安装 ATA – 第 5 步
适用于:高级威胁分析版本 1.9
第 5 步:配置 ATA 网关设置
安装 ATA 网关后,请执行以下步骤来配置 ATA 网关的设置。
在 ATA 控制台中,转到“配置”,然后在“系统”下选择“网关”。
单击要配置的网关并输入以下信息:
- 说明:输入 ATA 网关的说明(可选)。
- 端口镜像域控制器 (FQDN)(对于 ATA 网关来说是必需的,不能为 ATA 轻型网关更改):输入域控制器的完整 FQDN,然后单击加号将它添加到列表中。 例如 dc01.contoso.com。
以下信息适用于在“域控制器”列表中输入的服务器:
ATA 网关通过端口镜像监视流量的所有域控制器必须列在“域控制器”列表中。 如果某个域控制器未在“域控制器”列表中列出,则对可疑活动的检测可能无法按预期运行。
列表中至少应有一个域控制器是全局编录。 这使 ATA 能够解析林中其他域中的计算机和用户对象。
捕获网络适配器(必需):
对于专用服务器上的 ATA 网关,选择配置为目标镜像端口的网络适配器。 它们会接收已镜像的域控制器的流量。
对于 ATA 轻型网关,这应该是用于与组织中的其他计算机通信的所有网络适配器。
域同步器的候选项:任何被设置为域同步器候选项的 ATA 网关都可以负责 ATA 与 Active Directory 域之间的同步。 根据域的大小,初始同步可能会需要一些时间,并且是资源密集型的。 默认情况下,只有 ATA 网关被设置为域同步器的候选项。 建议禁用任何远程站点 ATA 网关作为域同步器的候选项。 如果域控制器是只读的,请不要将它设置为域同步器的候选项。 有关详细信息,请参阅 ATA 体系结构。
注意
安装后首次启动 ATA 网关服务需要几分钟时间,因为它会生成网络捕获分析器的缓存。 在计划的 ATA 网关和 ATA 中心之间的下一次同步时,配置更改将应用于 ATA 网关。
(可选)可以设置 Syslog 侦听器和 Windows 事件转发收集。
启用“自动更新 ATA 网关”,以便在即将发布的版本中更新 ATA 中心时自动更新此 ATA 网关。
单击“保存”。
验证安装
要验证 ATA 网关是否已成功部署,检查以下步骤:
检查名为“Microsoft 高级威胁分析网关”的服务是否正在运行。 保存 ATA 网关设置后,服务可能需要几分钟时间才能启动。
如果服务未能启动,请查看位于默认文件夹“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs”中的“Microsoft.Tri.Gateway-Errors.log”文件,并参考 ATA 故障排除以获取帮助。
如果这是第一次安装 ATA 网关,请在几分钟后登录 ATA 控制台,并通过轻扫屏幕右侧打开通知窗格。 应该会在控制台右侧的通知栏中看到“最近学习的实体”列表。
在桌面上,单击“Microsoft 高级威胁分析”快捷方式,连接到 ATA 控制台。 使用用于安装 ATA 中心的同一用户凭证登录。
在控制台的搜索栏中进行搜索,例如域上的用户或组。
打开性能监视器。 在“性能”树中,单击“性能监视器”,然后单击加号图标以“添加计数器”。 展开“Microsoft ATA 网关”,向下滚动到“网络侦听器 PEF 捕获的消息数/秒并添加它。 然后,确保在图上看到活动。
设置防病毒排除项
安装 ATA 网关后,请禁止防病毒应用程序持续扫描 ATA 目录。 数据库中的默认位置为:**C:\Program Files\Microsoft Advanced Threat Analytics**。
请确保还禁止以下进程进行 AV 扫描:
进程
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
如果在不同的目录中安装了 ATA,请务必根据安装来更改文件夹的路径。