Installare ATA - Passaggio 5

Si applica a: Advanced Threat Analytics versione 1.9

Passaggio 5: Configurare le impostazioni del gateway ATA

Dopo aver installato il gateway ATA, seguire questa procedura per configurare le impostazioni per il gateway ATA.

1. Nella console ATA passare a Configurazione e, in Sistema, selezionare Gateway.

   

2. Selezionare il gateway che si vuole configurare e immettere le informazioni seguenti:

   Configurare le impostazioni del gateway, fase 2.

   • Descrizione: immettere una descrizione per il gateway ATA (facoltativo).
   • Controller di dominio con mirroring della porta (FQDN) ( obbligatorio per il gateway ATA, non può essere modificato per il gateway ATA Lightweight): immettere l'FQDN completo del controller di dominio e selezionare il segno più per aggiungerlo all'elenco. Ad esempio, dc01.contoso.com

   Le informazioni seguenti si applicano ai server immessi nell'elenco Controller di dominio :

   • Tutti i controller di dominio il cui traffico viene monitorato tramite il mirroring delle porte dal gateway ATA devono essere elencati nell'elenco Controller di dominio . Se un controller di dominio non è elencato nell'elenco Controller di dominio , il rilevamento di attività sospette potrebbe non funzionare come previsto.

   • Almeno un controller di dominio nell'elenco deve essere un catalogo globale. Ciò consente ad ATA di risolvere gli oggetti computer e utente in altri domini all'interno della foresta.

   • Cattura schede di rete (obbligatorio):

   • Per un gateway ATA su un server dedicato, selezionare le schede di rete configurate come porta di mirroring di destinazione. Questi ricevono il traffico del controller di dominio rispecchiato.

   • Per un gateway ATA Lightweight, deve trattarsi di tutte le schede di rete usate per la comunicazione con altri computer dell'organizzazione.

   • Domain synchronizer candidate: qualsiasi gateway ATA impostato come candidato per la sincronizzazione del dominio può essere responsabile della sincronizzazione tra ATA e il dominio Active Directory. A seconda delle dimensioni del dominio, la sincronizzazione iniziale potrebbe richiedere del tempo ed è a elevato utilizzo di risorse. Per impostazione predefinita, solo i gateway ATA vengono impostati come candidati per la sincronizzazione del dominio. È consigliabile disabilitare i gateway ATA di qualsiasi sito remoto dalla sincronizzazione come candidati per il dominio. Se il controller di dominio è di sola lettura, non impostarlo come candidato del programma di sincronizzazione del dominio. Per altre informazioni, vedere Architettura di ATA.

   Note

   L'avvio del servizio gateway ATA richiederà alcuni minuti perché compila la cache dei parser di acquisizione di rete. Le modifiche di configurazione vengono applicate al gateway ATA alla successiva sincronizzazione pianificata tra il gateway ATA e ATA Center.

3. Facoltativamente, è possibile impostare il listener Syslog e la raccolta di inoltro eventi di Windows.

4. Abilitare automaticamente Update ATA Gateway in modo che nelle versioni future quando si aggiorna ATA Center, questo gateway ATA viene aggiornato automaticamente.

5. Seleziona Salva.

Convalidare le installazioni

Per verificare che il gateway ATA sia stato distribuito correttamente, verificare i passaggi seguenti:

1. Verificare che il servizio denominato Microsoft Advanced Threat Analytics Gateway sia in esecuzione. Dopo aver salvato le impostazioni del gateway ATA, l'avvio del servizio potrebbe richiedere alcuni minuti.

2. Se il servizio non viene avviato, esaminare il file "Microsoft.Tri.Gateway-Errors.log" che si trova nella cartella predefinita seguente, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" e controllare ATA Troubleshooting per ulteriore aiuto.

3. Se si tratta del primo gateway ATA installato, dopo alcuni minuti, accedere alla console ATA e aprire il riquadro di notifica facendo scorrere il lato destro della schermata aperta. Verrà visualizzato un elenco di Entità apprese di recente nella barra di notifica sul lato destro della console.

4. Sul desktop selezionare il collegamento Microsoft Advanced Threat Analytics per connettersi alla console ATA. Accedere con le stesse credenziali utente usate per installare ATA Center.

5. Nella console cercare qualcosa nella barra di ricerca, ad esempio un utente o un gruppo nel dominio.

6. Apri il Monitor prestazioni. Nell'albero Prestazioni selezionare Monitor prestazioni e quindi selezionare l'icona del segno più per Aggiungi contatore. Espandere Microsoft ATA Gateway e scorrere verso il basso fino a Network Listener PEF Captured Messages/Sec e aggiungerlo. Assicurarsi quindi di visualizzare l'attività nel grafico.

   

Impostare le esclusioni antivirus

Dopo aver installato il gateway ATA, escludere la directory ATA dalla scansione continua del software antivirus. Il percorso predefinito nel database è**C:\Programmi\Microsoft Advanced Threat Analytics**.

Assicurarsi di escludere anche i processi seguenti dall'analisi AV:

Processi
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Se ATA è stato installato in una directory diversa, assicurarsi di modificare i percorsi delle cartelle in base all'installazione.

Vedere anche

• Guida alla distribuzione del modello di verifica ATA
• Strumento di ridimensionamento ATA
• Consulta il forum ATA!
• Configurare la raccolta di eventi
• Prerequisiti ATA