ATA-capaciteitsplanning
Van toepassing op: Advanced Threat Analytics versie 1.9
Dit artikel helpt u te bepalen hoeveel ATA-servers er nodig zijn om uw netwerk te bewaken. Hiermee kunt u schatten hoeveel ATA-gateways en/of ATA Lightweight-gateways u nodig hebt en de servercapaciteit voor uw ATA Center- en ATA Gateways.
Notitie
Het ATA Center kan worden geïmplementeerd op elke IaaS-leverancier, zolang aan de prestatievereisten in dit artikel wordt voldaan.
Het formaatprogramma gebruiken
De aanbevolen en eenvoudigste manier om de capaciteit voor uw ATA-implementatie te bepalen, is door het ATA Sizing Tool te gebruiken. Voer het HULPPROGRAMMA VOOR ATA-grootte uit en gebruik de volgende velden uit de resultaten van het Excel-bestand om de ATA-capaciteit te bepalen die u nodig hebt:
ATA Center CPU en geheugen: koppel het veld Bezetpakketten per seconde in de tabel ATA Center aan het veld PAKKETTEN PER SECONDE in de tabel ATA Center.
ATA Center Storage: match the Avg Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.
ATA Gateway: Koppel het veld Bezetpakketten per seconde in de tabel ATA Gateway in het resultatenbestand aan het veld PACKETS PER SECOND in de ATA Gateway-tabel of de ATA Lightweight-gatewaytabel, afhankelijk van het gatewaytype dat u kiest.
Notitie
Omdat verschillende omgevingen variëren en meerdere speciale en onverwachte netwerkverkeerskenmerken hebben, moet u, nadat u ATA in eerste instantie hebt geïmplementeerd en het formaatprogramma hebt uitgevoerd, mogelijk uw implementatie aanpassen en afstemmen voor capaciteit.
Als u het ATA Sizing Tool niet kunt gebruiken, verzamelt u handmatig de tellergegevens van het pakket per seconde met een laag verzamelingsinterval (ongeveer 5 seconden) van al uw domeincontrollers gedurende 24 uur. Bereken vervolgens voor elke domeincontroller het dagelijkse gemiddelde en de drukste periode (15 minuten). De volgende secties bevatten instructies over het verzamelen van de teller pakketten per seconde van één domeincontroller.
Notitie
Omdat verschillende omgevingen variëren en meerdere speciale en onverwachte netwerkverkeerskenmerken hebben, moet u, nadat u ATA in eerste instantie hebt geïmplementeerd en het formaatprogramma hebt uitgevoerd, mogelijk uw implementatie aanpassen en afstemmen voor capaciteit.
GROOTTE VAN ATA Center
Het ATA Center vereist een aanbevolen minimum van 30 dagen aan gegevens voor gedragsanalyse van gebruikers.
| Pakketten per seconde van alle DC's | CPU (kernen*) | Geheugen (GB) | Databaseopslag per dag (GB) | Databaseopslag per maand (GB) | IOPS** |
|---|---|---|---|---|---|
| 1000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1.000.000 | 40 | 128 | 300 | 9.000 | 4,000 (5,000) |
*Dit omvat fysieke kernen, niet hyperthreaded kernen.
**Gemiddelde getallen (piekgetallen)
Notitie
- AtA Center kan een geaggregeerd maximum van 1 MILJOEN pakketten per seconde verwerken vanaf alle bewaakte domeincontrollers. In sommige omgevingen kan hetzelfde ATA Center het totale verkeer verwerken dat hoger is dan 1M en sommige omgevingen de ATA-capaciteit kunnen overschrijden. Neem contact met ons op azureatpfeedback@microsoft.com voor hulp bij het plannen en schatten van grote omgevingen.
- Als uw vrije ruimte minimaal 20% of 200 GB bereikt, wordt de oudste verzameling gegevens verwijderd. Als het niet mogelijk is om de gegevensverzameling tot dit niveau te verminderen, wordt er een waarschuwing geregistreerd. ATA blijft functioneren totdat de drempelwaarde van 5% of 50 GB gratis is bereikt. Op dit moment stopt ATA met het vullen van de database en wordt er een extra waarschuwing uitgegeven.
- U kunt het ATA Center implementeren op elke IaaS-leverancier als aan de prestatievereisten die in dit artikel worden beschreven, worden voldaan.
- De opslaglatentie voor lees- en schrijfactiviteiten moet kleiner zijn dan 10 ms.
- De verhouding tussen lees- en schrijfactiviteiten is ongeveer 1:3 lager dan 100.000 pakketten per seconde en 1:6 boven 100.000 pakketten per seconde.
- Wanneer u Center als een virtuele machine (VM) uitvoert, moet al het geheugen worden toegewezen aan de virtuele machine, altijd. Zie ATA Center-vereisten voor meer informatie over het uitvoeren van ATA Center als een virtuele machine.
- Voor optimale prestaties stelt u de Power Option van atA Center in op High Performance.
- Wanneer u op een fysieke server werkt, moet u voor de ATA-database niet-uniforme geheugentoegang (NUMA) in het BIOS uitschakelen . Uw systeem verwijst mogelijk naar NUMA als Node Interleaving. In dat geval moet u Node Interleaving inschakelen om NUMA uit te schakelen. Zie uw BIOS-documentatie voor meer informatie. Dit is niet relevant wanneer ATA Center wordt uitgevoerd op een virtuele server.
Het juiste gatewaytype kiezen voor uw implementatie
In een ATA-implementatie wordt elke combinatie van de ATA Gateway-typen ondersteund:
- Alleen ATA-gateways
- Alleen ATA Lightweight-gateways
- Een combinatie van beide
Houd rekening met de volgende voordelen bij het bepalen van het gatewayimplementatietype:
| Gatewaytype | Vergoedingen | Kosten | Implementatietopologie | Gebruik van domeincontroller |
|---|---|---|---|---|
| ATA Gateway | De out-of-band-implementatie maakt het moeilijker voor aanvallers om ATA te detecteren is aanwezig | Hoger | Geïnstalleerd naast de domeincontroller (out-of-band) | Ondersteunt maximaal 50.000 pakketten per seconde |
| ATA Lightweight-gateway | Er is geen toegewezen server- en poortspiegelingsconfiguratie vereist | Lower | Geïnstalleerd op de domeincontroller | Ondersteunt maximaal 10.000 pakketten per seconde |
Hier volgen enkele voorbeelden van scenario's waarin domeincontrollers moeten worden gedekt door de ATA Lightweight-gateway:
Filialen
Virtuele domeincontrollers geïmplementeerd in de cloud (IaaS)
Hier volgen enkele voorbeelden van scenario's waarin domeincontrollers moeten worden gedekt door de ATA Gateway:
- Hoofdkantoordatacentra (met domeincontrollers met meer dan 10.000 pakketten per seconde)
Grootte van ATA Lightweight-gateway
Een ATA Lightweight-gateway kan de bewaking van één domeincontroller ondersteunen op basis van de hoeveelheid netwerkverkeer dat de domeincontroller genereert.
| Pakketten per seconde* | CPU (kernen**) | Geheugen (GB)** |
|---|---|---|
| 1000 | 2 | 6 |
| 5\.000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Totaal aantal pakketten per seconde op de domeincontroller die wordt bewaakt door de specifieke ATA Lightweight-gateway.
**Totaal aantal niet-hyperthreaded kernen dat deze domeincontroller heeft geïnstalleerd.
Hoewel hyperthreading acceptabel is voor de ATA Lightweight-gateway, moet u bij het plannen van capaciteit de werkelijke kernen tellen en niet hyperthreaded kernen.
Totale hoeveelheid geheugen die deze domeincontroller heeft geïnstalleerd.
Notitie
- Als de domeincontroller niet beschikt over de resources die vereist zijn voor de ATA Lightweight-gateway, worden de prestaties van de domeincontroller niet beïnvloed, maar werkt de ATA Lightweight-gateway mogelijk niet zoals verwacht.
- Bij het uitvoeren van de gateway als een virtuele machine (VM) vereist de gateway dat al het geheugen wordt toegewezen aan de virtuele machine, altijd. Zie Dynamische geheugenvereisten voor meer informatie over het uitvoeren van ATA Gateway als een virtuele machine.
- Voor optimale prestaties stelt u de energieoptie van de ATA Lightweight-gateway in op High Performance.
- Er is minimaal 5 GB ruimte vereist en 10 GB wordt aanbevolen, inclusief ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.
Grootte van ATA-gateway
Houd rekening met de volgende problemen bij het bepalen hoeveel ATA Gateways u wilt implementeren.
- Active Directory-forests en -domeinen
ATA kan verkeer van meerdere domeinen vanuit één Active Directory-forest bewaken. Voor het bewaken van meerdere Active Directory-forests zijn afzonderlijke ATA-implementaties vereist. Configureer geen enkele ATA-implementatie om netwerkverkeer van domeincontrollers uit verschillende forests te bewaken. - Poortspiegeling
Overwegingen voor poortspiegeling vereisen mogelijk dat u meerdere ATA Gateways per gegevensgateway of vertakkingssite implementeert. - Capaciteit
Een ATA Gateway kan ondersteuning bieden voor het bewaken van meerdere domeincontrollers, afhankelijk van de hoeveelheid netwerkverkeer van de domeincontrollers die worden bewaakt.
| Pakketten per seconde* | CPU (kernen**) | Geheugen (GB) |
|---|---|---|
| 1000 | 1 | 6 |
| 5\.000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Totaal gemiddeld aantal pakketten per seconde van alle domeincontrollers die worden bewaakt door de specifieke ATA Gateway tijdens hun drukste uur van de dag.
*De totale hoeveelheid poortgespiegeld verkeer van de domeincontroller kan de capaciteit van de opname-NIC op de ATA Gateway niet overschrijden.
**Hyperthreading moet worden uitgeschakeld.
Notitie
- Bij het uitvoeren van de gateway als een virtuele machine (VM) vereist de gateway dat al het geheugen wordt toegewezen aan de virtuele machine, altijd. Zie Dynamische geheugenvereisten voor meer informatie over het uitvoeren van ATA Gateway als een virtuele machine.
- Voor optimale prestaties stelt u de Power Option van de ATA Gateway in op High Performance.
- Er is minimaal 5 GB ruimte vereist en 10 GB wordt aanbevolen, inclusief ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.