzembe a tartományvezérlők felé és onnan érkező hálózati forgalomtól, valamint a tartományvezérlőre telepített erőforrások mennyiségétől függően.
A dinamikus memóriáról vagy bármely más virtuálisgép-memóriakezelési funkcióról további információt a Dinamikus memória című témakörben talál.
Az egyszerűsített ATA-átjáró hardverkövetelményeiről további információt az ATA kapacitástervezésében talál.
Időszinkronizálás
Az ATA-központ kiszolgálójának, az egyszerűsített ATA-átjárókiszolgálóknak és a tartományvezérlőknek egymástól öt percen belül szinkronizálva kell lenniük.
Hálózati adapterek
Az egyszerűsített ATA-átjáró figyeli a helyi forgalmat a tartományvezérlő összes hálózati adapterén.
Az üzembe helyezés után használhatja az ATA-konzolt, ha módosítani szeretné, hogy mely hálózati adapterek legyenek figyelve.
Megjegyzés:
Az egyszerűsített átjáró nem támogatott a Windows 2008 R2 rendszert futtató tartományvezérlőkön, amelyeken engedélyezve van a Broadcom hálózati adapterek összevonása.
Ports
Az alábbi táblázat az egyszerűsített ATA-átjáró által igényelt minimális portokat sorolja fel:
| Protokoll | Átvitel | Port | Feladó/feladó | Direction |
|---|---|---|---|---|
| DNS | TCP és UDP | 53 | DNS-szerverek | Outbound |
| NTLM RPC-n keresztül | TCP | 135 | A hálózaton lévő összes eszköz | Both |
| NetBIOS | UDP | 137 | A hálózaton lévő összes eszköz | Both |
| SSL | TCP | 443 | ATA-központ | Outbound |
| Syslog (nem kötelező) | UDP | 514 | SIEM-kiszolgáló | Inbound |
| Netlogon (SMB, CIFS, SAM-R) | TCP és UDP | 445 | A hálózaton lévő összes eszköz | Outbound |
Megjegyzés:
Az egyszerűsített ATA-átjáró által végrehajtott feloldási folyamat részeként az alábbi portoknak nyitva kell lenniük a hálózat eszközein az egyszerűsített ATA-átjárókról.
- NTLM RPC-n keresztül
- NetBIOS
- A címtárszolgáltatás felhasználói fiókjával az egyszerűsített ATA-átjáró lekérdezi a szervezet végpontjait a helyi rendszergazdák számára SAM-R (hálózati bejelentkezés) használatával az oldalirányú mozgási útvonal gráfjának létrehozásához. További információ: SAM-R szükséges engedélyek konfigurálása.
- Az alábbi portokat az ATA-átjáróról bejövő forgalomnak kell megnyitnia a hálózaton lévő eszközökön:
- NTLM RPC-n keresztül (TCP Port 135) megoldás céljából
- NetBIOS (UDP-port 137) megoldási célokra
Dinamikus memória
Megjegyzés:
Az ATA-szolgáltatások virtuális gépként (VM) való futtatásakor a szolgáltatásnak minden memóriát le kell foglalnia a virtuális gép számára.
| Virtuális gép, amelyen fut | Leírás |
|---|---|
| Hyper-V | Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gépen. |
| VMware | Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza a következő lehetőséget a virtuális gép beállításában – Az összes vendégmemória lefoglalása (Minden zárolva). |
| Egyéb virtualizálási gazdagép | Tekintse meg a szállító által rendelkezésre bocsátott dokumentációt, amelyből megtudhatja, hogyan biztosítható, hogy a memória mindig teljes mértékben a virtuális géphez legyen lefoglalva. |
Ha az ATA-központot virtuális gépként futtatja, állítsa le a kiszolgálót, mielőtt létrehozna egy új ellenőrzőpontot az adatbázis esetleges sérülésének elkerülése érdekében.
ATA-konzol
Az ATA-konzol elérése böngészőn keresztül történik, amely támogatja a böngészőket és a beállításokat:
Az Internet Explorer 10-es vagy újabb verziója
Microsoft Edge
Google Chrome 40 vagy újabb
Képernyőszélesség minimális felbontása 1700 képpont