ATA-Kapazitätsplanung
Gilt für: Advanced Threat Analytics, Version 1.9
In diesem Artikel erfahren Sie, wie viele ATA-Server zum Überwachen Ihres Netzwerks benötigt werden. Es hilft Ihnen zu schätzen, wie viele ATA-Gateways und/oder ATA Lightweight Gateways Sie benötigen, sowie die Serverkapazität für Ihre ATA Center- und ATA-Gateways.
Hinweis
Das ATA Center kann auf jedem IaaS-Anbieter bereitgestellt werden, solange die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
Verwenden des Größenanpassungstools
Die empfohlene und einfachste Möglichkeit zum Ermitteln der Kapazität Für Ihre ATA-Bereitstellung ist die Verwendung des ATA-Größenanpassungstools. Führen Sie das ATA-Größenanpassungstool aus und verwenden Sie von den Excel-Dateiergebnissen die folgenden Felder, um die ATA-Kapazität zu ermitteln, die Sie benötigen:
ATA Center CPU und Arbeitsspeicher: Stimmen Sie das Feld Beschäftigte Pakete/Sek in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld PACKETS PER SECOND in der ATA Center-Tabelle überein.
ATA Center Speicher: Stimmen Sie das Feld Beschäftigte Pakete/Sek in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld PACKETS PER SECOND in der ATA Center-Tabelle überein.
ATA-Gateway: Stimmen Sie das Feld Beschäftigte Pakete/Sek in der ATA-Gateway-Tabelle der Ergebnisdatei mit dem Feld PACKETS PER SECOND in der ATA-Gatewaytabelle oder der Tabelle ATA Lightweight Gateway überein, je nachdem, welchen Gatewaytyp Sie wählen.
Hinweis
Da verschiedene Umgebungen unterschiedlich sind und mehrere spezielle und unerwartete Netzwerkdatenverkehrsmerkmale aufweisen, müssen Sie nach der ersten Bereitstellung ATA bereitstellen und das Größenanpassungstool ausführen, möglicherweise müssen Sie die Bereitstellung auf Kapazität anpassen und optimieren.
Wenn Sie das ATA-Größenanpassungstool nicht verwenden können, sammeln Sie die Paket/Sek.-Zählerinformationen manuell mit einem niedrigen Sammlungsintervall (ca. 5 Sekunden) aus all Ihren Domänencontrollern für 24 Stunden. Berechnen Sie dann für jeden Domänencontroller den täglichen Durchschnitt und den durchschnittlichsten Zeitraum (15 Minuten). In den folgenden Abschnitten finden Sie Anweisungen zum Sammeln der Pakete/Sek. von einem Domänencontroller.
Hinweis
Da verschiedene Umgebungen unterschiedlich sind und mehrere spezielle und unerwartete Netzwerkdatenverkehrsmerkmale aufweisen, müssen Sie nach der ersten Bereitstellung ATA bereitstellen und das Größenanpassungstool ausführen, möglicherweise müssen Sie die Bereitstellung auf Kapazität anpassen und optimieren.
ATA Center-Größenanpassung
Das ATA Center erfordert mindestens 30 Tage Daten für Benutzerverhaltensanalysen.
| Pakete pro Sekunde von allen DCs | CPU (Kerne*) | Arbeitsspeicher (GB) | Datenbank-Speicherkapazität pro Tag (GB) | Datenbank-Speicherkapazität pro Monat (GB) | IOPS** |
|---|---|---|---|---|---|
| 1.000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1\.800 | 1.000 (1.500) |
| 400.000 | 12 | 96 | 120 | 3.600 | 2.000 (2.500) |
| 750,000 | 24 | 112 | 225 | 6\.750 | 2.500 (3.000) |
| 1,000,000 | 40 | 128 | 300 | 9.000 | 4.000 (5.000) |
*Dies umfasst physische Kerne, nicht hyperthreadierte Kerne.
**Durchschnittliche Zahlen (Spitzenzahlen)
Hinweis
- Das ATA Center kann maximal 1 Mio. Pakete pro Sekunde von allen überwachten Domänencontrollern verarbeiten. In einigen Umgebungen kann dasselbe ATA Center den gesamten Datenverkehr verarbeiten, der höher als 1 Mio. ist, und einige Umgebungen können die ATA-Kapazität überschreiten. Wenden Sie sich unter azureatpfeedback@microsoft.com an uns, um Unterstützung bei der Planung und Schätzung großer Umgebungen zu erhalten.
- Wenn Ihr freier Speicherplatz mindestens 20 % oder 200 GB erreicht, wird die älteste Sammlung von Daten gelöscht. Wenn es nicht möglich ist, die Datensammlung auf diese Ebene erfolgreich zu reduzieren, wird eine Warnung protokolliert. ATA funktioniert weiterhin, bis der Schwellenwert von 5 % oder 50 GB frei erreicht ist. Zu diesem Zeitpunkt wird ATA die Datenbank nicht mehr auffüllen und es wird eine zusätzliche Warnung ausgegeben.
- Sie können das ATA Center auf jedem IaaS-Anbieter bereitstellen, wenn die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
- Die Speicherlatenz für Lese- und Schreibaktivitäten sollte unter 10 ms liegen.
- Das Verhältnis zwischen Lese- und Schreibaktivitäten beträgt etwa 1:3 unter 100.000 Paketen pro Sekunde und 1:6 über 100.000 Pakete pro Sekunde.
- Wenn das Center als virtueller Computer (VM) ausgeführt wird, muss dem Virtuellen Computer der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen von ATA Center als virtueller Computer finden Sie unter ATA Center-Anforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA Center auf Hochleistung fest.
- Wenn Sie auf einem physischen Server arbeiten, muss die ATA-Datenbank den nicht uniformen Speicherzugriff (NON-Uniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System kann auf NUMA als Knoteninterleaving verweisen. In diesem Fall müssen Sie die Knoteninterleaving aktivieren, um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation. Dies ist nicht relevant, wenn das ATA Center auf einem virtuellen Server ausgeführt wird.
Auswählen des richtigen Gatewaytyps für Ihre Bereitstellung
In einer ATA-Bereitstellung wird eine beliebige Kombination der ATA-Gatewaytypen unterstützt:
- Nur ATA-Gateways
- Das ATA Lightweight Gateways
- Eine Kombination aus beidem
Berücksichtigen Sie bei der Entscheidung des Gatewaybereitstellungstyps die folgenden Vorteile:
| Gatewaytyp | Vorteile | „Cost“ (Kosten) | Bereitstellungstopologie | Domänencontroller-Nutzung |
|---|---|---|---|---|
| ATA Gateway | Die Out-of-Band-Bereitstellung erschwert Angreifern, zu entdecken, dass ATA vorhanden ist | Höher | Zusammen mit dem Domänencontroller (außerhalb des Bandes) installiert | Unterstützt bis zu 50.000 Pakete pro Sekunde |
| ATA Lightweight Gateway | Erfordert keine dedizierte Server- und Port-Spiegelungs-Konfiguration | Niedriger | Installiert auf dem Domänencontroller | Unterstützt bis zu 10.000 Pakete pro Sekunde |
Im Folgenden finden Sie Beispiele für Szenarien, in denen Domänencontroller vom ATA Lightweight Gateway abgedeckt werden sollten:
Verzweigungs-Seiten
Virtuelle Domänencontroller, die in der Cloud (IaaS) bereitgestellt werden
Im Folgenden finden Sie Beispiele für Szenarien, in denen Domänencontroller vom ATA Gateway abgedeckt werden sollten:
- Zentrale Rechenzentren (mit Domänencontrollern mit mehr als 10.000 Paketen pro Sekunden)
ATA Lightweight Gateway-Größenanpassung
Ein ATA Lightweight Gateway kann die Überwachung eines Domänencontrollers basierend auf der Menge des Netzwerkdatenverkehrs von unterstützen Domänencontrollern generiert wird.
| Pakete pro Sekunde | CPU (Kerne**) | Arbeitsspeicher (GB)*** |
|---|---|---|
| 1.000 | 2 | 6 |
| 5\.000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Die Gesamtanzahl der Pakete pro Sekunde auf dem Domänencontroller, der vom spezifischen ATA Lightweight Gateway überwacht wird.
**Die Gesamtzahl der nicht hyperthreadigen Kerne, die auf diesem Domänencontroller installiert sind.
Während Hyperthreading für das ATA Lightweight Gateway akzeptabel ist, sollten Sie bei der Planung der Kapazität tatsächliche Kerne und nicht hyperthreadierte Kerne zählen.
***Gesamtmenge des Arbeitsspeichers, der auf diesem Domänencontroller installiert ist.
Hinweis
- Wenn der Domänencontroller nicht über die Ressourcen verfügt, die vom ATA Lightweight Gateway benötigt werden, ist dies nicht betroffen Standard die Controllerleistung ist nicht betroffen, aber das ATA Lightweight Gateway funktioniert möglicherweise nicht wie erwartet.
- Wenn sie das Gateway als virtueller Computer (VM) ausführen, muss dem Gateway der vm der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Dynamische Speicheranforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA Lightweight Gateway auf Hochleistung fest.
- Mindestens 5 GB Speicherplatz sind erforderlich und es werden 10 GB empfohlen, einschließlich Speicherplatzbedarf für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
ATA Gateway-Größenanpassung
Berücksichtigen Sie die folgenden Probleme bei der Entscheidung, wie viele ATA-Gateways bereitgestellt werden sollen.
- Active Directory-Gesamtstruktur und Domänen
ATA kann Datenverkehr von mehreren Domänen aus einer einzigen Active Directory-Gesamtstruktur überwachen. Für die Überwachung mehrerer Active Directory-Gesamtstrukturen sind separate ATA-Bereitstellungen erforderlich. Konfigurieren Sie nicht eine einzelne ATA-Bereitstellung, um den Netzwerkdatenverkehr von Domänencontrollern aus verschiedenen Gesamtstrukturen zu überwachen. - Portspiegelung
Port-Spiegelung erfordert möglicherweise die Bereitstellung mehrerer ATA-Gateways pro Datengateway oder Zweigstellenstandort. - Kapazität
Ein ATA-Gateway kann die Überwachung mehrerer Domänencontroller unterstützen, je nachdem, wie viel Netzwerkdatenverkehr der Domänencontroller überwacht wird.
| Pakete pro Sekunde | CPU (Kerne**) | Arbeitsspeicher (GB) |
|---|---|---|
| 1.000 | 1 | 6 |
| 5\.000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Die durchschnittliche Anzahl von Paketen pro Sekunde von allen Domänencontrollern, die von dem spezifischen ATA-Gateway während der meisten Tagesstunden überwacht werden.
*Die Gesamtmenge des Port-gespiegelten Datenverkehrs vom Domänencontroller kann die Kapazität der Aufnahme-NIC auf dem ATA-Gateway nicht überschreiten.
**Hyperthreading muss deaktiviert sein.
Hinweis
- Wenn sie das Gateway als virtueller Computer (VM) ausführen, muss dem Gateway der vm der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Dynamische Speicheranforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA Gateway auf Hochleistung fest.
- Mindestens 5 GB Speicherplatz sind erforderlich und es werden 10 GB empfohlen, einschließlich Speicherplatzbedarf für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.