Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo descreve os requisitos para uma implantação bem-sucedida do ATA em seu ambiente.
Observação
Para obter informações sobre como planejar recursos e capacidade, consulte o planejamento de capacidade do ATA.
O ATA é composto pelo ATA Center, pelo ATA Gateway e/ou pelo ATA Lightweight Gateway. Para obter mais informações sobre os componentes do ATA, consulte a arquitetura do ATA.
O Sistema ATA opera no âmbito do Active Directory e oferece suporte ao Nível Funcional da Floresta (FFL) do Windows 2003 ou superior.
Antes de começar: esta seção lista as informações que você deve coletar e contas e entidades de rede que você deve ter, antes de iniciar a instalação do ATA.
Centro do ATA: esta seção lista hardware, requisitos de software e configurações do Centro do ATA que você precisa configurar no servidor do Centro do ATA.
Gateway do ATA: esta seção lista hardware, requisitos de software e configurações do Gateway do ATA que você precisa configurar em seus servidores de Gateway do ATA.
Gateway Lightweight do ATA: esta seção lista os requisitos de hardware e software do Gateway Lightweight do ATA.
Console do ATA: esta seção lista os requisitos do navegador para executar o Console do ATA.
Antes de começar
Esta seção lista as informações que você deve coletar, bem como contas e entidades de rede que você deve ter antes de iniciar a instalação do ATA.
Conta de usuário e senha com acesso de leitura a todos os objetos nos domínios monitorados.
Observação
Se você tiver definido ACLs personalizadas em várias UOs (Unidades Organizacionais) em seu domínio, verifique se o usuário selecionado tem permissões de leitura para essas UOs.
Não instale o Microsoft Message Analyzer em um ATA Gateway ou Lightweight Gateway. O driver do Analisador de Mensagens entra em conflito com os drivers do Gateway do ATA e do Gateway Leve. Se você executar o Wireshark no Gateway do ATA, precisará reiniciar o Serviço Gateway do Microsoft Advanced Threat Analytics depois de interromper a captura do Wireshark. Caso contrário, o Gateway interromperá a captura de tráfego. Executar o Wireshark em um Gateway Lightweight do ATA não interfere nele.
Recomendado: o usuário deve ter permissões somente leitura no contêiner Objetos Excluídos. Isso permite que o ATA detecte a exclusão em massa de objetos no domínio. Para obter informações sobre como configurar permissões somente leitura no contêiner Objetos Excluídos, consulte a seção Alterando permissões em um contêiner de objeto excluído no artigo Exibir ou Definir Permissões em um objeto de diretório .
Opcional: uma conta de usuário de um usuário sem atividades de rede. Esta conta pode ser configurada como um usuário honeytoken do ATA. Para configurar uma conta como um usuário honeytoken, somente o nome de usuário é necessário. Para obter informações de configuração do Honeytoken, consulte Configurar exclusões de endereço IP e usuário Honeytoken.
Opcional: além de coletar e analisar o tráfego de rede de e para os controladores de domínio, o ATA pode usar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para aprimorar ainda mais as detecções Pass-the-Hash, Força Bruta, Modificação em grupos confidenciais e Tokens honey do ATA. Esses eventos podem ser recebidos do SIEM ou configurando o Encaminhamento de Eventos do Windows no controlador de domínio. Os eventos coletados fornecem ao ATA informações adicionais que não estão disponíveis por meio do tráfego de rede do controlador de domínio.
Requisitos do Centro do ATA
Esta seção lista os requisitos para o Centro do ATA.
Geral
O Centro do ATA dá suporte à instalação em um servidor executando Windows Server 2012 Windows Server 2016 E Windows Server 2019 R2.
Observação
O Centro do ATA não dá suporte ao Windows Server Core.
O Centro do ATA pode ser instalado em um servidor que seja membro de um domínio ou grupo de trabalho.
Antes de instalar o ATA Center em execução Windows 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar executando o seguinte cmdlet do PowerShell Windows: [Get-HotFix -Id kb2919355].
Há suporte para a instalação do Centro do ATA como uma máquina virtual.
Especificações do servidor
Ao trabalhar em um servidor físico, o banco de dados do ATA exige que você desabilite o NUMA (acesso não uniforme à memória) na BIOS. Seu sistema pode se referir ao NUMA como Interleaving de Nó, nesse caso, você precisa habilitar o Interleaving de Nó para desabilitar o NUMA. Para obter mais informações, consulte a documentação do BIOS.
Para obter um desempenho ideal, defina a Opção de Energia do Centro do ATA como Alto Desempenho.
O número de controladores de domínio que você está monitorando e a carga em cada um dos controladores de domínio determina as especificações de servidor necessárias. Para obter mais informações, consulte o planejamento de capacidade do ATA.
Para os sistemas operacionais Windows 2008R2 e 2012, o Gateway não tem suporte em um modo Multi Processor Group. Para obter mais informações sobre o modo de grupo de vários processadores, consulte solução de problemas.
Sincronização de tempo
O servidor do Centro ATA, os servidores do Gateway ATA e os controladores de domínio devem ter o tempo sincronizado com uma diferença máxima de cinco minutos entre cada um.
Adaptadores de rede
Você deve ter o seguinte conjunto:
Pelo menos um adaptador de rede (se estiver usando o servidor físico no ambiente VLAN, é recomendável usar dois adaptadores de rede)
Um endereço IP para comunicação entre o Centro do ATA e o Gateway do ATA criptografado usando SSL na porta 443. (O serviço do ATA é associado a todos os endereços IP que o Centro do ATA tem na porta 443.)
Ports
A tabela a seguir lista as portas mínimas que precisam ser abertas para que o Centro do ATA funcione corretamente.
| Protocolo | Transporte | Porto | De/Para | Direção |
|---|---|---|---|---|
| SSL (Comunicações do ATA) | TCP | 443 | ATA Gateway | Entrada |
| HTTP (opcional) | TCP | 80 | Rede da Empresa | Entrada |
| HTTPS | TCP | 443 | Rede da Empresa e Gateway do ATA | Entrada |
| SMTP (opcional) | TCP | 25 | Servidor SMTP | Saída |
| SMTPS (opcional) | TCP | 465 | Servidor SMTP | Saída |
| Syslog (opcional) | TCP/UPS/TLS (configurável) | 514 (padrão) | Servidor Syslog | Saída |
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAPS (opcional) | TCP | 636 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| Kerberos (opcional se ingressado no domínio) | TCP e UDP | 88 | Controladores de domínio | Saída |
| Windows Time (opcional se ingressado no domínio) | UDP | 123 | Controladores de domínio | Saída |
Observação
O LDAP é necessário para testar as credenciais a serem usadas entre os Gateways do ATA e os controladores de domínio. O teste é executado do Centro do ATA para um controlador de domínio para testar a validade dessas credenciais, após o qual o Gateway do ATA usa LDAP como parte de seu processo de resolução normal.
Certificados
Para instalar e implantar o ATA mais rapidamente, você pode instalar certificados autoassinados durante a instalação. Se você optou por usar certificados autoassinados, após a implantação inicial, é recomendável substituir certificados autoassinados por certificados de uma Autoridade de Certificação interna a serem usados pelo Centro de ATA.
Verifique se o Centro do ATA e os Gateways do ATA têm acesso ao seu ponto de distribuição de CRL. Se eles não tiverem acesso à Internet, siga o procedimento para importar manualmente uma CRL, tomando cuidado para instalar todos os pontos de distribuição de CRL para toda a cadeia.
O certificado deve ter:
- Uma chave privada
- Um tipo de provedor, seja Provedor de Serviços Criptográficos (CSP) ou Provedor de Armazenamento de Chaves (KSP)
- Um comprimento de chave pública de 2.048 bits
- Um conjunto de valores para sinalizadores de uso KeyEncipherment e ServerAuthentication
- Valor de KeySpec (KeyNumber) de "KeyExchange" (AT_KEYEXCHANGE). O valor "Signature" (AT_SIGNATURE) não é suportado.*
- Todos os computadores gateway devem ser capazes de validar e confiar totalmente no certificado do Centro selecionado.
Por exemplo, você pode usar o servidor Web padrão ou modelos de computador .
Warning
Não há suporte para o processo de renovação de um certificado existente. A única maneira de renovar um certificado é criando um novo certificado e configurando o ATA para usar o novo certificado.
Observação
- Se você quiser acessar o Console do ATA de outros computadores, verifique se esses computadores confiam no certificado que está sendo usado pelo Centro do ATA, caso contrário, você receberá uma página de aviso informando que há um problema com o certificado de segurança do site antes de acessar a página de entrada.
- A partir do ATA versão 1.8, os Gateways do ATA e os Gateways Leves estão gerenciando seus próprios certificados e não precisam de nenhuma interação do administrador para gerenciá-los.
Requisitos do Gateway do ATA
Esta seção lista os requisitos para o Gateway do ATA.
Geral
O Gateway do ATA dá suporte à instalação em um servidor executando Windows Server 2012 R2 ou Windows Server 2016 e Windows Server 2019 (incluindo o núcleo do servidor). O Gateway do ATA pode ser instalado em um servidor que seja membro de um domínio ou grupo de trabalho. O Gateway do ATA pode ser usado para monitorar controladores de domínio com nível funcional de domínio de Windows 2003 e superior.
Antes de instalar o Gateway do ATA executando o Windows 2012 R2, verifique se a seguinte atualização foi instalada: KB2919355.
Você pode verificar executando o seguinte cmdlet do PowerShell Windows: [Get-HotFix -Id kb2919355].
Para obter informações sobre como usar máquinas virtuais com o Gateway do ATA, consulte Configurar espelhamento de porta.
Observação
Um mínimo de 5 GB de espaço é necessário e 10 GB são recomendados. Isso inclui o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Especificações do servidor
Para obter um desempenho ideal, defina a opção Power do Gateway do ATA como alto desempenho.
Um Gateway do ATA pode dar suporte ao monitoramento de vários controladores de domínio, dependendo da quantidade de tráfego de rede de e para os controladores de domínio.
Para saber mais sobre memória dinâmica ou qualquer outro recurso de gerenciamento de memória de máquina virtual, consulte Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do Gateway do ATA, consulte o planejamento de capacidade do ATA.
Sincronização de tempo
O servidor do Centro ATA, os servidores do Gateway ATA e os controladores de domínio devem ter o tempo sincronizado com uma diferença máxima de cinco minutos entre cada um.
Adaptadores de rede
O Gateway do ATA requer pelo menos um adaptador de gerenciamento e pelo menos um adaptador de captura:
Adaptador de gerenciamento – usado para comunicações em sua rede corporativa. Esse adaptador deve ser configurado com as seguintes configurações:
Endereço IP estático incluindo gateway padrão
Servidores DNS preferenciais e alternativos
O sufixo DNS para essa conexão deve ser o nome DNS do domínio para cada domínio que está sendo monitorado.
Observação
Se o Gateway do ATA for um membro do domínio, isso poderá ser configurado automaticamente.
Adaptador de captura – usado para capturar o tráfego de e para os controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como destino do tráfego de rede do controlador de domínio. Para obter mais informações, veja Configurar o espelhamento de porta. Normalmente, você precisa trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de porta.
- Configure um endereço IP estático que não pode ser excedido para seu ambiente sem gateway padrão e sem endereços de servidor DNS. Por exemplo, 1.1.1.1/32. Isso garante que o adaptador de rede de captura possa capturar a quantidade máxima de tráfego e que o adaptador de rede de gerenciamento seja usado para enviar e receber o tráfego de rede necessário.
Ports
A tabela a seguir lista as portas mínimas que o Gateway do ATA requer configuradas no adaptador de gerenciamento:
| Protocolo | Transporte | Porto | De/Para | Direção |
|---|---|---|---|---|
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para o Catálogo Global | TCP | 3.268 | Controladores de domínio | Saída |
| LDAPS para Catálogo Global | TCP | 3269 | Controladores de domínio | Saída |
| Kerberos | TCP e UDP | 88 | Controladores de domínio | Saída |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
| Tempo do Windows | UDP | 123 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM através de RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | Centro ATA | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
Observação
Como parte do processo de resolução realizado pelo Gateway do ATA, as seguintes portas precisam ser abertas para conexões de entrada em dispositivos na rede a partir dos Gateways do ATA.
- NTLM através de RPC (Porta TCP 135)
- NetBIOS (porta UDP 137)
- Usando a conta de usuário de serviço do Diretório, o Gateway do ATA consulta os pontos de extremidade em sua organização para identificar administradores locais, usando SAM-R (entrada por rede) a fim de criar o grafo do caminho de movimento lateral. Para obter mais informações, consulte Configurar SAM-R permissões necessárias.
- As seguintes portas precisam estar abertas para entrada em dispositivos na rede a partir do Gateway do ATA:
- NTLM sobre RPC (Porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Requisitos do Gateway Lightweight do ATA
Esta seção lista os requisitos para o Gateway Lightweight do ATA.
Geral
O Gateway Lightweight do ATA dá suporte à instalação em um controlador de domínio executando o Windows Server 2008 R2 SP1 (sem incluir o Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 (incluindo Core, mas não Nano).
O controlador de domínio pode ser um RODC (controlador de domínio somente leitura).
Antes de instalar o Gateway Lightweight do ATA em um controlador de domínio executando Windows Server 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar executando o seguinte cmdlet do PowerShell Windows: [Get-HotFix -Id kb2919355]
Se a instalação for para o servidor Windows 2012 R2 Server Core, a seguinte atualização também deverá ser instalada: KB3000850.
Você pode verificar executando o seguinte cmdlet do PowerShell Windows: [Get-HotFix -Id kb3000850]
Durante a instalação, o .NET Framework 4.6.1 é instalado e pode causar uma reinicialização do controlador de domínio.
Observação
Um mínimo de 5 GB de espaço é necessário e 10 GB são recomendados. Isso inclui o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Especificações do servidor
O Gateway Lightweight do ATA requer um mínimo de dois núcleos e 6 GB de RAM instalados no controlador de domínio. Para obter um desempenho ideal, defina a opção Power do Gateway Lightweight do ATA como alto desempenho. O Gateway Lightweight do ATA pode ser implantado em controladores de domínio de várias cargas e tamanhos, dependendo da quantidade de tráfego de rede de e para os controladores de domínio e da quantidade de recursos instalados nesse controlador de domínio.
Para saber mais sobre memória dinâmica ou qualquer outro recurso de gerenciamento de memória de máquina virtual, consulte Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do Gateway Lightweight do ATA, consulte o planejamento de capacidade do ATA.
Sincronização de tempo
O servidor do Centro do ATA, os servidores do Gateway Leve do ATA e os controladores de domínio devem ter o tempo sincronizado com uma diferença máxima de cinco minutos entre si.
Adaptadores de rede
O Gateway Lightweight do ATA monitora o tráfego local em todos os adaptadores de rede do controlador de domínio.
Após a implantação, você poderá usar o Console do ATA se quiser modificar quais adaptadores de rede são monitorados.
Observação
Não há suporte para o Gateway Leve em controladores de domínio que executam Windows 2008 R2 com o Broadcom Network Adapter Teaming habilitado.
Ports
A tabela a seguir lista as portas mínimas que o Gateway Lightweight do ATA exige:
| Protocolo | Transporte | Porto | De/Para | Direção |
|---|---|---|---|---|
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM através de RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | Centro ATA | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Entrada |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
Observação
Como parte do processo de resolução executado pelo Gateway Leve do ATA, as portas a seguir precisam ser abertas para entrada em dispositivos na rede a partir dos Gateways Leves do ATA.
- NTLM através de RPC
- NetBIOS
- Usando a conta de usuário de serviço do Diretório, o Gateway Leve do ATA consulta os endpoints em sua organização para administradores locais, usando SAM-R (login de rede) para criar o grafo de caminho de movimentação lateral. Para obter mais informações, consulte Configurar SAM-R permissões necessárias.
- As seguintes portas precisam estar abertas para entrada em dispositivos na rede a partir do Gateway do ATA:
- NTLM sobre RPC (Porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Memória dinâmica
Observação
Ao executar serviços do ATA como uma VM (máquina virtual), o serviço requer que toda a memória seja alocada para a VM, o tempo todo.
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a seguinte opção na configuração da VM – Reserve toda a memória de convidado (Todas bloqueadas). |
| Outro anfitrião de virtualização | Consulte a documentação fornecida pelo fornecedor sobre como garantir que a memória esteja totalmente alocada para a VM sempre. |
Se você executar o Centro do ATA como uma máquina virtual, desligue o servidor antes de criar um novo ponto de verificação para evitar possíveis corrupção de banco de dados.
ATA Console
O acesso ao Console do ATA é por meio de um navegador, dando suporte aos navegadores e configurações:
Internet Explorer versão 10 e superior
Microsoft Edge
Google Chrome 40 e superior
Resolução mínima de largura de tela de 1.700 pixels