適用対象: Advanced Threat Analytics バージョン 1.9
この記事では、お使いの環境で ATA を正常にデプロイするための要件について説明します。
Note
リソースと容量を計画する方法については、 ATA の容量計画を参照してください。
ATA は、ATA センター、ATA ゲートウェイ、または ATA ライトウェイト ゲートウェイで構成されます。 ATA コンポーネントの詳細については、 ATA アーキテクチャを参照してください。
ATA システムは、Active Directory フォレスト境界で動作し、Windows 2003 以降のフォレスト機能レベル (FFL) をサポートします。
開始する前に: このセクションでは、ATA のインストールを開始する前に、収集する必要がある情報と、必要なアカウントとネットワーク エンティティを一覧表示します。
ATA センター: このセクションでは、ATA センター サーバーで構成する必要がある ATA センターのハードウェア、ソフトウェア要件、および設定の一覧を示します。
ATA ゲートウェイ: このセクションでは、ATA ゲートウェイ サーバーで構成する必要がある ATA ゲートウェイのハードウェア、ソフトウェア要件、および設定を示します。
ATA Lightweight Gateway: このセクションでは、ATA Lightweight Gateway のハードウェアとソフトウェアの要件を示します。
ATA コンソール: このセクションでは、ATA コンソールを実行するためのブラウザーの要件を示します。
開始する前に
このセクションでは、収集する必要がある情報と、ATA のインストールを開始する前に必要なアカウントとネットワーク エンティティの一覧を示します。
監視対象ドメイン内のすべてのオブジェクトへの読み取りアクセス権を持つユーザー アカウントとパスワード。
Note
ドメイン内のさまざまな組織単位 (OU) にカスタム ACL を設定している場合は、選択したユーザーがそれらの OU に対する読み取りアクセス許可を持っていることを確認します。
MICROSOFT Message Analyzer は、ATA ゲートウェイまたはライトウェイト ゲートウェイにはインストールしないでください。 Message Analyzer ドライバーは、ATA ゲートウェイ ドライバーとライトウェイト ゲートウェイ ドライバーと競合します。 ATA ゲートウェイで Wireshark を実行する場合は、Wireshark キャプチャを停止した後、Microsoft Advanced Threat Analytics ゲートウェイ サービスを再起動する必要があります。 そうでない場合、ゲートウェイはトラフィックのキャプチャを停止します。 ATA ライトウェイト ゲートウェイで Wireshark を実行しても、ATA Lightweight Gateway に干渉しません。
推奨: ユーザーには、削除済みオブジェクト コンテナーに対する読み取り専用アクセス許可が必要です。 これにより、ATA はドメイン内のオブジェクトの一括削除を検出できます。 削除済みオブジェクト コンテナーに対する読み取り専用アクセス許可の構成については、「ディレクトリ オブジェクトの表示またはアクセス許可の設定」の「削除されたオブジェクト コンテナーに対するアクセス許可の変更」セクションを参照してください。
省略可能: ネットワーク アクティビティのないユーザーのユーザー アカウント。 このアカウントは、ATA Honeytoken ユーザーとして構成できます。 Honeytoken ユーザーとしてアカウントを構成するには、ユーザー名のみが必要です。 Honeytoken の構成情報については、「 IP アドレスの除外と Honeytoken ユーザーの構成」を参照してください。
省略可能: ATA では、ドメイン コントローラーとの間のネットワーク トラフィックの収集と分析に加えて、Windows イベント 4776、4732、4733、4728、4729、4756、4757 を使用して、ATA Pass-the-Hash、ブルート フォース、機密性の高いグループへの変更、ハニー トークンの検出をさらに強化できます。 これらのイベントは、SIEM から受信するか、ドメイン コントローラーからイベント転送Windows設定することで受信できます。 収集されたイベントは、ドメイン コントローラーのネットワーク トラフィックを介して使用できない追加情報を ATA に提供します。
ATA センターの要件
このセクションでは、ATA センターの要件を示します。
全般
ATA センターは、Windows Server 2012 R2 Windows Server 2016およびWindows Server 2019を実行しているサーバーへのインストールをサポートします。
Note
ATA センターでは、Windows Server コアはサポートされていません。
ATA センターは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。
2012 R2 Windows実行されている ATA センターをインストールする前に、次の更新プログラムがインストールされていることを確認します: KB2919355。
PowerShell コマンドレット Windows [Get-HotFix -Id kb2919355] を実行して確認できます。
仮想マシンとしての ATA センターのインストールがサポートされています。
サーバーの仕様
物理サーバーで作業する場合、ATA データベースでは、BIOS で非ユニフォーム メモリ アクセス (NUMA) を 無効にする 必要があります。 システムは NUMA をノード インターリーブと見なす場合があります。その場合、NUMA を無効にするにはノード インターリーブを 有効にする 必要があります。 詳細については、BIOS のドキュメントを参照してください。
最適なパフォーマンスを得るために、ATA センターの 電源オプション を 高パフォーマンスに設定します。
監視しているドメイン コントローラーの数と各ドメイン コントローラーの負荷によって、必要なサーバーの仕様が決まります。 詳細については、 ATA 容量計画を参照してください。
Windows オペレーティング システム 2008R2 および 2012 では、ゲートウェイは Multi プロセッサ グループ モードではサポートされていません。 マルチプロセッサ グループ モードの詳細については、 トラブルシューティングを参照してください。
時刻同期
ATA センター サーバー、ATA ゲートウェイ サーバー、およびドメイン コントローラーは、互いに 5 分以内に同期する時間を持っている必要があります。
ネットワーク アダプター
次のセットが必要です。
少なくとも 1 つのネットワーク アダプター (VLAN 環境で物理サーバーを使用する場合は、2 つのネットワーク アダプターを使用することをお勧めします)
ポート 443 で SSL を使用して暗号化された ATA センターと ATA ゲートウェイ間の通信用の IP アドレス。 (ATA サービスは、ATA センターがポート 443 で持つすべての IP アドレスにバインドされます)。
Ports
次の表は、ATA センターが正常に動作するために開く必要がある最小ポートの一覧です。
| プロトコル | 輸送 | ポート | 送信先/送信元 | 方向 |
|---|---|---|---|---|
| SSL (ATA 通信) | TCP | 443 | ATA ゲートウェイ | インバウンド |
| HTTP (省略可能) | TCP | 80 | 会社ネットワーク | インバウンド |
| HTTPS | TCP | 443 | 会社ネットワークと ATA ゲートウェイ | インバウンド |
| SMTP (省略可能) | TCP | 25 | SMTP サーバー | アウトバウンド |
| SMTPS (省略可能) | TCP | 465 | SMTP サーバー | アウトバウンド |
| Syslog (省略可能) | TCP/UPS/TLS (構成可能) | 514 (既定) | Syslog サーバー | アウトバウンド |
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | アウトバウンド |
| LDAPS (省略可能) | TCP | 636 | ドメイン コントローラー | アウトバウンド |
| DNS | TCP と UDP | 53 | DNS サーバー | アウトバウンド |
| Kerberos (ドメインに参加している場合は省略可能) | TCP と UDP | 88 | ドメイン コントローラー | アウトバウンド |
| Windows Time (ドメインに参加している場合は省略可能) | UDP | 123 | ドメイン コントローラー | アウトバウンド |
Note
ATA ゲートウェイとドメイン コントローラーの間で使用する資格情報をテストするには、LDAP が必要です。 テストは ATA センターからドメイン コントローラーに対して実行され、これらの資格情報の有効性がテストされます。その後、ATA ゲートウェイは通常の解決プロセスの一部として LDAP を使用します。
証明書
ATA をより迅速にインストールして展開するには、インストール時に自己署名証明書をインストールします。 自己署名証明書の使用を選択した場合は、初期展開後に、自己署名証明書を ATA センターで使用する内部証明機関の証明書に置き換えることをお勧めします。
ATA センターと ATA ゲートウェイが CRL 配布ポイントにアクセスできることを確認します。 インターネットにアクセスできない場合は、手順に従って CRL を手動でインポートし、チェーン全体のすべての CRL 配布ポイントをインストールします。
証明書には次のものが必要です。
- 秘密キー
- 暗号化サービス プロバイダー (CSP) またはキー ストレージ プロバイダー (KSP) のいずれかのプロバイダーの種類
- 公開キーの長さが 2,048 ビット
- KeyEncipherment と ServerAuthentication の使用フラグに設定された値
- "KeyExchange" (AT_KEYEXCHANGE) の KeySpec (KeyNumber) 値。 値 "Signature" (AT_SIGNATURE) はサポートされていません*
- すべてのゲートウェイ マシンは、選択したセンター証明書を完全に検証して信頼できる必要があります。
たとえば、標準の Web サーバー または コンピューター テンプレートを使用できます。
Warning
既存の証明書を更新するプロセスはサポートされていません。 証明書を更新する唯一の方法は、新しい証明書を作成し、新しい証明書を使用するように ATA を構成することです。
Note
- 他のコンピューターから ATA コンソールにアクセスする場合は、これらのコンピューターが ATA センターで使用されている証明書を信頼していることを確認します。そうしないと、サインイン ページにアクセスする前に、Web サイトのセキュリティ証明書に問題があることを示す警告ページが表示されます。
- ATA バージョン 1.8 以降、ATA ゲートウェイと Lightweight Gateway は独自の証明書を管理しており、管理者による管理は必要ありません。
ATA ゲートウェイの要件
このセクションでは、ATA ゲートウェイの要件を示します。
全般
ATA ゲートウェイは、Windows Server 2012 R2、Windows Server 2016、およびWindows Server 2019(サーバー コアを含む)を実行しているサーバーへのインストールをサポートします。 ATA ゲートウェイは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。 ATA ゲートウェイを使用して、ドメイン機能レベルが 2003 以上のドメイン コントローラー Windows監視できます。
2012 R2 Windows実行されている ATA ゲートウェイをインストールする前に、次の更新プログラムがインストールされていることを確認します: KB2919355。
PowerShell コマンドレット Windows [Get-HotFix -Id kb2919355] を実行して確認できます。
ATA ゲートウェイで仮想マシンを使用する方法については、「 ポート ミラーリングの構成」を参照してください。
Note
少なくとも 5 GB の領域が必要であり、10 GB が推奨されます。 これには、ATA バイナリ、ATA ログ、 パフォーマンス ログに必要な領域が含まれます。
サーバーの仕様
最適なパフォーマンスを得るために、ATA ゲートウェイの 電源オプション を 高パフォーマンスに設定します。
ATA ゲートウェイは、ドメイン コントローラーとの間のネットワーク トラフィックの量に応じて、複数のドメイン コントローラーの監視をサポートできます。
動的メモリまたはその他の仮想マシン メモリ管理機能の詳細については、「 動的メモリ」を参照してください。
ATA ゲートウェイのハードウェア要件の詳細については、 ATA の容量計画を参照してください。
時刻同期
ATA センター サーバー、ATA ゲートウェイ サーバー、およびドメイン コントローラーは、互いに 5 分以内に同期する時間を持っている必要があります。
ネットワーク アダプター
ATA ゲートウェイには、少なくとも 1 つの管理アダプターと少なくとも 1 つのキャプチャ アダプターが必要です。
管理アダプター - 企業ネットワーク上の通信に使用されます。 このアダプターは、次の設定で構成する必要があります。
既定のゲートウェイを含む静的 IP アドレス
優先 DNS サーバーと代替 DNS サーバー
この接続の DNS サフィックスは、監視対象の各ドメインのドメインの DNS 名である必要があります。
Note
ATA ゲートウェイがドメインのメンバーである場合、これは自動的に構成される可能性があります。
キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックをキャプチャするために使用されます。
Important
- ドメイン コントローラーのネットワーク トラフィックの宛先として、キャプチャ アダプターのポート ミラーリングを構成します。 詳細については、「 ポート ミラーリングの構成」を参照してください。 通常、ポート ミラーリングを構成するには、ネットワークまたは仮想化チームと連携する必要があります。
- 既定のゲートウェイも DNS サーバー アドレスも使用しない環境の静的なルーティング不可能な IP アドレスを構成します。 たとえば、1.1.1.1/32 などです。 これにより、キャプチャ ネットワーク アダプターがトラフィックの最大量をキャプチャでき、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックを送受信できるようになります。
Ports
次の表に、ATA ゲートウェイが管理アダプターで構成する必要がある最小ポートを示します。
| プロトコル | 輸送 | ポート | 送信先/送信元 | 方向 |
|---|---|---|---|---|
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | アウトバウンド |
| Secure LDAP (LDAPS) | TCP | 636 | ドメイン コントローラー | アウトバウンド |
| LDAP からグローバル カタログ | TCP | 3268 | ドメイン コントローラー | アウトバウンド |
| LDAPS からグローバル カタログへ | TCP | 3269 | ドメイン コントローラー | アウトバウンド |
| Kerberos | TCP と UDP | 88 | ドメイン コントローラー | アウトバウンド |
| Netlogon (SMB、CIFS、SAM-R) | TCP と UDP | 445 | ネットワーク上のすべてのデバイス | アウトバウンド |
| Windows タイム | UDP | 123 | ドメイン コントローラー | アウトバウンド |
| DNS | TCP と UDP | 53 | DNS サーバー | アウトバウンド |
| RPC 経由の NTLM | TCP | 135 | ネットワーク上のすべてのデバイス | 両方 |
| Netbios | UDP | 137 | ネットワーク上のすべてのデバイス | 両方 |
| SSL | TCP | 443 | ATA センター | アウトバウンド |
| Syslog (省略可能) | UDP | 514 | SIEM サーバー | インバウンド |
Note
ATA ゲートウェイによって実行される解決プロセスの一環として、ATA ゲートウェイからネットワーク上のデバイスで次のポートを受信で開く必要があります。
- NTLM over RPC (TCP ポート 135)
- NetBIOS (UDP ポート 137)
- ATA ゲートウェイは、ディレクトリ サービス ユーザー アカウントを使用して、SAM-R (ネットワーク サインイン) を使用してローカル管理者に対して組織内のエンドポイントを照会し、 横移動パス グラフを作成します。 詳細については、「 必要なアクセス許可 SAM-R 構成する」を参照してください。
- 次のポートは、ATA ゲートウェイからネットワーク上のデバイスで着信を許可する必要があります。
- 解決のための NTLM over RPC (TCP ポート 135)
- 解決のための NetBIOS (UDP ポート 137)
ATA Lightweight Gateway の要件
このセクションでは、ATA Lightweight Gateway の要件を示します。
全般
ATA Lightweight Gateway では、Windows Server 2008 R2 SP1 (Server Core を含まない)、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、およびWindows Server 2019を実行しているドメイン コントローラーへのインストールがサポートされます(コアは含まれますが、Nano は含まれません)。
ドメインコントローラーは読み取り専用のドメインコントローラー (RODC) にすることができます。
WINDOWS SERVER 2012 R2 を実行しているドメイン コントローラーに ATA Lightweight Gateway をインストールする前に、次の更新プログラムがインストールされていることを確認します: KB2919355。
次のWindows PowerShell コマンドレットを実行して確認できます: [Get-HotFix -Id kb2919355]
インストールWindowsサーバー 2012 R2 Server Core 用の場合は、次の更新プログラムもインストールする必要があります: KB3000850。
次のWindows PowerShell コマンドレットを実行して確認できます: [Get-HotFix -Id kb3000850]
インストール中に、.NET Framework 4.6.1 がインストールされ、ドメイン コントローラーの再起動が発生する可能性があります。
Note
少なくとも 5 GB の領域が必要であり、10 GB が推奨されます。 これには、ATA バイナリ、ATA ログ、 パフォーマンス ログに必要な領域が含まれます。
サーバーの仕様
ATA Lightweight Gateway には、少なくとも 2 つのコアと 6 GB の RAM がドメイン コントローラーにインストールされている必要があります。 最適なパフォーマンスを得るために、ATA ライトウェイト ゲートウェイの 電源オプション を 高パフォーマンスに設定します。 ATA Lightweight Gateway は、ドメイン コントローラーとの間のネットワーク トラフィックの量とそのドメイン コントローラーにインストールされているリソースの量に応じて、さまざまな負荷とサイズのドメイン コントローラーに展開できます。
動的メモリまたはその他の仮想マシン メモリ管理機能の詳細については、「 動的メモリ」を参照してください。
ATA Lightweight Gateway ハードウェア要件の詳細については、 ATA の容量計画を参照してください。
時刻同期
ATA センター サーバー、ATA ライトウェイト ゲートウェイ サーバー、およびドメイン コントローラーは、互いに 5 分以内に同期する時間を持っている必要があります。
ネットワーク アダプター
ATA Lightweight Gateway は、すべてのドメイン コントローラーのネットワーク アダプターでローカル トラフィックを監視します。
展開後、監視するネットワーク アダプターを変更する場合は、ATA コンソールを使用できます。
Note
Broadcom ネットワーク アダプター チーミングが有効になっている Windows 2008 R2 を実行しているドメイン コントローラーでは、Lightweight Gateway はサポートされていません。
Ports
次の表に、ATA Lightweight Gateway に必要な最小ポートを示します。
| プロトコル | 輸送 | ポート | 送信先/送信元 | 方向 |
|---|---|---|---|---|
| DNS | TCP と UDP | 53 | DNS サーバー | アウトバウンド |
| RPC 経由の NTLM | TCP | 135 | ネットワーク上のすべてのデバイス | 両方 |
| Netbios | UDP | 137 | ネットワーク上のすべてのデバイス | 両方 |
| SSL | TCP | 443 | ATA センター | アウトバウンド |
| Syslog (省略可能) | UDP | 514 | SIEM サーバー | インバウンド |
| Netlogon (SMB、CIFS、SAM-R) | TCP と UDP | 445 | ネットワーク上のすべてのデバイス | アウトバウンド |
Note
ATA Lightweight Gateway によって実行される解決プロセスの一環として、ATA Lightweight Gateway からネットワーク上のデバイスで次のポートを受信で開く必要があります。
- RPC 経由の NTLM
- Netbios
- ATA Lightweight Gateway では、ディレクトリ サービス ユーザー アカウントを使用して、SAM-R (ネットワーク サインイン) を使用してローカル管理者に対して組織内のエンドポイントを照会し、 横移動パス グラフを作成します。 詳細については、「 必要なアクセス許可 SAM-R 構成する」を参照してください。
- 次のポートは、ATA ゲートウェイからネットワーク上のデバイスに対して、受信方向で開放する必要があります。
- 解決目的で RPC 経由の NTLM (TCP ポート 135) を使用するため
- 解決のための NetBIOS (UDP ポート 137)
動的メモリ
Note
ATA サービスを仮想マシン (VM) として実行する場合、サービスでは常にすべてのメモリを VM に割り当てる必要があります。
| で実行されている VM | 説明 |
|---|---|
| Hyper-V | [ 動的メモリの有効化] が VM で有効になっていないことを確認します。 |
| VMware | 構成されているメモリの量と予約済みメモリが同じであることを確認するか、VM 設定の [ すべてのゲスト メモリを予約する (すべてロック済み)] で次のオプションを選択します。 |
| その他の仮想化ホスト | メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。 |
ATA センターを仮想マシンとして実行する場合は、データベースの破損の可能性を回避するために、新しいチェックポイントを作成する前にサーバーをシャットダウンします。
ATA コンソール
ATA コンソールへのアクセスはブラウザーを介して行われ、ブラウザーと設定がサポートされます。
Internet Explorer バージョン 10 以降
Microsoft Edge
Google Chrome 40 以降
最小画面幅解像度 1,700 ピクセル