ATA-kapacitetsplanering
Gäller för: Advanced Threat Analytics version 1.9
Den här artikeln hjälper dig att avgöra hur många ATA-servrar som behövs för att övervaka nätverket. Det hjälper dig att uppskatta hur många ATA Gateways och/eller ATA Lightweight Gateways du behöver och serverkapaciteten för dina ATA Center- och ATA Gateways.
Kommentar
ATA Center kan distribueras på valfri IaaS-leverantör så länge prestandakraven som beskrivs i den här artikeln uppfylls.
Använda storleksverktyget
Det rekommenderade och enklaste sättet att fastställa kapaciteten för ATA-distributionen är att använda ATA-storleksverktyget. Kör ata-storleksverktyget och använd följande fält från Excel-filresultatet för att fastställa den ATA-kapacitet du behöver:
CPU och minne i ATA Center: Matcha fältet Upptagna paket/sek i resultatfilen för ATA Center-tabellen till fältet PAKET PER SEKUND i tabellen ATA Center.
ATA Center Storage: Matcha fältet Genomsnittligt paket/sek i resultatfilen för ATA Center-tabellen till fältet PAKET PER SEKUND i tabellen ATA Center.
ATA Gateway: Matcha fältet Upptagna paket/sek i ATA Gateway-tabellen i resultatfilen med fältet PAKET PER SEKUND i tabellen ATA Gateway eller tabellen ATA Lightweight Gateway, beroende på vilken gatewaytyp du väljer.
Kommentar
Eftersom olika miljöer varierar och har flera särskilda och oväntade egenskaper för nätverkstrafik kan du när du har distribuerat ATA och kört storleksverktyget först behöva justera och finjustera distributionen för kapacitet.
Om du inte kan använda ATA-storleksverktyget samlar du in manuellt paket-/sek-räknarinformationen med ett lågt insamlingsintervall (cirka 5 sekunder) från alla domänkontrollanter i 24 timmar. För varje domänkontrollant beräknar du sedan det dagliga genomsnittet och genomsnittet för den mest trafikerade perioden (15 minuter). Följande avsnitt innehåller instruktioner om hur du samlar in paket/sek-räknaren från en domänkontrollant.
Kommentar
Eftersom olika miljöer varierar och har flera särskilda och oväntade egenskaper för nätverkstrafik kan du när du har distribuerat ATA och kört storleksverktyget först behöva justera och finjustera distributionen för kapacitet.
STORLEKSändring för ATA Center
ATA Center kräver minst 30 dagars data för användarbeteendeanalys.
| Paket per sekund från alla domänkontrollanter | CPU (kärnor*) | Minne (GB) | Databaslagring per dag (GB) | Databaslagring per månad (GB) | IOPS** |
|---|---|---|---|---|---|
| 1 000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200 000 | 8 | 64 | 60 | 1 800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3 600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9 000 | 4,000 (5,000) |
*Detta omfattar fysiska kärnor, inte hypertrådade kärnor.
**Genomsnittliga tal (högsta tal)
Kommentar
- ATA Center kan hantera ett aggregerat maximalt 1M-paket per sekund från alla övervakade domänkontrollanter. I vissa miljöer kan samma ATA Center hantera övergripande trafik som är högre än 1 M och vissa miljöer kan överskrida ATA-kapaciteten. Kontakta oss på azureatpfeedback@microsoft.com för hjälp med att planera och uppskatta stora miljöer.
- Om ditt lediga utrymme når minst 20 % eller 200 GB tas den äldsta datasamlingen bort. Om det inte går att minska datainsamlingen till den här nivån loggas en avisering. ATA fortsätter att fungera tills tröskelvärdet på 5 % eller 50 GB ledigt nås. Nu slutar ATA att fylla i databasen och ytterligare en avisering utfärdas.
- Du kan distribuera ATA Center på valfri IaaS-leverantör om de prestandakrav som beskrivs i den här artikeln uppfylls.
- Lagringsfördröjningen för läs- och skrivaktiviteter bör vara under 10 ms.
- Förhållandet mellan läs- och skrivaktiviteter är cirka 1:3 under 100 000 paket per sekund och 1:6 över 100 000 paket per sekund.
- När du kör Center som en virtuell dator (VM) kräver centret att allt minne allokeras till den virtuella datorn, hela tiden. Mer information om hur du kör ATA Center som en virtuell dator finns i ATA Center-krav.
- För optimala prestanda anger du energialternativet för ATA Center till Hög prestanda.
- När du arbetar på en fysisk server behöver ATA-databasen att du inaktiverar NUMA (Non-Uniform Memory Access) i BIOS. Systemet kan referera till NUMA som Nodinterleaving, i vilket fall du måste aktivera Node Interleaving för att inaktivera NUMA. Mer information finns i DIN BIOS-dokumentation. Detta är inte relevant när ATA Center körs på en virtuell server.
Välja rätt gatewaytyp för distributionen
I en ATA-distribution stöds alla kombinationer av ATA Gateway-typerna:
- Endast ATA-gatewayer
- Endast ATA Lightweight Gateways
- En kombination av båda
När du bestämmer gatewaydistributionstypen bör du överväga följande fördelar:
| Gateway-typ | Förmåner | Kostnad | Distributionstopologi | Användning av domänkontrollant |
|---|---|---|---|---|
| ATA Gateway | Out of band-distributionen gör det svårare för angripare att upptäcka att ATA finns | Högre | Installeras tillsammans med domänkontrollanten (out of band) | Stöder upp till 50 000 paket per sekund |
| ATA Lightweight Gateway | Kräver inte någon dedikerad server- och portspeglingskonfiguration | Lower | Installerad på domänkontrollanten | Stöder upp till 10 000 paket per sekund |
Följande är exempel på scenarier där domänkontrollanter ska omfattas av ATA Lightweight Gateway:
Grenwebbplatser
Virtuella domänkontrollanter som distribueras i molnet (IaaS)
Följande är exempel på scenarier där domänkontrollanter ska omfattas av ATA Gateway:
- Datacenter med huvudkontor (med domänkontrollanter med fler än 10 000 paket per sekund)
STORLEK PÅ ATA Lightweight Gateway
En ATA Lightweight Gateway kan stödja övervakning av en domänkontrollant baserat på mängden nätverkstrafik som domänkontrollanten genererar.
| Paket per sekund* | CPU (kärnor**) | Minne (GB)*** |
|---|---|---|
| 1 000 | 2 | 6 |
| 5 000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Totalt antal paket per sekund på domänkontrollanten som övervakas av den specifika ATA Lightweight Gateway.
**Totalt antal icke-hypertrådade kärnor som domänkontrollanten har installerat.
Hypertrådning är acceptabelt för ATA Lightweight Gateway, men när du planerar för kapacitet bör du räkna faktiska kärnor och inte hypertrådade kärnor.
Total mängd minne som den här domänkontrollanten har installerat.
Kommentar
- Om domänkontrollanten inte har de resurser som krävs av ATA Lightweight Gateway påverkas inte domänkontrollantens prestanda, men ATA Lightweight Gateway kanske inte fungerar som förväntat.
- När gatewayen körs som en virtuell dator (VM) kräver gatewayen att allt minne allokeras till den virtuella datorn, hela tiden. Mer information om hur du kör ATA Gateway som en virtuell dator finns i Krav på dynamiskt minne).
- För optimala prestanda ställer du in energialternativet för ATA Lightweight Gateway på Höga prestanda.
- Minst 5 GB utrymme krävs och 10 GB rekommenderas, inklusive det utrymme som behövs för ATA-binärfiler, ATA-loggar och prestandaloggar.
STORLEKSändring för ATA Gateway
Tänk på följande när du bestämmer hur många ATA-gatewayer som ska distribueras.
- Active Directory-skogar och domäner
ATA kan övervaka trafik från flera domäner från en enda Active Directory-skog. Övervakning av flera Active Directory-skogar kräver separata ATA-distributioner. Konfigurera inte en enda ATA-distribution för att övervaka nätverkstrafiken för domänkontrollanter från olika skogar. - Portspegling
Överväganden för portspegling kan kräva att du distribuerar flera ATA-gatewayer per datagateway eller grenplats. - Kapacitet
En ATA Gateway kan ha stöd för övervakning av flera domänkontrollanter, beroende på mängden nätverkstrafik för de domänkontrollanter som övervakas.
| Paket per sekund* | CPU (kärnor**) | Minne (GB) |
|---|---|---|
| 1 000 | 1 | 6 |
| 5 000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Totalt genomsnittligt antal paket per sekund från alla domänkontrollanter som övervakas av den specifika ATA Gateway under deras mest trafikerade timme på dagen.
*Den totala mängden portspeglingstrafik för domänkontrollanter får inte överskrida kapaciteten för avbildningskortet på ATA Gateway.
**Hypertrådning måste inaktiveras.
Kommentar
- När gatewayen körs som en virtuell dator (VM) kräver gatewayen att allt minne allokeras till den virtuella datorn, hela tiden. Mer information om hur du kör ATA Gateway som en virtuell dator finns i Krav på dynamiskt minne.
- För optimala prestanda anger du poweralternativet för ATA Gateway till Hög prestanda.
- Minst 5 GB utrymme krävs och 10 GB rekommenderas, inklusive det utrymme som behövs för ATA-binärfiler, ATA-loggar och prestandaloggar.