修改 ATA 中心的配置

适用于:高级威胁分析版本 1.9

初始部署后,应对 ATA 中心进行仔细修改。 请使用以下过程更新控制台 URL 和证书。

ATA 控制台 URL

URL 用于以下情况:

  • 这是 ATA 网关用来与 ATA 中心进行通信的 URL。

  • 安装 ATA 网关 – 安装 ATA 网关后,它会向 ATA 中心注册。 此注册过程是通过连接到 ATA 控制台来完成的。 如果为 ATA 控制台 URL 输入 FQDN,请确保 ATA 网关可以将 FQDN 解析为与 ATA 控制台绑定的 IP 地址。

  • 警报 – 当 ATA 发送 SIEM 或电子邮件警报时,警报中包含一个指向可疑活动的链接。 链接的主机部分是 ATA 控制台 URL 设置。

  • 如果是从内部证书颁发机构 (CA) 安装的证书,请将 URL 与证书中的使用者名称相匹配。 这会防止用户在连接到 ATA 控制台时收到警告消息。

  • 使用 ATA 控制台 URL 的 FQDN,可以修改 ATA 控制台所使用的 IP 地址,无需中断以前的警报或再次下载 ATA 网关包。 只需使用新的 IP 地址来更新 DNS。

  1. 确保要使用的新 URL 解析为 ATA 控制台的 IP 地址。

  2. 在 ATA 设置的“中心”下,输入新的 URL。 此时,ATA 中心服务仍然使用原始 URL。

    Change ATA configuration.

    注意

    如果输入了一个自定义 IP 地址,则在 ATA 中心上安装 IP 地址之前,无法单击“激活”。

  3. 等待 ATA 网关完成同步。它们现在有两个可用于访问 ATA 控制台的 URL。 只要 ATA 网关可以使用原始 URL 进行连接,就不会使用新 URL。

  4. 在与更新配置同步所有 ATA 网关后,在“中心配置”页面单击“激活”按钮激活新 URL。 激活新 URL 后,ATA 网关即可使用新 URL 访问 ATA 中心。 连接到 ATA 中心服务后,ATA 网关将会向下拉取最新配置,并且只会使用 ATA 控制台的新 URL。

    Activate the certificate.

注意

  • 如果在激活新的 URL 时 ATA 网关处于脱机状态,且从未获得更新的配置,请手动更新 ATA 网关上的配置 JSON 文件。
  • 如果在激活新 URL 后需要部署新的 ATA 网关,则需要再次下载 ATA 网关的安装包。

ATA 中心的证书

警告

  • 不支持续订现有证书的流程。 续订证书的唯一方法是创建新证书并将 ATA 配置为使用新证书。

按照以下流程替换证书:

  1. 在当前证书过期之前,请创建一个新证书,并确保将该证书安装在 ATA 中心的服务器上。

    建议从内部证书颁发机构选择证书,但也可以创建新的自签名证书。 有关详细信息,请参阅 New-SelfSignedCertificate

  2. 在 ATA 设置的“中心”下,选择此新建证书。 此时,ATA 中心服务仍与原始证书绑定。

    Change ATA configuration.

  3. 等待 ATA 网关完成同步。它们现在有两个可用于相互身份验证的潜在证书。 只要 ATA 网关可以使用原始证书进行连接,就不会使用新证书。

  4. 将所有 ATA 网关与更新配置同步后,激活与 ATA 中心服务绑定的新证书。 激活新证书时,ATA 中心服务会与新证书绑定。 ATA 网关现在使用新证书向 ATA 中心进行身份验证。 连接到 ATA 中心服务后,ATA 网关将会向下拉取最新配置,并且只会使用 ATA 中心的新证书。

注意

  • 如果在激活新的证书时 ATA 网关处于脱机状态,且从未获得更新的配置,请手动更新 ATA 网关上的配置 JSON 文件。
  • 使用的证书必须受到 ATA 网关的信任。
  • 该证书还用于 ATA 控制台,因此应与 ATA 控制台的地址相匹配,以避免出现浏览器警告。
  • 如果在激活新证书后需要部署新的 ATA 网关,则需要再次下载 ATA 网关的安装包。

另请参阅