Instalación de ATA: paso 5

Se aplica a: Advanced Threat Analytics versión 1.9

« Paso 4Paso 6 »

Paso 5: Configuración de la puerta de enlace de ATA

Después de instalar la puerta de enlace de ATA, realice los pasos siguientes para configurar las opciones de la puerta de enlace de ATA.

1. En la consola de ATA, vaya a Configuración y, en Sistema, seleccione Puertas de enlace.

   

2. Haga clic en la puerta de enlace que desea configurar y escriba la siguiente información:

   

   • Descripción: escriba una descripción para la puerta de enlace de ATA (opcional).
   • Controladores de dominio reflejados en puerto (FQDN) (necesarios para la puerta de enlace de ATA, no se puede cambiar para la puerta de enlace ligera de ATA): escriba el FQDN completo del controlador de dominio y haga clic en el signo más para agregarlo a la lista. Por ejemplo, dc01.contoso.com

   La siguiente información se aplica a los servidores que escriba en la lista Controladores de dominio:

   • Todos los controladores de dominio cuyo tráfico se supervisa mediante la creación de reflejo del puerto por la puerta de enlace de ATA deben aparecer en la lista Controladores de dominio. Si un controlador de dominio no aparece en la lista Controladores de dominio, es posible que la detección de actividades sospechosas no funcione según lo previsto.

   • Al menos un controlador de dominio de la lista debe ser un catálogo global. Esto permite a ATA resolver objetos de proceso y usuario en otros dominios del bosque.

   • Captura de adaptadores de red (obligatorio):

   • Para una puerta de enlace de ATA en un servidor dedicado, seleccione los adaptadores de red configurados como puerto reflejado de destino. Reciben el tráfico del controlador de dominio reflejado.

   • Para una puerta de enlace ligera de ATA, debe ser todos los adaptadores de red que se usan para la comunicación con otros equipos de su organización.

   • Candidato del sincronizador de dominio: cualquier puerta de enlace de ATA establecida para ser un candidato del sincronizador de dominio puede ser responsable de la sincronización entre ATA y el dominio de Active Directory. En función del tamaño del dominio, la sincronización inicial puede tardar algún tiempo y requiere muchos recursos. De forma predeterminada, solo las puertas de enlace de ATA se establecen como candidatos del sincronizador de dominios. Se recomienda deshabilitar las puertas de enlace de ATA de sitio remoto como candidatos del sincronizador de dominio. Si el controlador de dominio es de solo lectura, no lo establezca como candidato del sincronizador de dominio. Para obtener más información, consulte Arquitectura de ATA.

   Nota:

   El servicio de puerta de enlace de ATA tardará unos minutos en iniciarse la primera vez después de la instalación, ya que crea la memoria caché de los analizadores de captura de red. Los cambios de configuración se aplican a la puerta de enlace de ATA en la siguiente sincronización programada entre la puerta de enlace de ATA y el Centro de ATA.

3. Opcionalmente, puede establecer el agente de escucha de Syslog y la colección de reenvío de eventos de Windows.

4. Habilite Actualizar automáticamente la puerta de enlace de ATA para que, en las próximas versiones, cuando actualice el Centro de ATA, esta puerta de enlace de ATA se actualizará automáticamente.

5. Haga clic en Save(Guardar).

Validar las instalaciones

Para validar que la puerta de enlace de ATA se ha implementado correctamente, compruebe los pasos siguientes:

1. Compruebe que el servicio denominado Puerta de enlace de Microsoft Advanced Threat Analytics se está ejecutando. Después de guardar la configuración de la puerta de enlace de ATA, el servicio puede tardar unos minutos en iniciarse.

2. Si el servicio no se inicia, revise el archivo "Microsoft.Tri.Gateway-Errors.log" que se encuentra en la siguiente carpeta predeterminada, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" y compruebe la solución de problemas de ATA para obtener ayuda.

3. Si se trata de la primera puerta de enlace de ATA instalada, después de unos minutos, inicie sesión en la consola de ATA y abra el panel de notificaciones deslizando y abriendo el lado derecho de la pantalla. Debería ver una lista de entidades aprendidas recientemente en la barra de notificaciones del lado derecho de la consola.

4. En el escritorio, haga clic en el acceso directo de Microsoft Advanced Threat Analytics para conectarse a la consola de ATA. Inicie sesión con las mismas credenciales de usuario que usó para instalar el Centro de ATA.

5. En la consola, busque algo en la barra de búsqueda, como un usuario o un grupo en el dominio.

6. Abra el Monitor de rendimiento. En el árbol Rendimiento, haga clic en Monitor de rendimiento y, a continuación, haga clic en el icono más para Agregar un contador. Expanda Puerta de enlace de Microsoft ATA y desplácese hacia abajo hasta Network Listener PEF Captured Messages/Sec y agréguelo. A continuación, asegúrese de ver la actividad en el gráfico.

   

Establecimiento de exclusiones de antivirus

Después de instalar la puerta de enlace de ATA, excluya que la aplicación antivirus examine continuamente el directorio de ATA. La ubicación predeterminada de la base de datos es: **C:\Archivos de programa\Microsoft Advanced Threat Analytics**.

Asegúrese de excluir también los siguientes procesos del examen de AV:

Procesos
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Si instaló ATA en un directorio diferente, asegúrese de cambiar las rutas de acceso de la carpeta según la instalación.

« Paso 4Paso 6 »

Consulte también

• Guía de implementación de ATA POC
• Herramienta de dimensionamiento de ATA
• Consulte el foro de ATA
• Configuración de la recopilación de eventos
• Requisitos previos de ATA