ATA 필수 구성 요소
적용 대상: Advanced Threat Analytics 버전 1.9
이 문서에서는 사용자 환경에서 성공적인 ATA 배포에 대한 요구 사항을 설명합니다.
참고 항목
리소스 및 용량을 계획하는 방법에 대한 자세한 내용은 ATA 용량 계획을 참조하세요.
ATA는 ATA 센터, ATA 게이트웨이 및/또는 ATA 경량 게이트웨이로 구성됩니다. ATA 구성 요소에 대한 자세한 내용은 ATA 아키텍처를 참조 하세요.
ATA 시스템은 Active Directory 포리스트 경계에서 작동하며 Windows 2003 이상의 FFL(포리스트 기능 수준)을 지원합니다.
시작하기 전에: 이 섹션에는 ATA 설치를 시작하기 전에 수집해야 하는 정보와 가지고 있어야 하는 계정 및 네트워크 엔터티가 나열되어 있습니다.
ATA 센터: 이 섹션에서는 ATA 센터 하드웨어, 소프트웨어 요구 사항 및 ATA 센터 서버에서 구성해야 하는 설정을 나열합니다.
ATA 게이트웨이: 이 섹션에서는 ATA 게이트웨이 하드웨어, 소프트웨어 요구 사항 및 ATA 게이트웨이 서버에서 구성해야 하는 설정을 나열합니다.
ATA 경량 게이트웨이: 이 섹션에서는 ATA 경량 게이트웨이 하드웨어 및 소프트웨어 요구 사항을 나열합니다.
ATA 콘솔: 이 섹션에는 ATA 콘솔을 실행하기 위한 브라우저 요구 사항이 나열됩니다.
시작하기 전에
이 섹션에서는 ATA 설치를 시작하기 전에 수집해야 하는 정보와 계정 및 네트워크 엔터티를 나열합니다.
모니터링되는 do기본의 모든 개체에 대한 읽기 권한이 있는 사용자 계정 및 암호입니다.
참고 항목
할 일의 다양한 OU(조직 구성 단위)에서 사용자 지정 ACL을 설정한 경우기본 선택한 사용자에게 해당 OU에 대한 읽기 권한이 있는지 확인합니다.
ATA 게이트웨이 또는 경량 게이트웨이에 Microsoft Message Analyzer를 설치하지 마세요. 메시지 분석기 드라이버가 ATA 게이트웨이 및 경량 게이트웨이 드라이버와 충돌합니다. ATA 게이트웨이에서 Wireshark를 실행하는 경우 Wireshark 캡처를 중지한 후 Microsoft Advanced Threat Analytics 게이트웨이 서비스를 다시 시작해야 합니다. 그렇지 않은 경우 게이트웨이는 트래픽 캡처를 중지합니다. ATA 경량 게이트웨이에서 Wireshark를 실행해도 ATA 경량 게이트웨이를 방해하지 않습니다.
권장: 사용자에게 삭제된 개체 컨테이너에 대한 읽기 전용 권한이 있어야 합니다. 이를 통해 ATA는 do기본 개체의 대량 삭제를 검색할 수 있습니다. 삭제된 개체 컨테이너에 대한 읽기 전용 권한을 구성하는 방법에 대한 자세한 내용은 디렉터리 개체의 보기 또는 사용 권한 설정 문서에서 삭제된 개체 컨테이너에 대한 권한 변경 섹션을 참조하세요.
선택 사항: 네트워크 활동이 없는 사용자의 사용자 계정입니다. 이 계정은 ATA Honeytoken 사용자로 구성할 수 있습니다. 계정을 Honeytoken 사용자로 구성하려면 사용자 이름만 필요합니다. Honeytoken 구성 정보는 IP 주소 제외 및 Honeytoken 사용자 구성을 참조 하세요.
선택 사항: 할 일기본 컨트롤러와 네트워크 트래픽을 수집하고 분석하는 것 외에도 ATA는 Windows 이벤트 4776, 4732, 4733, 4728, 4729, 4756 및 4757을 사용하여 ATA Pass-the-Hash, 무차별 암호 대입, 중요한 그룹 수정 및 꿀 토큰 검색을 더욱 강화할 수 있습니다. 이러한 이벤트는 SIEM 또는 do기본 컨트롤러에서 Windows 이벤트 전달을 설정하여 수신할 수 있습니다. 수집된 이벤트는 ATA에 do기본 컨트롤러 네트워크 트래픽을 통해 사용할 수 없는 추가 정보를 제공합니다.
ATA 센터 요구 사항
이 섹션에서는 ATA 센터에 대한 요구 사항을 나열합니다.
일반
ATA 센터는 Windows Server 2012 R2 Windows Server 2016 및 Windows Server 2019를 실행하는 서버에 설치를 지원합니다.
참고 항목
ATA 센터는 Windows Server 코어를 지원하지 않습니다.
ATA 센터는 할 일기본 또는 작업 그룹의 구성원인 서버에 설치할 수 있습니다.
Windows 2012 R2를 실행하는 ATA 센터를 설치하기 전에 다음 업데이트가 설치되었는지 확인합니다. KB2919355.
다음 Windows PowerShell cmdlet[Get-HotFix -Id kb2919355]을 실행하여 검사 수 있습니다.
ATA 센터를 가상 머신으로 설치할 수 있습니다.
서버 사양
실제 서버에서 작업할 때 ATA 데이터베이스는 BIOS에서 NUMA(비균일 메모리 액세스)를 사용하지 않도록 설정해야 합니다. 시스템에서 NUMA를 노드 인터리빙이라고 할 수 있습니다. 이 경우 NUMA를 사용하지 않도록 설정하려면 노드 인터리빙을 사용하도록 설정 해야 합니다. 자세한 내용은 BIOS 설명서를 참조하세요.
최적의 성능을 위해 ATA 센터의 전원 옵션을 고성능으로 설정합니다.
모니터링하는 할 일기본 컨트롤러의 수와 각 할 일기본 컨트롤러의 로드는 필요한 서버 사양을 결정합니다. 자세한 내용은 ATA 용량 계획을 참조하세요.
Windows 운영 체제 2008R2 및 2012의 경우 게이트웨이는 다중 프로세서 그룹 모드에서 지원되지 않습니다. 다중 프로세서 그룹 모드에 대한 자세한 내용은 문제 해결을 참조 하세요.
시간 동기화
ATA 센터 서버, ATA 게이트웨이 서버 및 do기본 컨트롤러는 서로 5분 이내에 동기화된 시간이 있어야 합니다.
네트워크 어댑터
다음 집합이 있어야 합니다.
하나 이상의 네트워크 어댑터(VLAN 환경에서 물리적 서버를 사용하는 경우 두 개의 네트워크 어댑터를 사용하는 것이 좋습니다.)
포트 443에서 SSL을 사용하여 암호화된 ATA 센터와 ATA 게이트웨이 간의 통신을 위한 IP 주소입니다. (ATA 서비스는 ATA 센터가 포트 443에 있는 모든 IP 주소에 바인딩됩니다.)
포트
다음 표에서는 ATA 센터가 제대로 작동하기 위해 열어야 하는 최소 포트를 나열합니다.
| 프로토콜 | 전송 | 포트 | 대상/원본 | 방향 |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA 게이트웨이 | 인바운드 |
| HTTP (선택 사항) | TCP | 80 | 회사 네트워크 | 인바운드 |
| HTTPS | TCP | 443 | 회사 네트워크 및 ATA 게이트웨이 | 인바운드 |
| SMTP (선택 사항) | TCP | 25 | SMTP 서버 | 아웃바운드 |
| SMTPS (선택 사항) | TCP | 465 | SMTP 서버 | 아웃바운드 |
| Syslog (선택 사항) | TCP/UPS/TLS(구성 가능) | 514(기본값) | Syslog 서버 | 아웃바운드 |
| Ldap | TCP 및 UDP | 389 | 도메인 컨트롤러 | 아웃바운드 |
| LDAPS (선택 사항) | TCP | 636 | 도메인 컨트롤러 | 아웃바운드 |
| DNS | TCP 및 UDP | 53 | DNS 서버 | 아웃바운드 |
| Kerberos(선택 사항인 경우기본 조인됨) | TCP 및 UDP | 88 | 도메인 컨트롤러 | 아웃바운드 |
| Windows 시간(선택 사항인 경우기본 조인됨) | UDP | 123 | 도메인 컨트롤러 | 아웃바운드 |
참고 항목
ATA 게이트웨이와 do기본 컨트롤러 간에 사용할 자격 증명을 테스트하려면 LDAP가 필요합니다. 이 테스트는 ATA 센터에서 할 일기본 컨트롤러로 수행되어 이러한 자격 증명의 유효성을 테스트한 후 ATA 게이트웨이는 정상 확인 프로세스의 일부로 LDAP를 사용합니다.
인증서
ATA를 더 빠르게 설치하고 배포하려면 설치하는 동안 자체 서명된 인증서를 설치할 수 있습니다. 자체 서명된 인증서를 사용하도록 선택한 경우 초기 배포 후에는 자체 서명된 인증서를 ATA 센터에서 사용할 내부 인증 기관의 인증서로 바꾸는 것이 좋습니다.
ATA 센터 및 ATA 게이트웨이가 CRL 배포 지점에 액세스할 수 있는지 확인합니다. 인터넷에 액세스할 수 없는 경우 절차에 따라 CRL을 수동으로 가져와서 전체 체인에 대한 모든 CRL 배포 지점을 설치합니다.
인증서에는 다음이 있어야 합니다.
- 프라이빗 키
- CSP(암호화 서비스 공급자) 또는 KSP(키 스토리지 공급자)의 공급자 유형
- 2048비트 공개 키 길이
- KeyEncipherment 및 ServerAuthentication 사용 플래그에 대한 값 집합
- "KeyExchange"(AT_KEYEXCHANGE)의 KeySpec(KeyNumber) 값입니다. 값 "서명"(AT_SIGNATURE)은 지원되지 않습니다 .
- 모든 게이트웨이 컴퓨터는 선택한 센터 인증서의 유효성을 완전히 검사하고 신뢰할 수 있어야 합니다.
예를 들어 표준 웹 서버 또는 컴퓨터 템플릿을 사용할 수 있습니다.
Warning
기존 인증서를 갱신하는 프로세스는 지원되지 않습니다. 인증서를 갱신하는 유일한 방법은 새 인증서를 만들고 새 인증서를 사용하도록 ATA를 구성하는 것입니다.
참고 항목
- 다른 컴퓨터에서 ATA 콘솔에 액세스하려는 경우 해당 컴퓨터가 ATA 센터에서 사용하는 인증서를 신뢰하는지 확인합니다. 그렇지 않으면 로그인 페이지에 도착하기 전에 웹 사이트의 보안 인증서에 문제가 있다는 경고 페이지가 표시됩니다.
- ATA 버전 1.8부터 ATA 게이트웨이 및 경량 게이트웨이는 자체 인증서를 관리하고 관리하기 위해 관리자 상호 작용이 필요하지 않습니다.
ATA 게이트웨이 요구 사항
이 섹션에서는 ATA 게이트웨이에 대한 요구 사항을 나열합니다.
일반
ATA 게이트웨이는 Windows Server 2012 R2 또는 Windows Server 2016 및 Windows Server 2019(서버 코어 포함)를 실행하는 서버에 설치를 지원합니다. ATA 게이트웨이는 할 일기본 또는 작업 그룹의 구성원인 서버에 설치할 수 있습니다. ATA 게이트웨이를 사용하여 Windows 2003 이상의 Do기본 기능 수준을 사용하여 Do기본 컨트롤러를 모니터링할 수 있습니다.
Windows 2012 R2를 실행하는 ATA 게이트웨이를 설치하기 전에 다음 업데이트가 설치되었는지 확인합니다. KB2919355.
다음 Windows PowerShell cmdlet[Get-HotFix -Id kb2919355]을 실행하여 검사 수 있습니다.
ATA 게이트웨이에서 가상 머신을 사용하는 방법에 대한 자세한 내용은 포트 미러 구성을 참조하세요.
참고 항목
최소 5GB의 공간이 필요하며 10GB를 사용하는 것이 좋습니다. 여기에는 ATA 이진 파일, ATA 로그 및 성능 로그에 필요한 공간이 포함됩니다.
서버 사양
최적의 성능을 위해 ATA 게이트웨이의 전원 옵션을 고성능으로 설정합니다.
ATA 게이트웨이는 할 일기본 컨트롤러의 네트워크 트래픽 양에 따라 여러 할 일기본 컨트롤러 모니터링을 지원할 수 있습니다.
동적 메모리 또는 다른 가상 머신 메모리 관리 기능에 대한 자세한 내용은 동적 메모리를 참조하세요.
ATA 게이트웨이 하드웨어 요구 사항에 대한 자세한 내용은 ATA 용량 계획을 참조하세요.
시간 동기화
ATA 센터 서버, ATA 게이트웨이 서버 및 do기본 컨트롤러는 서로 5분 이내에 동기화된 시간이 있어야 합니다.
네트워크 어댑터
ATA 게이트웨이에는 하나 이상의 관리 어댑터와 하나 이상의 캡처 어댑터가 필요합니다.
관리 어댑터 - 회사 네트워크의 통신에 사용됩니다. 이 어댑터는 다음 설정으로 구성해야 합니다.
기본 게이트웨이를 포함한 고정 IP 주소
기본 설정 및 대체 DNS 서버
이 연결에 대한 DNS 접미사는 모니터링되는 각 do기본 대해 할 일기본 DNS 이름이어야 합니다.
참고 항목
ATA 게이트웨이가 do기본 멤버인 경우 자동으로 구성될 수 있습니다.
캡처 어댑터 - do기본 컨트롤러에서 트래픽을 캡처하는 데 사용됩니다.
Important
- 캡처 어댑터에 대한 포트 미러 do기본 컨트롤러 네트워크 트래픽의 대상으로 구성합니다. 자세한 내용은 포트 미러 구성을 참조하세요. 일반적으로 네트워킹 또는 가상화 팀과 협력하여 포트 미러 구성해야 합니다.
- 기본 게이트웨이가 없고 DNS 서버 주소가 없는 환경에 대해 라우팅할 수 없는 고정 IP 주소를 구성합니다. 예를 들어 1.1.1.1/32입니다. 이렇게 하면 캡처 네트워크 어댑터가 최대 트래픽 양을 캡처할 수 있고 관리 네트워크 어댑터를 사용하여 필요한 네트워크 트래픽을 보내고 받을 수 있습니다.
포트
다음 표에서는 관리 어댑터에서 ATA 게이트웨이가 구성해야 하는 최소 포트를 나열합니다.
| 프로토콜 | 전송 | 포트 | 대상/원본 | 방향 |
|---|---|---|---|---|
| LDAP | TCP 및 UDP | 389 | 도메인 컨트롤러 | 아웃바운드 |
| LDAPS(보안 LDAP) | TCP | 636 | 도메인 컨트롤러 | 아웃바운드 |
| LDAP에서 글로벌 카탈로그로 | TCP | 3268 | 도메인 컨트롤러 | 아웃바운드 |
| LDAPS에서 글로벌 카탈로그로 | TCP | 3269 | 도메인 컨트롤러 | 아웃바운드 |
| Kerberos | TCP 및 UDP | 88 | 도메인 컨트롤러 | 아웃바운드 |
| Netlogon(SMB, CIFS, SAM-R) | TCP 및 UDP | 445 | 네트워크의 모든 디바이스 | 아웃바운드 |
| Windows 시간 | UDP | 123 | 도메인 컨트롤러 | 아웃바운드 |
| DNS | TCP 및 UDP | 53 | DNS 서버 | 아웃바운드 |
| NTLM over RPC | TCP | 135 | 네트워크의 모든 디바이스 | 모두 |
| NetBIOS | UDP | 137 | 네트워크의 모든 디바이스 | 모두 |
| SSL | TCP | 443 | ATA 센터 | 아웃바운드 |
| Syslog(선택 사항) | UDP | 514 | SIEM 서버 | 인바운드 |
참고 항목
ATA 게이트웨이에서 수행하는 확인 프로세스의 일부로 ATA 게이트웨이에서 네트워크의 디바이스에서 다음 포트를 인바운드로 열어야 합니다.
ATA 경량 게이트웨이 요구 사항
이 섹션에서는 ATA 경량 게이트웨이에 대한 요구 사항을 나열합니다.
일반
ATA 경량 게이트웨이는 Windows Server 2008 R2 SP1(Server Core 제외), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 및 Windows Server 2019(Core 포함하지만 Nano 제외)를 실행하는 do기본 컨트롤러에서 설치를 지원합니다.
do기본 컨트롤러는 RODC(읽기 전용 do기본 컨트롤러)일 수 있습니다.
Windows Server 2012 R2를 실행하는 do기본 컨트롤러에 ATA 경량 게이트웨이를 설치하기 전에 다음 업데이트가 설치되었는지 확인합니다. KB2919355.
다음 Windows PowerShell cmdlet을 실행하여 검사 수 있습니다.[Get-HotFix -Id kb2919355]
Windows Server 2012 R2 Server Core를 설치하는 경우 다음 업데이트도 설치 해야 합니다. KB3000850.
다음 Windows PowerShell cmdlet을 실행하여 검사 수 있습니다.[Get-HotFix -Id kb3000850]
설치하는 동안 .Net Framework 4.6.1이 설치되고 do기본 컨트롤러가 다시 부팅될 수 있습니다.
참고 항목
최소 5GB의 공간이 필요하며 10GB를 사용하는 것이 좋습니다. 여기에는 ATA 이진 파일, ATA 로그 및 성능 로그에 필요한 공간이 포함됩니다.
서버 사양
ATA 경량 게이트웨이에는 do기본 컨트롤러에 최소 2개의 코어와 6GB의 RAM이 설치되어 있어야 합니다. 최적의 성능을 위해 ATA 경량 게이트웨이의 전원 옵션을 고성능으로 설정합니다. ATA 경량 게이트웨이는 할 일기본 컨트롤러의 네트워크 트래픽 양과 해당 컨트롤러에 설치된 리소스 양에 따라 다양한 부하 및 크기의 do기본 컨트롤러에 배포할 수 기본.
동적 메모리 또는 다른 가상 머신 메모리 관리 기능에 대한 자세한 내용은 동적 메모리를 참조하세요.
ATA 경량 게이트웨이 하드웨어 요구 사항에 대한 자세한 내용은 ATA 용량 계획을 참조하세요.
시간 동기화
ATA 센터 서버, ATA 경량 게이트웨이 서버 및 do기본 컨트롤러는 서로 5분 이내에 동기화된 시간이 있어야 합니다.
네트워크 어댑터
ATA 경량 게이트웨이는 모든 할 일기본 컨트롤러의 네트워크 어댑터에서 로컬 트래픽을 모니터링합니다.
배포 후 모니터링되는 네트워크 어댑터를 수정하려는 경우 ATA 콘솔을 사용할 수 있습니다.
참고 항목
경량 게이트웨이는 Broadcom 네트워크 어댑터 팀을 사용하도록 설정된 Windows 2008 R2를 실행하는 do기본 컨트롤러에서 지원되지 않습니다.
포트
다음 표에서는 ATA 경량 게이트웨이에 필요한 최소 포트를 나열합니다.
| 프로토콜 | 전송 | 포트 | 대상/원본 | 방향 |
|---|---|---|---|---|
| DNS | TCP 및 UDP | 53 | DNS 서버 | 아웃바운드 |
| NTLM over RPC | TCP | 135 | 네트워크의 모든 디바이스 | 모두 |
| NetBIOS | UDP | 137 | 네트워크의 모든 디바이스 | 모두 |
| SSL | TCP | 443 | ATA 센터 | 아웃바운드 |
| Syslog(선택 사항) | UDP | 514 | SIEM 서버 | 인바운드 |
| Netlogon(SMB, CIFS, SAM-R) | TCP 및 UDP | 445 | 네트워크의 모든 디바이스 | 아웃바운드 |
참고 항목
ATA 경량 게이트웨이에서 수행하는 확인 프로세스의 일부로 ATA 경량 게이트웨이에서 네트워크의 디바이스에서 다음 포트를 인바운드로 열어야 합니다.
동적 메모리
참고 항목
ATA 서비스를 VM(가상 머신)으로 실행하는 경우 서비스는 항상 모든 메모리를 VM에 할당해야 합니다.
| VM 실행 중 | 설명 |
|---|---|
| Hyper-V | VM에 대해 동적 메모리 를 사용하도록 설정하지 않았는지 확인합니다. |
| VMWare | 구성된 메모리 양과 예약된 메모리가 동일한지 확인하거나 VM 설정 에서 다음 옵션을 선택합니다. 모든 게스트 메모리를 예약합니다(모두 잠김). |
| 기타 가상화 호스트 | 항상 VM에 메모리가 완전히 할당되도록 하는 방법에 대한 공급업체 제공 설명서를 참조하세요. |
ATA 센터를 가상 머신으로 실행하는 경우 잠재적인 데이터베이스 손상을 방지하기 위해 새 검사포인트를 만들기 전에 서버를 종료합니다.
ATA 콘솔
ATA 콘솔에 대한 액세스는 브라우저를 통해 브라우저 및 설정을 지원하는 것입니다.
Internet Explorer 버전 10 이상
Microsoft Edge
Google Chrome 40 이상
최소 화면 너비 해상도 1700픽셀