ATA önkoşulları

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Bu makalede ortamınızda başarılı bir ATA dağıtımının gereksinimleri açıklanmaktadır.

Not

Kaynakları ve kapasiteyi planlama hakkında daha fazla bilgi için bkz. ATA kapasite planlaması.

ATA; ATA Center, ATA Gateway ve/veya ATA Lightweight Gateway'inden oluşur. ATA bileşenleri hakkında daha fazla bilgi için bkz. ATA mimarisi

ATA Sistemi Active Directory orman sınırının üzerinde çalışır ve Orman İşlevsel Düzeyi (FFL) için Windows 2003 ve üstünü destekler.

Başlamadan önce: Bu bölümde, ATA yüklemesini başlatmadan önce toplamanız gereken bilgiler ve sahip olmanız gereken hesaplar ve ağ varlıkları listelenir.

ATA Center: Bu bölümde ATA Center donanımı, yazılım gereksinimleri ve ATA Center sunucunuzda yapılandırmanız gereken ayarlar listelenir.

ATA Gateway: Bu bölümde ATA Gateway donanımları, yazılım gereksinimleri ve ATA Gateway sunucularınızda yapılandırmanız gereken ayarlar listelenir.

ATA Lightweight Gateway: Bu bölümde ATA Lightweight Gateway donanım ve yazılım gereksinimleri listelenmiştir.

ATA Konsolu: Bu bölümde, ATA Konsolu’nu çalıştırmak için tarayıcı gereksinimleri listelenir.

ATA architecture diagram.

Başlamadan önce

Bu bölümde, ATA yüklemesini başlatmadan önce toplamanız gereken bilgilerin yanı sıra sahip olmanız gereken hesaplar ve ağ varlıkları listelenir.

  • İzlenen etki alanlarındaki tüm nesnelere okuma erişimi olan kullanıcı hesabı ve parola.

    Not

    Etki alanınızdaki çeşitli Kurumsal Birimlerde (OU) özel ACL’ler ayarladıysanız, seçili kullanıcının bu OU’lar üzerinde okuma izinleri olmasına dikkat edin.

  • Microsoft Message Analyzer'ı ATA Gateway veya Lightweight Gateway'e yüklemeyin. İleti Çözümleyicisi sürücüsü ATA Gateway ve Lightweight Gateway sürücüleriyle çakşır. ATA Gateway’de Wireshark çalıştırırsanız Wireshark yakalamasını durdurduktan sonra Microsoft Advanced Threat Analytics Gateway Service’i yeniden başlatmanız gerekir. Aksi takdirde Ağ Geçidi trafiği yakalamayı durdurur. ATA Lightweight Gateway üzerinde Wireshark çalıştırmak ATA Lightweight Gateway'i engellemez.

  • Önerilen: Kullanıcının Silinmiş Nesneler kapsayıcısı üzerinde salt okunur izinleri olmalıdır. Bu, ATA'nın etki alanındaki nesnelerin toplu olarak silinmesini algılamasını sağlar. Silinmiş Nesneler kapsayıcısında salt okunur izinleri yapılandırma hakkında bilgi için, Dizin Nesnesinde İzinleri Görüntüleme veya Ayarlama makalesinin Silinmiş nesne kapsayıcısında izinleri değiştirme bölümüne bakın.

  • İsteğe bağlı: Ağ etkinliği olmayan bir kullanıcının kullanıcı hesabı. Bu hesap, ATA Honeytoken kullanıcısı olarak yapılandırılabilir. Bir hesabı Honeytoken kullanıcısı olarak yapılandırmak için yalnızca kullanıcı adı gereklidir. Honeytoken yapılandırma bilgileri için bkz . IP adresi dışlamalarını ve Honeytoken kullanıcısını yapılandırma.

  • İsteğe bağlı: ATA, etki alanı denetleyicilerine gelen ve etki alanı denetleyicilerinden gelen ağ trafiğini toplamaya ve analiz etmeye ek olarak, ATA Karma Geçişi, Deneme Yanılma, Hassas gruplarda değişiklik ve Bal Belirteçleri algılamalarını daha da geliştirmek için 4776, 4732, 4733, 4728, 4729, 4756 ve 4757 olaylarını Windows kullanabilir. Bu olaylar SIEM'inizden veya etki alanı denetleyicinizden olay iletme Windows ayarlanarak alınabiliyor. Toplanan olaylar ATA’ya etki alanı denetleyicisi ağ trafiği yoluyla sağlanmayan ek bilgiler sağlar.

ATA Center gereksinimleri

Bu bölümde, ATA Center’ın gereksinimleri listelenir.

Genel

ATA Center, Windows Server 2012 R2 Windows Server 2016 ve Windows Server 2019 çalıştıran bir sunucuya yüklemeyi destekler.

Not

ATA Center Windows Sunucu çekirdeğini desteklemez.

ATA Center bir etki alanının veya çalışma grubunun üyesi olan sunuculara yüklenebilir.

Windows 2012 R2 çalıştıran ATA Center’ı yüklemeden önce şu güncelleştirmenin yüklendiğini onaylayın: KB2919355.

Şu Windows PowerShell cmdlet’ini çalıştırarak bunu denetleyebilirsiniz: [Get-HotFix -Id kb2919355].

ATA Center’ın bir sanal makine olarak yüklenmesi desteklenir.

Sunucu belirtimleri

Fiziksel bir sunucuda çalışırken, ATA veritabanı için BIOS’ta tekdüzen olmayan bellek erişimini (NUMA) devre dışı bırakmanız gerekir. Sisteminiz NUMA'yı Düğüm Araya Ekleme olarak adlandırabilir ve bu durumda NUMA'yı devre dışı bırakmak için Düğüm Araya Ekleme'yi etkinleştirmeniz gerekir. Daha fazla bilgi için BIOS belgelerinize bakın.

En iyi performans için, ATA Center’ın Güç SeçeneğiniYüksek Performans olarak ayarlayın.
İzlediğiniz etki alanı denetleyicilerinin sayısı ve etki alanı denetleyicilerinin her birinin yükü, gereken sunucu belirtimlerini belirler. Daha fazla bilgi için bkz. ATA kapasite planlaması.

Windows İşletim sistemleri 2008R2 ve 2012 için Ağ Geçidi, Çok İşlemcili Grup modunda desteklenmez. Çok işlemcili grup modu hakkında daha fazla bilgi için bkz . sorun giderme.

Zaman eşitleme

ATA Center sunucusu, ATA Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanları olmalıdır.

Ağ bağdaştırıcıları

Aşağıdakiler ayarlanmış olmalıdır:

  • En az bir ağ bağdaştırıcısı (VLAN ortamında fiziksel sunucu kullanılıyorsa, iki ağ bağdaştırıcısı kullanılması önerilir)

  • ATA Center ile ATA Gateway arasındaki iletişim için 443 numaralı bağlantı noktasında SSL kullanılarak şifrelenmiş bir IP adresi. (ATA hizmeti, ATA Center'ın 443 numaralı bağlantı noktasındaki tüm IP adreslerine bağlanır.)

Bağlantı noktaları

Aşağıdaki tabloda, ATA Center’ın düzgün çalışması için açılması gereken minimum bağlantı noktaları listelenir.

Protokol Aktarım Bağlantı noktası Hedef/Kaynak Yön
SSL (ATA İletişimi) TCP 443 ATA Gateway Gelen
HTTP (isteğe bağlı) TCP 80 Şirket Ağı Gelen
HTTPS TCP 443 Şirket Ağı ve ATA Gateway Gelen
SMTP (isteğe bağlı) TCP 25 SMTP Sunucusu Giden
SMTPS (isteğe bağlı) TCP 465 SMTP Sunucusu Giden
Syslog (isteğe bağlı) TCP/UPS/TLS (yapılandırılabilir) 514 (varsayılan) Syslog sunucusu Giden
LDAP TCP ve UDP 389 Etki alanı denetleyicileri Giden
LDAPS (isteğe bağlı) TCP 636 Etki alanı denetleyicileri Giden
DNS TCP ve UDP 53 DNS sunucuları Giden
Kerberos (etki alanına katılmış ise isteğe bağlı) TCP ve UDP 88 Etki alanı denetleyicileri Giden
Windows Saati (etki alanına katılmışsa isteğe bağlı) UDP 123 Etki alanı denetleyicileri Giden

Not

ATA Gateway'ler ve etki alanı denetleyicileri arasında kullanılacak kimlik bilgilerini test etmek için LDAP gereklidir. Test, BU kimlik bilgilerinin geçerliliğini test etmek için ATA Center'dan bir etki alanı denetleyicisine gerçekleştirilir ve bundan sonra ATA Gateway normal çözümleme işleminin bir parçası olarak LDAP kullanır.

Sertifikalar

ATA'yı daha hızlı yüklemek ve dağıtmak için, yükleme sırasında otomatik olarak imzalanan sertifikalar yükleyebilirsiniz. Otomatik olarak imzalanan sertifikaları kullanmayı seçtiyseniz, ilk dağıtımdan sonra otomatik olarak imzalanan sertifikaları ATA Center tarafından kullanılacak bir iç Sertifika Yetkilisinin sertifikalarıyla değiştirmeniz önerilir.

ATA Center ve ATA Gateway'lerin CRL dağıtım noktanıza erişimi olduğundan emin olun. İnternet erişimi yoksa, bir CRL'yi el ile içeri aktarmak için yordamı izleyin ve tüm zincir için tüm CRL dağıtım noktalarını yüklemeye dikkat edin.

Sertifikanın sahip olması gerekenler:

  • Özel anahtar
  • Şifreleme Hizmeti Sağlayıcısı (CSP) veya Anahtar Depolama Sağlayıcısı (KSP) sağlayıcı türü
  • 2048 bit ortak anahtar uzunluğu
  • KeyEncipherment ve ServerAuthentication kullanım bayrakları için bir değer kümesi
  • "KeyExchange" (AT_KEYEXCHANGE) KeySpec (KeyNumber) değeri. "signature" (AT_SIGNATURE) değeri desteklenmez .
  • Tüm Ağ Geçidi makinelerinin seçili Center sertifikasını tam olarak doğrulayabilmesi ve güvenebilmesi gerekir.

Örneğin, standart Web sunucusunu veya Bilgisayar şablonlarını kullanabilirsiniz.

Uyarı

Mevcut bir sertifikayı yenileme işlemi desteklenmez. Sertifikayı yenilemenin tek yolu, yeni bir sertifika oluşturmak ve ATA'nın yeni sertifikayı kullanacak şekilde yapılandırılmasıdır.

Not

  • ATA Konsolu'na diğer bilgisayarlardan erişecekseniz, bu bilgisayarların ATA Center tarafından kullanılan sertifikaya güvendiğinden emin olun, aksi takdirde oturum açma sayfasına geçmeden önce web sitesinin güvenlik sertifikasıyla ilgili bir sorun olduğuna ilişkin bir uyarı sayfası alırsınız.
  • ATA sürüm 1.8'den başlayarak, ATA Gateway'ler ve Lightweight Gateway'ler kendi sertifikalarını yönetir ve bunları yönetmek için yönetici etkileşimi gerekmez.

ATA Gateway gereksinimleri

Bu bölümde, ATA Gateway’in gereksinimleri listelenir.

Genel

ATA Gateway, Windows Server 2012 R2 veya Windows Server 2016 ve Windows Server 2019 (sunucu çekirdeği dahil) çalıştıran bir sunucuya yüklemeyi destekler. ATA Gateway bir etki alanının veya çalışma grubunun üyesi olan sunuculara yüklenebilir. ATA Gateway, Etki Alanı İşlev Düzeyi Windows 2003 ve üstü olan Etki Alanı Denetleyicilerini izlemek için kullanılabilir.

Windows 2012 R2 çalıştıran ATA Gateway’i yüklemeden önce şu güncelleştirmenin yüklendiğini onaylayın: KB2919355.

Şu Windows PowerShell cmdlet’ini çalıştırarak bunu denetleyebilirsiniz: [Get-HotFix -Id kb2919355].

ATA Gateway ile sanal makineleri kullanma hakkında bilgi için bkz. Bağlantı noktası yansıtmasını yapılandırma

Not

En az 5 GB alan gereklidir ve 10 GB önerilir. Buna ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan dahildir.

Sunucu belirtimleri

En iyi performans için, ATA Gateway’in Güç SeçeneğiniYüksek Performans olarak ayarlayın.
ATA Gateway, etki alanı denetleyicilerinden gelen ve giden ağ trafiği miktarına bağlı olarak, birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.

Dinamik bellek veya başka bir sanal makine bellek yönetimi özelliği hakkında daha fazla bilgi edinmek için bkz. Dinamik bellek.

ATA Gateway donanım gereksinimleri hakkında daha fazla bilgi için bkz. ATA kapasite planlaması.

Zaman eşitleme

ATA Center sunucusu, ATA Gateway sunucuları ve etki alanı denetleyicilerinin zamanları birbirinden beş dakika içinde eşitlenmelidir.

Ağ bağdaştırıcıları

ATA Gateway için en az bir Yönetim bağdaştırıcısı ve en az bir Yakalama bağdaştırıcısı gerekir:

  • Yönetim bağdaştırıcısı - Kurumsal ağınızdaki iletişimler için kullanılır. Bu bağdaştırıcı aşağıdaki ayarlarla yapılandırılmalıdır:

    • Varsayılan ağ geçidi dahil statik IP adresi

    • Tercih edilen ve alternatif DNS sunucuları

    • Bu bağlantı için DNS son eki, izlenen her etki alanı için etki alanının DNS adı olmalıdır.

      Configure DNS suffix in advanced TCP/IP settings.

      Not

      ATA Gateway etki alanının üyesiyse, bu özellik otomatik olarak yapılandırılabilir.

  • Yakalama bağdaştırıcısı - etki alanı denetleyicilerine gelen ve bu denetleyicilerden gelen trafiği yakalamak için kullanılır.

    Önemli

    • Etki alanı denetleyicisi ağ trafiğinin hedefi olarak yakalama bağdaştırıcısı için bağlantı noktası yansıtmasını yapılandırın. Daha fazla bilgi için bkz. Bağlantı noktası yansıtmayı yapılandırma. Genellikle bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle çalışmanız gerekir.
    • Varsayılan ağ geçidi ve DNS sunucu adresleri olmadan ortamınız için statik yönlendirilemeyen bir IP adresi yapılandırın. Örneğin, 1.1.1.1/32. Bu, yakalama ağ bağdaştırıcısının en fazla trafik miktarını yakalayabilmesini ve yönetim ağ bağdaştırıcısının gerekli ağ trafiğini göndermek ve almak için kullanılmasını sağlar.

Bağlantı noktaları

Aşağıdaki tabloda, ATA Gateway için yönetim bağdaştırıcısında yapılandırılması gereken minimum bağlantı noktaları listelenir.

Protokol Aktarım Bağlantı noktası Hedef/Kaynak Yön
LDAP TCP ve UDP 389 Etki alanı denetleyicileri Giden
Güvenli LDAP (LDAPS) TCP 636 Etki alanı denetleyicileri Giden
LDAP - Genel Katalog TCP 3268 Etki alanı denetleyicileri Giden
LDAPS - Genel Katalog TCP 3269 Etki alanı denetleyicileri Giden
Kerberos TCP ve UDP 88 Etki alanı denetleyicileri Giden
Netlogon (SMB, CIFS, SAM-R) TCP ve UDP 445 Ağdaki tüm cihazlar Giden
Windows Saati UDP 123 Etki alanı denetleyicileri Giden
DNS TCP ve UDP 53 DNS Sunucuları Giden
RPC üzerinden NTLM TCP 135 Ağdaki tüm cihazlar Her İkisi
NetBIOS UDP 137 Ağdaki tüm cihazlar Her İkisi
SSL TCP 443 ATA Center Giden
Syslog (isteğe bağlı) UDP 514 SIEM Sunucusu Gelen

Not

ATA Gateway tarafından yapılan çözümleme işlemi kapsamında, ATA Gateway bileşenlerinden aşağıdaki bağlantı noktaları ağdaki cihazlarda gelen trafik için açılmalıdır.

  • RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
  • NetBIOS (UDP bağlantı noktası 137)
  • Dizin hizmeti kullanıcı hesabını kullanarak ATA Gateway, yanal hareket yolu grafiğini oluşturmak için SAM-R (ağ oturumu açma) kullanarak yerel yöneticiler için kuruluşunuzdaki uç noktaları sorgular. Daha fazla bilgi için bkz. SAM-R gerekli izinleri yapılandırma.
  • Ata Gateway'den ağdaki cihazlarda gelen aşağıdaki bağlantı noktalarının açık olması gerekir:
  • Çözümleme amacıyla RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
  • Çözümleme amacıyla NetBIOS (UDP bağlantı noktası 137)

ATA Lightweight Gateway gereksinimleri

Bu bölümde, ATA Lightweight Gateway’in gereksinimleri listelenir.

Genel

ATA Lightweight Gateway, Windows Server 2008 R2 SP1 (Sunucu Çekirdeği dahil değil), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ve Windows Server 2019 çalıştıran bir etki alanı denetleyicisine yüklemeyi destekler (Çekirdek dahil ancak Nano dahil değildir) .

Etki alanı denetleyicisi salt okunur bir etki alanı denetleyicisi (RODC) olabilir.

Windows Server 2012 R2 çalıştıran bir etki alanı denetleyicisine ATA Lightweight Gateway yüklemeden önce şu güncelleştirmenin yüklendiğini onaylayın: KB2919355.

Şu Windows PowerShell cmdlet’ini çalıştırarak bunu denetleyebilirsiniz: [Get-HotFix -Id kb2919355]

Yükleme, Windows Server 2012 R2 Sunucu Çekirdeği içinse şu güncelleştirmenin de yüklü olması gerekir: KB3000850.

Şu Windows PowerShell cmdlet’ini çalıştırarak bunu denetleyebilirsiniz: [Get-HotFix -Id kb3000850]

Yükleme sırasında .Net Framework 4.6.1 yüklenir ve etki alanı denetleyicisinin yeniden başlatılmasına neden olabilir.

Not

En az 5 GB alan gereklidir ve 10 GB önerilir. Buna ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan dahildir.

Sunucu belirtimleri

ATA Lightweight Gateway, etki alanı denetleyicisinde en az 2 çekirdek ve 6 GB RAM kurulu olmasını gerektirir. En iyi performans için, ATA Lightweight Gateway’in Güç SeçeneğiniYüksek Performans olarak ayarlayın. ATA Lightweight Gateway, etki alanı denetleyicilerinden gelen ve giden ağ trafiğinin miktarına ve bu etki alanında kurulu kaynakların miktarına bağlı olarak çeşitli yük ve büyüklükte etki alanı denetleyicilerinde dağıtılabilir.

Dinamik bellek veya başka bir sanal makine bellek yönetimi özelliği hakkında daha fazla bilgi edinmek için bkz. Dinamik bellek.

ATA Lightweight Gateway donanım gereksinimleri hakkında daha fazla bilgi için bkz. ATA kapasite planlaması.

Zaman eşitleme

ATA Center sunucusu, ATA Lightweight Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanları olmalıdır.

Ağ bağdaştırıcıları

ATA Lightweight Gateway etki alanı denetleyicisinin ağ bağdaştırıcılarının hepsindeki yerel trafiği izler.

Dağıtımdan sonra, hangi ağ bağdaştırıcılarının izlendiğini değiştirmek isterseniz ATA Konsolu’nu kullanabilirsiniz.

Not

Lightweight Gateway, Broadcom Ağ Bağdaştırıcısı Grubu Oluşturma etkin Windows 2008 R2 çalıştıran etki alanı denetleyicilerinde desteklenmez.

Bağlantı noktaları

Aşağıdaki tabloda, ATA Lightweight Gateway için gereken minimum bağlantı noktaları listelenir.

Protokol Aktarım Bağlantı noktası Hedef/Kaynak Yön
DNS TCP ve UDP 53 DNS Sunucuları Giden
RPC üzerinden NTLM TCP 135 Ağdaki tüm cihazlar Her İkisi
NetBIOS UDP 137 Ağdaki tüm cihazlar Her İkisi
SSL TCP 443 ATA Center Giden
Syslog (isteğe bağlı) UDP 514 SIEM Sunucusu Gelen
Netlogon (SMB, CIFS, SAM-R) TCP ve UDP 445 Ağdaki tüm cihazlar Giden

Not

ATA Lightweight Gateway tarafından yapılan çözümleme işlemi kapsamında, ATA Lightweight Gateway bileşenlerinden aşağıdaki bağlantı noktaları ağdaki cihazlarda gelen trafik için açılmalıdır.

  • RPC üzerinden NTLM
  • NetBIOS
  • Dizin hizmeti kullanıcı hesabını kullanarak ATA Lightweight Gateway, yanal hareket yolu grafiğini oluşturmak için SAM-R (ağ oturumu açma) kullanan yerel yöneticiler için kuruluşunuzdaki uç noktaları sorgular. Daha fazla bilgi için bkz. SAM-R gerekli izinleri yapılandırma.
  • Ata Gateway'den ağdaki cihazlarda gelen aşağıdaki bağlantı noktalarının açık olması gerekir:
  • Çözümleme amacıyla RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
  • Çözümleme amacıyla NetBIOS (UDP bağlantı noktası 137)

Dinamik bellek

Not

ATA hizmetlerini sanal makine (VM) olarak çalıştırırken hizmet, vm'ye her zaman tüm belleğin ayrılmasını gerektirir.

Üzerinde çalışan VM Description
Hyper-V Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun.
VMware Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarında aşağıdaki seçeneği belirtin : Tüm konuk belleğini ayır (Tümü kilitli).
Diğer sanallaştırma konağı Belleğin vm'ye her zaman tam olarak ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın.

ATA Center’ı sanal makine olarak çalıştırıyorsanız, olası veritabanı bozulmalarını önlemek için yeni bir denetim noktası oluşturmadan önce sunucuyu kapatın.

ATA Konsolu

ATA Konsolu'na tarayıcı üzerinden erişim, tarayıcıları ve ayarları destekler:

  • Internet Explorer sürüm 10 ve üstü

  • Microsoft Edge

  • Google Chrome 40 ve üstü

  • Minimum ekran genişliği çözünürlüğü 1700 piksel

Ayrıca Bkz.