Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Установка ATA. Шаг 5Install ATA - Step 5

Шаг 5.Step 5. Настройка параметров шлюза ATAConfigure the ATA Gateway settings

После установки шлюза ATA выполните следующие шаги по его настройке.After the ATA Gateway was installed, perform the following steps to configure the settings for the ATA Gateway.

  1. В консоли ATA перейдите к конфигурации и в разделе Системы выберите Шлюзы.In the ATA Console, go to Configuration and, under System, select Gateways.

    Изображение страницы настройки параметров шлюза

  2. Выберите шлюз, который требуется настроить, а затем введите указанные ниже сведения.Click on the Gateway you want to configure and enter the following information:

    Изображение страницы настройки параметров шлюза

    • Описание: введите описание шлюза ATA (необязательно).Description: Enter a description for the ATA Gateway (optional).
    • Контроллеры домена с зеркалированием портов (полное доменное имя) (обязательный параметр для шлюза ATA; не доступен для изменения в упрощенном шлюзе ATA): введите полное доменное имя контроллера домена и нажмите кнопку "плюс", чтобы добавить его в список.Port Mirrored Domain Controllers (FQDN) (required for the ATA Gateway, this cannot be changed for the ATA Lightweight Gateway): Enter the complete FQDN of your domain controller and click the plus sign to add it to the list. Например, dc01.contoso.com.For example, dc01.contoso.com

      Сведения ниже относятся к серверам, которые указываются в списке Контроллеры домена.The following information applies to the servers you enter in the Domain Controllers list:

      • Все контроллеры домена, трафик которых отслеживается для шлюза ATA с использованием зеркального отображения портов, необходимо указать в списке Контроллеры домена.All domain controllers whose traffic is being monitored via port mirroring by the ATA Gateway must be listed in the Domain Controllers list. Если контроллер домена не указан в списке Контроллеры домена, обнаружение подозрительных действий может выполняться не так, как ожидается.If a domain controller is not listed in the Domain Controllers list, detection of suspicious activities might not function as expected.
      • По крайней мере один контроллер домена из списка должен быть глобальным каталогом.At least one domain controller in the list should be a global catalog. Так решение ATA сможет устранять объекты компьютеров и пользователей в других доменах леса.This will enable ATA to resolve computer and user objects in other domains in the forest.
    • Сетевые адаптеры для записи (обязательно)Capture Network adapters (required):

    • Для шлюза ATA на выделенном сервере выберите сетевые адаптеры, настроенные в качестве зеркальных портов назначения.For an ATA Gateway on a dedicated server, select the network adapters that are configured as the destination mirror port. Они будут получать зеркально отображенный трафик контроллера домена.These will receive the mirrored domain controller traffic.
    • Для упрощенного шлюза ATA выберите все сетевые адаптеры, используемые для обмена данными с другими компьютерами в вашей организации.For an ATA Lightweight Gateway, this should be all the network adapters that are used for communication with other computers in your organization.
  • Синхронизатор домена-кандидат: за синхронизацию между ATA и доменом Active Directory может отвечать любой шлюз ATA, настроенный в качестве кандидата для синхронизатора домена.Domain synchronizer candidate: Any ATA Gateway set to be a domain synchronizer candidate can be responsible for synchronization between ATA and your Active Directory domain. В зависимости от размера домена начальная синхронизация может занять существенное время и потреблять много ресурсов.Depending on the size of the domain, the initial synchronization might take some time and is resource intensive. По умолчанию только шлюзы ATA указываются в качестве потенциальных синхронизаторов домена.By default, only ATA Gateways are set as Domain synchronizer candidates. Рекомендуется отключить настройку шлюзов ATA на удаленных площадках в качестве потенциальных синхронизаторов домена.It is recommended to disable any remote site ATA Gateways from being Domain synchronizer candidates. Если контроллер домена предназначен только для чтения, не указывайте его в качестве потенциального синхронизатора домена.If your domain controller is read-only, do not set it as a Domain synchronizer candidate. Дополнительные сведения см. в статье Архитектура ATA.For more information, see ATA architecture.

    Примечание

    Первый запуск службы шлюза ATA после установки может занять несколько минут, так как при этом создается кэш средств синтаксического анализа сетевого трафика.It will take a few minutes for the ATA Gateway service to start the first time after installation because it builds the cache of the network capture parsers. Применение изменений конфигурации к шлюзу ATA произойдет при следующей запланированной синхронизации шлюза и центра ATA.The configuration changes will be applied to the ATA Gateway on the next scheduled sync between the ATA Gateway and the ATA Center.

  1. При необходимости можно настроить прослушиватель системного журнала и сбор данных пересылки событий Windows.Optionally, you can set the Syslog listener and Windows Event Forwarding Collection.
  2. Включите параметр Update ATA Gateway automatically (Автоматическое обновление шлюза ATA), чтобы в ближайшей версии выпусков при обновлении центра ATA шлюз ATA обновлялся автоматически.Enable Update ATA Gateway automatically so that in upcoming version releases when you update the ATA Center, this ATA Gateway will be automatically updated.

  3. Нажмите кнопку Сохранить.Click Save.

Проверка установкиValidate installations

Чтобы проверить, успешно ли вы развернули шлюз ATA, сделайте следующее:To validate that the ATA Gateway has been successfully deployed, check the following:

  1. Убедитесь, что служба шлюза Microsoft Advanced Threat Analytics запущена.Check that the service named Microsoft Advanced Threat Analytics Gateway is running. После сохранения параметров шлюза ATA запуск службы может занять несколько минут.After you save the ATA Gateway settings, it might take a few minutes for the service to start.

  2. Если служба не запускается, просмотрите файл Microsoft.Tri.Gateway-Errors.log, расположенный в папке по умолчанию с путем %programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs. Разобраться в нем поможет статья об устранении неполадок ATA.If the service does not start, review the “Microsoft.Tri.Gateway-Errors.log” file located in the following default folder, “%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs” and Check ATA Troubleshooting for help.

  3. Если это первый установленный шлюз ATA, войдите в консоль ATA через несколько минут и откройте панель уведомлений, проведя в правой части открывшегося экрана.If this is the first ATA Gateway installed, after a few minutes, log into the ATA Console and open the notification pane by swiping the right side of the screen open. Вы увидите список Недавно изученные сущности в панели уведомлений в правой части консоли.You should see a list of Entities Recently Learned in the notification bar on the right side of the console.

  4. На рабочем столе щелкните ярлык Microsoft Advanced Threat Analytics, чтобы подключиться к консоли ATA.On the desktop, click the Microsoft Advanced Threat Analytics shortcut to connect to the ATA Console. Войдите под теми же учетными данными пользователя, которые использовалась для установки центра ATA.Log in with the same user credentials that you used to install the ATA Center.

  5. В консоли на панели поиска выполните поиск какой-либо сущности, например пользователя или группы в домене.In the console, search for something in the search bar, such as a user or a group on your domain.
  6. Откройте системный монитор.Open Performance Monitor. В дереве "Производительность" выберите Системный монитор, а затем щелкните значок плюса, чтобы добавить счетчик.In the Performance tree, click on Performance Monitor and then click the plus icon to Add a Counter. Разверните раздел Microsoft ATA Gateway (Шлюз Microsoft ATA), а затем прокрутите список вниз до пункта Network Listener PEF Captured Messages/Sec (Счетчик производительности. Количество сообщений, фиксируемых прослушивателем сети в секунду) и добавьте его.Expand Microsoft ATA Gateway and scroll down to Network Listener PEF Captured Messages/Sec and add it. Затем убедитесь, что на графе отображаются выполняемые действия.Then, make sure you see activity on the graph.

    Изображение окна добавления счетчиков производительности

См. такжеSee Also