Planeamiento de la capacidad de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
Este artículo le ayuda a determinar cuántos servidores ATA son necesarios para supervisar la red. Le ayuda a calcular cuántas puertas de enlace de ATA o puertas de enlace ligeras de ATA necesita y la capacidad del servidor para el Centro ATA y las puertas de enlace de ATA.
Nota:
El Centro ATA se puede implementar en cualquier proveedor de IaaS siempre y cuando se cumplan los requisitos de rendimiento descritos en este artículo.
Uso de la herramienta de ajuste de tamaño
La manera recomendada y más sencilla de determinar la capacidad de la implementación de ATA es usar la herramienta de ajuste de tamaño de ATA. Ejecute la herramienta de ajuste de tamaño de ATA y, desde los resultados del archivo de Excel, use los campos siguientes para determinar la capacidad de ATA que necesita:
CPU y memoria del centro ATA: haga coincidir el campo Paquetes ocupados/s del archivo de resultados de la tabla centro de ATA con el campo PACKETS PER SECOND de la tabla centro de ATA.
Almacenamiento del centro de ATA: haga coincidir el campo Avg Packets/s del archivo de resultados de la tabla del Centro ATA con el campo PACKETS PER SECOND de la tabla Centro de ATA.
Puerta de enlace de ATA: haga coincidir el campo Paquetes ocupados/s de la tabla Puerta de enlace de ATA del archivo de resultados con el campo PAQUETES POR SEGUNDO de la tabla puerta de enlace de ATA o la tabla Puerta de enlace ligera de ATA, según el tipo de puerta de enlace que elija.
Nota:
Dado que diferentes entornos varían y tienen varias características de tráfico de red especiales e inesperadas, después de implementar inicialmente ATA y ejecutar la herramienta de ajuste de tamaño, es posible que tenga que ajustar y ajustar la implementación para la capacidad.
Si no puede usar la herramienta de ajuste de tamaño de ATA, recopile manualmente la información del contador de paquetes/s con un intervalo de recopilación bajo (aproximadamente 5 segundos) de todos los controladores de dominio durante 24 horas. A continuación, para cada controlador de dominio, calcule el promedio diario y el promedio del período más ocupado (15 minutos). En las secciones siguientes se proporcionan instrucciones sobre cómo recopilar el contador de paquetes/s de un controlador de dominio.
Nota:
Dado que diferentes entornos varían y tienen varias características de tráfico de red especiales e inesperadas, después de implementar inicialmente ATA y ejecutar la herramienta de ajuste de tamaño, es posible que tenga que ajustar y ajustar la implementación para la capacidad.
Tamaño del centro de ATA
El Centro ATA requiere un mínimo recomendado de 30 días de datos para el análisis de comportamiento del usuario.
| Paquetes por segundo de todos los controladores de dominio | CPU (núcleos*) | Memoria (GB) | Almacenamiento de base de datos al día (GB) | Almacenamiento de bases de datos al mes (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200.000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3 600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Esto incluye núcleos físicos, no núcleos hiperprocesos.
**Números promedio (números máximos)
Nota:
- El Centro ATA puede controlar un máximo agregado de paquetes de 1 M por segundo de todos los controladores de dominio supervisados. En algunos entornos, el mismo centro de ATA puede controlar el tráfico general que es superior a 1 M y algunos entornos pueden superar la capacidad de ATA. Póngase en contacto con nosotros en azureatpfeedback@microsoft.com para obtener ayuda en la planificación y estimación de entornos grandes.
- Si el espacio disponible alcanza un mínimo del 20 % o 200 GB, se elimina la colección de datos más antigua. Si no es posible reducir correctamente la recopilación de datos a este nivel, se registrará una alerta. ATA seguirá funcionando hasta que se alcance el umbral del 5 % o 50 GB gratis. En este momento, ATA dejará de rellenar la base de datos y se emitirá una alerta adicional.
- Puede implementar el Centro ATA en cualquier proveedor de IaaS si se cumplen los requisitos de rendimiento que se describen en este artículo.
- La latencia de almacenamiento para las actividades de lectura y escritura debe ser inferior a 10 ms.
- La relación entre las actividades de lectura y escritura es aproximadamente 1:3 por debajo de 100 000 paquetes por segundo y 1:6 por encima de 100 000 paquetes por segundo.
- Al ejecutar el Centro como una máquina virtual (VM), el Centro requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo. Para obtener más información sobre cómo ejecutar el Centro ATA como una máquina virtual, consulte Requisitos del Centro ATA.
- Para un rendimiento óptimo, establezca la opción De energía del Centro ATA en Alto rendimiento.
- Al trabajar en un servidor físico, la base de datos de ATA necesita que deshabilite el acceso a memoria no uniforme (NUMA) en el BIOS. El sistema puede hacer referencia a NUMA como Entrelazado de nodos, en cuyo caso debe habilitar El intercalado de nodos para deshabilitar NUMA. Para obtener más información, consulte la documentación del BIOS. Esto no es relevante cuando el Centro ATA se ejecuta en un servidor virtual.
Elección del tipo de puerta de enlace adecuado para la implementación
En una implementación de ATA, se admite cualquier combinación de los tipos de puerta de enlace de ATA:
- Solo puertas de enlace de ATA
- Solo puertas de enlace ligeras de ATA
- Una combinación de ambos
Al decidir el tipo de implementación de puerta de enlace, tenga en cuenta las siguientes ventajas:
| Tipo de puerta de enlace | Ventajas | Costo | Topología de implementación | Uso del controlador de dominio |
|---|---|---|---|---|
| Puerta de enlace de ATA | La implementación fuera de banda dificulta que los atacantes detecten que ATA está presente | Higher | Instalado junto con el controlador de dominio (fuera de banda) | Admite hasta 50 000 paquetes por segundo |
| Puerta de enlace ligera de ATA | No requiere una configuración de creación de reflejo de puerto y servidor dedicado | Lower | Instalado en el controlador de dominio | Admite hasta 10 000 paquetes por segundo |
A continuación se muestran ejemplos de escenarios en los que los controladores de dominio deben estar cubiertos por la puerta de enlace ligera de ATA:
Sitios de sucursal
Controladores de dominio virtuales implementados en la nube (IaaS)
A continuación se muestran ejemplos de escenarios en los que los controladores de dominio deben estar cubiertos por la puerta de enlace de ATA:
- Centros de datos de la sede central (con controladores de dominio con más de 10 000 paquetes por segundo)
Ajuste de tamaño de puerta de enlace ligera de ATA
Una puerta de enlace ligera de ATA puede admitir la supervisión de un controlador de dominio en función de la cantidad de tráfico de red que genera el controlador de dominio.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Número total de paquetes por segundo en el controlador de dominio supervisado por la puerta de enlace ligera de ATA específica.
**Número total de núcleos no subprocesos que no son hiperprocesos que este controlador de dominio ha instalado.
Aunque el hiperprocesamiento es aceptable para la puerta de enlace ligera de ATA, al planear la capacidad, debe contar los núcleos reales y no los núcleos hiperprocesos.
Cantidad total de memoria instalada por este controlador de dominio.
Nota:
- Si el controlador de dominio no tiene los recursos necesarios para la puerta de enlace ligera de ATA, el rendimiento del controlador de dominio no se ve afectado, pero es posible que la puerta de enlace ligera de ATA no funcione según lo esperado.
- Al ejecutar la puerta de enlace como máquina virtual, la puerta de enlace requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo. Para obtener más información sobre cómo ejecutar la puerta de enlace de ATA como una máquina virtual, consulte Requisitos de memoria dinámica).
- Para obtener un rendimiento óptimo, establezca la opción power de la puerta de enlace ligera de ATA en Alto rendimiento.
- Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB, incluido el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.
Ajuste del tamaño de la puerta de enlace de ATA
Tenga en cuenta los siguientes problemas al decidir cuántas puertas de enlace de ATA se van a implementar.
-
Bosques y dominios de Active Directory
ATA puede supervisar el tráfico desde varios dominios desde un único bosque de Active Directory. La supervisión de varios bosques de Active Directory requiere implementaciones de ATA independientes. No configure una sola implementación de ATA para supervisar el tráfico de red de controladores de dominio de bosques diferentes. -
Creación de reflejo de puertos
Las consideraciones sobre la creación de reflejo de puertos pueden requerir la implementación de varias puertas de enlace de ATA por puerta de enlace de datos o sitio de sucursal. -
Capacidad
Una puerta de enlace de ATA puede admitir la supervisión de varios controladores de dominio, en función de la cantidad de tráfico de red de los controladores de dominio que se supervisan.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50 000 | 16 | 48 |
*Número promedio total de paquetes por segundo de todos los controladores de dominio supervisados por la puerta de enlace de ATA específica durante su hora más activa del día.
*La cantidad total de tráfico reflejado en el puerto del controlador de dominio no puede superar la capacidad de la NIC de captura en la puerta de enlace de ATA.
**El subproceso de Hyper debe estar deshabilitado.
Nota:
- Al ejecutar la puerta de enlace como máquina virtual, la puerta de enlace requiere que toda la memoria se asigne a la máquina virtual, todo el tiempo. Para obtener más información sobre cómo ejecutar la puerta de enlace de ATA como máquina virtual, consulte Requisitos de memoria dinámica.
- Para obtener un rendimiento óptimo, establezca la opción power de la puerta de enlace de ATA en Alto rendimiento.
- Se requiere un mínimo de 5 GB de espacio y se recomiendan 10 GB, incluido el espacio necesario para los archivos binarios de ATA, los registros de ATA y los registros de rendimiento.