Предварительные требования ATA
Область применения: Advanced Threat Analytics версии 1.9
В этой статье описываются требования к успешному развертыванию ATA в вашей среде.
Примечание.
Сведения о планировании ресурсов и емкости см. в разделе "Планирование емкости ATA".
ATA состоит из центра ATA, шлюза ATA и /или упрощенного шлюза ATA. Дополнительные сведения о компонентах ATA см. в архитектуре ATA.
Система ATA работает на границе леса Active Directory и поддерживает режим работы леса (FFL) Windows 2003 и более поздних версий.
Перед началом работы: в этом разделе перечислены сведения, которые необходимо собрать и учетные записи и сетевые сущности, прежде чем начать установку ATA.
Центр ATA. В этом разделе перечислены аппаратные компоненты центра ATA, требования к программному обеспечению, а также параметры, которые необходимо настроить на сервере Центра ATA.
Шлюз ATA. В этом разделе перечислены оборудование шлюза ATA, требования к программному обеспечению, а также параметры, необходимые для настройки на серверах шлюзов ATA.
Упрощенный шлюз ATA: в этом разделе перечислены требования к оборудованию упрощенного шлюза ATA и программному обеспечению.
Консоль ATA: в этом разделе перечислены требования к браузеру для запуска консоли ATA.
Перед началом работы
В этом разделе перечислены сведения, которые необходимо собрать, а также учетные записи и сетевые сущности перед началом установки ATA.
Учетная запись пользователя и пароль с доступом на чтение ко всем объектам в отслеживаемых доменах.
Примечание.
Если в вашем домене установлены пользовательские списки управления доступом для различных подразделений, убедитесь, что выбранный пользователь имеет разрешения на чтение этих подразделений.
Не устанавливайте анализатор сообщений Майкрософт в шлюзе ATA или упрощенном шлюзе. Драйвер анализатора сообщений конфликтует с драйверами шлюза ATA и упрощенным шлюзом. Если вы запускаете Wireshark на шлюзе ATA, необходимо перезапустить службу шлюза Microsoft Advanced Threat Analytics после остановки записи Wireshark. В противном случае шлюз перестает записывать трафик. Запуск Wireshark на упрощенном шлюзе ATA не препятствует упрощению шлюза ATA.
Рекомендуется: у пользователя должны быть разрешения только для чтения в контейнере удаленных объектов. Это позволяет ATA обнаруживать массовое удаление объектов в домене. Сведения о настройке разрешений только для чтения в контейнере "Удаленные объекты" см . в разделе "Изменение разрешений" для удаленного контейнера объектов в статье "Представление" или "Задать разрешения" в статье "Объект каталога".
Необязательно. Учетная запись пользователя без сетевых действий. Эта учетная запись настраивается как пользователь ATA Honeytoken. Чтобы настроить учетную запись в качестве пользователя Honeytoken, требуется только имя пользователя. Сведения о конфигурации Honeytoken см. в разделе "Настройка исключений IP-адресов" и пользователя Honeytoken.
Необязательно. Помимо сбора и анализа сетевого трафика на контроллеры домена ATA может использовать события Windows 4776, 4732, 4733, 4728, 4729, 4756 и 4757 для дальнейшего улучшения atA Pass-the-Hash, Brute Force, изменения конфиденциальных групп и обнаружения медовых маркеров. Эти события можно получить от SIEM или задав пересылку событий Windows от контроллера домена. Собранные события предоставляют ATA дополнительными сведениями, недоступными через сетевой трафик контроллера домена.
Требования центра ATA
В этом разделе перечислены требования для центра ATA.
Общие
Центр ATA поддерживает установку на сервере под управлением Windows Server 2012 R2 Windows Server 2016 и Windows Server 2019.
Примечание.
Центр ATA не поддерживает ядро Windows Server.
Центр ATA можно установить на сервере, который является членом домена или рабочей группы.
Перед установкой Центра ATA под управлением Windows 2012 R2 убедитесь, что установлено следующее обновление: КБ2919355.
Вы можете проверка, выполнив следующий командлет Windows PowerShell: [Get-HotFix -Id kb2919355]
Поддерживается установка центра ATA в качестве виртуальной машины.
Спецификации сервера
При работе с физическим сервером база данных ATA требует отключения доступа к памяти (NUMA) в BIOS. Система может ссылаться на NUMA как переключение узлов, в этом случае необходимо включить переключение узлов, чтобы отключить NUMA. Дополнительные сведения см. в документации ПО BIOS.
Чтобы обеспечить оптимальную производительность, задайте для центра ATA значение "Высокий уровень производительности".
Количество отслеживаемых контроллеров домена и нагрузка на каждый из контроллеров домена определяет необходимые спецификации сервера. Дополнительные сведения см. в разделе "Планирование емкости ATA".
Для операционных систем Windows 2008R2 и 2012 шлюз не поддерживается в режиме группы многопроцессорных процессоров. Дополнительные сведения о режиме группы с несколькими процессорами см. в статье об устранении неполадок.
Синхронизация времени
Сервер Центра ATA, серверы шлюза ATA и контроллеры домена должны иметь время синхронизации в течение пяти минут друг от друга.
Сетевые адаптеры
У вас должен быть следующий набор:
По крайней мере один сетевой адаптер (при использовании физического сервера в среде VLAN рекомендуется использовать два сетевых адаптера).
IP-адрес для обмена данными между Центром ATA и шлюзом ATA, зашифрованным с помощью SSL через порт 443. (Служба ATA привязывается ко всем IP-адресам, которые центр ATA имеет через порт 443.)
Порты
В следующей таблице перечислены минимальные порты, которые необходимо открыть для правильной работы центра ATA.
| Протокол | Транспорт | Порт | С языка/на язык | Направление |
|---|---|---|---|---|
| SSL (связь ATA) | TCP | 443 | Шлюз ATA | Входящий трафик |
| HTTP (необязательно) | TCP | 80 | Корпоративная сеть | Входящий трафик |
| HTTPS | TCP | 443 | Корпоративная сеть и шлюз ATA | Входящий трафик |
| SMTP (необязательно) | TCP | 25 | SMTP-сервер | Исходящие |
| SMTPS (необязательно) | TCP | 465 | SMTP-сервер | Исходящие |
| Системный журнал (необязательно) | TCP/UPS/TLS (можно настроить) | 514 (по умолчанию) | Сервер системного журнала | Исходящие |
| LDAP | TCP и UDP | 389 | Контроллеры домена | Исходящие |
| LDAPS (необязательно) | TCP | 636 | Контроллеры домена | Исходящие |
| DNS | TCP и UDP | 53 | Серверы DNS | Исходящие |
| Kerberos (необязательно, если присоединен домен) | TCP и UDP | 88 | Контроллеры домена | Исходящие |
| Время Windows (необязательно, если присоединен домен) | UDP | 123 | Контроллеры домена | Исходящие |
Примечание.
LDAP требуется для проверки учетных данных, которые будут использоваться между шлюзами ATA и контроллерами домена. Тест выполняется из центра ATA к контроллеру домена, чтобы проверить допустимость этих учетных данных, после чего шлюз ATA использует LDAP в рамках обычного процесса разрешения.
Сертификаты
Чтобы быстро установить и развернуть ATA, можно установить самозаверяющий сертификат во время установки. Если вы решили использовать самозаверяемые сертификаты, после первоначального развертывания рекомендуется заменить самозаверяющий сертификаты сертификатами из внутреннего центра сертификации, которые будут использоваться центром ATA.
Убедитесь, что центр ATA и шлюзы ATA имеют доступ к точке распространения CRL. Если у них нет доступа к Интернету, выполните процедуру, чтобы вручную импортировать список отзыва сертификатов, чтобы установить все точки распространения CRL для всей цепочки.
Сертификат должен иметь следующее:
- закрытого ключа.
- Тип поставщика служб шифрования (CSP) или поставщика ключей служба хранилища (KSP)
- Длина открытого ключа в 2048 битах
- Значение, заданное для флагов использования KeyEncipherment и ServerAuthentication
- Значение KeySpec (KeyNumber) параметра KeyExchange (AT_KEYEXCHANGE). Значение "Подпись" (AT_SIGNATURE) не поддерживается.
- Все компьютеры шлюза должны иметь возможность полностью проверить и доверять выбранному сертификату Центра.
Например, можно использовать стандартный веб-сервер или шаблоны компьютеров .
Предупреждение
Процесс продления существующего сертификата не поддерживается. Единственным способом продления сертификата является создание нового сертификата и настройка ATA для использования нового сертификата.
Примечание.
- Если вы собираетесь получить доступ к консоли ATA с других компьютеров, убедитесь, что эти компьютеры доверяют сертификату, используемому Центром ATA, в противном случае вы получите страницу предупреждения о проблеме с сертификатом безопасности веб-сайта перед переходом на страницу входа.
- Начиная с ATA версии 1.8 шлюзы ATA и упрощенные шлюзы управляют собственными сертификатами и не требуют взаимодействия администратора для управления ими.
Требования к шлюзу ATA
В этом разделе перечислены требования для шлюза ATA.
Общие
Шлюз ATA поддерживает установку на сервере под управлением Windows Server 2012 R2 или Windows Server 2016 и Windows Server 2019 (включая ядро сервера). Шлюз ATA можно установить на сервере, который является членом домена или рабочей группы. Шлюз ATA можно использовать для мониторинга контроллеров домена с уровнем функциональности домена Windows 2003 и более поздних версий.
Перед установкой шлюза ATA под управлением Windows 2012 R2 убедитесь, что установлено следующее обновление: КБ2919355.
Вы можете проверка, выполнив следующий командлет Windows PowerShell: [Get-HotFix -Id kb2919355]
Сведения об использовании виртуальных машин с шлюзом ATA см. в разделе "Настройка зеркало портов".
Примечание.
Требуется не менее 5 ГБ пространства, и рекомендуется 10 ГБ. Это включает пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Спецификации сервера
Для оптимальной производительности задайте для шлюза ATA значение "Высокая производительность".
Шлюз ATA может поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика и от контроллеров домена.
Дополнительные сведения о динамической памяти или любой другой функции управления памятью виртуальных машин см. в статье "Динамическая память".
Дополнительные сведения о требованиях к оборудованию шлюза ATA см. в разделе "Планирование емкости ATA".
Синхронизация времени
Сервер Центра ATA, серверы шлюза ATA и контроллеры домена должны иметь время синхронизации в течение пяти минут друг от друга.
Сетевые адаптеры
Для шлюза ATA требуется по крайней мере один адаптер управления и по крайней мере один адаптер записи:
Адаптер управления — используемый для обмена данными в корпоративной сети. Этот адаптер должен быть настроен со следующими параметрами:
Статический IP-адрес, включая шлюз по умолчанию
Предпочтительный и альтернативный DNS-серверы
DNS-суффикс для этого подключения должен быть DNS-именем домена для каждого отслеживаемого домена.
Примечание.
Если шлюз ATA является членом домена, это может быть настроено автоматически.
Адаптер записи— используется для записи трафика в контроллеры домена и из нее.
Важно!
- Настройте порт зеркало для адаптера записи в качестве назначения сетевого трафика контроллера домена. Дополнительные сведения см. в разделе "Настройка зеркало порта". Как правило, необходимо работать с группой по сети или виртуализации, чтобы настроить зеркало портов.
- Настройте статический неизменяемый IP-адрес для вашей среды без шлюза по умолчанию и без DNS-серверов. Например, 1.1.1.1/32. Это гарантирует, что сетевой адаптер записи может захватывать максимальный объем трафика, а сетевой адаптер управления используется для отправки и получения требуемого сетевого трафика.
Порты
В следующей таблице перечислены минимальные порты, необходимые шлюзу ATA для адаптера управления:
| Протокол | Транспорт | Порт | С языка/на язык | Направление |
|---|---|---|---|---|
| LDAP | TCP и UDP | 389 | Контроллеры домена | Исходящие |
| Защищенный протокол LDAP (LDAPS) | TCP | 636 | Контроллеры домена | Исходящие |
| ПРОТОКОЛ LDAP в глобальный каталог | TCP | 3268 | Контроллеры домена | Исходящие |
| LDAPS в глобальный каталог | TCP | 3269 | Контроллеры домена | Исходящие |
| Kerberos | TCP и UDP | 88 | Контроллеры домена | Исходящие |
| Netlogon (S МБ, CIFS, SAM-R) | TCP и UDP | 445 | Все устройства в сети | Исходящие |
| Служба времени Windows | UDP | 123 | Контроллеры домена | Исходящие |
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящие |
| HTML через RPC | TCP | 135 | Все устройства в сети | Оба |
| NetBIOS | UDP | 137 | Все устройства в сети | Оба |
| SSL | TCP | 443 | Центр ATA | Исходящие |
| Системный журнал (необязательно) | UDP | 514 | Сервер SIEM | Входящий трафик |
Примечание.
В рамках процесса разрешения, выполняемого шлюзом ATA, следующие порты должны быть открыты на устройствах в сети из шлюзов ATA.
- NTLM через RPC (TCP-порт 135)
- NetBIOS (порт UDP 137)
- Используя учетную запись пользователя службы каталогов, шлюз ATA запрашивает конечные точки в организации для локальных администраторов с помощью SAM-R (сетевого входа) для создания графа пути бокового перемещения. Дополнительные сведения см. в разделе "Настройка необходимых разрешений SAM-R".
- Следующие порты необходимо открыть на устройствах в сети из шлюза ATA:
- NTLM через RPC (TCP-порт 135) для разрешения
- NetBIOS (порт UDP 137) для разрешения
Требования к упрощению шлюза ATA
В этом разделе перечислены требования для упрощенного шлюза ATA.
Общие
Упрощенный шлюз ATA поддерживает установку на контроллере домена под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 (включая Core, но не Nano).
Контроллер домена может быть контроллером домена только для чтения (RODC).
Перед установкой упрощенного шлюза ATA на контроллере домена под управлением Windows Server 2012 R2 убедитесь, что установлено следующее обновление: КБ2919355.
Вы можете проверка, выполнив следующий командлет Windows PowerShell:[Get-HotFix -Id kb2919355]
Если установка предназначена для Windows Server 2012 R2 Server Core, необходимо также установить следующее обновление: КБ3000850.
Вы можете проверка, выполнив следующий командлет Windows PowerShell:[Get-HotFix -Id kb3000850]
Во время установки устанавливается платформа .Net Framework 4.6.1 и может вызвать перезагрузку контроллера домена.
Примечание.
Требуется не менее 5 ГБ пространства, и рекомендуется 10 ГБ. Это включает пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Спецификации сервера
Для упрощенного шлюза ATA требуется не менее 2 ядер и 6 ГБ ОЗУ, установленных на контроллере домена. Чтобы обеспечить оптимальную производительность, установите для параметра Power Option упрощенного шлюза ATA высокий уровень производительности. Упрощенный шлюз ATA можно развернуть на контроллерах домена различных нагрузк и размеров в зависимости от объема сетевого трафика в контроллеры домена и объема ресурсов, установленных на этом контроллере домена.
Дополнительные сведения о динамической памяти или любой другой функции управления памятью виртуальных машин см. в статье "Динамическая память".
Дополнительные сведения о требованиях к оборудованию упрощенного шлюза ATA см. в разделе "Планирование емкости ATA".
Синхронизация времени
Сервер Центра ATA, серверы упрощенного шлюза ATA и контроллеры домена должны синхронизироваться с пятью минутами друг от друга.
Сетевые адаптеры
Упрощенный шлюз ATA отслеживает локальный трафик на всех сетевых адаптерах контроллера домена.
После развертывания можно использовать консоль ATA, если вы когда-либо хотите изменить, какие сетевые адаптеры отслеживаются.
Примечание.
Упрощенный шлюз не поддерживается на контроллерах домена под управлением Windows 2008 R2 с включенной командой сетевых адаптеров Broadcom.
Порты
В следующей таблице перечислены минимальные порты, необходимые для упрощенного шлюза ATA:
| Протокол | Транспорт | Порт | С языка/на язык | Направление |
|---|---|---|---|---|
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящие |
| HTML через RPC | TCP | 135 | Все устройства в сети | Оба |
| NetBIOS | UDP | 137 | Все устройства в сети | Оба |
| SSL | TCP | 443 | Центр ATA | Исходящие |
| Системный журнал (необязательно) | UDP | 514 | Сервер SIEM | Входящий трафик |
| Netlogon (S МБ, CIFS, SAM-R) | TCP и UDP | 445 | Все устройства в сети | Исходящие |
Примечание.
В рамках процесса разрешения, выполняемого упрощенным шлюзом ATA, следующие порты должны быть открыты на устройствах в сети из упрощенных шлюзов ATA.
- HTML через RPC
- NetBIOS
- Используя учетную запись пользователя службы каталогов, упрощенный шлюз ATA запрашивает конечные точки в организации для локальных администраторов с помощью SAM-R (сетевой вход) для создания графа пути бокового перемещения. Дополнительные сведения см. в разделе "Настройка необходимых разрешений SAM-R".
- Следующие порты необходимо открыть на устройствах в сети из шлюза ATA:
- NTLM через RPC (TCP-порт 135) для разрешения
- NetBIOS (порт UDP 137) для разрешения
Динамическое управление
Примечание.
При выполнении служб ATA в качестве виртуальной машины служба требует, чтобы все памяти было выделено виртуальной машине, все время.
| Виртуальная машина запущена в | Description |
|---|---|
| Hyper-V | Убедитесь, что включение динамической памяти не включено для виртуальной машины. |
| VMWare | Убедитесь, что объем памяти, настроенный и зарезервированная память совпадают, или выберите следующий параметр в параметре виртуальной машины— резервировать всю гостевую память (все заблокированные). |
| Другой узел виртуализации | Обратитесь к предоставленной поставщику документации о том, как убедиться, что память полностью выделена виртуальной машине. |
Если вы запускаете Центр ATA в качестве виртуальной машины, завершите работу сервера перед созданием новой точки проверка, чтобы избежать потенциального повреждения базы данных.
Консоль ATA
Доступ к консоли ATA осуществляется через браузер, поддерживая браузеры и параметры:
Интернет Обозреватель версии 10 и выше
Microsoft Edge
Google Chrome 40 и выше
Минимальное разрешение ширины экрана 1700 пикселей