安裝 ATA - 步驟 5
適用于:進階威脅分析 1.9 版
步驟 5:設定 ATA 閘道設定
安裝 ATA 閘道之後,請執行下列步驟來設定 ATA 閘道的設定。
在 ATA 主控台中,移至 [ 設定 ],然後在 [系統 ] 底下 選取 [閘道 ]。
按一下您想要設定的閘道,並輸入下列資訊:
- 描述 :輸入 ATA 閘道的描述(選擇性)。
- 埠鏡像網域控制站 (FQDN) (ATA 閘道的必要專案,ATA 輕量型閘道無法變更此動作):輸入網域控制站的完整 FQDN,然後按一下加號將其新增至清單。 例如, dc01.contoso.com
下列資訊適用于您在網域控制站 清單中輸入 的伺服器:
ATA 閘道透過埠鏡像監視流量的所有網域控制站,都必須列在 [網域控制站 ] 清單中。 如果網域控制站未列在 網域控制站 清單中,則偵測可疑活動可能無法如預期般運作。
清單中至少有一個網域控制站應該是通用類別目錄。 這可讓 ATA 解析樹系中其他網域中的電腦和使用者物件。
擷取網路介面卡 (必要):
針對專用伺服器上的 ATA 閘道,選取設定為目的地鏡像埠的網路介面卡。 這些會接收鏡像網域控制站流量。
針對 ATA 輕量型閘道,這應該是所有用於與組織中其他電腦通訊的網路介面卡。
網域同步器候選 專案:任何設定為網域同步器候選的 ATA 閘道都可以負責 ATA 與 Active Directory 網域之間的同步處理。 根據網域的大小,初始同步處理可能需要一些時間,而且需要大量資源。 根據預設,只有 ATA 閘道會設定為網域同步器候選項目。 建議您停用任何遠端月臺 ATA 閘道,使其成為網域同步器候選項目。 如果您的網域控制站是唯讀的,請勿將它設定為網域同步器候選項目。 如需詳細資訊,請參閱 ATA 架構 。
注意
ATA 閘道服務在安裝後第一次啟動需要幾分鐘的時間,因為它會建置網路擷取剖析器的快取。 設定變更會在 ATA 閘道與 ATA 中心之間的下一個排程同步處理上套用至 ATA 閘道。
您可以選擇性地設定 Syslog 接聽程式和 Windows 事件轉送集合 。
自動 啟用 更新 ATA 閘道,以便在您更新 ATA 中心時,于即將發行的版本中自動更新此 ATA 閘道。
按一下 [檔案] 。
驗證安裝
若要驗證 ATA 閘道是否已成功部署,請檢查下列步驟:
檢查名為 Microsoft Advanced Threat Analytics Gateway 的服務是否正在執行。 儲存 ATA 閘道設定之後,服務可能需要幾分鐘的時間才能啟動。
如果服務未啟動,請檢閱位於下列預設資料夾中的 「Microsoft.Tri.Gateway-Errors.log」 檔案:「%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs」,並檢查 ATA 疑難排解 以取得協助。
如果這是第一個安裝 ATA 閘道,請在幾分鐘後登入 ATA 主控台,然後開啟螢幕右側來開啟通知窗格。 您應該會在主控台右側的通知列中看到最近學習 的實體清單 。
在桌面上,按一下 [Microsoft Advanced Threat Analytics ] 快捷方式以連線到 ATA 主控台。 使用您用來安裝 ATA 中心的相同使用者認證登入。
在主控台中,搜尋列中的內容,例如網域上的使用者或群組。
開啟效能監視器。 在 [效能] 樹狀目錄中,按一下 [效能監視器 ],然後按一下加號圖示以 新增計數器 。 展開 [Microsoft ATA 閘道 ],然後向下捲動至 [網路接聽程式 PEF 擷取的訊息/秒 ],並加以新增。 然後,請確定您在圖表上看到活動。
設定防毒排除專案
安裝 ATA 閘道之後,請排除 ATA 目錄,使其無法由防毒軟體應用程式持續掃描。 資料庫中的預設位置是:**C:\Program Files\Microsoft Advanced Threat Analytics**。
請務必也從 AV 掃描中排除下列程式:
程序
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
如果您在不同的目錄中安裝 ATA,請務必根據您的安裝變更資料夾路徑。