ATA 容量规划
适用于:高级威胁分析版本 1.9
本文可帮助你确定需要多少个 ATA 服务器来监视网络。 它可帮助你估计需要多少个 ATA 网关和/或 ATA 轻型网关,以及 ATA 中心和 ATA 网关的服务器容量。
注意
只要满足本文中所述的性能要求,就可以在任何 IaaS 供应商上部署 ATA 中心。
使用大小调整工具
确定 ATA 部署容量的建议且最简单的方法是使用 ATA 大小调整工具。 运行 ATA 大小调整工具,并从 Excel 文件结果中使用以下字段确定所需的 ATA 容量:
ATA 中心 CPU 和内存:将 ATA 中心表结果文件中的“忙碌数据包数/秒”字段与 ATA 中心表中的“每秒数据包数”字段匹配。
ATA 中心存储:将 ATA 中心表结果文件中的“平均数据包数/秒”字段与 ATA 中心表中的“每秒数据包数”字段匹配。
ATA 网关:根据所选的网关类型,将结果文件中 ATA 网关表中的“忙碌数据包/秒”字段与 ATA 网关表或 ATA 轻型网关表中的“每秒数据包数”字段相匹配。
注意
由于不同的环境各不相同,并且具有多个特殊和意外的网络流量特征,因此在最初部署 ATA 并运行大小调整工具后,可能需要调整和微调部署容量。
如果无法使用 ATA 大小调整工具,请手动收集数据包/秒计数器信息,收集间隔 (大约 5 秒,) 所有域控制器 24 小时。 然后,为每个域控制器计算每日平均值和最繁忙的时段 (15 分钟) 平均值。 以下部分提供了有关如何从一个域控制器收集数据包/秒计数器的说明。
注意
由于不同的环境各不相同,并且具有多个特殊和意外的网络流量特征,因此在最初部署 ATA 并运行大小调整工具后,可能需要调整和微调部署容量。
ATA 中心大小调整
ATA 中心需要至少 30 天的数据用于用户行为分析。
| 来自所有 DC 的每秒数据包数 | CPU (核心*) | 内存 (GB) | 每日数据库存储 (GB) | 每月数据库存储 (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*这包括物理核心,而不是超线程核心。
**) (峰值数字的平均数
注意
- ATA 中心每秒可以处理来自所有受监视域控制器的最多 100 万个数据包。 在某些环境中,同一 ATA 中心可以处理大于 1M 的总体流量,某些环境可能超过 ATA 容量。 如需规划和估算大型环境方面的帮助,请通过 联系我们 azureatpfeedback@microsoft.com 。
- 如果可用空间达到最小 20% 或 200 GB,则会删除最早的数据集合。 如果无法成功将数据收集减少到此级别,则会记录警报。 ATA 将继续运行,直到达到 5% 或 50 GB 可用阈值。 此时,ATA 将停止填充数据库,并将发出其他警报。
- 如果满足本文中所述的性能要求,可以在任何 IaaS 供应商上部署 ATA 中心。
- 读取和写入活动的存储延迟应低于 10 毫秒。
- 读取和写入活动之间的比率约为每秒 100,000 个数据包以下的 1:3,每秒 100,000 个数据包以上为 1:6。
- 将中心作为虚拟机 (VM 运行) 中心要求所有内存一直分配给 VM。 有关将 ATA Center 作为虚拟机运行的详细信息,请参阅 ATA 中心要求。
- 为了获得最佳性能,请将 ATA 中心的 电源选项 设置为 “高性能”。
- 在物理服务器上工作时,ATA 数据库需要你在 BIOS 中 禁用 非统一内存访问 (NUMA) 。 系统可能将 NUMA 称为节点交错,在这种情况下,必须 启用 节点交错才能禁用 NUMA。 有关详细信息,请参阅 BIOS 文档。 当 ATA 中心在虚拟服务器上运行时,这不相关。
为部署选择正确的网关类型
在 ATA 部署中,支持 ATA 网关类型的任意组合:
- 仅 ATA 网关
- 仅 ATA 轻型网关
- 两者的组合
确定网关部署类型时,请考虑以下优势:
| 网关类型 | 优点 | 成本 | 部署拓扑 | 域控制器使用 |
|---|---|---|---|---|
| ATA 网关 | 带外部署使攻击者更难发现 ATA 存在 | Higher | 随域控制器一起安装 (带外) | 每秒最多支持 50,000 个数据包 |
| ATA 轻型网关 | 不需要专用服务器和端口镜像配置 | Lower | 安装在域控制器上 | 每秒最多支持 10,000 个数据包 |
下面是 ATA 轻型网关应涵盖域控制器的方案示例:
分支站点
部署在云中的虚拟域控制器 (IaaS)
下面是 ATA 网关应涵盖域控制器的方案示例:
- 总部数据中心 (具有每秒超过 10,000 个数据包的域控制器)
ATA 轻型网关大小调整
ATA 轻型网关可以根据域控制器生成的网络流量支持监视一个域控制器。
| 每秒数据包数* | CPU (核心**) | 内存 (GB) *** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*特定 ATA 轻型网关正在监视的域控制器上每秒的数据包总数。
**此域控制器已安装的非超线程核心总数。
虽然超线程对于 ATA 轻型网关是可以接受的,但规划容量时,应计算实际核心数,而不是超线程核心数。
此域控制器已安装的内存总量。
注意
ATA 网关大小调整
确定要部署的 ATA 网关数时,请考虑以下问题。
-
Active Directory 林和域
ATA 可以监视来自单个 Active Directory 林的多个域的流量。 监视多个 Active Directory 林需要单独的 ATA 部署。 不要配置单个 ATA 部署来监视来自不同林的域控制器的网络流量。 -
端口镜像
端口镜像注意事项可能需要为每个数据网关或分支站点部署多个 ATA 网关。 -
容量
ATA 网关可以支持监视多个域控制器,具体取决于要监视的域控制器的网络流量量。
| 每秒数据包数* | CPU (核心**) | 内存 (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*特定 ATA 网关在其一天中最繁忙的时段内,来自所有域控制器的每秒平均数据包数。
*域控制器端口镜像流量的总量不能超过 ATA 网关上捕获 NIC 的容量。
**必须禁用超线程。
注意