ATA-vereisten
Van toepassing op: Advanced Threat Analytics versie 1.9
In dit artikel worden de vereisten beschreven voor een geslaagde ATA-implementatie in uw omgeving.
Notitie
Zie ATA-capaciteitsplanning voor informatie over het plannen van resources en capaciteit.
ATA bestaat uit het ATA Center, de ATA Gateway en/of de ATA Lightweight-gateway. Zie DE ATA-architectuur voor meer informatie over de ATA-onderdelen.
Het ATA-systeem werkt op de grens van active directory-forests en ondersteunt FFL (Forest Functional Level) van Windows 2003 en hoger.
Voordat u begint: in deze sectie vindt u informatie die u moet verzamelen en accounts en netwerkentiteiten die u moet hebben, voordat u de ATA-installatie start.
ATA Center: in deze sectie vindt u een lijst met ATA Center-hardware, softwarevereisten en instellingen die u moet configureren op uw ATA Center-server.
ATA Gateway: in deze sectie vindt u een lijst met ATA Gateway-hardware, softwarevereisten en instellingen die u moet configureren op uw ATA Gateway-servers.
ATA Lightweight-gateway: in deze sectie vindt u een lijst met ATA Lightweight-gatewayhardware en softwarevereisten.
ATA Console: in deze sectie vindt u een lijst met browservereisten voor het uitvoeren van de ATA Console.
Voordat u begint
In deze sectie vindt u informatie die u moet verzamelen, evenals accounts en netwerkentiteiten die u moet hebben voordat u de ATA-installatie start.
Gebruikersaccount en wachtwoord met leestoegang tot alle objecten in de bewaakte domeinen.
Notitie
Als u aangepaste ACL's hebt ingesteld voor verschillende organisatie-eenheden (OE's) in uw domein, moet u ervoor zorgen dat de geselecteerde gebruiker leesmachtigingen heeft voor deze organisatie-eenheden.
Installeer Microsoft Message Analyzer niet op een ATA Gateway of Lightweight Gateway. Het Message Analyzer-stuurprogramma conflicteert met de ATA Gateway- en Lightweight Gateway-stuurprogramma's. Als u Wireshark uitvoert op ATA Gateway, moet u de Microsoft Advanced Threat Analytics Gateway-service opnieuw starten nadat u de Wireshark-opname hebt gestopt. Zo niet, dan stopt de gateway met het vastleggen van verkeer. Wireshark uitvoeren op een ATA Lightweight-gateway heeft geen invloed op de ATA Lightweight-gateway.
Aanbevolen: De gebruiker moet alleen-lezenmachtigingen hebben voor de container Verwijderde objecten. Hierdoor kan ATA bulksgewijs verwijderen van objecten in het domein detecteren. Zie de sectie Machtigingen wijzigen voor een verwijderde objectcontainer in het artikel Weergave of Machtigingen instellen voor een mapobjectartikel voor informatie over het configureren van alleen-lezenmachtigingen voor de container Verwijderde objecten.
Optioneel: Een gebruikersaccount van een gebruiker zonder netwerkactiviteiten. Dit account kan worden geconfigureerd als een ATA Honeytoken-gebruiker. Als u een account wilt configureren als honeytokengebruiker, is alleen de gebruikersnaam vereist. Zie Ip-adresuitsluitingen en Honeytoken-gebruiker configureren voor informatie over de configuratie van Honeytoken.
Optioneel: Naast het verzamelen en analyseren van netwerkverkeer van en naar de domeincontrollers, kan ATA Windows-gebeurtenissen 4776, 4732, 4733, 4728, 4729, 4756 en 4757 gebruiken om ATA Pass-the-Hash, Brute Force, wijziging van gevoelige groepen en Honey Tokens-detecties verder te verbeteren. Deze gebeurtenissen kunnen worden ontvangen van uw SIEM of door Windows Event Forwarding in te stellen vanaf uw domeincontroller. Gebeurtenissen die worden verzameld, bieden ATA aanvullende informatie die niet beschikbaar is via het netwerkverkeer van de domeincontroller.
Vereisten voor ATA Center
In deze sectie vindt u een overzicht van de vereisten voor het ATA Center.
Algemeen
Het ATA Center ondersteunt installatie op een server met Windows Server 2012 R2 Windows Server 2016 en Windows Server 2019.
Notitie
Het ATA Center biedt geen ondersteuning voor Windows Server Core.
Het ATA Center kan worden geïnstalleerd op een server die lid is van een domein of werkgroep.
Voordat u ATA Center met Windows 2012 R2 installeert, controleert u of de volgende update is geïnstalleerd: KB2919355.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren: [Get-HotFix -Id kb2919355].
De installatie van het ATA Center als een virtuele machine wordt ondersteund.
Serverspecificaties
Wanneer u op een fysieke server werkt, moet u voor de ATA-database niet-uniforme geheugentoegang (NUMA) in het BIOS uitschakelen . Uw systeem verwijst mogelijk naar NUMA als Node Interleaving. In dat geval moet u Node Interleaving inschakelen om NUMA uit te schakelen. Zie uw BIOS-documentatie voor meer informatie.
Voor optimale prestaties stelt u de Power Option van atA Center in op High Performance.
Het aantal domeincontrollers dat u bewaakt en de belasting op elk van de domeincontrollers bepaalt welke serverspecificaties nodig zijn. Zie ATA-capaciteitsplanning voor meer informatie.
Voor Windows-besturingssystemen 2008R2 en 2012 wordt gateway niet ondersteund in de modus MultiProcessorGroep . Zie probleemoplossing voor meer informatie over de groepsmodus voor meerdere processoren.
Tijdsynchronisatie
De ATA Center-server, de ATA Gateway-servers en de domeincontrollers moeten binnen vijf minuten van elkaar zijn gesynchroniseerd.
Netwerkadapters
U moet de volgende set hebben:
Ten minste één netwerkadapter (als u fysieke server in de VLAN-omgeving gebruikt, is het raadzaam om twee netwerkadapters te gebruiken)
Een IP-adres voor communicatie tussen het ATA Center en de ATA Gateway die is versleuteld met SSL op poort 443. (De ATA-service verbindt zich met alle IP-adressen die het ATA Center heeft op poort 443.)
Poorten
De volgende tabel bevat de minimale poorten die moeten worden geopend om het ATA Center goed te laten werken.
| Protocol | Transport | Haven | Van/naar | Richting |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Inkomend |
| HTTP (optioneel) | TCP | 80 | Bedrijfsnetwerk | Inkomend |
| HTTPS | TCP | 443 | Bedrijfsnetwerk en ATA Gateway | Inkomend |
| SMTP (optioneel) | TCP | 25 | SMTP-server | Uitgaand |
| SMTPS (optioneel) | TCP | 465 | SMTP-server | Uitgaand |
| Syslog (optioneel) | TCP/UPS/TLS (configureerbaar) | 514 (standaard) | Syslog-server | Uitgaand |
| LDAP | TCP en UDP | 389 | Domeincontrollers | Uitgaand |
| LDAPS (optioneel) | TCP | 636 | Domeincontrollers | Uitgaand |
| DNS | TCP en UDP | 53 | DNS-servers | Uitgaand |
| Kerberos (optioneel als domein is toegevoegd) | TCP en UDP | 88 | Domeincontrollers | Uitgaand |
| Windows Time (optioneel als domein is toegevoegd) | UDP | 123 | Domeincontrollers | Uitgaand |
Notitie
LDAP is vereist om de referenties te testen die moeten worden gebruikt tussen de ATA Gateways en de domeincontrollers. De test wordt uitgevoerd van ATA Center naar een domeincontroller om de geldigheid van deze referenties te testen, waarna de ATA Gateway LDAP gebruikt als onderdeel van het normale resolutieproces.
Certificaten
Als u ATA sneller wilt installeren en implementeren, kunt u zelfondertekende certificaten installeren tijdens de installatie. Als u ervoor hebt gekozen om zelfondertekende certificaten te gebruiken, is het na de eerste implementatie raadzaam om zelfondertekende certificaten te vervangen door certificaten van een interne certificeringsinstantie die door het ATA Center moet worden gebruikt.
Zorg ervoor dat de ATA Center- en ATA-gateways toegang hebben tot uw CRL-distributiepunt. Als ze geen internettoegang hebben, volgt u de procedure voor het handmatig importeren van een CRL, waarbij u alle CRL-distributiepunten voor de hele keten installeert.
Het certificaat moet het volgende hebben:
- Een persoonlijke sleutel
- Een providertype van cryptografische serviceprovider (CSP) of Key Storage Provider (KSP)
- Een openbare sleutellengte van 2048 bits
- Een waarde die is ingesteld voor KeyEncipherment- en ServerAuthentication-gebruiksvlagmen
- KeySpec-waarde (KeyNumber) van KeyExchange (AT_KEYEXCHANGE). De waarde 'Handtekening' (AT_SIGNATURE) wordt niet ondersteund.
- Alle gatewaycomputers moeten het geselecteerde Center-certificaat volledig kunnen valideren en vertrouwen.
U kunt bijvoorbeeld de standaardwebserver- of computersjablonen gebruiken.
Waarschuwing
Het proces voor het vernieuwen van een bestaand certificaat wordt niet ondersteund. De enige manier om een certificaat te vernieuwen is door een nieuw certificaat te maken en ATA te configureren voor het gebruik van het nieuwe certificaat.
Notitie
- Als u toegang wilt krijgen tot de ATA Console vanaf andere computers, moet u ervoor zorgen dat deze computers het certificaat vertrouwen dat wordt gebruikt door ATA Center, anders krijgt u een waarschuwingspagina dat er een probleem is met het beveiligingscertificaat van de website voordat u naar de aanmeldingspagina gaat.
- Vanaf ATA-versie 1.8 beheren de ATA-gateways en Lightweight-gateways hun eigen certificaten en hoeven ze geen beheerdersinteractie te beheren.
Vereisten voor ATA Gateway
In deze sectie vindt u een overzicht van de vereisten voor de ATA Gateway.
Algemeen
De ATA Gateway ondersteunt installatie op een server met Windows Server 2012 R2 of Windows Server 2016 en Windows Server 2019 (inclusief serverkern). De ATA Gateway kan worden geïnstalleerd op een server die lid is van een domein of werkgroep. De ATA Gateway kan worden gebruikt voor het bewaken van domeincontrollers met het functionele domeinniveau van Windows 2003 en hoger.
Voordat u ATA Gateway met Windows 2012 R2 installeert, controleert u of de volgende update is geïnstalleerd: KB2919355.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren: [Get-HotFix -Id kb2919355].
Zie Poortspiegeling configureren voor meer informatie over het gebruik van virtuele machines met de ATA Gateway.
Notitie
Er is minimaal 5 GB ruimte vereist en 10 GB wordt aanbevolen. Dit omvat ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.
Serverspecificaties
Voor optimale prestaties stelt u de Power Option van de ATA Gateway in op High Performance.
Een ATA Gateway kan ondersteuning bieden voor het bewaken van meerdere domeincontrollers, afhankelijk van de hoeveelheid netwerkverkeer van en naar de domeincontrollers.
Zie Dynamisch geheugen voor meer informatie over dynamisch geheugen of een andere functie voor geheugenbeheer van virtuele machines.
Zie ATA-capaciteitsplanning voor meer informatie over de hardwarevereisten voor ATA Gateway.
Tijdsynchronisatie
De ATA Center-server, de ATA Gateway-servers en de domeincontrollers moeten binnen vijf minuten van elkaar zijn gesynchroniseerd.
Netwerkadapters
Voor de ATA-gateway zijn ten minste één beheeradapter en ten minste één Capture-adapter vereist:
Beheeradapter - gebruikt voor communicatie in uw bedrijfsnetwerk. Deze adapter moet worden geconfigureerd met de volgende instellingen:
Statisch IP-adres inclusief standaardgateway
Voorkeurs- en alternatieve DNS-servers
Het DNS-achtervoegsel voor deze verbinding moet de DNS-naam van het domein zijn voor elk domein dat wordt bewaakt.
Notitie
Als de ATA Gateway lid is van het domein, kan dit automatisch worden geconfigureerd.
Capture-adapter : wordt gebruikt om verkeer van en naar de domeincontrollers vast te leggen.
Belangrijk
- Configureer poortspiegeling voor de capture-adapter als de bestemming van het netwerkverkeer van de domeincontroller. Zie Poortspiegeling configureren voor meer informatie. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren.
- Configureer een statisch, niet-routeerbaar IP-adres voor uw omgeving zonder standaardgateway en geen DNS-serveradressen. Bijvoorbeeld 1.1.1.1.1/32. Dit zorgt ervoor dat de capture-netwerkadapter de maximale hoeveelheid verkeer kan vastleggen en dat de beheernetwerkadapter wordt gebruikt voor het verzenden en ontvangen van het vereiste netwerkverkeer.
Poorten
De volgende tabel bevat de minimale poorten die voor de ATA Gateway zijn geconfigureerd op de beheeradapter:
| Protocol | Transport | Haven | Van/naar | Richting |
|---|---|---|---|---|
| LDAP | TCP en UDP | 389 | Domeincontrollers | Uitgaand |
| Secure LDAP (LDAPS) | TCP | 636 | Domeincontrollers | Uitgaand |
| LDAP naar globale catalogus | TCP | 3268 | Domeincontrollers | Uitgaand |
| LDAPS naar globale catalogus | TCP | 3269 | Domeincontrollers | Uitgaand |
| Kerberos | TCP en UDP | 88 | Domeincontrollers | Uitgaand |
| Netlogon (SMB, CIFS, SAM-R) | TCP en UDP | 445 | Alle apparaten in het netwerk | Uitgaand |
| Windows Time | UDP | 123 | Domeincontrollers | Uitgaand |
| DNS | TCP en UDP | 53 | DNS-servers | Uitgaand |
| NTLM via RPC | TCP | 135 | Alle apparaten in het netwerk | Beide |
| NetBIOS | UDP | 137 | Alle apparaten in het netwerk | Beide |
| SSL | TCP | 443 | ATA Center | Uitgaand |
| Syslog (optioneel) | UDP | 514 | SIEM-server | Inkomend |
Notitie
Als onderdeel van het oplossingsproces dat door de ATA Gateway wordt uitgevoerd, moeten de volgende poorten binnenkomend zijn geopend op apparaten in het netwerk vanuit de ATA Gateways.
- NTLM via RPC (TCP-poort 135)
- NetBIOS (UDP-poort 137)
- Met behulp van het gebruikersaccount van de Directory-service vraagt de ATA Gateway eindpunten in uw organisatie op voor lokale beheerders met behulp van SAM-R (netwerkaanmelding) om de grafiek van het laterale verplaatsingspad te bouwen. Zie Vereiste machtigingen voor SAM-R configureren voor meer informatie.
- De volgende poorten moeten binnenkomend zijn geopend op apparaten in het netwerk vanaf de ATA Gateway:
- NTLM via RPC (TCP-poort 135) voor oplossingsdoeleinden
- NetBIOS (UDP-poort 137) voor oplossingsdoeleinden
Vereisten voor ATA Lightweight-gateway
In deze sectie vindt u de vereisten voor de ATA Lightweight-gateway.
Algemeen
De ATA Lightweight-gateway ondersteunt installatie op een domeincontroller met Windows Server 2008 R2 SP1 (niet inclusief Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 en Windows Server 2019 (inclusief Core maar niet Nano).
De domeincontroller kan een alleen-lezen domeincontroller (RODC) zijn.
Voordat u ATA Lightweight Gateway installeert op een domeincontroller met Windows Server 2012 R2, controleert u of de volgende update is geïnstalleerd: KB2919355.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren: [Get-HotFix -Id kb2919355]
Als de installatie voor Windows Server 2012 R2 Server Core is, moet de volgende update ook worden geïnstalleerd: KB3000850.
U kunt dit controleren door de volgende Windows PowerShell-cmdlet uit te voeren: [Get-HotFix -Id kb3000850]
Tijdens de installatie wordt .Net Framework 4.6.1 geïnstalleerd en kan het opnieuw opstarten van de domeincontroller veroorzaken.
Notitie
Er is minimaal 5 GB ruimte vereist en 10 GB wordt aanbevolen. Dit omvat ruimte die nodig is voor de binaire ATA-bestanden, ATA-logboeken en prestatielogboeken.
Serverspecificaties
Voor de ATA Lightweight-gateway zijn minimaal 2 kernen en 6 GB RAM-geheugen vereist die op de domeincontroller zijn geïnstalleerd. Voor optimale prestaties stelt u de energieoptie van de ATA Lightweight-gateway in op High Performance. De ATA Lightweight-gateway kan worden geïmplementeerd op domeincontrollers van verschillende belastingen en grootten, afhankelijk van de hoeveelheid netwerkverkeer naar en van de domeincontrollers en de hoeveelheid resources die op die domeincontroller zijn geïnstalleerd.
Zie Dynamisch geheugen voor meer informatie over dynamisch geheugen of een andere functie voor geheugenbeheer van virtuele machines.
Zie ATA-capaciteitsplanning voor meer informatie over de hardwarevereisten voor ATA Lightweight Gateway.
Tijdsynchronisatie
De ATA Center-server, de ATA Lightweight-gatewayservers en de domeincontrollers moeten binnen vijf minuten van elkaar zijn gesynchroniseerd.
Netwerkadapters
De ATA Lightweight-gateway bewaakt het lokale verkeer op alle netwerkadapters van de domeincontroller.
Na de implementatie kunt u de ATA Console gebruiken als u ooit wilt wijzigen welke netwerkadapters worden bewaakt.
Notitie
De Lightweight Gateway wordt niet ondersteund op domeincontrollers met Windows 2008 R2 waarvoor Broadcom Network Adapter Teaming is ingeschakeld.
Poorten
De volgende tabel bevat de minimale poorten die de ATA Lightweight-gateway vereist:
| Protocol | Transport | Haven | Van/naar | Richting |
|---|---|---|---|---|
| DNS | TCP en UDP | 53 | DNS-servers | Uitgaand |
| NTLM via RPC | TCP | 135 | Alle apparaten in het netwerk | Beide |
| NetBIOS | UDP | 137 | Alle apparaten in het netwerk | Beide |
| SSL | TCP | 443 | ATA Center | Uitgaand |
| Syslog (optioneel) | UDP | 514 | SIEM-server | Inkomend |
| Netlogon (SMB, CIFS, SAM-R) | TCP en UDP | 445 | Alle apparaten in het netwerk | Uitgaand |
Notitie
Als onderdeel van het oplossingsproces dat door de ATA Lightweight-gateway wordt uitgevoerd, moeten de volgende poorten binnenkomend zijn geopend op apparaten in het netwerk vanuit de ATA Lightweight-gateways.
- NTLM via RPC
- NetBIOS
- Met behulp van het gebruikersaccount van de Directory-service vraagt de ATA Lightweight-gateway eindpunten in uw organisatie op voor lokale beheerders met behulp van SAM-R (netwerkaanmelding) om de grafiek van het laterale verplaatsingspad te bouwen. Zie Vereiste machtigingen voor SAM-R configureren voor meer informatie.
- De volgende poorten moeten binnenkomend zijn geopend op apparaten in het netwerk vanaf de ATA Gateway:
- NTLM via RPC (TCP-poort 135) voor oplossingsdoeleinden
- NetBIOS (UDP-poort 137) voor oplossingsdoeleinden
Dynamisch geheugen
Notitie
Bij het uitvoeren van ATA-services als een virtuele machine (VM) vereist de service dat al het geheugen wordt toegewezen aan de virtuele machine, altijd.
| VM die wordt uitgevoerd op | Omschrijving |
|---|---|
| Hyper-V | Zorg ervoor dat Dynamisch geheugen inschakelen niet is ingeschakeld voor de virtuele machine. |
| VMWare | Zorg ervoor dat de hoeveelheid geconfigureerd geheugen en het gereserveerde geheugen hetzelfde zijn, of selecteer de volgende optie in de VM-instelling: alle gastgeheugen reserveren (alles vergrendeld). |
| Andere virtualisatiehost | Raadpleeg de door de leverancier verstrekte documentatie over hoe u ervoor kunt zorgen dat het geheugen altijd volledig is toegewezen aan de virtuele machine. |
Als u ATA Center uitvoert als een virtuele machine, sluit u de server af voordat u een nieuw controlepunt maakt om mogelijke beschadiging van de database te voorkomen.
ATA Console
Toegang tot de ATA Console is via een browser, die de browsers en instellingen ondersteunt:
Internet Explorer versie 10 en hoger
Microsoft Edge
Google Chrome 40 en hoger
Minimale schermbreedteresolutie van 1700 pixels