Compartir a través de

Instalación de ATA: paso 5

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

« Paso 4Paso 6 »

Paso 5: Configuración de la puerta de enlace de ATA

Una vez instalada la puerta de enlace de ATA, realice los pasos siguientes para configurar los valores de la puerta de enlace de ATA.

  1. En la consola de ATA, vaya a Configuración y, en Sistema, seleccione Puertas de enlace.

    Configuración de la fase 1 de la puerta de enlace.

  2. Haga clic en la puerta de enlace que desea configurar y escriba la siguiente información:

    Configuración de la fase 2 de la puerta de enlace.

    • Descripción: escriba una descripción para la puerta de enlace de ATA (opcional).
    • Controladores de dominio reflejados en puerto (FQDN) (necesario para la puerta de enlace de ATA, esto no se puede cambiar para la puerta de enlace ligera de ATA): escriba el FQDN completo del controlador de dominio y haga clic en el signo más para agregarlo a la lista. Por ejemplo, dc01.contoso.com

    La siguiente información se aplica a los servidores especificados en la lista Controladores de dominio :

    • Todos los controladores de dominio cuyo tráfico se supervisa mediante la creación de reflejo de puertos mediante la puerta de enlace de ATA deben aparecer en la lista Controladores de dominio . Si un controlador de dominio no aparece en la lista Controladores de dominio , es posible que la detección de actividades sospechosas no funcione según lo esperado.

    • Al menos un controlador de dominio en la lista debería ser un catálogo global. Esto permite a ATA resolver objetos de equipo y de usuario en otros dominios del bosque.

    • Adaptadores de red de captura (necesarios):

    • Para una puerta de enlace de ATA en un servidor dedicado, seleccione los adaptadores de red configurados como puerto reflejado de destino. Reciben el tráfico del controlador de dominio reflejado.

    • Para una puerta de enlace ligera de ATA, debe ser todos los adaptadores de red que se usan para la comunicación con otros equipos de la organización.

    • Candidato del sincronizador de dominio: cualquier puerta de enlace de ATA establecida para ser candidata para el sincronizador de dominio puede ser responsable de la sincronización entre ATA y el dominio de Active Directory. En función del tamaño del dominio, la sincronización inicial puede tardar algún tiempo y consume muchos recursos. De forma predeterminada, solo las puertas de enlace de ATA se establecen como candidatos del sincronizador de dominio. Se recomienda deshabilitar las puertas de enlace de ATA de sitio remoto para que no sean candidatas del sincronizador de dominio. Si el controlador de dominio es de solo lectura, no lo establezca como candidato del sincronizador de dominio. Para obtener más información, vea Arquitectura de ATA.

    Nota:

    El servicio de puerta de enlace de ATA tardará unos minutos en iniciarse la primera vez después de la instalación, ya que compila la memoria caché de los analizadores de captura de red. Los cambios de configuración se aplican a la puerta de enlace de ATA en la siguiente sincronización programada entre la puerta de enlace de ATA y el Centro ATA.

  3. Opcionalmente, puede establecer el agente de escucha de Syslog y la colección de reenvío de eventos de Windows.

  4. Habilite Actualizar puerta de enlace de ATA automáticamente para que, en las próximas versiones, al actualizar el Centro ATA, esta puerta de enlace de ATA se actualice automáticamente.

  5. Haga clic en Guardar.

Validación de instalaciones

Para validar que la puerta de enlace de ATA se ha implementado correctamente, compruebe los pasos siguientes:

  1. Compruebe que se está ejecutando el servicio denominado Microsoft Advanced Threat Analytics Gateway. Después de guardar la configuración de la puerta de enlace de ATA, el servicio puede tardar unos minutos en iniciarse.

  2. Si el servicio no se inicia, revise el archivo "Microsoft.Tri.Gateway-Errors.log" ubicado en la siguiente carpeta predeterminada, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" y compruebe la solución de problemas de ATA para obtener ayuda.

  3. Si se trata de la primera puerta de enlace de ATA instalada, después de unos minutos, inicie sesión en la consola de ATA y abra el panel de notificaciones deslizando el lado derecho de la pantalla abierta. Debería ver una lista de entidades aprendidas recientemente en la barra de notificaciones del lado derecho de la consola.

  4. En el escritorio, haga clic en el acceso directo Microsoft Advanced Threat Analytics para conectarse a la consola de ATA. Inicie sesión con las mismas credenciales de usuario que usó para instalar el Centro ATA.

  5. En la consola, busque algo en la barra de búsqueda, como un usuario o un grupo en el dominio.

  6. Abra Monitor de rendimiento. En el árbol Rendimiento, haga clic en Monitor de rendimiento y, a continuación, haga clic en el icono más para Agregar un contador. Expanda Puerta de enlace de Microsoft ATA y desplácese hacia abajo hasta Mensajes capturados por PEF de agente de escucha de red/s y agréguelo. A continuación, asegúrese de que ve la actividad en el gráfico.

    Agregar imagen de contadores de rendimiento.

Establecer exclusiones antivirus

Después de instalar la puerta de enlace de ATA, excluya el directorio de ATA de que la aplicación antivirus analice continuamente. La ubicación predeterminada de la base de datos es: **C:\Archivos de programa\Microsoft Advanced Threat Analytics**.

Asegúrese de excluir también los siguientes procesos del examen de AV:

Procesos
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Si instaló ATA en otro directorio, asegúrese de cambiar las rutas de acceso de carpeta según la instalación.

« Paso 4Paso 6 »

Recursos adicionales