Planejamento da capacidade de ATAATA capacity planning

Aplica-se a: Advanced Threat Analytics versão 1.9Applies to: Advanced Threat Analytics version 1.9

Este artigo ajuda a determinar quantos servidores do ATA são necessários para monitorar a rede.This article helps you determine how many ATA servers are needed to monitor your network. Ele ajuda a estimar quantos gateways do ATA e/ou gateways Lightweight do ATA são necessários e a capacidade do servidor para o centro do ATA e os gateways do ATA.It helps you estimate how many ATA Gateways and/or ATA Lightweight Gateways you need and the server capacity for your ATA Center and ATA Gateways.

Observação

O ATA Center pode ser implantado em qualquer fornecedor de IaaS, desde que os requisitos de desempenho descritos neste artigo sejam atendidos.The ATA Center can be deployed on any IaaS vendor as long as the performance requirements described in this article are met.

Usando a ferramenta de dimensionamentoUsing the sizing tool

A maneira recomendada e mais simples para determinar a capacidade para sua implantação ATA é usar o Ferramenta de Dimensionamento de ATA.The recommended and simplest way to determine capacity for your ATA deployment is to use the ATA Sizing Tool. Execute a Ferramenta de Dimensionamento ATA e resultados de arquivo do Excel, use os campos a seguir para determinar a capacidade ATA que você precisa:Run the ATA Sizing Tool and from the Excel file results, use the following fields to determine the ATA capacity you need:

Ferramenta de planejamento de capacidade de amostra

Observação

Como diferentes ambientes variam e têm várias características de tráfego de rede especiais e inesperadas, depois de implantar o ATA e executar a ferramenta de dimensionamento, talvez seja necessário ajustar sua implantação de capacidade.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Se, por alguma razão, você não puder usar a Ferramenta de Dimensionamento ATA, reúna manualmente as informações do contador de pacotes/segundos de todos os Controladores de Domínio por um período de 24 horas com um intervalo de coleta baixo (aproximadamente 5 segundos).If for some reason you cannot use the ATA Sizing Tool, manually gather the packet/sec counter information from all your Domain Controllers for 24 hours with a low collection interval (approximately 5 seconds). Em seguida, para cada controlador de domínio, calcule a média diária e o período mais ocupado (15 minutos).Then, for each Domain Controller, calculate the daily average and the busiest period (15 minutes) average. As seções a seguir fornecem instruções sobre como coletar o contador de pacotes/s de um controlador de domínio.The following sections provide instructions about how to collect the packets/sec counter from one Domain Controller.

Observação

Como diferentes ambientes variam e têm várias características de tráfego de rede especiais e inesperadas, depois de implantar o ATA e executar a ferramenta de dimensionamento, talvez seja necessário ajustar sua implantação de capacidade.Because different environments vary and have multiple special and unexpected network traffic characteristics, after you initially deploy ATA and run the sizing tool, you may need to adjust and fine tune your deployment for capacity.

Dimensionamento da Central de ATAATA Center Sizing

A Central de ATA requer um mínimo recomendado de 30 dias de dados para a análise de comportamento do usuário.The ATA Center requires a recommended minimum of 30 days of data for user behavioral analytics.

Pacotes por segundo de todos os controladores de domínioPackets per second from all DCs CPU (núcleos*)CPU (cores*) Memória (GB)Memory (GB) Armazenamento de bancos de dados por dia (GB)Database storage per day (GB) Armazenamento de bancos de dados por mês (GB)Database storage per month (GB) IOPS**IOPS**
1,0001,000 22 3232 0.30.3 99 30 (100)30 (100)
40.00040,000 44 4848 1212 360360 500 (750)500 (750)
200.000200,000 88 6464 6060 1.8001,800 1.000 (1.500)1,000 (1,500)
400.000400,000 1212 9696 120120 3.6003,600 2.000 (2.500)2,000 (2,500)
750.000750,000 2424 112112 225225 6.7506,750 2.500 (3.000)2,500 (3,000)
1.000.0001,000,000 4040 128128 300300 9.0009,000 4.000 (5.000)4,000 (5,000)

*Isso inclui os núcleos físicos, não os núcleos com hyper-threading.*This includes physical cores, not hyper-threaded cores.

**Média dos números (Números de pico)**Average numbers (Peak numbers)

Observação

  • O centro do ATA pode lidar com um máximo agregado de 1 milhão de pacotes por segundo de todos os controladores de domínio monitorados.The ATA Center can handle an aggregated maximum of 1M packets per second from all monitored domain controllers. Em alguns ambientes, o mesmo centro do ATA pode lidar com o tráfego geral superior a 1M e alguns ambientes podem exceder a capacidade do ATA.In some environments, the same ATA Center can handle overall traffic that is higher than 1M and some environments may exceed ATA capacity. Entre em contato conosco em azureatpfeedback@microsoft.com para obter ajuda no planejamento e na estimativa de ambientes grandes.Contact us at azureatpfeedback@microsoft.com for assistance in planning and estimating large environments.
  • Se o espaço livre chegar a um mínimo de 20% ou 200 GB, o conjunto mais antigo de dados será excluído.If your free space reaches a minimum of either 20% or 200 GB, the oldest collection of data is deleted. Se não for possível reduzir com êxito a coleta de dados a esse nível, um alerta será registrado.If it is not possible to successfully reduce the data collection to this level, an alert will be logged. O ATA continuará a funcionar até o limite de 5% ou 50 GB livres ser alcançado.ATA will continue functioning until the threshold of 5% or 50 GB free is reached. Nesse momento, o ATA deixará de popular o banco de dados e um alerta adicional será emitido.At this point, ATA will stop populating the database and an additional alert will be issued.
  • O ATA Center pode ser implantado em qualquer fornecedor de IaaS, desde que os requisitos de desempenho descritos neste artigo sejam atendidos.It's possible to deploy the ATA Center on any IaaS vendor as long as the performance requirements that are described in this article are met.
  • A latência de armazenamento para a leitura e a gravação das atividades deve estar abaixo de 10 ms.The storage latency for read and write activities should be below 10 ms.
  • A taxa entre as atividades de leitura e gravação é de, aproximadamente, 1:3 abaixo de 100.000 pacotes por segundo e 1:6 acima de 100.000 pacotes por segundo.The ratio between read and write activities is approximately 1:3 below 100,000 packets-per-second and 1:6 above 100,000 packets-per-second.
  • Ao executar o centro como uma máquina virtual (VM), o centro exige que toda a memória seja alocada para a VM, o tempo todo.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Para obter mais informações sobre como executar o centro do ATA como uma máquina virtual, consulte requisitos do centro do ATAFor more information on running ATA Center as a virtual machine, see ATA Center requirements
  • Para ter um melhor desempenho, defina a Opção de Energia do Centro do ATA como Alto Desempenho.For optimal performance, set the Power Option of the ATA Center to High Performance.
  • Ao trabalhar em um servidor físico, o banco de dados do ATA precisa que você desabilite o NUMA (acesso não uniforme à memória) no BIOS.When working on a physical server, the ATA database needs you to disable Non-uniform memory access (NUMA) in the BIOS. O sistema pode referir-se ao NUMA como Intercalação de Nó, caso em que você precisará habilitar a Intercalação de Nó para desabilitar o NUMA.Your system may refer to NUMA as Node Interleaving, in which case you have to enable Node Interleaving to disable NUMA. Para obter mais informações, confira a documentação do BIOS.For more information, see your BIOS documentation. Isso não é pertinente quando o Centro do ATA está em execução em um servidor virtual.This is not relevant when the ATA Center is running on a virtual server.

Escolhendo o tipo certo de gateway para sua implantaçãoChoosing the right gateway type for your deployment

Em uma implantação do ATA, há suporte para qualquer combinação dos tipos de Gateway do ATA:In an ATA deployment any combination of the ATA Gateway types is supported:

  • Somente Gateways do ATAOnly ATA Gateways
  • Somente Gateways Lightweight do ATAOnly ATA Lightweight Gateways
  • Uma combinação de ambasA combination of both

Ao decidir sobre o tipo de implantação do Gateway, considere os seguintes benefícios:When deciding the Gateway deployment type, consider the following benefits:

Tipo de gatewayGateway type VantagensBenefits CustoCost Topologia de implantaçãoDeployment topology Uso do controlador de domínioDomain controller use
Gateway de ATAATA Gateway A implantação Fora de banda dificulta o trabalho dos invasores em descobrir se o ATA está presenteThe Out of band deployment makes it harder for attackers to discover ATA is present Mais altoHigher Instalado junto com o controlador de domínio (fora de banda)Installed alongside the domain controller (out of band) Dá suporte a até 50.000 pacotes por segundoSupports up to 50,000 packets per second
Gateway Lightweight do ATAATA Lightweight Gateway Não exige uma configuração de espelhamento de porta e servidor dedicadoDoesn't require a dedicated server and port-mirroring configuration InferiorLower Instalado em um controlador de domínioInstalled on the domain controller Dá suporte a até 10.000 pacotes por segundoSupports up to 10,000 packets per second

Veja a seguir exemplos de cenários nos quais os controladores de domínio devem ser cobertos pelo Gateway Lightweight do ATA:The following are examples of scenarios in which domain controllers should be covered by the ATA Lightweight Gateway:

  • Sites da filialBranch sites

  • Controladores de domínio virtual implantados na nuvem (IaaS)Virtual domain controllers deployed in the cloud (IaaS)

Veja a seguir exemplos de cenários nos quais os controladores de domínio devem ser cobertos pelo Gateway do ATA:The following are examples of scenarios in which domain controllers should be covered by the ATA Gateway:

  • Matriz dos datacenters (com controladores de domínio com mais de 10.000 pacotes por segundo)Headquarter data centers (having domain controllers with more than 10,000 packets per seconds)

Dimensionamento do Gateway Lightweight do ATAATA Lightweight Gateway Sizing

Um Gateway Lightweight do ATA pode oferecer suporte ao monitoramento de um controlador de domínio com base na quantidade de tráfego de rede gerado pelo controlador de domínio.An ATA Lightweight Gateway can support the monitoring of one domain controller based on the amount of network traffic the domain controller generates.

Pacotes por segundo*Packets per second* CPU (núcleos**)CPU (cores**) Memória (GB)***Memory (GB)***
1,0001,000 22 66
5,0005,000 66 1616
10,00010,000 1010 2424

*Número total de pacotes por segundo no controlador de domínio sendo monitorado pelo Gateway Lightweight do ATA específico.*Total number of packets-per-second on the domain controller being monitored by the specific ATA Lightweight Gateway.

**Número total de núcleos não hyper-threaded que esse controlador de domínio tem instalada.**Total number of non-hyper threaded cores that this domain controller has installed.
Embora o hyper-threading seja aceitável para o Gateway Lightweight do ATA, ao planejar a capacidade, você deve contar os núcleos reais, e não os núcleos hyper-threaded.While hyper threading is acceptable for the ATA Lightweight Gateway, when planning for capacity, you should count actual cores and not hyper threaded cores.

***Quantidade total de memória que esse controlador de domínio tem instalada.***Total amount of memory that this domain controller has installed.

Observação

  • Se o controlador de domínio não tiver os recursos exigidos pelo Gateway Lightweight do ATA, o desempenho do controlador de domínio não será afetado, mas o Gateway Lightweight do ATA poderá não operar conforme o esperado.If the domain controller does not have the resources required by the ATA Lightweight Gateway, domain controller performance is not effected, but the ATA Lightweight Gateway might not operate as expected.
  • Ao executar o centro como uma máquina virtual (VM), o centro exige que toda a memória seja alocada para a VM, o tempo todo.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Para obter mais informações sobre como executar o centro do ATA como uma máquina virtual, consulte requisitos do centro do ATA)For more information on running ATA Center as a virtual machine, see ATA Center requirements)
  • Para ter um melhor desempenho, defina a Opção de Energia do Gateway Lightweight do ATA como Alto Desempenho.For optimal performance, set the Power Option of the ATA Lightweight Gateway to High Performance.
  • É necessário um mínimo de 5 GB de espaço e é recomendável 10 GB de espaço, incluindo o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Dimensionamento do Gateway de ATAATA Gateway Sizing

Considere as seguintes questões ao decidir quantos Gateways do ATA implantar.Consider the following issues when deciding how many ATA Gateways to deploy.

  • Florestas e domínios do Active DirectoryActive Directory forests and domains
    O ATA pode monitorar o tráfego de vários domínios de uma única floresta do Active Directory.ATA can monitor traffic from multiple domains from a single Active Directory forest. Monitorar várias florestas do Active Directory exige implantações separadas do ATA.Monitoring multiple Active Directory forests requires separate ATA deployments. Não configure uma única implantação do ATA para monitorar o tráfego de rede dos controladores de domínio de diferentes florestas.Do not configure a single ATA deployment to monitor network traffic of domain controllers from different forests.

  • Espelhamento de portaPort Mirroring
    As considerações de espelhamento de porta podem exigir que você implante vários Gateways do ATA por data center ou site de filial.Port mirroring considerations might require you to deploy multiple ATA Gateways per data center or branch site.

  • CapacidadeCapacity
    Um Gateway do ATA pode oferecer suporte ao monitoramento de vários controladores de domínio, dependendo da quantidade de tráfego de rede dos controladores de domínio sendo monitorados.An ATA Gateway can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.

Pacotes por segundo*Packets per second* CPU (núcleos**)CPU (cores**) Memória (GB)Memory (GB)
1,0001,000 11 66
5,0005,000 22 1010
10,00010,000 33 1212
20.00020,000 66 2424
50.00050,000 1616 4848

*Número médio total de pacotes por segundo de todos os controladores de domínio que estão sendo monitorados pelo Gateway do ATA específico durante a respectiva hora do dia mais ocupada.*Total average number of packets-per-second from all domain controllers being monitored by the specific ATA Gateway during their busiest hour of the day.

*A quantidade total de tráfego espelhado pela porta do controlador de domínio não pode exceder a capacidade do NIC de captura no Gateway de ATA.*The total amount of domain controller port-mirrored traffic cannot exceed the capacity of the capture NIC on the ATA Gateway.

**O hyper-threading deve ser desabilitado.**Hyper-threading must be disabled.

Observação

  • Ao executar o centro como uma máquina virtual (VM), o centro exige que toda a memória seja alocada para a VM, o tempo todo.When running the Center as a virtual machine (VM) the Center requires all memory be allocated to the VM, all the time. Para obter mais informações sobre como executar o centro do ATA como uma máquina virtual, consulte requisitos do centro do ATAFor more information on running ATA Center as a virtual machine, see ATA Center requirements
  • Para ter um melhor desempenho, defina a Opção de Energia do Gateway de ATA para Alto Desempenho.For optimal performance, set the Power Option of the ATA Gateway to High Performance.
  • É necessário um mínimo de 5 GB de espaço e é recomendável 10 GB de espaço, incluindo o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Confira TambémSee Also