Planeamiento de la capacidad de ATAATA capacity planning

Se aplica a: Advanced Threat Analytics versión 1.9Applies to: Advanced Threat Analytics version 1.9

Este artículo sirve para averiguar cuántos servidores de ATA se necesitan para supervisar la red.This article helps you determine how many ATA servers are needed to monitor your network. Le ayuda a calcular el número de puertas de enlace de ATA y/o puertas de enlace ligeras de ATA que necesita y la capacidad del servidor para el centro ATA y las puertas de enlace de ATA.It helps you estimate how many ATA Gateways and/or ATA Lightweight Gateways you need and the server capacity for your ATA Center and ATA Gateways.

Nota

El centro ATA se puede implementar en cualquier proveedor de IaaS siempre y cuando se cumplan los requisitos de rendimiento descritos en este artículo.The ATA Center can be deployed on any IaaS vendor as long as the performance requirements described in this article are met.

Uso de la herramienta de ajuste de tamañoUsing the sizing tool

La forma recomendada y más sencilla para determinar la capacidad de una implementación de ATA es utilizar la herramienta de ajuste de tamaño de ATA.The recommended and simplest way to determine capacity for your ATA deployment is to use the ATA Sizing Tool. Ejecute la herramienta de ajuste de tamaño de ATA y a partir de los resultados del archivo de Excel, use los siguientes campos para determinar la capacidad de ATA que necesita:Run the ATA Sizing Tool and from the Excel file results, use the following fields to determine the ATA capacity you need:

  • CPU y memoria del Centro ATA: haga coincidir el campo Busy Packets/sec (Paquetes ocupados por segundo) del archivo de resultados de la tabla Centro ATA con el campo PACKETS PER SECOND (PAQUETES POR SEGUNDO) de la tabla Centro ATA.ATA Center CPU and Memory: Match the Busy Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Almacenamiento del Centro ATA: haga coincidir el campo Avg Packets/sec (Promedio de paquetes por segundo) del archivo de resultados de la tabla Centro ATA con el campo PACKETS PER SECOND (PAQUETES POR SEGUNDO) de la tabla Centro ATA.ATA Center Storage: Match the Avg Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Puerta de enlace de ATA: haga coincidir el campo Busy Packets/sec (Paquetes ocupados por segundo) de la tabla Puerta de enlace de ATA del archivo de resultados con el campo PACKETS PER SECOND (PAQUETES POR SEGUNDO) de la tabla Puerta de enlace de ATA o la tabla Puerta de enlace ligera de ATA, en función del tipo de puerta de enlace que se elija.ATA Gateway: Match the Busy Packets/sec field in the ATA Gateway table in the results file to the PACKETS PER SECOND field in the ATA Gateway table or the ATA Lightweight Gateway table, depending on the gateway type you choose.

Herramienta de planeamiento de capacidad de ejemplo

Nota

Dado que los entornos son distintos y presentan varias características de tráfico de red especiales e inesperadas, tras implementar ATA inicialmente y ejecutar la herramienta de cambio de tamaño, es posible que deba ajustar la implementación para obtener más capacidad.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Si por algún motivo no puede usar la herramienta de ajuste de tamaño de ATA, recopile manualmente la información del contador de paquetes por segundo de todos los controladores de dominio durante 24 horas con un intervalo de recopilación bajo (aproximadamente 5 segundos).If for some reason you cannot use the ATA Sizing Tool, manually gather the packet/sec counter information from all your Domain Controllers for 24 hours with a low collection interval (approximately 5 seconds). A continuación, para cada controlador de dominio, calcule el promedio diario y el promedio de tiempo más ocupado (15 minutos).Then, for each Domain Controller, calculate the daily average and the busiest period (15 minutes) average. En las secciones siguientes se proporcionan instrucciones acerca de cómo recopilar el contador paquetes por segundo de un controlador de dominio.The following sections provide instructions about how to collect the packets/sec counter from one Domain Controller.

Nota

Dado que los entornos son distintos y presentan varias características de tráfico de red especiales e inesperadas, tras implementar ATA inicialmente y ejecutar la herramienta de cambio de tamaño, es posible que deba ajustar la implementación para obtener más capacidad.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Evaluación del tamaño del centro ATAATA Center Sizing

El centro ATA requiere un mínimo de 30 días de acumulación de datos para poder analizar el comportamiento de los usuarios.The ATA Center requires a recommended minimum of 30 days of data for user behavioral analytics.

Paquetes por segundo de todos los controladores de dominioPackets per second from all DCs CPU (núcleos*)CPU (cores*) Memoria (GB)Memory (GB) Almacenamiento de base de datos por día (GB)Database storage per day (GB) Almacenamiento de base de datos por mes (GB)Database storage per month (GB) IOPS**IOPS**
1,0001,000 22 3232 0,30.3 99 30 (100)30 (100)
40.00040,000 44 4848 1212 360360 500 (750)500 (750)
200 000200,000 88 6464 6060 18001,800 1,000 (1,500)1,000 (1,500)
400.000400,000 1212 9696 120120 3,6003,600 2,000 (2,500)2,000 (2,500)
750,000750,000 2424 112112 225225 67506,750 2,500 (3,000)2,500 (3,000)
1 000 0001,000,000 4040 128128 300300 90009,000 4,000 (5,000)4,000 (5,000)

& #42;Esto incluye los núcleos físicos, no los núcleos con Hyper-Threading.*This includes physical cores, not hyper-threaded cores.

**Promedios (Cantidades máximas)**Average numbers (Peak numbers)

Nota

  • El centro ATA puede controlar un máximo agregado de 1 millón de paquetes por segundo de todos los controladores de dominio supervisados.The ATA Center can handle an aggregated maximum of 1M packets per second from all monitored domain controllers. En algunos entornos, el mismo centro ATA puede controlar el tráfico global que es superior a 1 millón y algunos entornos pueden superar la capacidad de ATA.In some environments, the same ATA Center can handle overall traffic that is higher than 1M and some environments may exceed ATA capacity. Póngase en contacto con nosotros azureatpfeedback@microsoft.com para obtener ayuda en la planeación y estimación de entornos de gran tamaño.Contact us at azureatpfeedback@microsoft.com for assistance in planning and estimating large environments.
  • Si el espacio libre alcanza un mínimo del 20 % o 200 GB, se eliminará la colección de datos más antigua.If your free space reaches a minimum of either 20% or 200 GB, the oldest collection of data is deleted. Si la recopilación de datos no se puede reducir correctamente a este nivel, se registrará una alerta.If it is not possible to successfully reduce the data collection to this level, an alert will be logged. ATA seguirá funcionando hasta que se alcance un umbral del 5 % o de 50 GB de espacio libre.ATA will continue functioning until the threshold of 5% or 50 GB free is reached. Llegado ese punto, ATA dejará de rellenar la base de datos y se emitirá una alerta más.At this point, ATA will stop populating the database and an additional alert will be issued.
  • Es posible implementar el centro ATA en cualquier proveedor de IaaS siempre y cuando se cumplan los requisitos de rendimiento descritos en este artículo.It's possible to deploy the ATA Center on any IaaS vendor as long as the performance requirements that are described in this article are met.
  • La latencia del almacenamiento de las actividades de lectura y escritura debe ser inferior a 10 ms.The storage latency for read and write activities should be below 10 ms.
  • La proporción entre las actividades de lectura y escritura es de aproximadamente 1:3 por debajo de los 100 000 paquetes por segundo y de 1:6 por encima de los 100 000 paquetes por segundo.The ratio between read and write activities is approximately 1:3 below 100,000 packets-per-second and 1:6 above 100,000 packets-per-second.
  • Al ejecutar el centro como una máquina virtual (VM), el centro requiere la asignación de toda la memoria a la máquina virtual.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Para obtener más información sobre la ejecución del centro ATA como una máquina virtual, consulte requisitos del centro ATA .For more information on running ATA Center as a virtual machine, see ATA Center requirements
  • Para disfrutar del mejor rendimiento posible, establezca la Opción de energía del Centro ATA en Alto rendimiento.For optimal performance, set the Power Option of the ATA Center to High Performance.
  • Cuando se trabaja en un servidor físico, la base de datos de ATA le exige que deshabilite el acceso a memoria no uniforme (NUMA) en el BIOS.When working on a physical server, the ATA database needs you to disable Non-uniform memory access (NUMA) in the BIOS. El sistema puede hacer referencia a NUMA como una intercalación de nodos, en cuyo caso debe habilitar la intercalación de nodos para deshabilitar NUMA.Your system may refer to NUMA as Node Interleaving, in which case you have to enable Node Interleaving to disable NUMA. Para obtener más información, consulte la documentación del BIOS.For more information, see your BIOS documentation. Esto no es relevante si el Centro ATA se está ejecutando en un servidor virtual.This is not relevant when the ATA Center is running on a virtual server.

Elegir el tipo de puerta de enlace correcto para la implementaciónChoosing the right gateway type for your deployment

En una implementación de ATA se admite cualquier combinación de los tipos de puerta de enlace de ATA:In an ATA deployment any combination of the ATA Gateway types is supported:

  • Solo puertas de enlace de ATAOnly ATA Gateways
  • Solo puertas de enlace ligeras de ATAOnly ATA Lightweight Gateways
  • Una combinación de ambosA combination of both

Al decidir el tipo de implementación de puerta de enlace, tenga en cuenta las siguientes ventajas:When deciding the Gateway deployment type, consider the following benefits:

Tipo de puerta de enlaceGateway type VentajasBenefits CosteCost Topología de implementaciónDeployment topology Uso de controlador de dominioDomain controller use
Puerta de enlace de ATAATA Gateway La implementación Fuera de banda dificulta que los atacantes detecten que ATA está presenteThe Out of band deployment makes it harder for attackers to discover ATA is present SuperiorHigher Instalada junto al controlador de dominio (fuera de banda)Installed alongside the domain controller (out of band) Admite un máximo de 50.000 paquetes por segundoSupports up to 50,000 packets per second
Puerta de enlace ligera de ATAATA Lightweight Gateway No requiere un servidor dedicado ni la configuración de creación de reflejo del puertoDoesn't require a dedicated server and port-mirroring configuration InferiorLower Instalada en el controlador de dominioInstalled on the domain controller Admite un máximo de 10.000 paquetes por segundoSupports up to 10,000 packets per second

A continuación, se exponen ejemplos de escenarios en los que la puerta de enlace ligera de ATA debería cubrir los controladores de dominio:The following are examples of scenarios in which domain controllers should be covered by the ATA Lightweight Gateway:

  • SucursalesBranch sites

  • Controladores de dominio virtuales implementados en la nube (IaaS)Virtual domain controllers deployed in the cloud (IaaS)

A continuación, se exponen ejemplos de escenarios en los que la puerta de enlace de ATA debería cubrir los controladores de dominio:The following are examples of scenarios in which domain controllers should be covered by the ATA Gateway:

  • Centros de datos de sedes centrales (con controladores de dominio con más de 10.000 paquetes por segundo)Headquarter data centers (having domain controllers with more than 10,000 packets per seconds)

Tamaño de la puerta de enlace ligera de ATAATA Lightweight Gateway Sizing

Una puerta de enlace ligera de ATA puede admitir la supervisión de un controlador de dominio según la cantidad de tráfico de red que genera el controlador de dominio.An ATA Lightweight Gateway can support the monitoring of one domain controller based on the amount of network traffic the domain controller generates.

Paquetes por segundo*Packets per second* CPU (núcleos**)CPU (cores**) Memoria (GB)***Memory (GB)***
1,0001,000 22 66
5.0005,000 66 1616
10 00010,000 1010 2424

*Número total de paquetes por segundo en el controlador de dominio supervisados por la puerta de enlace ligera de ATA específica.*Total number of packets-per-second on the domain controller being monitored by the specific ATA Lightweight Gateway.

**Número total de núcleos que no funcionen con Hyper Threading que tiene instalado el controlador de dominio.**Total number of non-hyper threaded cores that this domain controller has installed.
Aunque Hyper Threading es aceptable para la puerta de enlace ligera de ATA, al planear la capacidad, debe contar núcleos reales y no núcleos que funcionan con Hyper Threading.While hyper threading is acceptable for the ATA Lightweight Gateway, when planning for capacity, you should count actual cores and not hyper threaded cores.

***Cantidad total de memoria que tiene instalada el controlador de dominio.***Total amount of memory that this domain controller has installed.

Nota

  • Si el controlador de dominio no tiene los recursos que requiere la puerta de enlace ligera de ATA, el rendimiento del controlador de dominio no se ve afectado, pero la puerta de enlace ligera de ATA podría no funcionar según lo esperado.If the domain controller does not have the resources required by the ATA Lightweight Gateway, domain controller performance is not effected, but the ATA Lightweight Gateway might not operate as expected.
  • Al ejecutar la puerta de enlace como una máquina virtual (VM), la puerta de enlace requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo.When running the Gateway as a virtual machine (VM) the Gateway requires all memory be allocated to the VM, all the time. Para obtener más información sobre cómo ejecutar la puerta de enlace de ATA como una máquina virtual, consulte requisitos de memoria dinámica)For more information on running ATA Gateway as a virtual machine, see Dynamic memory requirements)
  • Para disfrutar del mejor rendimiento posible, establezca la Opción de energía de la puerta de enlace ligera de ATA en Alto rendimiento.For optimal performance, set the Power Option of the ATA Lightweight Gateway to High Performance.
  • Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB, incluido el espacio necesario para los archivos binarios de ATA, los registros de ATAy los registros de rendimiento.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Evaluación del tamaño de la puerta de enlace de ATAATA Gateway Sizing

Tenga en cuenta las siguientes cuestiones a la hora de decidir cuántas puertas de enlace de ATA va a implementar.Consider the following issues when deciding how many ATA Gateways to deploy.

  • Bosques y dominios de Active DirectoryActive Directory forests and domains
    ATA puede supervisar el tráfico de varios dominios de un único bosque de Active Directory.ATA can monitor traffic from multiple domains from a single Active Directory forest. Para supervisar varios bosques de Active Directory se necesitan implementaciones de ATA independientes.Monitoring multiple Active Directory forests requires separate ATA deployments. No configure una única implementación de ATA para supervisar el tráfico de red de los controladores de dominio de diferentes bosques.Do not configure a single ATA deployment to monitor network traffic of domain controllers from different forests.
  • Duplicación de puertosPort Mirroring
    Las consideraciones sobre la creación de reflejo del puerto pueden requerir la implementación de varias puertas de enlace de ATA por puerta de enlace de datos o sitio de rama.Port mirroring considerations might require you to deploy multiple ATA Gateways per data Gateway or branch site.
  • CapacityCapacity
    Una puerta de enlace de ATA permite supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia y desde los controladores de dominio bajo supervisión.An ATA Gateway can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.
Paquetes por segundo*Packets per second* CPU (núcleos**)CPU (cores**) Memoria (GB)Memory (GB)
1,0001,000 11 66
5.0005,000 22 1010
10 00010,000 33 1212
20.00020,000 66 2424
50.00050,000 1616 4848

*Número medio total de paquetes por segundo de todos los controladores de dominio supervisados por la puerta de enlace de ATA específica durante la hora del día más ocupada.*Total average number of packets-per-second from all domain controllers being monitored by the specific ATA Gateway during their busiest hour of the day.

* La cantidad total del tráfico con puerto reflejado del controlador de dominio no puede superar la capacidad de la NIC de captura en la puerta de enlace de ATA.*The total amount of domain controller port-mirrored traffic cannot exceed the capacity of the capture NIC on the ATA Gateway.

**Hyper-Threading debe estar deshabilitado.**Hyper-threading must be disabled.

Nota

  • Al ejecutar la puerta de enlace como una máquina virtual (VM), la puerta de enlace requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo.When running the Gateway as a virtual machine (VM) the Gateway requires all memory be allocated to the VM, all the time. Para obtener más información sobre cómo ejecutar la puerta de enlace de ATA como una máquina virtual, consulte requisitos de memoria dinámicaFor more information on running ATA Gateway as a virtual machine, see Dynamic memory requirements
  • Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la puerta de enlace de ATA en alto rendimiento.For optimal performance, set the Power Option of the ATA Gateway to High Performance.
  • Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB, incluido el espacio necesario para los archivos binarios de ATA, los registros de ATAy los registros de rendimiento.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Consulte tambiénSee Also