Installer ATA - Étape 5

S’applique à : Advanced Threat Analytics version 1.9

Étape 5 : Configurer les paramètres de la passerelle ATA

Une fois la passerelle ATA installée, procédez comme suit pour configurer les paramètres de la passerelle ATA.

1. Dans la console ATA, accédez à Configuration et, sous Système, sélectionnez Passerelles.

   

2. Sélectionnez la passerelle que vous souhaitez configurer et entrez les informations suivantes :

   

   • Description : entrez une description pour la passerelle ATA (facultatif).
   • Contrôleurs de domaine avec miroir de port (FQDN) ( requis pour la passerelle ATA, et ne peut pas être modifié pour la passerelle légère ATA) : entrez le nom de domaine complet de votre contrôleur de domaine et sélectionnez le signe plus pour l'ajouter à la liste. Par exemple, dc01.contoso.com

   Les informations suivantes s’appliquent aux serveurs que vous entrez dans la liste contrôleurs de domaine :

   • Tous les contrôleurs de domaine dont le trafic est surveillé via la mise en miroir de ports par la passerelle ATA doivent être répertoriés dans la liste contrôleurs de domaine . Si un contrôleur de domaine n’est pas répertorié dans la liste Contrôleurs de domaine , la détection des activités suspectes peut ne pas fonctionner comme prévu.

   • Au moins un contrôleur de domaine dans la liste doit être un catalogue global. Cela permet à ATA de résoudre les objets ordinateur et utilisateur dans d’autres domaines de la forêt.

   • Capturer les adaptateurs réseau (obligatoire) :

   • Pour une passerelle ATA sur un serveur dédié, sélectionnez les adaptateurs réseau configurés comme port miroir de destination. Ces dispositifs reçoivent le trafic des contrôleurs de domaine miroir.

   • Pour une passerelle légère ATA, il doit s’agir de toutes les cartes réseau utilisées pour la communication avec d’autres ordinateurs de votre organisation.

   • Domain synchronizer candidate : toute passerelle ATA définie pour être un candidat de synchronisateur de domaine peut être responsable de la synchronisation entre ATA et votre domaine Active Directory. Selon la taille du domaine, la synchronisation initiale peut prendre un certain temps et est gourmande en ressources. Par défaut, seules les passerelles ATA sont définies en tant que candidats du synchronisateur de domaine. Il est recommandé de désactiver les passerelles ATA de sites distants, en tant que candidates au synchroniseur de domaine. Si votre contrôleur de domaine est en lecture seule, ne le définissez pas comme candidat du synchronisateur de domaine. Pour plus d’informations, consultez l’architecture ATA.

   Note

   Le service de passerelle ATA prend quelques minutes pour démarrer la première fois après l’installation, car il génère le cache des analyseurs de capture réseau. Les modifications de configuration sont appliquées à la passerelle ATA lors de la prochaine synchronisation planifiée entre la passerelle ATA et le centre ATA.

3. Si vous le souhaitez, vous pouvez définir le récepteur Syslog et la collecte de transfert d’événements pour Windows.

4. Activez automatiquement la passerelle Update ATA afin que dans les versions à venir lorsque vous mettez à jour le centre ATA, cette passerelle ATA est automatiquement mise à jour.

5. Cliquez sur Enregistrer.

Valider les installations

Pour vérifier que la passerelle ATA a été déployée avec succès, vérifiez les étapes suivantes :

1. Vérifiez que le service nommé Microsoft Advanced Threat Analytics Gateway est en cours d’exécution. Après avoir enregistré les paramètres de la passerelle ATA, le démarrage du service peut prendre quelques minutes.

2. Si le service ne démarre pas, passez en revue le fichier « Microsoft.Tri.Gateway-Errors.log » situé dans le dossier par défaut suivant, « %programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs », et vérifiez ATA Troubleshooting pour obtenir de l’aide.

3. S’il s’agit de la première passerelle ATA installée, après quelques minutes, connectez-vous à la console ATA et ouvrez le volet de notification en balayant le côté droit de l’écran ouvert. Vous devez voir une liste d’entités récemment apprises dans la barre de notification sur le côté droit de la console.

4. Sur le bureau, sélectionnez le raccourci Microsoft Advanced Threat Analytics pour vous connecter à la console ATA. Connectez-vous avec les mêmes informations d’identification utilisateur que celles que vous avez utilisées pour installer le Centre ATA.

5. Dans la console, recherchez quelque chose dans la barre de recherche, par exemple un utilisateur ou un groupe sur votre domaine.

6. Ouvrez l’Analyseur de performances. Dans l’arborescence Performances, sélectionnez Analyseur de performances puis sélectionnez l’icône plus pour Add a Counter. Développez Passerelle Microsoft ATA et faites défiler jusqu’à Network Listener PEF Captured Messages/Sec puis ajoutez-le. Vérifiez ensuite que vous voyez l’activité sur le graphique.

   

Définir des exclusions anti-virus

Après avoir installé la passerelle ATA, excluez le répertoire ATA d’être analysé en continu par votre application antivirus. L’emplacement par défaut dans la base de données est : **C :\Program Files\Microsoft Advanced Threat Analytics**.

Veillez également à exclure les processus suivants de l’analyse AV :

Processus
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Si vous avez installé ATA dans un autre répertoire, veillez à modifier les chemins d’accès au dossier en fonction de votre installation.

Voir aussi

• Guide de déploiement d’ATA POC
• Outil de dimensionnement ATA
• Consultez le forum ATA !
• Configurer la collecte d’événements
• Prérequis ATA