Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Artikel erfahren Sie, wie viele ATA-Server zum Überwachen Ihres Netzwerks benötigt werden. Es hilft Ihnen zu schätzen, wie viele ATA-Gateways und/oder ATA Lightweight Gateways Sie benötigen, sowie die Serverkapazität für Ihre ATA Center- und ATA-Gateways.
Note
Das ATA Center kann auf jedem IaaS-Anbieter bereitgestellt werden, solange die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
Verwenden des Größentools
Die empfohlene und einfachste Möglichkeit zur Ermittlung der Kapazität für Ihre ATA-Bereitstellung ist die Verwendung des ATA Sizing Tools. Führen Sie das ATA-Größenanpassungstool aus und verwenden Sie die Ergebnisse aus der Excel-Datei, um die ATA-Kapazität zu ermitteln, die Sie benötigen.
ATA Center CPU und Arbeitsspeicher: Vergleichen Sie das Feld Ausgelastete Pakete/Sek in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld PACKETS PER SECOND in der ATA Center-Tabelle.
ATA Center Storage: Stimmen Sie das Feld "Avg Packets/sec " in der Ergebnisdatei der ATA Center-Tabelle mit dem Feld "PACKETS PER SECOND " in der ATA Center-Tabelle überein.
ATA-Gateway: Stimmen Sie das Feld "Ausgelastete Pakete/Sek" in der Tabelle "ATA-Gateway" in der Ergebnisdatei mit dem Feld "PACKETS PER SECOND" in der ATA-Gateway-Tabelle oder der Tabelle "ATA Lightweight Gateway" überein, je nachdem, welchen Gatewaytyp Sie auswählen.
Note
Da verschiedene Umgebungen variieren und mehrere spezielle und unerwartete Merkmale des Netzwerkdatenverkehrs aufweisen, müssen Sie nach der ersten Bereitstellung von ATA und dem Ausführen des Größenanpassungstools möglicherweise Ihre Bereitstellung anpassen und hinsichtlich der Kapazität optimieren.
Wenn Sie das ATA-Größenbestimmungstool nicht verwenden können, sammeln Sie die Paket-pro-Sekunde-Zählerinformationen manuell in einem kurzen Intervall von etwa 5 Sekunden von allen Domänencontrollern für die Dauer von 24 Stunden. Berechnen Sie dann für jeden Domänencontroller den täglichen Durchschnitt und den Durchschnitt des geschäftigsten Zeitraums (15 Minuten). In den folgenden Abschnitten finden Sie Anweisungen zum Sammeln des Pakete-pro-Sekunde-Zählers von einem Domänencontroller.
Note
Da verschiedene Umgebungen variieren und unterschiedliche spezielle und unerwartete Netzwerkdatenverkehrsmerkmale aufweisen, müssen Sie nach der ersten Bereitstellung von ATA das Größenanpassungstool ausführen. Möglicherweise müssen Sie die Bereitstellung dann in Bezug auf die Kapazität anpassen und optimieren.
ATA Center-Größe
Das ATA Center erfordert mindestens 30 Tage Daten für Benutzerverhaltensanalysen.
| Pakete pro Sekunde von allen DCs | CPU (Kerne*) | Arbeitsspeicher (GB) | Datenbankspeicher pro Tag (GB) | Datenbankspeicher pro Monat (GB) | IOPS** |
|---|---|---|---|---|---|
| 1.000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1\.800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9.000 | 4.000 (5.000) |
*Dies umfasst physische Kerne, nicht hyperthreadierte Kerne.
**Durchschnittliche Zahlen (Spitzenzahlen)
Note
- Das ATA Center kann maximal 1M-Pakete pro Sekunde von allen überwachten Domänencontrollern verarbeiten. In einigen Umgebungen kann dasselbe ATA Center den gesamten Datenverkehr verarbeiten, der höher als 1M ist, und einige Umgebungen können die ATA-Kapazität überschreiten. Wenden Sie sich an azureatpfeedback@microsoft.com uns, um Unterstützung bei der Planung und Schätzung großer Umgebungen zu erhalten.
- Wenn Ihr freier Speicherplatz mindestens 20% oder 200 GB erreicht, wird die älteste Sammlung von Daten gelöscht. Wenn es nicht möglich ist, die Datensammlung auf diese Ebene erfolgreich zu reduzieren, wird eine Warnung protokolliert. ATA funktioniert weiterhin, bis der Schwellenwert von 5% oder 50 GB frei erreicht ist. Zu diesem Zeitpunkt wird ATA die Datenbank nicht mehr auffüllen, und es wird eine zusätzliche Warnung ausgegeben.
- Sie können das ATA Center auf jedem IaaS-Anbieter bereitstellen, wenn die in diesem Artikel beschriebenen Leistungsanforderungen erfüllt sind.
- Die Speicherlatenz für Lese- und Schreibaktivitäten sollte unter 10 ms liegen.
- Das Verhältnis zwischen Lese- und Schreibaktivitäten beträgt etwa 1:3 unter 100.000 Paketen pro Sekunde und 1:6 über 100.000 Pakete pro Sekunde.
- Wenn das Center als virtueller Computer (VM) ausgeführt wird, muss dem Virtuellen Computer der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen von ATA Center als virtueller Computer finden Sie unter ATA Center-Anforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA Center auf "Hohe Leistung" fest.
- Wenn Sie auf einem physischen Server arbeiten, muss die ATA-Datenbank den nicht uniformen Speicherzugriff (NON-Uniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System bezeichnet NUMA möglicherweise als Knoteninterleaving. In diesem Fall müssen Sie Knoteninterleaving aktivieren, um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation. Dies ist nicht relevant, wenn das ATA Center auf einem virtuellen Server ausgeführt wird.
Auswählen des richtigen Gatewaytyps für Ihre Bereitstellung
In einer ATA-Bereitstellung wird eine beliebige Kombination der ATA-Gatewaytypen unterstützt:
- Nur ATA-Gateways
- Nur ATA-Leichtgewicht-Gateways
- Eine Kombination aus beiden
Berücksichtigen Sie bei der Entscheidung des Gatewaybereitstellungstyps die folgenden Vorteile:
| Gatewaytyp | Benefits | Kosten | Bereitstellungstopologie | Domänencontrollerverwendung |
|---|---|---|---|---|
| ATA-Gateway | Die Out-of-Band-Bereitstellung erschwert Angreifern, ATA zu entdecken. | Höher | Installiert neben dem Domänencontroller (out of band) | Unterstützt bis zu 50.000 Pakete pro Sekunde |
| ATA Lightweight Gateway | Erfordert keine dedizierte Server- und Portspiegelungskonfiguration | Lower | Auf dem Domänencontroller installiert | Unterstützt bis zu 10.000 Pakete pro Sekunde |
Im Folgenden finden Sie Beispiele für Szenarien, in denen Domänencontroller vom ATA Lightweight Gateway abgedeckt werden sollten:
Zweigstellen
Virtuelle Domänencontroller, die in der Cloud bereitgestellt werden (IaaS)
Im Folgenden finden Sie Beispiele für Szenarien, in denen Domänencontroller vom ATA-Gateway abgedeckt werden sollten:
- Zentrale Rechenzentren (mit Domänencontrollern mit mehr als 10.000 Paketen pro Sekunden)
ATA Lightweight Gateway-Größe
Ein ATA Lightweight Gateway kann die Überwachung eines Domänencontrollers basierend auf der Menge des vom Domänencontroller generierten Netzwerkdatenverkehrs unterstützen.
| Pakete pro Sekunde* | CPU (Kerne**) | Arbeitsspeicher (GB)*** |
|---|---|---|
| 1.000 | 2 | 6 |
| 5.000 | 6 | 16 |
| 10.000 | 10 | 24 |
*Die Gesamtanzahl der Pakete pro Sekunde auf dem Domänencontroller, der vom spezifischen ATA Lightweight Gateway überwacht wird.
**Die Gesamtzahl der nicht hyperthreadigen Kerne, die dieser Domänencontroller installiert hat.
Während Hyperthreading für das ATA Lightweight Gateway akzeptabel ist, sollten Sie bei der Planung der Kapazität tatsächliche Kerne und nicht hyperthreadierte Kerne zählen.
Die Gesamtmenge des Arbeitsspeichers, den dieser Domänencontroller installiert hat.
Note
- Wenn der Domänencontroller nicht über die vom ATA Lightweight Gateway erforderlichen Ressourcen verfügt, ist die Leistung des Domänencontrollers nicht betroffen, aber das ATA Lightweight Gateway funktioniert möglicherweise nicht wie erwartet.
- Wenn Sie das Gateway als virtuellen Computer (VM) ausführen, muss dem Gateway jederzeit der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Dynamische Speicheranforderungen).
- Legen Sie für eine optimale Leistung die Power-Option des ATA Lightweight Gateways auf hohe Leistung fest.
- Es ist mindestens 5 GB Speicherplatz erforderlich, und es wird 10 GB empfohlen, einschließlich speicherplatzbedarfs für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
Die Größe des ATA-Gateways
Berücksichtigen Sie die folgenden Probleme bei der Entscheidung, wie viele ATA-Gateways bereitgestellt werden sollen.
-
Active Directory Gesamtstrukturen und Domänen
ATA kann den Datenverkehr aus mehreren Domänen innerhalb einer einzelnen Active Directory-Gesamtstruktur überwachen. Für die Überwachung mehrerer Active Directory Gesamtstrukturen sind separate ATA-Bereitstellungen erforderlich. Konfigurieren Sie keine einzelne ATA-Bereitstellung, um den Netzwerkdatenverkehr von Domänencontrollern aus verschiedenen Gesamtstrukturen zu überwachen. -
Portspiegelung
Überlegungen zur Portspiegelung erfordern möglicherweise die Bereitstellung mehrerer ATA-Gateways pro Datengateway oder Zweigstellenstandort. -
Capacity
Ein ATA-Gateway kann die Überwachung mehrerer Domänencontroller unterstützen, je nachdem, wie viel Netzwerkdatenverkehr der Domänencontroller überwacht werden.
| Pakete pro Sekunde* | CPU (Kerne**) | Arbeitsspeicher (GB) |
|---|---|---|
| 1.000 | 1 | 6 |
| 5.000 | 2 | 10 |
| 10.000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Die durchschnittliche Anzahl von Paketen pro Sekunde von allen Domänencontrollern, die von dem spezifischen ATA-Gateway während der verkehrsreichsten Stunde des Tages überwacht werden.
*Die Gesamtmenge des durch Port-Mirroring erfassten Datenverkehrs des Domain Controllers darf die Kapazität der NIC zur Erfassung auf dem ATA-Gateway nicht überschreiten.
**Hyperthreading muss deaktiviert sein.
Note
- Wenn Sie das Gateway als virtuellen Computer (VM) ausführen, muss dem Gateway jederzeit der gesamte Arbeitsspeicher zugewiesen werden. Weitere Informationen zum Ausführen des ATA-Gateways als virtueller Computer finden Sie unter Dynamische Speicheranforderungen.
- Legen Sie für eine optimale Leistung die Power-Option des ATA-Gateways auf hohe Leistung fest.
- Es ist mindestens 5 GB Speicherplatz erforderlich, und es wird 10 GB empfohlen, einschließlich speicherplatzbedarfs für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.