Pré-requisitos do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo descreve os requisitos para uma implantação bem-sucedida do ATA no seu ambiente.
Observação
Para obter informações sobre como planejar recursos e capacidade, consulte Planejamento da capacidade do ATA.
O ATA é composto pelo ATA Center, o ATA Gateway e/ou o ATA Lightweight Gateway. Para obter mais informações sobre os componentes do ATA, consulte Arquitetura do ATA.
O sistema ATA funciona no limite de floresta do Active Directory e oferece suporte ao Forest Functional Level (FFL) do Windows 2003 e superior.
Antes de começar: Esta seção lista informações que você deve reunir e contas e entidades de rede que você deve ter, antes de iniciar a instalação do ATA.
ATA Center: Esta seção lista o hardware do ATA Center, os requisitos de software e as configurações que você precisa definir no servidor do ATA Center.
ATA Gateway: Esta seção lista o hardware do ATA Gateway, os requisitos de software e as configurações que você precisa definir nos servidores do ATA Gateway.
ATA Lightweight Gateway: Esta seção lista os requisitos de hardware e software do ATA Lightweight Gateway.
ATA Console: Esta seção lista os requisitos do navegador para executar o ATA Console.
Antes de começar
Esta seção lista as informações que você deve obter, bem como as contas e as entidades de rede que deve ter antes de iniciar a instalação do ATA.
Conta de usuário e senha com acesso de leitura a todos os objetos nos domínios monitorados.
Observação
Se você tiver definido ACLs personalizadas em várias Unidades Organizacionais (UO) em seu domínio, verifique se o usuário selecionado tem permissões de leitura para essas UOs.
Não instale o Microsoft Message Analyzer em um ATA Gateway ou Lightweight Gateway. O driver do Analisador de Mensagens está em conflito com os drivers do ATA Gateway e Lightweight Gateway. Se você executar o Wireshark no ATA Gateway, precisará reiniciar o Microsoft Advanced Threat Analytics Gateway Service depois de interromper a captura do Wireshark. Caso contrário, o Gateway interrompe a captura de tráfego. A execução do Wireshark em um ATA Lightweight Gateway não interfere no ATA Lightweight Gateway.
Recomendado: o usuário deve ter permissões somente leitura no contêiner Deleted Objects. Isso permite que o ATA detecte a exclusão em massa de objetos no domínio. Para obter informações sobre como configurar permissões somente leitura no contêiner Deleted Objects, consulte a seção Alterar permissões em um contêiner de objeto excluído no artigo Exibir ou definir permissões em um objeto de diretório.
Opcional: uma conta de usuário de um usuário sem atividades de rede. Essa conta é configurável como um usuário Honeytoken do ATA. Para configurar uma conta como um usuário Honeytoken, somente o nome de usuário é obrigatório. Para obter informações de configuração do Honeytoken, consulte Configurar exclusões de endereço IP e usuário Honeytoken.
Opcional: além de coletar e analisar o tráfego de rede de e para os controladores de domínio, o ATA pode usar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para aprimorar ainda mais as detecções do ATA para Pass-the-Hash, Força Bruta, a Modificação para grupos confidenciais e Honey Tokens. Esses eventos podem ser recebidos do SIEM ou definindo o Windows Event Forwarding do seu controlador de domínio. Os eventos coletados fornecem ao ATA informações adicionais que não estão disponíveis por meio do tráfego de rede do controlador de domínio.
Requisitos do ATA Center
Esta seção lista os requisitos para o ATA Center.
Geral
O ATA Center dá suporte à instalação em um servidor que executa o Windows Server 2012 R2 ou o Windows Server 2016 e o Windows Server 2019.
Observação
O ATA Center não oferece suporte ao núcleo do Windows Server.
O ATA Center pode ser instalado em um servidor que seja membro de um domínio ou grupo de trabalho.
Antes de instalar o ATA Center executando o Windows 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar isso executando o seguinte cmdlet do Windows PowerShell: [Get-HotFix -Id kb2919355].
Há suporte para a instalação do ATA Center como uma máquina virtual.
Especificações de servidor
Ao trabalhar em um servidor físico, o banco de dados do ATA precisa que você desabilite o acesso não uniforme à memória (NUMA) no BIOS. Seu sistema pode se referir ao NUMA como Node Interleaving, caso em que você precisa habilitar o Node Interleaving para desabilitar o NUMA. Para obter mais informações, consulte a documentação do BIOS.
Para obter o desempenho ideal, defina a Opção de energia do ATA Center como Alto desempenho.
O número de controladores de domínio que você está monitorando e a carga em cada um dos controladores de domínio dita as especificações de servidor necessárias. Para obter mais informações, consulte Planejamento da capacidade do ATA.
Nos sistemas operacionais Windows 2008R2 e 2012, não há suporte para o Gateway em um modo de Grupo de Multiprocessadores. Para obter mais informações sobre o modo de grupo de multiprocessadores, consulte Solução de problemas.
Sincronização da hora
O servidor do ATA Center, os servidores do ATA Gateway e os controladores de domínio devem ter a hora sincronizada dentro de cinco minutos um do outro.
Adaptadores de rede
Você deverá ter o seguinte conjunto:
Pelo menos um adaptador de rede (se estiver usando servidor físico em ambiente VLAN, é recomendável usar dois adaptadores de rede)
Um endereço IP para comunicação entre o ATA Center e o ATA Gateway, criptografado usando SSL na porta 443. (O serviço ATA se associa a todos os endereços IP que o ATA Center tem na porta 443.)
Portas
A tabela a seguir lista o mínimo de portas que precisam estar abertas para que o ATA Center funcione corretamente.
| Protocolo | Transport | Porta | Para/De | Direção |
|---|---|---|---|---|
| SSL (Comunicações ATA) | TCP | 443 | ATA Gateway | Entrada |
| HTTP (opcional) | TCP | 80 | Rede da empresa | Entrada |
| HTTPS | TCP | 443 | Rede de empresa e gateway ATA | Entrada |
| SMTP (opcional) | TCP | 25 | Servidor SMTP | Saída |
| SMTPS (opcional) | TCP | 465 | Servidor SMTP | Saída |
| Syslog (opcional) | TCP/UPS/TLS (configurável) | 514 (padrão) | Servidor syslog | Saída |
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAPS (opcional) | TCP | 636 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| Kerberos (opcional se o domínio tiver ingressado) | TCP e UDP | 88 | Controladores de domínio | Saída |
| Hora do Windows (opcional se o domínio tiver ingressado) | UDP | 123 | Controladores de domínio | Saída |
Observação
O LDAP é necessário para testar as credenciais a serem usadas entre os ATA Gateways e os controladores de domínio. O teste é executado do ATA Center para um controlador de domínio para testar a validade dessas credenciais, após o que o ATA Gateway usa LDAP como parte de seu processo de resolução normal.
Certificados
Para instalar e implantar o ATA mais rapidamente, você pode instalar certificados autoassinados durante a instalação. Se você tiver optado por usar certificados autoassinados, após a implantação inicial, é recomendável substituir certificados autoassinados por certificados de uma Autoridade de Certificação interna a serem usados pelo ATA Center.
Verifique se o ATA Center e os ATA Gateways têm acesso ao ponto de distribuição da CRL. Se eles não tiverem acesso à Internet, siga o procedimento para importar manualmente uma CRL, tendo o cuidado de instalar todos os pontos de distribuição da CRL para toda a cadeia.
O certificado deverá ter:
- Uma chave privada
- Um tipo de provedor de Cryptographic Service Provider (CSP) ou Key Storage Provider (KSP)
- Um comprimento de chave pública de 2048 bits
- Um valor definido para sinalizadores de uso KeyEncipherment e ServerAuthentication
- Valor de KeySpec (KeyNumber) de "KeyExchange" (AT_KEYEXCHANGE). O valor "Signature" (AT_SIGNATURE) não tem suporte.
- Todas as máquinas Gateway devem ser capazes de validar e confiar totalmente no certificado do Center selecionado.
Por exemplo, você pode usar os modelos Web server ou Computer padrão.
Aviso
Não há suporte para o processo de renovação de um certificado existente. A única maneira de renovar um certificado é criando um novo certificado e configurando o ATA para usar o novo certificado.
Observação
- Se você for acessar o ATA Console de outros computadores, certifique-se de que esses computadores confiem no certificado que está sendo usado pelo ATA Center, caso contrário, você receberá uma página de aviso de que há um problema com o certificado de segurança do site antes de acessar a página de logon.
- A partir do ATA versão 1.8, os ATA Gateways e Lightweight Gateways estão gerenciando seus próprios certificados e não precisam de interação do administrador para gerenciá-los.
Requisitos do ATA Gateway
Esta seção lista os requisitos para o ATA Gateway.
Geral
O ATA Gateway dá suporte à instalação em um servidor que executa o Windows Server 2012 R2 ou o Windows Server 2016 e o Windows Server 2019 (incluindo o Server Core). O ATA Gateway pode ser instalado em um servidor que seja membro de um domínio ou grupo de trabalho. O ATA Gateway pode ser usado para monitorar os controladores de domínio com o Nível funcional do domínio igual ao do Windows 2003 e superior.
Antes de instalar o ATA Gateway executando o Windows 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar isso executando o seguinte cmdlet do Windows PowerShell: [Get-HotFix -Id kb2919355].
Para obter informações sobre como usar máquinas virtuais com o ATA Gateway, confira Configurar o espelhamento de porta.
Observação
São necessários no mínimo 5 GB de espaço, com 10 GB sendo o recomendado. Isso inclui o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Especificações de servidor
Para obter o desempenho ideal, defina a Opção de energia do ATA Gateway como Alto desempenho.
Um ATA Gateway pode oferecer suporte ao monitoramento de vários controladores de domínio, dependendo da quantidade de tráfego de rede de e para os controladores de domínio.
Para saber mais sobre memória dinâmica ou qualquer outro recurso de gerenciamento de memória de máquina virtual, consulte Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do ATA Gateway, consulte Planejamento da capacidade do ATA.
Sincronização da hora
O servidor do ATA Center, os servidores do ATA Gateway e os controladores de domínio devem ter a hora sincronizada dentro de cinco minutos um do outro.
Adaptadores de rede
O ATA Gateway requer pelo menos um adaptador de Gerenciamento e pelo menos um adaptador de Captura:
Adaptador de gerenciamento - usado para comunicações em sua rede corporativa. Esse adaptador deve ser configurado com as seguintes configurações:
Endereço IP estático, incluindo gateway padrão
Servidores DNS preferenciais e alternativos
O sufixo DNS para essa conexão deve ser o nome DNS do domínio para cada domínio que está sendo monitorado.
Observação
Se o ATA Gateway for um membro do domínio, isso poderá ser configurado automaticamente.
Adaptador de captura - usado para capturar o tráfego de e para os controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como o destino do tráfego de rede do controlador de domínio. Para saber mais, consulte Configurar o espelhamento de porta. Normalmente, você precisará trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de porta.
- Configure um endereço IP estático não roteável para seu ambiente sem gateway padrão e sem endereços de servidor DNS. Por exemplo, 1.1.1.1/32. Isso garante que o adaptador de rede de captura possa capturar a quantidade máxima de tráfego e que o adaptador de rede de gerenciamento seja usado para enviar e receber o tráfego de rede necessário.
Portas
A tabela a seguir lista o mínimo de portas que o ATA Gateway exige que estejam configuradas no adaptador de gerenciamento:
| Protocolo | Transport | Porta | Para/De | Direção |
|---|---|---|---|---|
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAPS (LDAP Seguro) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para catálogo global | TCP | 3268 | Controladores de domínio | Saída |
| LDAPS para catálogo global | TCP | 3269 | Controladores de domínio | Saída |
| Kerberos | TCP e UDP | 88 | Controladores de domínio | Saída |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
| Tempo do Windows | UDP | 123 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM via RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | ATA Center | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
Observação
Como parte do processo de resolução feito pelo ATA Gateway, as seguintes portas precisam ser abertas para entrada nos dispositivos da rede a partir dos ATA Gateways.
- NTLM sobre RPC (porta TCP 135)
- NetBIOS (porta UDP 137)
- Usando a conta de usuário do serviço de diretório, o ATA Gateway consulta pontos de extremidade em sua organização para administradores locais usando SAM-R (logon de rede) para criar o gráfico de caminho de movimento lateral. Para obter mais informações, consulte Configurar as permissões obrigatórias do SAM-R.
- As seguintes portas precisam ser abertas para entrada em dispositivos na rede a partir do ATA Gateway:
- NTLM sobre RPC (porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Requisitos do ATA Lightweight Gateway
Esta seção lista os requisitos para o ATA Lightweight Gateway.
Geral
O ATA Lightweight Gateway oferece suporte à instalação em um controlador de domínio que executa o Windows Server 2008 R2 SP1 (não incluindo o Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 (incluindo o Core, mas não o Nano).
O controlador de domínio pode ser um controlador de domínio somente leitura (RODC).
Antes de instalar o ATA Lightweight Gateway em um controlador de domínio que executa o Windows Server 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Podemos fazer isso executando o seguinte cmdlet do PowerShell: [Get-HotFix -Id kb2919355]
Se a instalação for para o Windows Server 2012 R2 Server Core, a seguinte atualização também deverá ser instalada: KB3000850.
Podemos fazer isso executando o seguinte cmdlet do PowerShell: [Get-HotFix -Id kb3000850]
Durante a instalação, o .Net Framework 4.6.1 é instalado e pode causar uma reinicialização do controlador de domínio.
Observação
São necessários no mínimo 5 GB de espaço, com 10 GB sendo o recomendado. Isso inclui o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Especificações de servidor
O ATA Lightweight Gateway exige, no mínimo, dois núcleos e 6 GB de RAM instalados no controlador de domínio. Para obter o desempenho ideal, defina a Opção de energia do ATA Lightweight Gateway como Alto desempenho. O ATA Lightweight Gateway pode ser implantado em controladores de domínio de várias cargas e tamanhos, dependendo da quantidade de tráfego de rede de e para os controladores de domínio e da quantidade de recursos instalados nesse controlador de domínio.
Para saber mais sobre memória dinâmica ou qualquer outro recurso de gerenciamento de memória de máquina virtual, consulte Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do ATA Lightweight Gateway, consulte Planejamento da capacidade do ATA.
Sincronização da hora
O servidor do ATA Center, os servidores do ATA Lightweight Gateway e os controladores de domínio devem ter a hora sincronizada dentro de cinco minutos um do outro.
Adaptadores de rede
O ATA Lightweight Gateway monitora o tráfego local em todos os adaptadores de rede do controlador de domínio.
Após a implantação, você pode usar o ATA Console se quiser modificar quais adaptadores de rede são monitorados.
Observação
O Lightweight Gateway não tem suporte em controladores de domínio que executam o Windows 2008 R2 com o Broadcom Network Adapter Teaming habilitado.
Portas
A tabela a seguir lista o mínimo de portas que o ATA Lightweight Gateway exige:
| Protocolo | Transport | Porta | Para/De | Direção |
|---|---|---|---|---|
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM via RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | ATA Center | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
Observação
Como parte do processo de resolução executado pelo ATA Lightweight Gateway, as seguintes portas precisam ser abertas na entrada em dispositivos na rede a partir dos ATA Lightweight Gateways.
- NTLM via RPC
- NetBIOS
- Usando a conta de usuário do serviço de diretório, o ATA Lightweight Gateway consulta pontos de extremidade em sua organização para administradores locais usando SAM-R (logon de rede) para criar o gráfico de caminho de movimento lateral. Para obter mais informações, consulte Configurar as permissões obrigatórias do SAM-R.
- As seguintes portas precisam ser abertas para entrada em dispositivos na rede a partir do ATA Gateway:
- NTLM sobre RPC (porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Memória dinâmica
Observação
Ao executar serviços ATA como uma máquina virtual (VM), o serviço requer que toda a memória seja alocada para a VM, o tempo todo.
| VM em execução | Descrição |
|---|---|
| Hyper-V | Certifique-se de que Habilitar memória dinâmica não esteja habilitado para a VM. |
| VMWare | Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a seguinte opção na configuração da VM – Reservar toda a memória de convidado (Todos bloqueados). |
| Outro host de virtualização | Consulte a documentação fornecida pelo fornecedor sobre como garantir que a memória seja alocada totalmente para a VM em todos os momentos. |
Se você executar o ATA Center como uma máquina virtual, desligue o servidor antes de criar um novo ponto de verificação para evitar possíveis danos ao banco de dados.
ATA Console
O acesso ao ATA Console é feito através de um navegador, suportando estes navegadores e configurações:
Internet Explorer versão 10 e superiores
Microsoft Edge
Google Chrome 40 e superiores
Resolução mínima de largura de tela de 1700 pixels