ATA の前提条件
適用対象: Advanced Threat Analytics Version 1.9
この記事では、環境内で ATA を正常にデプロイするための要件について説明します。
Note
リソースおよび容量を計画する方法については、「ATA の容量計画」を参照してください。
ATA は、ATA センター、ATA ゲートウェイ、または ATA Lightweight Gateway で構成されます。 ATA コンポーネントの詳細については、「IPAM アーキテクチャ」を参照してください。
ATA システムは、Active Directory フォレスト境界で動作し、Windows 2003 以降の Forest Functional Level (FFL) をサポートします。
開始前に: このセクションでは、ATA のインストールの開始前に、収集する必要がある情報と、必要なアカウントとネットワーク エンティティを一覧表示します。
ATA センター: このセクションでは、ATA センターのハードウェア、ソフトウェア要件、および ATA センター サーバーで構成する必要がある設定を示します。
ATA ゲートウェイ: このセクションでは、ATA ゲートウェイ ハードウェア、ソフトウェア要件、および ATA ゲートウェイ サーバーで構成する必要がある設定を示します。
ATA Lightweight Gateway: このセクションでは、ATA Lightweight Gateway のハードウェアとソフトウェアの要件を示します。
ATA コンソール: このセクションでは、ATA コンソールを実行するためのブラウザーの要件を示します。
開始する前に
このセクションでは、ATA のインストールの開始前に、収集する必要がある情報と、必要なアカウントとネットワーク エンティティを一覧表示します。
監視対象のドメイン内のすべてのオブジェクトへの読み取りアクセス権を持つユーザー アカウントとパスワード。
Note
ドメインのさまざまな組織単位 (OU) にカスタム ACL を設定している場合は、選択したユーザーがそれらの OU に対する読み取りアクセス許可を持っていることを確認します。
ATA ゲートウェイまたは Lightweight Gateway に Microsoft Message Analyzer をインストールしないでください。 Message Analyzer ドライバーは、ATA ゲートウェイ ドライバーと Lightweight Gateway ドライバーと競合します。 ATA ゲートウェイで Wireshark を実行する場合は、Wireshark キャプチャを停止した後、Microsoft Advanced Threat Analytics Gateway サービスを再起動する必要があります。 そうでない場合、ゲートウェイはトラフィックのキャプチャを停止します。 ATA Lightweight Gatewayで Wireshark を実行しても、ATA Lightweight Gateway に干渉しません。
推奨事項: ユーザーには、削除済みオブジェクト コンテナーに対する読み取り専用アクセス許可が必要です。 これにより、ATA はドメイン内のオブジェクトの一括削除を検出できます。 削除済みオブジェクト コンテナーに対する読み取り専用アクセス許可の構成の詳細については、「ディレクトリ オブジェクトに対するアクセス許可の表示または設定」の「削除されたオブジェクト コンテナーに対するアクセス許可の変更」章を参照してください。
オプション: ネットワーク アクティビティのないユーザーのユーザー アカウント。 このアカウントは、ATA Honeytoken ユーザーとして構成できます。 Honeytoken ユーザーとしてアカウントを構成するには、ユーザー名のみが必要です。 Honeytoken の構成情報については、「IP アドレスの除外と Honeytoken ユーザーの構成」を参照してください。
オプション: ATA では、ドメイン コントローラー間のネットワーク トラフィックの収集と分析に加えて、Windows イベント 4776、4732、4733、4728、4729、4756、4757 を使用して、ATA Pass-the-Hash、ブルート フォース、機密性の高いグループへの変更、およびハニー トークン検出をさらに強化できます。 これらのイベントは、SIEM から受信するか、ドメイン コントローラーから Windows イベント転送を設定することで受け取ることができます。 収集されたイベントにより、ドメイン コントローラーのネットワーク トラフィック経由では利用できない追加情報が ATA に提供されます。
ATA センターの要件
このセクションでは、ATA センターの要件を示します。
全般
ATA センターでは、Windows Server 2012 R2 Windows Server 2016 および Windows Server 2019 を実行しているサーバーへのインストールがサポートされています。
Note
ATA センターでは、Windows Server Core はサポートされていません。
ATA センターは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。
Windows 2012 R2 を実行している ATA センターをインストールする前に、次の更新プログラムである KB2919355 がインストールされていることを確認します。
確認するには、Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355] を実行します。
仮想マシンとして ATA センターをインストールできます。
サーバー仕様
物理サーバーで動作している場合、ATA データベースは、BIOS で Non-uniform memory access (NUMA) を無効にする必要があります。 システムによっては NUMA をノード インターリーブと呼んでいる場合があります。その場合は、ノード インターリービングを有効にして NUMA を無効にする必要があります。 詳細については、BIOS のドキュメントを参照してください。
最適なパフォーマンスを得るには、ATA センターの電源オプションを [ハイ パフォーマンス] に設定します。
監視しているドメイン コントローラーの数と各 do メイン コントローラーの負荷によって、必要なサーバーの仕様が決まります。 詳細については、「ATA の容量計画」を参照してください。
Windows Operating systems 2008R2 および 2012 の場合、ATA ゲートウェイは [マルチ プロセッサー グループ] モードではサポートされていません。 マルチプロセッサ グループ モードの詳細については、トラブルシューティングを参照してください。
時刻同期
ATA センター サーバー、ATA ゲートウェイ サーバー、およびドメイン コントローラーには、互いに 5 分以内に同期する時間が必要です。
ネットワーク アダプター
次のセットが必要です。
少なくとも 1 つのネットワーク アダプター (VLAN 環境で物理サーバーを使用する場合は、2 つのネットワーク アダプターを使用することをお勧めします)
ポート 443 で SSL を使用して暗号化された ATA センターと ATA ゲートウェイ間の通信用 IP アドレス。 (ATA サービスは、ATA センターがポート 443 で持つすべての IP アドレスにバインドされます)。
Port
次の表は、ATA センターが正常に動作するために開く必要がある最小ポートの一覧です。
| Protocol | トランスポート | ポート | ソース言語/ターゲット言語 | 方向 |
|---|---|---|---|---|
| SSL (ATA 通信) | TCP | 443 | ATA Gateway | 着信 |
| HTTP (オプション) | TCP | 80 | 企業ネットワーク | 着信 |
| HTTPS | TCP | 443 | 会社ネットワークと ATA ゲートウェイ | 着信 |
| SMTP (オプション) | TCP | 25 | SMTP サーバー | 発信 |
| SMTPS (オプション) | TCP | 465 | SMTP サーバー | 発信 |
| Syslog (オプション) | TCP/UPS/TLS (構成可能) | 514 (既定値) | Syslog サーバー | 発信 |
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | 発信 |
| LDAPS (オプション) | TCP | 636 | ドメイン コントローラー | 発信 |
| DNS | TCP と UDP | 53 | DNS サーバー | 発信 |
| Kerberos (ドメイン参加済みの場合はオプション) | TCP と UDP | 88 | ドメイン コントローラー | 発信 |
| Windows Time (ドメイン参加済みの場合はオプション) | UDP | 123 | ドメイン コントローラー | 発信 |
Note
ATA ゲートウェイとドメイン コントローラーの間で使用する資格情報をテストするには、LDAP が必要です。 テストは ATA センターからドメイン コントローラーに対して実行され、これらの資格情報の有効性がテストされます。その後、ATA ゲートウェイは通常の解決プロセスの一部として LDAP を使用します。
証明書
ATA をより迅速にインストールしてデプロイするには、インストール時に自己署名認定資格証をインストールします。 自己署名認定資格証の使用を選択した場合は、初期デプロイ後に、自己署名認定資格証を ATA センターで使用する内部認証局の認定資格証に置き換えることをお勧めします。
ATA センターと ATA ゲートウェイが CRL 配布ポイントにアクセスできることを確認します。 インターネットにアクセスできない場合は、CRL を手動インポートする手順を実行して、チェーン全体のすべての CRL 配布ポイントをインストールします。
認定資格証には次のものが必要です。
- 秘密キー
- 暗号化サービス プロバイダー (CSP) または キー ストレージ プロバイダー (KSP) のいずれかのプロバイダーの種類
- 2048 ビットの公開鍵長
- KeyEncipherment と ServerAuthentication の使用フラグに設定された値
- 「KeyExchange」(AT_KEYEXCHANGE) の KeySpec (KeyNumber) 値。 「Signature」 (AT_SIGNATURE) の値は、サポートされていません。
- すべてのゲートウェイ コンピューターは、選択したセンター認定資格証を完全に検証して、信頼できる必要があります。
たとえば、標準の Web サーバーまたはコンピューター テンプレートを使用できます。
警告
既存の認定資格証を更新するプロセスはサポートされていません。 認定資格証を更新する唯一の方法は、新しい認定資格証を作成し、新しい認定資格証を使用するように ATA を構成することです。
Note
- 他のコンピューターから ATA コンソールにアクセスする場合は、それらのコンピューターが ATA センターで使用されている認定資格証を信頼していることを確認します。そうしないと、[ログイン] ページにアクセスする前に、Web サイトのセキュリティ認定資格証に問題があることを示す警告ページが表示されます。
- ATA バージョン 1.8 以降、ATA ゲートウェイと Lightweight Gateway は独自の認定資格証を管理しており、管理者による管理は必要ありません。
ATA ゲートウェイの要件
このセクションでは、ATA ゲートウェイの要件を示します。
全般
ATAゲートウェイは、Windows Server 2012 R2 または Windows Server 2016 および Windows Server 2019 (サーバー コアを含む) を実行しているサーバーへのインストールをサポートします。 ATA ゲートウェイは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。 ATA ゲートウェイは、Windows 2003 以上のドメイン機能レベルを備えたドメイン コントローラーを監視するために使用できます。
Windows 2012 R2 を実行している ATA ゲートウェイをインストールする前に、KB2919355 がインストールされていることを確認します。
確認するには、Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355] を実行します。
ATA ゲートウェイで仮想マシンを使用する方法については、「ポート ミラーリングを構成する」を参照してください。
Note
領域は少なくとも 5 GB 必要で、10 GB が推奨値です。 これには、ATA バイナリ、ATA ログ、パフォーマンス ログに必要な領域が含まれます。
サーバー仕様
最適なパフォーマンスを得るには、ATA ゲートウェイの電源オプションを [ハイ パフォーマンス] に設定します。
ATA Gateway は、ドメイン コントローラー間のネットワーク量に応じて、複数のドメイン コントローラーを監視できます。
動的メモリまたはその他の仮想マシン メモリ管理機能の詳細については、「動的メモリ」を参照してください。
ATA ゲートウェイのハードウェア要件の詳細については、「ATA の容量計画」を参照してください。
時刻同期
ATA センター サーバー、ATA ゲートウェイ サーバー、およびドメイン コントローラーには、互いに 5 分以内に同期する時間が必要です。
ネットワーク アダプター
ATA ゲートウェイには、少なくとも 1 つの管理アダプターと少なくとも 1 つのキャプチャ アダプターが必要です。
管理アダプター - 企業ネットワーク上の通信に使用されます。 このアダプターは、次の設定で構成される必要があります。
既定のゲートウェイを含む静的 IP アドレス
優先 DNS サーバーと代替 DNS サーバー
この接続の DNS サフィックスは、監視対象のドメインごとにドメインの DNS 名にする必要があります。
Note
ATA ゲートウェイがドメインのメンバーである場合、これは自動的に構成される可能性があります。
キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックをキャプチャするために使用されます。
重要
- キャプチャ アダプターのポート ミラーリングをドメイン コントローラー ネットワーク トラフィックの宛先として構成します。 詳細については、「ポート ミラーリングの構成」を参照してください。 通常、ポート ミラーリングを構成するには、ネットワーク チームか仮想化チームと協力する必要があります。
- デフォルト ゲートウェイも DNS サーバー アドレスも使用しない環境に対して、ルーティング不可能な静的 IP アドレスを構成します。 例: 1.1.1.1/32。 これにより、ネットワーク キャプチャ アダプターがトラフィックの最大量をキャプチャできるとともに、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックを送受信できるようになります。
Port
次の表に、ATA ゲートウェイが管理アダプターに構成する必要のある最小ポートの一覧します。
| Protocol | トランスポート | ポート | ソース言語/ターゲット言語 | 方向 |
|---|---|---|---|---|
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | 発信 |
| Secure LDAP (LDAPS) | TCP | 636 | ドメイン コントローラー | 発信 |
| LDAP からグローバル カタログ | TCP | 3268 | ドメイン コントローラー | 発信 |
| LDAPS からグローバル カタログ | TCP | 3269 | ドメイン コントローラー | 発信 |
| Kerberos | TCP と UDP | 88 | ドメイン コントローラー | 発信 |
| Netlogon (SMB、CIFS、SAM-R) | TCP と UDP | 445 | ネットワーク上のすべてのデバイス | 発信 |
| Windows タイム | UDP | 123 | ドメイン コントローラー | 発信 |
| DNS | TCP と UDP | 53 | DNS サーバー | 発信 |
| RPC 経由の NTLM | TCP | 135 | ネットワーク上のすべてのデバイス | 両方 |
| NetBIOS | UDP | 137 | ネットワーク上のすべてのデバイス | 両方 |
| SSL | TCP | 443 | ATA センター | 発信 |
| Syslog (オプション) | UDP | 514 | SIEM Server | 着信 |
Note
ATA ゲートウェイによって実行される解決プロセスの一環として、ATA ゲートウェイからネットワーク上のデバイスで次のポートを受信用に開く必要があります。
- RPC 経由の NTLM (TCP ポート 135)
- NetBIOS (UDP ポート 137)
- ATA ゲートウェイは、ディレクトリ サービス ユーザー アカウントにおいて、SAM-R (ネットワーク ログオン) を使ったローカル管理者のための組織内エンドポイントをクエリし、横移動パス グラフを作成します。 詳しくは、「SAM-R で必要な権限の構成」を参照してください。
- 次のポートは、ATA ゲートウェイからネットワーク上のデバイスで受信用として開く必要があります。
- 解決のための RPC 経由の NTLM (TCP ポート 135)
- 解決のための NetBIOS (UDP ポート 137)
ATA Lightweight Gateway の要件
このセクションでは、ATA Lightweight Gateway の要件を示します。
全般
ATA Lightweight Gateway は、Windows Server 2008 R2 SP1 (Server Core を含まない)、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、および Windows Server 2019 (Core を含むが Nano を含まない) を実行するドメイン コントローラーへのインストールをサポートします。
ドメイン コントローラーは読み取り専用ドメイン コントローラー (RODC) になります。
Windows Server 2012 R2 を実行しているドメイン コントローラーに ATA Lightweight Gateway をインストールする前に、KB2919355 の更新プログラムがインストールされていることを確認します。
確認するには、Windows PowerShell cmdlet: [Get-HotFix -Id kb2919355] を実行します
インストールが Windows server 2012 R2 Server Core 用の場合は、KB3000850 の更新プログラムもインストールする必要があります。
確認するには、Windows PowerShell cmdlet: [Get-HotFix -Id kb3000850] を実行します
インストール中に.Net Framework 4.6.1 がインストールされ、ドメイン コントローラーが再起動される場合があります。
Note
領域は少なくとも 5 GB 必要で、10 GB が推奨値です。 これには、ATA バイナリ、ATA ログ、パフォーマンス ログに必要な領域が含まれます。
サーバー仕様
ATA Lightweight Gateway には、ドメイン コントローラーに少なくとも 2 つのコアと 6 GBのRAM がインストールされている必要があります。 最適なパフォーマンスを得るには、ATA Lightweight Gateway の電源オプションを [ハイ パフォーマンス] に設定します。 ATA Lightweight Gateway は、ドメイン コントローラーのネットワーク トラフィックの量と、そのコントローラーにインストールされているリソースの量に応じてさまざまな負荷とサイズのドメイン コントローラーにデプロイできます。
動的メモリまたはその他の仮想マシン メモリ管理機能の詳細については、「動的メモリ」を参照してください。
ATA Lightweight Gateway ハードウェアの要件の詳細については、「ATA の容量計画」を参照してください。
時刻同期
ATA センター サーバー、ATA Lightweight Gateway サーバーおよびドメイン コントローラーは、互いに 5 分以内に同期される必要があります。
ネットワーク アダプター
ATA Lightweight Gateway は、すべてのドメイン コントローラー ネットワーク アダプターのローカル トラフィックを監視します。
デプロイ後、監視するネットワーク アダプターを変更するには、ATA コンソールを使用できます。
Note
Lightweight Gateway は、Broadcom Network Adapter Teaming が有効になっている Windows 2008 R2 が実行されているドメイン コントローラーはサポートしません。
Port
次の表に、ATA Lightweight Gateway に必要な最小ポートを示します。
| Protocol | トランスポート | ポート | ソース言語/ターゲット言語 | 方向 |
|---|---|---|---|---|
| DNS | TCP と UDP | 53 | DNS サーバー | 発信 |
| RPC 経由の NTLM | TCP | 135 | ネットワーク上のすべてのデバイス | 両方 |
| NetBIOS | UDP | 137 | ネットワーク上のすべてのデバイス | 両方 |
| SSL | TCP | 443 | ATA センター | 発信 |
| Syslog (オプション) | UDP | 514 | SIEM Server | 着信 |
| Netlogon (SMB、CIFS、SAM-R) | TCP と UDP | 445 | ネットワーク上のすべてのデバイス | 発信 |
Note
ATA Lightweight Gateway によって実行される解決プロセスの一環として、ATA Lightweight Gateway からネットワーク上のデバイスで次のポートを受信用に開く必要があります。
- RPC 経由の NTLM
- NetBIOS
- ATA Lightweight Gateway は、ディレクトリ サービス ユーザー アカウントにおいて、SAM-R (ネットワーク ログオン) を使ったローカル管理者のための組織内エンドポイントをクエリし、横移動パス グラフを作成します。 詳しくは、「SAM-R で必要な権限の構成」を参照してください。
- 次のポートは、ATA ゲートウェイからネットワーク上のデバイスで受信用として開く必要があります。
- 解決のための RPC 経由の NTLM (TCP ポート 135)
- 解決のための NetBIOS (UDP ポート 137)
動的メモリ
Note
ATA サービスを仮想マシン (VM) として実行する場合、サービスでは常にすべてのメモリを VM に割り当てる必要があります。
| VM 実行中 | 説明 |
|---|---|
| Hyper-V | [動的メモリの有効化] が VM で有効になっていないことを確認します。 |
| VMWare | 構成されているメモリ量と予約しているメモリ量が同じであることを確認するか、VM 設定の [すべてのゲスト メモリを予約する (すべてロック)] で次のオプションを選択します。 |
| 他の仮想化ホスト | 常にメモリが VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。 |
ATA センターを仮想マシンとして実行する場合は、新しいチェックポイントを作成する前にサーバーをシャットダウンして、データベースの破損の可能性を回避します。
ATA コンソール
ATA コンソールへのアクセスはブラウザーを介して行われ、ブラウザーと設定がサポートされます。
Internet Explorer バージョン 10 以降
Microsoft Edge
Google Chrome 40 以降
1700 ピクセルの最小画面幅解像度