Planejamento de capacidade ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo ajuda-o a determinar quantos servidores ATA são necessários para monitorizar a rede. Ele ajuda a estimar quantos ATA Gateways e/ou ATA Lightweight Gateways você precisa e a capacidade do servidor para seu Centro ATA e Gateways ATA.
Nota
O Centro ATA pode ser implantado em qualquer fornecedor de IaaS, desde que os requisitos de desempenho descritos neste artigo sejam atendidos.
Usando a ferramenta de dimensionamento
A maneira recomendada e mais simples de determinar a capacidade para sua implantação do ATA é usar a Ferramenta de dimensionamento do ATA. Execute a Ferramenta de dimensionamento do ATA e, a partir dos resultados do arquivo do Excel, use os seguintes campos para determinar a capacidade do ATA necessária:
CPU e memória do Centro do ATA: Corresponda o campo Pacotes ocupados/s no arquivo de resultados da tabela do Centro do ATA ao campo PACOTES POR SEGUNDO na tabela do Centro do ATA.
Armazenamento do Centro do ATA: faça a correspondência entre o campo Pacotes Médios/s no arquivo de resultados da tabela do Centro do ATA e o campo PACOTES POR SEGUNDO na tabela do Centro do ATA.
Gateway ATA: Corresponda o campo Pacotes ocupados/s na tabela Gateway ATA no arquivo de resultados ao campo PACOTES POR SEGUNDO na tabela Gateway ATA ou na tabela ATA Lightweight Gateway, dependendo do tipo de gateway escolhido.
Nota
Como diferentes ambientes variam e têm várias características de tráfego de rede especiais e inesperadas, depois de implantar inicialmente o ATA e executar a ferramenta de dimensionamento, talvez seja necessário ajustar e ajustar a capacidade da implantação.
Se você não puder usar a Ferramenta de dimensionamento do ATA, reúna manualmente as informações do contador de pacotes/s com um intervalo de coleta baixo (aproximadamente 5 segundos) de todos os controladores de domínio por 24 horas. Em seguida, para cada Controlador de Domínio, calcule a média diária e a média do período mais movimentado (15 minutos). As seções a seguir fornecem instruções sobre como coletar o contador de pacotes/s de um Controlador de Domínio.
Nota
Como diferentes ambientes variam e têm várias características de tráfego de rede especiais e inesperadas, depois de implantar inicialmente o ATA e executar a ferramenta de dimensionamento, talvez seja necessário ajustar e ajustar a capacidade da implantação.
Dimensionamento do centro ATA
O Centro ATA requer um mínimo recomendado de 30 dias de dados para análise comportamental do usuário.
| Pacotes por segundo de todos os DCs | CPU (núcleos*) | Memória (GB) | Armazenamento de banco de dados por dia (GB) | Armazenamento de banco de dados por mês (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40.000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1 000 000 | 40 | 128 | 400 | 9,000 | 4,000 (5,000) |
*Isso inclui núcleos físicos, não núcleos hyper-threaded.
**Números médios (números de pico)
Nota
- O Centro do ATA pode lidar com um máximo agregado de 1 milhão de pacotes por segundo de todos os controladores de domínio monitorados. Em alguns ambientes, o mesmo ATA Center pode lidar com tráfego geral superior a 1M e alguns ambientes podem exceder a capacidade do ATA. Entre em contato conosco para obter assistência no planejamento e estimativa de azureatpfeedback@microsoft.com grandes ambientes.
- Se o espaço livre atingir um mínimo de 20% ou 200 GB, a coleção de dados mais antiga será excluída. Se não for possível reduzir com êxito a recolha de dados para este nível, será registado um alerta. O ATA continuará funcionando até que o limite de 5% ou 50 GB livres seja atingido. Neste ponto, o ATA deixará de preencher o banco de dados e um alerta adicional será emitido.
- Você pode implantar o Centro do ATA em qualquer fornecedor de IaaS se os requisitos de desempenho descritos neste artigo forem atendidos.
- A latência de armazenamento para atividades de leitura e gravação deve ser inferior a 10 ms.
- A relação entre as atividades de leitura e gravação é de aproximadamente 1:3 abaixo de 100.000 pacotes por segundo e 1:6 acima de 100.000 pacotes por segundo.
- Ao executar o Centro como uma máquina virtual (VM), o Centro requer que toda a memória seja alocada para a VM, o tempo todo. Para obter mais informações sobre como executar o Centro do ATA como uma máquina virtual, consulte Requisitos do Centro do ATA.
- Para um desempenho ideal, defina a opção de alimentação do ATA Center como Alto desempenho.
- Ao trabalhar em um servidor físico, o banco de dados ATA precisa que você desabilite o acesso não uniforme à memória (NUMA) no BIOS. Seu sistema pode se referir a NUMA como Node Interleaving, caso em que você tem que ativar o Node Interleaving para desativar o NUMA. Para obter mais informações, consulte a documentação do BIOS. Isso não é relevante quando o Centro do ATA está em execução em um servidor virtual.
Escolhendo o tipo de gateway certo para sua implantação
Em uma implantação do ATA, qualquer combinação dos tipos de Gateway do ATA é suportada:
- Somente gateways ATA
- Apenas gateways leves ATA
- Uma combinação de ambos
Ao decidir o tipo de implantação do Gateway, considere os seguintes benefícios:
| Tipo de gateway | Benefícios | Custo | Topologia de implementação | Uso do controlador de domínio |
|---|---|---|---|---|
| ATA Gateway | A implantação fora de banda torna mais difícil para os invasores descobrirem que o ATA está presente | Mais alto | Instalado junto com o controlador de domínio (fora de banda) | Suporta até 50.000 pacotes por segundo |
| Gateway leve ATA | Não requer um servidor dedicado e configuração de espelhamento de porta | Lower | Instalado no controlador de domínio | Suporta até 10.000 pacotes por segundo |
Seguem-se exemplos de cenários em que os controladores de domínio devem ser abrangidos pelo ATA Lightweight Gateway:
Filiais
Controladores de domínio virtual implantados na nuvem (IaaS)
Seguem-se exemplos de cenários em que os controladores de domínio devem ser abrangidos pelo ATA Gateway:
- Data centers da sede (com controladores de domínio com mais de 10.000 pacotes por segundo)
Dimensionamento de gateway leve ATA
Um ATA Lightweight Gateway pode suportar o monitoramento de um controlador de domínio com base na quantidade de tráfego de rede que o controlador de domínio gera.
| Pacotes por segundo* | CPU (núcleos**) | Memória (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5000 | 6 | 17 |
| 10,000 | 10 | 24 |
*Número total de pacotes por segundo no controlador de domínio que está sendo monitorado pelo ATA Lightweight Gateway específico.
**Número total de núcleos não hyper threaded que este controlador de domínio instalou.
Embora o hyper threading seja aceitável para o ATA Lightweight Gateway, ao planejar a capacidade, você deve contar núcleos reais e não núcleos hyper threaded.
Quantidade total de memória que este controlador de domínio instalou.
Nota
- Se o controlador de domínio não tiver os recursos exigidos pelo ATA Lightweight Gateway, o desempenho do controlador de domínio não será afetado, mas o ATA Lightweight Gateway pode não funcionar conforme o esperado.
- Ao executar o Gateway como uma máquina virtual (VM), o Gateway requer que toda a memória seja alocada para a VM, o tempo todo. Para obter mais informações sobre como executar o ATA Gateway como uma máquina virtual, consulte Requisitos de memória dinâmica).
- Para um desempenho ideal, defina a opção de alimentação do ATA Lightweight Gateway como Alto Desempenho.
- É necessário um mínimo de 5 GB de espaço e recomenda-se 10 GB, incluindo espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Dimensionamento do gateway ATA
Considere os seguintes problemas ao decidir quantos gateways ATA implantar.
- Florestas e domínios do Ative Directory
O ATA pode monitorar o tráfego de vários domínios de uma única floresta do Ative Directory. O monitoramento de várias florestas do Ative Directory requer implantações ATA separadas. Não configure uma única implantação do ATA para monitorar o tráfego de rede de controladores de domínio de florestas diferentes. - Espelhamento de portas
As considerações de espelhamento de porta podem exigir que você implante vários Gateways ATA por gateway de dados ou site de filial. - Capacidade
Um Gateway ATA pode suportar o monitoramento de vários controladores de domínio, dependendo da quantidade de tráfego de rede dos controladores de domínio que estão sendo monitorados.
| Pacotes por segundo* | CPU (núcleos**) | Memória (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20 000 | 6 | 24 |
| 50 000 | 17 | 48 |
*Número médio total de pacotes por segundo de todos os controladores de domínio monitorados pelo Gateway ATA específico durante a hora mais movimentada do dia.
*A quantidade total de tráfego espelhado pela porta do controlador de domínio não pode exceder a capacidade da NIC de captura no Gateway ATA.
**O Hyper-threading deve ser desativado.
Nota
- Ao executar o Gateway como uma máquina virtual (VM), o Gateway requer que toda a memória seja alocada para a VM, o tempo todo. Para obter mais informações sobre como executar o Gateway ATA como uma máquina virtual, consulte Requisitos de memória dinâmica.
- Para um desempenho ideal, defina a opção de alimentação do gateway ATA como Alto desempenho.
- É necessário um mínimo de 5 GB de espaço e recomenda-se 10 GB, incluindo espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.