Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Pianificazione della capacità di ATAATA Capacity Planning

Questo argomento consente di determinare il numero di server ATA necessari per monitorare la rete.This topic helps you determine how many ATA servers are needed to monitor your network. Consente anche di valutare quanti gateway ATA e/o gateway ATA Lightweight sono necessari e la capacità dei server per ATA Center e i gateway ATA.It will also help you figure out how many ATA Gateways and/or ATA Lightweight Gateways you need and the server capacity for your ATA Center and ATA Gateways.

Nota

Il Centro ATA può essere distribuito a qualsiasi fornitore IaaS, purché siano soddisfatti i requisiti di prestazioni descritti in questo articolo.The ATA Center can be deployed on any IaaS vendor as long as the performance requirements described in this article are met.

Uso dello strumento di dimensionamentoUsing the sizing tool

Il metodo più semplice consigliato per determinare la capacità per una distribuzione ATA consiste nell'uso dello strumento di dimensionamento ATA.The recommended and simplest way to determine capacity for your ATA deployment is to use the ATA Sizing Tool. Eseguire lo strumento di dimensionamento ATA e, in base ai risultati del file di Excel, usare i campi seguenti per determinare la capacità di ATA necessaria:Run the ATA Sizing Tool and from the Excel file results, use the following fields to determine the ATA capacity you need:

  • CPU e memoria ATA Center: stabilire la corrispondenza del campo Busy Packets/sec (Pacchetti occupati/sec) nel file dei risultati nella tabella di ATA Center con il campo PACKETS PER SECOND (PACCHETTI AL SECONDO) nella tabella di ATA Center.ATA Center CPU and Memory: Match the Busy Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Memoria di ATA Center: stabilire la corrispondenza del campo Avg Packets/sec (Media pacchetti/sec) nel file dei risultati nella tabella di ATA Center con il campo PACKETS PER SECOND (PACCHETTI AL SECONDO) nella tabella di ATA Center.ATA Center Storage: Match the Avg Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Gateway ATA: stabilire la corrispondenza del campo Busy Packets/sec (Pacchetti occupati/sec) nella tabella del gateway ATA nel file dei risultati con il campo PACKETS PER SECOND (PACCHETTI AL SECONDO) nella tabella del gateway ATA o nella tabella del gateway ATA Lightweight, a seconda del tipo di gateway selezionato.ATA Gateway: Match the Busy Packets/sec field in the ATA Gateway table in the results file to the PACKETS PER SECOND field in the ATA Gateway table or the ATA Lightweight Gateway table, depending on the gateway type you choose.

Esempio di strumento per la pianificazione della capacità

Se per qualche motivo non è possibile usare lo strumento di dimensionamento ATA, raccogliere manualmente le informazioni dei contatori di pacchetti al secondo da tutti i controller di dominio per 24 ore con un intervallo di raccolta molto breve (circa 5 secondi).If for some reason you cannot use the ATA Sizing Tool, manually gather the packet/sec counter information from all your Domain Controllers for 24 hours with a low collection interval (approximately 5 seconds). Per ogni controller di dominio, è quindi necessario calcolare la media giornaliera e la media del periodo più occupato (15 minuti).Then, for each Domain Controller, you must calculate the daily average and the busiest period (15 minutes) average. Le sezioni seguenti presentano istruzioni su come raccogliere i dati del contatore di pacchetti al secondo da un controller di dominio.The following sections present the instruction for how to collect the packets/sec counter from one Domain Controller.

Dimensionamento del Centro ATAATA Center Sizing

Il Centro ATA richiede un minimo consigliato di 30 giorni di dati per l'analisi del comportamento dell'utente.The ATA Center requires a recommended minimum of 30 days of data for user behavioral analytics.

Pacchetti al secondo da tutti i controller di dominioPackets per second from all DCs CPU (core*)CPU (cores*) Memoria (GB)Memory (GB) Archiviazione giornaliera del database (GB)Database storage per day (GB) Archiviazione mensile del database (GB)Database storage per month (GB) IOPS**IOPS**
1,0001,000 22 3232 0,30.3 99 30 (100)30 (100)
40,00040,000 44 4848 1212 360360 500 (750)500 (750)
200,000200,000 88 6464 6060 1,8001,800 1,000 (1,500)1,000 (1,500)
400.000400,000 1212 9696 120120 3,6003,600 2,000 (2,500)2,000 (2,500)
750.000750,000 2424 112112 225225 6.7506,750 2.500 (3.000)2,500 (3,000)
1.000.0001,000,000 4040 128128 300300 9,0009,000 4,000 (5,000)4,000 (5,000)

*Include core fisici e core senza hyperthreading.*This includes physical cores, not hyper-threaded cores.

** Numeri medi (numeri massimi)**Average numbers (Peak numbers)

Nota
  • ATA Center può gestire un massimo aggregato di 1 milione di pacchetti al secondo da tutti i controller di dominio monitorati.The ATA Center can handle an aggregated maximum of 1M packets per second from all the monitored domain controllers. In alcuni ambienti lo stesso Centro ATA può gestire un traffico complessivo superiore a 1 milione.In some environments, the same ATA Center can handle overall traffic that is higher than 1M. Per ricevere assistenza su tali ambienti, contattare askcesec@microsoft.com.Contact askcesec@microsoft.com for assistance with such environments.
  • La quantità di memoria indicata è un valore netto.The amount of storage dictated here are net values. È sempre necessario considerare la crescita futura e verificare che il disco su cui si trova il database abbia almeno il 20% di spazio libero.You should always account for future growth and to make sure that the disk the database resides on has at least 20% of free space.
  • Se lo spazio libero corrisponde almeno al 20% o a 200 GB, la raccolta di dati meno recente viene eliminata.If your free space reaches a minimum of either 20% or 200 GB, the oldest collection of data is deleted. Questa operazione continua a verificarsi finché rimarrà il 5% o 50 GB di spazio libero. A quel punto, la raccolta dei dati terminerà.Deletion continues to occur until 5% or 50 GB of free space remains at which point data collection stops working.
  • È possibile distribuire il Centro ATA a qualsiasi fornitore IaaS, purché siano soddisfatti i requisiti di prestazioni descritti in questo articolo.It's possible to deploy the ATA Center on any IaaS vendor as long as the performance requirements that are described in this article are met.
  • La latenza di archiviazione per le attività di lettura e scrittura deve essere inferiore a 10 ms.The storage latency for read and write activities should be below 10 ms.
  • Il rapporto tra le attività di lettura e scrittura è di circa 1:3 per un numero di pacchetti al secondo inferiore a 100.000 e di 1:6 per un numero di pacchetti al secondo superiore a 100.000.The ratio between read and write activities is approximately 1:3 below 100,000 packets-per-second and 1:6 above 100,000 packets-per-second.
  • Quando viene eseguito come macchina virtuale, la memoria dinamica o altre funzionalità non sono supportate.When running as a virtual machine dynamic memory or any other memory ballooning feature is not supported.
  • Per ottenere prestazioni ottimali, impostare Power Option (Opzioni potenza) nel Centro ATA su High Performance (Prestazioni elevate).For optimal performance, set the Power Option of the ATA Center to High Performance.
  • Quando si usa un server fisico, il database ATA richiede la disabilitazione dell'accesso non uniforme alla memoria (NUMA, Non-Uniform Memory Access) nel BIOS.When working on a physical server, the ATA database needs you to disable Non-uniform memory access (NUMA) in the BIOS. Il sistema può fare riferimento a NUMA come interfoliazione dei nodi e in questo caso sarà necessario abilitare l'interfoliazione dei nodi per disabilitare NUMA.Your system may refer to NUMA as Node Interleaving, in which case you have to enable Node Interleaving to disable NUMA. Per altre informazioni, vedere la documentazione del BIOS.For more information see your BIOS documentation. Tutto ciò non è pertinente quando ATA Center è in esecuzione in un server virtuale.This is not relevant when the ATA Center is running on a virtual server.

Scelta del tipo di gateway corretto per la distribuzioneChoosing the right gateway type for your deployment

In una distribuzione ATA è supportata qualsiasi combinazione dei tipi di gateway ATA:In an ATA deployment any combination of the ATA Gateway types is supported:

  • Solo gateway ATAOnly ATA Gateways
  • Solo gateway ATA LightweightOnly ATA Lightweight Gateways
  • Combinazione di entrambiA combination of both

Quando si decide il tipo di distribuzione dei gateway, considerare quanto segue:When deciding the Gateway deployment type, consider the following benefits:

Tipo di gatewayGateway type VantaggiBenefits CostiCost Topologia di distribuzioneDeployment topology Uso del controller di dominioDomain controller use
Gateway ATAATA Gateway La distribuzione fuori banda rende più difficile per gli utenti malintenzionati individuare la presenza di ATAThe Out of band deployment makes it harder for attackers to discover ATA is present ElevatiHigher Installata insieme al controller di dominio (fuori banda)Installed alongside the domain controller (out of band) Supporta fino a 50.000 pacchetti al secondoSupports up to 50,000 packets per second
Gateway ATA LightweightATA Lightweight Gateway Non richiede un server dedicato e la configurazione del mirroring delle porteDoesn't require a dedicated server and port-mirroring configuration RidottiLower Installata su un controller di dominioInstalled on the domain controller Supporta fino a 10.000 pacchetti al secondoSupports up to 10,000 packets per second

Di seguito sono riportati esempi di scenari in cui i controller di domino dovrebbero essere gestiti tramite il gateway ATA Lightweight:The following are examples of scenarios in which domain controllers should be covered by the ATA Lightweight Gateway:

  • Siti di succursaleBranch sites

  • Controller di dominio virtuali distribuiti nel cloud (IaaS)Virtual domain controllers deployed in the cloud (IaaS)

Di seguito sono riportati esempi di scenari in cui i controller di domino dovrebbero essere gestiti tramite il gateway ATA:The following are examples of scenarios in which domain controllers should be covered by the ATA Gateway:

  • Sede centrale dei data center (con controller di dominio con più di 10.000 pacchetti al secondo)Headquarter data centers (having domain controllers with more than 10,000 packets per seconds)

Dimensionamento dei gateway ATA LightweightATA Lightweight Gateway Sizing

Un gateway ATA Lightweight può supportare il monitoraggio di un controller di dominio in base alla quantità di traffico di rete generata dal controller di dominio stesso.An ATA Lightweight Gateway can support the monitoring of one domain controller based on the amount of network traffic the domain controller generates.

Pacchetti al secondo*Packets per second* CPU (Core**)CPU (cores**) Memoria (GB)***Memory (GB)***
1,0001,000 22 66
50005,000 66 1616
10,00010,000 1010 2424

*Numero totale di pacchetti al secondo sul controller di dominio monitorato dallo specifico gateway ATA Lightweight.*Total number of packets-per-second on the domain controller being monitored by the specific ATA Lightweight Gateway.

**Numero totale di core senza tecnologia hyperthreading installati dal controller di dominio.**Total number of non-hyper threaded cores that this domain controller has installed.
Anche se la tecnologia hyperthreading è accettabile per il gateway ATA Lightweight, quando si pianifica la capacità è necessario contare i core effettivi e non quelli con tale tecnologia.While hyper threading is acceptable for the ATA Lightweight Gateway, when planning for capacity, you should count actual cores and not hyper threaded cores.

***Quantità totale di memoria installata dal controller di dominio.***Total amount of memory that this domain controller has installed.

Nota
  • Se il controller di dominio non ha le risorse richieste dal gateway ATA Lightweight, le sue prestazioni non vengono compromesse ma è possibile che il gateway ATA Lightweight non funzioni nel modo previsto.If the domain controller does not have the resources required by the ATA Lightweight Gateway, domain controller performance is not effected, but the ATA Lightweight Gateway might not operate as expected.
  • Quando viene eseguito come macchina virtuale, la memoria dinamica o altre funzionalità non sono supportate.When running as a virtual machine dynamic memory or any other memory ballooning feature is not supported.
  • Per ottenere prestazioni ottimali, impostare Power Option (Opzioni potenza) nel gateway ATA Lightweight su High Performance (Prestazioni elevate).For optimal performance, set the Power Option of the ATA Lightweight Gateway to High Performance.
  • Sono necessari almeno 5 GB di spazio, 10 GB consigliati, incluso lo spazio necessario per i file binari ATA, i registri ATA e i registri delle prestazioni.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs and performance logs.

Dimensionamento del gateway ATAATA Gateway Sizing

Prima di decidere quanti gateway ATA distribuire, considerare quanto segue.Consider the following issues when deciding how many ATA Gateways to deploy.

  • Foreste e domini Active DirectoryActive Directory forests and domains
    ATA è in grado di monitorare il traffico proveniente da più domini e da una singola foresta Active Directory.ATA can monitor traffic from multiple domains from a single Active Directory forest. Il monitoraggio di più foreste Active Directory richiede distribuzioni ATA separate.Monitoring multiple Active Directory forests requires separate ATA deployments. Evitare di configurare una singola distribuzione ATA per monitorare il traffico di rete dei controller di dominio da foreste diverse.Do not configure a single ATA deployment to monitor network traffic of domain controllers from different forests.

  • Mirroring delle portePort Mirroring
    Per quanto riguarda il mirroring delle porte, può essere necessario distribuire più gateway ATA per data center o sito di succursale.Port mirroring considerations might require you to deploy multiple ATA Gateways per data center or branch site.

  • CapacitàCapacity
    Un gateway ATA può supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete dei controller di dominio monitorati.An ATA Gateway can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.

Pacchetti al secondo*Packets per second* CPU (Core**)CPU (cores**) Memoria (GB)Memory (GB)
1,0001,000 11 66
50005,000 22 1010
10,00010,000 33 1212
20,00020,000 66 2424
50.00050,000 1616 4848

* Numero totale medio di pacchetti al secondo da tutti i controller di dominio monitorati dal gateway ATA specifico durante le ore del giorno con i massimi livelli di attività.*Total average number of packets-per-second from all domain controllers being monitored by the specific ATA Gateway during their busiest hour of the day.

* La quantità totale di traffico con mirroring delle porte dei controller di dominio non può superare la capacità di acquisizione NIC del gateway ATA.*The total amount of domain controller port-mirrored traffic cannot exceed the capacity of the capture NIC on the ATA Gateway.

* * L'hyperthreading deve essere disabilitato.**Hyper-threading must be disabled.

Nota
  • La memoria dinamica non è supportata.Dynamic memory is not supported.
  • Per ottenere prestazioni ottimali, impostare Power Option nel gateway ATA su High Performance.For optimal performance, set the Power Option of the ATA Gateway to High Performance.
  • Sono necessari almeno 5 GB di spazio, 10 GB consigliati, incluso lo spazio necessario per i file binari ATA, i registri ATA e i registri delle prestazioni.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs and performance logs.

Stima del traffico dei controller di dominioDomain controller traffic estimation

Sono disponibili vari strumenti per individuare la media dei pacchetti al secondo dei controller di dominio.There are various tools that you can use to discover the average packets per second of your domain controllers. Se non si dispone di tutti gli strumenti per monitorare questo contatore, è possibile usare Performance Monitor per raccogliere le informazioni necessarie.If you do not have any tools that track this counter, you can use Performance Monitor to gather the required information.

Per determinare il numero di pacchetti al secondo, eseguire questa procedura su ogni controller di dominio:To determine packets per second, perform the following steps on each domain controller:

  1. Aprire Performance Monitor.Open Performance Monitor.

    Immagine di Performance Monitor

  2. Espandere Insiemi agenti di raccolta dati.Expand Data Collector Sets.

    Immagine di Insiemi agenti di raccolta dati

  3. Fare clic con il pulsante destro del mouse su Definito dall'utente e selezionare Nuovo > Insieme agenti di raccolta dati.Right click User Defined and select New > Data Collector Set.

    Immagine di Nuovo insieme agenti di raccolta dati

  4. Immettere un nome per l'insieme agenti di raccolta e selezionare Crea manualmente (per utenti esperti).Enter a name for the collector set and select Create Manually (Advanced).

  5. In Tipi di dati selezionare Crea registri dati e Contatore delle prestazioni.Under What type of data do you want to include? select Create data logs, and Performance counter.

    Immagine di Tipi di dati del nuovo insieme agenti di raccolta dati

  6. In Registrazione contatori delle prestazioni fare clic su Aggiungi.Under Which performance counters would you like to log, click Add.

  7. Espandere Scheda di rete, selezionare Pacchetti/sec e scegliere l'istanza appropriata.Expand Network Adapter and select Packets/sec and select the proper instance. Se non si è certi, è possibile selezionare <Tutte le istanze> e quindi fare clic su Aggiungi e OK.If you are not sure, you can select <All instances> and click Add and OK.

    Nota

    Per eseguire tale operazione in una riga di comando, eseguire ipconfig /all per visualizzare il nome della scheda e della configurazione.To perform this operation in a command line, run ipconfig /all to see the name of the adapter and configuration.

    Immagine dell'aggiunta di contatori delle prestazioni

  8. Impostare Intervallo di campionamento su 1 secondo.Change the Sample interval to 1 second.

  9. Impostare il percorso in cui si desidera salvare i dati.Set the location where you want the data to be saved.

  10. In Creazione insieme agenti di raccolta dati selezionare Avvia l'insieme agenti di raccolta dati e fare clic su Fine.Under Create the data collector set, select Start this data collector set now and click Finish.

    A questo punto sull'insieme agenti di raccolta dati creato si noterà un triangolo verde che indica che è in funzione.You should now see the data collector set you created with a green triangle indicating that it is working.

  11. Dopo 24 ore, arrestare l'insieme agenti di raccolta dati facendo clic con il pulsante destro del mouse su quest'ultimo e selezionando Arresta.After 24 hours, stop the data collector set, by right-clicking the data collector set and selecting Stop.

    Immagine dell'arresto dell'insieme agenti di raccolta dati

  12. In Esplora File cercare la cartella in cui è stato salvato il file con estensione blg e selezionarlo con un doppio clic per aprirlo in Performance Monitor.In File Explorer, browse to the folder where the .blg file was saved and double-click it to open it in Performance Monitor.

  13. Selezionare il contatore Pacchetti/sec e registrare i valori medi e massimi.Select the Packets/sec counter, and record the average and maximum values.

    Immagine del contatore di pacchetti al secondo

Vedere ancheSee Also