Поделиться через

Установка ATA — шаг 5

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

« Шаг 4, шаг 6 »

Шаг 5. Настройка параметров шлюза ATA

После установки шлюза ATA выполните следующие действия, чтобы настроить параметры шлюза ATA.

  1. В консоли ATA перейдите в раздел Конфигурация и в разделе Система выберите Шлюзы.

    Настройка параметров шлюза, этап 1.

  2. Щелкните шлюз, который нужно настроить, и введите следующие сведения:

    Настройка параметров шлюза, этап 2.

    • Описание. Введите описание шлюза ATA (необязательно).
    • Контроллеры домена с зеркальным отображением портов (FQDN) (требуется для шлюза ATA, его нельзя изменить для упрощенного шлюза ATA). Введите полное полное доменное имя контроллера домена и щелкните знак "плюс", чтобы добавить его в список. Например, dc01.contoso.com

    Следующие сведения относятся к серверам, которые вы вводите в список контроллеров домена :

    • Все контроллеры домена, трафик которых отслеживается через зеркальное отображение портов шлюзом ATA, должны быть перечислены в списке Контроллеры домена . Если контроллер домена не указан в списке Контроллеры домена , обнаружение подозрительных действий может работать не так, как ожидалось.

    • По крайней мере один контроллер домена в списке должен быть глобальным каталогом. Это позволяет ATA разрешать объекты компьютеров и пользователей в других доменах в лесу.

    • Снимок экрана сетевых адаптеров (обязательно).

    • Для шлюза ATA на выделенном сервере выберите сетевые адаптеры, настроенные в качестве порта назначения зеркало. Они получают трафик зеркального контроллера домена.

    • Для упрощенного шлюза ATA это должны быть все сетевые адаптеры, которые используются для связи с другими компьютерами в организации.

    • Кандидат синхронизатора домена. Любой шлюз ATA, заданный в качестве кандидата синхронизатора домена, может отвечать за синхронизацию между ATA и доменом Active Directory. В зависимости от размера домена начальная синхронизация может занять некоторое время и является ресурсоемкой. По умолчанию в качестве кандидатов синхронизатора домена задается только шлюзы ATA. Рекомендуется отключить все шлюзы ATA удаленного сайта, чтобы они были кандидатами синхронизаторов домена. Если контроллер домена доступен только для чтения, не устанавливайте его в качестве кандидата синхронизатора домена. Дополнительные сведения см. в разделе Архитектура ATA.

    Примечание.

    Служба шлюза ATA запускается в первый раз после установки через несколько минут, так как она создает кэш средств синтаксического анализа сетевых записей. Изменения конфигурации применяются к шлюзу ATA при следующей запланированной синхронизации между шлюзом ATA и Центром ATA.

  3. При необходимости можно задать прослушиватель системного журнала и коллекцию переадресации событий Windows.

  4. Автоматическое включение обновления шлюза ATA , чтобы в следующих выпусках при обновлении центра ATA этот шлюз ATA автоматически обновлялся.

  5. Нажмите кнопку Сохранить.

Проверка установок

Чтобы убедиться, что шлюз ATA успешно развернут, проверка следующие действия:

  1. Убедитесь, что служба с именем Microsoft Advanced Threat Analytics Gateway запущена. После сохранения параметров шлюза ATA может потребоваться несколько минут для запуска службы.

  2. Если служба не запускается, просмотрите файл "Microsoft.Tri.Gateway-Errors.log", расположенный в следующей папке по умолчанию "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" и обратитесь за помощью к ata Troubleshooting .

  3. Если это первый установленный шлюз ATA, через несколько минут войдите в консоль ATA и откройте панель уведомлений, проведя пальцем в правую часть экрана. На панели уведомлений в правой части консоли должен появиться список сущностей, недавно изученных .

  4. На рабочем столе щелкните ярлык Microsoft Advanced Threat Analytics , чтобы подключиться к консоли ATA. Войдите с теми же учетными данными пользователя, которые использовались для установки центра ATA.

  5. В консоли найдите что-то в строке поиска, например пользователя или группу в вашем домене.

  6. Откройте Монитор производительности. В дереве Производительность щелкните Монитор производительности, а затем щелкните значок плюса, чтобы добавить счетчик. Разверните шлюз Microsoft ATA , прокрутите вниз до пункта Сетевой прослушиватель PEF Captured Messages/sec и добавьте его. Затем убедитесь, что на графе отображается действие.

    Добавьте изображение счетчиков производительности.

Настройка исключений антивирусной программы

После установки шлюза ATA исключите каталог ATA из постоянной проверки антивирусного приложения. Расположение по умолчанию в базе данных: **C:\Program Files\Microsoft Advanced Threat Analytics**.

Не забудьте также исключить следующие процессы из проверки av:

Процессы
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Если вы установили ATA в другом каталоге, обязательно измените пути к папкам в соответствии с установкой.

« Шаг 4, шаг 6 »

См. также