Planification de la capacité ATAATA Capacity Planning

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Cet article vous aide à déterminer le nombre de serveurs ATA nécessaires pour surveiller votre réseau.This article helps you determine how many ATA servers are needed to monitor your network. Il vous aide également à déterminer le nombre de passerelles ATA et/ou passerelles légères ATA dont vous avez besoin, et la capacité du serveur pour votre centre ATA et les passerelles ATA.It helps you figure out how many ATA Gateways and/or ATA Lightweight Gateways you need and the server capacity for your ATA Center and ATA Gateways.

Notes

Vous pouvez déployer le Centre ATA sur n’importe quel fournisseur IaaS du moment que vous respectez les critères de performance décrits dans cet article.The ATA Center can be deployed on any IaaS vendor as long as the performance requirements described in this article are met.

Utilisation de l’outil de dimensionnementUsing the sizing tool

La manière recommandée la plus simple de déterminer la capacité pour votre déploiement ATA est d’utiliser l’outil de dimensionnement ATA.The recommended and simplest way to determine capacity for your ATA deployment is to use the ATA Sizing Tool. Exécutez l’outil de dimensionnement ATA, puis dans les résultats du fichier Excel, utilisez les champs suivants pour déterminer la capacité ATA dont vous avez besoin :Run the ATA Sizing Tool and from the Excel file results, use the following fields to determine the ATA capacity you need:

  • Processeur et mémoire du centre ATA : faites correspondre le champ Paquets occupés/s du tableau du centre ATA dans le fichier de résultats avec le champ PAQUETS PAR SECONDE du tableau du centre ATA.ATA Center CPU and Memory: Match the Busy Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Stockage du centre ATA : faites correspondre le champ Moyenne de paquets/s du tableau du centre ATA dans le fichier de résultats avec le champ PAQUETS PAR SECONDE du tableau du centre ATA.ATA Center Storage: Match the Avg Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Passerelle ATA : faites correspondre le champ Paquets occupés/s du tableau de la passerelle ATA du fichier de résultats avec le champ PAQUETS PAR SECONDE du tableau de la passerelle ATA ou du tableau de la passerelle légère ATA en fonction du type de passerelle choisi.ATA Gateway: Match the Busy Packets/sec field in the ATA Gateway table in the results file to the PACKETS PER SECOND field in the ATA Gateway table or the ATA Lightweight Gateway table, depending on the gateway type you choose.

Exemple d’outil de planification des capacités

Notes

Étant donné que les différents environnements varient et présentent plusieurs caractéristiques de trafic réseau particulières et imprévisibles, une fois que vous déployez initialement ATA et exécuter l’outil de dimensionnement, vous devrez peut-être ajuster et adapter votre déploiement au niveau de la capacité.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Si pour une raison ou une autre, vous ne pouvez pas utiliser l’outil de dimensionnement ATA, collectez manuellement les informations du compteur de paquets/s de tous vos contrôleurs de domaine pendant 24 heures avec un intervalle de collecte court (environ 5 secondes).If for some reason you cannot use the ATA Sizing Tool, manually gather the packet/sec counter information from all your Domain Controllers for 24 hours with a low collection interval (approximately 5 seconds). Ensuite, pour chaque contrôleur de domaine, vous devez calculer la moyenne quotidienne et la moyenne des périodes les plus occupées (15 minutes).Then, for each Domain Controller, you must calculate the daily average and the busiest period (15 minutes) average. Les sections suivantes expliquent comment collecter le compteur paquets/s dans un contrôleur de domaine.The following sections present the instruction for how to collect the packets/sec counter from one Domain Controller.

Notes

Étant donné que les différents environnements varient et présentent plusieurs caractéristiques de trafic réseau particulières et imprévisibles, une fois que vous déployez initialement ATA et exécuter l’outil de dimensionnement, vous devrez peut-être ajuster et adapter votre déploiement au niveau de la capacité.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Dimensionnement du centre ATAATA Center Sizing

Le centre ATA nécessite l’équivalent de 30 jours de données qui est le minimum recommandé pour obtenir des analyses comportementales des utilisateurs.The ATA Center requires a recommended minimum of 30 days of data for user behavioral analytics.

Paquets par seconde pour tous les contrôleurs de domainePackets per second from all DCs Processeur (cores*)CPU (cores*) Mémoire (Go)Memory (GB) Stockage de la base de données par jour (Go)Database storage per day (GB) Stockage de la base de données par mois (Go)Database storage per month (GB) IOPS**IOPS**
1 0001,000 22 3232 0.30.3 99 30 (100)30 (100)
40 00040,000 44 4848 1212 360360 500 (750)500 (750)
200 000200,000 88 6464 6060 1 8001,800 1 000 (1 500)1,000 (1,500)
400,000400,000 1212 9696 120120 3,6003,600 2 000 (2 500)2,000 (2,500)
750,000750,000 2424 112112 225225 6,7506,750 2,500 (3,000)2,500 (3,000)
1,000,0001,000,000 4040 128128 300300 9 0009,000 4,000 (5,000)4,000 (5,000)

* Cela comprend des cœurs physiques et non des cœurs hyper-thread.*This includes physical cores, not hyper-threaded cores.

**Nombres moyens (pic)**Average numbers (Peak numbers)

Notes

  • Le centre ATA peut gérer un maximum agrégé de 1 million de paquets par seconde provenant de l’ensemble des contrôleurs de domaine surveillés.The ATA Center can handle an aggregated maximum of 1M packets per second from all the monitored domain controllers. Dans certains environnements, le même centre ATA peut gérer un trafic global supérieur à 1 million.In some environments, the same ATA Center can handle overall traffic that is higher than 1M. Contactez askcesec@microsoft.com pour obtenir de l’assistance sur ce type d’environnements.Contact askcesec@microsoft.com for assistance with such environments.
  • Si l’espace libre atteint la valeur minimale de 20 % ou 200 Go, la collecte de données la plus ancienne est supprimée.If your free space reaches a minimum of either 20% or 200 GB, the oldest collection of data is deleted. S’il n’est pas possible de réduire la collecte de données à ce niveau, une alerte est consignée.If it is not possible to successfully reduce the data collection to this level, an alert will be logged. ATA continue de fonctionner jusqu’à ce que le seuil de 5 % ou de 50 Go d’espace disponible soit atteint.ATA will continue functioning until the threshold of 5% or 50 GB free is reached. S’il est atteint, ATA arrête de remplir la base de données et une nouvelle alerte est émise.At this point, ATA will stop populating the database and an additional alert will be issued.
  • Il vous est possible de déployer le Centre ATA sur n’importe quel fournisseur IaaS du moment que vous respectez les critères de performance qui sont décrits dans cet article.It's possible to deploy the ATA Center on any IaaS vendor as long as the performance requirements that are described in this article are met.
  • La latence de stockage pour les activités de lecture et d’écriture doit être inférieure à 10 ms.The storage latency for read and write activities should be below 10 ms.
  • Le rapport entre les activités de lecture et d’écriture est d’environ 1 pour 3 en dessous de 100 000 paquets par seconde et de 1 pour 6 au-dessus de 100 000 paquets par seconde.The ratio between read and write activities is approximately 1:3 below 100,000 packets-per-second and 1:6 above 100,000 packets-per-second.
  • Lorsque vous exécutez le centre en tant que machine virtuelle, le centre nécessite que toute la mémoire soit allouée à la machine virtuelle en permanence.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Pour plus d’informations sur l’exécution du centre ATA en tant que machine virtuelle, consultez Configuration requise pour le centre ATAFor more information on running ATA Center as a virtual machine, see ATA Center requirements
  • Pour bénéficier de performances optimales, choisissez Hautes performances comme Option d’alimentation pour le centre ATA.For optimal performance, set the Power Option of the ATA Center to High Performance.
  • Sur un serveur physique, la base de données ATA nécessite la désactivation de l’accès mémoire non uniforme (NUMA) dans le BIOS.When working on a physical server, the ATA database needs you to disable Non-uniform memory access (NUMA) in the BIOS. Votre système peut utiliser l’entrelacement de nœuds pour faire référence à NUMA, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA.Your system may refer to NUMA as Node Interleaving, in which case you have to enable Node Interleaving to disable NUMA. Pour plus d’informations, consultez la documentation du BIOS.For more information, see your BIOS documentation. Notez que cela ne s’applique pas quand le centre ATA s’exécute sur un serveur virtuel.This is not relevant when the ATA Center is running on a virtual server.

Choix du type de passerelle appropriée pour votre déploiementChoosing the right gateway type for your deployment

Dans un déploiement ATA, toutes les combinaisons de types de passerelles ATA sont prises en charge :In an ATA deployment any combination of the ATA Gateway types is supported:

  • Passerelles ATA uniquementOnly ATA Gateways
  • Passerelles légères ATA uniquementOnly ATA Lightweight Gateways
  • Une combinaison des deuxA combination of both

Quand vous choisissez le type de déploiement de passerelle, prenez en compte les avantages suivants :When deciding the Gateway deployment type, consider the following benefits:

Type de passerelleGateway type AvantagesBenefits CoûtCost Topologie de déploiementDeployment topology Utilisation des contrôleurs de domaineDomain controller use
Passerelle ATAATA Gateway Avec un déploiement hors bande, il est plus difficile pour les agresseurs de détecter qu’ATA est présentThe Out of band deployment makes it harder for attackers to discover ATA is present Plus élevéHigher Installée en même temps que le contrôleur de domaine (hors bande)Installed alongside the domain controller (out of band) Prend en charge jusqu’à 50 000 paquets par secondeSupports up to 50,000 packets per second
Passerelle légère ATAATA Lightweight Gateway Ne nécessite pas de configuration de la mise en miroir de port ni de serveur dédiéDoesn't require a dedicated server and port-mirroring configuration Plus faibleLower Installée sur un contrôleur de domaineInstalled on the domain controller Prend en charge jusqu’à 10 000 paquets par secondeSupports up to 10,000 packets per second

Voici quelques exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle légère ATA :The following are examples of scenarios in which domain controllers should be covered by the ATA Lightweight Gateway:

  • Sites de succursaleBranch sites

  • Contrôleurs de domaine virtuels déployés dans le cloud (IaaS)Virtual domain controllers deployed in the cloud (IaaS)

Voici quelques exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle ATA :The following are examples of scenarios in which domain controllers should be covered by the ATA Gateway:

  • Siège social de centres de données (comptant des contrôleurs de domaine avec plus de 10 000 paquets par seconde)Headquarter data centers (having domain controllers with more than 10,000 packets per seconds)

Dimensionnement de passerelle légère ATAATA Lightweight Gateway Sizing

Une passerelle légère ATA peut prendre en charge la surveillance d’un contrôleur de domaine en fonction de la quantité de trafic réseau qu’il génère.An ATA Lightweight Gateway can support the monitoring of one domain controller based on the amount of network traffic the domain controller generates.

Paquets par seconde*Packets per second* Unité centrale (cœurs**)CPU (cores**) Mémoire (Go)***Memory (GB)***
1 0001,000 22 6.6
5 0005,000 6.6 1616
10 00010,000 1010 2424

*Nombre total de paquets par seconde sur le contrôleur de domaine surveillé par une passerelle légère ATA donnée.*Total number of packets-per-second on the domain controller being monitored by the specific ATA Lightweight Gateway.

**Nombre total de cœurs non multithreads installés sur ce contrôleur de domaine.**Total number of non-hyper threaded cores that this domain controller has installed.
Même si le multithread est acceptable pour la passerelle légère ATA, vous devez compter les cœurs réels et non les cœurs multithreads lors de la planification de la capacité.While hyper threading is acceptable for the ATA Lightweight Gateway, when planning for capacity, you should count actual cores and not hyper threaded cores.

***Quantité totale de mémoire installée sur ce contrôleur de domaine.***Total amount of memory that this domain controller has installed.

Notes

  • Si le contrôleur de domaine n’a pas les ressources demandées par la passerelle légère ATA, les performances du contrôleur de domaine ne sont pas affectées, mais la passerelle légère ATA risque de ne pas fonctionner comme prévu.If the domain controller does not have the resources required by the ATA Lightweight Gateway, domain controller performance is not effected, but the ATA Lightweight Gateway might not operate as expected.
  • Lorsque vous exécutez le centre en tant que machine virtuelle, le centre nécessite que toute la mémoire soit allouée à la machine virtuelle en permanence.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Pour plus d’informations sur l’exécution du centre ATA en tant que machine virtuelle, consultez Configuration requise pour le centre ATA.For more information on running ATA Center as a virtual machine, see ATA Center requirements)
  • Pour bénéficier de performances optimales, choisissez Hautes performances comme Option d’alimentation pour la passerelle légère ATA.For optimal performance, set the Power Option of the ATA Lightweight Gateway to High Performance.
  • Au moins 5 Go d’espace sont nécessaires, 10 Go sont recommandés, notamment pour les fichiers binaires ATA, les journaux ATA et les journaux des performances.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Dimensionnement de la passerelle ATAATA Gateway Sizing

Prenez en compte les problèmes suivants quand vous choisissez le nombre de passerelles ATA à déployer.Consider the following issues when deciding how many ATA Gateways to deploy.

  • Forêts et domaines Active DirectoryActive Directory forests and domains
    ATA peut surveiller le trafic provenant de plusieurs domaines d’une même forêt Active Directory.ATA can monitor traffic from multiple domains from a single Active Directory forest. La surveillance de plusieurs forêts Active Directory nécessite des déploiements ATA distincts.Monitoring multiple Active Directory forests requires separate ATA deployments. Ne configurez pas un déploiement ATA unique pour surveiller le trafic réseau des contrôleurs de domaine de différentes forêts.Do not configure a single ATA deployment to monitor network traffic of domain controllers from different forests.

  • Mise en miroir des portsPort Mirroring
    Les considérations relatives à la mise en miroir des ports peuvent vous amener à déployer plusieurs passerelles ATA par site de succursale ou centre de données.Port mirroring considerations might require you to deploy multiple ATA Gateways per data center or branch site.

  • CapacitéCapacity
    Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau des contrôleurs de domaine surveillés.An ATA Gateway can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.

Paquets par seconde*Packets per second* Unité centrale (cœurs**)CPU (cores**) Mémoire (Go)Memory (GB)
1 0001,000 11 6.6
5 0005,000 22 1010
10 00010,000 33 1212
20 00020,000 6.6 2424
50 00050,000 1616 4848

*Nombre total moyen de paquets par seconde provenant de l’ensemble des contrôleurs de domaine surveillés par une passerelle ATA donnée durant leur heure de la journée la plus occupée.*Total average number of packets-per-second from all domain controllers being monitored by the specific ATA Gateway during their busiest hour of the day.

* La quantité totale de trafic des contrôleurs de domaine avec mise en miroir des ports ne peut pas dépasser la capacité de la carte réseau de capture de la passerelle ATA.*The total amount of domain controller port-mirrored traffic cannot exceed the capacity of the capture NIC on the ATA Gateway.

** L’hyper-threading doit être désactivé.**Hyper-threading must be disabled.

Notes

  • Lorsque vous exécutez le centre en tant que machine virtuelle, le centre nécessite que toute la mémoire soit allouée à la machine virtuelle en permanence.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Pour plus d’informations sur l’exécution du centre ATA en tant que machine virtuelle, consultez Configuration requise pour le centre ATAFor more information on running ATA Center as a virtual machine, see ATA Center requirements
  • Pour bénéficier de performances optimales, choisissez Hautes performances comme Option d’alimentation pour la passerelle ATA.For optimal performance, set the Power Option of the ATA Gateway to High Performance.
  • Au moins 5 Go d’espace sont nécessaires, 10 Go sont recommandés, notamment pour les fichiers binaires ATA, les journaux ATA et les journaux des performances.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Voir aussiSee Also