ATA のインストール - 手順 5
適用対象: Advanced Threat Analytics Version 1.9
ステップ 5: ATA ゲートウェイの設定を構成する
ATA ゲートウェイがインストールされたら、次の手順に従って ATA ゲートウェイの設定を構成します。
ATA コンソールで、[構成] に移動し、[システム] で [ゲートウェイ] を選択します。
構成するゲートウェイをクリックし、次の情報を入力します。
- 説明: ATA ゲートウェイの説明を入力します (オプション)。
- ポート ミラーリング化ドメイン コントローラー (FQDN) (ATA ゲートウェイに必要。これは ATA Lightweight Gateway からは変更できません): ドメイン コントローラーの完全な FQDN を入力し、プラス記号をクリックして、リストに追加します。 たとえば、dc01.contoso.com です。
次の情報は、ドメイン コントローラーのリストに入力したサーバーに適用されます。
トラフィックが ATA ゲートウェイによってポート ミラーリング経由で監視されるすべてのドメイン コントローラーは、[ドメイン コントローラー] リストに一覧される必要があります。 ドメイン コントローラーが、[ドメイン コントローラー] リストに一覧されていない場合は、不審なアクティビティの検出が想定どおりに機能していない場合があります。
リスト内の少なくとも 1 つのドメイン コントローラーはグローバル カタログである必要があります。 これにより、ATA はフォレスト内の他のドメイン内のコンピューター オブジェクトとユーザー オブジェクトを解決できます。
ネットワーク アダプターのキャプチャ (必須):
専用サーバー上の ATA ゲートウェイの場合は、宛先ミラーリング ポートとして構成されているネットワーク アダプターを選択します。 これらは、ミラーされたドメイン コントローラー トラフィックを受信します。
ATA Lightweight Gateway の場合、これは、組織内のその他コンピューターとの通信に使用されるすべてのネットワーク アダプターである必要があります。
ドメイン シンクロナイザー候補: ドメイン シンクロナイザー候補として設定予定の ATA ゲートウェイは、ATA と Active Directory ドメイン間の同期を担当します。 ドメインのサイズに応じて、初期同期に、時間がかかり、リソースが大量に消費される場合があります。 デフォルトでは、ATA ゲートウェイのみがドメイン シンクロナイザー候補として設定されます。 ドメイン シンクロナイザー候補からリモート サイトの ATA ゲートウェイを無効にすることが推奨されます。 ドメイン コントローラーが読み取り専用ではない場合、ドメイン シンクロナイザー候補を設定しないでください。 詳細については、「ATA アーキテクチャ」を参照してください。
Note
ATA ゲートウェイ サービスの初期起動には、数分かかる場合があります。これは、ネットワーク キャプチャ パーサーのキャッシュを構築するためです。 構成の変更は、次回スケジュールされている ATA ゲートウェイと ATA センター間の同期で ATA ゲートウェイに適用されます。
必要に応じて、Syslog リスナーと Windows イベント転送コレクションを設定できます。
ATA ゲートウェイの自動更新を有効にすると、次回のバージョン リリースで、ATA センターを更新する際に、ATA ゲートウェイが自動更新されます。
[保存] をクリックします。
インストールの検証
ATA ゲートウェイが正常にデプロイされたことを検証するには、次の手順をチェックします。
Microsoft Advanced Threat Analytics Gateway という名前のサービスが実行されているかを確認します。 ATA ゲートウェイの設定を保存したら、サービスが開始されるまでに数分かかる場合があります。
サービスが開始されない場合は、「%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs」デフォルト フォルダー内にある「Microsoft.Tri.Gateway-Errors.log」ファイルを見直して、サポートに向けて「ATA トラブルシューティング」を確認します。
これが最初にインストールされた ATA ゲートウェイの場合は、数分後に ATA コンソールにログインし、開いている画面の右側をスワイプして [通知] ペインを開きます。 コンソールの右側にある [通知] バーに [最近学習したエンティティ] のリストが表示されます。
デスクトップで、Microsoft Advanced Threat Analytics ショートカットをクリックして、ATA コンソールに接続します。 ATA センター インストール時と同じユーザー資格情報を使用してログインします。
コンソールの [検索] バーで、ドメインのユーザーやグループなど何かを検索します。
パフォーマンス モニターを開きます。 [パフォーマンス] ツリーで、[パフォーマンス モニター] をクリックして、プラス記号をクリックして、カウンターを追加します。 [Microsoft ATA Gateway] を展開して、[ネットワーク リスナー PEF キャプチャ メッセージ/秒]まで下にスクロールして、追加します。 次に、グラフにアクティビティが表示されていることを確認します。
ウイルス対策の除外を設定する
ATA ゲートウェイをインストールした後、ウイルス対策アプリケーションによって継続的にスキャンされないように ATA ディレクトリを除外します。 データベース内のデフォルトの場所は、**C:\Program Files\Microsoft Advanced Threat Analytics** です。
次のプロセスも AV スキャンから除外します。
プロセス
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
別のディレクトリに ATA をインストールした場合は、インストールに応じてフォルダー パスを変更します。