Поделиться через


Установка ATA — шаг 5

Область применения: Advanced Threat Analytics версии 1.9

Шаг 5. Настройка параметров шлюза ATA

После установки шлюза ATA выполните следующие действия, чтобы настроить параметры для шлюза ATA.

  1. В консоли ATA перейдите в раздел "Конфигурация " и в разделе "Система" выберите шлюзы.

    Configure gateway settings phase 1.

  2. Щелкните шлюз, который вы хотите настроить, и введите следующие сведения:

    Configure gateway settings phase 2.

    • Описание. Введите описание шлюза ATA (необязательно).
    • Контроллеры домена с зеркальным отображением портов (FQDN) (необходимые для шлюза ATA, это невозможно изменить для упрощенного шлюза ATA): введите полное полное полное доменное имя контроллера домена и щелкните знак плюса, чтобы добавить его в список. Например, dc01.contoso.com

    Следующие сведения относятся к серверам, которые вы вводите в списке контроллеров домена:

    • Все контроллеры домена, трафик которых отслеживается через порт зеркало шлюзом ATA, должен быть указан в списке контроллеров домена. Если контроллер домена не указан в списке контроллеров домена, обнаружение подозрительных действий может не функционировать должным образом.

    • По крайней мере один контроллер домена в списке должен быть глобальным каталогом. Это позволяет ATA разрешать объекты компьютера и пользователя в других доменах в лесу.

    • Захват сетевых адаптеров (обязательно):

    • Для шлюза ATA на выделенном сервере выберите сетевые адаптеры, настроенные в качестве целевого зеркало порта. Они получают трафик контроллера домена зеркало.

    • Для упрощенного шлюза ATA это должны быть все сетевые адаптеры, используемые для обмена данными с другими компьютерами в организации.

    • Кандидат синхронизатора домена: любой шлюз ATA, который должен быть кандидатом синхронизатора домена, может отвечать за синхронизацию между ATA и доменом Active Directory. В зависимости от размера домена начальная синхронизация может занять некоторое время и является ресурсоемкой. По умолчанию в качестве кандидатов синхронизатора домена задаются только шлюзы ATA. Рекомендуется отключить любой удаленный шлюз ATA от кандидатов синхронизатора домена. Если контроллер домена доступен только для чтения, не устанавливайте его в качестве кандидата синхронизатора домена. Дополнительные сведения см. в статье об архитектуре ATA.

    Примечание.

    Службе шлюза ATA потребуется несколько минут, чтобы начать первый раз после установки, так как она создает кэш средств синтаксического анализа сети. Изменения конфигурации применяются к шлюзу ATA на следующей запланированной синхронизации между шлюзом ATA и Центром ATA.

  3. При необходимости можно задать прослушиватель системного журнала и коллекцию пересылки событий Windows.

  4. Включите автоматическое обновление шлюза ATA, чтобы в предстоящих выпусках версии при обновлении Центра ATA этот шлюз ATA автоматически обновляется.

  5. Щелкните Сохранить.

Проверка установок

Чтобы убедиться, что шлюз ATA успешно развернут, проверка следующие действия.

  1. Убедитесь, что служба с именем Шлюза Microsoft Advanced Threat Analytics запущена. После сохранения параметров шлюза ATA может потребоваться несколько минут для запуска службы.

  2. Если служба не запускается, просмотрите файл Microsoft.Tri.Gateway-Errors.log, расположенный в следующей папке по умолчанию, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" и проверьте справку по устранению неполадок ATA.

  3. Если это первый установленный шлюз ATA, через несколько минут войдите в консоль ATA и откройте область уведомлений, прокручивая правую сторону экрана. Вы увидите список сущностей, недавно изученных в строке уведомлений справа от консоли.

  4. На рабочем столе щелкните ярлык Microsoft Advanced Threat Analytics , чтобы подключиться к консоли ATA. Войдите с теми же учетными данными пользователя, которые использовались для установки Центра ATA.

  5. В консоли найдите что-то в строке поиска, например пользователя или группы в домене.

  6. Откройте Монитор производительности. В дереве производительности щелкните Монитор производительности и щелкните значок плюса, чтобы добавить счетчик. Разверните шлюз Microsoft ATA и прокрутите вниз до peF, записанного в сети, и добавьте его. Затем убедитесь, что на графе отображается действие.

    Add performance counters image.

Настройка исключений антивирусной защиты

После установки шлюза ATA исключите каталог ATA из непрерывного сканирования антивирусного приложения. Расположение по умолчанию в базе данных: **C:\Program Files\Microsoft Advanced Threat Analytics**.

Не забудьте также исключить следующие процессы из сканирования AV:

Процессы
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Если вы установили ATA в другом каталоге, обязательно измените пути к папкам в соответствии с установкой.

См. также