使用 ATA 控制台
适用于:高级威胁分析版本 1.9
使用 ATA 控制台监视 ATA 检测到的可疑活动并对其作出响应。
键入 ? 键可提供 ATA 门户辅助功能的键盘快捷键。
启用对 ATA 控制台的访问权限
要成功登录 ATA 控制台,必须使用分配有适当 ATA 角色的用户身份进行登录,才能访问 ATA 控制台。 有关 ATA 中基于角色的访问控制 (RBAC) 的更多信息,请参阅使用 ATA 角色组。
登录 ATA 控制台
注意
从 ATA 1.8 开始,ATA 控制台的登录过程是使用单一登录完成的。
在 ATA 中心服务器中,单击桌面上的“Microsoft ATA 控制台”图标或打开浏览器并浏览到 ATA 控制台。
注意
还可以从 ATA 中心或 ATA 网关打开浏览器,然后浏览到在 ATA 中心安装中为 ATA 控制台配置的 IP 地址。
如果安装了 ATA 中心的计算机以及尝试从中访问 ATA 控制台的计算机都已加入域,则 ATA 支持与 Windows 身份验证 集成的单一登录 – 如果已登录到计算机,则 ATA 使用该令牌让你登录 ATA 控制台。 还可以使用智能卡登录。 ATA 中的权限与管理员角色相对应。
注意
请确保使用 ATA 管理员用户名和密码登录要从中访问 ATA 控制台的计算机。 或者,可以以其他用户身份运行浏览器或注销 Windows,并使用 ATA 管理员用户身份登录。 要提示 ATA 控制台以请求凭据,请使用 IP 地址访问控制台,系统会提示输入凭据。
要使用 SSO 登录,请确保在浏览器中将 ATA 控制台站点定义为本地 Intranet 站点,并使用短名称或 localhost 对其进行访问。
注意
ATA 中心计算机上的 Windows 事件日志中除了记录每个可疑活动和运行状况警报之外,还会审核 ATA 控制台中所做的每个配置更改,先是在“应用程序和服务日志”下进行审核,然后在“Microsoft ATA”下进行审核。 对 ATA 控制台的每次登录也会进行审核。
影响 ATA 网关的配置也会记录在 ATA 网关计算机的 Windows 事件日志中。
ATA 控制台
使用 ATA 控制台可按时间顺序快速查看所有可疑活动。 可让你深入了解任何活动的详细信息,并根据这些活动执行操作。 控制台还会显示警报和通知,以突出显示 ATA 网络的问题或被视为可疑的新活动。
这些是 ATA 控制台的关键元素。
攻击时间线
以下为登录 ATA 控制台时的默认登陆页面。 默认情况下,所有未处理的可疑活动都会显示在攻击时间线上。 可以筛选攻击时间线以显示“全部”、“已打开”、“已消除”或“已抑制”的可疑活动。 还可以查看分配给每个活动的严重性。
有关更多信息,请参阅处理可疑活动。
通知栏
当检测到新的可疑活动时,通知栏会在右侧自动打开。 如果自上次登录以来存在新的可疑活动,则成功登录后,通知栏将打开。 可以随时单击右侧的箭头访问通知栏。
新增功能
发布新版本的 ATA 后,右上角会显示“新增功能”窗口,让你了解最新版本中添加了哪些内容。 其还提供指向版本下载的链接。
筛选面板
可以根据状态和严重性筛选哪些可疑活动显示在攻击时间线中或显示在“实体配置文件可疑活动”选项卡中。
搜索栏
可在顶部菜单中找到搜索栏。 可在 ATA 中搜索特定用户、计算机或组。 要进行尝试,只需开始键入即可。
运行状况中心
当 ATA 部署中的某些内容无法正常工作时,运行状况中心会提供警报。
每当系统遇到问题(例如连接错误或 ATA 网关断开连接)时,运行状况中心图标上显示一个红点作为通知。 
敏感组
以下列出的组被 ATA 视为“敏感”组。 属于这些组的任何实体也视为敏感实体:
- 企业只读域控制器
- Domain Admins
- 域控制器
- Schema Admins
- 企业管理员
- Group Policy Creator Owners
- 只读域控制器
- 管理员
- 超级用户
- Account Operators
- Server Operators
- 打印操作员
- 备份操作员
- 复制者
- Remote Desktop Users
- Network Configuration Operators
- Incoming Forest Trust Builders
- DNS 管理员
迷你配置文件
如果将鼠标悬停在某个实体上,在控制台中显示单个实体(例如用户或计算机)的任何位置,将自动打开一个迷你配置文件,显示以下信息(如果可用):
名称
图片
电子邮件
电话
按严重性排序的可疑活动数量