Installer ATA - Étape 5

S’applique à : Advanced Threat Analytics version 1.9

« Étape 4Étape 6 »

Étape 4 : configurer les paramètres de la passerelle ATA

Une fois la passerelle ATA installée, procédez comme suit pour configurer les paramètres de la passerelle ATA.

1. Dans la Console ATA, accédez à Configuration et, sous Système, sélectionnez Passerelles.

   

2. Cliquer sur la passerelle que vous souhaitez configurer et saisir les informations suivantes :

   

   • Description : saisissez une description pour la passerelle ATA (facultatif).
   • Contrôleurs de domaine à port miroir (FQDN) (requis pour la passerelle ATA, cela ne peut pas être modifié pour la passerelle ATA Lightweight) : saisir le nom de domaine complet de votre contrôleur de domaine et cliquer sur le signe plus pour l’ajouter à la liste. Par exemple, dc01.contoso.com

   Les informations suivantes s’appliquent aux serveurs que vous entrez dans la liste contrôleurs de domaine :

   • Tous les contrôleurs de domaine dont le trafic est surveillé par la passerelle ATA via la mise en miroir des ports doivent figurer dans la liste des contrôleurs de domaine. Si un contrôleur de domaine n’est pas répertorié dans la liste contrôleurs de domaine, la détection d’activités suspectes peut ne pas fonctionner comme prévu.

   • Au moins un contrôleur de domaine dans la liste doit être un catalogue global. Cela permet à ATA de résoudre les objets ordinateur et utilisateur dans d’autres domaines de la forêt.

   • Adaptateurs de réseau de capture (obligatoire) :

   • Pour une passerelle ATA sur un serveur dédié, sélectionnez les cartes réseau configurées comme port de destination miroir. Ces derniers reçoivent le trafic du contrôleur de domaine en miroir.

   • Pour une passerelle légère ATA, il doit s’agir de toutes les cartes réseau utilisées pour la communication avec d’autres ordinateurs de votre organisation.

   • Candidat du synchronisateur de domaine : toute passerelle ATA définie comme candidat du synchronisateur de domaine peut être responsable de la synchronisation entre ATA et votre domaine Active Directory. Selon la taille du domaine, la synchronisation initiale peut prendre un certain temps et est gourmande en ressources. Par défaut, seules les passerelles ATA sont définies en tant que candidats du synchronisateur de domaine. Il est recommandé de désactiver les passerelles ATA de site distants d’être candidates au synchronisateur de domaine. Si votre contrôleur de domaine est en lecture seule, ne le définissez pas comme candidat du synchronisateur de domaine. Pour plus d’informations, consultez Architecture ATA.

   Remarque

   La première fois après l'installation, le service Passerelle ATA prendra quelques minutes pour démarrer car il construit le cache des analyseurs de capture réseau. Les modifications de configuration sont appliquées à la passerelle ATA lors de la prochaine synchronisation planifiée entre la passerelle ATA et le Centre ATA.

3. En option, vous pouvez définir l'auditeur Syslog et la collecte du transfert d'événements Windows.

4. Activez automatiquement la passerelle Mise à jour ATA afin que dans les versions à venir lorsque vous mettez à jour le Centre ATA, cette passerelle ATA est automatiquement mise à jour.

5. Cliquez sur Enregistrer.

Valider les installations

Pour vérifier que la passerelle ATA a été déployée avec succès, case activée les étapes suivantes :

1. Vérifiez que le service nommé Passerelle Microsoft Advanced Threat Analytics est en cours d’exécution. Après avoir enregistré les paramètres de la passerelle ATA, le démarrage du service peut prendre quelques minutes.

2. Si le service ne démarre pas, passez en revue le fichier « Microsoft.Tri.Gateway-Errors.log » situé dans le dossier par défaut suivant, « %programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs » et vérifiez le Dépannage ATA pour obtenir de l’aide.

3. S'il s'agit de la première passerelle ATA installée, après quelques minutes, connectez-vous à la Console ATA et ouvrez le panneau de notifications en balayant le côté droit de l'écran. Vous devez voir une liste d’entités récemment apprises dans la barre de notification sur le côté droit de la console.

4. Sur le bureau, cliquer sur le raccourci Microsoft Advanced Threat Analytics pour vous connecter à la Console ATA. Connectez-vous avec les mêmes informations d’identification d’utilisateur que celles que vous avez utilisées pour installer le Centre ATA.

5. Dans la console, recherchez quelque chose dans la barre de recherche, par exemple un utilisateur ou un groupe sur votre domaine.

6. Ouvrir l’Analyseur de performances. Dans l’arborescence performances, cliquez sur Analyseur de performances, puis sur l’icône plus pour Ajouter un compteur. Développez la passerelle Microsoft ATA et faites défiler jusqu’à Network Listener PEF Captured Messages/Sec et ajoutez-la. Vérifiez ensuite que vous voyez l’activité sur le graphique.

   

Définir les exclusions antivirus

Après avoir installé la passerelle ATA, excluez l'annuaire ATA de l'analyse permanente de votre application antivirus. la localisation par défaut dans la base de données est : **C:\Program Files\Microsoft Advanced Threat Analytics**.

Veillez également à exclure les processus suivants de l’analyse AV :

Processus
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Si vous avez installé ATA dans un annuaire différent, veillez à changer les chemins d’accès au dossier en fonction de votre installation.

« Étape 4Étape 6 »

Voir aussi

• Guide de déploiement ATA POC
• Outil de dimensionnement ATA
• Visitez le forum ATA !
• Configurer la collecte d’événements
• Prérequis ATA