Installare ATA - Passaggio 5
Si applica a: Advanced Threat Analytics versione 1.9
Passaggio 5: Configurare le impostazioni del gateway ATA
Dopo aver installato il gateway ATA, seguire questa procedura per configurare le impostazioni per il gateway ATA.
Nella console ATA passare a Configurazione e, in Sistema, selezionare Gateway.
Fare clic sul gateway da configurare e immettere le informazioni seguenti:
- Descrizione: immettere una descrizione per il gateway ATA (facoltativo).
- Controller di dominio con mirroring della porta (FQDN) ( obbligatorio per il gateway ATA, non può essere modificato per il gateway ATA Lightweight): immettere l'FQDN completo del controller di dominio e fare clic sul segno più per aggiungerlo all'elenco. Ad esempio, dc01.contoso.com
Le informazioni seguenti si applicano ai server immessi nell'elenco Controller di dominio :
Tutti i controller di dominio il cui traffico viene monitorato tramite il mirroring delle porte dal gateway ATA devono essere elencati nell'elenco Controller di dominio . Se un controller di dominio non è elencato nell'elenco Controller di dominio , il rilevamento di attività sospette potrebbe non funzionare come previsto.
Almeno un controller di dominio nell'elenco deve essere un catalogo globale. In questo modo ATA può risolvere gli oggetti computer e utente in altri domini della foresta.
Acquisire schede di rete (obbligatorio):
Per un gateway ATA in un server dedicato, selezionare le schede di rete configurate come porta mirror di destinazione. Questi ricevono il traffico del controller di dominio con mirroring.
Per un gateway ATA Lightweight, queste devono essere tutte le schede di rete usate per la comunicazione con altri computer dell'organizzazione.
Candidato per il programma di sincronizzazione del dominio: qualsiasi gateway ATA impostato come candidato per il programma di sincronizzazione del dominio può essere responsabile della sincronizzazione tra ATA e il dominio di Active Directory. A seconda delle dimensioni del dominio, la sincronizzazione iniziale potrebbe richiedere del tempo ed è a elevato utilizzo di risorse. Per impostazione predefinita, solo i gateway ATA vengono impostati come candidati del programma di sincronizzazione del dominio. È consigliabile disabilitare tutti i gateway ATA del sito remoto da candidati per la sincronizzazione del dominio. Se il controller di dominio è di sola lettura, non impostarlo come candidato per il programma di sincronizzazione del dominio. Per altre informazioni, vedere Architettura di ATA.
Nota
L'avvio del servizio gateway ATA richiederà alcuni minuti la prima volta dopo l'installazione, perché compila la cache dei parser di acquisizione di rete. Le modifiche alla configurazione vengono applicate al gateway ATA nella successiva sincronizzazione pianificata tra il gateway ATA e il Centro ATA.
Facoltativamente, è possibile impostare il listener Syslog e la raccolta di inoltro eventi di Windows.
Abilitare aggiorna automaticamente il gateway ATA in modo che nelle versioni future quando si aggiorna ATA Center, questo gateway ATA venga aggiornato automaticamente.
Fare clic su Salva.
Convalidare le installazioni
Per verificare che il gateway ATA sia stato distribuito correttamente, seguire questa procedura:
Verificare che il servizio denominato Microsoft Advanced Threat Analytics Gateway sia in esecuzione. Dopo aver salvato le impostazioni del gateway ATA, l'avvio del servizio potrebbe richiedere alcuni minuti.
Se il servizio non viene avviato, esaminare il file "Microsoft.Tri.Gateway-Errors.log" disponibile nella cartella predefinita seguente, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" e Controllare la risoluzione dei problemi di ATA per ottenere assistenza.
Se si tratta del primo gateway ATA installato, dopo alcuni minuti accedere alla console ATA e aprire il riquadro di notifica scorrendo rapidamente il lato destro dello schermo aperto. Verrà visualizzato un elenco di entità apprese di recente nella barra di notifica sul lato destro della console.
Sul desktop fare clic sul collegamento Microsoft Advanced Threat Analytics per connettersi alla console ATA. Accedere con le stesse credenziali utente usate per installare ATA Center.
Nella console cercare qualcosa nella barra di ricerca, ad esempio un utente o un gruppo nel dominio.
Aprire Monitor prestazioni. Nell'albero Delle prestazioni fare clic su Monitor prestazioni e quindi sull'icona più per Aggiungere un contatore. Espandere Il gateway Microsoft ATA e scorrere verso il basso fino a Messaggi acquisiti da PEF del listener di rete/sec e aggiungerlo. Assicurarsi quindi di visualizzare l'attività nel grafico.
Impostare esclusioni antivirus
Dopo aver installato il gateway ATA, escludere la directory ATA dall'analisi continua da parte dell'applicazione antivirus. Il percorso predefinito nel database è: **C:\Programmi\Microsoft Advanced Threat Analytics**.
Assicurarsi di escludere anche i processi seguenti dall'analisi AV:
Processi
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
Se ATA è stato installato in una directory diversa, assicurarsi di modificare i percorsi delle cartelle in base all'installazione.