Planejamento da capacidade do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo ajuda você a determinar quantos servidores ATA são necessários para monitorar sua rede. Ele ajuda a estimar quantos ATA Gateways e/ou ATA Lightweight Gateways você precisa e a capacidade do servidor para o ATA Center e os ATA Gateways.
Observação
O ATA Center pode ser implantado em qualquer fornecedor de IaaS, desde que os requisitos de desempenho descritos neste artigo sejam atendidos.
Usando a ferramenta de dimensionamento
A maneira recomendada e mais simples de determinar a capacidade para sua implantação do ATA é usar a Ferramenta de Dimensionamento do ATA. Execute a Ferramenta de Dimensionamento do ATA e, a partir dos resultados do arquivo do Excel, use os seguintes campos para determinar a capacidade do ATA necessária:
CPU e memória do ATA Center: corresponda o campo Busy Packets/sec no arquivo de resultados da tabela do ATA Center ao campo PACKETS PER SECOND na tabela do ATA Center.
Armazenamento do ATA Center: corresponda o campo Avg Packets/sec no arquivo de resultados da tabela do ATA Center ao campo PACKETS PER SECOND na tabela do ATA Center.
ATA Gateway: Corresponda o campo Busy Packets/sec na tabela do ATA Gateway no arquivo de resultados ao campo PACKETS PER SECOND na tabela do ATA Gateway ou na tabela do ATA Lightweight Gateway, dependendo do tipo de gateway escolhido.
Observação
Como diferentes ambientes variam e têm várias características especiais e inesperadas de tráfego de rede, depois de implantar inicialmente o ATA e executar a ferramenta de dimensionamento, talvez seja necessário ajustar e aprimorar a implantação para obter capacidade.
Se você não puder usar a ATA Sizing Tool, reúna manualmente as informações do contador de pacotes/s com um intervalo de coleta baixo (aproximadamente 5 segundos) de todos os Controladores de Domínio por 24 horas. Em seguida, para cada Controlador de Domínio, calcule a média diária e a média do período mais movimentado (15 minutos). As seções a seguir fornecem instruções sobre como coletar o contador de pacotes/s de um Controlador de Domínio.
Observação
Como diferentes ambientes variam e têm várias características especiais e inesperadas de tráfego de rede, depois de implantar inicialmente o ATA e executar a ferramenta de dimensionamento, talvez seja necessário ajustar e aprimorar a implantação para obter capacidade.
Dimensionamento do ATA Center
O ATA Center requer um mínimo recomendado de 30 dias de dados para análise de comportamento do usuário.
| Pacotes por segundo de todos os DCs | CPU (núcleos*) | Memória (GB) | Armazenamento do banco de dados por dia (GB) | Armazenamento do banco de dados por mês (GB) | IOPS** |
|---|---|---|---|---|---|
| 1.000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1.800 | 1.000 (1.500) |
| 400.000 | 12 | 96 | 120 | 3.600 | 2.000 (2.500) |
| 750,000 | 24 | 112 | 225 | 6.750 | 2.500 (3.000) |
| 1.000.000 | 40 | 128 | 300 | 9.000 | 4.000 (5.000) |
*Isso inclui núcleos físicos, não núcleos hyper-threaded.
**Números médios (Números de pico)
Observação
- O ATA Center pode lidar com um máximo agregado de 1 milhão de pacotes por segundo de todos os controladores de domínio monitorados. Em alguns ambientes, o mesmo ATA Center pode lidar com tráfego geral superior a 1M e alguns ambientes podem exceder a capacidade do ATA. Entre em contato conosco em azureatpfeedback@microsoft.com para obter assistência no planejamento e estimativa de grandes ambientes.
- Se o seu espaço livre atingir um mínimo de 20% ou 200 GB, a coleta de dados mais antiga será excluída. Se não for possível reduzir com êxito a coleta de dados a esse nível, um alerta será registrado. O ATA continuará funcionando até que o limite de 5% ou 50 GB livres seja atingido. Nesse ponto, o ATA deixará de preencher o banco de dados e um alerta adicional será emitido.
- Você pode implantar o ATA Center em qualquer fornecedor de IaaS se os requisitos de desempenho descritos neste artigo forem atendidos.
- A latência de armazenamento para atividades de leitura e gravação deve ser inferior a 10 ms.
- A proporção entre as atividades de leitura e gravação é de aproximadamente 1:3 abaixo de 100.000 pacotes por segundo e 1:6 acima de 100.000 pacotes por segundo.
- Ao executar o ATA Center como uma máquina virtual (VM), o Center requer que toda a memória seja alocada para a VM, o tempo todo. Para obter mais informações sobre como executar o ATA Center como uma máquina virtual, consulte Requisitos do ATA Center.
- Para obter o desempenho ideal, defina a Opção de energia do ATA Center como Alto desempenho.
- Ao trabalhar em um servidor físico, o banco de dados do ATA precisa que você desabilite o acesso não uniforme à memória (NUMA) no BIOS. Seu sistema pode se referir ao NUMA como Node Interleaving, caso em que você precisa habilitar o Node Interleaving para desabilitar o NUMA. Para obter mais informações, consulte a documentação do BIOS. Isso não é relevante quando o ATA Center está sendo executado em um servidor virtual.
Escolher o tipo de gateway certo para a sua implantação
Em uma implantação do ATA, qualquer combinação dos tipos do ATA Gateway é aceita:
- Somente ATA Gateways
- Somente ATA Lightweight Gateways
- Uma combinação de ambos os casos
Ao decidir o tipo de implantação do Gateway, considere os seguintes benefícios:
| Tipo de gateway | Benefícios | Cost | Topologia de implantação | Uso do controlador de domínio |
|---|---|---|---|---|
| ATA Gateway | A implantação fora de banda torna mais difícil para os invasores descobrirem que o ATA está presente | Maior | Instalado junto com o controlador de domínio (fora de banda) | Suporta até 50.000 pacotes por segundo |
| ATA Lightweight Gateway | Não requer um servidor dedicado e configuração de espelhamento de porta | Menor | Instalado no controlador de domínio | Suporta até 10.000 pacotes por segundo |
A seguir estão exemplos de cenários nos quais os controladores de domínio devem ser cobertos pelo ATA Lightweight Gateway:
Sites de ramificação
Controladores de domínio virtuais implantados na nuvem (IaaS)
A seguir estão exemplos de cenários nos quais os controladores de domínio devem ser cobertos pelo ATA Gateway:
- Data centers da sede (com controladores de domínio com mais de 10.000 pacotes por segundo)
Dimensionamento do ATA Lightweight Gateway
Um ATA Lightweight Gateway pode oferecer suporte ao monitoramento de um controlador de domínio com base na quantidade de tráfego de rede gerado pelo controlador de domínio.
| Pacotes por segundo* | CPU (núcleos**) | Memória (GB)*** |
|---|---|---|
| 1.000 | 2 | 6 |
| 5.000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Número total de pacotes por segundo no controlador de domínio que está sendo monitorado pelo ATA Lightweight Gateway específico.
**Número total de núcleos não hyper threaded que este controlador de domínio instalou.
Embora o hyper threading seja aceitável para o ATA Lightweight Gateway, ao planejar a capacidade, você deve contar os núcleos reais e não os núcleos hyper threaded.
***Quantidade total de memória que este controlador de domínio instalou.
Observação
- Se o controlador de domínio não tiver os recursos exigidos pelo ATA Lightweight Gateway, o desempenho do controlador de domínio não será afetado, mas o ATA Lightweight Gateway pode não operar conforme o esperado.
- Ao executar o Gateway como uma máquina virtual (VM), o Gateway requer que toda a memória seja alocada para a VM, o tempo todo. Para obter mais informações sobre como executar o ATA Gateway como uma máquina virtual, consulte Requisitos de memória dinâmica.
- Para obter o desempenho ideal, defina a Opção de energia do ATA Lightweight Gateway como Alto desempenho.
- Um mínimo de 5 GB de espaço é necessário e 10 GB é recomendado, incluindo o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Dimensionamento do ATA Gateway
Considere os problemas a seguir ao decidir quantos ATA Gateways implantar.
- Florestas e domínios do Active Directory
O ATA pode monitorar o tráfego de vários domínios de uma única floresta do Active Directory. O monitoramento de várias florestas do Active Directory requer implantações separadas do ATA. Não configure uma única implantação do ATA para monitorar o tráfego de rede de controladores de domínio a partir de florestas diferentes. - Espelhamento de porta
As considerações de espelhamento de porta podem exigir a implantação de vários ATA Gateways por gateway de dados ou site de ramificação. - Capacidade
Um ATA Gateway pode oferecer suporte ao monitoramento de vários controladores de domínio, dependendo da quantidade de tráfego de rede dos controladores de domínio que estão sendo monitorados.
| Pacotes por segundo* | CPU (núcleos**) | Memória (GB) |
|---|---|---|
| 1.000 | 1 | 6 |
| 5.000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20.000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Número médio total de pacotes por segundo de todos os controladores de domínio monitorados pelo ATA Gateway específico durante a hora mais movimentada do dia.
*A quantidade total de tráfego espelhado na porta do controlador de domínio não pode exceder a capacidade da NIC de captura no ATA Gateway.
**O Hyper-threading deve estar desabilitado.
Observação
- Ao executar o Gateway como uma máquina virtual (VM), o Gateway requer que toda a memória seja alocada para a VM, o tempo todo. Para obter mais informações sobre como executar o ATA Gateway como uma máquina virtual, consulte Requisitos de memória dinâmica.
- Para obter o desempenho ideal, defina a Opção de energia do ATA Gateway como Alto desempenho.
- Um mínimo de 5 GB de espaço é necessário e 10 GB é recomendado, incluindo o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.