Instalowanie usługi ATA — krok 5

Dotyczy: Advanced Threat Analytics w wersji 1.9

Krok 5. Konfigurowanie ustawień bramy usługi ATA

Po zainstalowaniu bramy usługi ATA wykonaj następujące kroki, aby skonfigurować ustawienia bramy usługi ATA.

1. W konsoli usługi ATA przejdź do pozycji Konfiguracja i w obszarze System wybierz pozycję Bramy.

   

2. Wybierz bramę, którą chcesz skonfigurować, i wprowadź następujące informacje:

   

   • Opis: wprowadź opis bramy usługi ATA (opcjonalnie).
   • Port dublowane kontrolery domeny (FQDN) (wymagane dla bramy usługi ATA, nie można zmienić dla uproszczonej bramy usługi ATA): wprowadź pełną nazwę FQDN kontrolera domeny i wybierz znak plus, aby dodać go do listy. Na przykład dc01.contoso.com

   Następujące informacje dotyczą serwerów wprowadzonych na liście Kontrolery domeny :

   • Wszystkie kontrolery domeny, których ruch jest monitorowany za pośrednictwem dublowania portów przez bramę usługi ATA, muszą być wymienione na liście Kontrolery domeny . Jeśli kontroler domeny nie znajduje się na liście Kontrolery domeny , wykrywanie podejrzanych działań może nie działać zgodnie z oczekiwaniami.

   • Co najmniej jeden kontroler domeny na liście powinien być wykazem globalnym. Dzięki temu usługa ATA może rozpoznawać obiekty komputerów i użytkowników w innych domenach w lesie.

   • Przechwytywanie kart sieciowych (wymagane):

   • W przypadku bramy usługi ATA na dedykowanym serwerze wybierz karty sieciowe skonfigurowane jako docelowy port dublowania. Odbierają one ruch dublowanego kontrolera domeny.

   • W przypadku uproszczonej bramy usługi ATA powinny to być wszystkie karty sieciowe używane do komunikacji z innymi komputerami w organizacji.

   • Kandydat synchronizatora domeny: każda brama usługi ATA ustawiona jako kandydat synchronizatora domeny może być odpowiedzialna za synchronizację między usługą ATA a domeną usługi Active Directory. W zależności od rozmiaru domeny początkowa synchronizacja może zająć trochę czasu i jest intensywnie obciążana zasobami. Domyślnie tylko bramy usługi ATA są ustawiane jako kandydaci synchronizatora domeny. Zaleca się wyłączenie wszystkich bram usługi ATA lokacji zdalnej z uprawnieniami synchronizatora domeny. Jeśli kontroler domeny jest tylko do odczytu, nie ustawiaj go jako kandydata synchronizatora domeny. Aby uzyskać więcej informacji, zobacz Architektura usługi ATA.

   Uwaga

   Uruchomienie usługi bramy usługi ATA po raz pierwszy po instalacji potrwa kilka minut, ponieważ tworzy pamięć podręczną analizatorów przechwytywania sieci. Zmiany konfiguracji są stosowane do bramy usługi ATA podczas następnej zaplanowanej synchronizacji między bramą usługi ATA a centrum usługi ATA.

3. Opcjonalnie można ustawić odbiornik Syslog i kolekcję przekazywania zdarzeń systemu Windows.

4. Włącz automatyczne aktualizowanie bramy usługi ATA , aby w nadchodzących wersjach po zaktualizowaniu centrum usługi ATA ta brama usługi ATA była automatycznie aktualizowana.

5. Wybierz Zapisz.

Weryfikowanie instalacji

Aby sprawdzić, czy brama usługi ATA została pomyślnie wdrożona, sprawdź następujące kroki:

1. Sprawdź, czy usługa o nazwie Zaawansowana analiza zagrożeń Microsoft Gateway jest uruchomiona. Po zapisaniu ustawień bramy usługi ATA uruchomienie usługi może potrwać kilka minut.

2. Jeśli usługa nie zostanie uruchomiona, przejrzyj plik "Microsoft.Tri.Gateway-Errors.log" znajdujący się w następującym folderze domyślnym"%programfiles%\Zaawansowana analiza zagrożeń Microsoft\Gateway\Logs" i sprawdź rozwiązywanie problemów z usługą ATA, aby uzyskać pomoc.

3. Jeśli jest to pierwsza zainstalowana brama usługi ATA, po kilku minutach zaloguj się do konsoli usługi ATA i otwórz okienko powiadomień, przesuwając prawą stronę otwartego ekranu. Na pasku powiadomień po prawej stronie konsoli powinna zostać wyświetlona lista jednostek ostatnio poznanych .

4. Na pulpicie wybierz skrót Zaawansowana analiza zagrożeń Microsoft, aby nawiązać połączenie z konsolą usługi ATA. Zaloguj się przy użyciu tych samych poświadczeń użytkownika, które zostały użyte do zainstalowania centrum usługi ATA.

5. W konsoli wyszukaj coś na pasku wyszukiwania, na przykład użytkownika lub grupę w domenie.

6. Otwórz monitor wydajności. W drzewie Wydajność wybierz pozycję monitor wydajności, a następnie wybierz ikonę plusa, aby dodać licznik. Rozwiń węzeł Brama usługi Microsoft ATA i przewiń w dół do pozycji Komunikaty przechwycone pef odbiornika sieci na sekundę i dodaj ją. Następnie upewnij się, że widzisz działanie na grafie.

   

Ustawianie wykluczeń antywirusowych

Po zainstalowaniu bramy usługi ATA wyklucz katalog usługi ATA z ciągłego skanowania przez aplikację antywirusową. Domyślna lokalizacja w bazie danych to: **C:\Program Files\Zaawansowana analiza zagrożeń Microsoft**.

Pamiętaj również o wykluczeniu następujących procesów ze skanowania av:

Procesów
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Jeśli usługa ATA została zainstalowana w innym katalogu, upewnij się, że ścieżki folderów zostały zmienione zgodnie z instalacją.

Zobacz też

• Przewodnik wdrażania usługi ATA POC
• Narzędzie do określania rozmiaru usługi ATA
• Zapoznaj się z forum usługi ATA!
• Konfigurowanie kolekcji zdarzeń
• Wymagania wstępne usługi ATA