Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Advanced Threat Analytics version 1.9
Steg 5: Konfigurera ATA Gateway-inställningarna
När ATA Gateway har installerats utför du följande steg för att konfigurera inställningarna för ATA Gateway.
I ATA-konsolen går du till Konfiguration och under System väljer du Gateways.
Välj den gateway som du vill konfigurera och ange följande information:
- Beskrivning: Ange en beskrivning för ATA Gateway (valfritt).
- Portspeglingsdomänkontrollanter (FQDN) (krävs för ATA Gateway, detta kan inte ändras för ATA Lightweight Gateway): Ange det fullständiga domännamnet för din domänkontrollant och välj plustecknet för att lägga till det i listan. Till exempel dc01.contoso.com
Följande information gäller för de servrar som du anger i listan Domänkontrollanter :
Alla domänkontrollanter vars trafik övervakas via portspegling av ATA Gateway måste anges i listan Domänkontrollanter . Om en domänkontrollant inte finns med i listan över domänkontrollanter kanske identifieringen av misstänkta aktiviteter inte fungerar som förväntat.
Minst en domänkontrollant i listan ska vara en global katalog. Detta gör att ATA kan matcha dator- och användarobjekt i andra domäner i skogen.
Avbilda nätverkskort (krävs):
För en ATA Gateway på en dedikerad server väljer du de nätverkskort som är konfigurerade för att användas som målspeglingsport. Dessa tar emot den speglade domänkontrollanttrafiken.
För en ATA Lightweight Gateway bör detta vara alla nätverkskort som används för kommunikation med andra datorer i din organisation.
Domänsynkroniseringskandidat: Alla ATA-gatewayer som är inställda på att vara en domänsynkroniseringskandidat kan ansvara för synkroniseringen mellan ATA och din služba Active Directory domän. Beroende på domänens storlek kan den inledande synkroniseringen ta lite tid och är resursintensiv. Som standard anges endast ATA-gatewayer som kandidater för domänsynkronisering. Vi rekommenderar att du inaktiverar alla ata-gatewayer för fjärrplatser från att vara kandidater för domänsynkronisering. Om domänkontrollanten är skrivskyddad ska du inte ange den som en domänsynkroniseringskandidat. Mer information finns i ATA-arkitektur.
Note
Det tar några minuter för ATA Gateway-tjänsten att starta första gången efter installationen eftersom den skapar cachen för nätverksfångstparsarna. Konfigurationsändringarna tillämpas på ATA Gateway vid nästa schemalagda synkronisering mellan ATA Gateway och ATA Center.
Det är valfritt att konfigurera Syslog-lyssnaren och insamlingen för vidarebefordran av Windows-händelser.
Aktivera Uppdatera ATA Gateway automatiskt så att ata-gatewayen uppdateras automatiskt i kommande versioner när du uppdaterar ATA Center.
Välj Spara.
Verifiera installationer
Kontrollera att ATA Gateway har distribuerats korrekt genom att följa dessa steg:
Kontrollera att tjänsten med namnet Microsoft Advanced Threat Analytics Gateway körs. När du har sparat ATA Gateway-inställningarna kan det ta några minuter innan tjänsten startas.
Om tjänsten inte startar granskar du "Microsoft.Tri.Gateway-Errors.log"-filen som finns i följande standardmapp: "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs", och kontrollera ATA-felsökning för hjälp.
Om detta är den första ATA-gatewayen installerad loggar du efter några minuter in på ATA-konsolen och öppnar meddelandefönstret genom att svepa höger sida av skärmen öppen. Du bör se en lista över Nyligen inlärda entiteter på meddelandefältet till höger i konsolen.
På skrivbordet väljer du genvägen Microsoft Advanced Threat Analytics för att ansluta till ATA-konsolen. Logga in med samma användarautentiseringsuppgifter som du använde för att installera ATA Center.
I konsolen söker du efter något i sökfältet, till exempel en användare eller en grupp på din domän.
Öppna Prestandaövervakaren. I prestandaträdet väljer du på Performance Monitor och väljer sedan plusikonen för att Lägg till en räknare. Expandera Microsoft ATA Gateway och rulla ned till Nätverkslyssnare PEF-insamlade meddelanden/sek och lägg till den. Kontrollera sedan att du ser aktivitet i diagrammet.
Ange antivirusundantag
När du har installerat ATA Gateway utesluter du ATA-katalogen från att genomsökas kontinuerligt av antivirusprogrammet. Standardplatsen i databasen är: **C:\Program Files\Microsoft Advanced Threat Analytics**.
Se till att även undanta följande processer från AV-genomsökning:
Processes
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe
Om du har installerat ATA i en annan katalog måste du ändra mappsökvägarna enligt installationen.