Prasyarat ATA
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Artikel ini menjelaskan persyaratan untuk penyebaran ATA yang berhasil di lingkungan Anda.
Catatan
Untuk informasi tentang cara merencanakan sumber daya dan kapasitas, lihat Perencanaan kapasitas ATA.
ATA terdiri dari Pusat ATA, Gateway ATA, dan/atau Gateway Ringan ATA. Untuk informasi selengkapnya tentang komponen ATA, lihat Arsitektur ATA.
Sistem ATA bekerja pada batas forest direktori aktif dan mendukung Forest Functional Level (FFL) Windows 2003 ke atas.
Sebelum memulai: Bagian ini mencantumkan informasi yang harus Anda kumpulkan dan akun dan entitas jaringan yang harus Anda miliki, sebelum memulai penginstalan ATA.
Pusat ATA: Bagian ini mencantumkan perangkat keras ATA Center, persyaratan perangkat lunak serta pengaturan yang perlu Anda konfigurasi di server Pusat ATA Anda.
Gateway ATA: Bagian ini mencantumkan perangkat keras ATA Gateway, persyaratan perangkat lunak serta pengaturan yang perlu Anda konfigurasikan di server Gateway ATA Anda.
Gateway Ringan ATA: Bagian ini mencantumkan persyaratan perangkat keras dan perangkat lunak ATA Lightweight Gateway.
Konsol ATA: Bagian ini mencantumkan persyaratan browser untuk menjalankan Konsol ATA.
Sebelum memulai
Bagian ini mencantumkan informasi yang harus Anda kumpulkan serta akun dan entitas jaringan yang harus Anda miliki sebelum memulai penginstalan ATA.
Akun pengguna dan kata sandi dengan akses baca ke semua objek di domain yang dipantau.
Catatan
Jika Anda telah mengatur ACL kustom di berbagai Unit Organisasi (OU) di domain Anda, pastikan bahwa pengguna yang dipilih memiliki izin baca ke OU tersebut.
Jangan instal Microsoft Message Analyzer di Gateway ATA atau Gateway Ringan. Driver Message Analyzer bertentangan dengan driver Gateway ATA dan Gateway Ringan. Jika Anda menjalankan Wireshark di Gateway ATA, Anda harus memulai ulang Layanan Gateway Analitik Ancaman Tingkat Lanjut Microsoft setelah Anda menghentikan pengambilan Wireshark. Jika tidak, Gateway berhenti menangkap lalu lintas. Menjalankan Wireshark pada Gateway Ringan ATA tidak mengganggu Gateway Ringan ATA.
Disarankan: Pengguna harus memiliki izin baca-saja pada kontainer Objek Yang Dihapus. Ini memungkinkan ATA mendeteksi penghapusan massal objek di domain. Untuk informasi tentang mengonfigurasi izin baca-saja pada kontainer Objek Dihapus, lihat bagian Mengubah izin pada kontainer objek yang dihapus di artikel Tampilkan atau Atur Izin pada Objek Direktori.
Opsional: Akun pengguna pengguna tanpa aktivitas jaringan. Akun ini dapat dikonfigurasi sebagai pengguna ATA Honeytoken. Untuk mengonfigurasi akun sebagai pengguna Honeytoken, hanya nama pengguna yang diperlukan. Untuk informasi konfigurasi Honeytoken, lihat Mengonfigurasi pengecualian alamat IP dan pengguna Honeytoken.
Opsional: Selain mengumpulkan dan menganalisis lalu lintas jaringan ke dan dari pengendali domain, ATA dapat menggunakan peristiwa Windows 4776, 4732, 4733, 4728, 4729, 4756 dan 4757 untuk lebih meningkatkan ATA Pass-the-Hash, Brute Force, Modifikasi pada grup sensitif dan deteksi Token Madu. Peristiwa ini dapat diterima dari SIEM Anda atau dengan mengatur Penerusan Peristiwa Windows dari pengendali domain Anda. Peristiwa yang dikumpulkan memberikan ATA informasi tambahan yang tidak tersedia melalui lalu lintas jaringan pengendali domain.
Persyaratan Pusat ATA
Bagian ini mencantumkan persyaratan untuk Pusat ATA.
Umum
Pusat ATA mendukung penginstalan pada server yang menjalankan Windows Server 2012 R2 Windows Server 2016 dan Windows Server 2019.
Catatan
Pusat ATA tidak mendukung inti Windows Server.
Pusat ATA dapat diinstal pada server yang merupakan anggota domain atau grup kerja.
Sebelum menginstal ATA Center yang menjalankan Windows 2012 R2, konfirmasikan bahwa pembaruan berikut telah diinstal: KB2919355.
Anda dapat memeriksa dengan menjalankan cmdlet Windows PowerShell berikut: [Get-HotFix -Id kb2919355].
Penginstalan Pusat ATA sebagai komputer virtual didukung.
Spesifikasi server
Saat mengerjakan server fisik, database ATA mengharuskan Anda menonaktifkan akses memori non-seragam (NUMA) di BIOS. Sistem Anda dapat merujuk ke NUMA sebagai Node Interleaving, dalam hal ini Anda harus mengaktifkan Node Interleaving untuk menonaktifkan NUMA. Untuk informasi selengkapnya, lihat dokumentasi BIOS Anda.
Untuk performa optimal, atur Opsi Daya pusat ATA ke Performa Tinggi.
Jumlah pengendali domain yang Anda pantau dan beban pada setiap pengendali domain menentukan spesifikasi server yang diperlukan. Untuk informasi selengkapnya, lihat Perencanaan kapasitas ATA.
Untuk sistem Operasi Windows 2008R2 dan 2012, Gateway tidak didukung dalam mode Grup Multi Prosesor. Untuk informasi selengkapnya tentang mode grup multi-prosesor, lihat pemecahan masalah.
Sinkronisasi waktu
Server ATA Center, server Gateway ATA, dan pengontrol domain harus memiliki waktu yang disinkronkan dalam waktu lima menit satu sama lain.
Adaptor jaringan
Anda harus memiliki set berikut:
Setidaknya satu adaptor jaringan (jika menggunakan server fisik di lingkungan VLAN, disarankan untuk menggunakan dua adaptor jaringan)
Alamat IP untuk komunikasi antara Pusat ATA dan Gateway ATA yang dienkripsi menggunakan SSL pada port 443. (Layanan ATA mengikat ke semua alamat IP yang dimiliki Pusat ATA pada port 443.)
Port
Tabel berikut mencantumkan port minimum yang harus dibuka agar Pusat ATA berfungsi dengan baik.
| Protokol | Transportasi | Port | Ke/Dari | Arah |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Masuk |
| HTTP (opsional) | TCP | 80 | Jaringan Perusahaan | Masuk |
| HTTPS | TCP | 443 | Jaringan Perusahaan dan Gateway ATA | Masuk |
| SMTP (opsional) | TCP | 25 | Server SMTP | Keluar |
| SMTPS (opsional) | TCP | 465 | Server SMTP | Keluar |
| Syslog (opsional) | TCP/UPS/TLS (dapat dikonfigurasi) | 514 (default) | Server Syslog | Keluar |
| LDAP | TCP dan UDP | 389 | Pengendali domain | Keluar |
| LDAPS (opsional) | TCP | 636 | Pengendali domain | Keluar |
| DNS | TCP dan UDP | 53 | Server DNS | Keluar |
| Kerberos (opsional jika domain bergabung) | TCP dan UDP | 88 | Pengendali domain | Keluar |
| Windows Time (opsional jika domain bergabung) | UDP | 123 | Pengendali domain | Keluar |
Catatan
LDAP diperlukan untuk menguji kredensial yang akan digunakan antara Gateway ATA dan pengontrol domain. Pengujian dilakukan dari Pusat ATA ke pengendali domain untuk menguji validitas kredensial ini, setelah itu Gateway ATA menggunakan LDAP sebagai bagian dari proses resolusi normalnya.
Sertifikat
Untuk menginstal dan menyebarkan ATA dengan lebih cepat, Anda dapat menginstal sertifikat yang ditandatangani sendiri selama penginstalan. Jika Anda telah memilih untuk menggunakan sertifikat yang ditandatangani sendiri, setelah penyebaran awal disarankan untuk mengganti sertifikat yang ditandatangani sendiri dengan sertifikat dari Otoritas Sertifikasi internal yang akan digunakan oleh Pusat ATA.
Pastikan Pusat ATA dan Gateway ATA memiliki akses ke titik distribusi CRL Anda. Jika mereka tidak memiliki akses Internet, ikuti prosedur untuk mengimpor CRL secara manual, berhati-hatilah untuk menginstal semua titik distribusi CRL untuk seluruh rantai.
Sertifikat harus memiliki:
- Kunci privat
- Jenis penyedia Penyedia Layanan Kriptografi (CSP) atau Penyedia Penyimpanan Kunci (KSP)
- Panjang kunci publik 2048 bit
- Nilai yang ditetapkan untuk bendera penggunaan KeyEncipherment dan ServerAuthentication
- Nilai KeySpec (KeyNumber) dari "KeyExchange" (AT_KEYEXCHANGE). Nilai "Tanda Tangan" (AT_SIGNATURE) tidak didukung.
- Semua komputer Gateway harus dapat memvalidasi dan mempercayai sertifikat Pusat yang dipilih sepenuhnya.
Misalnya, Anda dapat menggunakan server Web standar atau templat Komputer.
Peringatan
Proses perpanjangan sertifikat yang ada tidak didukung. Satu-satunya cara untuk memperbarui sertifikat adalah dengan membuat sertifikat baru dan mengonfigurasi ATA untuk menggunakan sertifikat baru.
Catatan
- Jika Anda akan mengakses Konsol ATA dari komputer lain, pastikan komputer tersebut mempercayai sertifikat yang digunakan oleh Pusat ATA jika tidak, Anda akan mendapatkan halaman peringatan bahwa ada masalah dengan sertifikat keamanan situs web sebelum masuk ke halaman masuk.
- Dimulai dengan ATA versi 1.8 Gateway ATA dan Gateway Ringan mengelola sertifikat mereka sendiri dan tidak memerlukan interaksi administrator untuk mengelolanya.
Persyaratan Gateway ATA
Bagian ini mencantumkan persyaratan untuk Gateway ATA.
Umum
Gateway ATA mendukung penginstalan pada server yang menjalankan Windows Server 2012 R2 atau Windows Server 2016 dan Windows Server 2019 (termasuk inti server). Gateway ATA dapat diinstal di server yang merupakan anggota domain atau grup kerja. Gateway ATA dapat digunakan untuk memantau Pengendali Domain dengan Tingkat Fungsional Domain Windows 2003 ke atas.
Sebelum menginstal Gateway ATA yang menjalankan Windows 2012 R2, konfirmasikan bahwa pembaruan berikut telah diinstal: KB2919355.
Anda dapat memeriksa dengan menjalankan cmdlet Windows PowerShell berikut: [Get-HotFix -Id kb2919355].
Untuk informasi tentang menggunakan komputer virtual dengan Gateway ATA, lihat Mengonfigurasi pencerminan port.
Catatan
Diperlukan ruang minimal 5 GB dan 10 GB disarankan. Ini termasuk ruang yang diperlukan untuk biner ATA, log ATA, dan log performa.
Spesifikasi server
Untuk performa optimal, atur Opsi Daya Gateway ATA ke Performa Tinggi.
Gateway ATA dapat mendukung pemantauan beberapa pengontrol domain, tergantung pada jumlah lalu lintas jaringan ke dan dari pengendali domain.
Untuk mempelajari selengkapnya tentang memori dinamis atau fitur manajemen memori komputer virtual lainnya, lihat Memori dinamis.
Untuk informasi selengkapnya tentang persyaratan perangkat keras ATA Gateway, lihat Perencanaan kapasitas ATA.
Sinkronisasi waktu
Server ATA Center, server Gateway ATA, dan pengontrol domain harus memiliki waktu yang disinkronkan dalam waktu lima menit satu sama lain.
Adaptor jaringan
Gateway ATA memerlukan setidaknya satu adaptor Manajemen dan setidaknya satu adaptor Capture:
Adaptor manajemen - digunakan untuk komunikasi di jaringan perusahaan Anda. Adaptor ini harus dikonfigurasi dengan pengaturan berikut:
Alamat IP statis termasuk gateway default
Server DNS pilihan dan alternatif
Akhiran DNS untuk koneksi ini harus menjadi nama DNS domain untuk setiap domain yang sedang dipantau.
Catatan
Jika Gateway ATA adalah anggota domain, ini dapat dikonfigurasi secara otomatis.
Menangkap adaptor - digunakan untuk menangkap lalu lintas ke dan dari pengendali domain.
Penting
- Konfigurasikan pencerminan port untuk adaptor pengambilan sebagai tujuan lalu lintas jaringan pengendali domain. Untuk informasi selengkapnya, lihat Mengonfigurasi pencerminan port. Biasanya, Anda perlu bekerja dengan tim jaringan atau virtualisasi untuk mengonfigurasi pencerminan port.
- Konfigurasikan alamat IP statis yang tidak dapat dirutekan untuk lingkungan Anda tanpa gateway default dan tidak ada alamat server DNS. Misalnya, 1.1.1.1/32. Ini memastikan bahwa adaptor jaringan penangkapan dapat menangkap jumlah maksimum lalu lintas dan adaptor jaringan manajemen digunakan untuk mengirim dan menerima lalu lintas jaringan yang diperlukan.
Port
Tabel berikut ini mencantumkan port minimum yang perlu dikonfigurasi oleh Gateway ATA pada adaptor manajemen:
| Protokol | Transportasi | Port | Ke/Dari | Arah |
|---|---|---|---|---|
| LDAP | TCP dan UDP | 389 | Pengendali domain | Keluar |
| LDAP Aman (LDAPS) | TCP | 636 | Pengendali domain | Keluar |
| LDAP ke Katalog Global | TCP | 3268 | Pengendali domain | Keluar |
| LDAPS ke Katalog Global | TCP | 3269 | Pengendali domain | Keluar |
| Kerberos | TCP dan UDP | 88 | Pengendali domain | Keluar |
| Netlogon (SMB, CIFS, SAM-R) | TCP dan UDP | 445 | Semua perangkat di jaringan | Keluar |
| Waktu Windows | UDP | 123 | Pengendali domain | Keluar |
| DNS | TCP dan UDP | 53 | Server DNS | Keluar |
| NTLM melalui RPC | TCP | 135 | Semua perangkat di jaringan | Keduanya |
| NetBIOS | UDP | 137 | Semua perangkat di jaringan | Keduanya |
| SSL | TCP | 443 | Pusat ATA | Keluar |
| Syslog (opsional) | UDP | 514 | SIEM Server | Masuk |
Catatan
Sebagai bagian dari proses resolusi yang dilakukan oleh Gateway ATA, port berikut harus terbuka masuk pada perangkat di jaringan dari Gateway ATA.
- NTLM melalui RPC (Port TCP 135)
- NetBIOS (port UDP 137)
- Dengan menggunakan akun pengguna layanan Direktori, Gateway ATA mengkueri titik akhir di organisasi Anda untuk admin lokal menggunakan SAM-R (masuk jaringan) untuk membangun grafik jalur gerakan lateral. Untuk informasi selengkapnya, lihat Mengonfigurasi izin yang diperlukan SAM-R.
- Port berikut harus terbuka masuk pada perangkat di jaringan dari Gateway ATA:
- NTLM melalui RPC (TCP Port 135) untuk tujuan resolusi
- NetBIOS (port UDP 137) untuk tujuan resolusi
Persyaratan Gateway Ringan ATA
Bagian ini mencantumkan persyaratan untuk Gateway Ringan ATA.
Umum
Gateway ATA Lightweight mendukung penginstalan pada pengendali domain yang menjalankan Windows Server 2008 R2 SP1 (tidak termasuk Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 dan Windows Server 2019 (termasuk Core tetapi bukan Nano).
Pengendali domain dapat menjadi pengontrol domain baca-saja (RODC).
Sebelum menginstal ATA Lightweight Gateway pada pengendali domain yang menjalankan Windows Server 2012 R2, konfirmasikan bahwa pembaruan berikut telah diinstal: KB2919355.
Anda dapat memeriksa dengan menjalankan cmdlet Windows PowerShell berikut ini: [Get-HotFix -Id kb2919355]
Jika penginstalan adalah untuk Windows server 2012 R2 Server Core, pembaruan berikut juga harus diinstal: KB3000850.
Anda dapat memeriksa dengan menjalankan cmdlet Windows PowerShell berikut ini: [Get-HotFix -Id kb3000850]
Selama penginstalan, .Net Framework 4.6.1 diinstal dan dapat menyebabkan boot ulang pengontrol domain.
Catatan
Diperlukan ruang minimal 5 GB dan 10 GB disarankan. Ini termasuk ruang yang diperlukan untuk biner ATA, log ATA, dan log performa.
Spesifikasi server
Gateway Ringan ATA memerlukan minimal 2 core dan RAM 6 GB yang diinstal pada pengontrol domain. Untuk performa optimal, atur Opsi Daya Gateway Ringan ATA ke Performa Tinggi. Gateway Ringan ATA dapat disebarkan pada pengendali domain dari berbagai beban dan ukuran, tergantung pada jumlah lalu lintas jaringan ke dan dari pengontrol domain dan jumlah sumber daya yang diinstal pada pengendali domain tersebut.
Untuk mempelajari selengkapnya tentang memori dinamis atau fitur manajemen memori komputer virtual lainnya, lihat Memori dinamis.
Untuk informasi selengkapnya tentang persyaratan perangkat keras ATA Lightweight Gateway, lihat Perencanaan kapasitas ATA.
Sinkronisasi waktu
Server ATA Center, server Gateway Ringan ATA, dan pengontrol domain harus memiliki waktu yang disinkronkan dalam waktu lima menit satu sama lain.
Adaptor jaringan
Gateway Ringan ATA memantau lalu lintas lokal pada semua adaptor jaringan pengendali domain.
Setelah penyebaran, Anda dapat menggunakan Konsol ATA jika Anda ingin memodifikasi adaptor jaringan mana yang dipantau.
Catatan
Gateway Ringan tidak didukung pada pengendali domain yang menjalankan Windows 2008 R2 dengan Broadcom Network Adapter Teaming diaktifkan.
Port
Tabel berikut mencantumkan port minimum yang diperlukan gateway ATA Lightweight:
| Protokol | Transportasi | Port | Ke/Dari | Arah |
|---|---|---|---|---|
| DNS | TCP dan UDP | 53 | Server DNS | Keluar |
| NTLM melalui RPC | TCP | 135 | Semua perangkat di jaringan | Keduanya |
| NetBIOS | UDP | 137 | Semua perangkat di jaringan | Keduanya |
| SSL | TCP | 443 | Pusat ATA | Keluar |
| Syslog (opsional) | UDP | 514 | SIEM Server | Masuk |
| Netlogon (SMB, CIFS, SAM-R) | TCP dan UDP | 445 | Semua perangkat di jaringan | Keluar |
Catatan
Sebagai bagian dari proses resolusi yang dilakukan oleh Gateway Ringan ATA, port berikut harus terbuka masuk pada perangkat di jaringan dari Gateway Ringan ATA.
- NTLM melalui RPC
- NetBIOS
- Dengan menggunakan akun pengguna layanan Direktori, Gateway Ringan ATA meminta titik akhir di organisasi Anda untuk admin lokal menggunakan SAM-R (masuk jaringan) untuk membangun grafik jalur gerakan lateral. Untuk informasi selengkapnya, lihat Mengonfigurasi izin yang diperlukan SAM-R.
- Port berikut harus terbuka masuk pada perangkat di jaringan dari Gateway ATA:
- NTLM melalui RPC (TCP Port 135) untuk tujuan resolusi
- NetBIOS (port UDP 137) untuk tujuan resolusi
Memori dinamis
Catatan
Saat menjalankan layanan ATA sebagai komputer virtual (VM) layanan mengharuskan semua memori dialokasikan ke VM, sepanjang waktu.
| VM berjalan pada | Deskripsi |
|---|---|
| Hyper-V | Pastikan bahwa Aktifkan Memori Dinamis tidak diaktifkan untuk VM. |
| VMWare | Pastikan bahwa jumlah memori yang dikonfigurasi dan memori yang dipesan sama, atau pilih opsi berikut dalam pengaturan VM – Pesan semua memori tamu (Semua terkunci). |
| Host virtualisasi lainnya | Lihat dokumentasi yang disediakan vendor tentang cara memastikan bahwa memori sepenuhnya dialokasikan ke VM setiap saat. |
Jika Anda menjalankan Pusat ATA sebagai komputer virtual, matikan server sebelum membuat titik pemeriksaan baru untuk menghindari potensi kerusakan database.
Konsol ATA
Akses ke Konsol ATA adalah melalui browser, mendukung browser dan pengaturan:
Internet Explorer versi 10 ke atas
Microsoft Edge
Google Chrome 40 ke atas
Resolusi lebar layar minimum 1700 piksel