Az ATA telepítése – 5. lépés
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
5. lépés: Az ATA-átjáró beállításainak konfigurálása
Az ATA-átjáró telepítése után hajtsa végre az alábbi lépéseket az ATA-átjáró beállításainak konfigurálásához.
Az ATA-konzolon válassza a Konfiguráció lehetőséget, majd a Rendszer területen válassza az Átjárók lehetőséget.
Kattintson a konfigurálni kívánt átjáróra, és adja meg a következő adatokat:
- Leírás: Adja meg az ATA-átjáró leírását (nem kötelező).
- Porttükrözésű tartományvezérlők (FQDN) (az ATA-átjáróhoz szükséges, ez az egyszerűsített ATA-átjáró esetében nem módosítható): Adja meg a tartományvezérlő teljes teljes tartománynevét, és a pluszjelre kattintva vegye fel a listára. Például dc01.contoso.com
A következő információk a tartományvezérlők listájában megadott kiszolgálókra vonatkoznak :
Minden olyan tartományvezérlőnek szerepelnie kell a tartományvezérlők listájában, akiknek a forgalmát az ATA-átjáró porttükrözéssel figyeli . Ha egy tartományvezérlő nem szerepel a tartományvezérlők listájában, előfordulhat, hogy a gyanús tevékenységek észlelése nem a várt módon működik.
A listában legalább egy tartományvezérlőnek globális katalógusnak kell lennie. Ez lehetővé teszi, hogy az ATA feloldja az erdő más tartományaiban lévő számítógép- és felhasználói objektumokat.
Hálózati adapterek rögzítése (kötelező):
Dedikált kiszolgálón lévő ATA-átjáró esetén válassza ki a céltükrportként konfigurált hálózati adaptereket. Ezek megkapják a tükrözött tartományvezérlő forgalmát.
Az egyszerűsített ATA-átjárók esetében ez az összes hálózati adapternek kell lennie, amelyet a szervezet más számítógépeivel való kommunikációhoz használnak.
Tartományszinkronizáló-jelölt: Az ATA-átjárók tartományszinkronizálási jelöltként beállított összes beállítása felelős lehet az ATA és az Active Directory-tartomány közötti szinkronizálásért. A tartomány méretétől függően a kezdeti szinkronizálás eltarthat egy ideig, és erőforrás-igényes. Alapértelmezés szerint csak az ATA-átjárók vannak beállítva tartományszinkronizáló jelöltekként. Javasoljuk, hogy tiltsa le a távoli hely ATA-átjáróinak tartományszinkronizálási jelöltként való használatát. Ha a tartományvezérlő írásvédett, ne állítsa be tartományszinkronizálási jelöltként. További információ: ATA-architektúra.
Megjegyzés:
Néhány percig tart, amíg az ATA-átjáró szolgáltatás a telepítés után először elindul, mert létrehozza a hálózati rögzítési elemzők gyorsítótárát. A konfigurációs módosítások az ATA-átjáróra lesznek alkalmazva az ATA-átjáró és az ATA-központ közötti következő ütemezett szinkronizáláskor.
Igény szerint beállíthatja a Syslog figyelőt és a Windows eseménytovábbítási gyűjteményt.
Engedélyezze automatikusan az ATA-átjáró frissítését, hogy az ATA-központ frissítésekor a közelgő verziókban ez az ATA-átjáró automatikusan frissüljön.
Kattintson a Mentés gombra.
Telepítések ellenőrzése
Az ATA-átjáró sikeres üzembe helyezésének ellenőrzéséhez ellenőrizze az alábbi lépéseket:
Ellenőrizze, hogy fut-e a Microsoft Advanced Threat Analytics Gateway nevű szolgáltatás. Az ATA-átjáró beállításainak mentése után eltarthat néhány percig, amíg a szolgáltatás elindul.
Ha a szolgáltatás nem indul el, tekintse át a következő alapértelmezett mappában található "Microsoft.Tri.Gateway-Errors.log" fájlt, amely a következő alapértelmezett mappában található: "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs".
Ha ez az első telepített ATA-átjáró, néhány perc múlva jelentkezzen be az ATA-konzolra, és nyissa meg az értesítési panelt a képernyő jobb oldalának megnyitásával. A legutóbb tanult entitások listáját a konzol jobb oldalán található értesítési sávon kell látnia.
Az asztalon kattintson a Microsoft Advanced Threat Analytics parancsikonjára az ATA-konzolhoz való csatlakozáshoz. Jelentkezzen be ugyanazokkal a felhasználói hitelesítő adatokkal, amelyeket az ATA-központ telepítéséhez használt.
A konzolon keressen valamit a keresősávban, például egy felhasználót vagy egy csoportot a tartományában.
Nyissa meg a Teljesítményfigyelőt. A Teljesítményfában kattintson a Teljesítményfigyelő elemre, majd a plusz ikonra a Számláló hozzáadása gombra kattintva. Bontsa ki a Microsoft ATA-átjárót , és görgessen le a Hálózati figyelő PEF rögzített üzeneteihez/másodperceihez , és adja hozzá. Ezután győződjön meg arról, hogy a gráfon látható a tevékenység.
Vírusvédelmi kizárások beállítása
Az ATA-átjáró telepítése után zárja ki, hogy az ATA-címtárat folyamatosan vizsgálja a víruskereső alkalmazás. Az adatbázis alapértelmezett helye a következő: **C:\Program Files\Microsoft Advanced Threat Analytics**.
A következő folyamatokat is zárja ki az AV-vizsgálatból:
Folyamatok
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
Ha az ATA-t más könyvtárban telepítette, mindenképpen módosítsa a mappa elérési útját a telepítésnek megfelelően.