Si applica a: Advanced Threat Analytics versione 1.9Applies to: Advanced Threat Analytics version 1.9

Pianificazione della capacità di ATAATA Capacity Planning

Le informazioni in questo articolo consentono di determinare il numero di server ATA necessari per monitorare la rete.This article helps you determine how many ATA servers are needed to monitor your network. Consentono anche di valutare quanti gateway ATA e/o gateway ATA Lightweight sono necessari e la capacità dei server per ATA Center e i gateway ATA.It helps you figure out how many ATA Gateways and/or ATA Lightweight Gateways you need and the server capacity for your ATA Center and ATA Gateways.

Nota

Il Centro ATA può essere distribuito a qualsiasi fornitore IaaS, purché siano soddisfatti i requisiti di prestazioni descritti in questo articolo.The ATA Center can be deployed on any IaaS vendor as long as the performance requirements described in this article are met.

Uso dello strumento di dimensionamentoUsing the sizing tool

Il metodo più semplice consigliato per determinare la capacità per una distribuzione ATA consiste nell'uso dello strumento di dimensionamento ATA.The recommended and simplest way to determine capacity for your ATA deployment is to use the ATA Sizing Tool. Eseguire lo strumento di dimensionamento ATA e, in base ai risultati del file di Excel, usare i campi seguenti per determinare la capacità di ATA necessaria:Run the ATA Sizing Tool and from the Excel file results, use the following fields to determine the ATA capacity you need:

  • CPU e memoria ATA Center: stabilire la corrispondenza del campo Busy Packets/sec (Pacchetti occupati/sec) nel file dei risultati nella tabella di ATA Center con il campo PACKETS PER SECOND (PACCHETTI AL SECONDO) nella tabella di ATA Center.ATA Center CPU and Memory: Match the Busy Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Memoria di ATA Center: stabilire la corrispondenza del campo Avg Packets/sec (Media pacchetti/sec) nel file dei risultati nella tabella di ATA Center con il campo PACKETS PER SECOND (PACCHETTI AL SECONDO) nella tabella di ATA Center.ATA Center Storage: Match the Avg Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Gateway ATA: stabilire la corrispondenza del campo Busy Packets/sec (Pacchetti occupati/sec) nella tabella del gateway ATA nel file dei risultati con il campo PACKETS PER SECOND (PACCHETTI AL SECONDO) nella tabella del gateway ATA o nella tabella del gateway ATA Lightweight, a seconda del tipo di gateway selezionato.ATA Gateway: Match the Busy Packets/sec field in the ATA Gateway table in the results file to the PACKETS PER SECOND field in the ATA Gateway table or the ATA Lightweight Gateway table, depending on the gateway type you choose.

![Esempio di strumento per la pianificazione della capacità](media/capacity tool.png)

Nota

Dal momento che gli ambienti sono diversi tra loro e hanno caratteristiche di traffico di rete specifiche e impreviste, dopo la prima distribuzione di ATA e l'esecuzione dello strumento di dimensionamento, può essere necessario regolare e ottimizzare la distribuzione per adattarsi alla capacità.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Se per qualche motivo non è possibile usare lo strumento di dimensionamento ATA, raccogliere manualmente le informazioni dei contatori di pacchetti al secondo da tutti i controller di dominio per 24 ore con un intervallo di raccolta molto breve (circa 5 secondi).If for some reason you cannot use the ATA Sizing Tool, manually gather the packet/sec counter information from all your Domain Controllers for 24 hours with a low collection interval (approximately 5 seconds). Per ogni controller di dominio, è quindi necessario calcolare la media giornaliera e la media del periodo più occupato (15 minuti).Then, for each Domain Controller, you must calculate the daily average and the busiest period (15 minutes) average. Le sezioni seguenti presentano istruzioni su come raccogliere i dati del contatore di pacchetti al secondo da un controller di dominio.The following sections present the instruction for how to collect the packets/sec counter from one Domain Controller.

Nota

Dal momento che gli ambienti sono diversi tra loro e hanno caratteristiche di traffico di rete specifiche e impreviste, dopo la prima distribuzione di ATA e l'esecuzione dello strumento di dimensionamento, può essere necessario regolare e ottimizzare la distribuzione per adattarsi alla capacità.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Dimensionamento del Centro ATAATA Center Sizing

Il Centro ATA richiede un minimo consigliato di 30 giorni di dati per l'analisi del comportamento dell'utente.The ATA Center requires a recommended minimum of 30 days of data for user behavioral analytics.

Pacchetti al secondo da tutti i controller di dominioPackets per second from all DCs CPU (core*)CPU (cores*) Memoria (GB)Memory (GB) Archiviazione giornaliera del database (GB)Database storage per day (GB) Archiviazione mensile del database (GB)Database storage per month (GB) IOPS**IOPS**
1,0001,000 22 3232 0,30.3 99 30 (100)30 (100)
40,00040,000 44 4848 1212 360360 500 (750)500 (750)
200,000200,000 88 6464 6060 1,8001,800 1,000 (1,500)1,000 (1,500)
400.000400,000 1212 9696 120120 3,6003,600 2,000 (2,500)2,000 (2,500)
750.000750,000 2424 112112 225225 6.7506,750 2.500 (3.000)2,500 (3,000)
1.000.0001,000,000 4040 128128 300300 9,0009,000 4,000 (5,000)4,000 (5,000)

*Include core fisici e core senza hyperthreading.*This includes physical cores, not hyper-threaded cores.

** Numeri medi (numeri massimi)**Average numbers (Peak numbers)

Nota

  • ATA Center può gestire un massimo aggregato di 1 milione di pacchetti al secondo da tutti i controller di dominio monitorati.The ATA Center can handle an aggregated maximum of 1M packets per second from all the monitored domain controllers. In alcuni ambienti lo stesso Centro ATA può gestire un traffico complessivo superiore a 1 milione.In some environments, the same ATA Center can handle overall traffic that is higher than 1M. Per ricevere assistenza su tali ambienti, contattare askcesec@microsoft.com.Contact askcesec@microsoft.com for assistance with such environments.
  • Se lo spazio libero corrisponde almeno al 20% o a 200 GB, la raccolta di dati meno recente viene eliminata.If your free space reaches a minimum of either 20% or 200 GB, the oldest collection of data is deleted. Se non è possibile ridurre correttamente la raccolta dei dati a questo livello, verrà registrato un avviso.If it is not possible to successfully reduce the data collection to this level, an alert will be logged. ATA continuerà a funzionare fino al raggiungimento della soglia del 5% o di 50 GB di spazio libero.ATA will continue functioning until the threshold of 5% or 50 GB free is reached. A questo punto, ATA interromperà il popolamento del database e verrà generato un avviso aggiuntivo.At this point, ATA will stop populating the database and an additional alert will be issued.
  • È possibile distribuire il Centro ATA a qualsiasi fornitore IaaS, purché siano soddisfatti i requisiti di prestazioni descritti in questo articolo.It's possible to deploy the ATA Center on any IaaS vendor as long as the performance requirements that are described in this article are met.
  • La latenza di archiviazione per le attività di lettura e scrittura deve essere inferiore a 10 ms.The storage latency for read and write activities should be below 10 ms.
  • Il rapporto tra le attività di lettura e scrittura è di circa 1:3 per un numero di pacchetti al secondo inferiore a 100.000 e di 1:6 per un numero di pacchetti al secondo superiore a 100.000.The ratio between read and write activities is approximately 1:3 below 100,000 packets-per-second and 1:6 above 100,000 packets-per-second.
  • Quando viene eseguito come macchina virtuale, la memoria dinamica o altre funzionalità non sono supportate.When running as a virtual machine dynamic memory or any other memory ballooning feature is not supported.
  • Per ottenere prestazioni ottimali, impostare Power Option (Opzioni potenza) nel Centro ATA su High Performance (Prestazioni elevate).For optimal performance, set the Power Option of the ATA Center to High Performance.
  • Quando si usa un server fisico, il database ATA richiede la disabilitazione dell'accesso non uniforme alla memoria (NUMA, Non-Uniform Memory Access) nel BIOS.When working on a physical server, the ATA database needs you to disable Non-uniform memory access (NUMA) in the BIOS. Il sistema può fare riferimento a NUMA come interfoliazione dei nodi e in questo caso sarà necessario abilitare l'interfoliazione dei nodi per disabilitare NUMA.Your system may refer to NUMA as Node Interleaving, in which case you have to enable Node Interleaving to disable NUMA. Per altre informazioni, vedere la documentazione del BIOS.For more information, see your BIOS documentation. Tutto ciò non è pertinente quando ATA Center è in esecuzione in un server virtuale.This is not relevant when the ATA Center is running on a virtual server.

Scelta del tipo di gateway corretto per la distribuzioneChoosing the right gateway type for your deployment

In una distribuzione ATA è supportata qualsiasi combinazione dei tipi di gateway ATA:In an ATA deployment any combination of the ATA Gateway types is supported:

  • Solo gateway ATAOnly ATA Gateways
  • Solo gateway ATA LightweightOnly ATA Lightweight Gateways
  • Combinazione di entrambiA combination of both

Quando si decide il tipo di distribuzione dei gateway, considerare quanto segue:When deciding the Gateway deployment type, consider the following benefits:

Tipo di gatewayGateway type VantaggiBenefits CostiCost Topologia di distribuzioneDeployment topology Uso del controller di dominioDomain controller use
Gateway ATAATA Gateway La distribuzione fuori banda rende più difficile per gli utenti malintenzionati individuare la presenza di ATAThe Out of band deployment makes it harder for attackers to discover ATA is present ElevatiHigher Installata insieme al controller di dominio (fuori banda)Installed alongside the domain controller (out of band) Supporta fino a 50.000 pacchetti al secondoSupports up to 50,000 packets per second
Gateway ATA LightweightATA Lightweight Gateway Non richiede un server dedicato e la configurazione del mirroring delle porteDoesn't require a dedicated server and port-mirroring configuration RidottiLower Installata su un controller di dominioInstalled on the domain controller Supporta fino a 10.000 pacchetti al secondoSupports up to 10,000 packets per second

Di seguito sono riportati esempi di scenari in cui i controller di domino dovrebbero essere gestiti tramite il gateway ATA Lightweight:The following are examples of scenarios in which domain controllers should be covered by the ATA Lightweight Gateway:

  • Siti di succursaleBranch sites

  • Controller di dominio virtuali distribuiti nel cloud (IaaS)Virtual domain controllers deployed in the cloud (IaaS)

Di seguito sono riportati esempi di scenari in cui i controller di domino dovrebbero essere gestiti tramite il gateway ATA:The following are examples of scenarios in which domain controllers should be covered by the ATA Gateway:

  • Sede centrale dei data center (con controller di dominio con più di 10.000 pacchetti al secondo)Headquarter data centers (having domain controllers with more than 10,000 packets per seconds)

Dimensionamento dei gateway ATA LightweightATA Lightweight Gateway Sizing

Un gateway ATA Lightweight può supportare il monitoraggio di un controller di dominio in base alla quantità di traffico di rete generata dal controller di dominio stesso.An ATA Lightweight Gateway can support the monitoring of one domain controller based on the amount of network traffic the domain controller generates.

Pacchetti al secondo*Packets per second* CPU (Core**)CPU (cores**) Memoria (GB)***Memory (GB)***
1,0001,000 22 66
50005,000 66 1616
10,00010,000 1010 2424

*Numero totale di pacchetti al secondo sul controller di dominio monitorato dallo specifico gateway ATA Lightweight.*Total number of packets-per-second on the domain controller being monitored by the specific ATA Lightweight Gateway.

**Numero totale di core senza tecnologia hyperthreading installati dal controller di dominio.**Total number of non-hyper threaded cores that this domain controller has installed.
Anche se la tecnologia hyperthreading è accettabile per il gateway ATA Lightweight, quando si pianifica la capacità è necessario contare i core effettivi e non quelli con tale tecnologia.While hyper threading is acceptable for the ATA Lightweight Gateway, when planning for capacity, you should count actual cores and not hyper threaded cores.

***Quantità totale di memoria installata dal controller di dominio.***Total amount of memory that this domain controller has installed.

Nota

  • Se il controller di dominio non ha le risorse richieste dal gateway ATA Lightweight, le sue prestazioni non vengono compromesse ma è possibile che il gateway ATA Lightweight non funzioni nel modo previsto.If the domain controller does not have the resources required by the ATA Lightweight Gateway, domain controller performance is not effected, but the ATA Lightweight Gateway might not operate as expected.
  • Quando viene eseguito come macchina virtuale, la memoria dinamica o altre funzionalità non sono supportate.When running as a virtual machine dynamic memory or any other memory ballooning feature is not supported.
  • Per ottenere prestazioni ottimali, impostare Power Option (Opzioni potenza) nel gateway ATA Lightweight su High Performance (Prestazioni elevate).For optimal performance, set the Power Option of the ATA Lightweight Gateway to High Performance.
  • Sono necessari almeno 5 GB di spazio, 10 GB consigliati, incluso lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Dimensionamento del gateway ATAATA Gateway Sizing

Prima di decidere quanti gateway ATA distribuire, considerare quanto segue.Consider the following issues when deciding how many ATA Gateways to deploy.

  • Foreste e domini Active DirectoryActive Directory forests and domains
    ATA è in grado di monitorare il traffico proveniente da più domini e da una singola foresta Active Directory.ATA can monitor traffic from multiple domains from a single Active Directory forest. Il monitoraggio di più foreste Active Directory richiede distribuzioni ATA separate.Monitoring multiple Active Directory forests requires separate ATA deployments. Evitare di configurare una singola distribuzione ATA per monitorare il traffico di rete dei controller di dominio da foreste diverse.Do not configure a single ATA deployment to monitor network traffic of domain controllers from different forests.

  • Mirroring delle portePort Mirroring
    Per quanto riguarda il mirroring delle porte, può essere necessario distribuire più gateway ATA per data center o sito di succursale.Port mirroring considerations might require you to deploy multiple ATA Gateways per data center or branch site.

  • CapacitàCapacity
    Un gateway ATA può supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete dei controller di dominio monitorati.An ATA Gateway can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.

|Pacchetti al secondo*Packets per second*|CPU (Core**)CPU (cores**)|Memoria (GB)Memory (GB)| |---------------------------|-------------------------|---------------| |1,0001,000|11|66| |50005,000|22|1010| |10,00010,000|33|1212| |20,00020,000|66|2424| |50.00050,000|1616|4848| * Numero totale medio di pacchetti al secondo da tutti i controller di dominio monitorati dal gateway ATA specifico durante le ore del giorno con i massimi livelli di attività.*Total average number of packets-per-second from all domain controllers being monitored by the specific ATA Gateway during their busiest hour of the day.

* La quantità totale di traffico con mirroring delle porte dei controller di dominio non può superare la capacità di acquisizione NIC del gateway ATA.*The total amount of domain controller port-mirrored traffic cannot exceed the capacity of the capture NIC on the ATA Gateway.

* * L'hyperthreading deve essere disabilitato.**Hyper-threading must be disabled.

Nota

  • La memoria dinamica non è supportata.Dynamic memory is not supported.
  • Per ottenere prestazioni ottimali, impostare Power Option nel gateway ATA su High Performance.For optimal performance, set the Power Option of the ATA Gateway to High Performance.
  • Sono necessari almeno 5 GB di spazio, 10 GB consigliati, incluso lo spazio necessario per i file binari ATA, i log ATA e i log delle prestazioni.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Vedere ancheSee Also