Planification de la capacité ATA

S’applique à : Advanced Threat Analytics version 1.9

Cet article vous aide à déterminer le nombre de serveurs ATA nécessaires pour surveiller votre réseau. Il vous aide à estimer le nombre de passerelles ATA et/ou de passerelles légères ATA dont vous avez besoin et la capacité du serveur pour votre Centre ATA et vos passerelles ATA.

Remarque

Le Centre ATA peut être déployé sur n'importe quel fournisseur IaaS tant que les exigences de performance décrites dans cet article sont respectées.

Utilisation de l’outil de dimensionnement

La méthode recommandée et la plus simple pour déterminer la capacité de votre déploiement ATA consiste à utiliser L’outil de dimensionnement ATA. Exécuter l’outil de dimensionnement ATA et à partir des résultats du fichier Excel, utiliser les champs suivants pour déterminer la capacité ATA dont vous avez besoin :

Sample capacity planning tool.

Remarque

Étant donné que les environnements varient et présentent de nombreuses caractéristiques spéciales et inattendues en matière de trafic réseau, après avoir déployé ATA et exécuté l'outil de dimensionnement, il se peut que vous deviez ajuster et affiner votre déploiement en termes de capacité.

Si vous ne pouvez pas utiliser l’outil de dimensionnement ATA, collectez manuellement les informations du compteur paquet/sec avec un intervalle de collecte faible (environ 5 secondes) à partir de tous vos contrôleurs de domaine pendant 24 heures. Ensuite, pour chaque contrôleur de domaine, calculez la moyenne journalière et la moyenne de la période la plus chargée (15 minutes). Les sections suivantes fournissent des instructions sur la collecte des paquets/sec à partir d’un contrôleur de domaine.

Remarque

Étant donné que les environnements varient et présentent de nombreuses caractéristiques spéciales et inattendues en matière de trafic réseau, après avoir déployé ATA et exécuté l'outil de dimensionnement, il se peut que vous deviez ajuster et affiner votre déploiement en termes de capacité.

Dimensionnement du Centre ATA

Le Centre ATA exige un minimum recommandé de 30 jours de données pour l'analyse comportementale des utilisateurs.

Paquets par seconde de tous les contexte de périphérique UC (cœur*) Mémoire (Go) Stockage de la base de données par jour (Go) Stockage de la base de données par mois (Go) IOPS**
1 000 2 32 0.3 9 30 (100)
40 000 4 48 12 360 500 (750)
200 000 8 64 60 1 800 1 000 (1 500)
400 000 12 96 120 3 600 2 000 (2 500)
750 000 24 112 225 6 750 2 500 (3 000)
1 000 000 40 128 300 9 000 4 000 (5 000)

*Il s'agit de cœurs physiques, et non de cœurs hyper-threadés.

**Nombres moyens (nombres maximal)

Remarque

  • Le Centre ATA peut gérer un maximum agrégé de 1M paquets par seconde à partir de tous les contrôleurs de domaine surveillés. Dans certains environnements, le même Centre ATA peut gérer le trafic global supérieur à 1M et certains environnements peuvent dépasser la capacité ATA. Contactez-nous à azureatpfeedback@microsoft.com pour obtenir de l’aide dans la planification et l’estimation de grands environnements.
  • Si votre espace libre atteint au minimum 20 % ou 200 Go, la plus ancienne collection de données est supprimée. S’il n’est pas possible de réduire la collection de données à ce niveau, une alerte est journalisée. ATA continuera de fonctionner jusqu’à ce que le seuil de 5 % ou 50 Go gratuit soit atteint. À ce stade, ATA cesse de remplir la base de données et une alerte supplémentaire sera émise.
  • Vous pouvez déployer le Centre ATA sur n’importe quel fournisseur IaaS si les exigences de performances décrites dans cet article sont remplies.
  • La latence de stockage pour les activités de lecture et d’écriture doit être inférieure à 10 ms.
  • Le ratio entre les activités de lecture et d’écriture est d’environ 1:3 inférieur à 100 000 paquets par seconde et de 1:6 au-dessus de 100 000 paquets par seconde.
  • Lorsque vous exécutez le Centre en tant que ordinateur virtuel (ordinateur virtuel), le Centre nécessite que toutes les mémoires soient allouées à l’ordinateur virtuel, à tout moment. Pour plus d’informations sur l’exécution du Centre ATA en tant qu’ordinateur virtuel, consultez la configuration requise pour le Centre ATA.
  • Pour des performances optimales, définissez Option d’alimentation du Centre ATA sur Haute performance.
  • Lorsque vous travaillez sur un serveur physique, la base de données ATA doit vous permettre de désactiver l’accès mémoire non uniforme (NUMA) dans le BIOS. Votre système peut faire référence à NUMA en tant qu’entrelacement de nœuds, auquel cas vous devez activer l’entrelacement de nœuds pour désactiver NUMA. Pour plus d'informations, consultez votre documentation BIOS. Cela n’est pas pertinent lorsque le Centre ATA s’exécute sur un serveur virtuel.

Choix du type de passerelle approprié pour votre déploiement

Dans un déploiement ATA, toute combinaison des types de passerelle ATA est prise en charge :

  • Seules les passerelles ATA
  • Seules les passerelles légères ATA
  • Une combinaison de ces deux cas

Lorsque vous décidez du type de déploiement de passerelle, tenez compte des avantages suivants :

Type de passerelle Avantages Coût Topologie du déploiement Utilisation du contrôleur de domaine
Passerelle ATA Le déploiement hors bande rend plus difficile pour les attaquants de découvrir ATA est présent Supérieure Installé en même temps que le contrôleur de domaine (hors bande) Prend en charge jusqu’à 50 000 paquets par seconde
Passerelle légère ATA Ne nécessite pas de configuration de serveur dédié et de miroir de port Lower Installé sur le contrôleur de domaine Prend en charge jusqu’à 10 000 paquets par seconde

Voici des exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle ATA Lightweight :

  • Sites de la branche

  • Contrôleurs de domaine virtuels déployés dans le cloud (IaaS)

Voici des exemples de scénarios dans lesquels les contrôleurs de domaine doivent être couverts par la passerelle ATA :

  • Centres de données de siège social (ayant des contrôleurs de domaine avec plus de 10 000 paquets par seconde)

Dimensionnement de passerelle légère ATA

Une passerelle légère ATA peut prendre en charge la surveillance d’un contrôleur de domaine en fonction de la quantité de trafic réseau généré par le contrôleur de domaine.

Paquets par seconde* UC (cœurs**) Mémoire (Go)***
1 000 2 6
5 000 6 16
10 000 10 24

*Nombre total de paquets par seconde sur le contrôleur de domaine surveillé par la passerelle légère ATA spécifique.

**Nombre total de cœurs non hyper threadés que ce contrôleur de domaine a installés.
Bien que l’hyper threading soit acceptable pour la passerelle ATA Lightweight, lors de la planification de la capacité, vous devez compter les cœurs réels et non les cœurs hyper threadés.

***Quantité totale de mémoire installée sur ce contrôleur de domaine.

Remarque

  • Si le contrôleur de domaine ne dispose pas des ressources requises par la passerelle ATA Lightweight, les performances du contrôleur de domaine ne sont pas affectées, mais la passerelle ATA Lightweight peut ne pas fonctionner comme prévu.
  • Lors de l’exécution de la passerelle en tant que ordinateur virtuel, la passerelle nécessite que toutes les mémoires soient allouées à la ordinateur virtuel, à tout moment. Pour plus d’informations sur l’exécution de la passerelle ATA en tant que ordinateur virtuel, consultez Exigences de la mémoire dynamique).
  • Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA Lightweight sur Haute performance.
  • Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés, y compris l’espace nécessaire pour les binaires ATA, les journaux d'activité ATA et les journaux d'activité d’analyse des performances.

Dimensionnement de la passerelle ATA

Tenez compte des problèmes suivants lors du choix du nombre de passerelles ATA à déployer.

  • Forêts et domaines Active Directory
    ATA peut surveiller le trafic à partir de plusieurs domaines à partir d’une seule forêt Active Directory. La surveillance de plusieurs forêts Active Directory nécessite des déploiements ATA distincts. Ne configurez pas de déploiement ATA unique pour surveiller le trafic réseau des contrôleurs de domaine provenant de différentes forêts.
  • Mise en miroir des ports
    Les considérations relatives à la mise en miroir des ports peuvent vous obliger à déployer plusieurs passerelles ATA par passerelle de données ou par site de succursale.
  • Capacité
    Une passerelle ATA peut prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau des contrôleurs de domaine surveillés.
Paquets par seconde* UC (cœurs**) Mémoire (Go)
1 000 1 6
5 000 2 10
10 000 3 12
20 000 6 24
50 000 16 48

*Nombre moyen total de paquets par seconde de tous les contrôleurs de domaine surveillés par la passerelle ATA spécifique pendant leur heure la plus chargée de la journée.

*La quantité totale de trafic des ports mis en miroir du contrôleur de domaine ne peut pas dépasser la capacité du NIC de capture sur la passerelle ATA.

**L’hyperthreading doit être désactivé.

Remarque

  • Lors de l’exécution de la passerelle en tant que ordinateur virtuel, la passerelle nécessite que toutes les mémoires soient allouées à la ordinateur virtuel, à tout moment. Pour plus d’informations sur l’exécution de la passerelle ATA en tant que ordinateur virtuel, consultez Exigences de la mémoire dynamique.
  • Pour des performances optimales, définissez l’option d’alimentation de la passerelle ATA sur Haute performance.
  • Un minimum de 5 Go d’espace est nécessaire et 10 Go sont recommandés, y compris l’espace nécessaire pour les binaires ATA, les journaux d'activité ATA et les journaux d'activité d’analyse des performances.

Voir aussi