Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Advanced Threat Analytics версии 1.9
В этой статье описываются требования к успешному развертыванию ATA в вашей среде.
Замечание
Сведения о планировании ресурсов и емкости см. в разделе "Планирование емкости ATA".
ATA состоит из центра ATA, шлюза ATA и /или упрощенного шлюза ATA. Дополнительные сведения о компонентах ATA см. в архитектуре ATA.
Система ATA работает на границе леса Active Directory и поддерживает режим работы леса (FFL) Windows 2003 и более поздних версий.
Перед началом работы: в этом разделе перечислены сведения, которые необходимо собрать и учетные записи и сетевые сущности, прежде чем начать установку ATA.
Центр ATA. В этом разделе перечислены требования к оборудованию, программному обеспечению и параметрам центра ATA, которые необходимо настроить на сервере Центра ATA.
Шлюз ATA. В этом разделе перечислены аппаратные компоненты, требования к программному обеспечению и параметры шлюза ATA, которые необходимо настроить на серверах шлюза ATA.
Упрощенный шлюз ATA: в этом разделе перечислены требования к оборудованию упрощенного шлюза ATA и программному обеспечению.
Консоль ATA: в этом разделе перечислены требования к браузеру для запуска консоли ATA.
Перед началом работы
В этом разделе перечислены сведения, которые необходимо собрать, а также учетные записи и сетевые сущности перед началом установки ATA.
Учетная запись пользователя и пароль с доступом на чтение ко всем объектам в отслеживаемых доменах.
Замечание
Если в вашем домене установлены пользовательские списки управления доступом для различных организационных единиц (OU), убедитесь, что выбранный пользователь имеет разрешения на чтение этих организационных единиц.
Не устанавливайте анализатор сообщений Microsoft на шлюзе ATA или упрощенном шлюзе. Драйвер анализатора сообщений конфликтует с драйверами шлюза ATA и легковесного шлюза. Если вы запускаете Wireshark на шлюзе ATA, необходимо перезапустить службу шлюза Microsoft Advanced Threat Analytics после остановки записи Wireshark. В противном случае шлюз перестает записывать трафик. Запуск Wireshark на упрощенном шлюзе ATA не влияет на упрощенный шлюз ATA.
Рекомендуется: у пользователя должны быть разрешения только для чтения в контейнере удаленных объектов. Это позволяет ATA обнаруживать массовое удаление объектов в домене. Сведения о настройке разрешений только для чтения в контейнере "Удаленные объекты" см. в разделе "Изменение разрешений для контейнера удалённых объектов" в статье "Представление или задание разрешений для объекта каталога".
Необязательно. Учетная запись пользователя без сетевых действий. Эта учетная запись может быть настроена как пользователь Honeytoken ATA. Чтобы настроить учетную запись в качестве пользователя Honeytoken, требуется только имя пользователя. Сведения о конфигурации Honeytoken см. в разделе "Настройка исключений IP-адресов" и пользователя Honeytoken.
Необязательно: Помимо сбора и анализа сетевого трафика к и от контроллеров домена, ATA может использовать события Windows 4776, 4732, 4733, 4728, 4729, 4756 и 4757 для дальнейшего улучшения обнаружения ATA атак Pass-the-Hash, грубой силы, изменений в конфиденциальных группах и токенов-приманок. Эти события можно получить из вашей системы SIEM или настроив пересылку событий Windows с вашего контроллера домена. Собранные события предоставляют ATA дополнительными сведениями, недоступными через сетевой трафик контроллера домена.
Требования центра ATA
В этом разделе перечислены требования для центра ATA.
General
Центр ATA поддерживает установку на сервере с Windows Server 2012 R2 Windows Server 2016 и Windows Server 2019.
Замечание
Центр ATA не поддерживает Windows Server Core.
Центр ATA можно установить на сервере, который является членом домена или рабочей группы.
Перед установкой Центра ATA под управлением Windows 2012 R2 убедитесь, что установлено следующее обновление: KB2919355.
Чтобы проверить, выполните следующий командлет PowerShell Windows: [Get-HotFix -Id kb2919355].
Поддерживается установка центра ATA в качестве виртуальной машины.
Спецификации сервера
При работе с физическим сервером база данных ATA требует отключения доступа к памяти nonuniform (NUMA) в BIOS. Система может называть NUMA как чересполосное распределение узлов, в этом случае необходимо включить чересполосное распределение узлов, чтобы отключить NUMA. Дополнительные сведения см. в документации BIOS.
Чтобы обеспечить оптимальную производительность, задайте для центра ATA значение "Высокий уровень производительности".
Количество контроллеров домена, которые вы отслеживаете, и нагрузка на каждый из контроллеров домена определяет необходимые спецификации сервера. Дополнительные сведения см. в разделе "Планирование емкости ATA".
Для операционных систем Windows 2008R2 и 2012 шлюз не поддерживается в режиме Multi Processor Group. Дополнительные сведения о режиме группы с несколькими процессорами см. в статье об устранении неполадок.
Синхронизация времени
Сервер Центра ATA, серверы шлюза ATA и контроллеры домена должны иметь время, синхронизированное и отличающееся друг от друга не более чем на пять минут.
Сетевые адаптеры
У вас должен быть следующий набор:
По крайней мере один сетевой адаптер (при использовании физического сервера в среде VLAN рекомендуется использовать два сетевых адаптера).
IP-адрес для обмена данными между Центром ATA и шлюзом ATA, зашифрованным с помощью SSL через порт 443. (Служба ATA привязывается ко всем IP-адресам, которые центр ATA имеет через порт 443.)
Порты
В следующей таблице перечислены минимальные порты, которые необходимо открыть для правильной работы центра ATA.
| Протокол | Транспорт | Порт | К/От | Направление |
|---|---|---|---|---|
| SSL (связь ATA) | Протокол tcp | 443 | Шлюз ATA | Входящий трафик |
| HTTP (необязательно) | Протокол tcp | 80 | Корпоративная сеть | Входящий трафик |
| HTTPS | Протокол tcp | 443 | Корпоративная сеть и шлюз ATA | Входящий трафик |
| SMTP (необязательно) | Протокол tcp | двадцать пять | SMTP-сервер | Исходящие |
| SMTPS (необязательно) | Протокол tcp | 465 | SMTP-сервер | Исходящие |
| Системный журнал (необязательно) | TCP/UPS/TLS (можно настроить) | 514 (по умолчанию) | Сервер системного журнала | Исходящие |
| LDAP | TCP и UDP | 389 | Контроллеры доменов | Исходящие |
| LDAPS (необязательно) | Протокол tcp | 636 | Контроллеры доменов | Исходящие |
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящие |
| Kerberos (необязательно, если присоединен домен) | TCP и UDP | 88 | Контроллеры доменов | Исходящие |
| Время Windows (необязательно, если подключен домен) | UDP | 123 | Контроллеры доменов | Исходящие |
Замечание
LDAP требуется для проверки учетных данных, которые будут использоваться между шлюзами ATA и контроллерами домена. Тест выполняется из центра ATA к контроллеру домена, чтобы проверить допустимость этих учетных данных, после чего шлюз ATA использует LDAP в рамках обычного процесса разрешения.
Certificates
Чтобы быстрее установить и развернуть ATA, можно установить самозаверяющие сертификаты во время установки. Если вы решили использовать самозаверяемые сертификаты, то после первоначального развертывания рекомендуется заменить самозаверяющий сертификат сертификатами из внутреннего центра сертификации, которые будут использоваться центром ATA.
Убедитесь, что центр ATA и шлюзы ATA имеют доступ к точке распространения CRL. Если у них нет доступа к Интернету, выполните процедуру, чтобы вручную импортировать список отзыва сертификатов, уделяя внимание установке всех точек распространения CRL для всей цепочки.
Сертификат должен иметь следующее:
- закрытый ключ
- Тип поставщика поставщика служб шифрования (CSP) или поставщика хранилища ключей (KSP)
- Длина открытого ключа в 2048 битах
- Значение, заданное для флагов использования KeyEncipherment и ServerAuthentication
- Значение KeySpec (KeyNumber) параметра KeyExchange (AT_KEYEXCHANGE). Значение "Подпись" (AT_SIGNATURE) не поддерживается.
- Все компьютеры шлюза должны иметь возможность полностью проверить и доверять выбранному сертификату Центра.
Например, можно использовать стандартный веб-сервер или шаблоны компьютеров .
Warning
Процесс продления существующего сертификата не поддерживается. Единственным способом продления сертификата является создание нового сертификата и настройка ATA для использования нового сертификата.
Замечание
- Если вы собираетесь получить доступ к консоли ATA с других компьютеров, убедитесь, что эти компьютеры доверяют сертификату, используемому Центром ATA, в противном случае вы получите страницу предупреждения о проблеме с сертификатом безопасности веб-сайта перед переходом на страницу входа.
- Начиная с ATA версии 1.8 шлюзы ATA и упрощенные шлюзы управляют собственными сертификатами и не требуют взаимодействия администратора для управления ими.
Требования к шлюзу ATA
В этом разделе перечислены требования для шлюза ATA.
General
Шлюз ATA поддерживает установку на сервере под управлением Windows Server 2012 R2 или Windows Server 2016 и Windows Server 2019 (включая ядро сервера). Шлюз ATA можно установить на сервере, который является членом домена или рабочей группы. Шлюз ATA можно использовать для мониторинга контроллеров домена с функциональным уровнем домена Windows 2003 и более поздних версий.
Перед установкой шлюза ATA под управлением Windows 2012 R2 убедитесь, что установлено следующее обновление: KB2919355.
Чтобы проверить, выполните следующий командлет PowerShell Windows: [Get-HotFix -Id kb2919355].
Сведения об использовании виртуальных машин с шлюзом ATA см. в разделе "Настройка зеркального отображения портов".
Замечание
Требуется не менее 5 ГБ пространства, и рекомендуется 10 ГБ. Это включает пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Спецификации сервера
Для оптимальной производительности установите Параметр питания шлюза ATA на Высокая производительность.
Шлюз ATA может поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика к и от контроллеров домена.
Дополнительные сведения о динамической памяти или любой другой функции управления памятью виртуальных машин см. в статье "Динамическая память".
Дополнительные сведения о требованиях к оборудованию шлюза ATA см. в разделе "Планирование емкости ATA".
Синхронизация времени
Сервер Центра ATA, серверы шлюза ATA и контроллеры домена должны иметь время, синхронизированное и отличающееся друг от друга не более чем на пять минут.
Сетевые адаптеры
Для шлюза ATA требуется по крайней мере один адаптер управления и по крайней мере один адаптер записи:
Адаптер управления — используемый для обмена данными в корпоративной сети. Этот адаптер должен быть настроен со следующими параметрами:
Статический IP-адрес, включая шлюз по умолчанию
Предпочтительный и альтернативный DNS-серверы
DNS-суффикс для этого подключения должен быть DNS-именем домена для каждого отслеживаемого домена.
Замечание
Если шлюз ATA является членом домена, это может быть настроено автоматически.
Адаптер захвата — используется для захвата трафика в и из контроллеров домена.
Это важно
- Настройте зеркалирование порта для адаптера захвата, чтобы принимать сетевой трафик контроллера домена. Дополнительные сведения см. в разделе Настройка зеркального отображения портов. Как правило, для настройки зеркального отображения портов необходимо работать с группой сети или виртуализации.
- Настройте статический неизменяемый IP-адрес для вашей среды без шлюза по умолчанию и без DNS-серверов. Например, 1.1.1.1/32. Это гарантирует, что сетевой адаптер записи может захватывать максимальный объем трафика, а сетевой адаптер управления используется для отправки и получения требуемого сетевого трафика.
Порты
В следующей таблице перечислены минимальные порты, необходимые шлюзу ATA для адаптера управления:
| Протокол | Транспорт | Порт | К/От | Направление |
|---|---|---|---|---|
| LDAP | TCP и UDP | 389 | Контроллеры доменов | Исходящие |
| Безопасный LDAP (LDAPS) | Протокол tcp | 636 | Контроллеры доменов | Исходящие |
| LDAP к глобальному каталогу | Протокол tcp | 3268 | Контроллеры доменов | Исходящие |
| LDAPS для глобального каталога | Протокол tcp | 3269 | Контроллеры доменов | Исходящие |
| Kerberos | TCP и UDP | 88 | Контроллеры доменов | Исходящие |
| Netlogon (SMB, CIFS, SAM-R) | TCP и UDP | 445 | Все устройства в сети | Исходящие |
| Время Windows | UDP | 123 | Контроллеры доменов | Исходящие |
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящие |
| NTLM по RPC | Протокол tcp | 135 | Все устройства в сети | Both |
| Netbios | UDP | 137 | Все устройства в сети | Both |
| SSL | Протокол tcp | 443 | Центр ATA | Исходящие |
| Системный журнал (необязательно) | UDP | 514 | Сервер SIEM | Входящий трафик |
Замечание
Во время процесса разрешения доступа, осуществляемого шлюзами ATA, следующие порты должны быть открыты для входящего трафика на устройствах сети из шлюзов ATA.
- NTLM через RPC (TCP-порт 135)
- NetBIOS (UDP-порт 137)
- Используя учетную запись пользователя службы каталогов, шлюз ATA с помощью SAM-R (сетевого входа) запрашивает конечные точки в вашей организации, чтобы определить локальных администраторов и создать граф пути бокового перемещения. Дополнительные сведения см. в разделе "Настройка SAM-R необходимых разрешений".
- Следующие порты необходимо открыть для входящих соединений на устройствах в сети, чтобы обеспечить связь со шлюзом ATA.
- NTLM через RPC (TCP-порт 135) для разрешения задач
- NetBIOS (порт UDP 137) для задач разрешения
Требования к лёгкому шлюзу ATA
В этом разделе перечислены требования для упрощенного шлюза ATA.
General
Упрощённый шлюз ATA поддерживает установку на контроллере домена, работающем под управлением Windows Server 2008 R2 SP1 (не включая Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 (включая Server Core, но не Nano).
Контроллер домена может быть контроллером домена только для чтения (RODC).
Перед установкой упрощенного шлюза ATA на контроллере домена, работающем Windows Server 2012 R2, убедитесь, что установлено следующее обновление: KB2919355.
Чтобы проверить, выполните следующий командлет PowerShell Windows: [Get-HotFix -Id kb2919355]
Если установка предназначена для Windows server 2012 R2 Server Core, необходимо также установить следующее обновление: KB3000850.
Чтобы проверить, выполните следующий командлет PowerShell Windows: [Get-HotFix -Id kb3000850]
Во время установки устанавливается .NET Framework 4.6.1 и может вызвать перезагрузку контроллера домена.
Замечание
Требуется не менее 5 ГБ пространства, и рекомендуется 10 ГБ. Это включает пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Спецификации сервера
Для упрощенного шлюза ATA требуется не менее двух ядер и 6 ГБ ОЗУ, установленных на контроллере домена. Чтобы обеспечить оптимальную производительность, установите параметр Power Option для легковесного шлюза ATA на Высокая производительность. Упрощенный шлюз ATA можно развернуть на контроллерах домена различных нагрузк и размеров в зависимости от объема сетевого трафика в контроллеры домена и объема ресурсов, установленных на этом контроллере домена.
Дополнительные сведения о динамической памяти или любой другой функции управления памятью виртуальных машин см. в статье "Динамическая память".
Дополнительные сведения о требованиях к оборудованию упрощенного шлюза ATA см. в разделе "Планирование емкости ATA".
Синхронизация времени
Сервер Центра ATA, серверы легковесного шлюза ATA и контроллеры домена должны быть синхронизированы по времени с точностью до пяти минут друг относительно друга.
Сетевые адаптеры
Упрощенный шлюз ATA отслеживает локальный трафик на всех сетевых адаптерах контроллера домена.
После развертывания можно использовать консоль ATA, если вы когда-либо хотите изменить, какие сетевые адаптеры отслеживаются.
Замечание
Упрощенный шлюз не поддерживается на контроллерах домена, работающих Windows 2008 R2 с поддержкой группы сетевых адаптеров Broadcom.
Порты
В следующей таблице перечислены минимальные порты, необходимые для упрощенного шлюза ATA:
| Протокол | Транспорт | Порт | К/От | Направление |
|---|---|---|---|---|
| DNS | TCP и UDP | 53 | DNS-серверы | Исходящие |
| NTLM по RPC | Протокол tcp | 135 | Все устройства в сети | Both |
| Netbios | UDP | 137 | Все устройства в сети | Both |
| SSL | Протокол tcp | 443 | Центр ATA | Исходящие |
| Системный журнал (необязательно) | UDP | 514 | Сервер SIEM | Входящий трафик |
| Netlogon (SMB, CIFS, SAM-R) | TCP и UDP | 445 | Все устройства в сети | Исходящие |
Замечание
В рамках процесса разрешения, выполняемого легким шлюзом ATA, следующие порты должны быть открыты для входящего трафика на устройствах в сети через легкие шлюзы ATA.
- NTLM по RPC
- Netbios
- Используя учетную запись пользователя службы каталогов, упрощенный шлюз ATA запрашивает конечные точки в организации для локальных администраторов с помощью SAM-R (сетевого входа) для создания графа пути бокового перемещения. Дополнительные сведения см. в разделе "Настройка SAM-R необходимых разрешений".
- Следующие порты необходимо открыть для входящих соединений на устройствах в сети, чтобы обеспечить связь со шлюзом ATA.
- NTLM через RPC (TCP-порт 135) для разрешения задач
- NetBIOS (порт UDP 137) для разрешения
Динамическая память
Замечание
При работе служб ATA в качестве виртуальной машины служба требует, чтобы вся память была выделена виртуальной машине всё время.
| Виртуальная машина, запущенная на | Описание |
|---|---|
| Hyper-V | Убедитесь, что параметр Включить динамическую память не включен для виртуальной машины. |
| VMware | Убедитесь, что объем памяти, настроенный и зарезервированная память совпадают, или выберите следующий параметр в параметре виртуальной машины— резервировать всю гостевую память (все заблокированные). |
| Другой узел виртуализации | Обратитесь к документации, предоставленной поставщиком, чтобы убедиться, что память всегда полностью выделена виртуальной машине. |
Если вы запускаете Центр ATA в качестве виртуальной машины, завершите работу сервера перед созданием новой контрольной точки, чтобы избежать потенциального повреждения базы данных.
Консоль ATA
Доступ к консоли ATA осуществляется через браузер, поддерживая браузеры и параметры:
Internet Explorer версии 10 и выше
Microsoft Edge
Google Chrome 40 и выше
Минимальное разрешение ширины экрана 1700 пикселей