ATA 설치 - 5단계
적용 대상: Advanced Threat Analytics 버전 1.9
5단계: ATA 게이트웨이 설정 구성
ATA 게이트웨이를 설치한 후 다음 단계를 수행하여 ATA 게이트웨이에 대한 설정을 구성합니다.
ATA 콘솔에서 구성 으로 이동하고 시스템 아래에서 게이트웨이를 선택합니다.
구성하려는 게이트웨이를 클릭하고 다음 정보를 입력합니다.
- 설명: ATA 게이트웨이에 대한 설명을 입력합니다(선택 사항).
- 포트 미러된 도메인 컨트롤러(FQDN) (ATA 게이트웨이에 필요하므로 ATA 경량 게이트웨이에 대해 변경할 수 없음): 도메인 컨트롤러의 전체 FQDN을 입력하고 더하기 기호를 클릭하여 목록에 추가합니다. 예를 들어 dc01.contoso.com
다음 정보는 도메인 컨트롤러 목록에 입력하는 서버에 적용됩니다.
ATA 게이트웨이에서 포트 미러링을 통해 트래픽을 모니터링하는 모든 도메인 컨트롤러는 도메인 컨트롤러 목록에 나열되어야 합니다. 도메인 컨트롤러가 도메인 컨트롤러 목록에 나열되지 않은 경우 의심스러운 활동 검색이 예상대로 작동하지 않을 수 있습니다.
목록의 하나 이상의 도메인 컨트롤러가 글로벌 카탈로그여야 합니다. 이렇게 하면 ATA가 포리스트의 다른 도메인에 있는 컴퓨터 및 사용자 개체를 resolve 수 있습니다.
네트워크 어댑터 캡처(필수):
전용 서버의 ATA 게이트웨이에 대해 대상 미러 포트로 구성된 네트워크 어댑터를 선택합니다. 미러된 도메인 컨트롤러 트래픽을 수신합니다.
ATA 경량 게이트웨이의 경우 organization 다른 컴퓨터와의 통신에 사용되는 모든 네트워크 어댑터여야 합니다.
도메인 동기화 장치 후보: 도메인 동기화 장치 후보로 설정된 모든 ATA 게이트웨이는 ATA와 Active Directory 도메인 간의 동기화를 담당할 수 있습니다. 도메인의 크기에 따라 초기 동기화에 다소 시간이 걸릴 수 있으며 리소스를 많이 사용합니다. 기본적으로 ATA 게이트웨이만 도메인 동기화기 후보로 설정됩니다. 원격 사이트 ATA 게이트웨이가 도메인 동기화 장치 후보가 되지 않도록 설정하는 것이 좋습니다. 도메인 컨트롤러가 읽기 전용인 경우 도메인 동기화 장치 후보로 설정하지 마세요. 자세한 내용은 ATA 아키텍처를 참조하세요.
참고
ATA 게이트웨이 서비스가 네트워크 캡처 파서의 캐시를 빌드하기 때문에 설치 후 처음으로 시작하는 데 몇 분 정도 걸립니다. 구성 변경 내용은 ATA 게이트웨이와 ATA 센터 간의 다음 예약된 동기화에서 ATA 게이트웨이에 적용됩니다.
필요에 따라 Syslog 수신기 및 Windows 이벤트 전달 컬렉션을 설정할 수 있습니다.
ATA 센터를 업데이트할 때 예정된 버전 릴리스에서 이 ATA 게이트웨이가 자동으로 업데이트되도록 ATA 게이트웨이 업데이트를 자동으로 사용하도록 설정합니다.
저장을 클릭합니다.
설치 유효성 검사
ATA 게이트웨이가 성공적으로 배포되었는지 확인하려면 다음 단계를 검사.
Microsoft Advanced Threat Analytics Gateway라는 서비스가 실행 중인지 확인합니다. ATA 게이트웨이 설정을 저장한 후 서비스를 시작하는 데 몇 분 정도 걸릴 수 있습니다.
서비스가 시작되지 않으면 기본 폴더 "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs"에 있는 "Microsoft.Tri.Gateway-Errors.log" 파일을 검토하고 ATA 문제 해결 에서 도움을 확인합니다.
설치된 첫 번째 ATA 게이트웨이인 경우 몇 분 후 ATA 콘솔에 로그인하고 화면 오른쪽을 살짝 밀어 알림 창을 엽니다. 콘솔 오른쪽의 알림 표시줄에 최근에 학습한 엔터티 목록이 표시됩니다.
바탕 화면에서 Microsoft Advanced Threat Analytics 바로 가기를 클릭하여 ATA 콘솔에 연결합니다. ATA 센터를 설치하는 데 사용한 것과 동일한 사용자 자격 증명으로 로그인합니다.
콘솔에서 검색 창에서 도메인의 사용자 또는 그룹과 같은 항목을 검색합니다.
성능 모니터 엽니다. 성능 트리에서 성능 모니터 클릭한 다음 더하기 아이콘을 클릭하여 카운터 추가를 클릭합니다. Microsoft ATA 게이트웨이를 확장하고 네트워크 수신기 PEF 캡처된 메시지/초까지 아래로 스크롤하여 추가합니다. 그런 다음 그래프에 활동이 표시되는지 확인합니다.
바이러스 백신 제외 설정
ATA 게이트웨이를 설치한 후 바이러스 백신 애플리케이션에서 ATA 디렉터리를 지속적으로 검사하지 않도록 제외합니다. 데이터베이스의 기본 위치는 **C:\Program Files\Microsoft Advanced Threat Analytics**입니다.
AV 검사에서 다음 프로세스도 제외해야 합니다.
프로세스
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
다른 디렉터리에 ATA를 설치한 경우 설치에 따라 폴더 경로를 변경해야 합니다.