安裝 ATA - 步驟 5
適用於:Advanced Threat Analytics 1.9 版
步驟 5:設定 ATA 閘道設定
安裝 ATA 閘道之後,請執行下列步驟來設定 ATA 閘道的設定。
在 ATA 控制台中,移至 [ 設定 ],然後在 [ 系統] 下選取 [ 網關]。
按下您要設定的閘道,然後輸入下列資訊:
- 描述:輸入 ATA 閘道 (選擇性) 的描述。
- 埠鏡像域控制器 (ATA 閘道所需的 FQDN) (,無法變更 ATA 輕量型閘道) :輸入域控制器的完整 FQDN,然後按兩下加號將其新增至清單。 例如, dc01.contoso.com
下列資訊適用於您在 網域控制器 清單中輸入的伺服器:
ATA 閘道透過埠鏡像監視其流量的所有域控制器都必須列在 域控制器清單中 。 如果域控制器未列在 域控制器 清單中,則可疑活動的偵測可能無法如預期般運作。
清單中至少有一個網域控制器應為通用類別目錄。 這可讓 ATA 解析樹系中其他網域中的電腦和用戶物件。
擷取網路介面卡 (必要):
針對專用伺服器上的 ATA 閘道,選取設定為目的地鏡像埠的網路適配器。 這些會接收鏡像域控制器流量。
針對 ATA 輕量型閘道,這應該是用來與組織中其他電腦通訊的所有網路配接器。
網域同步器候選:任何設定為網域同步器候選的 ATA 閘道都可以負責 ATA 與 Active Directory 網域之間的同步處理。 視網域的大小而定,初始同步處理可能需要一些時間,而且會耗用大量資源。 根據預設,只有 ATA 閘道會設定為網域同步器候選專案。 建議您停用任何遠端月臺 ATA 閘道,使其無法成為網域同步器候選專案。 如果您的域控制器是唯讀的,請勿將它設定為網域同步器候選專案。 如需詳細資訊,請參閱 ATA 架構。
注意事項
ATA 閘道服務會在安裝後第一次啟動需要幾分鐘的時間,因為它會建置網路擷取剖析器的快取。 在 ATA 閘道與 ATA 中心之間的下一次排程同步處理時,組態變更會套用至 ATA 閘道。
您可以選擇性地設定 Syslog 接聽程式和 Windows 事件轉送集合。
自動啟用 更新 ATA 閘道 ,如此當您更新 ATA 中心時,在即將推出的版本中,會自動更新此 ATA 閘道。
按一下儲存。
驗證安裝
若要驗證 ATA 閘道是否已成功部署,請檢查下列步驟:
檢查名為 Microsoft Advanced Threat Analytics Gateway 的服務是否正在執行。 儲存 ATA 閘道設定之後,可能需要幾分鐘的時間,服務才會啟動。
如果服務未啟動,請檢閱位於下列預設資料夾 「%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs」 中的 「Microsoft.Tri.Gateway-Errors.log」 檔案,並檢查 ATA 疑難解答 以取得協助。
如果這是安裝的第一個 ATA 閘道,請在幾分鐘後登入 ATA 控制台,並開啟螢幕右側開啟的通知窗格。 您應該會在主控台右側的通知列中看到 最近學到的實體 清單。
在桌面上,按兩下 [Microsoft Advanced Threat Analytics ] 快捷方式以連線到 ATA 控制台。 使用您用來安裝 ATA 中心的相同使用者認證登入。
在控制台中,搜尋搜尋列中的某個專案,例如您網域上的使用者或群組。
開啟 效能監視器。 在 [效能] 樹狀結構中,按兩下 [效能監視器],然後按下加號圖示以新增計數器。 展開 Microsoft ATA 閘道 ],向下卷動至 [網络接聽程式 PEF 擷取的訊息/秒 ],然後加以新增。 然後,確定您在圖表上看到活動。
設定防病毒軟體排除專案
安裝 ATA 閘道之後,請排除 ATA 目錄,不要由防病毒軟體應用程式持續掃描。 資料庫中的預設位置是:**C:\Program Files\Microsoft Advanced Threat Analytics**。
請務必同時從防病毒軟體掃描中排除下列程式:
程序
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
如果您在不同的目錄中安裝 ATA,請務必根據您的安裝變更資料夾路徑。