Del via

Installer ATA – trinn 5

  • Artikkel

Gjelder for: Advanced Threat Analytics versjon 1.9

« Trinn 4Trinn 6 »

Trinn 5: Konfigurer ATA Gateway-innstillingene

Etter at ATA Gateway ble installert, utfører du følgende trinn for å konfigurere innstillingene for ATA Gateway.

  1. Gå til Konfigurasjon i ATA-konsollen, og velg gatewayer under System.

    Konfigurer gatewayinnstillinger fase 1.

  2. Klikk gatewayen du vil konfigurere, og skriv inn følgende informasjon:

    Konfigurer gatewayinnstillinger fase 2.

    • Beskrivelse: Skriv inn en beskrivelse for ATA Gateway (valgfritt).
    • Port Mirrored Domain Controllers (FQDN) (kreves for ATA Gateway, dette kan ikke endres for ATA Lightweight Gateway): Skriv inn fullstendig FQDN for domenekontrolleren, og klikk plusstegnet for å legge det til i listen. For eksempel dc01.contoso.com

    Følgende informasjon gjelder for serverne du angir i listen over domenekontrollere :

    • Alle domenekontrollere som har trafikk som overvåkes via portspeiling av ATA Gateway, må være oppført i listen over domenekontrollere . Hvis en domenekontroller ikke er oppført i listen over domenekontrollere , kan det hende at gjenkjenning av mistenkelige aktiviteter ikke fungerer som forventet.

    • Minst én domenekontroller i listen må være en global katalog. Dette gjør at ATA kan løse datamaskin- og brukerobjekter i andre domener i skogen.

    • Ta opp nettverkskort (obligatorisk):

    • For en ATA-gateway på en dedikert server velger du nettverkskortene som er konfigurert som målspeilporten. Disse mottar den speilede domenekontrollertrafikken.

    • For en ATA Lightweight Gateway bør dette være alle nettverkskortene som brukes til kommunikasjon med andre datamaskiner i organisasjonen.

    • Kandidat for domenesynkronisering: Alle ATA Gateway som er satt til å være en kandidat for domenesynkronisering, kan være ansvarlig for synkronisering mellom ATA og Active Directory-domenet. Avhengig av størrelsen på domenet, kan den første synkroniseringen ta litt tid og er ressurskrevende. Som standard er bare ATA-gatewayer angitt som domenesynkroniseringskandidater. Det anbefales at du deaktiverer eksterne ATA-gatewayer fra domenesynkroniseringskandidater. Hvis domenekontrolleren er skrivebeskyttet, må du ikke angi den som en kandidat for domenesynkronisering. Hvis du vil ha mer informasjon, kan du se ATA-arkitektur.

    Obs!

    Det vil ta noen minutter før ATA Gateway-tjenesten starter første gang etter installasjonen, fordi den bygger hurtigbufferen for nettverksopptaksanalysene. Konfigurasjonsendringene brukes på ATA Gateway ved neste planlagte synkronisering mellom ATA Gateway og ATA Center.

  3. Du kan også angi Syslog-lytteren og Windows Event Forwarding Collection.

  4. Aktiver Oppdater ATA Gateway automatisk , slik at denne ATA-gatewayen oppdateres automatisk i kommende versjoner når du oppdaterer ATA Center.

  5. Klikk på Lagre.

Validere installasjoner

Hvis du vil validere at ATA Gateway er distribuert, kan du se følgende fremgangsmåte:

  1. Kontroller at tjenesten microsoft Advanced Threat Analytics Gateway kjører. Når du har lagret ATA Gateway-innstillingene, kan det ta noen minutter før tjenesten starter.

  2. Hvis tjenesten ikke starter, kan du se gjennom filen «Microsoft.Tri.Gateway-Errors.log» i følgende standardmappe, %programfiler%\Microsoft Advanced Threat Analytics\Gateway\Logs og se etter hjelp i FEILSØKING for ATA .

  3. Hvis dette er den første ATA Gateway installert, logger du på ATA-konsollen etter noen minutter og åpner varslingsruten ved å sveipe på høyre side av skjermen. Du skal kunne se en liste over enheter som nylig har blitt lært i varslingslinjen på høyre side av konsollen.

  4. Klikk snarveien Microsoft Advanced Threat Analytics på skrivebordet for å koble til ATA-konsollen. Logg på med samme brukerlegitimasjon som du brukte til å installere ATA-senteret.

  5. Søk etter noe i søkefeltet i konsollen, for eksempel en bruker eller en gruppe på domenet.

  6. Åpne Ytelsesmåler. Klikk ytelsesmåleren i ytelsestreet, og klikk deretter plussikonet for å legge til en teller. Utvid Microsoft ATA Gateway og rull ned til Network Listener PEF Captured Messages/Sec og legg den til. Deretter må du kontrollere at du ser aktivitet på grafen.

    Bilde av å legge til ytelsestellere.

Angi antivirusutelukkelser

Når du har installert ATA Gateway, må du utelate ATA-katalogen fra å bli kontinuerlig skannet av antivirusprogrammet. Standardplasseringen i databasen er: **C:\Programfiler\Microsoft Advanced Threat Analytics**.

Pass på at du også utelater følgende prosesser fra AV-skanning:

Prosesser
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Hvis du installerte ATA i en annen katalog, må du endre mappebanene i henhold til installasjonen.

« Trinn 4Trinn 6 »

Se også