ATA 必要條件
適用于:進階威脅分析 1.9 版
本文說明環境中成功 ATA 部署的需求。
注意
如需如何規劃資源和容量的資訊,請參閱 ATA 容量規劃 。
ATA 是由 ATA 中心、ATA 閘道和/或 ATA 輕量型閘道所組成。 如需 ATA 元件的詳細資訊,請參閱 ATA 架構 。
ATA 系統適用于 Active Directory 樹系界限,並支援 Windows 2003 和更新版本的樹系功能等級(FFL)。
開始 之前:本節列出您應該收集的資訊,以及啟動 ATA 安裝之前,您應該擁有的帳戶和網路實體。
ATA 中心:本節列出 ATA 中心 硬體、軟體需求,以及您在 ATA 中心伺服器上設定所需的設定。
ATA 閘道:本節列出 ATA 閘道 硬體、軟體需求,以及您在 ATA 閘道伺服器上設定所需的設定。
ATA 輕量型閘道:本節列出 ATA 輕量型閘道 硬體及軟體需求。
ATA 主控台 :本節列出執行 ATA 主控台的瀏覽器需求。
在您開始使用 Intune 之前
本節列出您應該收集的資訊,以及啟動 ATA 安裝之前應該擁有的帳戶和網路實體。
具有受監視網域中所有物件的讀取權限的使用者帳戶和密碼。
注意
如果您已在網域中的各種組織單位 (OU) 上設定自訂 ACL,請確定選取的使用者具有這些 OU 的讀取權限。
請勿在 ATA 閘道或輕量型閘道上安裝 Microsoft Message Analyzer。 訊息分析器驅動程式與 ATA 閘道和輕量型閘道驅動程式衝突。 如果您在 ATA 閘道上執行 Wireshark,您必須在停止 Wireshark 擷取之後重新開機 Microsoft Advanced Threat Analytics Gateway 服務。 如果沒有,閘道會停止擷取流量。 在 ATA 輕量型閘道上執行 Wireshark 不會干擾 ATA 輕量型閘道。
建議:使用者應該具有已刪除物件容器的唯讀許可權。 這可讓 ATA 偵測網域中物件的大量刪除。 如需在 Deleted Objects 容器上設定唯讀許可權的相關資訊,請參閱 在目錄物件 上檢視或設定許可權一文中的 變更已刪除物件容器 的許可權一節。
選擇性:沒有網路活動的使用者的使用者帳戶。 此帳戶可設定為 ATA Honeytoken 使用者。 若要將帳戶設定為 Honeytoken 使用者,只需要使用者名稱。 如需 Honeytoken 組態資訊,請參閱 設定 IP 位址排除專案和 Honeytoken 使用者 。
選擇性:除了收集和分析進出網域控制站的網路流量,ATA 還可以使用 Windows 事件 4776、4732、4733、4728、4729、4756 和 4757,進一步增強 ATA 傳遞雜湊、暴力密碼破解、修改敏感性群組和 Honey 權杖偵測。 您可以從 SIEM 接收這些事件,或藉由設定網域控制站的 Windows 事件轉送來接收這些事件。 收集的事件會提供 ATA,並提供無法透過網域控制站網路流量取得的其他資訊。
ATA 中心需求
本節列出 ATA 中心的需求。
一般
ATA 中心支援在執行 Windows Server 2012 R2 Windows Server 2016 和 Windows Server 2019 的伺服器上安裝。
注意
ATA 中心不支援 Windows Server 核心。
ATA 中心可以安裝在屬於網域或工作組成員的伺服器上。
在執行 Windows 2012 R2 的 ATA 中心之前,請先確認已安裝下列更新: KB2919355 。
您可以執行下列 Windows PowerShell Cmdlet 來檢查: [Get-HotFix -Id kb2919355]
。
支援將 ATA 中心安裝為虛擬機器。
伺服器規格
在實體伺服器上工作時,ATA 資料庫必須 停用 BIOS 中的非統一記憶體存取(NUMA)。 您的系統可能會將 NUMA 稱為節點交錯,在此情況下,您必須 啟用 節點交錯才能停用 NUMA。 如需詳細資訊,請參閱 BIOS 檔。
為了獲得最佳效能,請將 ATA 中心的 [電源選項 ] 設定 為 [高效能 ]。
您要監視的網域控制站數目,以及每個網域控制站上的負載會決定所需的伺服器規格。 如需詳細資訊,請參閱 ATA 容量規劃 。
針對 Windows 作業系統 2008R2 和 2012,多重處理器群組 模式不支援 閘道。 如需多處理器群組模式的詳細資訊,請參閱 疑難排解 。
時間同步處理
ATA 中心伺服器、ATA 閘道伺服器和網域控制站必須有時間同步至彼此五分鐘內。
網路介面卡
您應該已設定下列專案:
至少一張網路介面卡(如果在 VLAN 環境中使用實體伺服器,建議使用兩張網路介面卡)
在埠 443 上使用 SSL 加密的 ATA 中心與 ATA 閘道之間的通訊 IP 位址。 (ATA 服務系結至 ATA 中心在埠 443 上擁有的所有 IP 位址。
連接埠
下表列出必須開啟的最小埠,ATA 中心才能正常運作。
通訊協定 | 傳輸 | Port | To/From | 方向 |
---|---|---|---|---|
SSL (ATA 通訊) | TCP | 443 | ATA 閘道 | 傳入 |
HTTP (選擇性) | TCP | 80 | 公司網路 | 傳入 |
HTTPS | TCP | 443 | 公司網路和 ATA 閘道 | 傳入 |
SMTP (選擇性) | TCP | 25 | SMTP 伺服器 | 輸出 |
SMTPS (選擇性) | TCP | 465 | SMTP 伺服器 | 輸出 |
Syslog (選擇性) | TCP/UPS/TLS (可設定) | 514 (預設值) | Syslog 伺服器 | 輸出 |
Ldap | TCP 和 UDP | 389 | 網域控制站 | 輸出 |
LDAPS (選擇性) | TCP | 636 | 網域控制站 | 輸出 |
DNS | TCP 和 UDP | 53 | DNS 伺服器 | 輸出 |
Kerberos (如果已加入網域則為選擇性) | TCP 和 UDP | 88 | 網域控制站 | 輸出 |
Windows Time (如果已加入網域則為選擇性) | UDP | 123 | 網域控制站 | 輸出 |
注意
LDAP 必須測試 ATA 閘道與網域控制站之間要使用的認證。 測試會從 ATA 中心執行到網域控制站,以測試這些認證的有效性,之後 ATA 閘道會使用 LDAP 作為其一般解析程式的一部分。
憑證
若要更快速地安裝和部署 ATA,您可以在安裝期間安裝自我簽署憑證。 如果您選擇使用自我簽署憑證,建議您在初始部署之後,將自我簽署憑證取代為 ATA 中心所要使用的內部憑證授權單位單位憑證。
請確定 ATA 中心和 ATA 閘道可以存取您的 CRL 發佈點。 如果沒有網際網路存取權,請遵循 手動匯入 CRL 的程式,並小心安裝整個鏈結的所有 CRL 發佈點。
憑證必須具有:
- 私密金鑰
- 密碼編譯服務提供者 (CSP) 或金鑰儲存體提供者的提供者類型 (KSP)
- 公開金鑰長度為 2048 位
- 針對 KeyEncipherment 和 ServerAuthentication 使用旗標設定的值
- 「KeyExchange」 的 KeySpec (KeyNumber) 值(AT_KEYEXCHANGE)。 不支援 「Signature」 值 (AT_SIGNATURE)。
- 所有閘道電腦都必須能夠完整驗證並信任選取的中心憑證。
例如,您可以使用標準 Web 服務器 或 電腦 範本。
警告
不支援更新現有憑證的程式。 更新憑證的唯一方法是建立新的憑證,並將 ATA 設定為使用新的憑證。
注意
- 如果您要從其他電腦存取 ATA 主控台,請確定這些電腦信任 ATA 中心所使用的憑證,否則您會收到警告頁面,指出網站的安全性憑證在進入登入頁面之前發生問題。
- 從 ATA 1.8 版開始,ATA 閘道和輕量型閘道會管理自己的憑證,而且不需要系統管理員互動來管理它們。
ATA 閘道需求
本節列出 ATA 閘道的需求。
一般
ATA 閘道支援在執行 Windows Server 2012 R2 或 Windows Server 2016 和 Windows Server 2019 的伺服器上安裝 (包括伺服器核心)。 ATA 閘道可以安裝在屬於網域或工作組成員的伺服器上。 ATA 閘道可用來監視具有 Windows 2003 和更新版本的網域功能等級的網域控制站。
在執行 Windows 2012 R2 的 ATA 閘道之前,請先確認已安裝下列更新: KB2919355 。
您可以執行下列 Windows PowerShell Cmdlet 來檢查: [Get-HotFix -Id kb2919355]
。
如需搭配 ATA 閘道使用虛擬機器的詳細資訊,請參閱 設定埠鏡像 。
注意
至少需要 5 GB 的空間,建議使用 10 GB。 這包括 ATA 二進位檔、ATA 記錄和 效能記錄 所需的空間。
伺服器規格
為了達到最佳效能,請將 ATA 閘道的 [電源選項 ] 設定 為 [高效能 ]。
ATA 閘道可以支援監視多個網域控制站,視來自網域控制站的網路流量量而定。
若要深入瞭解動態記憶體或任何其他虛擬機器記憶體管理功能,請參閱 動態記憶體 。
如需 ATA 閘道硬體需求的詳細資訊,請參閱 ATA 容量規劃 。
時間同步處理
ATA 中心伺服器、ATA 閘道伺服器和網域控制站必須有時間同步至彼此五分鐘內。
網路介面卡
ATA 閘道至少需要一個管理介面卡和至少一個擷取配接器:
管理配接器 - 用於公司網路上的通訊。 此配接器應使用下列設定進行設定:
靜態 IP 位址,包括預設閘道
慣用和替代 DNS 伺服器
此連線 的 DNS 尾碼應該是受監視之每個網域的 DNS 名稱。
注意
如果 ATA 閘道是網域的成員,系統可能會自動設定此設定。
擷取配接器 - 用來擷取來自網域控制站的流量。
重要
- 將擷取介面卡的埠鏡像設定為網域控制站網路流量的目的地。 如需詳細資訊,請參閱 設定埠鏡像 。 一般而言,您必須與網路或虛擬化小組合作,以設定埠鏡像。
- 為沒有預設閘道且沒有 DNS 伺服器位址的環境設定靜態非可路由 IP 位址。 例如,1.1.1.1/32。 這可確保擷取網路介面卡可以擷取流量上限,以及管理網路介面卡用來傳送和接收所需的網路流量。
連接埠
下表列出 ATA 閘道在管理配接器上設定的最低埠:
通訊協定 | 傳輸 | Port | To/From | 方向 |
---|---|---|---|---|
LDAP | TCP 和 UDP | 389 | 網域控制站 | 輸出 |
安全 LDAP (LDAPS) | TCP | 636 | 網域控制站 | 輸出 |
LDAP 至通用類別目錄 | TCP | 3268 | 網域控制站 | 輸出 |
LDAPS 至通用類別目錄 | TCP | 3269 | 網域控制站 | 輸出 |
Kerberos | TCP 和 UDP | 88 | 網域控制站 | 輸出 |
Netlogon (SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 網路上的所有裝置 | 輸出 |
Windows Time | UDP | 123 | 網域控制站 | 輸出 |
DNS | TCP 和 UDP | 53 | DNS 伺服器 | 輸出 |
NTLM over RPC | TCP | 135 | 網路上的所有裝置 | 兩者 |
NetBIOS | UDP | 137 | 網路上的所有裝置 | 兩者 |
SSL | TCP | 443 | ATA 中心 | 輸出 |
Syslog (選擇性) | UDP | 514 | SIEM 伺服器 | 傳入 |
注意
在 ATA 閘道完成的解析程式中,必須從 ATA 閘道開啟網路上裝置上的下列埠輸入。
- NTLM over RPC (TCP 埠 135)
- NetBIOS (UDP 埠 137)
- 使用目錄服務使用者帳戶,ATA 閘道會使用 SAM-R 來查詢您組織中的端點,以取得本機系統管理員的 SAM-R(網路登入),以建置 橫向移動路徑圖表 。 如需詳細資訊,請參閱 設定 SAM-R 必要許可權 。
- 下列埠必須從 ATA 閘道在網路上的裝置上開啟輸入:
- NTLM over RPC (TCP 埠 135) 以進行解析
- NetBIOS (UDP 埠 137) 用於解析用途
ATA 輕量型閘道需求
本節列出 ATA 輕量型閘道的需求。
一般
ATA 輕量型閘道支援在執行 Windows Server 2008 R2 SP1 的網域控制站上安裝(不包括 Server Core)、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019(包括 Core 但非 Nano)。
網域控制站可以是唯讀網域控制站 (RODC)。
在執行 Windows Server 2012 R2 的網域控制站上安裝 ATA 輕量型閘道之前,請先確認已安裝下列更新: KB2919355 。
您可以執行下列 Windows PowerShell Cmdlet 來檢查: [Get-HotFix -Id kb2919355]
如果安裝適用于 Windows Server 2012 R2 Server Core,則也應該安裝下列更新: KB3000850 。
您可以執行下列 Windows PowerShell Cmdlet 來檢查: [Get-HotFix -Id kb3000850]
安裝期間,已安裝 .Net Framework 4.6.1,並可能導致網域控制站重新開機。
注意
至少需要 5 GB 的空間,建議使用 10 GB。 這包括 ATA 二進位檔、ATA 記錄和 效能記錄 所需的空間。
伺服器規格
ATA 輕量型閘道至少需要 2 個核心和 6 GB 的 RAM 安裝在網域控制站上。 為了獲得最佳效能,請將 ATA 輕量型閘道的 [電源選項 ] 設定 為 [高效能 ]。 ATA 輕量型閘道可以部署在各種負載和大小的網域控制站上,視網域控制站的網路流量數量以及該網域控制站上安裝的資源數量而定。
若要深入瞭解動態記憶體或任何其他虛擬機器記憶體管理功能,請參閱 動態記憶體 。
如需 ATA 輕量型閘道硬體需求的詳細資訊,請參閱 ATA 容量規劃 。
時間同步處理
ATA 中心伺服器、ATA 輕量型閘道伺服器和網域控制站必須有時間同步到彼此五分鐘內。
網路介面卡
ATA 輕量型閘道會監視所有網域控制站網路介面卡上的本機流量。
部署之後,如果您想要修改要監視哪些網路介面卡,可以使用 ATA 主控台。
注意
執行 Windows 2008 R2 且已啟用 Broadcom 網路介面卡小組的網域控制站不支援輕量型閘道。
連接埠
下表列出 ATA 輕量型閘道所需的最小埠:
通訊協定 | 傳輸 | Port | To/From | 方向 |
---|---|---|---|---|
DNS | TCP 和 UDP | 53 | DNS 伺服器 | 輸出 |
NTLM over RPC | TCP | 135 | 網路上的所有裝置 | 兩者 |
NetBIOS | UDP | 137 | 網路上的所有裝置 | 兩者 |
SSL | TCP | 443 | ATA 中心 | 輸出 |
Syslog (選擇性) | UDP | 514 | SIEM 伺服器 | 傳入 |
Netlogon (SMB、CIFS、SAM-R) | TCP 和 UDP | 445 | 網路上的所有裝置 | 輸出 |
注意
作為 ATA 輕量型閘道所執行解析程式的一部分,必須從 ATA 輕量型閘道開啟網路上裝置上的下列埠輸入。
- NTLM over RPC
- NetBIOS
- 使用目錄服務使用者帳戶,ATA 輕量型閘道會使用 SAM-R(網路登入)查詢您組織中的端點,以建置 橫向移動路徑圖表 。 如需詳細資訊,請參閱 設定 SAM-R 必要許可權 。
- 下列埠必須從 ATA 閘道在網路上的裝置上開啟輸入:
- NTLM over RPC (TCP 埠 135) 以進行解析
- NetBIOS (UDP 埠 137) 用於解析用途
動態記憶體
注意
以虛擬機器身分執行 ATA 服務時,服務會要求所有記憶體都配置給 VM,所有時間。
執行于 的 VM | 描述 |
---|---|
Hyper-V | 確定 未為 VM 啟用動態記憶體 。 |
VMWare | 請確定設定的記憶體數量和保留的記憶體數量相同,或在 VM 設定中選取下列選項 – 保留所有客體記憶體(全部鎖定)。 |
其他虛擬化主機 | 請參閱廠商提供的檔,瞭解如何確保記憶體隨時完全配置給 VM。 |
如果您以虛擬機器身分執行 ATA 中心,請先關閉伺服器,再建立新的檢查點,以避免潛在的資料庫損毀。
ATA 主控台
ATA 主控台的存取是透過瀏覽器,支援瀏覽器和設定:
Internet Explorer 第 10 版和更新版本
Microsoft Edge
Google Chrome 40 和更新版本
螢幕寬度下限 1700 圖元