Pianificazione della capacità di ATA
Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo consente di determinare il numero di server ATA necessari per monitorare la rete. Consente di stimare il numero di gateway ATA e/o gateway ATA Lightweight necessari e la capacità del server per i gateway ATA Center e ATA.
Nota
ATA Center può essere distribuito in qualsiasi fornitore IaaS, purché vengano soddisfatti i requisiti di prestazioni descritti in questo articolo.
Uso dello strumento di ridimensionamento
Il modo consigliato e più semplice per determinare la capacità per la distribuzione di ATA consiste nell'usare lo strumento di ridimensionamento ATA. Eseguire lo strumento di ridimensionamento ATA e dai risultati del file di Excel, usare i campi seguenti per determinare la capacità ATA necessaria:
CPU e memoria di ATA Center: trova la corrispondenza con il campo Pacchetti occupati/sec nel file dei risultati della tabella ATA Center al campo PACKETS PER edizione Standard COND nella tabella ATA Center.
ATA Center Archiviazione: trova la corrispondenza del campo Avg Packets/sec nel file dei risultati della tabella ATA Center al campo PACKETS PER edizione Standard COND nella tabella ATA Center.
Gateway ATA: trovare la corrispondenza con il campo Pacchetti occupati/sec nella tabella gateway ATA nel file dei risultati nel campo PACKETS PER edizione Standard COND nella tabella gateway ATA o nella tabella del gateway ATA Lightweight, a seconda del tipo di gateway scelto.
Nota
Poiché ambienti diversi variano e hanno più caratteristiche speciali e impreviste del traffico di rete, dopo aver distribuito inizialmente ATA ed eseguito lo strumento di ridimensionamento, potrebbe essere necessario regolare e ottimizzare la distribuzione per la capacità.
Se non è possibile usare lo strumento di ridimensionamento ATA, raccogliere manualmente le informazioni sul contatore del pacchetto/sec con un intervallo di raccolta basso (circa 5 secondi) da tutti i controller di dominio per 24 ore. Quindi, per ogni controller di dominio, calcolare la media giornaliera e la media del periodo più trafficato (15 minuti). Le sezioni seguenti forniscono istruzioni su come raccogliere i pacchetti/sec contatore da un controller di dominio.
Nota
Poiché ambienti diversi variano e hanno più caratteristiche speciali e impreviste del traffico di rete, dopo aver distribuito inizialmente ATA ed eseguito lo strumento di ridimensionamento, potrebbe essere necessario regolare e ottimizzare la distribuzione per la capacità.
Dimensionamento di ATA Center
ATA Center richiede almeno 30 giorni di dati consigliati per l'analisi comportamentale degli utenti.
| Pacchetti al secondo da tutti i controller di dominio | CPU (core*) | Memoria (GB) | Archiviazione del database al giorno (GB) | Archiviazione del database al mese (GB) | IOPS** |
|---|---|---|---|---|---|
| 1.000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1.800 | 1,000 (1,500) |
| 400.000 | 12 | 96 | 120 | 3.600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6.750 | 2,500 (3,000) |
| 1\.000.000 | 40 | 128 | 300 | 9.000 | 4,000 (5,000) |
*Sono inclusi core fisici, non core con hyperthreading.
**Numeri medi (numeri di picco)
Nota
- ATA Center può gestire un massimo aggregato di 1M pacchetti al secondo da tutti i controller di dominio monitorati. In alcuni ambienti, lo stesso ATA Center può gestire il traffico complessivo superiore a 1M e alcuni ambienti possono superare la capacità ATA. Contattaci all'indirizzo azureatpfeedback@microsoft.com per assistenza nella pianificazione e nella stima di ambienti di grandi dimensioni.
- Se lo spazio disponibile raggiunge almeno il 20% o 200 GB, la raccolta di dati meno recente viene eliminata. Se non è possibile ridurre correttamente la raccolta dei dati a questo livello, verrà registrato un avviso. ATA continuerà a funzionare fino al raggiungimento della soglia del 5% o del 50 GB gratuito. A questo punto, ATA smetterà di popolare il database e verrà generato un avviso aggiuntivo.
- È possibile distribuire ATA Center in qualsiasi fornitore IaaS se vengono soddisfatti i requisiti di prestazioni descritti in questo articolo.
- La latenza di archiviazione per le attività di lettura e scrittura deve essere inferiore a 10 ms.
- Il rapporto tra le attività di lettura e scrittura è di circa 1:3 al di sotto di 100.000 pacchetti al secondo e 1:6 superiori a 100.000 pacchetti al secondo.
- Quando si esegue il Centro come macchina virtuale, il Centro richiede che tutta la memoria venga allocata alla macchina virtuale, sempre. Per altre informazioni sull'esecuzione di ATA Center come macchina virtuale, vedere Requisiti di ATA Center.
- Per prestazioni ottimali, impostare l'opzione di alimentazione di ATA Center su Prestazioni elevate.
- Quando si lavora su un server fisico, il database ATA deve disabilitare l'accesso non uniforme alla memoria (NUMA) nel BIOS. Il sistema può fare riferimento a NUMA come interfoliazione dei nodi, nel qual caso è necessario abilitare l'interleaving del nodo per disabilitare NUMA. Per altre informazioni, vedere la documentazione del BIOS. Questo non è rilevante quando ATA Center è in esecuzione in un server virtuale.
Scelta del tipo di gateway appropriato per la distribuzione
In una distribuzione ATA è supportata qualsiasi combinazione dei tipi di gateway ATA:
- Solo i gateway ATA
- Solo gateway ATA Lightweight
- Una combinazione di entrambe le situazioni
Quando si decide il tipo di distribuzione gateway, considerare i vantaggi seguenti:
| Tipo di gateway | Vantaggi | Costo | Topologia di distribuzione | Uso del controller di dominio |
|---|---|---|---|---|
| ATA Gateway | La distribuzione fuori banda rende più difficile per gli utenti malintenzionati individuare ATA è presente | Maggiore | Installato insieme al controller di dominio (fuori banda) | Supporta fino a 50.000 pacchetti al secondo |
| ATA Lightweight Gateway | Non richiede una configurazione dedicata del server e del mirroring delle porte | Lower | Installato nel controller di dominio | Supporta fino a 10.000 pacchetti al secondo |
Di seguito sono riportati esempi di scenari in cui i controller di dominio devono essere coperti dal gateway ATA Lightweight:
Siti di succursale
Controller di dominio virtuali distribuiti nel cloud (IaaS)
Di seguito sono riportati esempi di scenari in cui i controller di dominio devono essere coperti dal gateway ATA:
- Data center con sede centrale (con controller di dominio con più di 10.000 pacchetti al secondo)
Dimensionamento del gateway ATA Lightweight
Un gateway ATA Lightweight può supportare il monitoraggio di un controller di dominio in base alla quantità di traffico di rete generato dal controller di dominio.
| Pacchetti al secondo* | CPU (core**) | Memoria (GB)* |
|---|---|---|
| 1.000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Numero totale di pacchetti al secondo nel controller di dominio monitorato dal gateway ATA Lightweight specifico.
**Numero totale di core non hyperthread installati dal controller di dominio.
Anche se l'hyper threading è accettabile per il gateway ATA Lightweight, quando si pianifica la capacità, è consigliabile contare i core effettivi e non i core con hyperthreading.
Quantità totale di memoria installata dal controller di dominio.
Nota
- Se il controller di dominio non dispone delle risorse richieste dal gateway ATA Lightweight, le prestazioni del controller di dominio non sono interessate, ma il gateway ATA Lightweight potrebbe non funzionare come previsto.
- Quando si esegue il gateway come macchina virtuale , il gateway richiede che tutta la memoria venga allocata alla macchina virtuale, sempre. Per altre informazioni sull'esecuzione del gateway ATA come macchina virtuale, vedere Requisiti di memoria dinamica.
- Per prestazioni ottimali, impostare l'opzione di alimentazione del gateway ATA Lightweight su Prestazioni elevate.
- È necessario almeno 5 GB di spazio e si consigliano 10 GB, incluso lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.
Dimensionamento del gateway ATA
Quando si decide il numero di gateway ATA da distribuire, tenere presenti i problemi seguenti.
- Foreste e domini di Active Directory
ATA può monitorare il traffico da più domini da una singola foresta di Active Directory. Il monitoraggio di più foreste Active Directory richiede distribuzioni ATA separate. Non configurare una singola distribuzione ATA per monitorare il traffico di rete dei controller di dominio da foreste diverse. - Mirroring delle porte
Le considerazioni sul mirroring delle porte potrebbero richiedere la distribuzione di più gateway ATA per ogni gateway dati o sito di succursale. - Capacità
Un gateway ATA può supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete dei controller di dominio monitorati.
| Pacchetti al secondo* | CPU (core**) | Memoria (GB) |
|---|---|---|
| 1.000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20.000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Numero medio totale di pacchetti al secondo da tutti i controller di dominio monitorati dal gateway ATA specifico durante l'ora più intensa del giorno.
*La quantità totale di traffico con mirroring delle porte del controller di dominio non può superare la capacità della scheda di interfaccia di rete di acquisizione nel gateway ATA.
**Il threading Hyper deve essere disabilitato.
Nota
- Quando si esegue il gateway come macchina virtuale , il gateway richiede che tutta la memoria venga allocata alla macchina virtuale, sempre. Per altre informazioni sull'esecuzione del gateway ATA come macchina virtuale, vedere Requisiti di memoria dinamica.
- Per prestazioni ottimali, impostare Opzione di alimentazione del gateway ATA su Prestazioni elevate.
- È necessario almeno 5 GB di spazio e si consigliano 10 GB, incluso lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.