Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo descrive i requisiti per una corretta distribuzione ATA nell'ambiente in uso.
Note
Per informazioni su come pianificare risorse e capacità, vedere Pianificazione della capacità di ATA.
ATA è composto da ATA Center, dal gateway ATA e/o dal gateway ATA Lightweight. Per altre informazioni sui componenti ATA, vedere Architettura ATA.
Il sistema ATA funziona ai confini della foresta di Active Directory e supporta il Livello Funzionale della Foresta (FFL) di Windows 2003 e versioni successive.
Prima di iniziare: questa sezione elenca le informazioni da raccogliere e gli account e le entità di rete che è necessario disporre prima di avviare l'installazione di ATA.
ATA Center: questa sezione elenca hardware, requisiti software e impostazioni di ATA Center da configurare nel server ATA Center.
Gateway ATA: questa sezione elenca hardware, requisiti software e impostazioni del gateway ATA da configurare nei server gateway ATA.
Gateway ATA Lightweight: questa sezione elenca i requisiti hardware e software del gateway ATA Lightweight.
Console ATA: questa sezione elenca i requisiti del browser per l'esecuzione della console ATA.
Prima di iniziare
Questa sezione elenca le informazioni da raccogliere, nonché gli account e le entità di rete che è necessario avere prima di avviare l'installazione di ATA.
Account utente e password con accesso in lettura a tutti gli oggetti nei domini monitorati.
Note
Se sono stati impostati elenchi di controllo di accesso personalizzati in varie unità organizzative (OU) nel dominio, assicurarsi che l'utente selezionato disponga delle autorizzazioni di lettura per tali unità organizzative.
Non installare Microsoft Message Analyzer in un gateway ATA o in un gateway Leggero. Il driver Message Analyzer è in conflitto con i driver gateway ATA e Lightweight Gateway. Se si esegue Wireshark nel gateway ATA, è necessario riavviare il Servizio Gateway Microsoft Advanced Threat Analytics dopo aver arrestato l'acquisizione Wireshark. In caso contrario, il Gateway arresta l'acquisizione del traffico. L'esecuzione di Wireshark in un gateway ATA Lightweight non interferisce con il gateway ATA Lightweight.
Scelta consigliata: l'utente deve disporre delle autorizzazioni di sola lettura per il contenitore Oggetti eliminati. Ciò consente ad ATA di rilevare l'eliminazione in blocco di oggetti nel dominio. Per informazioni sulla configurazione delle autorizzazioni di sola lettura per il contenitore Oggetti eliminati, vedere la sezione Modifica delle autorizzazioni per un contenitore di oggetti eliminati nell'articolo Visualizzare o impostare autorizzazioni per un oggetto directory .
Facoltativo: un account utente di un utente senza attività di rete. Questo account è configurabile come utente ata honeytoken. Per configurare un account come utente honeytoken, è necessario solo il nome utente. Per informazioni sulla configurazione di honeytoken, vedere Configurare le esclusioni di indirizzi IP e l'utente honeytoken.
Facoltativo: oltre a raccogliere e analizzare il traffico di rete da e verso i controller di dominio, ATA può usare eventi di Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 per migliorare ulteriormente ATA Pass-the-Hash, forza bruta, modifiche ai gruppi sensibili e rilevamenti di Honey Tokens. Questi eventi possono essere ricevuti dal sistema SIEM o impostando Windows Inoltro eventi dal controller di dominio. Gli eventi raccolti forniscono ad ATA informazioni aggiuntive che non sono disponibili tramite il traffico di rete del controller di dominio.
Requisiti di ATA Center
Questa sezione elenca i requisiti per ATA Center.
General
ATA Center supporta l'installazione in un server che esegue Windows Server 2012 R2 Windows Server 2016 e Windows Server 2019.
Note
ATA Center non supporta Windows Server core.
ATA Center può essere installato in un server membro di un dominio o di un gruppo di lavoro.
Prima di installare ATA Center che esegue Windows 2012 R2, verificare che sia stato installato l'aggiornamento seguente: KB2919355.
È possibile controllare eseguendo il cmdlet di PowerShell Windows seguente: [Get-HotFix -Id kb2919355].
L'installazione di ATA Center come macchina virtuale è supportata.
Specifiche del server
Quando si lavora su un server fisico, il database ATA richiede la disabilitazione dell'accesso alla memoria nonuniform (NUMA) nel BIOS. Il sistema potrebbe fare riferimento a NUMA come Nodo Interleaving, in tal caso è necessario abilitare Nodo Interleaving per disabilitare NUMA. Per altre informazioni, vedere la documentazione del BIOS.
Per prestazioni ottimali, impostare l'opzione di alimentazione di ATA Center su Prestazioni elevate.
Il numero di controller di dominio monitorati e il carico su ognuno dei controller di dominio determina le specifiche del server necessarie. Per altre informazioni, vedere Pianificazione della capacità di ATA.
Per i sistemi operativi Windows 2008R2 e 2012, il gateway non è supportato in una modalità Multi Processor Group. Per altre informazioni sulla modalità di gruppo multiprocessore, vedere Risoluzione dei problemi.
Sincronizzazione dell'ora
Il server ATA Center, i server gateway ATA e i controller di dominio devono essere sincronizzati in modo tale che la differenza non superi i cinque minuti.
Adattatori di rete
È necessario avere il set seguente:
Almeno una scheda di rete (se si usa un server fisico nell'ambiente VLAN, è consigliabile usare due schede di rete)
Indirizzo IP per la comunicazione tra ATA Center e il gateway ATA crittografato tramite SSL sulla porta 443. Il servizio ATA viene associato a tutti gli indirizzi IP presenti nel Centro ATA sulla porta 443.
Porte
Nella tabella seguente sono elencate le porte minime che devono essere aperte affinché ATA Center funzioni correttamente.
| Protocollo | Trasporto | Porto | Da/verso | Direction |
|---|---|---|---|---|
| SSL (comunicazioni ATA) | TCP | 443 | ATA Gateway | In arrivo |
| HTTP (facoltativo) | TCP | 80 | Rete aziendale | In arrivo |
| HTTPS | TCP | 443 | Rete aziendale e gateway ATA | In arrivo |
| SMTP (facoltativo) | TCP | 25 | Server SMTP | In uscita |
| SMTPS (facoltativo) | TCP | 465 | Server SMTP | In uscita |
| Syslog (facoltativo) | TCP/UPS/TLS (configurabile) | 514 (impostazione predefinita) | Server Syslog | In uscita |
| LDAP | TCP e UDP | 389 | Controller di dominio | In uscita |
| LDAPS (facoltativo) | TCP | 636 | Controller di dominio | In uscita |
| DNS | TCP e UDP | 53 | Server DNS | In uscita |
| Kerberos (facoltativo se aggiunto al dominio) | TCP e UDP | 88 | Controller di dominio | In uscita |
| Windows Time (facoltativo se aggiunto a un dominio) | UDP | 123 | Controller di dominio | In uscita |
Note
LDAP è necessario per testare le credenziali da usare tra i gateway ATA e i controller di dominio. Il test viene eseguito dal Centro ATA a un controller di dominio per testare la validità di queste credenziali, dopo di che il gateway ATA usa LDAP come parte del processo di risoluzione normale.
Attestati
Per installare e distribuire ATA più rapidamente, è possibile installare certificati autofirmato durante l'installazione. Se si è scelto di usare certificati autofirmati, dopo la distribuzione iniziale è consigliabile sostituire i certificati autofirmati con certificati di un'autorità di certificazione interna da usare da ATA Center.
Assicurarsi che ATA Center e i gateway ATA abbiano accesso al punto di distribuzione CRL. Se non hanno accesso a Internet, seguire la procedura per importare manualmente un CRL, prestando attenzione a installare tutti i punti di distribuzione CRL per l'intera catena.
Il certificato deve avere:
- Una chiave privata
- Un tipo di fornitore, sia di servizi di crittografia (CSP) o di archiviazione delle chiavi (KSP).
- Lunghezza della chiave pubblica di 2.048 bit
- Valore impostato per i flag di utilizzo KeyEncipherment e ServerAuthentication
- Valore KeySpec (KeyNumber) di "KeyExchange" (AT_KEYEXCHANGE). Il valore "Signature" (AT_SIGNATURE) non è supportato.
- Tutti i computer gateway devono essere in grado di convalidare completamente e considerare attendibile il certificato del Centro selezionato.
Ad esempio, è possibile usare il server Web standard o i modelli computer .
Warning
Il processo di rinnovo di un certificato esistente non è supportato. L'unico modo per rinnovare un certificato consiste nel creare un nuovo certificato e configurare ATA per l'uso del nuovo certificato.
Note
- Se si accede alla console ATA da altri computer, assicurarsi che tali computer considerino attendibile il certificato usato da ATA Center altrimenti viene visualizzata una pagina di avviso che segnala un problema con il certificato di sicurezza del sito Web prima di accedere alla pagina di accesso.
- A partire da ATA versione 1.8, i gateway ATA e i gateway Lightweight gestiscono i propri certificati e non richiedono alcuna interazione di amministratore per gestirli.
Requisiti del gateway ATA
Questa sezione elenca i requisiti per il gateway ATA.
General
Il gateway ATA supporta l'installazione in un server che esegue Windows Server 2012 R2 o Windows Server 2016 e Windows Server 2019 (incluso il server core). Il gateway ATA può essere installato in un server membro di un dominio o di un gruppo di lavoro. Il gateway ATA può essere usato per monitorare i controller di dominio con livello funzionale di dominio di Windows 2003 e versioni successive.
Prima di installare il gateway ATA che esegue Windows 2012 R2, verificare che sia stato installato l'aggiornamento seguente: KB2919355.
È possibile controllare eseguendo il cmdlet di PowerShell Windows seguente: [Get-HotFix -Id kb2919355].
Per informazioni sull'uso di macchine virtuali con il gateway ATA, vedere Configurare il mirroring delle porte.
Note
È necessario almeno 5 GB di spazio e si consigliano 10 GB. Sono inclusi gli spazi necessari per i file binari ATA, i log ATA e i log delle prestazioni.
Specifiche del server
Per prestazioni ottimali, impostare Opzione di alimentazione del gateway ATA su Prestazioni elevate.
Un gateway ATA può supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete da e verso i controller di dominio.
Per altre informazioni sulla memoria dinamica o su qualsiasi altra funzionalità di gestione della memoria della macchina virtuale, vedere Memoria dinamica.
Per altre informazioni sui requisiti hardware del gateway ATA, vedere Pianificazione della capacità ATA.
Sincronizzazione dell'ora
Il server ATA Center, i server gateway ATA e i controller di dominio devono essere sincronizzati in modo tale che la differenza non superi i cinque minuti.
Adattatori di rete
Il gateway ATA richiede almeno una scheda di gestione e almeno una scheda di acquisizione:
Adattatore di gestione - usato per le comunicazioni nella rete aziendale. Questo adattatore deve essere configurato con le impostazioni seguenti:
Indirizzo IP statico, incluso il gateway predefinito
Server DNS preferiti e alternativi
Il suffisso DNS per questa connessione deve essere il nome DNS del dominio per ogni dominio monitorato.
Note
Se il gateway ATA è un membro del dominio, potrebbe essere configurato automaticamente.
Adattatore di acquisizione : usato per acquisire il traffico da e verso i controller di dominio.
Importante
- Configurare il mirroring delle porte per l'adattatore di acquisizione come destinazione per il traffico di rete del controller di dominio. Per altre informazioni, vedere Configurare il mirroring delle porte. In genere, è necessario collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte.
- Configurare un indirizzo IP statico non instradabile per l'ambiente senza gateway predefinito e senza indirizzi server DNS. Ad esempio, 1.1.1.1/32. Ciò garantisce che la scheda di rete di acquisizione possa acquisire la quantità massima di traffico e che la scheda di rete di gestione venga usata per inviare e ricevere il traffico di rete necessario.
Porte
La tabella seguente elenca le porte minime richieste dal gateway ATA nella scheda di gestione:
| Protocollo | Trasporto | Porto | Da/verso | Direction |
|---|---|---|---|---|
| LDAP | TCP e UDP | 389 | Controller di dominio | In uscita |
| LDAP sicuro (LDAPS) | TCP | 636 | Controller di dominio | In uscita |
| LDAP su Catalogo Globale | TCP | 3268 | Controller di dominio | In uscita |
| LDAPS al Catalogo Globale | TCP | 3269 | Controller di dominio | In uscita |
| Kerberos | TCP e UDP | 88 | Controller di dominio | In uscita |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Tutti i dispositivi in rete | In uscita |
| Ora di Windows | UDP | 123 | Controller di dominio | In uscita |
| DNS | TCP e UDP | 53 | Server DNS | In uscita |
| NTLM su RPC | TCP | 135 | Tutti i dispositivi in rete | Entrambi |
| Netbios | UDP | 137 | Tutti i dispositivi in rete | Entrambi |
| SSL | TCP | 443 | ATA Center | In uscita |
| Syslog (facoltativo) | UDP | 514 | SIEM Server | In arrivo |
Note
Come parte del processo di risoluzione eseguito dal gateway ATA, le porte seguenti devono essere aperte in ingresso nei dispositivi nella rete dai gateway ATA.
- NTLM su RPC (porta TCP 135)
- NetBIOS (porta UDP 137)
- Usando l'account utente del servizio directory, il gateway ATA esegue una query sugli endpoint dell'organizzazione per gli amministratori locali usando SAM-R (accesso di rete) per creare il grafico del percorso di spostamento laterale. Per altre informazioni, vedere Configurare SAM-R autorizzazioni necessarie.
- Le porte seguenti devono essere aperte in ingresso nei dispositivi nella rete dal gateway ATA:
- NTLM su RPC (porta TCP 135) per scopi di risoluzione
- NetBIOS (porta UDP 137) a scopo di risoluzione
Requisiti del gateway ATA Lightweight
Questa sezione elenca i requisiti per il gateway ATA Lightweight.
General
Il gateway ATA Lightweight supporta l'installazione in un controller di dominio che esegue Windows Server 2008 R2 SP1 (non incluso Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 (incluso Core ma non Nano).
Il controller di dominio può essere un controller di dominio di sola lettura.
Prima di installare il gateway ATA Lightweight in un controller di dominio che esegue Windows Server 2012 R2, verificare che sia stato installato l'aggiornamento seguente: KB2919355.
È possibile controllare eseguendo il cmdlet di PowerShell Windows seguente: [Get-HotFix -Id kb2919355]
Se l'installazione è per Windows server 2012 R2 Server Core, è necessario installare anche l'aggiornamento seguente: KB3000850.
È possibile controllare eseguendo il cmdlet di PowerShell Windows seguente: [Get-HotFix -Id kb3000850]
Durante l'installazione, .NET Framework 4.6.1 è installato e potrebbe causare un riavvio del controller di dominio.
Note
È necessario almeno 5 GB di spazio e si consigliano 10 GB. Sono inclusi gli spazi necessari per i file binari ATA, i log ATA e i log delle prestazioni.
Specifiche del server
Il gateway ATA Lightweight richiede almeno due core e 6 GB di RAM installati nel controller di dominio. Per prestazioni ottimali, impostare l'opzione di alimentazione del gateway ATA Lightweight su Prestazioni elevate. Il gateway ATA Lightweight può essere distribuito nei controller di dominio di vari carichi e dimensioni, a seconda della quantità di traffico di rete da e verso i controller di dominio e la quantità di risorse installate nel controller di dominio.
Per altre informazioni sulla memoria dinamica o su qualsiasi altra funzionalità di gestione della memoria della macchina virtuale, vedere Memoria dinamica.
Per altre informazioni sui requisiti hardware del gateway ATA Lightweight, vedere Pianificazione della capacità di ATA.
Sincronizzazione dell'ora
Il server ATA Center, i server gateway ATA Lightweight e i controller di dominio devono essere sincronizzati tra loro entro cinque minuti.
Adattatori di rete
Il gateway ATA Lightweight monitora il traffico locale su tutte le schede di rete del controller di dominio.
Dopo la distribuzione, è possibile usare la console ATA se si desidera modificare le schede di rete monitorate.
Note
Il Lightweight Gateway non è supportato nei controller di dominio che eseguono Windows 2008 R2 con il teaming della scheda di rete Broadcom abilitato.
Porte
La tabella seguente elenca le porte minime richieste dal gateway ATA Lightweight:
| Protocollo | Trasporto | Porto | Da/verso | Direction |
|---|---|---|---|---|
| DNS | TCP e UDP | 53 | Server DNS | In uscita |
| NTLM su RPC | TCP | 135 | Tutti i dispositivi in rete | Entrambi |
| Netbios | UDP | 137 | Tutti i dispositivi in rete | Entrambi |
| SSL | TCP | 443 | ATA Center | In uscita |
| Syslog (facoltativo) | UDP | 514 | SIEM Server | In arrivo |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Tutti i dispositivi in rete | In uscita |
Note
Come parte del processo di risoluzione eseguito dal gateway ATA Lightweight, le porte seguenti devono essere aperte in ingresso nei dispositivi nella rete dai gateway ATA Lightweight.
- NTLM su RPC
- Netbios
- Usando l'account utente del servizio directory, ATA Lightweight Gateway esegue query sugli endpoint dell'organizzazione per gli amministratori locali usando SAM-R (accesso di rete) per creare il grafico del percorso di spostamento laterale. Per altre informazioni, vedere Configurare SAM-R autorizzazioni necessarie.
- Le porte seguenti devono essere aperte in ingresso nei dispositivi nella rete dal gateway ATA:
- NTLM su RPC (porta TCP 135) per scopi di risoluzione
- NetBIOS (porta UDP 137) a scopo di risoluzione
Memoria dinamica
Note
Quando si eseguono servizi ATA come macchina virtuale, il servizio richiede che tutta la memoria venga allocata alla macchina virtuale, sempre.
| Macchina virtuale in esecuzione su | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| VMware | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione seguente nell'impostazione della macchina virtuale - Riservare tutta la memoria guest (Tutto bloccato). |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come assicurarsi che la memoria sia completamente allocata alla macchina virtuale sempre. |
Se si esegue ATA Center come macchina virtuale, arrestare il server prima di creare un nuovo checkpoint per evitare potenziali danneggiamenti del database.
ATA Console
L'accesso alla console ATA è tramite un browser, che supporta i browser e le impostazioni:
Internet Explorer versione 10 e successive
Microsoft Edge
Google Chrome 40 e versioni successive
Risoluzione minima della larghezza dello schermo di 1.700 pixel