Wymagania wstępne usługi ATA

Dotyczy: Advanced Threat Analytics w wersji 1.9

W tym artykule opisano wymagania dotyczące pomyślnego wdrożenia usługi ATA w danym środowisku.

Uwaga

Aby uzyskać informacje na temat planowania zasobów i pojemności, zobacz Planowanie pojemności usługi ATA.

Usługa ATA składa się z centrum usługi ATA, bramy usługi ATA i/lub uproszczonej bramy usługi ATA. Aby uzyskać więcej informacji na temat składników usługi ATA, zobacz Architektura usługi ATA.

System usługi ATA działa na granicy lasu usługi Active Directory i obsługuje poziom funkcjonalności lasu (FFL) systemu Windows 2003 lub nowszego.

Przed rozpoczęciem: w tej sekcji wymieniono informacje, które należy zebrać, a konta i jednostki sieciowe, które należy mieć przed rozpoczęciem instalacji usługi ATA.

Centrum usługi ATA: w tej sekcji wymieniono sprzęt centrum usługi ATA, wymagania dotyczące oprogramowania oraz ustawienia, które należy skonfigurować na serwerze centrum usługi ATA.

Brama usługi ATA: w tej sekcji wymieniono sprzęt bramy usługi ATA, wymagania dotyczące oprogramowania oraz ustawienia, które należy skonfigurować na serwerach bramy usługi ATA.

Uproszczona brama usługi ATA: w tej sekcji wymieniono wymagania sprzętowe i oprogramowanie bramy ATA Lightweight Gateway.

Konsola usługi ATA: w tej sekcji wymieniono wymagania przeglądarki dotyczące uruchamiania konsoli usługi ATA.

ATA architecture diagram.

Przed rozpoczęciem

W tej sekcji wymieniono informacje, które należy zebrać, a także konta i jednostki sieciowe, które należy mieć przed rozpoczęciem instalacji usługi ATA.

  • Konto użytkownika i hasło z dostępem do odczytu do wszystkich obiektów w monitorowanych domenach.

    Uwaga

    Jeśli w domenie ustawiono niestandardowe listy ACL na różnych jednostkach organizacyjnych, upewnij się, że wybrany użytkownik ma uprawnienia do odczytu do tych jednostek organizacyjnych.

  • Nie należy instalować narzędzia Microsoft Message Analyzer w bramie usługi ATA ani w uproszczonej bramie. Sterownik Analizatora komunikatów powoduje konflikt z bramą usługi ATA i sterownikami uproszczonej bramy. Jeśli uruchomisz program Wireshark w bramie usługi ATA, po zatrzymaniu przechwytywania narzędzia Wireshark należy ponownie uruchomić usługę bramy usługi Microsoft Advanced Threat Analytics. Jeśli nie, brama przestanie przechwytywać ruch. Uruchomienie programu Wireshark w uproszczonej bramie usługi ATA nie zakłóca uproszczonej bramy usługi ATA.

  • Zalecane: Użytkownik powinien mieć uprawnienia tylko do odczytu w kontenerze Usunięte obiekty. Dzięki temu usługa ATA może wykrywać zbiorcze usuwanie obiektów w domenie. Aby uzyskać informacje na temat konfigurowania uprawnień tylko do odczytu w kontenerze Usunięte obiekty, zobacz sekcję Zmienianie uprawnień do usuniętego kontenera obiektów w artykule Wyświetlanie lub ustawianie uprawnień do obiektu katalogu.

  • Opcjonalnie: konto użytkownika bez działań sieciowych. To konto można skonfigurować jako użytkownik usługi ATA Honeytoken. Aby skonfigurować konto jako użytkownika wystawionego jako przynęta, wymagana jest tylko nazwa użytkownika. Informacje o konfiguracji tokenu Honeytoken można znaleźć w temacie Configure IP address exclusions and Honeytoken user (Konfigurowanie wykluczeń adresów IP i użytkownika wystawionego jako przynęta).

  • Opcjonalnie: oprócz zbierania i analizowania ruchu sieciowego do i z kontrolerów domeny usługa ATA może używać zdarzeń systemu Windows 4776, 4732, 4733, 4728, 4729, 4756 i 4757 w celu dalszego ulepszania ataków typu Pass-the-Hash, siłowych, modyfikacji poufnych grup i wykrywania tokenów miodu. Te zdarzenia mogą być odbierane z rozwiązania SIEM lub przez ustawienie funkcji przekazywania zdarzeń systemu Windows z kontrolera domeny. Zebrane zdarzenia zapewniają usłudze ATA dodatkowe informacje, które nie są dostępne za pośrednictwem ruchu sieciowego kontrolera domeny.

Wymagania centrum usługi ATA

W tej sekcji wymieniono wymagania centrum usługi ATA.

Ogólne

Centrum usługi ATA obsługuje instalację na serwerze z systemem Windows Server 2012 R2 Windows Server 2016 i Windows Server 2019.

Uwaga

Centrum usługi ATA nie obsługuje rdzenia systemu Windows Server.

Centrum usługi ATA można zainstalować na serwerze należącym do domeny lub grupy roboczej.

Przed zainstalowaniem centrum usługi ATA z systemem Windows 2012 R2 upewnij się, że zainstalowano następującą aktualizację: KB2919355.

Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet programu Windows PowerShell: [Get-HotFix -Id kb2919355].

Instalacja centrum usługi ATA jako maszyny wirtualnej jest obsługiwana.

Specyfikacje serwera

Podczas pracy na serwerze fizycznym baza danych usługi ATA wymaga wyłączenia dostępu do nieuzwłanianej pamięci (NUMA) w systemie BIOS. System może odwoływać się do NUMA jako przeplatania węzłów, w tym przypadku należy włączyć przeplatanie węzłów, aby wyłączyć funkcję NUMA. Aby uzyskać więcej informacji, zobacz dokumentację systemu BIOS.

Aby uzyskać optymalną wydajność, ustaw opcję zasilania centrum usługi ATA na wartość Wysoka wydajność.
Liczba monitorowanych kontrolerów domeny i obciążenie poszczególnych kontrolerów domeny określa wymagane specyfikacje serwera. Aby uzyskać więcej informacji, zobacz Planowanie pojemności usługi ATA.

W przypadku systemów operacyjnych Windows 2008R2 i 2012 brama nie jest obsługiwana w trybie grupy wieloprocesorowej. Aby uzyskać więcej informacji na temat trybu grupy z wieloma procesorami, zobacz rozwiązywanie problemów.

Synchronizacja czasu

Serwer centrum usługi ATA, serwery bramy usługi ATA i kontrolery domeny muszą mieć zsynchronizowany czas w ciągu pięciu minut od siebie.

Karty sieciowe

Powinien istnieć następujący zestaw:

  • Co najmniej jedna karta sieciowa (w przypadku korzystania z serwera fizycznego w środowisku sieci VLAN zaleca się używanie dwóch kart sieciowych)

  • Adres IP do komunikacji między centrum usługi ATA i bramą usługi ATA, która jest szyfrowana przy użyciu protokołu SSL na porcie 443. (Usługa ATA wiąże się ze wszystkimi adresami IP, które centrum usługi ATA ma na porcie 443).

Porty

W poniższej tabeli wymieniono minimalne porty, które należy otworzyć, aby centrum usługi ATA działało prawidłowo.

Protokół Transport Port Do/z Kierunek
SSL (komunikacja usługi ATA) TCP 443 Brama usługi ATA Przychodzący
HTTP (opcjonalnie) TCP 80 Sieć firmowa Przychodzący
HTTPS TCP 443 Sieć firmowa i brama usługi ATA Przychodzący
SMTP (opcjonalnie) TCP 25 Serwer SMTP Wychodzący
SMTPS (opcjonalnie) TCP 465 Serwer SMTP Wychodzący
Dziennik systemowy (opcjonalnie) TCP/UPS/TLS (konfigurowalne) 514 (ustawienie domyślne) Serwer Syslog Wychodzący
LDAP TCP i UDP 389 Kontrolery domeny Wychodzący
LDAPS (opcjonalnie) TCP 636 Kontrolery domeny Wychodzący
DNS TCP i UDP 53 Serwery DNS Wychodzący
Kerberos (opcjonalnie, jeśli przyłączono do domeny) TCP i UDP 88 Kontrolery domeny Wychodzący
Czas systemu Windows (opcjonalnie, jeśli przyłączono do domeny) UDP 123 Kontrolery domeny Wychodzący

Uwaga

Protokół LDAP jest wymagany do przetestowania poświadczeń, które mają być używane między bramami usługi ATA i kontrolerami domeny. Test jest wykonywany z centrum usługi ATA do kontrolera domeny w celu przetestowania ważności tych poświadczeń, po czym brama usługi ATA używa protokołu LDAP w ramach normalnego procesu rozpoznawania.

Certyfikaty

Aby szybciej zainstalować i wdrożyć usługę ATA, możesz zainstalować certyfikaty z podpisem własnym podczas instalacji. Jeśli wybrano opcję używania certyfikatów z podpisem własnym, po początkowym wdrożeniu zaleca się zastąpienie certyfikatów z podpisem własnym certyfikatami z wewnętrznego urzędu certyfikacji, który będzie używany przez centrum usługi ATA.

Upewnij się, że centrum usługi ATA i bramy usługi ATA mają dostęp do punktu dystrybucji listy CRL. Jeśli nie mają dostępu do Internetu, wykonaj procedurę ręcznego importowania listy CRL, dbając o zainstalowanie wszystkich punktów dystrybucji listy CRL dla całego łańcucha.

Certyfikat musi mieć:

  • Klucz prywatny
  • Typ dostawcy usług kryptograficznych (CSP) lub dostawcy magazynu kluczy (KSP)
  • Długość klucza publicznego 2048 bitów
  • Wartość ustawiona dla flag użycia KeyEncipherment i ServerAuthentication
  • KeySpec (KeyNumber) wartość "KeyExchange" (AT_KEYEXCHANGE). Wartość "Signature" (AT_SIGNATURE) nie jest obsługiwana.
  • Wszystkie maszyny bramy muszą mieć możliwość pełnej weryfikacji i zaufania wybranemu certyfikatowi Centrum.

Można na przykład użyć standardowego serwera sieci Web lub szablonów komputerów .

Ostrzeżenie

Proces odnawiania istniejącego certyfikatu nie jest obsługiwany. Jedynym sposobem odnowienia certyfikatu jest utworzenie nowego certyfikatu i skonfigurowanie usługi ATA do korzystania z nowego certyfikatu.

Uwaga

  • Jeśli masz zamiar uzyskać dostęp do konsoli usługi ATA z innych komputerów, upewnij się, że te komputery ufają certyfikatowi używanemu przez centrum usługi ATA. W przeciwnym razie zostanie wyświetlona strona ostrzegawcza z powodu problemu z certyfikatem zabezpieczeń witryny sieci Web przed przejściem do strony logowania.
  • Począwszy od usługi ATA w wersji 1.8, bramy usługi ATA i uproszczone bramy zarządzają własnymi certyfikatami i nie potrzebują interakcji administratora, aby nimi zarządzać.

Wymagania dotyczące bramy usługi ATA

W tej sekcji wymieniono wymagania dotyczące bramy usługi ATA.

Ogólne

Brama usługi ATA obsługuje instalację na serwerze z systemem Windows Server 2012 R2 lub Windows Server 2016 i Windows Server 2019 (w tym server core). Bramę usługi ATA można zainstalować na serwerze należącym do domeny lub grupy roboczej. Brama usługi ATA może służyć do monitorowania kontrolerów domeny z poziomem funkcjonalności domeny systemu Windows 2003 lub nowszym.

Przed zainstalowaniem bramy usługi ATA z systemem Windows 2012 R2 upewnij się, że zainstalowano następującą aktualizację: KB2919355.

Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet programu Windows PowerShell: [Get-HotFix -Id kb2919355].

Aby uzyskać informacje na temat używania maszyn wirtualnych z bramą usługi ATA, zobacz Konfigurowanie dublowania portów.

Uwaga

Wymagane jest co najmniej 5 GB miejsca, a zalecane jest 10 GB. Obejmuje to miejsce potrzebne dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.

Specyfikacje serwera

Aby uzyskać optymalną wydajność, ustaw opcję zasilania bramy usługi ATA na wartość Wysoka wydajność.
Brama usługi ATA może obsługiwać monitorowanie wielu kontrolerów domeny, w zależności od ilości ruchu sieciowego do i z kontrolerów domeny.

Aby dowiedzieć się więcej na temat pamięci dynamicznej lub dowolnej innej funkcji zarządzania pamięcią maszyny wirtualnej, zobacz Pamięć dynamiczna.

Aby uzyskać więcej informacji na temat wymagań sprzętowych bramy usługi ATA, zobacz Planowanie pojemności usługi ATA.

Synchronizacja czasu

Serwer centrum usługi ATA, serwery bramy usługi ATA i kontrolery domeny muszą mieć zsynchronizowany czas w ciągu pięciu minut od siebie.

Karty sieciowe

Brama usługi ATA wymaga co najmniej jednej karty zarządzania i co najmniej jednej karty przechwytywania:

  • Karta zarządzania — używana do komunikacji w sieci firmowej. Tę kartę należy skonfigurować przy użyciu następujących ustawień:

    • Statyczny adres IP, w tym brama domyślna

    • Preferowane i alternatywne serwery DNS

    • Sufiks DNS dla tego połączenia powinien być nazwą DNS domeny dla każdej monitorowanej domeny.

      Configure DNS suffix in advanced TCP/IP settings.

      Uwaga

      Jeśli brama usługi ATA jest członkiem domeny, można to skonfigurować automatycznie.

  • Karta przechwytywania — służy do przechwytywania ruchu do i z kontrolerów domeny.

    Ważne

    • Skonfiguruj dublowanie portów dla karty przechwytywania jako miejsce docelowe ruchu sieciowego kontrolera domeny. Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania portów. Zazwyczaj należy pracować z zespołem ds. sieci lub wirtualizacji, aby skonfigurować dublowanie portów.
    • Skonfiguruj statyczny adres IP bez routingu dla środowiska bez bramy domyślnej i bez adresów serwera DNS. Na przykład 1.1.1.1/32. Gwarantuje to, że karta sieciowa przechwytywania może przechwytywać maksymalną ilość ruchu i że karta sieciowa zarządzania jest używana do wysyłania i odbierania wymaganego ruchu sieciowego.

Porty

W poniższej tabeli wymieniono minimalne porty wymagane przez bramę usługi ATA skonfigurowaną na karcie zarządzania:

Protokół Transport Port Do/z Kierunek
LDAP TCP i UDP 389 Kontrolery domeny Wychodzący
Protokół Secure LDAP (LDAPS) TCP 636 Kontrolery domeny Wychodzący
Ldap do wykazu globalnego TCP 3268 Kontrolery domeny Wychodzący
LdapS do wykazu globalnego TCP 3269 Kontrolery domeny Wychodzący
Kerberos TCP i UDP 88 Kontrolery domeny Wychodzący
Netlogon (SMB, CIFS, SAM-R) TCP i UDP 445 Wszystkie urządzenia w sieci Wychodzący
Czas systemu Windows UDP 123 Kontrolery domeny Wychodzący
DNS TCP i UDP 53 Serwery DNS Wychodzący
NTLM przez RPC TCP 135 Wszystkie urządzenia w sieci Oba
NetBIOS UDP 137 Wszystkie urządzenia w sieci Oba
Protokół SSL TCP 443 Centrum usługi ATA Wychodzący
Dziennik systemowy (opcjonalnie) UDP 514 Serwer SIEM Przychodzący

Uwaga

W ramach procesu rozwiązywania wykonywanego przez bramę usługi ATA następujące porty muszą być otwarte dla urządzeń przychodzących w sieci z bram usługi ATA.

  • NTLM przez RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • Korzystając z konta użytkownika usługi Katalogowej, brama usługi ATA wysyła zapytania do punktów końcowych w organizacji dla administratorów lokalnych przy użyciu logowania sam-R (logowania sieciowego) w celu utworzenia grafu ścieżki ruchu bocznego. Aby uzyskać więcej informacji, zobacz Konfigurowanie wymaganych uprawnień SAM-R.
  • Następujące porty muszą być otwarte dla ruchu przychodzącego na urządzeniach w sieci z bramy usługi ATA:
  • NTLM przez RPC (port TCP 135) na potrzeby rozwiązywania problemów
  • NetBIOS (port UDP 137) na potrzeby rozwiązywania problemów

Wymagania dotyczące uproszczonej bramy usługi ATA

W tej sekcji wymieniono wymagania dotyczące uproszczonej bramy usługi ATA.

Ogólne

Uproszczona brama usługi ATA obsługuje instalację na kontrolerze domeny z systemem Windows Server 2008 R2 z dodatkiem SP1 (nie w tym Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 i Windows Server 2019 (w tym Core, ale nie Nano).

Kontroler domeny może być kontrolerem domeny tylko do odczytu (RODC).

Przed zainstalowaniem uproszczonej bramy usługi ATA na kontrolerze domeny z systemem Windows Server 2012 R2 upewnij się, że zainstalowano następującą aktualizację: KB2919355.

Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet programu Windows PowerShell: [Get-HotFix -Id kb2919355]

Jeśli instalacja dotyczy systemu Windows Server 2012 R2 Server Core, należy również zainstalować następującą aktualizację: KB3000850.

Możesz to sprawdzić, uruchamiając następujące polecenie cmdlet programu Windows PowerShell: [Get-HotFix -Id kb3000850]

Podczas instalacji jest zainstalowany program .Net Framework 4.6.1 i może spowodować ponowne uruchomienie kontrolera domeny.

Uwaga

Wymagane jest co najmniej 5 GB miejsca, a zalecane jest 10 GB. Obejmuje to miejsce potrzebne dla plików binarnych usługi ATA, dzienników usługi ATA i dzienników wydajności.

Specyfikacje serwera

Uproszczona brama usługi ATA wymaga co najmniej 2 rdzeni i 6 GB pamięci RAM zainstalowanej na kontrolerze domeny. Aby uzyskać optymalną wydajność, ustaw opcjęzasilania uproszczonej bramy usługi ATA na wysoką wydajność. Bramę ATA Lightweight Gateway można wdrożyć na kontrolerach domeny różnych obciążeń i rozmiarów, w zależności od ilości ruchu sieciowego do i z kontrolerów domeny oraz ilości zasobów zainstalowanych na tym kontrolerze domeny.

Aby dowiedzieć się więcej na temat pamięci dynamicznej lub dowolnej innej funkcji zarządzania pamięcią maszyny wirtualnej, zobacz Pamięć dynamiczna.

Aby uzyskać więcej informacji na temat wymagań sprzętowych usługi ATA Lightweight Gateway, zobacz Planowanie pojemności usługi ATA.

Synchronizacja czasu

Serwer centrum usługi ATA, serwery bramy ATA Lightweight Gateway i kontrolery domeny muszą mieć czas zsynchronizowany z pięcioma minutami od siebie.

Karty sieciowe

Uproszczona brama usługi ATA monitoruje ruch lokalny na wszystkich kartach sieciowych kontrolera domeny.

Po wdrożeniu możesz użyć konsoli usługi ATA, jeśli chcesz zmodyfikować monitorowane karty sieciowe.

Uwaga

Uproszczona brama nie jest obsługiwana na kontrolerach domeny z systemem Windows 2008 R2 z włączonym tworzeniem zespołu kart sieciowych Broadcom.

Porty

W poniższej tabeli wymieniono minimalne porty wymagane przez uproszczoną bramę usługi ATA:

Protokół Transport Port Do/z Kierunek
DNS TCP i UDP 53 Serwery DNS Wychodzący
NTLM przez RPC TCP 135 Wszystkie urządzenia w sieci Oba
NetBIOS UDP 137 Wszystkie urządzenia w sieci Oba
Protokół SSL TCP 443 Centrum usługi ATA Wychodzący
Dziennik systemowy (opcjonalnie) UDP 514 Serwer SIEM Przychodzący
Netlogon (SMB, CIFS, SAM-R) TCP i UDP 445 Wszystkie urządzenia w sieci Wychodzący

Uwaga

W ramach procesu rozwiązywania wykonywanego przez uproszczoną bramę usługi ATA następujące porty muszą być otwarte dla urządzeń w sieci z bram ATA Lightweight Gateway.

  • NTLM przez RPC
  • NetBIOS
  • Korzystając z konta użytkownika usługi katalogowej, brama ATA Lightweight Gateway wysyła zapytania do punktów końcowych w organizacji dla administratorów lokalnych przy użyciu logowania sam-R (logowania sieciowego) w celu utworzenia grafu ścieżki ruchu bocznego. Aby uzyskać więcej informacji, zobacz Konfigurowanie wymaganych uprawnień SAM-R.
  • Następujące porty muszą być otwarte dla ruchu przychodzącego na urządzeniach w sieci z bramy usługi ATA:
  • NTLM przez RPC (port TCP 135) na potrzeby rozwiązywania problemów
  • NetBIOS (port UDP 137) na potrzeby rozwiązywania problemów

Pamięć dynamiczna

Uwaga

W przypadku uruchamiania usług ATA jako maszyny wirtualnej usługa wymaga przydzielenie całej pamięci do maszyny wirtualnej przez cały czas.

Maszyna wirtualna uruchomiona na opis
Hyper-V Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej.
VMware Upewnij się, że ilość pamięci skonfigurowanej i zarezerwowanej pamięci są takie same, lub wybierz następującą opcję w ustawieniu maszyny wirtualnej — Zarezerwuj całą pamięć gościa (wszystkie zablokowane).
Inny host wirtualizacji Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest w pełni przydzielona do maszyny wirtualnej przez cały czas.

Jeśli uruchomisz centrum usługi ATA jako maszynę wirtualną, zamknij serwer przed utworzeniem nowego punktu kontrolnego, aby uniknąć potencjalnego uszkodzenia bazy danych.

Konsola usługi ATA

Dostęp do konsoli usługi ATA odbywa się za pośrednictwem przeglądarki, która obsługuje przeglądarki i ustawienia:

  • Program Internet Explorer w wersji 10 lub nowszej

  • Microsoft Edge

  • Google Chrome 40 i nowsze

  • Minimalna rozdzielczość ekranu wynosząca 1700 pikseli

Zobacz też