Partager via


Installer ATA - Étape 5

S’applique à : Advanced Threat Analytics version 1.9

Étape 5 : Configurer les paramètres de la passerelle ATA

Une fois la passerelle ATA installée, procédez comme suit pour configurer les paramètres de la passerelle ATA.

  1. Dans la console ATA, accédez à Configuration et, sous Système, sélectionnez Passerelles.

    Configurer la phase 1 des paramètres de passerelle.

  2. Cliquez sur la passerelle que vous souhaitez configurer et entrez les informations suivantes :

    Configurer la phase 2 des paramètres de passerelle.

    • Description : entrez une description de la passerelle ATA (facultatif).
    • Contrôleurs de domaine en miroir de ports (FQDN) (requis pour la passerelle ATA, cela ne peut pas être modifié pour la passerelle légère ATA) : entrez le nom de domaine complet de votre contrôleur de domaine et cliquez sur le signe plus pour l’ajouter à la liste. Par exemple, dc01.contoso.com

    Les informations suivantes s’appliquent aux serveurs que vous entrez dans la liste Contrôleurs de domaine :

    • Tous les contrôleurs de domaine dont le trafic est surveillé via la mise en miroir de ports par la passerelle ATA doivent être répertoriés dans la liste Contrôleurs de domaine . Si un contrôleur de domaine n’est pas répertorié dans la liste Contrôleurs de domaine , la détection des activités suspectes peut ne pas fonctionner comme prévu.

    • Au moins un contrôleur de domaine dans la liste doit être un catalogue global. Cela permet à ATA de résoudre les objets ordinateur et utilisateur dans d’autres domaines de la forêt.

    • Capturer les cartes réseau (obligatoire) :

    • Pour une passerelle ATA sur un serveur dédié, sélectionnez les cartes réseau configurées comme port de destination miroir. Ceux-ci reçoivent le trafic du contrôleur de domaine mis en miroir.

    • Pour une passerelle légère ATA, il doit s’agir de toutes les cartes réseau utilisées pour la communication avec d’autres ordinateurs de votre organization.

    • Candidat synchronisateur de domaine : toute passerelle ATA définie comme candidat synchronisateur de domaine peut être responsable de la synchronisation entre ATA et votre domaine Active Directory. Selon la taille du domaine, la synchronisation initiale peut prendre un certain temps et nécessite beaucoup de ressources. Par défaut, seules les passerelles ATA sont définies en tant que candidats synchronisateur de domaine. Il est recommandé de désactiver les passerelles ATA de site distant qui ne sont pas candidates au synchronisateur de domaine. Si votre contrôleur de domaine est en lecture seule, ne le définissez pas comme candidat synchronisateur de domaine. Pour plus d’informations, consultez Architecture ATA.

    Remarque

    Il faudra quelques minutes pour que le service de passerelle ATA démarre la première fois après l’installation, car il génère le cache des analyseurs de capture réseau. Les modifications de configuration sont appliquées à la passerelle ATA lors de la prochaine synchronisation planifiée entre la passerelle ATA et le centre ATA.

  3. Si vous le souhaitez, vous pouvez définir l’écouteur Syslog et la collection de transfert d’événements Windows.

  4. Activez Mettre à jour automatiquement la passerelle ATA afin que dans les versions à venir lorsque vous mettez à jour le centre ATA, cette passerelle ATA soit automatiquement mise à jour.

  5. Cliquez sur Save (Enregistrer).

Valider les installations

Pour vérifier que la passerelle ATA a été correctement déployée, case activée les étapes suivantes :

  1. Vérifiez que le service nommé Microsoft Advanced Threat Analytics Gateway est en cours d’exécution. Après avoir enregistré les paramètres de la passerelle ATA, le démarrage du service peut prendre quelques minutes.

  2. Si le service ne démarre pas, passez en revue le fichier « Microsoft.Tri.Gateway-Errors.log » situé dans le dossier par défaut suivant, « %programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs », puis consultez résolution des problèmes ATA pour obtenir de l’aide.

  3. S’il s’agit de la première passerelle ATA installée, au bout de quelques minutes, connectez-vous à la console ATA et ouvrez le volet de notification en balayant le côté droit de l’écran. Vous devez voir une liste des entités récemment apprises dans la barre de notification sur le côté droit de la console.

  4. Sur le Bureau, cliquez sur le raccourci Microsoft Advanced Threat Analytics pour vous connecter à la console ATA. Connectez-vous avec les mêmes informations d’identification utilisateur que celles que vous avez utilisées pour installer le centre ATA.

  5. Dans la console, recherchez un élément dans la barre de recherche, tel qu’un utilisateur ou un groupe sur votre domaine.

  6. Ouvrez Analyseur de performances. Dans l’arborescence Performances, cliquez sur Analyseur de performances, puis cliquez sur l’icône plus pour Ajouter un compteur. Développez Passerelle Microsoft ATA , faites défiler jusqu’à Messages capturés PEF/s de l’écouteur réseau et ajoutez-le. Ensuite, vérifiez que vous voyez l’activité sur le graphique.

    Ajouter une image de compteurs de performances.

Définir des exclusions antivirus

Après avoir installé la passerelle ATA, excluez l’analyse continue du répertoire ATA par votre application antivirus. L’emplacement par défaut dans la base de données est : **C :\Program Files\Microsoft Advanced Threat Analytics**.

Veillez également à exclure les processus suivants de l’analyse AV :

Processus
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Si vous avez installé ATA dans un autre répertoire, veillez à modifier les chemins d’accès aux dossiers en fonction de votre installation.

Voir aussi