ATA の容量計画
適用対象: Advanced Threat Analytics Version 1.9
この記事は、ネットワークの監視に必要な ATA サーバーの数を決定するのに役立ちます。 また、必要な ATA ゲートウェイや ATA Lightweight Gateway の数、ATA センターと ATA ゲートウェイのサーバー容量を見積もるのにも役立ちます。
Note
ATA センターは、この記事で説明するパフォーマンス要件が満たされている限り、どの IaaS ベンダーにもデプロイできます。
サイズ設定ツールの使用
ATA のデプロイに必要な容量を決定するための最も簡単な方法として、ATA サイズ設定ツールを使用することをお勧めします。 ATA サイズ設定ツールを実行し、Excel の結果ファイルから次のフィールドを使用して、必要な ATA 容量を決定します。
ATA センターの CPU およびメモリ: ATA センター テーブルの結果ファイルの Busy Packets/sec フィールドが ATA Center テーブルの PACKETS PER SECOND フィールドに対応します。
ATA センターのストレージ: ATA センター テーブルの結果ファイルの Avg Packets/sec フィールドが ATA センター テーブルの PACKETS PER SECOND フィールドに対応します。
ATA Gateway: ATA ゲートウェイ テーブルの結果ファイルの Busy Packets/sec フィールドが、選択したゲートウェイのタイプに応じて、ATA ゲートウェイ テーブルまたは ATA Lightweight Gateway テーブルの PACKETS PER SECOND フィールドに対応します。
Note
環境によっては多くの特殊な、または予想外のネットワーク トラフィック プロパティがあるため、初めて ATA をデプロイし、サイズ設定ツールを実行した後は、容量に応じてデプロイを調整および微調整することが必要になる場合があります。
ATA サイズ設定ツールを使用できない場合は、すべてのドメイン コントローラーから短い収集間隔 (約 5 秒) で 24 時間分の Busy Packets/sec カウンター情報を手動で収集します。 次に、ドメイン コントローラーごとに、1 日の平均と最もビジーとなる期間 (15 分) の平均を計算します。 以降のセクションでは、1 つのドメイン コントローラーから Busy Packets/sec カウンター情報を収集する方法について説明します。
Note
環境によっては多くの特殊な、または予想外のネットワーク トラフィック プロパティがあるため、初めて ATA をデプロイし、サイズ設定ツールを実行した後は、容量に応じてデプロイを調整および微調整することが必要になる場合があります。
ATA センターのサイズ設定
ATA センターでは、ユーザーの行動分析に必要な最小限のデータとして、30 日分をお勧めします。
| すべての DC からの 1 秒あたりのパケット数 | CPU (コア数*) | メモリ (GB) | 1 日あたりのデータベース ストレージ (GB) | 1 か月あたりのデータベース ストレージ (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*これには、物理コアが含まれており、ハイパー スレッド コアは含まれません。
**平均数 (ピーク数)
Note
- ATA センターはすべての監視対象ドメイン コントローラーからの 1 秒あたり最大 1 M パケットを処理できます。 環境によっては、同じ ATA センターで処理するトラフィックの合計量が 1 M を超えることがあり、ATA の容量を超える場合があります。 大規模な環境の計画と見積もりについてサポートが必要な場合は、azureatpfeedback@microsoft.com までお問い合わせください。
- 空き容量が 20% または 200 GB 以下になった場合、最も古い収集データが削除されます。 このレベルに達するまで収集データを削減できない場合は、アラートがログに記録されます。 ATA は、空き容量が 5% または 50 GB のしきい値に達するまで機能し続けます。 この時点で、ATA はデータベースへの入力を停止し、追加のアラートが発行されます。
- この記事で説明されているパフォーマンス要件を満たしていれば、ATA センターを任意の IaaS ベンダーにデプロイできます。
- 読み取りおよび書き込みアクティビティのストレージ遅延は 10 ミリ秒未満にする必要があります。
- 読み取りアクティビティと書き込みアクティビティの比率は、100,000 パケット/秒未満で約 1:3、100,000 パケット/秒以上で約 1:6 です。
- Center を仮想マシン (VM) として実行する場合、Center 用に常にすべてのメモリを VM に割り当てる必要があります。 ATA センターを仮想マシンとして実行する方法の詳細については、「ATA センターの要件」を参照してください。
- 最適なパフォーマンスを得るには、ATA センターの電源オプションを [ハイ パフォーマンス] に設定します。
- ATA センターが物理サーバー上で動作している場合、ATA データベース用に BIOS で Non-Uniform Memory Access (NUMA) を無効にする必要があります。 システムによっては NUMA をノード インターリービングと呼んでいる場合があります。その場合は、ノード インターリービングを有効にして NUMA を無効にする必要があります。 詳細については、BIOS のドキュメントを参照してください。 これは、ATA センターが仮想サーバー上で動作している場合には関係ありません。
デプロイに適した Gateway のタイプの選択
ATA のデプロイでは、ATA ゲートウェイのタイプを任意に組み合わせることができます。
- ATA ゲートウェイのみ
- ATA Lightweight Gateway のみ
- 両方の組み合わせ
Gateway のデプロイ タイプを決定するときは、次のメリットを考慮してください。
| ゲートウェイの種類 | メリット | コスト | デプロイ トポロジ | ドメイン コントローラーの使用 |
|---|---|---|---|---|
| ATA Gateway | 帯域外のデプロイにより、攻撃者が ATA の存在を見つけにくい | より高い | ドメイン コントローラーと同時にインストール (帯域外) | 1 秒あたり最大 50,000 パケットをサポート |
| ATA Lightweight Gateway | 専用サーバーやポート ミラーリング構成が不要 | Lower | ドメイン コントローラーにインストール | 1 秒あたり最大 10,000 パケットをサポート |
ドメイン コントローラーが ATA Lightweight Gateway の対象となるシナリオの例を次に示します。
ブランチ サイト
クラウド (IaaS) にデプロイされた仮想ドメイン コントローラー
ドメイン コントローラーが ATA ゲートウェイの対象となるシナリオの例を次に示します。
- 本社データ センター (ドメイン コントローラーの 1 秒あたりのパケット数が 10,000 パケットを超える)
ATA Lightweight Gateway のサイズ設定
ATA Lightweight Gateway は、ドメイン コントローラーが生成するネットワーク トラフィックの量に基づいて、1 つのドメイン コントローラーの監視をサポートできます。
| 1 秒あたりのパケット数* | CPU (コア数**) | メモリ (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*特定の ATA Lightweight Gateway によって監視されているドメイン コントローラーの 1 秒あたりのパケット数の合計。
**ドメイン コントローラーがインストールされている非ハイパー スレッド コアの合計数。
ATA Lightweight Gateway ではハイパー スレッディングが許容されますが、容量を計画するときは、ハイパー スレッド コアではなく実際のコアをカウントする必要があります。
***このドメイン コントローラーに取り付けられているメモリの合計量。
Note
- ATA Lightweight Gateway に必要なリソースがドメイン コントローラーにない場合、ドメイン コントローラーのパフォーマンスは影響を受けませんが、ATA Lightweight Gateway が想定どおりに動作しない可能性があります。
- Gateway を仮想マシン (VM) として実行する場合は、すべてのメモリを常に VM に割り当てる必要があります。 ATA ゲートウェイを仮想マシンとして実行する方法の詳細については、「動的メモリの要件」を参照してください。
- 最適なパフォーマンスを得るには、ATA Lightweight Gateway の電源オプションを [ハイ パフォーマンス] に設定します。
- ATA のバイナリ、ATA のログ、パフォーマンス ログを含めると、5 GB 以上の空き容量が必要であり、10 GB の空き容量が推奨されます。
ATA ゲートウェイのサイズ設定
デプロイする ATA ゲートウェイの数を決定するときは、次の問題を考慮してください。
- Active Directory のフォレストとドメイン
ATA は 1 つの Active Directory フォレストの複数のドメインのトラフィックを監視できます。 複数の Active Directory フォレストを監視するには、それぞれに個別の ATA のデプロイが必要です。 1 つの ATA のデプロイで異なるフォレストのドメイン コントローラーのネットワーク トラフィックを監視するように構成しないでください。 - ポート ミラーリング
ポート ミラーリングを考慮すると、データ ゲートウェイまたはブランチ サイトごとに複数の ATA ゲートウェイをデプロイすることが必要になる場合があります。 - 容量
ATA ゲートウェイは、監視対象のドメイン コントローラーのネットワーク トラフィックの量に応じて、複数のドメイン コントローラーの監視をサポートできます。
| 1 秒あたりのパケット数* | CPU (コア数**) | メモリ (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*1 日の中で最もビジーとなる時間帯に、特定の ATA ゲートウェイによって監視されているすべてのドメイン コントローラーからの 1 秒あたりの平均パケット数の合計。
*ドメイン コントローラーのポート ミラーリングされたトラフィックの合計量は、ATA ゲートウェイのキャプチャ NIC の容量を超えることはできません。
**ハイパー スレッディングを無効にする必要があります。
Note
- Gateway を仮想マシン (VM) として実行する場合は、すべてのメモリを常に VM に割り当てる必要があります。 ATA ゲートウェイを仮想マシンとして実行する方法の詳細については、「動的メモリの要件」を参照してください。
- 最適なパフォーマンスを得るには、ATA ゲートウェイの電源オプションを [ハイ パフォーマンス] に設定します。
- ATA のバイナリ、ATA のログ、パフォーマンス ログを含めると、5 GB 以上の空き容量が必要であり、10 GB の空き容量が推奨されます。