Trabajar con la consola de ATA
Se aplica a: Advanced Threat Analytics versión 1.9
Use la consola de ATA para supervisar y responder a la actividad sospechosa detectada por ATA.
Al escribir la ? tecla se proporcionan métodos abreviados de teclado para la accesibilidad del portal de ATA.
Habilitación del acceso a la consola de ATA
Para iniciar sesión correctamente en la consola de ATA, debe iniciar sesión con un usuario al que se le asignó el rol ATA adecuado para acceder a la consola de ATA. Para obtener más información sobre el control de acceso basado en rol (RBAC) en ATA, vea Trabajar con grupos de roles de ATA.
Inicio de sesión en la consola de ATA
Nota:
A partir de ATA 1.8, el proceso de inicio de sesión en la consola de ATA se realiza mediante el inicio de sesión único.
En el servidor del Centro ATA, haga clic en el icono de consola de Microsoft ATA en el escritorio o abra un explorador y vaya a la consola de ATA.
Nota:
También puede abrir un explorador desde el Centro ATA o la puerta de enlace de ATA y buscar la dirección IP que configuró en la instalación del Centro ATA para la consola de ATA.
Si el equipo en el que está instalado el Centro ATA y el equipo desde el que intenta acceder a la consola de ATA están unidos a un dominio, ATA admite el inicio de sesión único integrado con autenticación de Windows: si ya ha iniciado sesión en el equipo, ATA usa ese token para iniciar sesión en la consola de ATA. También puede iniciar sesión con una tarjeta inteligente. Los permisos de ATA se corresponden con el rol de administrador.
Nota:
Asegúrese de iniciar sesión en el equipo desde el que desea acceder a la consola de ATA mediante el nombre de usuario y la contraseña del administrador de ATA. Como alternativa, puede ejecutar el explorador como un usuario diferente o cerrar la sesión de Windows e iniciar sesión con el usuario administrador de ATA. Para solicitar a la consola de ATA que solicite credenciales, acceda a la consola mediante una dirección IP y se le pedirá que escriba las credenciales.
Para iniciar sesión con SSO, asegúrese de que el sitio de consola de ATA se define como un sitio de intranet local en el explorador y que tiene acceso a él mediante un nombre corto o un host local.
Nota:
Además de registrar cada actividad sospechosa y alerta de estado, cada cambio de configuración que realice en la consola de ATA se audita en el registro de eventos de Windows en la máquina del Centro ATA, en Registro de aplicaciones y servicios y, a continuación, Microsoft ATA. Cada inicio de sesión en la consola de ATA también se audita.
La configuración que afecta a la puerta de enlace de ATA también se registra en el registro de eventos de Windows de la máquina de puerta de enlace de ATA.
La consola de ATA
La consola de ATA proporciona una vista rápida de todas las actividades sospechosas en orden cronológico. Permite explorar en profundidad los detalles de cualquier actividad y realizar acciones basadas en esas actividades. La consola también muestra alertas y notificaciones para resaltar problemas con la red ATA o nuevas actividades que se consideran sospechosas.
Estos son los elementos clave de la consola de ATA.
Línea de tiempo de ataque
Esta es la página de aterrizaje predeterminada a la que se le lleva al iniciar sesión en la consola de ATA. De forma predeterminada, todas las actividades sospechosas abiertas se muestran en la línea de tiempo de ataque. Puede filtrar la línea de tiempo de ataque para mostrar todas las actividades sospechosas, abiertas, descartadas o suprimidas. También puede ver la gravedad asignada a cada actividad.
Para obtener más información, consulte Trabajar con actividades sospechosas.
Barra de notificaciones
Cuando se detecta una nueva actividad sospechosa, la barra de notificaciones se abre automáticamente en el lado derecho. Si hay nuevas actividades sospechosas desde la última vez que inició sesión, la barra de notificaciones se abrirá después de haber iniciado sesión correctamente. Puede hacer clic en la flecha de la derecha en cualquier momento para acceder a la barra de notificaciones.
Novedades
Una vez publicada una nueva versión de ATA, aparece la ventana Novedades en la parte superior derecha para informarle de lo que se agregó en la versión más reciente. También proporciona un vínculo a la descarga de la versión.
Panel de filtrado
Puede filtrar qué actividades sospechosas se muestran en la línea de tiempo de ataque o mostrarse en la pestaña actividades sospechosas del perfil de entidad en función del estado y la gravedad.
Barra de búsqueda
En el menú superior, puede encontrar una barra de búsqueda. Puede buscar un usuario, equipo o grupos específicos en ATA. Para probarlo, empiece a escribir.
Centro de salud
El Centro de mantenimiento proporciona alertas cuando algo no funciona correctamente en la implementación de ATA.
Cada vez que el sistema encuentra un problema, como un error de conectividad o una puerta de enlace de ATA desconectada, el icono del Centro de mantenimiento le permite saber mediante la visualización de un punto rojo.
Grupos confidenciales
ATA considera confidencial la siguiente lista de grupos. Cualquier entidad que sea miembro de estos grupos se considera confidencial:
- Controladores de dominio de solo lectura empresariales
- Administradores de dominio
- Controladores de dominio
- Administradores de esquema,
- Administradores de la empresa
- propietarios de creadores de directiva de grupo
- Controladores de dominio de solo lectura
- Administradores
- Usuarios avanzados
- Operadores de cuenta
- Operadores de servidor
- Operadores de impresión,
- Operadores de copia de seguridad,
- Replicadores
- Usuarios de Escritorio remoto
- Operadores de configuración de red
- Generadores de confianza de bosques entrantes
- Administradores de DNS
Perfil mini
Si mantiene el mouse sobre una entidad, en cualquier lugar de la consola en la que se presenta una sola entidad, como un usuario o un equipo, se abre automáticamente un mini perfil que muestra la siguiente información si está disponible:
Nombre
Imagen
Correo electrónico
Teléfono
Número de actividades sospechosas por gravedad