Uso della console ATA
Si applica a: Advanced Threat Analytics versione 1.9
Usare la console ATA per monitorare e rispondere alle attività sospette rilevate da ATA.
La digitazione del ? tasto fornisce tasti di scelta rapida per l'accessibilità del portale ATA.
Abilitazione dell'accesso alla console ATA
Per accedere correttamente alla console ATA, è necessario accedere con un utente a cui è stato assegnato il ruolo ATA appropriato per accedere alla console ATA. Per altre informazioni sul controllo degli accessi in base al ruolo in ATA, vedere Uso dei gruppi di ruoli ATA.
Accesso alla console ATA
Nota
A partire da ATA 1.8, il processo di accesso alla console ATA viene eseguito usando l'accesso Single Sign-On.
Nel server ATA Center fare clic sull'icona console di Microsoft ATA sul desktop oppure aprire un browser e passare alla console ATA.
Nota
È anche possibile aprire un browser dal Centro ATA o dal gateway ATA e passare all'indirizzo IP configurato nell'installazione di ATA Center per la console ATA.
Se il computer in cui è installato ATA Center e il computer da cui si sta tentando di accedere alla console ATA sono entrambi aggiunti a un dominio, ATA supporta l'accesso Single Sign-On integrato con autenticazione di Windows, se è già stato eseguito l'accesso al computer, ATA usa tale token per accedere alla console ATA. È anche possibile accedere usando una smart card. Le autorizzazioni in ATA corrispondono al ruolo di amministratore.
Nota
Assicurarsi di accedere al computer da cui si vuole accedere alla console ATA usando il nome utente e la password dell'amministratore di ATA. In alternativa, è possibile eseguire il browser come utente diverso o disconnettersi da Windows e accedere con l'utente amministratore di ATA. Per richiedere alla console ATA di richiedere le credenziali, accedere alla console usando un indirizzo IP e viene richiesto di immettere le credenziali.
Per accedere usando l'accesso SSO, verificare che il sito della console ATA sia definito come sito Intranet locale nel browser e che sia possibile accedervi usando un nome breve o un localhost.
Nota
Oltre a registrare ogni attività sospetta e ogni avviso di integrità, ogni modifica alla configurazione apportata nella console di ATA viene verificata nel registro eventi di Windows nel computer ATA Center, nel log applicazioni e servizi e quindi in Microsoft ATA. Viene controllato anche ogni account di accesso alla console ATA.
La configurazione che interessa il gateway ATA viene registrata anche nel registro eventi di Windows del computer del gateway ATA.
The ATA Console
La console ATA offre una visualizzazione rapida di tutte le attività sospette in ordine cronologico. Consente di analizzare i dettagli di qualsiasi attività ed eseguire azioni in base a tali attività. La console visualizza anche avvisi e notifiche per evidenziare i problemi relativi alla rete ATA o alle nuove attività ritenute sospette.
Questi sono gli elementi chiave della console ATA.
Linea temporale di attacco
Questa è la pagina di destinazione predefinita a cui si accede quando si accede alla console ATA. Per impostazione predefinita, tutte le attività sospette aperte vengono visualizzate sulla linea temporale dell'attacco. È possibile filtrare la riga temporale dell'attacco per visualizzare tutte le attività sospette, aperte, ignorate o eliminate. È anche possibile visualizzare la gravità assegnata a ogni attività.
Per altre informazioni, vedere Utilizzo di attività sospette.
Barra di notifica
Quando viene rilevata una nuova attività sospetta, la barra di notifica si apre automaticamente sul lato destro. Se sono presenti nuove attività sospette dall'ultima volta che è stato effettuato l'accesso, la barra di notifica verrà aperta dopo aver eseguito correttamente l'accesso. È possibile fare clic sulla freccia a destra in qualsiasi momento per accedere alla barra di notifica.
Novità
Dopo il rilascio di una nuova versione di ATA, la finestra Novità viene visualizzata in alto a destra per indicare cosa è stato aggiunto nella versione più recente. Fornisce anche un collegamento al download della versione.
Pannello filtro
È possibile filtrare le attività sospette visualizzate nella riga dell'ora di attacco o visualizzate nella scheda Attività sospette del profilo di entità in base allo stato e alla gravità.
Barra di ricerca
Nel menu in alto è possibile trovare una barra di ricerca. È possibile cercare un utente, un computer o gruppi specifici in ATA. Per provare, è sufficiente iniziare a digitare.
Centro integrità
Il Centro integrità fornisce avvisi quando qualcosa non funziona correttamente nella distribuzione ATA.
Ogni volta che il sistema rileva un problema, ad esempio un errore di connettività o un gateway ATA disconnesso, l'icona del Centro integrità consente di visualizzare un punto rosso.
Gruppi sensibili
L'elenco di gruppi seguente viene considerato sensibile da ATA. Qualsiasi entità membro di questi gruppi viene considerata sensibile:
- Controller di dominio enterprise di sola lettura
- Domain Admins
- Controller di dominio
- Amministratori dello schema,
- Amministratori Enterprise
- proprietari di Criteri di gruppo Creator
- Controller di dominio di sola lettura
- Amministratori
- Utenti di Power
- Operatori account
- Operatori server
- Operatori di stampa,
- Operatori di backup,
- Replicatori
- Utenti di Desktop remoto
- Operatori di configurazione di rete
- Generatore di attendibilità foresta in ingresso
- Amministratori DNS
Mini profilo
Se si passa il mouse su un'entità, in un punto qualsiasi della console in cui è presente una singola entità, ad esempio un utente o un computer, viene visualizzato automaticamente un mini profilo che visualizza le informazioni seguenti, se disponibili:
Nome
Immagine
Posta elettronica
Telefono
Numero di attività sospette per gravità