使用 ATA 控制台
适用于:高级威胁分析版本 1.9
使用 ATA 控制台监视和响应 ATA 检测到的可疑活动。
?键入键可提供 ATA 门户辅助功能的键盘快捷方式。
启用对 ATA 控制台的访问
若要成功登录到 ATA 控制台,必须使用分配有适当 ATA 角色的用户登录才能访问 ATA 控制台。 有关 ATA 中基于角色的访问控制 (RBAC) 的详细信息,请参阅 使用 ATA 角色组。
登录到 ATA 控制台
注意
从 ATA 1.8 开始,使用单一登录完成 ATA 控制台的登录过程。
在 ATA 中心服务器中,单击桌面上的 Microsoft ATA 控制台 图标,或打开浏览器并浏览到 ATA 控制台。
注意
还可以从 ATA 中心或 ATA 网关打开浏览器,并浏览到在 ATA 中心安装中为 ATA 控制台配置的 IP 地址。
如果安装了 ATA 中心的计算机和您尝试从其访问 ATA 控制台的计算机都已加入域,则 ATA 支持与 Windows 身份验证 集成的单一登录 - 如果已登录到计算机,ATA 使用该令牌登录到 ATA 控制台。 还可以使用智能卡登录。 ATA 中的权限与 管理员角色相对应。
注意
请确保使用 ATA 管理员用户名和密码登录到要从其访问 ATA 控制台的计算机。 或者,你可以以其他用户身份运行浏览器,或者注销 Windows 并使用 ATA 管理员用户登录。 若要提示 ATA 控制台要求提供凭据,请使用 IP 地址访问主机,系统会提示你输入凭据。
若要使用 SSO 登录,请确保在浏览器中将 ATA 控制台站点定义为本地 Intranet 站点,并使用短名称或 localhost 访问它。
注意
除了记录每个可疑活动和运行状况警报外,ATA 控制台中所做的每个配置更改都会在 ATA 中心计算机上的 Windows 事件日志中审核 “应用程序和服务日志” ,然后 Microsoft ATA。 每次登录到 ATA 控制台也会进行审核。
影响 ATA 网关的配置也会记录在 ATA 网关计算机的 Windows 事件日志中。
ATA 控制台
ATA 控制台按时间顺序提供所有可疑活动的快速视图。 它使你能够深入了解任何活动的详细信息,并根据这些活动执行操作。 控制台还会显示警报和通知,以突出显示 ATA 网络的问题或被视为可疑的新活动。
这些是 ATA 控制台的关键元素。
攻击时间线
这是登录到 ATA 控制台时会转到的默认登陆页。 默认情况下,所有打开的可疑活动都显示在攻击时间线上。 可以筛选攻击时间线,以显示“全部”、“打开”、“已消除”或“已取消”可疑活动。 还可以查看分配给每个活动的严重性。
有关详细信息,请参阅 处理可疑活动。
通知栏
检测到新的可疑活动时,通知栏会自动在右侧打开。 如果自上次登录以来有新的可疑活动,则成功登录后将打开通知栏。 可以随时单击右侧的箭头来访问通知栏。
新增功能
发布 ATA 的新版本后,右上角会显示 “新增功能 ”窗口,让你知道最新版本中添加了哪些内容。 它还提供指向版本下载的链接。
筛选面板
可以根据状态和严重性筛选在攻击时间线中显示的可疑活动或显示在实体配置文件可疑活动选项卡中。
搜索栏
在顶部菜单中,可以找到搜索栏。 可以在 ATA 中搜索特定用户、计算机或组。 若要尝试一下,只需开始键入即可。
健康中心
当 ATA 部署中某些内容无法正常工作时,运行状况中心会向你发出警报。
每当系统遇到连接错误或断开连接的 ATA 网关问题时,运行状况中心图标会通过显示红点来告知你。
敏感组
以下组列表被 ATA 视为 “敏感 ”。 属于这些组的任何实体都被视为敏感:
- 企业只读域控制器
- Domain Admins
- 域控制器
- 架构管理员,
- Enterprise Admins
- 组策略创意者所有者
- 只读域控制器
- 管理员
- Power Users
- 帐户操作员
- 服务器操作员
- 打印运算符,
- 备份运算符,
- 复制器
- 远程桌面用户
- 网络配置操作员
- 传入林信任生成器
- DNS 管理员
微型配置文件
如果将鼠标悬停在某个实体上,则控制台中显示单个实体(例如用户或计算机)的任何位置,将自动打开一个微型配置文件,其中显示以下信息(如果可用):
名称
图片
电子邮件
电话
按严重性划分的可疑活动数