Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Installare ATA - Passaggio 5Install ATA - Step 5

Passaggio 5.Step 5. Configurare le impostazioni del gateway ATAConfigure the ATA Gateway settings

Dopo l'installazione del gateway ATA, seguire questa procedura per configurare le relative impostazioni.After the ATA Gateway was installed, perform the following steps to configure the settings for the ATA Gateway.

  1. Nella Console ATA passare a Configuration (Configurazione) e, in System (Sistema), selezionare Gateways (Gateway).In the ATA Console, go to Configuration and, under System, select Gateways.

    Immagine della configurazione delle impostazioni del gateway

  2. Fare clic sul gateway che si vuole configurare e immettere le informazioni seguenti:Click on the Gateway you want to configure and enter the following information:

    Immagine della configurazione delle impostazioni del gateway

    • Description (Descrizione): immettere una descrizione per il gateway ATA (facoltativa).Description: Enter a description for the ATA Gateway (optional).
    • Port Mirrored Domain Controllers (FQDN) (Controller di dominio con mirroring delle porte (FQDN)) (informazione richiesta per il gateway ATA, non modificabile per il gateway ATA Lightweight): immettere il nome di dominio completo (FQDN) del controller di dominio e fare clic sul segno di addizione per aggiungerlo all'elenco.Port Mirrored Domain Controllers (FQDN) (required for the ATA Gateway, this cannot be changed for the ATA Lightweight Gateway): Enter the complete FQDN of your domain controller and click the plus sign to add it to the list. Ad esempio, dc01.contoso.comFor example, dc01.contoso.com

      Le informazioni seguenti si applicano ai server immessi nell'elenco Domain Controllers (Controller di dominio):The following information applies to the servers you enter in the Domain Controllers list:

      • Tutti i controller di dominio il cui traffico viene monitorato tramite il mirroring delle porte dal gateway ATA devono essere inclusi nell'elenco Domain Controllers.All domain controllers whose traffic is being monitored via port mirroring by the ATA Gateway must be listed in the Domain Controllers list. Se un controller di dominio non è presente nell'elenco Domain Controllers, il rilevamento di attività sospette potrebbe non funzionare come previsto.If a domain controller is not listed in the Domain Controllers list, detection of suspicious activities might not function as expected.
      • Almeno un controller di dominio nell'elenco deve essere un catalogo globale.At least one domain controller in the list should be a global catalog. In questo modo, ATA potrà risolvere gli oggetti computer e utente negli altri domini nella foresta.This will enable ATA to resolve computer and user objects in other domains in the forest.
    • Capture Network adapters (obbligatorio):Capture Network adapters (required):

    • Per un gateway ATA in un server dedicato, selezionare le schede di rete configurate come porta mirror di destinazione.For an ATA Gateway on a dedicated server, select the network adapters that are configured as the destination mirror port. Queste riceveranno il traffico di controller di dominio con mirroring.These will receive the mirrored domain controller traffic.
    • Per un gateway Lightweight ATA, selezionare tutte le schede di rete usate per la comunicazione con altri computer nell'organizzazione.For an ATA Lightweight Gateway, this should be all the network adapters that are used for communication with other computers in your organization.
  • Domain synchronizer candidate (Candidato alla sincronizzazione del dominio): qualsiasi gateway ATA impostato come candidato alla sincronizzazione del dominio può essere responsabile della sincronizzazione tra ATA e il dominio di Active Directory.Domain synchronizer candidate: Any ATA Gateway set to be a domain synchronizer candidate can be responsible for synchronization between ATA and your Active Directory domain. A seconda delle dimensioni del dominio, la sincronizzazione iniziale può richiedere tempo e impegnare una quantità notevole di risorse.Depending on the size of the domain, the initial synchronization might take some time and is resource intensive. Per impostazione predefinita, solo i gateway ATA sono impostati come candidati alla sincronizzazione del dominio.By default, only ATA Gateways are set as Domain synchronizer candidates. È consigliabile disabilitare questa impostazione predefinita per gateway ATA di un sito remoto.It is recommended to disable any remote site ATA Gateways from being Domain synchronizer candidates. Se il controller di dominio è di sola lettura, non impostarlo come candidato alla sincronizzazione del dominio.If your domain controller is read-only, do not set it as a Domain synchronizer candidate. Per altre informazioni, vedere Architettura di ATA.For more information, see ATA architecture.

    Nota

    Al primo avvio del servizio gateway ATA dopo l'installazione, saranno necessari alcuni minuti per creare la cache dei parser di acquisizione di rete.It will take a few minutes for the ATA Gateway service to start the first time after installation because it builds the cache of the network capture parsers. Le modifiche alla configurazione verranno applicate al gateway ATA alla successiva sincronizzazione pianificata tra il gateway ATA e ATA Center.The configuration changes will be applied to the ATA Gateway on the next scheduled sync between the ATA Gateway and the ATA Center.

  1. Facoltativamente, è possibile impostare il listener di Syslog e la Raccolta di inoltro eventi di Windows.Optionally, you can set the Syslog listener and Windows Event Forwarding Collection.
  2. Abilitare Update ATA Gateway automatically (Aggiorna automaticamente il gateway ATA) in modo che, quando si aggiorna ATA Center nelle versioni future, tutti i gateway ATA verranno aggiornati in automatico.Enable Update ATA Gateway automatically so that in upcoming version releases when you update the ATA Center, this ATA Gateway will be automatically updated.

  3. Fare clic su Save.Click Save.

Convalidare le installazioniValidate installations

Per verificare che il gateway ATA sia stato distribuito correttamente, controllare gli aspetti seguenti:To validate that the ATA Gateway has been successfully deployed, check the following:

  1. Controllare che il servizio denominato Microsoft Advanced Threat Analytics Gateway (Gateway Microsoft Advanced Threat Analytics) sia in esecuzione.Check that the service named Microsoft Advanced Threat Analytics Gateway is running. Dopo il salvataggio delle impostazioni del gateway ATA, possono essere necessari alcuni minuti per l'avvio del servizio.After you save the ATA Gateway settings, it might take a few minutes for the service to start.

  2. Se il servizio non viene avviato, esaminare il file "Microsoft.Tri.Gateway-Errors.log" nella cartella predefinita "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" e consultare Risoluzione dei problemi del registro errori ATA per assistenza.If the service does not start, review the “Microsoft.Tri.Gateway-Errors.log” file located in the following default folder, “%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs” and Check ATA Troubleshooting for help.

  3. Se si tratta del primo gateway ATA installato, dopo alcuni minuti accedere alla Console ATA e aprire il riquadro delle notifiche scorrendo rapidamente verso il lato destro dello schermo.If this is the first ATA Gateway installed, after a few minutes, log into the ATA Console and open the notification pane by swiping the right side of the screen open. Sulla barra di notifica a destra della console dovrebbe venire visualizzato l'elenco Entities Recently Learned.You should see a list of Entities Recently Learned in the notification bar on the right side of the console.

  4. Sul desktop fare clic sul collegamento Microsoft Advanced Threat Analytics per connettersi alla Console ATA.On the desktop, click the Microsoft Advanced Threat Analytics shortcut to connect to the ATA Console. Eseguire l'accesso con le stesse credenziali utente che sono state usate per installare il Centro ATA.Log in with the same user credentials that you used to install the ATA Center.

  5. Nella console cercare un elemento nella barra di ricerca, ad esempio un utente o un gruppo nel dominio.In the console, search for something in the search bar, such as a user or a group on your domain.
  6. Aprire Performance Monitor.Open Performance Monitor. Nell'albero delle prestazioni fare clic su Performance Monitor e quindi fare clic sull'icona a forma di segno di addizione peraggiungere un contatore.In the Performance tree, click on Performance Monitor and then click the plus icon to Add a Counter. Espandere Microsoft ATA Gateway (Gateway Microsoft ATA), scorrere verso il basso fino a Network Listener PEF Captured Messages/Sec (Messaggi del parser PEF di NetworkListener/sec) e aggiungere questo contatore.Expand Microsoft ATA Gateway and scroll down to Network Listener PEF Captured Messages/Sec and add it. Assicurarsi quindi che sul grafico venga visualizzata l'attività.Then, make sure you see activity on the graph.

    Immagine dell'aggiunta di contatori delle prestazioni

Vedere ancheSee Also