Pré-requisitos do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo descreve os requisitos para uma implantação bem-sucedida do ATA em seu ambiente.
Nota
Para obter informações sobre como planejar recursos e capacidade, consulte Planejamento de capacidade do ATA.
O ATA é composto pelo ATA Center, o ATA Gateway e/ou o ATA Lightweight Gateway. Para obter mais informações sobre os componentes do ATA, consulte Arquitetura do ATA.
O sistema ATA funciona no limite de floresta do Ative Directory e suporta o Nível Funcional de Floresta (FFL) do Windows 2003 e superior.
Antes de começar: Esta seção lista as informações que você deve coletar e as contas e entidades de rede que você deve ter, antes de iniciar a instalação do ATA.
Console do ATA: Esta seção lista os requisitos do navegador para executar o Console do ATA.
Antes de começar
Esta seção lista as informações que você deve coletar, bem como contas e entidades de rede que você deve ter antes de iniciar a instalação do ATA.
Conta de usuário e senha com acesso de leitura a todos os objetos nos domínios monitorados.
Nota
Se você tiver definido ACLs personalizadas em várias Unidades Organizacionais (UO) em seu domínio, verifique se o usuário selecionado tem permissões de leitura para essas UOs.
Não instale o Microsoft Message Analyzer em um gateway ATA ou Lightweight Gateway. O driver do Message Analyzer entra em conflito com os drivers ATA Gateway e Lightweight Gateway. Se você executar o Wireshark no ATA Gateway, precisará reiniciar o Serviço Microsoft Advanced Threat Analytics Gateway depois de interromper a captura do Wireshark. Caso contrário, o Gateway para de capturar tráfego. A execução do Wireshark em um ATA Lightweight Gateway não interfere com o ATA Lightweight Gateway.
Recomendado: O usuário deve ter permissões somente leitura no contêiner Objetos Excluídos. Isso permite que o ATA detete a exclusão em massa de objetos no domínio. Para obter informações sobre como configurar permissões somente leitura no contêiner Objetos Excluídos, consulte a seção Alterando permissões em um contêiner de objeto excluído no artigo Exibir ou Definir permissões em um objeto de diretório .
Opcional: uma conta de usuário de um usuário sem atividades de rede. Esta conta é configurável como um usuário ATA Honeytoken. Para configurar uma conta como um usuário Honeytoken, apenas o nome de usuário é necessário. Para obter informações sobre a configuração do Honeytoken, consulte Configurar exclusões de endereço IP e usuário do Honeytoken.
Opcional: Além de coletar e analisar o tráfego de rede de e para os controladores de domínio, o ATA pode usar os eventos do Windows 4776, 4732, 4733, 4728, 4729, 4756 e 4757 para aprimorar ainda mais o ATA Pass-the-Hash, Força Bruta, Modificação para grupos sensíveis e deteções de Honey Tokens. Esses eventos podem ser recebidos do seu SIEM ou definindo o Encaminhamento de Eventos do Windows do seu controlador de domínio. Os eventos recolhidos fornecem ao ATA informações adicionais que não estão disponíveis através do tráfego de rede do controlador de domínio.
Requisitos do Centro ATA
Esta seção lista os requisitos para o ATA Center.
Geral
O Centro ATA oferece suporte à instalação em um servidor que executa o Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019.
Nota
O Centro do ATA não suporta o núcleo do Windows Server.
O Centro do ATA pode ser instalado em um servidor que seja membro de um domínio ou grupo de trabalho.
Antes de instalar o ATA Center executando o Windows 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar executando o seguinte cmdlet do Windows PowerShell: [Get-HotFix -Id kb2919355].
Há suporte para a instalação do Centro do ATA como uma máquina virtual.
Especificações do servidor
Ao trabalhar em um servidor físico, o banco de dados ATA requer que você desabilite o acesso não uniforme à memória (NUMA) no BIOS. Seu sistema pode se referir a NUMA como Node Interleaving, caso em que você tem que ativar o Node Interleaving para desativar o NUMA. Para obter mais informações, consulte a documentação do BIOS.
Para um desempenho ideal, defina a opção de alimentação do ATA Center como Alto desempenho.
O número de controladores de domínio que você está monitorando e a carga em cada um dos controladores de domínio dita as especificações de servidor necessárias. Para obter mais informações, consulte Planejamento de capacidade do ATA.
Para os sistemas operacionais Windows 2008R2 e 2012, o Gateway não é suportado em um modo de grupo de vários processadores. Para obter mais informações sobre o modo de grupo com vários processadores, consulte solução de problemas.
Sincronização de tempo
O servidor do Centro do ATA, os servidores Gateway do ATA e os controladores de domínio devem ter o tempo sincronizado dentro de cinco minutos um do outro.
Adaptadores de rede
Você deve ter o seguinte conjunto:
Pelo menos um adaptador de rede (se estiver usando servidor físico em ambiente VLAN, é recomendável usar dois adaptadores de rede)
Um endereço IP para comunicação entre o Centro do ATA e o Gateway do ATA criptografado usando SSL na porta 443. (O serviço ATA liga-se a todos os endereços IP que o Centro ATA tem na porta 443.)
Portas
A tabela a seguir lista as portas mínimas que precisam ser abertas para que o Centro do ATA funcione corretamente.
| Protocolo | Transporte | Porta | Para/De | Direção |
|---|---|---|---|---|
| SSL (Comunicações ATA) | TCP | 443 | ATA Gateway | Interna |
| HTTP (opcional) | TCP | 80 | Rede de Empresas | Interna |
| HTTPS | TCP | 443 | Rede da Empresa e Gateway ATA | Interna |
| SMTP (opcional) | TCP | 25 | Servidor SMTP | Saída |
| SMTPS (opcional) | TCP | 465 | Servidor SMTP | Saída |
| Syslog (opcional) | TCP/UPS/TLS (configurável) | 514 (padrão) | Syslog server | Saída |
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAPS (opcional) | TCP | 636 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| Kerberos (opcional se o domínio tiver ingressado) | TCP e UDP | 88 | Controladores de domínio | Saída |
| Hora do Windows (opcional se o domínio tiver ingressado) | UDP | 123 | Controladores de domínio | Saída |
Nota
O LDAP é necessário para testar as credenciais a serem usadas entre os Gateways ATA e os controladores de domínio. O teste é realizado do Centro do ATA para um controlador de domínio para testar a validade dessas credenciais, após o que o Gateway do ATA usa LDAP como parte de seu processo normal de resolução.
Certificados
Para instalar e implantar o ATA mais rapidamente, você pode instalar certificados autoassinados durante a instalação. Se você optou por usar certificados autoassinados, após a implantação inicial, é recomendável substituir certificados autoassinados por certificados de uma Autoridade de Certificação interna a ser usada pelo Centro do ATA.
Verifique se o Centro do ATA e os Gateways do ATA têm acesso ao seu ponto de distribuição de CRL. Se eles não tiverem acesso à Internet, siga o procedimento para importar manualmente uma CRL, tendo o cuidado de instalar todos os pontos de distribuição da CRL para toda a cadeia.
O certificado deve conter:
- Uma chave privada
- Um tipo de provedor de CSP (Provedor de Serviços de Criptografia) ou KSP (Provedor de Armazenamento de Chaves)
- Um comprimento de chave pública de 2048 bits
- Um valor definido para os sinalizadores de uso KeyEncipherment e ServerAuthentication
- Valor KeySpec (KeyNumber) de "KeyExchange" (AT_KEYEXCHANGE). O valor "Assinatura" (AT_SIGNATURE) não é suportado.
- Todas as máquinas Gateway devem ser capazes de validar e confiar totalmente no certificado do Centro selecionado.
Por exemplo, você pode usar o servidor Web padrão ou modelos de computador.
Aviso
O processo de renovação de um certificado existente não é suportado. A única maneira de renovar um certificado é criando um novo certificado e configurando o ATA para usar o novo certificado.
Nota
- Se você for acessar o Console do ATA de outros computadores, certifique-se de que esses computadores confiem no certificado que está sendo usado pelo Centro do ATA, caso contrário, você receberá uma página de aviso de que há um problema com o certificado de segurança do site antes de acessar a página de login.
- A partir da versão 1.8 do ATA, os Gateways ATA e os Lightweight Gateways estão gerenciando seus próprios certificados e não precisam de interação do administrador para gerenciá-los.
Requisitos do gateway ATA
Esta seção lista os requisitos para o Gateway ATA.
Geral
O Gateway ATA suporta a instalação em um servidor que executa o Windows Server 2012 R2 ou Windows Server 2016 e Windows Server 2019 (incluindo núcleo do servidor). O Gateway ATA pode ser instalado em um servidor que seja membro de um domínio ou grupo de trabalho. O Gateway ATA pode ser usado para monitorar controladores de domínio com nível funcional de domínio do Windows 2003 e superior.
Antes de instalar o ATA Gateway executando o Windows 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar executando o seguinte cmdlet do Windows PowerShell: [Get-HotFix -Id kb2919355].
Para obter informações sobre como usar máquinas virtuais com o Gateway ATA, consulte Configurar espelhamento de porta.
Nota
É necessário um mínimo de 5 GB de espaço e recomenda-se 10 GB. Isso inclui o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Especificações do servidor
Para um desempenho ideal, defina a opção de alimentação do gateway ATA como Alto desempenho.
Um Gateway ATA pode suportar a monitorização de vários controladores de domínio, dependendo da quantidade de tráfego de rede de e para os controladores de domínio.
Para saber mais sobre memória dinâmica ou qualquer outro recurso de gerenciamento de memória de máquina virtual, consulte Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do ATA Gateway, consulte Planejamento de capacidade do ATA.
Sincronização de tempo
O servidor do Centro do ATA, os servidores Gateway do ATA e os controladores de domínio devem ter o tempo sincronizado dentro de cinco minutos um do outro.
Adaptadores de rede
O Gateway ATA requer pelo menos um adaptador de gerenciamento e pelo menos um adaptador de captura:
Adaptador de gerenciamento - usado para comunicações em sua rede corporativa. Este adaptador deve ser configurado com as seguintes configurações:
Endereço IP estático, incluindo gateway padrão
Servidores DNS preferenciais e alternativos
O sufixo DNS para esta conexão deve ser o nome DNS do domínio para cada domínio que está sendo monitorado.
Nota
Se o Gateway do ATA for um membro do domínio, isso poderá ser configurado automaticamente.
Adaptador de captura - usado para capturar o tráfego de e para os controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como o destino do tráfego de rede do controlador de domínio. Para obter mais informações, consulte Configurar espelhamento de porta. Normalmente, você precisa trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de portas.
- Configure um endereço IP estático não roteável para seu ambiente sem gateway padrão e sem endereços de servidor DNS. Por exemplo, 1.1.1.1/32. Isso garante que o adaptador de rede de captura possa capturar a quantidade máxima de tráfego e que o adaptador de rede de gerenciamento seja usado para enviar e receber o tráfego de rede necessário.
Portas
A tabela a seguir lista as portas mínimas que o Gateway ATA requer configuradas no adaptador de gerenciamento:
| Protocolo | Transporte | Porta | Para/De | Direção |
|---|---|---|---|---|
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para Catálogo Global | TCP | 3268 | Controladores de domínio | Saída |
| LDAPS para Catálogo Global | TCP | 3269 | Controladores de domínio | Saída |
| Kerberos | TCP e UDP | 88 | Controladores de domínio | Saída |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
| Horário do Windows | UDP | 123 | Controladores de domínio | Saída |
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM sobre RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | Centro ATA | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Interna |
Nota
Como parte do processo de resolução feito pelo Gateway ATA, as seguintes portas precisam ser abertas de entrada em dispositivos na rede a partir dos Gateways ATA.
- NTLM sobre RPC (Porta TCP 135)
- NetBIOS (porta UDP 137)
- Usando a conta de usuário do serviço de diretório, o Gateway do ATA consulta pontos de extremidade em sua organização para administradores locais usando SAM-R (logon de rede) para criar o gráfico de caminho de movimento lateral. Para obter mais informações, consulte Configurar as permissões necessárias do SAM-R.
- As seguintes portas precisam ser abertas de entrada em dispositivos na rede a partir do Gateway ATA:
- NTLM sobre RPC (Porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Requisitos do ATA Lightweight Gateway
Esta seção lista os requisitos para o ATA Lightweight Gateway.
Geral
O ATA Lightweight Gateway oferece suporte à instalação em um controlador de domínio que executa o Windows Server 2008 R2 SP1 (não incluindo Server Core), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 (incluindo Core, mas não Nano).
O controlador de domínio pode ser um controlador de domínio somente leitura (RODC).
Antes de instalar o ATA Lightweight Gateway em um controlador de domínio que executa o Windows Server 2012 R2, confirme se a seguinte atualização foi instalada: KB2919355.
Você pode verificar executando o seguinte cmdlet do Windows PowerShell: [Get-HotFix -Id kb2919355]
Se a instalação for para o Windows Server 2012 R2 Server Core, a seguinte atualização também deve ser instalada: KB3000850.
Você pode verificar executando o seguinte cmdlet do Windows PowerShell: [Get-HotFix -Id kb3000850]
Durante a instalação, o .Net Framework 4.6.1 é instalado e pode causar uma reinicialização do controlador de domínio.
Nota
É necessário um mínimo de 5 GB de espaço e recomenda-se 10 GB. Isso inclui o espaço necessário para os binários do ATA, logs do ATA e logs de desempenho.
Especificações do servidor
O ATA Lightweight Gateway requer um mínimo de 2 núcleos e 6 GB de RAM instalados no controlador de domínio. Para um desempenho ideal, defina a opção de alimentação do ATA Lightweight Gateway como Alto Desempenho. O ATA Lightweight Gateway pode ser implantado em controladores de domínio de várias cargas e tamanhos, dependendo da quantidade de tráfego de rede de e para os controladores de domínio e da quantidade de recursos instalados nesse controlador de domínio.
Para saber mais sobre memória dinâmica ou qualquer outro recurso de gerenciamento de memória de máquina virtual, consulte Memória dinâmica.
Para obter mais informações sobre os requisitos de hardware do ATA Lightweight Gateway, consulte Planejamento de capacidade do ATA.
Sincronização de tempo
O servidor do ATA Center, os servidores ATA Lightweight Gateway e os controladores de domínio devem ter o tempo sincronizado dentro de cinco minutos um do outro.
Adaptadores de rede
O ATA Lightweight Gateway monitora o tráfego local em todos os adaptadores de rede do controlador de domínio.
Após a implantação, você pode usar o Console do ATA se quiser modificar quais adaptadores de rede são monitorados.
Nota
O Lightweight Gateway não é suportado em controladores de domínio que executam o Windows 2008 R2 com o Agrupamento de Adaptador de Rede Broadcom habilitado.
Portas
A tabela a seguir lista as portas mínimas que o ATA Lightweight Gateway requer:
| Protocolo | Transporte | Porta | Para/De | Direção |
|---|---|---|---|---|
| DNS | TCP e UDP | 53 | Servidores DNS | Saída |
| NTLM sobre RPC | TCP | 135 | Todos os dispositivos na rede | Ambos |
| NetBIOS | UDP | 137 | Todos os dispositivos na rede | Ambos |
| SSL | TCP | 443 | Centro ATA | Saída |
| Syslog (opcional) | UDP | 514 | Servidor SIEM | Interna |
| Netlogon (SMB, CIFS, SAM-R) | TCP e UDP | 445 | Todos os dispositivos na rede | Saída |
Nota
Como parte do processo de resolução realizado pelo ATA Lightweight Gateway, as seguintes portas precisam ser abertas de entrada em dispositivos na rede a partir dos ATA Lightweight Gateways.
- NTLM sobre RPC
- NetBIOS
- Usando a conta de usuário do serviço de diretório, o ATA Lightweight Gateway consulta pontos de extremidade em sua organização para administradores locais usando SAM-R (logon de rede) para criar o gráfico de caminho de movimento lateral. Para obter mais informações, consulte Configurar as permissões necessárias do SAM-R.
- As seguintes portas precisam ser abertas de entrada em dispositivos na rede a partir do Gateway ATA:
- NTLM sobre RPC (Porta TCP 135) para fins de resolução
- NetBIOS (porta UDP 137) para fins de resolução
Memória dinâmica
Nota
Ao executar serviços ATA como uma máquina virtual (VM), o serviço requer que toda a memória seja alocada para a VM, o tempo todo.
| VM em execução | Descrição |
|---|---|
| Hyper-V | Certifique-se de que Ativar memória dinâmica não está habilitado para a VM. |
| VMWare | Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a seguinte opção na configuração da VM – Reserve toda a memória de convidado (Toda bloqueada). |
| Outro host de virtualização | Consulte a documentação fornecida pelo fornecedor sobre como garantir que a memória seja totalmente alocada para a VM em todos os momentos. |
Se você executar o Centro do ATA como uma máquina virtual, desligue o servidor antes de criar um novo ponto de verificação para evitar possíveis danos ao banco de dados.
ATA Console
O acesso à Consola ATA é feito através de um browser, suportando os browsers e definições:
Internet Explorer versão 10 e superior
Microsoft Edge
Google Chrome 40 e superior
Resolução de largura de tela mínima de 1700 pixels