Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Artikel werden die Anforderungen für eine erfolgreiche ATA-Bereitstellung in Ihrer Umgebung beschrieben.
Note
Informationen zum Planen von Ressourcen und Kapazität finden Sie unter ATA-Kapazitätsplanung.
ATA besteht aus dem ATA Center, dem ATA-Gateway und/oder dem ATA Lightweight Gateway. Weitere Informationen zu den ATA-Komponenten finden Sie in der ATA-Architektur.
Das ATA-System funktioniert innerhalb der Active Directory-Gesamtstrukturgrenze und unterstützt das Forest Functional Level (FFL) von Windows 2003 und höher.
Bevor Sie beginnen: In diesem Abschnitt werden Informationen aufgeführt, die Sie sammeln sollten, und Konten und Netzwerkentitäten, die Sie haben sollten, bevor Sie die ATA-Installation starten.
ATA Center: In diesem Abschnitt werden ATA Center-Hardware, Softwareanforderungen und Einstellungen aufgeführt, die Sie auf Ihrem ATA Center-Server konfigurieren müssen.
ATA-Gateway: In diesem Abschnitt werden ATA-Gatewayhardware, Softwareanforderungen und Einstellungen aufgeführt, die Sie auf Ihren ATA-Gatewayservern konfigurieren müssen.
ATA Lightweight Gateway: In diesem Abschnitt werden DIE HARDWARE- und Softwareanforderungen für ATA Lightweight Gateway aufgeführt.
ATA-Konsole: In diesem Abschnitt werden Browseranforderungen für die Ausführung der ATA-Konsole aufgeführt.
Bevor Sie beginnen
In diesem Abschnitt werden Informationen aufgeführt, die Sie sammeln sollten, sowie Konten und Netzwerkentitäten, die Sie vor dem Starten der ATA-Installation haben sollten.
Benutzerkonto und Kennwort mit Lesezugriff auf alle Objekte in den überwachten Domänen.
Note
Wenn Sie benutzerdefinierte ACLs für verschiedene Organisationseinheiten (OU) in Ihrer Domäne festgelegt haben, stellen Sie sicher, dass der ausgewählte Benutzer über Leseberechtigungen für diese Organisationseinheiten verfügt.
Installieren Sie Microsoft Message Analyzer nicht auf einem ATA-Gateway oder einem Lightweight-Gateway. Der Message Analyzer-Treiber steht im Konflikt mit den ATA-Gateway- und Lightweight-Gateway-Treibern. Wenn Sie Wireshark auf DEM ATA-Gateway ausführen, müssen Sie den Microsoft Advanced Threat Analytics Gatewaydienst neu starten, nachdem Sie die Wireshark-Erfassung beendet haben. Wenn nicht, beendet das Gateway die Erfassung des Datenverkehrs. Das Ausführen von Wireshark auf einem ATA Lightweight Gateway beeinträchtigt nicht das ATA Lightweight Gateway.
Empfohlen: Der Benutzer sollte über schreibgeschützte Berechtigungen für den Container "Gelöschte Objekte" verfügen. Dadurch kann ATA Massenlöschvorgänge von Objekten in der Domäne erkennen. Informationen zum Konfigurieren schreibgeschützter Berechtigungen für den Container "Gelöschte Objekte" finden Sie im Abschnitt "Ändern von Berechtigungen für einen gelöschten Objektcontainer " im Abschnitt " Ansicht" oder "Berechtigungen für ein Verzeichnisobjekt festlegen ".
Optional: Ein Benutzerkonto eines Benutzers ohne Netzwerkaktivitäten. Dieses Konto kann als ATA Honeytoken-Benutzer konfiguriert werden. Um ein Konto als Honeytoken-Benutzer zu konfigurieren, ist nur der Benutzername erforderlich. Informationen zur Honeytoken-Konfiguration finden Sie unter Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzern.
Optional: Neben dem Sammeln und Analysieren von Netzwerkdatenverkehr zu und von den Domänencontrollern kann ATA die Windows-Ereignisse 4776, 4732, 4733, 4728, 4729, 4756 und 4757 verwenden, um die Erkennung von Pass-the-Hash, Brute-Force-Angriffen, Veränderungen an sensiblen Gruppen und Honey Tokens durch ATA weiter zu verbessern. Diese Ereignisse können von Ihrem SIEM empfangen werden, oder indem Sie Windows Ereignisweiterleitung von Ihrem Domänencontroller festlegen. Gesammelte Ereignisse stellen ATA mit zusätzlichen Informationen bereit, die nicht über den Domänencontroller-Netzwerkdatenverkehr verfügbar sind.
ATA Center-Anforderungen
In diesem Abschnitt werden die Anforderungen für das ATA Center aufgeführt.
Allgemein
Das ATA Center unterstützt die Installation auf einem Server mit Windows Server 2012 R2-Windows Server 2016 und Windows Server 2019.
Note
Das ATA Center unterstützt Windows Server Kern nicht.
Das ATA Center kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist.
Vergewissern Sie sich vor der Installation von ATA Center mit Windows 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Sie können überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355].
Die Installation des ATA Center als virtueller Computer wird unterstützt.
Serverspezifikationen
Bei der Arbeit an einem physischen Server erfordert die ATA-Datenbank, dass Sie den Nichtuniform-Speicherzugriff (Nonuniform Memory Access, NUMA) im BIOS deaktivieren . Ihr System könnte NUMA als Knoteninterleaving bezeichnen. In diesem Fall müssen Sie Knoteninterleaving aktivieren, um NUMA zu deaktivieren. Weitere Informationen finden Sie in der BIOS-Dokumentation.
Legen Sie für eine optimale Leistung die Power-Option des ATA Center auf "Hohe Leistung" fest.
Die Anzahl der Domänencontroller, die Sie überwachen, und die Last auf jedem der Domänencontroller bestimmt die erforderlichen Serverspezifikationen. Weitere Informationen finden Sie unter ATA-Kapazitätsplanung.
Für Windows Betriebssysteme 2008R2 und 2012 wird Gateway in einem modus Multi Processor Group nicht unterstützt. Weitere Informationen zum Gruppenmodus mit mehreren Prozessoren finden Sie unter Problembehandlung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA-Gatewayserver und die Domänencontroller müssen innerhalb von fünf Minuten miteinander synchronisiert werden.
Netzwerkadapter
Sie sollten über das folgende Set verfügen:
Mindestens ein Netzwerkadapter (wenn physischer Server in DER VLAN-Umgebung verwendet wird, wird empfohlen, zwei Netzwerkadapter zu verwenden)
Eine IP-Adresse für die Kommunikation zwischen dem ATA Center und dem ATA-Gateway, das mit SSL am Port 443 verschlüsselt ist. (Der ATA-Dienst bindet an alle IP-Adressen, die das ATA Center an Port 443 hat.)
Ports
In der folgenden Tabelle sind die Mindestports aufgeführt, die geöffnet werden müssen, damit das ATA Center ordnungsgemäß funktioniert.
| Protokoll | Transport | Hafen | An/Von | Planungsrichtung |
|---|---|---|---|---|
| SSL (ATA Communications) | TCP | 443 | ATA-Gateway | Eingehend |
| HTTP (optional) | TCP | 80 | Unternehmensnetzwerk | Eingehend |
| HTTPS | TCP | 443 | Unternehmensnetzwerk und ATA-Gateway | Eingehend |
| SMTP (optional) | TCP | 25 | SMTP-Server | Ausgehend |
| SMTPS (optional) | TCP | 465 | SMTP-Server | Ausgehend |
| Syslog (optional) | TCP/UPS/TLS (konfigurierbar) | 514 (Standard) | Syslog-Server | Ausgehend |
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| LDAPS (optional) | TCP | 636 | Domänencontroller | Ausgehend |
| DNS | TCP und UDP | 53 | DNS-Server | Ausgehend |
| Kerberos (optional, wenn eine Domäne beigetreten ist) | TCP und UDP | 88 | Domänencontroller | Ausgehend |
| Windows Time (optional, wenn die Domäne beigetreten ist) | UDP | 123 | Domänencontroller | Ausgehend |
Note
LDAP ist erforderlich, um die Anmeldeinformationen zu testen, die zwischen den ATA-Gateways und den Domänencontrollern verwendet werden sollen. Der Test wird vom ATA Center an einen Domänencontroller durchgeführt, um die Gültigkeit dieser Anmeldeinformationen zu testen, nach der das ATA-Gateway LDAP als Teil seines normalen Auflösungsprozesses verwendet.
Zertifikate
Um ATA schneller zu installieren und bereitzustellen, können Sie selbstsignierte Zertifikate während der Installation installieren. Wenn Sie sich für die Verwendung von selbstsignierten Zertifikaten entschieden haben, empfiehlt es sich, nach der ersten Bereitstellung selbstsignierte Zertifikate durch Zertifikate einer internen Zertifizierungsstelle zu ersetzen, die vom ATA Center verwendet werden sollen.
Stellen Sie sicher, dass die ATA Center- und ATA-Gateways Zugriff auf Ihren CRL-Verteilungspunkt haben. Wenn sie keinen Internetzugriff haben, führen Sie das Verfahren aus, um eine CRL manuell zu importieren und dabei alle CRL-Verteilungspunkte für die gesamte Kette zu installieren.
Das Zertifikat muss folgendes aufweisen:
- Ein privater Schlüssel
- Ein Anbietertyp des Kryptografiedienstanbieters (CSP) oder des Schlüsselspeicheranbieters (Key Storage Provider, KSP)
- Eine Öffentliche Schlüssellänge von 2.048 Bits
- Ein Wertsatz für KeyEncipherment- und ServerAuthentication-Verwendungskennzeichnungen
- KeySpec (KeyNumber)-Wert von "KeyExchange" (AT_KEYEXCHANGE). Der Wert "Signature" (AT_SIGNATURE) wird nicht* unterstützt.
- Alle Gatewaycomputer müssen in der Lage sein, das ausgewählte Center-Zertifikat vollständig zu überprüfen und zu vertrauen.
Sie können z. B. die Standardwebserver - oder Computervorlagen verwenden.
Warning
Der Vorgang zum Verlängern eines vorhandenen Zertifikats wird nicht unterstützt. Die einzige Möglichkeit zum Verlängern eines Zertifikats besteht darin, ein neues Zertifikat zu erstellen und ATA für die Verwendung des neuen Zertifikats zu konfigurieren.
Note
- Wenn Sie von anderen Computern aus auf die ATA-Konsole zugreifen möchten, stellen Sie sicher, dass diese Computer dem von ATA Center verwendeten Zertifikat vertrauen, andernfalls erhalten Sie eine Warnseite, dass ein Problem mit dem Sicherheitszertifikat der Website vorliegt, bevor Sie zur Anmeldeseite gelangen.
- Ab ATA Version 1.8 verwalten die ATA-Gateways und Lightweight-Gateways ihre eigenen Zertifikate und benötigen keine Administratorinteraktion, um sie zu verwalten.
ATA-Gatewayanforderungen
In diesem Abschnitt werden die Anforderungen für das ATA-Gateway aufgeführt.
Allgemein
Das ATA-Gateway unterstützt die Installation auf einem Server mit Windows Server 2012 R2 oder Windows Server 2016 und Windows Server 2019 (einschließlich Serverkern). Das ATA-Gateway kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist. Das ATA-Gateway kann verwendet werden, um Domänencontroller mit Domänenfunktionsebene von Windows 2003 und höher zu überwachen.
Vergewissern Sie sich vor der Installation des ATA-Gateways mit Windows 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Sie können überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355].
Informationen zur Verwendung virtueller Computer mit dem ATA-Gateway finden Sie unter Konfigurieren der Portspiegelung.
Note
Es ist mindestens 5 GB Speicherplatz erforderlich, und es wird 10 GB empfohlen. Dies umfasst Speicherplatz für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
Serverspezifikationen
Legen Sie für eine optimale Leistung die Power-Option des ATA-Gateways auf hohe Leistung fest.
Ein ATA-Gateway kann die Überwachung mehrerer Domänencontroller unterstützen, abhängig von der Menge des Netzwerkdatenverkehrs zu und von den Domänencontrollern.
Weitere Informationen zum dynamischen Speicher oder einem anderen Feature für die Speicherverwaltung virtueller Computer finden Sie unter Dynamischen Arbeitsspeicher.
Weitere Informationen zu den HARDWAREanforderungen des ATA-Gateways finden Sie in der ATA-Kapazitätsplanung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA-Gatewayserver und die Domänencontroller müssen innerhalb von fünf Minuten miteinander synchronisiert werden.
Netzwerkadapter
Das ATA-Gateway erfordert mindestens einen Verwaltungsadapter und mindestens einen Aufnahmeadapter:
Verwaltungsadapter – wird für die Kommunikation in Ihrem Unternehmensnetzwerk verwendet. Dieser Adapter sollte mit den folgenden Einstellungen konfiguriert werden:
Statische IP-Adresse einschließlich Standardgateway
Bevorzugte und alternative DNS-Server
Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Domäne für jede domäne sein, die überwacht wird.
Konfigurieren Sie das DNS-Suffix in den erweiterten TCP/IP-Einstellungen.
Note
Wenn das ATA-Gateway Mitglied der Domäne ist, kann dies automatisch konfiguriert werden.
Aufnahmeadapter – wird verwendet, um Datenverkehr zu und von den Domänencontrollern zu erfassen.
Wichtig
- Konfigurieren Sie die Portspiegelung für den Erfassungsadapter als Ziel für den Netzwerkverkehr des Domänencontrollers. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung. Normalerweise müssen Sie mit dem Netzwerk- oder Virtualisierungsteam arbeiten, um die Portspiegelung zu konfigurieren.
- Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse für Ihre Umgebung ohne Standardgateway und keine DNS-Serveradressen. Beispiel: 1.1.1.1/32. Dadurch wird sichergestellt, dass der Aufnahmenetzwerkadapter die maximale Datenverkehrsmenge erfassen kann und dass der Verwaltungsnetzwerkadapter verwendet wird, um den erforderlichen Netzwerkdatenverkehr zu senden und zu empfangen.
Ports
In der folgenden Tabelle sind die Mindestports aufgeführt, die für das ATA-Gateway auf dem Verwaltungsadapter konfiguriert werden müssen:
| Protokoll | Transport | Hafen | An/Von | Planungsrichtung |
|---|---|---|---|---|
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Sicheres LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum Globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum Globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
| Kerberos | TCP und UDP | 88 | Domänencontroller | Ausgehend |
| Netlogon (SMB, CIFS, SAM-R) | TCP und UDP | 445 | Alle Geräte im Netzwerk | Ausgehend |
| Windows-Zeitdienst | UDP | 123 | Domänencontroller | Ausgehend |
| Domain Name System (DNS) | TCP und UDP | 53 | DNS-Server | Ausgehend |
| NTLM über RPC | TCP | 135 | Alle Geräte im Netzwerk | Beides |
| Netbios | UDP | 137 | Alle Geräte im Netzwerk | Beides |
| SSL | TCP | 443 | ATA Center | Ausgehend |
| Syslog (optional) | UDP | 514 | SIEM Server | Eingehend |
Note
Im Rahmen der vom ATA-Gateway ausgeführten Lösungsprozesse müssen die folgenden Ports auf Geräten im Netzwerk für den Empfang von den ATA-Gateways geöffnet sein.
- NTLM über RPC (TCP-Port 135)
- NetBIOS (UDP-Port 137)
- Mithilfe des Verzeichnisdienstbenutzerkontos fragt das ATA-Gateway Endpunkte in Ihrer Organisation für lokale Administratoren mithilfe von SAM-R (Netzwerkanmeldung) ab, um das Lateral Movement Path Graph zu erstellen. Weitere Informationen finden Sie unter Konfigurieren SAM-R erforderlichen Berechtigungen.
- Die folgenden Ports müssen auf Geräten im Netzwerk über das ATA-Gateway geöffnet sein:
- NTLM über RPC (TCP-Port 135) für Auflösungszwecke
- NetBIOS (UDP-Port 137) für Lösungszwecke
ATA Lightweight Gateway-Anforderungen
In diesem Abschnitt werden die Anforderungen für das ATA Lightweight Gateway aufgeführt.
Allgemein
Das ATA Lightweight Gateway unterstützt die Installation auf einem Domänencontroller mit Windows Server 2008 R2 SP1 (nicht einschließlich Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 und Windows Server 2019 (einschließlich Core, aber nicht Nano).
Der Domänencontroller kann ein schreibgeschützter Domänencontroller (RODC) sein.
Vergewissern Sie sich vor der Installation des ATA Lightweight Gateways auf einem Domänencontroller mit Windows Server 2012 R2, dass das folgende Update installiert wurde: KB2919355.
Sie können überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb2919355]
Wenn die Installation für Windows Server 2012 R2 Server Core vorgesehen ist, sollte auch das folgende Update installiert werden: KB3000850.
Sie können überprüfen, indem Sie das folgende Windows PowerShell-Cmdlet ausführen: [Get-HotFix -Id kb3000850]
Während der Installation wird das .NET Framework 4.6.1 installiert und kann zu einem Neustart des Domänencontrollers führen.
Note
Es ist mindestens 5 GB Speicherplatz erforderlich, und es wird 10 GB empfohlen. Dies umfasst Speicherplatz für die ATA-Binärdateien, ATA-Protokolle und Leistungsprotokolle.
Serverspezifikationen
Das ATA Lightweight Gateway erfordert mindestens zwei Kerne und 6 GB RAM, die auf dem Domänencontroller installiert sind. Legen Sie für eine optimale Leistung die Power-Option des ATA Lightweight Gateways auf hohe Leistung fest. Das ATA Lightweight Gateway kann auf Domänencontrollern verschiedener Lasten und Größen bereitgestellt werden, abhängig von der Menge des Netzwerkdatenverkehrs zu und von den Domänencontrollern und der Menge der auf diesem Domänencontroller installierten Ressourcen.
Weitere Informationen zum dynamischen Speicher oder einem anderen Feature für die Speicherverwaltung virtueller Computer finden Sie unter Dynamischen Arbeitsspeicher.
Weitere Informationen zu den HARDWAREanforderungen des ATA Lightweight Gateways finden Sie in der ATA-Kapazitätsplanung.
Zeitsynchronisierung
Der ATA Center-Server, die ATA Lightweight Gateway-Server und die Domänencontroller müssen innerhalb von fünf Minuten miteinander synchronisiert werden.
Netzwerkadapter
Das ATA Lightweight Gateway überwacht den lokalen Datenverkehr auf allen Netzwerkadaptern des Domänencontrollers.
Nach der Bereitstellung können Sie die ATA-Konsole verwenden, wenn Sie jemals ändern möchten, welche Netzwerkadapter überwacht werden.
Note
Das Lightweight-Gateway wird auf Domänencontrollern, die Windows 2008 R2 ausgeführt werden, nicht unterstützt, wobei das Broadcom-Netzwerkadapterteam aktiviert ist.
Ports
In der folgenden Tabelle sind die Mindestports aufgeführt, die für das ATA Lightweight Gateway erforderlich sind:
| Protokoll | Transport | Hafen | An/Von | Planungsrichtung |
|---|---|---|---|---|
| Domain Name System (DNS) | TCP und UDP | 53 | DNS-Server | Ausgehend |
| NTLM über RPC | TCP | 135 | Alle Geräte im Netzwerk | Beides |
| Netbios | UDP | 137 | Alle Geräte im Netzwerk | Beides |
| SSL | TCP | 443 | ATA Center | Ausgehend |
| Syslog (optional) | UDP | 514 | SIEM Server | Eingehend |
| Netlogon (SMB, CIFS, SAM-R) | TCP und UDP | 445 | Alle Geräte im Netzwerk | Ausgehend |
Note
Im Rahmen des vom ATA Lightweight Gateway durchgeführten Auflösungsprozesses müssen die folgenden Ports für eingehende Verbindungen auf Geräten im Netzwerk von den ATA Lightweight Gateways geöffnet sein.
- NTLM über RPC
- Netbios
- Mithilfe des Benutzerkontos des Verzeichnisdiensts fragt das ATA Lightweight Gateway Endpunkte in Ihrer Organisation nach lokalen Administratoren ab, die SAM-R (Netzwerkanmeldung) verwenden, um das Lateral Movement Path Graph zu erstellen. Weitere Informationen finden Sie unter Konfigurieren SAM-R erforderlichen Berechtigungen.
- Die folgenden Ports müssen für eingehenden Datenverkehr von der ATA-Gateway auf Geräten im Netzwerk geöffnet sein:
- NTLM über RPC (TCP-Port 135) für Auflösungszwecke
- NetBIOS (UDP-Port 137) für Lösungszwecke
Dynamischer Arbeitsspeicher
Note
Wenn ATA-Dienste als virtueller Computer (VM) ausgeführt werden, muss der Dienst den gesamten Arbeitsspeicher der VM zuweisen.
| Virtuelle Maschine in Betrieb auf | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| VMware | Stellen Sie sicher, dass die konfigurierte Speichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie die folgende Option in der VM-Einstellung aus– Reservieren Sie den gesamten Gastspeicher (alle gesperrt). |
| Anderer Virtualisierungshost | Lesen Sie die vom Anbieter bereitgestellte Dokumentation, wie Sie sicherstellen können, dass dem virtuellen Computer immer vollständig Arbeitsspeicher zugeordnet ist. |
Wenn Sie das ATA Center als virtuellen Computer ausführen, fahren Sie den Server herunter, bevor Sie einen neuen Prüfpunkt erstellen, um potenzielle Datenbankbeschädigungen zu vermeiden.
ATA-Konsole
Der Zugriff auf die ATA-Konsole erfolgt über einen Browser, der die Browser und Einstellungen unterstützt:
Internet Explorer Version 10 und höher
Microsoft Edge
Google Chrome 40 und höher
Minimale Bildschirmbreite von 1.700 Pixeln