Planowanie pojemności usługi ATA
Dotyczy: Advanced Threat Analytics w wersji 1.9
Ten artykuł pomaga określić, ile serwerów usługi ATA jest potrzebnych do monitorowania sieci. Pomaga oszacować liczbę potrzebnych bram usługi ATA i/lub uproszczonych bram usługi ATA oraz pojemność serwera dla centrum usługi ATA i bram usługi ATA.
Uwaga
Centrum usługi ATA można wdrożyć u dowolnego dostawcy IaaS, o ile są spełnione wymagania dotyczące wydajności opisane w tym artykule.
Korzystanie z narzędzia do określania rozmiaru
Zalecanym i najprostszym sposobem określenia pojemności wdrożenia usługi ATA jest użycie narzędzia do określania rozmiaru usługi ATA. Uruchom narzędzie do określania rozmiaru usługi ATA i z wyników pliku programu Excel użyj następujących pól, aby określić potrzebną pojemność usługi ATA:
Procesor i pamięć centrum usługi ATA: dopasuj pole Zajęte pakiety/s w pliku wyników tabeli centrum usługi ATA do pola PAKIETY NA SEKUNDĘ w tabeli Centrum usługi ATA.
Magazyn centrum usługi ATA: dopasuj pole Avg Packets/sec w pliku wyników tabeli centrum usługi ATA do pola PAKIETY NA SEKUNDĘ w tabeli Centrum usługi ATA.
Brama usługi ATA: dopasuj pole Zajęty pakiety/s w tabeli bramy usługi ATA w pliku wyników do pola PAKIETY NA SEKUNDĘ w tabeli bramy usługi ATA lub tabeli bramy ATA Lightweight Gateway, w zależności od wybranego typu bramy.
Uwaga
Ponieważ różne środowiska różnią się i mają wiele specjalnych i nieoczekiwanych właściwości ruchu sieciowego, po początkowym wdrożeniu usługi ATA i uruchomieniu narzędzia do określania rozmiaru może być konieczne dostosowanie i dostosowanie wdrożenia pod kątem pojemności.
Jeśli nie możesz użyć narzędzia do określania rozmiaru usługi ATA, ręcznie zbierz informacje licznika pakietów/s z niskim interwałem zbierania (około 5 sekund) ze wszystkich kontrolerów domeny przez 24 godziny. Następnie dla każdego kontrolera domeny oblicz średnią dzienną i najbardziej ruchliwy okres (15 minut). Poniższe sekcje zawierają instrukcje dotyczące zbierania liczników pakietów/s z jednego kontrolera domeny.
Uwaga
Ponieważ różne środowiska różnią się i mają wiele specjalnych i nieoczekiwanych właściwości ruchu sieciowego, po początkowym wdrożeniu usługi ATA i uruchomieniu narzędzia do określania rozmiaru może być konieczne dostosowanie i dostosowanie wdrożenia pod kątem pojemności.
Ustalanie rozmiaru centrum usługi ATA
Centrum usługi ATA wymaga co najmniej 30 dni danych na potrzeby analizy behawioralnej użytkowników.
| Pakiety na sekundę ze wszystkich kontrolerów domeny | Procesor CPU (rdzenie*) | Pamięć (GB) | Magazyn bazy danych dziennie (GB) | Magazyn bazy danych miesięcznie (GB) | IOPS** |
|---|---|---|---|---|---|
| 1000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1800 | 1,000 (1,500) |
| 400 000 | 12 | 96 | 120 | 3600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1 000 000 | 40 | 128 | 300 | 9000 | 4,000 (5,000) |
*Obejmuje to rdzenie fizyczne, a nie rdzenie hiperwątkowe.
**Średnie liczby (liczby szczytowe)
Uwaga
- Centrum usługi ATA może obsługiwać zagregowane maksymalnie 1 mln pakietów na sekundę ze wszystkich monitorowanych kontrolerów domeny. W niektórych środowiskach to samo centrum usługi ATA może obsługiwać ogólny ruch większy niż 1M, a niektóre środowiska mogą przekraczać pojemność usługi ATA. Skontaktuj się z nami w azureatpfeedback@microsoft.com celu uzyskania pomocy w planowaniu i szacowaniu dużych środowisk.
- Jeśli ilość wolnego miejsca osiągnie co najmniej 20% lub 200 GB, najstarsza kolekcja danych zostanie usunięta. Jeśli nie można pomyślnie zmniejszyć zbierania danych do tego poziomu, zostanie zarejestrowany alert. Usługa ATA będzie nadal działać do momentu osiągnięcia progu 5% lub 50 GB wolnego miejsca. W tym momencie usługa ATA przestanie wypełniać bazę danych i zostanie wyświetlony dodatkowy alert.
- Centrum usługi ATA można wdrożyć u dowolnego dostawcy IaaS, jeśli spełnione są wymagania dotyczące wydajności opisane w tym artykule.
- Opóźnienie magazynu dla działań odczytu i zapisu powinno być mniejsze niż 10 ms.
- Stosunek między działaniami odczytu i zapisu wynosi około 1:3 poniżej 100 000 pakietów na sekundę i 1:6 powyżej 100 000 pakietów na sekundę.
- W przypadku uruchamiania Centrum jako maszyny wirtualnej centrum wymaga przydzielenie całej pamięci do maszyny wirtualnej przez cały czas. Aby uzyskać więcej informacji na temat uruchamiania centrum usługi ATA jako maszyny wirtualnej, zobacz Wymagania centrum usługi ATA.
- Aby uzyskać optymalną wydajność, ustaw opcję zasilania centrum usługi ATA na wartość Wysoka wydajność.
- Podczas pracy na serwerze fizycznym baza danych usługi ATA wymaga wyłączenia dostępu do nieuzwłanianej pamięci (NUMA) w systemie BIOS. System może odwoływać się do NUMA jako przeplatania węzłów, w tym przypadku należy włączyć przeplatanie węzłów, aby wyłączyć funkcję NUMA. Aby uzyskać więcej informacji, zobacz dokumentację systemu BIOS. Nie jest to istotne, gdy centrum usługi ATA jest uruchomione na serwerze wirtualnym.
Wybieranie odpowiedniego typu bramy dla wdrożenia
W przypadku wdrożenia usługi ATA obsługiwana jest dowolna kombinacja typów bram usługi ATA:
- Tylko bramy usługi ATA
- Tylko uproszczone bramy usługi ATA
- Kombinacja obu
Podczas podejmowania decyzji o typie wdrożenia bramy należy wziąć pod uwagę następujące korzyści:
| Typ bramy | Świadczenia | Koszt | Topologia wdrożenia | Użycie kontrolera domeny |
|---|---|---|---|---|
| Brama usługi ATA | Wdrożenie poza pasmem utrudnia osobom atakującym odnajdywanie usługi ATA | Wyższa | Zainstalowany wraz z kontrolerem domeny (poza pasmem) | Obsługuje maksymalnie 50 000 pakietów na sekundę |
| Uproszczona brama usługi ATA | Nie wymaga dedykowanej konfiguracji serwera i dublowania portów | Lower | Zainstalowane na kontrolerze domeny | Obsługuje maksymalnie 10 000 pakietów na sekundę |
Poniżej przedstawiono przykłady scenariuszy, w których kontrolery domeny powinny być objęte uproszczoną bramą usługi ATA:
Lokacje gałęzi
Wirtualne kontrolery domeny wdrożone w chmurze (IaaS)
Poniżej przedstawiono przykłady scenariuszy, w których kontrolery domeny powinny być objęte bramą usługi ATA:
- Główne centra danych (z kontrolerami domeny z ponad 10 000 pakietów na sekundę)
Ustalanie rozmiaru uproszczonej bramy usługi ATA
Uproszczona brama usługi ATA może obsługiwać monitorowanie jednego kontrolera domeny na podstawie ilości ruchu sieciowego generowanego przez kontroler domeny.
| Pakiety na sekundę* | Procesor CPU (rdzenie**) | Pamięć (GB)*** |
|---|---|---|
| 1000 | 2 | 6 |
| 5000 | 6 | 16 |
| 10 000 | 10 | 24 |
*Łączna liczba pakietów na sekundę na kontrolerze domeny monitorowanym przez określoną uproszczoną bramę usługi ATA.
**Całkowita liczba rdzeni innych niż hiperwątkowa, które zainstalowano na tym kontrolerze domeny.
Chociaż hiperwątkowa obsługa jest akceptowalna dla uproszczonej bramy usługi ATA, podczas planowania pojemności należy liczyć rzeczywiste rdzenie, a nie rdzenie hiperwątku.
Całkowita ilość pamięci zainstalowanej przez ten kontroler domeny.
Uwaga
- Jeśli kontroler domeny nie ma zasobów wymaganych przez uproszczoną bramę usługi ATA, wydajność kontrolera domeny nie ma wpływu, ale uproszczona brama usługi ATA może nie działać zgodnie z oczekiwaniami.
- Podczas uruchamiania bramy jako maszyny wirtualnej brama wymaga przydzielenie całej pamięci do maszyny wirtualnej przez cały czas. Aby uzyskać więcej informacji na temat uruchamiania bramy usługi ATA jako maszyny wirtualnej, zobacz Wymagania dotyczące pamięci dynamicznej).
- Aby uzyskać optymalną wydajność, ustaw opcjęzasilania uproszczonej bramy usługi ATA na wysoką wydajność.
- Wymagane jest co najmniej 5 GB miejsca, a zalecane jest 10 GB, w tym miejsce potrzebne dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.
Ustalanie rozmiaru bramy usługi ATA
Podczas podejmowania decyzji o tylu bramach usługi ATA do wdrożenia należy wziąć pod uwagę następujące problemy.
- Lasy i domeny usługi Active Directory
Usługa ATA może monitorować ruch z wielu domen z jednego lasu usługi Active Directory. Monitorowanie wielu lasów usługi Active Directory wymaga oddzielnych wdrożeń usługi ATA. Nie należy konfigurować pojedynczego wdrożenia usługi ATA w celu monitorowania ruchu sieciowego kontrolerów domeny z różnych lasów. - Dublowanie portów
Zagadnienia dotyczące dublowania portów mogą wymagać wdrożenia wielu bram usługi ATA na bramę danych lub lokację gałęzi. - Wydajność
Brama usługi ATA może obsługiwać monitorowanie wielu kontrolerów domeny, w zależności od ilości ruchu sieciowego monitorowanych kontrolerów domeny.
| Pakiety na sekundę* | Procesor CPU (rdzenie**) | Pamięć (GB) |
|---|---|---|
| 1000 | 1 | 6 |
| 5000 | 2 | 10 |
| 10 000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Łączna średnia liczba pakietów na sekundę ze wszystkich kontrolerów domeny monitorowanych przez określoną bramę usługi ATA w najbardziej ruchliwej godzinie dnia.
*Całkowita ilość ruchu dublowanego przez port kontrolera domeny nie może przekraczać pojemności karty sieciowej przechwytywania w bramie usługi ATA.
**Funkcja Hyper-threading musi być wyłączona.
Uwaga
- Podczas uruchamiania bramy jako maszyny wirtualnej brama wymaga przydzielenie całej pamięci do maszyny wirtualnej przez cały czas. Aby uzyskać więcej informacji na temat uruchamiania bramy usługi ATA jako maszyny wirtualnej, zobacz Wymagania dotyczące pamięci dynamicznej.
- Aby uzyskać optymalną wydajność, ustaw opcję zasilania bramy usługi ATA na wartość Wysoka wydajność.
- Wymagane jest co najmniej 5 GB miejsca, a zalecane jest 10 GB, w tym miejsce potrzebne dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.