FÖRUTSÄTTNINGAR FÖR ATA
Gäller för: Advanced Threat Analytics version 1.9
Den här artikeln beskriver kraven för en lyckad ATA-distribution i din miljö.
Kommentar
Information om hur du planerar resurser och kapacitet finns i ATA-kapacitetsplanering.
ATA består av ATA Center, ATA Gateway och/eller ATA Lightweight Gateway. Mer information om ATA-komponenterna finns i ATA-arkitekturen.
ATA-systemet fungerar på active directory-skogsgränsen och stöder FFL (Forest Functional Level) för Windows 2003 och senare.
Innan du börjar: Det här avsnittet innehåller information som du bör samla in och konton och nätverksentiteter som du bör ha innan du startar ATA-installationen.
ATA Center: I det här avsnittet visas maskinvaru-, programvarukrav och inställningar som du behöver konfigurera på ATA Center-servern.
ATA Gateway: Det här avsnittet innehåller en lista över maskinvara för ATA Gateway, programvarukrav samt inställningar som du behöver konfigurera på dina ATA Gateway-servrar.
ATA Lightweight Gateway: I det här avsnittet visas maskinvaru- och programvarukraven för ATA Lightweight Gateway.
ATA-konsol: I det här avsnittet visas webbläsarkraven för att köra ATA-konsolen.
Innan du börjar
Det här avsnittet innehåller information som du bör samla in samt konton och nätverksentiteter som du bör ha innan du startar ATA-installationen.
Användarkonto och lösenord med läsbehörighet till alla objekt i de övervakade domänerna.
Kommentar
Om du har angett anpassade ACL:er på olika organisationsenheter (OU) i domänen kontrollerar du att den valda användaren har läsbehörighet till dessa organisationsenheter.
Installera inte Microsoft Message Analyzer på en ATA Gateway eller Lightweight Gateway. Drivrutinen för Message Analyzer står i konflikt med ATA Gateway- och Lightweight Gateway-drivrutinerna. Om du kör Wireshark på ATA Gateway måste du starta om Microsoft Advanced Threat Analytics Gateway Service när du har stoppat Wireshark-avbildningen. Annars slutar gatewayen att samla in trafik. Att köra Wireshark på en ATA Lightweight Gateway stör inte ATA Lightweight Gateway.
Rekommenderas: Användaren bör ha skrivskyddade behörigheter för containern Borttagna objekt. Detta gör att ATA kan identifiera massborttagning av objekt i domänen. Information om hur du konfigurerar skrivskyddade behörigheter för containern Borttagna objekt finns i avsnittet Ändra behörigheter för en borttagen objektcontainer i artikeln Visa eller Ange behörigheter för ett katalogobjekt.
Valfritt: Ett användarkonto för en användare utan nätverksaktiviteter. Det här kontot kan konfigureras som en ATA Honeytoken-användare. För att konfigurera ett konto som en Honeytoken-användare krävs endast användarnamnet. Information om Honeytoken-konfiguration finns i Konfigurera IP-adressundantag och Honeytoken-användare.
Valfritt: Förutom att samla in och analysera nätverkstrafik till och från domänkontrollanterna kan ATA använda Windows-händelserna 4776, 4732, 4733, 4728, 4729, 4756 och 4757 för att ytterligare förbättra ATA Pass-the-Hash, Brute Force, ändring av känsliga grupper och identifieringar av honungstoken. Dessa händelser kan tas emot från SIEM eller genom att ange Vidarebefordran av Windows-händelser från domänkontrollanten. Händelser som samlas in ger ATA ytterligare information som inte är tillgänglig via domänkontrollantens nätverkstrafik.
KRAV för ATA Center
I det här avsnittet visas kraven för ATA Center.
Allmänt
ATA Center stöder installation på en server som kör Windows Server 2012 R2 Windows Server 2016 och Windows Server 2019.
Kommentar
ATA Center stöder inte Windows Server Core.
ATA Center kan installeras på en server som är medlem i en domän eller arbetsgrupp.
Kontrollera att följande uppdatering har installerats innan du installerar ATA Center som kör Windows 2012 R2: KB2919355.
Du kan kontrollera genom att köra följande Windows PowerShell-cmdlet: [Get-HotFix -Id kb2919355].
Installation av ATA Center som en virtuell dator stöds.
Serverspecifikationer
När du arbetar på en fysisk server kräver ATA-databasen att du inaktiverar icke-enhetlig minnesåtkomst (NUMA) i BIOS. Systemet kan referera till NUMA som Nodinterleaving, i vilket fall du måste aktivera Node Interleaving för att inaktivera NUMA. Mer information finns i DIN BIOS-dokumentation.
För optimala prestanda anger du energialternativet för ATA Center till Hög prestanda.
Antalet domänkontrollanter som du övervakar och belastningen på var och en av domänkontrollanterna avgör vilka serverspecifikationer som behövs. Mer information finns i ATA-kapacitetsplanering.
För Windows-operativsystemen 2008R2 och 2012 stöds inte gatewayen i ett gruppläge för flera processorer . Mer information om gruppläge för flera processorer finns i felsökning.
Tidssynkronisering
ATA Center-servern, ATA Gateway-servrarna och domänkontrollanterna måste ha tid synkroniserad till inom fem minuter från varandra.
Nätverkskort
Du bör ha följande uppsättning:
Minst ett nätverkskort (om du använder fysisk server i VLAN-miljön rekommenderar vi att du använder två nätverkskort)
En IP-adress för kommunikation mellan ATA Center och ATA Gateway som krypteras med SSL på port 443. (ATA-tjänsten binder till alla IP-adresser som ATA Center har på port 443.)
Portar
I följande tabell visas de minsta portar som måste öppnas för att ATA Center ska fungera korrekt.
| Protokoll | Transport | Lastningsplats | Till/från | Riktning |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Inkommande |
| HTTP (valfritt) | TCP | 80 | Företagsnätverk | Inkommande |
| HTTPS | TCP | 443 | Företagsnätverk och ATA Gateway | Inkommande |
| SMTP (valfritt) | TCP | 25 | SMTP-Server | Utgående |
| SMTPS (valfritt) | TCP | 465 | SMTP-Server | Utgående |
| Syslog (valfritt) | TCP/UPS/TLS (kan konfigureras) | 514 (standard) | Syslog-server | Utgående |
| LDAP | TCP och UDP | 389 | Domänkontrollanter | Utgående |
| LDAPS (valfritt) | TCP | 636 | Domänkontrollanter | Utgående |
| DNS | TCP och UDP | 53 | DNS-servrar | Utgående |
| Kerberos (valfritt om domänen är ansluten) | TCP och UDP | 88 | Domänkontrollanter | Utgående |
| Windows-tid (valfritt om domänansluten) | UDP | 123 | Domänkontrollanter | Utgående |
Kommentar
LDAP krävs för att testa de autentiseringsuppgifter som ska användas mellan ATA-gatewayerna och domänkontrollanterna. Testet utförs från ATA Center till en domänkontrollant för att testa giltigheten för dessa autentiseringsuppgifter, varefter ATA Gateway använder LDAP som en del av sin normala lösningsprocess.
Certifikat
Om du vill installera och distribuera ATA snabbare kan du installera självsignerade certifikat under installationen. Om du har valt att använda självsignerade certifikat rekommenderar vi att du efter den första distributionen ersätter självsignerade certifikat med certifikat från en intern certifikatutfärdare som ska användas av ATA Center.
Kontrollera att ATA Center- och ATA-gatewayerna har åtkomst till din CRL-distributionsplats. Om de inte har Internetåtkomst följer du proceduren för att importera en CRL manuellt och se till att installera alla CRL-distributionsplatser för hela kedjan.
Certifikatet måste ha:
- En privat nyckel
- En providertyp av antingen kryptografisk tjänstleverantör (CSP) eller nyckellagringsprovider (KSP)
- En offentlig nyckellängd på 2 048 bitar
- Ett värde som angetts för användningsflaggor för KeyEncipherment och ServerAuthentication
- KeySpec-värde (KeyNumber) för "KeyExchange" (AT_KEYEXCHANGE). Värdet "Signatur" (AT_SIGNATURE) stöds inte .
- Alla Gateway-datorer måste kunna verifiera och lita på det valda Center-certifikatet.
Du kan till exempel använda standardwebbservern eller datormallarna.
Varning
Processen för att förnya ett befintligt certifikat stöds inte. Det enda sättet att förnya ett certifikat är genom att skapa ett nytt certifikat och konfigurera ATA för att använda det nya certifikatet.
Kommentar
- Om du ska komma åt ATA-konsolen från andra datorer kontrollerar du att dessa datorer litar på certifikatet som används av ATA Center, annars får du en varningssida om att det finns ett problem med webbplatsens säkerhetscertifikat innan du kommer till inloggningssidan.
- Från och med ATA version 1.8 hanterar ATA Gateways och Lightweight Gateways sina egna certifikat och behöver ingen administratörsinteraktion för att hantera dem.
KRAV för ATA Gateway
I det här avsnittet visas kraven för ATA Gateway.
Allmänt
ATA Gateway stöder installation på en server som kör Windows Server 2012 R2 eller Windows Server 2016 och Windows Server 2019 (inklusive serverkärna). ATA Gateway kan installeras på en server som är medlem i en domän eller arbetsgrupp. ATA Gateway kan användas för att övervaka domänkontrollanter med domänfunktionsnivå i Windows 2003 och senare.
Innan du installerar ATA Gateway som kör Windows 2012 R2 kontrollerar du att följande uppdatering har installerats: KB2919355.
Du kan kontrollera genom att köra följande Windows PowerShell-cmdlet: [Get-HotFix -Id kb2919355].
Information om hur du använder virtuella datorer med ATA Gateway finns i Konfigurera portspegling.
Kommentar
Minst 5 GB utrymme krävs och 10 GB rekommenderas. Detta inkluderar utrymme som behövs för ATA-binärfiler, ATA-loggar och prestandaloggar.
Serverspecifikationer
För optimala prestanda anger du poweralternativet för ATA Gateway till Hög prestanda.
En ATA Gateway kan stödja övervakning av flera domänkontrollanter, beroende på mängden nätverkstrafik till och från domänkontrollanterna.
Mer information om dynamiskt minne eller någon annan minneshanteringsfunktion för virtuella datorer finns i Dynamiskt minne.
Mer information om maskinvarukraven för ATA Gateway finns i ATA-kapacitetsplanering.
Tidssynkronisering
ATA Center-servern, ATA Gateway-servrarna och domänkontrollanterna måste ha tid synkroniserad till inom fem minuter från varandra.
Nätverkskort
ATA Gateway kräver minst ett hanteringskort och minst ett avbildningskort:
Hanteringskort – används för kommunikation i företagets nätverk. Det här kortet bör konfigureras med följande inställningar:
Statisk IP-adress inklusive standardgateway
Önskade och alternativa DNS-servrar
DNS-suffixet för den här anslutningen ska vara DNS-namnet på domänen för varje domän som övervakas.
Kommentar
Om ATA Gateway är medlem i domänen kan detta konfigureras automatiskt.
Avbildningskort – används för att samla in trafik till och från domänkontrollanterna.
Viktigt!
- Konfigurera portspegling för avbildningskortet som mål för domänkontrollantens nätverkstrafik. Mer information finns i Konfigurera portspegling. Vanligtvis måste du arbeta med nätverks- eller virtualiseringsteamet för att konfigurera portspegling.
- Konfigurera en statisk icke-dirigerbar IP-adress för din miljö utan standardgateway och inga DNS-serveradresser. Till exempel 1.1.1.1/32. Detta säkerställer att avbildningsnätverkskortet kan samla in den maximala mängden trafik och att hanteringsnätverkskortet används för att skicka och ta emot nödvändig nätverkstrafik.
Portar
I följande tabell visas de minsta portar som ATA Gateway kräver konfigurerade på hanteringskortet:
| Protokoll | Transport | Lastningsplats | Till/från | Riktning |
|---|---|---|---|---|
| LDAP | TCP och UDP | 389 | Domänkontrollanter | Utgående |
| Säker LDAP (LDAPS) | TCP | 636 | Domänkontrollanter | Utgående |
| LDAP till global katalog | TCP | 3268 | Domänkontrollanter | Utgående |
| LDAPS till global katalog | TCP | 3269 | Domänkontrollanter | Utgående |
| Kerberos | TCP och UDP | 88 | Domänkontrollanter | Utgående |
| Netlogon (SMB, CIFS, SAM-R) | TCP och UDP | 445 | Alla enheter i nätverket | Utgående |
| Windows-tid | UDP | 123 | Domänkontrollanter | Utgående |
| DNS | TCP och UDP | 53 | DNS-servrar | Utgående |
| NTLM över RPC | TCP | 135 | Alla enheter i nätverket | Båda |
| NetBIOS | UDP | 137 | Alla enheter i nätverket | Båda |
| SSL | TCP | 443 | ATA Center | Utgående |
| Syslog (valfritt) | UDP | 514 | SIEM-server | Inkommande |
Kommentar
Som en del av lösningsprocessen som utförs av ATA Gateway måste följande portar vara öppna inkommande på enheter i nätverket från ATA-gatewayerna.
- NTLM över RPC (TCP-port 135)
- NetBIOS (UDP-port 137)
- Med hjälp av användarkontot för katalogtjänsten frågar ATA Gateway efter slutpunkter i organisationen efter lokala administratörer som använder SAM-R (nätverksinloggning) för att skapa diagrammet för lateral förflyttningssökväg. Mer information finns i Konfigurera NÖDVÄNDIGA SAM-R-behörigheter.
- Följande portar måste vara öppna inkommande på enheter i nätverket från ATA Gateway:
- NTLM över RPC (TCP-port 135) för lösningsändamål
- NetBIOS (UDP-port 137) för lösningsändamål
KRAV för ATA Lightweight Gateway
I det här avsnittet visas kraven för ATA Lightweight Gateway.
Allmänt
ATA Lightweight Gateway stöder installation på en domänkontrollant som kör Windows Server 2008 R2 SP1 (inklusive Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 och Windows Server 2019 (inklusive Core men inte Nano).
Domänkontrollanten kan vara en skrivskyddad domänkontrollant (RODC).
Innan du installerar ATA Lightweight Gateway på en domänkontrollant som kör Windows Server 2012 R2 kontrollerar du att följande uppdatering har installerats: KB2919355.
Du kan kontrollera genom att köra följande Windows PowerShell-cmdlet: [Get-HotFix -Id kb2919355]
Om installationen är för Windows Server 2012 R2 Server Core bör följande uppdatering också installeras: KB3000850.
Du kan kontrollera genom att köra följande Windows PowerShell-cmdlet: [Get-HotFix -Id kb3000850]
Under installationen installeras .Net Framework 4.6.1 och kan orsaka en omstart av domänkontrollanten.
Kommentar
Minst 5 GB utrymme krävs och 10 GB rekommenderas. Detta inkluderar utrymme som behövs för ATA-binärfiler, ATA-loggar och prestandaloggar.
Serverspecifikationer
ATA Lightweight Gateway kräver minst 2 kärnor och 6 GB RAM-minne installerat på domänkontrollanten. För optimala prestanda ställer du in energialternativet för ATA Lightweight Gateway på Höga prestanda. ATA Lightweight Gateway kan distribueras på domänkontrollanter med olika belastningar och storlekar, beroende på mängden nätverkstrafik till och från domänkontrollanterna och mängden resurser som är installerade på domänkontrollanten.
Mer information om dynamiskt minne eller någon annan minneshanteringsfunktion för virtuella datorer finns i Dynamiskt minne.
Mer information om maskinvarukraven för ATA Lightweight Gateway finns i ATA-kapacitetsplanering.
Tidssynkronisering
ATA Center-servern, ATA Lightweight Gateway-servrarna och domänkontrollanterna måste ha tid synkroniserad till inom fem minuter från varandra.
Nätverkskort
ATA Lightweight Gateway övervakar den lokala trafiken på alla domänkontrollantens nätverkskort.
Efter distributionen kan du använda ATA-konsolen om du vill ändra vilka nätverkskort som övervakas.
Kommentar
Lightweight Gateway stöds inte på domänkontrollanter som kör Windows 2008 R2 med Broadcom Network Adapter Teaming aktiverat.
Portar
I följande tabell visas de minsta portar som ATA Lightweight Gateway kräver:
| Protokoll | Transport | Lastningsplats | Till/från | Riktning |
|---|---|---|---|---|
| DNS | TCP och UDP | 53 | DNS-servrar | Utgående |
| NTLM över RPC | TCP | 135 | Alla enheter i nätverket | Båda |
| NetBIOS | UDP | 137 | Alla enheter i nätverket | Båda |
| SSL | TCP | 443 | ATA Center | Utgående |
| Syslog (valfritt) | UDP | 514 | SIEM-server | Inkommande |
| Netlogon (SMB, CIFS, SAM-R) | TCP och UDP | 445 | Alla enheter i nätverket | Utgående |
Kommentar
Som en del av lösningsprocessen som utförs av ATA Lightweight Gateway måste följande portar vara öppna inkommande på enheter i nätverket från ATA Lightweight Gateways.
- NTLM över RPC
- NetBIOS
- Med hjälp av katalogtjänstanvändarkontot frågar ATA Lightweight Gateway efter slutpunkter i organisationen efter lokala administratörer som använder SAM-R (nätverksinloggning) för att skapa diagrammet för lateral förflyttningssökväg. Mer information finns i Konfigurera NÖDVÄNDIGA SAM-R-behörigheter.
- Följande portar måste vara öppna inkommande på enheter i nätverket från ATA Gateway:
- NTLM över RPC (TCP-port 135) för lösningsändamål
- NetBIOS (UDP-port 137) för lösningsändamål
Dynamiskt minne
Kommentar
När du kör ATA-tjänster som en virtuell dator (VM) kräver tjänsten att allt minne allokeras till den virtuella datorn, hela tiden.
| Virtuell dator som körs på | Description |
|---|---|
| Hyper-V | Kontrollera att Aktivera dynamiskt minne inte är aktiverat för den virtuella datorn. |
| VMware | Kontrollera att mängden minne som konfigurerats och det reserverade minnet är detsamma, eller välj följande alternativ i vm-inställningen – Reservera allt gästminne (Alla låsta). |
| Annan virtualiseringsvärd | Se dokumentationen från leverantören om hur du alltid ser till att minnet allokeras helt till den virtuella datorn. |
Om du kör ATA Center som en virtuell dator stänger du av servern innan du skapar en ny kontrollpunkt för att undvika eventuella skador på databasen.
ATA-konsolen
Åtkomst till ATA-konsolen sker via en webbläsare som stöder webbläsare och inställningar:
Internet Explorer version 10 och senare
Microsoft Edge
Google Chrome 40 och senare
Minsta skärmbreddsupplösning på 1 700 bildpunkter