Plánování kapacity ATA
Platí pro: Advanced Threat Analytics verze 1.9
Tento článek vám pomůže určit, kolik serverů ATA je potřeba k monitorování sítě. Pomáhá odhadnout, kolik ATA Gateway a/nebo ATA Lightweight Gateway potřebujete, a kapacitu serveru pro komponenty ATA Center a ATA Gateway.
Poznámka:
ATA Center je možné nasadit na libovolného dodavatele IaaS, pokud jsou splněny požadavky na výkon popsané v tomto článku.
Použití nástroje pro změnu velikosti
Doporučeným a nejjednodušším způsobem, jak určit kapacitu nasazení ATA, je použít nástroj PRO změnu velikosti ATA. Spusťte nástroj PRO změnu velikosti ATA a ve výsledcích excelového souboru pomocí následujících polí určete kapacitu ATA, kterou potřebujete:
Procesor a paměť ATA Center: Porovná pole Zaneprázdněné pakety za sekundu v souboru výsledků tabulky ATA Center s polem PACKETS PER SECOND v tabulce ATA Center.
Úložiště ATA Center: Porovná pole Avg Packets/s v souboru výsledků tabulky ATA Center s polem PACKETS PER SECOND v tabulce ATA Center.
ATA Gateway: Porovná pole Zaneprázdněné pakety/s v tabulce ATA Gateway ve výsledném souboru s polem PACKETS PER SECOND v tabulce ATA Gateway nebo v tabulce ATA Lightweight Gateway v závislosti na zvoleném typu brány.
Poznámka:
Vzhledem k tomu, že se různá prostředí liší a mají několik zvláštních a neočekávaných charakteristik síťového provozu, bude možná potřeba po počátečním nasazení ATA a spuštění nástroje pro změnu velikosti upravit a doladit nasazení kapacity.
Pokud nemůžete použít nástroj PRO změnu velikosti ATA, ručně shromážděte informace o čítači paketů za sekundu s nízkým intervalem shromažďování (přibližně 5 sekund) ze všech řadičů domény po dobu 24 hodin. Pak pro každý řadič domény vypočítejte denní průměr a nejužší období (15 minut). Následující části obsahují pokyny, jak shromažďovat čítač paketů za sekundu z jednoho řadiče domény.
Poznámka:
Vzhledem k tomu, že se různá prostředí liší a mají několik zvláštních a neočekávaných charakteristik síťového provozu, bude možná potřeba po počátečním nasazení ATA a spuštění nástroje pro změnu velikosti upravit a doladit nasazení kapacity.
Změna velikosti ATA Center
ATA Center vyžaduje doporučená data minimálně 30 dnů pro analýzu chování uživatelů.
| Pakety za sekundu ze všech řadičů domény | Procesor (jádra*) | Paměť (GB) | Úložiště databáze za den (GB) | Úložiště databáze za měsíc (GB) | IOPS** |
|---|---|---|---|---|---|
| 1 000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40 000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200 000 | 8 | 64 | 60 | 1 800 | 1,000 (1,500) |
| 400 000 | 12 | 96 | 120 | 3 600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1 000 000 | 40 | 128 | 300 | 9 000 | 4,000 (5,000) |
*To zahrnuje fyzická jádra, ne jádra s hyper-vlákny.
**Průměrná čísla (čísla ve špičce)
Poznámka:
- ATA Center dokáže zpracovat agregované maximálně 1M pakety za sekundu ze všech monitorovaných řadičů domény. V některých prostředích může stejný ATA Center zpracovávat celkový provoz, který je vyšší než 1M, a některá prostředí můžou překročit kapacitu ATA. Požádejte nás azureatpfeedback@microsoft.com o pomoc s plánováním a odhadem velkých prostředí.
- Pokud volné místo dosáhne minimálně 20 % nebo 200 GB, odstraní se nejstarší kolekce dat. Pokud není možné úspěšně snížit shromažďování dat na tuto úroveň, zaprotokoluje se upozornění. ATA bude fungovat až do dosažení prahové hodnoty 5 % nebo 50 GB volného místa. V tuto chvíli ATA zastaví naplnění databáze a vydá se další výstraha.
- ATA Center můžete nasadit u libovolného dodavatele IaaS, pokud jsou splněné požadavky na výkon popsané v tomto článku.
- Latence úložiště pro aktivity čtení a zápisu by měla být nižší než 10 ms.
- Poměr mezi aktivitami čtení a zápisu je přibližně 1:3 nižší než 100 000 paketů za sekundu a 1:6 nad 100 000 paketů za sekundu.
- Při spuštění Centra jako virtuálního počítače vyžaduje Centrum přidělení veškeré paměti virtuálnímu počítači po celou dobu. Další informace o spuštění ATA Center jako virtuálního počítače najdete v požadavcích ATA Center.
- Pokud chcete dosáhnout optimálního výkonu , nastavte možnost napájení ATA Center na vysoký výkon.
- Při práci na fyzickém serveru potřebuje databáze ATA zakázat ne uniformní přístup k paměti (NUMA) v systému BIOS. Váš systém může odkazovat na NUMA jako prokládání uzlů, v takovém případě musíte povolit prokládání uzlů, aby bylo možné NUMA zakázat. Další informace najdete v dokumentaci k systému BIOS. To není relevantní, když ATA Center běží na virtuálním serveru.
Výběr správného typu brány pro vaše nasazení
V nasazení ATA se podporuje jakákoli kombinace typů ATA Gateway:
- Pouze komponenty ATA Gateway
- Pouze komponenty ATA Lightweight Gateway
- Kombinace obou
Při rozhodování o typu nasazení brány zvažte následující výhody:
| Typ brány | Zaměstnanecké výhody | Náklady | Topologie nasazení | Použití řadiče domény |
|---|---|---|---|---|
| ATA Gateway | Nasazení mimo pásmo znesnadňuje útočníkům zjistit, že ATA existuje. | Vyšší | Nainstalované spolu s řadičem domény (mimo pásmo) | Podporuje až 50 000 paketů za sekundu. |
| ATA Lightweight Gateway | Nevyžaduje vyhrazenou konfiguraci serveru a zrcadlení portů. | Lower | Nainstalováno v řadiči domény | Podporuje až 10 000 paketů za sekundu. |
Tady jsou příklady scénářů, ve kterých by řadiče domény měly být pokryty ATA Lightweight Gateway:
Pobočky
Virtuální řadiče domény nasazené v cloudu (IaaS)
Tady jsou příklady scénářů, ve kterých by řadiče domény měly být pokryty ATA Gateway:
- Datacentra headquarter (s řadiči domény s více než 10 000 pakety za sekundu)
Změna velikosti ATA Lightweight Gateway
ATA Lightweight Gateway může podporovat monitorování jednoho řadiče domény na základě objemu síťového provozu, který řadič domény generuje.
| Pakety za sekundu* | Procesor (jádra**) | Paměť (GB)** |
|---|---|---|
| 1 000 | 2 | 6 |
| 5 000 | 6 | 16 |
| 10 000 | 10 | 24 |
*Celkový počet paketů za sekundu na řadiči domény monitorovaný konkrétní komponentou ATA Lightweight Gateway.
**Celkový počet jader bez hyperprocesů, které tento řadič domény nainstaloval.
I když je hyperprocesing pro ATA Lightweight Gateway přijatelný, při plánování kapacity byste měli spočítat skutečná jádra a ne hypervláknová jádra.
Celková velikost paměti, kterou tento řadič domény nainstaloval.
Poznámka:
- Pokud řadič domény nemá prostředky vyžadované ATA Lightweight Gateway, výkon řadiče domény není ovlivněný, ale ATA Lightweight Gateway nemusí fungovat podle očekávání.
- Když bránu spustíte jako virtuální počítač, brána vyžaduje přidělení veškeré paměti virtuálnímu počítači po celou dobu. Další informace o spuštění ATA Gateway jako virtuálního počítače najdete v tématu Požadavky na dynamickou paměť.
- Pro zajištění optimálního výkonu nastavte možnost napájení ATA Lightweight Gateway na vysoký výkon.
- Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB, včetně místa potřebného pro binární soubory ATA, protokoly ATA a protokoly výkonu.
Určení velikosti ATA Gateway
Při rozhodování o tom, kolik komponent ATA Gateway nasadíte, zvažte následující problémy.
- Doménové struktury a domény služby Active Directory
ATA může monitorovat provoz z více domén z jedné doménové struktury služby Active Directory. Monitorování více doménových struktur služby Active Directory vyžaduje samostatná nasazení ATA. Nenakonfigurujte jedno nasazení ATA pro monitorování síťového provozu řadičů domény z různých doménových struktur. - Zrcadlení portů
Aspekty zrcadlení portů můžou vyžadovat nasazení více ATA Gateway na bránu dat nebo pobočku. - Kapacita
ATA Gateway může podporovat monitorování více řadičů domény v závislosti na množství síťového provozu monitorovaných řadičů domény.
| Pakety za sekundu* | Procesor (jádra**) | Paměť (GB) |
|---|---|---|
| 1 000 | 1 | 6 |
| 5 000 | 2 | 10 |
| 10 000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50 000 | 16 | 48 |
*Celkový průměrný počet paketů za sekundu ze všech řadičů domény monitorovaných konkrétní komponentou ATA Gateway během jejich nejrušnější hodiny dne.
*Celkový objem přenosů zrcadlených portů řadiče domény nesmí překročit kapacitu síťové karty pro zachytávání v ATA Gateway.
**Hyper-threading musí být zakázán.
Poznámka:
- Když bránu spustíte jako virtuální počítač, brána vyžaduje přidělení veškeré paměti virtuálnímu počítači po celou dobu. Další informace o spouštění ATA Gateway jako virtuálního počítače najdete v tématu Požadavky na dynamickou paměť.
- Pokud chcete dosáhnout optimálního výkonu , nastavte možnost napájení ATA Gateway na vysoký výkon.
- Vyžaduje se minimálně 5 GB místa a doporučuje se 10 GB, včetně místa potřebného pro binární soubory ATA, protokoly ATA a protokoly výkonu.