Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Cet article décrit les conditions requises pour un déploiement ATA réussi dans votre environnement.
Note
Pour plus d’informations sur la planification des ressources et de la capacité, consultez la planification de la capacité ATA.
ATA est composé du centre ATA, de la passerelle ATA et/ou de la passerelle légère ATA. Pour plus d’informations sur les composants ATA, consultez l’architecture ATA.
Le système ATA fonctionne sur la limite de forêt Active Directory et prend en charge le niveau fonctionnel de forêt (FFL) de Windows 2003 et versions ultérieures.
Avant de commencer : cette section répertorie les informations que vous devez collecter et les comptes et les entités réseau dont vous avez besoin, avant de démarrer l’installation d’ATA.
Centre ATA : cette section répertorie le matériel, la configuration logicielle requise et les paramètres du Centre ATA que vous devez configurer sur votre serveur du Centre ATA.
Passerelle ATA : cette section répertorie le matériel de passerelle ATA, la configuration logicielle requise et les paramètres que vous devez configurer sur vos serveurs de passerelle ATA.
Passerelle légère ATA : cette section répertorie le matériel de passerelle légère ATA et la configuration logicielle requise.
Console ATA : cette section répertorie les exigences du navigateur pour l’exécution de la console ATA.
Avant de commencer
Cette section répertorie les informations que vous devez collecter, ainsi que les comptes et les entités réseau dont vous avez besoin avant de démarrer l’installation d’ATA.
Compte d’utilisateur et mot de passe avec accès en lecture à tous les objets des domaines surveillés.
Note
Si vous avez défini des listes de contrôle d’accès personnalisées sur différentes unités d’organisation dans votre domaine, vérifiez que l’utilisateur sélectionné dispose des autorisations de lecture sur ces unités d’organisation.
N'installez pas Microsoft Analyseur de messages sur une passerelle ATA ou une passerelle légère. Le pilote Message Analyzer est en conflit avec la passerelle ATA et les pilotes de passerelle légère. Si vous exécutez Wireshark sur la passerelle ATA, vous devez redémarrer le service de passerelle Microsoft Advanced Threat Analytics après avoir arrêté la capture Wireshark. Si ce n’est pas le cas, la passerelle cesse de capturer le trafic. L’exécution de Wireshark sur une passerelle légère ATA n’interfère pas avec la passerelle légère ATA.
Recommandé : l’utilisateur doit disposer d’autorisations en lecture seule sur le conteneur Objets supprimés. Cela permet à ATA de détecter la suppression en bloc d’objets dans le domaine. Pour plus d’informations sur la configuration des autorisations en lecture seule sur le conteneur Objets supprimés, consultez la section Modification des autorisations sur un conteneur d’objets supprimés dans l’article Afficher ou Définir des autorisations sur un objet Directory .
Facultatif : compte d’utilisateur d’un utilisateur sans activités réseau. Ce compte est configurable en tant qu’utilisateur ATA Honeytoken. Pour configurer un compte en tant qu’utilisateur Honeytoken, seul le nom d’utilisateur est requis. Pour plus d’informations sur la configuration de Honeytoken, consultez Configurer les exclusions d’adresses IP et l’utilisateur Honeytoken.
Facultatif : en plus de collecter et d’analyser le trafic réseau vers et à partir des contrôleurs de domaine, ATA peut utiliser des événements Windows 4776, 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer davantage ATA Pass-the-Hash, Force Brute, Modification des groupes sensibles et les détections des jetons Pot-de-Miel. Ces événements peuvent être reçus depuis votre SIEM ou en configurant le transfert des événements Windows depuis votre contrôleur de domaine. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.
Configuration requise pour le Centre ATA
Cette section répertorie les conditions requises pour le Centre ATA.
General
Le centre ATA prend en charge l’installation sur un serveur exécutant Windows Server 2012 Windows Server 2016 et Windows Server 2019.
Note
Le centre ATA ne prend pas en charge Windows Server Core.
Le centre ATA peut être installé sur un serveur membre d’un domaine ou d’un groupe de travail.
Avant d’installer le Centre ATA exécutant Windows 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez vérifier en exécutant l’applet de commande PowerShell Windows suivante : [Get-HotFix -Id kb2919355].
L’installation du centre ATA en tant que machine virtuelle est prise en charge.
Spécifications du serveur
Lorsque vous travaillez sur un serveur physique, la base de données ATA nécessite de désactiver l’accès à la mémoire nonuniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d’informations, consultez la documentation de votre BIOS.
Pour des performances optimales, définissez l’option d’alimentation du Centre ATA sur Hautes performances.
Le nombre de contrôleurs de domaine que vous surveillez et la charge sur chacun des contrôleurs de domaine détermine les spécifications du serveur nécessaires. Pour plus d’informations, consultez la planification de la capacité ATA.
Pour les systèmes d'exploitation Windows 2008R2 et 2012, la passerelle n'est pas prise en charge en mode Multi Processor Group. Pour plus d’informations sur le mode de groupe multiprocesseur, consultez résolution des problèmes.
Synchronisation de l’heure
Les serveurs du centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent être synchronisés en temps avec une précision de cinq minutes les uns des autres.
Adaptateurs réseau
Vous devez disposer de l’ensemble suivant :
Au moins une carte réseau (si vous utilisez un serveur physique dans l’environnement VLAN, il est recommandé d’utiliser deux cartes réseau)
Adresse IP pour la communication entre le centre ATA et la passerelle ATA chiffrée à l’aide de SSL sur le port 443. (Le service ATA est lié à toutes les adresses IP que le centre ATA a sur le port 443.)
Ports maritimes
Le tableau suivant répertorie les ports minimum qui doivent être ouverts pour que le centre ATA fonctionne correctement.
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| SSL (Communications ATA) | TCP | 443 | Passerelle ATA | Trafic entrant |
| HTTP (facultatif) | TCP | 80 | Réseau d’entreprise | Trafic entrant |
| HTTPS | TCP | 443 | Réseau d’entreprise et passerelle ATA | Trafic entrant |
| SMTP (facultatif) | TCP | 25 | Serveur SMTP | Sortant |
| SMTPS (facultatif) | TCP | 465 | Serveur SMTP | Sortant |
| Syslog (facultatif) | TCP/UPS/TLS (configurable) | 514 (valeur par défaut) | Serveur Syslog | Sortant |
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAPS (facultatif) | TCP | 636 | Contrôleurs de domaine | Sortant |
| DNS | TCP et UDP | 53 | Serveurs DNS | Sortant |
| Kerberos (facultatif si le domaine est joint) | TCP et UDP | 88 | Contrôleurs de domaine | Sortant |
| Windows Time (facultatif si le domaine est joint) | UDP | 123 | Contrôleurs de domaine | Sortant |
Note
LDAP est nécessaire pour tester les informations d’identification à utiliser entre les passerelles ATA et les contrôleurs de domaine. Le test est effectué à partir du Centre ATA vers un contrôleur de domaine pour tester la validité de ces informations d’identification, après quoi la passerelle ATA utilise LDAP dans le cadre de son processus de résolution normal.
Certificats
Pour installer et déployer ATA plus rapidement, vous pouvez installer des certificats auto-signés lors de l’installation. Si vous avez choisi d’utiliser des certificats auto-signés, après le déploiement initial, il est recommandé de remplacer les certificats auto-signés par des certificats d’une autorité de certification interne à utiliser par le Centre ATA.
Vérifiez que le centre ATA et les passerelles ATA ont accès à votre point de distribution de liste de révocation de certificats. S’ils n’ont pas d’accès à Internet, suivez la procédure pour importer manuellement une liste de révocation de certificats, en prenant soin d’installer tous les points de distribution de la liste de révocation de certificats pour toute la chaîne.
Le certificat doit avoir :
- Une clé privée
- Type de fournisseur de services de chiffrement (CSP) ou fournisseur de stockage de clés (KSP)
- Longueur de clé publique de 2 048 bits
- Ensemble de valeurs pour les indicateurs d’utilisation keyEncipherment et ServerAuthentication
- Valeur KeySpec (KeyNumber) de « KeyExchange » (AT_KEYEXCHANGE). La valeur « Signature » (AT_SIGNATURE) n’est pas prise en charge* .
- Toutes les machines de passerelle doivent être en mesure de valider et d’approuver entièrement le certificat centre sélectionné.
Par exemple, vous pouvez utiliser le serveur web standard ou les modèles d’ordinateur .
Warning
Le processus de renouvellement d’un certificat existant n’est pas pris en charge. La seule façon de renouveler un certificat consiste à créer un certificat et à configurer ATA pour utiliser le nouveau certificat.
Note
- Si vous accédez à la console ATA à partir d’autres ordinateurs, assurez-vous que ces ordinateurs approuvent le certificat utilisé par le Centre ATA dans le cas contraire, vous obtenez une page d’avertissement indiquant qu’il existe un problème avec le certificat de sécurité du site web avant d’accéder à la page de connexion.
- À compter d’ATA version 1.8, les passerelles ATA et les passerelles légères gèrent leurs propres certificats et n’ont besoin d’aucune interaction administrateur pour les gérer.
Configuration requise pour la passerelle ATA
Cette section répertorie les conditions requises pour la passerelle ATA.
General
La passerelle ATA prend en charge l’installation sur un serveur exécutant Windows Server 2012 R2 ou Windows Server 2016 et Windows Server 2019 (y compris le serveur principal). La passerelle ATA peut être installée sur un serveur membre d’un domaine ou d’un groupe de travail. La passerelle ATA peut être utilisée pour surveiller les contrôleurs de domaine avec le niveau fonctionnel de domaine de Windows 2003 et versions ultérieures.
Avant d’installer la passerelle ATA exécutant Windows 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez vérifier en exécutant l’applet de commande PowerShell Windows suivante : [Get-HotFix -Id kb2919355].
Pour plus d’informations sur l’utilisation de machines virtuelles avec la passerelle ATA, consultez Configurer la mise en miroir de ports.
Note
Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Spécifications du serveur
Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Hautes performances.
Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau vers et depuis les contrôleurs de domaine.
Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire de machine virtuelle, consultez Mémoire dynamique.
Pour plus d’informations sur la configuration matérielle requise pour la passerelle ATA, consultez la planification de la capacité ATA.
Synchronisation de l’heure
Les serveurs du centre ATA, les serveurs de passerelle ATA et les contrôleurs de domaine doivent être synchronisés en temps avec une précision de cinq minutes les uns des autres.
Adaptateurs réseau
La passerelle ATA nécessite au moins un adaptateur de gestion et au moins un adaptateur de capture :
Adaptateur de gestion - utilisé pour les communications sur votre réseau d’entreprise. Cet adaptateur doit être configuré avec les paramètres suivants :
Adresse IP statique, y compris la passerelle par défaut
Serveurs DNS préférés et alternatifs
Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.
Note
Si la passerelle ATA est membre du domaine, cela peut être configuré automatiquement.
Adaptateur de capture : utilisé pour capturer le trafic vers et depuis les contrôleurs de domaine.
Important
- Configurez la mise en miroir de ports pour l'adaptateur de capture comme destination du trafic réseau du contrôleur de domaine. Pour plus d’informations, consultez Configurer la mise en miroir de ports. En règle générale, vous devez travailler avec l’équipe de mise en réseau ou de virtualisation pour configurer la mise en miroir de ports.
- Configurez une adresse IP statique non routable pour votre environnement sans passerelle par défaut et aucune adresse de serveur DNS. Par exemple, 1.1.1.1/32. Cela garantit que la carte réseau de capture peut capturer la quantité maximale de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau requis.
Ports maritimes
Le tableau suivant répertorie les ports minimum requis par la passerelle ATA sur l’adaptateur de gestion :
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Sortant |
| LDAP vers catalogue global | TCP | 3268 | Contrôleurs de domaine | Sortant |
| LDAPS vers le catalogue global | TCP | 3269 | Contrôleurs de domaine | Sortant |
| Kerberos | TCP et UDP | 88 | Contrôleurs de domaine | Sortant |
| Netlogon (SMB, CIFS, SAM-R) | TCP et UDP | 445 | Tous les appareils sur le réseau | Sortant |
| Heure Windows | UDP | 123 | Contrôleurs de domaine | Sortant |
| DNS | TCP et UDP | 53 | Serveurs DNS | Sortant |
| NTLM sur RPC | TCP | 135 | Tous les appareils sur le réseau | Les deux |
| Netbios | UDP | 137 | Tous les appareils sur le réseau | Les deux |
| SSL | TCP | 443 | Centre ATA | Sortant |
| Syslog (facultatif) | UDP | 514 | Serveur SIEM | Trafic entrant |
Note
Dans le cadre du processus de résolution effectué par la passerelle ATA, les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir des passerelles ATA.
- NTLM sur RPC (Port TCP 135)
- NetBIOS (Port UDP 137)
- À l’aide du compte d’utilisateur du service d’annuaire, la passerelle ATA interroge les points de terminaison de votre organisation pour les administrateurs locaux à l’aide de SAM-R (connexion réseau) afin de générer le graphique du chemin de mouvement latéral. Pour plus d’informations, consultez Configurer SAM-R autorisations requises.
- Les ports suivants doivent être ouverts en entrée sur les appareils du réseau depuis la passerelle ATA :
- NTLM sur RPC (port TCP 135) à des fins de résolution
- NetBIOS (port UDP 137) à des fins de résolution
Configuration requise pour la passerelle légère ATA
Cette section répertorie les conditions requises pour la passerelle légère ATA.
General
La passerelle légère ATA prend en charge l’installation sur un contrôleur de domaine exécutant Windows Server 2008 R2 SP1 (pas inclus Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019 (y compris Core, mais pas Nano).
Le contrôleur de domaine peut être un contrôleur de domaine en lecture seule.
Avant d’installer ATA Lightweight Gateway sur un contrôleur de domaine exécutant Windows Server 2012 R2, vérifiez que la mise à jour suivante a été installée : KB2919355.
Vous pouvez vérifier en exécutant l’applet de commande PowerShell Windows suivante : [Get-HotFix -Id kb2919355]
Si l’installation concerne Windows server 2012 R2 Server Core, la mise à jour suivante doit également être installée : KB3000850.
Vous pouvez vérifier en exécutant l’applet de commande PowerShell Windows suivante : [Get-HotFix -Id kb3000850]
Pendant l’installation, le .NET Framework 4.6.1 est installé et peut entraîner un redémarrage du contrôleur de domaine.
Note
Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés. Cela inclut l’espace nécessaire pour les fichiers binaires ATA, les journaux ATA et les journaux de performances.
Spécifications du serveur
La passerelle légère ATA nécessite au moins deux cœurs et 6 Go de RAM installés sur le contrôleur de domaine. Pour des performances optimales, définissez l’option d’alimentation de la passerelle légère ATA sur Hautes performances. La passerelle légère ATA peut être déployée sur les contrôleurs de domaine de différentes charges et tailles, en fonction de la quantité de trafic réseau vers et à partir des contrôleurs de domaine et de la quantité de ressources installées sur ce contrôleur de domaine.
Pour en savoir plus sur la mémoire dynamique ou toute autre fonctionnalité de gestion de la mémoire de machine virtuelle, consultez Mémoire dynamique.
Pour plus d’informations sur la configuration matérielle requise pour la passerelle légère ATA, consultez la planification de la capacité ATA.
Synchronisation de l’heure
Le serveur du centre ATA, les serveurs de passerelle légère ATA et les contrôleurs de domaine doivent avoir le temps synchronisé à moins de cinq minutes d'écart.
Adaptateurs réseau
La passerelle légère ATA surveille le trafic local sur toutes les cartes réseau du contrôleur de domaine.
Après le déploiement, vous pouvez utiliser la console ATA si vous souhaitez modifier les cartes réseau surveillées.
Note
La passerelle allégée n'est pas prise en charge sur les contrôleurs de domaine exécutant Windows 2008 R2 avec le regroupement d'adaptateurs réseau Broadcom activé.
Ports maritimes
Le tableau suivant répertorie les ports minimum requis par la passerelle légère ATA :
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| DNS | TCP et UDP | 53 | Serveurs DNS | Sortant |
| NTLM sur RPC | TCP | 135 | Tous les appareils sur le réseau | Les deux |
| Netbios | UDP | 137 | Tous les appareils sur le réseau | Les deux |
| SSL | TCP | 443 | Centre ATA | Sortant |
| Syslog (facultatif) | UDP | 514 | Serveur SIEM | Trafic entrant |
| Netlogon (SMB, CIFS, SAM-R) | TCP et UDP | 445 | Tous les appareils sur le réseau | Sortant |
Note
Dans le cadre du processus de résolution effectué par la passerelle légère ATA, les ports suivants doivent être ouverts entrants sur les appareils sur le réseau à partir des passerelles légères ATA.
- NTLM sur RPC
- Netbios
- À l’aide du compte d’utilisateur du service d’annuaire, la passerelle légère ATA interroge les points de terminaison de votre organisation pour les administrateurs locaux à l’aide de SAM-R (connexion réseau) afin de générer le graphique du chemin de mouvement latéral. Pour plus d’informations, consultez Configurer SAM-R autorisations requises.
- Les ports suivants doivent être ouverts en entrée sur les appareils du réseau depuis la passerelle ATA :
- NTLM sur RPC (port TCP 135), à des fins de résolution
- NetBIOS (port UDP 137) à des fins de résolution
Mémoire dynamique
Note
Lors de l’exécution de services ATA en tant que machine virtuelle, le service nécessite que toutes les mémoires soient allouées à la machine virtuelle, à tout moment.
| Machine virtuelle en cours d’exécution sur | Description |
|---|---|
| Hyper-V | Vérifiez que l’option Activer la mémoire dynamique n’est pas activée pour la machine virtuelle. |
| VMware | Vérifiez que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option suivante dans le paramètre de machine virtuelle : réservez toutes les mémoires invitées (toutes verrouillées). |
| Autre hôte de virtualisation | Reportez-vous à la documentation fournie par le fournisseur sur la façon de s’assurer que la mémoire est entièrement allouée à la machine virtuelle toujours. |
Si vous exécutez le Centre ATA en tant que machine virtuelle, arrêtez le serveur avant de créer un point de contrôle pour éviter toute altération potentielle de la base de données.
ATA Console
L’accès à la console ATA est via un navigateur, prenant en charge les navigateurs et les paramètres :
Internet Explorer version 10 et ultérieure
Microsoft Edge
Google Chrome 40 et versions ultérieures
Résolution minimale de largeur d’écran de 1 700 pixels