ATA önkoşulları
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Bu makalede, ortamınızda başarılı bir ATA dağıtımının gereksinimleri açıklanmaktadır.
Dekont
Kaynakları ve kapasiteyi planlama hakkında bilgi için bkz . ATA kapasite planlaması.
ATA, ATA Center, ATA Gateway ve/veya ATA Lightweight Gateway'lerden oluşur. ATA bileşenleri hakkında daha fazla bilgi için bkz . ATA mimarisi.
ATA Sistemi Active Directory orman sınırı üzerinde çalışır ve Windows 2003 ve üzeri orman İşlev Düzeyi'ni (FFL) destekler.
Başlamadan önce: Bu bölümde, ATA yüklemesini başlatmadan önce toplamanız gereken bilgiler ve sahip olmanız gereken hesaplar ve ağ varlıkları listelenir.
ATA Center: Bu bölümde ATA Center donanımı, yazılım gereksinimleri ve ATA Center sunucunuzda yapılandırmanız gereken ayarlar listelenir.
ATA Gateway: Bu bölümde ATA Gateway donanımları, yazılım gereksinimleri ve ATA Gateway sunucularınızda yapılandırmanız gereken ayarlar listelenir.
ATA Lightweight Gateway: Bu bölümde ATA Lightweight Gateway donanımı ve yazılım gereksinimleri listelenir.
ATA Konsolu: Bu bölümde, ATA Konsolu'nu çalıştırmak için tarayıcı gereksinimleri listelenir.
Başlamadan önce
Bu bölümde, ATA yüklemesini başlatmadan önce toplamanız gereken bilgilerin yanı sıra sahip olmanız gereken hesaplar ve ağ varlıkları listelenir.
İzlenen etki alanlarındaki tüm nesnelere okuma erişimi olan kullanıcı hesabı ve parola.
Dekont
Etki alanınızdaki çeşitli Kuruluş Birimlerinde (OU) özel ACL'ler ayarladıysanız, seçilen kullanıcının bu OU'lar üzerinde okuma izinlerine sahip olduğundan emin olun.
Microsoft Message Analyzer'ı ATA Gateway veya Lightweight Gateway'e yüklemeyin. İleti Çözümleyicisi sürücüsü ATA Gateway ve Lightweight Gateway sürücüleriyle çakşır. ATA Gateway'de Wireshark çalıştırırsanız, Wireshark yakalamasını durdurduktan sonra Microsoft Advanced Threat Analytics Ağ Geçidi Hizmeti'ni yeniden başlatmanız gerekir. Aksi takdirde Ağ Geçidi trafiği yakalamayı durdurur. Wireshark'ın ATA Lightweight Gateway üzerinde çalıştırılması ATA Lightweight Gateway'i engellemez.
Önerilen: Kullanıcının Silinmiş Nesneler kapsayıcısı üzerinde salt okunur izinleri olmalıdır. Bu, ATA'nın etki alanındaki nesnelerin toplu silinmesini algılamasına olanak tanır. Silinmiş Nesneler kapsayıcısında salt okunur izinleri yapılandırma hakkında bilgi için, Dizin Nesnesinde İzinleri Görüntüleme veya Ayarlama makalesinin Silinmiş nesne kapsayıcısında izinleri değiştirme bölümüne bakın.
İsteğe bağlı: Ağ etkinliği olmayan bir kullanıcının kullanıcı hesabı. Bu hesap, ATA Honeytoken kullanıcısı olarak yapılandırılabilir. Bir hesabı Honeytoken kullanıcısı olarak yapılandırmak için yalnızca kullanıcı adı gereklidir. Honeytoken yapılandırma bilgileri için bkz . IP adresi dışlamalarını ve Honeytoken kullanıcısını yapılandırma.
İsteğe bağlı: ETKI alanı denetleyicilerine gelen ve etki alanı denetleyicilerinden gelen ağ trafiğini toplamaya ve analiz etmeye ek olarak, ATA, ATA Karma Geçişi, Deneme Yanılma, Hassas gruplarda değişiklik ve Bal Belirteçleri algılamalarını daha da geliştirmek için Windows olayları 4776, 4732, 4733, 4728, 4729, 4756 ve 4757'yi kullanabilir. Bu olaylar SIEM'inizden veya etki alanı denetleyicinizden Windows Olay İletme ayarıyla alınabiliyor. Toplanan olaylar ATA'ya etki alanı denetleyicisi ağ trafiği aracılığıyla kullanılamayan ek bilgiler sağlar.
ATA Center gereksinimleri
Bu bölümde ATA Center gereksinimlerini listelemektedir.
Genel
ATA Center, Windows Server 2012 R2 Windows Server 2016 ve Windows Server 2019 çalıştıran bir sunucuya yüklemeyi destekler.
Dekont
ATA Center, Windows Server çekirdeğini desteklemez.
ATA Center, bir etki alanının veya çalışma grubunun üyesi olan bir sunucuya yüklenebilir.
Windows 2012 R2 çalıştıran ATA Center'ı yüklemeden önce aşağıdaki güncelleştirmenin yüklendiğini onaylayın: KB2919355.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak de denetlenebilirsiniz: [Get-HotFix -Id kb2919355].
ATA Center'ın sanal makine olarak yüklenmesi desteklenir.
Sunucu belirtimleri
Fiziksel sunucuda çalışırken, ATA veritabanı BIOS'ta tekdüzen olmayan bellek erişimini (NUMA) devre dışı bırakmanızı gerektirir. Sisteminiz NUMA'yı Düğüm Araya Ekleme olarak adlandırabilir ve bu durumda NUMA'yı devre dışı bırakmak için Düğüm Araya Ekleme'yi etkinleştirmeniz gerekir. Daha fazla bilgi için BIOS belgelerinize bakın.
En iyi performans için ATA Center'ın Güç Seçeneğini Yüksek Performans olarak ayarlayın.
İzlediğiniz etki alanı denetleyicilerinin sayısı ve etki alanı denetleyicilerinin her birinin yükü, gereken sunucu belirtimlerini belirler. Daha fazla bilgi için bkz . ATA kapasite planlaması.
Windows İşletim sistemleri 2008R2 ve 2012 için Ağ Geçidi, Çok İşlemcili Grup modunda desteklenmez. Çok işlemcili grup modu hakkında daha fazla bilgi için bkz . sorun giderme.
Zaman eşitlemesi
ATA Center sunucusu, ATA Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanı olmalıdır.
Ağ bağdaştırıcıları
Aşağıdaki ayarlara sahip olmanız gerekir:
En az bir ağ bağdaştırıcısı (VLAN ortamında fiziksel sunucu kullanılıyorsa, iki ağ bağdaştırıcısı kullanılması önerilir)
443 numaralı bağlantı noktasında SSL kullanılarak şifrelenen ATA Center ile ATA Gateway arasındaki iletişimin IP adresi. (ATA hizmeti, ATA Center'ın 443 numaralı bağlantı noktasındaki tüm IP adreslerine bağlanır.)
Bağlantı Noktaları
Aşağıdaki tabloda, ATA Center'ın düzgün çalışması için açılması gereken en düşük bağlantı noktaları listelenir.
| Protokol | Taşıma | Liman | Son/Kimden | Yön |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA Gateway | Gelen |
| HTTP (isteğe bağlı) | TCP | 80 | Şirket Ağı | Gelen |
| HTTPS | TCP | 443 | Şirket Ağı ve ATA Gateway | Gelen |
| SMTP (isteğe bağlı) | TCP | 25 | SMTP Sunucusu | Giden |
| SMTPS (isteğe bağlı) | TCP | 465 | SMTP Sunucusu | Giden |
| Syslog (isteğe bağlı) | TCP/UPS/TLS (yapılandırılabilir) | 514 (varsayılan) | Syslog sunucusu | Giden |
| LDAP | TCP ve UDP | 389 | Etki alanı denetleyicileri | Giden |
| LDAPS (isteğe bağlı) | TCP | 636 | Etki alanı denetleyicileri | Giden |
| DNS | TCP ve UDP | 53 | DNS sunucuları | Giden |
| Kerberos (etki alanına katılmışsa isteğe bağlı) | TCP ve UDP | Kategori 88 | Etki alanı denetleyicileri | Giden |
| Windows Saati (etki alanına katılmışsa isteğe bağlı) | UDP | 123 | Etki alanı denetleyicileri | Giden |
Dekont
ATA Gateway'ler ve etki alanı denetleyicileri arasında kullanılacak kimlik bilgilerini test etmek için LDAP gereklidir. Test, ATA Center'dan bir etki alanı denetleyicisine gerçekleştirilerek bu kimlik bilgilerinin geçerliliğini test eder ve ardından ATA Gateway normal çözümleme işleminin bir parçası olarak LDAP kullanır.
Sertifikalar
ATA'yı daha hızlı yüklemek ve dağıtmak için, yükleme sırasında otomatik olarak imzalanan sertifikaları yükleyebilirsiniz. Otomatik olarak imzalanan sertifikaları kullanmayı seçtiyseniz, ilk dağıtımdan sonra, otomatik olarak imzalanan sertifikaları ATA Center tarafından kullanılacak bir iç Sertifika Yetkilisinin sertifikalarıyla değiştirmeniz önerilir.
ATA Center ve ATA Gateway'lerin CRL dağıtım noktanıza erişimi olduğundan emin olun. İnternet erişimi yoksa, crl'yi el ile içeri aktarmak için yordamı izleyin ve zincirin tamamı için tüm CRL dağıtım noktalarını yüklemeye dikkat edin.
Sertifika aşağıdakilere sahip olmalıdır:
- Özel anahtar
- Şifreleme Hizmeti Sağlayıcısı (CSP) veya Anahtar Depolama Sağlayıcısı (KSP) sağlayıcı türü
- 2048 bit ortak anahtar uzunluğu
- KeyEncipherment ve ServerAuthentication kullanım bayrakları için bir değer kümesi
- "KeyExchange" (AT_KEYEXCHANGE) KeySpec (KeyNumber) değeri. "signature" (AT_SIGNATURE) değeri desteklenmez .
- Tüm Ağ Geçidi makinelerinin seçili Center sertifikasını tam olarak doğrulayabilmesi ve ona güvenebilmesi gerekir.
Örneğin, standart Web sunucusunu veya Bilgisayar şablonlarını kullanabilirsiniz.
Uyarı
Mevcut bir sertifikayı yenileme işlemi desteklenmez. Sertifikayı yenilemenin tek yolu, yeni bir sertifika oluşturmak ve ATA'nın yeni sertifikayı kullanacak şekilde yapılandırılmasıdır.
Dekont
- ATA Konsolu'na diğer bilgisayarlardan erişecekseniz, bu bilgisayarların ATA Center tarafından kullanılan sertifikaya güvendiğinden emin olun, aksi takdirde oturum açma sayfasına geçmeden önce web sitesinin güvenlik sertifikasıyla ilgili bir sorun olduğuna ilişkin bir uyarı sayfası alırsınız.
- ATA 1.8 sürümünden itibaren ATA Gateway'ler ve Lightweight Gateway'ler kendi sertifikalarını yönetir ve bunları yönetmek için yönetici etkileşimi gerekmez.
ATA Gateway gereksinimleri
Bu bölümde ATA Gateway gereksinimlerini listelemektedir.
Genel
ATA Gateway, Windows Server 2012 R2 veya Windows Server 2016 ve Windows Server 2019 (sunucu çekirdeği dahil) çalıştıran bir sunucuya yüklemeyi destekler. ATA Gateway, bir etki alanının veya çalışma grubunun üyesi olan bir sunucuya yüklenebilir. ATA Gateway, Etki Alanı İşlev Düzeyi Windows 2003 ve üzeri olan Etki Alanı Denetleyicilerini izlemek için kullanılabilir.
Windows 2012 R2 çalıştıran ATA Gateway'i yüklemeden önce aşağıdaki güncelleştirmenin yüklendiğini onaylayın: KB2919355.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak de denetlenebilirsiniz: [Get-HotFix -Id kb2919355].
ATA Gateway ile sanal makineleri kullanma hakkında bilgi için bkz . Bağlantı noktası yansıtmayı yapılandırma.
Dekont
En az 5 GB alan gerekir ve 10 GB önerilir. Buna ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan dahildir.
Sunucu belirtimleri
En iyi performans için ATA Gateway'in Güç Seçeneğini Yüksek Performans olarak ayarlayın.
ATA Gateway, etki alanı denetleyicilerine gelen ve bu denetleyicilerden gelen ağ trafiği miktarına bağlı olarak birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.
Dinamik bellek veya başka bir sanal makine bellek yönetimi özelliği hakkında daha fazla bilgi edinmek için bkz . Dinamik bellek.
ATA Gateway donanım gereksinimleri hakkında daha fazla bilgi için bkz . ATA kapasite planlaması.
Zaman eşitlemesi
ATA Center sunucusu, ATA Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanı olmalıdır.
Ağ bağdaştırıcıları
ATA Gateway için en az bir Yönetim bağdaştırıcısı ve en az bir Yakalama bağdaştırıcısı gerekir:
Yönetim bağdaştırıcısı - kurumsal ağınızdaki iletişimler için kullanılır. Bu bağdaştırıcı aşağıdaki ayarlarla yapılandırılmalıdır:
Varsayılan ağ geçidi dahil statik IP adresi
Tercih edilen ve alternatif DNS sunucuları
Bu bağlantının DNS soneki, izlenen her etki alanının DNS adı olmalıdır.
Dekont
ATA Gateway etki alanının bir üyesiyse, bu otomatik olarak yapılandırılabilir.
Yakalama bağdaştırıcısı - etki alanı denetleyicilerine gelen ve bu denetleyicilerden gelen trafiği yakalamak için kullanılır.
Önemli
- Yakalama bağdaştırıcısı için bağlantı noktası yansıtmayı etki alanı denetleyicisi ağ trafiğinin hedefi olarak yapılandırın. Daha fazla bilgi için bkz . Bağlantı noktası yansıtmayı yapılandırma. Genellikle, bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle çalışmanız gerekir.
- Ortamınız için varsayılan ağ geçidi olmayan ve DNS sunucusu adresi olmayan statik yönlendirilebilir olmayan bir IP adresi yapılandırın. Örneğin, 1.1.1.1/32. Bu, yakalama ağ bağdaştırıcısının maksimum trafik miktarını yakalayabilmesini ve yönetim ağ bağdaştırıcısının gerekli ağ trafiğini gönderip almak için kullanılmasını sağlar.
Bağlantı Noktaları
Aşağıdaki tabloda, ATA Gateway'in yönetim bağdaştırıcısında yapılandırılması gereken en düşük bağlantı noktaları listelenmektedir:
| Protokol | Taşıma | Liman | Son/Kimden | Yön |
|---|---|---|---|---|
| LDAP | TCP ve UDP | 389 | Etki alanı denetleyicileri | Giden |
| Güvenli LDAP (LDAPS) | TCP | 636 | Etki alanı denetleyicileri | Giden |
| LDAP'nden Genel Kataloğa | TCP | 3268 | Etki alanı denetleyicileri | Giden |
| LDAPS'nden Genel Kataloğa | TCP | 3269 | Etki alanı denetleyicileri | Giden |
| Kerberos | TCP ve UDP | Kategori 88 | Etki alanı denetleyicileri | Giden |
| Netlogon (SMB, CIFS, SAM-R) | TCP ve UDP | 445 | Ağdaki tüm cihazlar | Giden |
| Windows Saati | UDP | 123 | Etki alanı denetleyicileri | Giden |
| DNS | TCP ve UDP | 53 | DNS Sunucuları | Giden |
| RPC üzerinden NTLM | TCP | 135 | Ağdaki tüm cihazlar | Her İkisi |
| NetBIOS | UDP | 137 | Ağdaki tüm cihazlar | Her İkisi |
| SSL | TCP | 443 | ATA Center | Giden |
| Syslog (isteğe bağlı) | UDP | 514 | SIEM Sunucusu | Gelen |
Dekont
ATA Gateway tarafından yapılan çözümleme işleminin bir parçası olarak, aşağıdaki bağlantı noktalarının ATA Gateway'lerden ağdaki cihazlarda gelen olarak açık olması gerekir.
- RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
- NetBIOS (UDP bağlantı noktası 137)
- DIZIN hizmeti kullanıcı hesabını kullanarak ATA Gateway, yanal hareket yolu grafiğini oluşturmak için SAM-R (ağ oturumu açma) kullanarak yerel yöneticiler için kuruluşunuzdaki uç noktaları sorgular. Daha fazla bilgi için bkz . SAM-R gerekli izinleri yapılandırma.
- Aşağıdaki bağlantı noktalarının ağdaki cihazlarda ATA Gateway'den gelen bağlantı noktalarının açık olması gerekir:
- Çözümleme amacıyla RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
- Çözümleme amacıyla NetBIOS (UDP bağlantı noktası 137)
ATA Lightweight Gateway gereksinimleri
Bu bölümde ATA Lightweight Gateway gereksinimlerini listelemektedir.
Genel
ATA Lightweight Gateway, Windows Server 2008 R2 SP1 (Sunucu Çekirdeği dahil değil), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ve Windows Server 2019 (Core dahil ancak Nano dahil değil) çalıştıran bir etki alanı denetleyicisine yüklemeyi destekler.
Etki alanı denetleyicisi salt okunur bir etki alanı denetleyicisi (RODC) olabilir.
ATA Lightweight Gateway'i Windows Server 2012 R2 çalıştıran bir etki alanı denetleyicisine yüklemeden önce aşağıdaki güncelleştirmenin yüklendiğini onaylayın: KB2919355.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak kontrol edebilirsiniz: [Get-HotFix -Id kb2919355]
Yükleme Windows Server 2012 R2 Server Core içinse, aşağıdaki güncelleştirme de yüklenmelidir: KB3000850.
Aşağıdaki Windows PowerShell cmdlet'ini çalıştırarak kontrol edebilirsiniz: [Get-HotFix -Id kb3000850]
Yükleme sırasında .Net Framework 4.6.1 yüklenir ve etki alanı denetleyicisinin yeniden başlatılmasına neden olabilir.
Dekont
En az 5 GB alan gerekir ve 10 GB önerilir. Buna ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan dahildir.
Sunucu belirtimleri
ATA Lightweight Gateway, etki alanı denetleyicisinde en az 2 çekirdek ve 6 GB RAM gerektirir. En iyi performans için ATA Lightweight Gateway'in Güç Seçeneğini Yüksek Performans olarak ayarlayın. ATA Lightweight Gateway, etki alanı denetleyicilerine gelen ve bu etki alanı denetleyicisine yüklenen kaynak miktarına bağlı olarak çeşitli yük ve boyutlardaki etki alanı denetleyicilerine dağıtılabilir.
Dinamik bellek veya başka bir sanal makine bellek yönetimi özelliği hakkında daha fazla bilgi edinmek için bkz . Dinamik bellek.
ATA Lightweight Gateway donanım gereksinimleri hakkında daha fazla bilgi için bkz . ATA kapasite planlaması.
Zaman eşitlemesi
ATA Center sunucusu, ATA Lightweight Gateway sunucuları ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanı olmalıdır.
Ağ bağdaştırıcıları
ATA Lightweight Gateway, tüm etki alanı denetleyicisinin ağ bağdaştırıcılarında yerel trafiği izler.
Dağıtımdan sonra, hangi ağ bağdaştırıcılarının izleneceğini değiştirmek isterseniz ATA Konsolu'nu kullanabilirsiniz.
Dekont
Lightweight Gateway, Broadcom Ağ Bağdaştırıcısı Grubu Oluşturma etkin windows 2008 R2 çalıştıran etki alanı denetleyicilerinde desteklenmez.
Bağlantı Noktaları
Aşağıdaki tabloda, ATA Lightweight Gateway için gereken en düşük bağlantı noktaları listelenir:
| Protokol | Taşıma | Liman | Son/Kimden | Yön |
|---|---|---|---|---|
| DNS | TCP ve UDP | 53 | DNS Sunucuları | Giden |
| RPC üzerinden NTLM | TCP | 135 | Ağdaki tüm cihazlar | Her İkisi |
| NetBIOS | UDP | 137 | Ağdaki tüm cihazlar | Her İkisi |
| SSL | TCP | 443 | ATA Center | Giden |
| Syslog (isteğe bağlı) | UDP | 514 | SIEM Sunucusu | Gelen |
| Netlogon (SMB, CIFS, SAM-R) | TCP ve UDP | 445 | Ağdaki tüm cihazlar | Giden |
Dekont
ATA Lightweight Gateway tarafından gerçekleştirilen çözümleme işleminin bir parçası olarak, aşağıdaki bağlantı noktalarının ATA Lightweight Gateway'lerden ağdaki cihazlarda gelen açık olması gerekir.
- RPC üzerinden NTLM
- NetBIOS
- Dizin hizmeti kullanıcı hesabını kullanarak ATA Lightweight Gateway, yanal hareket yolu grafiğini oluşturmak için SAM-R (ağ oturumu açma) kullanarak yerel yöneticiler için kuruluşunuzdaki uç noktaları sorgular. Daha fazla bilgi için bkz . SAM-R gerekli izinleri yapılandırma.
- Aşağıdaki bağlantı noktalarının ağdaki cihazlarda ATA Gateway'den gelen bağlantı noktalarının açık olması gerekir:
- Çözümleme amacıyla RPC üzerinden NTLM (TCP Bağlantı Noktası 135)
- Çözümleme amacıyla NetBIOS (UDP bağlantı noktası 137)
Dinamik bellek
Dekont
ATA hizmetlerini sanal makine (VM) olarak çalıştırırken hizmet, vm'ye her zaman tüm belleğin ayrılmasını gerektirir.
| Vm üzerinde çalışıyor | Tanım |
|---|---|
| Hyper-V | Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun. |
| VMware | Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarında aşağıdaki seçeneği belirtin: Tüm konuk belleğini ayır (Tümü kilitli). |
| Diğer sanallaştırma konağı | Belleğin vm'ye her zaman tam olarak ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın. |
ATA Center'ı sanal makine olarak çalıştırırsanız, olası veritabanı bozulmalarını önlemek için yeni bir denetim noktası oluşturmadan önce sunucuyu kapatın.
ATA Konsolu
ATA Konsolu'na tarayıcı üzerinden erişim, tarayıcıları ve ayarları destekler:
Internet Explorer sürüm 10 ve üzeri
Microsoft Edge
Google Chrome 40 ve üzeri
En az 1700 piksel ekran genişliği çözünürlüğü