ATA-Voraussetzungen
Gilt für: Advanced Threat Analytics, Version 1.9
In diesem Artikel werden die Voraussetzungen für eine erfolgreiche Bereitstellung von ATA in Ihrer Umgebung beschrieben.
Hinweis
Informationen zum Planen von Ressourcen und Kapazitäten finden Sie unter ATA-Kapazitätsplanung.
ATA besteht aus dem ATA Center, dem ATA-Gateway und/oder dem ATA Lightweight Gateway. Weitere Informationen zu den Komponenten dieser Architektur finden Sie in den folgenden Artikeln:
Das ATA-System funktioniert auf der Grenze der Active Directory-Gesamtstruktur und unterstützt die Gesamtstrukturfunktionsebene (FFL) von Windows 2003 und höher.
Bevor Sie beginnen: In diesem Abschnitt werden Informationen aufgeführt, die Sie sammeln sollten, und Konten und Netzwerkentitäten, die Sie haben sollten, bevor Sie die ATA-Installation starten.
ATA Center: In diesem Abschnitt werden ATA Center-Hardware, Softwareanforderungen sowie Einstellungen aufgeführt, die Sie auf Ihrem ATA Center-Server konfigurieren müssen.
ATA-Gateway: In diesem Abschnitt werden die Hardware- und Softwareanforderungen für ATA-Gateway sowie Einstellungen aufgeführt, die Sie auf Ihren ATA-Gatewayservern konfigurieren müssen.
ATA Lightweight Gateway: In diesem Abschnitt werden die Hardware- und Softwareanforderungen für ATA Lightweight Gateway aufgeführt.
ATA-Konsole: In diesem Abschnitt werden Browseranforderungen für die Ausführung der ATA-Konsole aufgeführt.
Vorbereitung
Dieser Abschnitt enthält Informationen, die Sie erfassen sollten, sowie Informationen zu Konten und Netzwerk-Entitäten, die vor der Installation von ATA vorhanden sein sollten.
Benutzerkonto und Kennwort mit Lesezugriff auf alle Objekte der überwachten Domänen.
Hinweis
Wenn Sie benutzerdefinierte ACLs für verschiedene Organisationseinheiten (OU) in Ihrer Domäne festgelegt haben, stellen Sie sicher, dass der ausgewählte Benutzer über Leseberechtigungen für diese Organisationseinheiten verfügt.
Installieren Sie Microsoft Message Analyzer nicht auf einem ATA-Gateway oder einem Lightweight-Gateway. Der Message Analyzer-Treiber steht im Konflikt mit den ATA-Gateway- und Lightweight-Gateway-Treibern. Wenn Sie Wireshark auf dem ATA-Gateway ausführen, müssen Sie den Microsoft Advanced Threat Analytics Gateway-Dienst neu starten, nachdem Sie die Wireshark-Erfassung beendet haben. Wenn nicht, beendet das Gateway die Erfassung des Datenverkehrs. Das Ausführen von Wireshark auf einem ATA Lightweight Gateway beeinträchtigt das ATA Lightweight Gateway nicht.
Empfohlen: Der Benutzer sollte über schreibgeschützte Berechtigungen für den Container "Gelöschte Objekte" verfügen. Dadurch kann ATA Massenlöschvorgänge von Objekten in der Aufgabe erkennen Standard. Informationen zum Konfigurieren von schreibgeschützten Berechtigungen für den Container für gelöschte Objekte finden Sie unter Ändern von Berechtigungen für einen gelöschten Objektcontainer in Berechtigungen für ein Verzeichnisobjekt anzeigen oder festlegen.
Optional: Ein Benutzerkonto eines Benutzers ohne Netzwerkaktivitäten. Dieses Konto kann als ATA Honeytoken-Benutzer konfiguriert werden. Um ein Konto als Honeytoken-Benutzer zu konfigurieren, ist nur der Benutzername erforderlich. Informationen zur Honeytoken-Konfiguration finden Sie unter Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzern.
Optional: Neben dem Sammeln und Analysieren von Netzwerkdatenverkehr zu und von den Aufgaben Standard Controllern kann ATA Windows-Ereignisse 4776, 4732, 4733, 4728, 4729, 4756 und 4757 verwenden, um die Erkennung von Pass-the-Hash, Brute Force, Änderungen an vertraulichen Gruppen sowie Honey Tokens weiter zu verbessern. Diese Ereignisse können von Ihrem SIEM empfangen werden, oder indem Sie die Windows-Ereignisweiterleitung von Ihrem Domänencontroller festlegen. Die erfassten Ereignisse bieten ATA zusätzliche Informationen, die über den Netzwerkdatenverkehr des Domänencontrollers nicht verfügbar sind.
ATA Center-Anforderungen
In diesem Abschnitt werden die Anforderungen für das ATA Center aufgeführt.
Allgemein
Das ATA Center unterstützt die Installation auf einem Server unter Windows Server 2012 R2 Windows Server 2016 und Windows Server 2019.
Hinweis
Das ATA Center unterstützt Windows Server Core nicht.
Das ATA Center kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist.
Vergewissern Sie sich vor der Installation von ATA Center unter Windows 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Dies können Sie überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355]
Die Installation des ATA Center als virtueller Computer wird unterstützt.
Serverspezifikationen
Wenn Sie auf einem physischen Server arbeiten, muss die ATA-Datenbank den nicht uniformen Speicherzugriff (NON-Uniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System kann auf NUMA als Knoteninterleaving verweisen. In diesem Fall müssen Sie die Knoteninterleaving aktivieren, um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation.
Legen Sie für eine optimale Leistung die Power-Option des ATA Center auf Hochleistung fest.
Die Anzahl der Domänencontroller, die Sie überwachen, und die Last auf jedem der Domänencontroller diktieren die erforderlichen Serverspezifikationen. Weitere Informationen finden Sie unter ATA-Kapazitätsplanung.
Unter den Windows-Betriebssystemen 2008R2 und 2012 wird Gateway im Modus Mehrere Prozessorgruppen nicht unterstützt. Weitere Informationen zum Gruppenmodus mit mehreren Prozessoren finden Sie unter Problembehandlung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA-Gatewayserver und die Domänencontroller müssen innerhalb von fünf Minuten nacheinander synchronisiert werden.
Netzwerkadapter
Jetzt sollte der folgende Satz angezeigt werden:
Mindestens ein Netzwerkadapter (bei Verwendung eines physischen Servers in DER VLAN-Umgebung wird empfohlen, zwei Netzwerkadapter zu verwenden)
Eine IP-Adresse für die Kommunikation zwischen dem ATA Center und dem ATA-Gateway, das mit SSL am Port 443 verschlüsselt ist. (Der ATA-Dienst bindet an alle IP-Adressen, die das ATA Center an Port 443 hat.)
Ports
In der folgenden Tabelle sind die Ports aufgeführt, die mindestens geöffnet werden müssen, damit das ATA Center ordnungsgemäß funktioniert.
| Protokoll | Transport | Port | Von/In | Direction |
|---|---|---|---|---|
| SSL (ATA-Kommunikation) | TCP | 443 | ATA Gateway | Eingehend |
| HTTP (optional) | TCP | 80 | Unternehmensnetzwerk | Eingehend |
| HTTPS | TCP | 443 | Unternehmensnetzwerk und ATA Gateway | Eingehend |
| SMTP (optional) | TCP | 25 | SMTP-Server | Ausgehend |
| SMTPS (optional) | TCP | 465 | SMTP-Server | Ausgehend |
| Syslog (optional) | TCP/UPS/TLS (konfigurierbar) | 514 (Standard) | Syslog-Server | Ausgehend |
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| LDAPS (optional) | TCP | 636 | Domänencontroller | Ausgehend |
| DNS | TCP und UDP | 53 | DNS-Server | Ausgehend |
| Kerberos (optional, falls in in Domäne eingebunden) | TCP und UDP | 88 | Domänencontroller | Ausgehend |
| Windows Time (optional, falls in Domäne eingebunden) | UDP | 123 | Domänencontroller | Ausgehend |
Hinweis
LDAP ist erforderlich, um die Anmeldeinformationen zu testen, die zwischen den ATA-Gateways und den Domänencontrollern verwendet werden sollen. Der Test wird vom ATA Center zu einem Domänencontroller durchgeführt , um die Gültigkeit dieser Anmeldeinformationen zu testen, danach verwendet das ATA-Gateway LDAP als Teil seines normalen Auflösungsprozesses.
Zertifikate
Um ATA schneller zu installieren und bereitzustellen, können Sie selbstsignierte Zertifikate während der Installation installieren. Wenn Sie sich für die Verwendung von selbstsignierten Zertifikaten entschieden haben, empfiehlt es sich, nach der Erstbereitstellung selbstsignierte Zertifikate durch Zertifikate von einer internen Zertifizierungsstelle zu ersetzen, die vom ATA Center verwendet werden soll.
Stellen Sie sicher, dass die ATA Center- und ATA-Gateways Zugriff auf Ihren CRL-Verteilungspunkt haben. Wenn sie keinen Internetzugriff haben, führen Sie das Verfahren aus, um eine CRL manuell zu importieren und dabei alle CRL-Verteilungspunkte für die gesamte Kette zu installieren.
Das Zertifikat muss Folgendes aufweisen:
- Ein privater Schlüssel
- Ein Anbietertyp des Kryptografiedienstanbieters (CSP) oder des Schlüsselspeicheranbieters (Key Storage Provider, KSP)
- Ein öffentlicher Schlüssel mit einer Länge von 2048 Bit
- Ein Wertsatz für KeyEncipherment- und ServerAuthentication-Verwendungskennzeichnungen
- KeySpec (KeyNumber)-Wert von "KeyExchange" (AT_KEYEXCHANGE). Der Wert "Signature" (AT_SIGNATURE) wird nicht unterstützt.
- Alle Gatewaycomputer müssen in der Lage sein, das ausgewählte Center-Zertifikat vollständig zu überprüfen und zu vertrauen.
Sie können z. B. die standardmäßigen Webserver oder Computervorlagen verwenden.
Warnung
Der Vorgang zum Verlängern eines vorhandenen Zertifikats wird nicht unterstützt. Die einzige Möglichkeit zum Verlängern eines Zertifikats besteht darin, ein neues Zertifikat zu erstellen und ATA für die Verwendung des neuen Zertifikats zu konfigurieren.
Hinweis
- Wenn Sie von anderen Computern aus auf die ATA-Konsole zugreifen möchten, stellen Sie sicher, dass diese Computer dem von ATA Center verwendeten Zertifikat vertrauen, andernfalls erhalten Sie eine Warnseite, dass ein Problem mit dem Sicherheitszertifikat der Website vorliegt, bevor Sie zur Anmeldeseite gelangen.
- Ab ATA Version 1.8 verwalten die ATA-Gateways und Lightweight-Gateways ihre eigenen Zertifikate und benötigen keine Administratorinteraktion, um sie zu verwalten.
VPN Gateway-Anforderungen
In diesem Abschnitt werden die Anforderungen für das ATA-Gateway aufgeführt.
Allgemein
Das ATA Gateway unterstützt die Installation auf einem Server unter Windows Server 2012 R2, Windows Server 2016 und Windows Server 2019 (einschließlich Server Core). Das ATA-Gateway kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist. Das ATA-Gateway kann zur Überwachung von Domänencontrollern mit der Domänenfunktionsebene Windows 2003 und höher verwendet werden.
Vergewissern Sie sich vor der Installation des ATA-Gateways unter Windows 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Dies können Sie überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355]
Informationen zur Verwendung von virtuellen Computern mit dem ATA-Gateway finden Sie unter Konfigurieren der Portspiegelung.
Hinweis
Mindestens 5 GB Speicherplatz auf dem Datenträger wird benötigt, 10 GB werden empfohlen. Dies umfasst Speicherplatz für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
Serverspezifikationen
Legen Sie für eine optimale Leistung die Power-Option des ATA Gateway auf Hochleistung fest.
Ein ATA-Gateway kann die Überwachung mehrerer Domänencontroller unterstützen, je nachdem, wie viel Netzwerkdatenverkehr der Domänencontroller überwacht wird.
Weitere Informationen zum dynamischen Speicher oder einem anderen Feature für die Speicherverwaltung virtueller Computer finden Sie unter Dynamischen Arbeitsspeicher.
Weitere Informationen zu den Hardwareanforderungen des ATA-Gateways finden Sie in der ATA-Kapazitätsplanung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA-Gatewayserver und die Domänencontroller müssen innerhalb von fünf Minuten nacheinander synchronisiert werden.
Netzwerkadapter
Das ATA-Gateway erfordert mindestens einen Verwaltungsadapter und mindestens einen Aufnahmeadapter:
Verwaltungsadapter – wird für die Kommunikation in Ihrem Unternehmensnetzwerk verwendet. Dieser Adapter sollte mit den folgenden Einstellungen konfiguriert werden:
Statische IP-Adresse einschließlich Standardgateway
Bevorzugte und alternative DNS-Server
Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Domäne sein für jede Domäne, die überwacht wird.
Hinweis
Wenn das ATA-Gateway Mitglied der Domäne ist, kann dies automatisch konfiguriert werden.
Aufnahmeadapter – wird verwendet, um Datenverkehr zu und von den Domänencontrollern zu erfassen.
Wichtig
- Konfigurieren Sie die Portspiegelung für den Aufnahmeadapter als Ziel des Domänencontroller-Netzwerkdatenverkehrs. Weitere Informationen finden Sie unter Portspiegelung konfigurieren. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam arbeiten, um Portspiegelung zu konfigurieren.
- Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse für Ihre Umgebung ohne Standardgateway und keine DNS-Serveradressen. Zum Beispiel 1.1.1.1/32. Dadurch wird sichergestellt, dass der Aufnahmenetzwerkadapter die maximale Datenverkehrsmenge erfassen kann und dass der Verwaltungsnetzwerkadapter verwendet wird, um den erforderlichen Netzwerkdatenverkehr zu senden und zu empfangen.
Ports
In der folgenden Tabelle werden die Ports aufgeführt, die für den Verwaltungsadapter des ATA-Gateways mindestens konfiguriert werden müssen:
| Protokoll | Transport | Port | Von/In | Direction |
|---|---|---|---|---|
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Sicheres LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
| Kerberos | TCP und UDP | 88 | Domänencontroller | Ausgehend |
| Netlogon (SMB, CIFS, SAM-R) | TCP und UDP | 445 | Alle Geräte im Netzwerk | Ausgehend |
| Windows-Zeitdienst | UDP | 123 | Domänencontroller | Ausgehend |
| Domain Name System | TCP und UDP | 53 | DNS-Server | Ausgehend |
| NTLM über RPC | TCP | 135 | Alle Geräte im Netzwerk | Beides |
| NetBIOS | UDP | 137 | Alle Geräte im Netzwerk | Beides |
| SSL | TCP | 443 | ATA Center | Ausgehend |
| Syslog (optional) | UDP | 514 | SIEM-Server | Eingehend |
Hinweis
Im Rahmen des vom ATA-Gateway durchgeführten Lösungsprozesses müssen die folgenden Ports auf Geräten im Netzwerk von den ATA-Gateways geöffnet sein.
- NTLM über RPC (TCP-Port 135)
- NetBIOS (UDP-Port 137)
- Mithilfe des Verzeichnisdienst-Benutzerkontos fragt das ATA-Gateway Endpunkte in Ihrer Organisation für lokale Administratoren mithilfe von SAM-R (Netzwerkanmeldung) ab, um das Laterale Beweungspfad-Diagramm zu erstellen. Weitere Informationen findest du unter Konfigurieren von Berechtigungen, die für SAM-R erforderlich sind.
- Die folgenden Ports müssen auf Geräten im Netzwerk über das ATA-Gateway geöffnet sein:
- NTLM über RPC (TCP-Port 135) für Lösungszwecke
- NetBIOS (UDP-Port 137) für Lösungszwecke
ATA Lightweight Gateway-Anforderungen
In diesem Abschnitt werden die Anforderungen für das ATA Lightweight Gateway aufgeführt.
Allgemein
Das ATA Lightweight Gateway unterstützt die Installation auf einem Domänencontroller unter Windows Server 2008 R2 SP1 (nicht einschließlich Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 und Windows Server 2019 (einschließlich Core, aber nicht Nano).
Soll der Domänencontroller ein schreibgeschützter Domänencontroller (RODC) sein?
Vergewissern Sie sich vor der Installation des ATA Lightweight Gateways auf einem Domänencontroller unter Windows Server 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Dies können Sie überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355]
Wenn die Installation für Windows Server 2012 R2 Server Core ist, sollte auch das folgende Update installiert werden: KB3000850.
Dies können Sie überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb3000850]
Während der Installation wird .Net Framework 4.6.1 installiert und kann zu einem Neustart des Domänencontrollers führen.
Hinweis
Mindestens 5 GB Speicherplatz auf dem Datenträger wird benötigt, 10 GB werden empfohlen. Dies umfasst Speicherplatz für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
Serverspezifikationen
Das ATA-Gateway erfordert mindestens 2 Kerne und 6 GB RAM, die auf dem Domänencontroller installiert sind. Legen Sie für eine optimale Leistung die Power-Option des ATA Lightweight Gateway auf Hochleistung fest. Das ATA Lightweight Gateway kann auf Domänencontrollern unterschiedlicher Lasten und Größen bereitgestellt werden, je nachdem, wie viel Netzwerkdatenverkehr zu und von den Domänencontrollern und der Menge der auf diesem Domänencontroller installierten Ressourcen erfolgt.
Weitere Informationen zum dynamischen Speicher oder einem anderen Feature für die Speicherverwaltung virtueller Computer finden Sie unter Dynamischen Arbeitsspeicher.
Weitere Informationen zu den Hardwareanforderungen des ATA-Lightweight Gateways finden Sie in der ATA-Kapazitätsplanung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA Lightweight-Gatewayserver und die Domänencontroller müssen innerhalb von fünf Minuten nacheinander synchronisiert werden.
Netzwerkadapter
Beachten Sie, dass der ATA Lightweight Gateway den lokalen Datenverkehr auf allen Netzwerkadaptern der Domänencontroller überwacht.
Nach der Bereitstellung können Sie die ATA-Konsole verwenden, wenn Sie jemals ändern möchten, welche Netzwerkadapter überwacht werden.
Hinweis
Das Lightweight-Gateway wird auf Domänencontrollern unter Windows 2008 R2 mit aktivierter Broadcom-Netzwerkadapterteamerstellung nicht unterstützt.
Ports
In der folgenden Tabelle sind die Mindestports aufgeführt, die für das ATA Lightweight Gateway erforderlich sind:
| Protokoll | Transport | Port | Von/In | Direction |
|---|---|---|---|---|
| Domain Name System | TCP und UDP | 53 | DNS-Server | Ausgehend |
| NTLM über RPC | TCP | 135 | Alle Geräte im Netzwerk | Beides |
| NetBIOS | UDP | 137 | Alle Geräte im Netzwerk | Beides |
| SSL | TCP | 443 | ATA Center | Ausgehend |
| Syslog (optional) | UDP | 514 | SIEM-Server | Eingehend |
| Netlogon (SMB, CIFS, SAM-R) | TCP und UDP | 445 | Alle Geräte im Netzwerk | Ausgehend |
Hinweis
Im Rahmen des Vom ATA Lightweight Gateway durchgeführten Lösungsprozesses müssen die folgenden Ports auf Geräten im Netzwerk von den ATA Lightweight Gateways geöffnet sein.
- NTLM über RPC
- NetBIOS
- Mithilfe des Verzeichnisdienst-Benutzerkontos fragt das ATALightweight-Gateway Endpunkte in Ihrer Organisation für lokale Administratoren mithilfe von SAM-R (Netzwerkanmeldung) ab, um das Laterale Beweungspfad-Diagramm zu erstellen. Weitere Informationen findest du unter Konfigurieren von Berechtigungen, die für SAM-R erforderlich sind.
- Die folgenden Ports müssen auf Geräten im Netzwerk über das ATA-Gateway geöffnet sein:
- NTLM über RPC (TCP-Port 135) für Lösungszwecke
- NetBIOS (UDP-Port 137) für Lösungszwecke
Dynamischer Arbeitsspeicher
Hinweis
Wenn ATA-Dienste als virtueller Computer (VM) ausgeführt werden, muss der Dienst den gesamten Arbeitsspeicher der VM zuweisen.
| Virtueller Computer wird ausgeführt auf | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass Dynamischen Speicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| VMWare | Stellen Sie sicher, dass die konfigurierte Speichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie die folgende Option in der VM-Einstellung aus– Reservieren Sie den gesamten Gastspeicher (alle gesperrt). |
| Anderer Virtualisierungshost | Lesen Sie die vom Hersteller bereitgestellte Dokumentation, um sicherzustellen, dass der virtuelle Computer jederzeit vollständig arbeitsspeichergebunden ist. |
Wenn Sie das ATA Center als virtuellen Computer ausführen, fahren Sie den Server herunter, bevor Sie einen neuen Prüfpunkt erstellen, um potenzielle Datenbankbeschädigungen zu vermeiden.
ATA-Konsole
Der Zugriff auf die ATA-Konsole erfolgt über einen Browser, der die Browser und Einstellungen unterstützt:
Internet Explorer Version 10 und höher
Microsoft Edge
Google Chrome 40 und höher
Minimale Bildschirmbreite von 1700 Pixeln