Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Работа с консолью ATAWorking with the ATA Console

C помощью консоли можно отслеживать обнаруженные решением ATA подозрительные действия и принимать соответствующие меры.Use the ATA console to monitor and respond to suspicious activity detected by ATA.

Если вы введете ключ ?, будет выведен список сочетаний клавиш для работы с порталом ATA.Typing the ? key provides keyboard shortcuts for ATA Portal accessibility.

Предоставление доступа к консоли ATAEnabling access to the ATA Console

Чтобы успешно войти в консоль ATA, следует войти в качестве пользователя, которому назначена роль ATA, нужная для доступа к консоли ATA.To successfully log in to the ATA Console, you have to log in with a user who was assigned the proper ATA role to access the ATA Console. Дополнительные сведения об управлении доступом на основе ролей (RBAC) в ATA см. в статье Группы ролей ATA.For more information about role-based access control (RBAC) in ATA, see Working with ATA role groups.

Вход в консоль ATALogging into the ATA Console

Примечание

Начиная с ATA 1.8, процесс входа в консоль ATA выполняется с использованием единого входа.Starting with ATA 1.8, the log in process to the ATA Console is accomplished using single sign-on.

  1. На рабочем столе сервера центра ATA щелкните значок консоли Microsoft ATA или откройте браузер и перейдите к консоли ATA.In the ATA Center server, click the Microsoft ATA Console icon on the desktop or open a browser and browse to the ATA Console.

    Значок сервера ATA

    Примечание

    Кроме того, можно открыть браузер из центра или шлюза ATA и ввести в адресную строку IP-адрес, указанный для консоли ATA при установке центра ATA.You can also open a browser from either the ATA Center or the ATA Gateway and browse to the IP address you configured in the ATA Center installation for the ATA Console.

  2. Если компьютер, на котором установлен центр ATA, и компьютер, с которого вы пытаетесь получить доступ к консоли ATA, присоединены к домену, ATA поддерживает единый вход, интегрированный с проверкой подлинности. Если вы уже вошли в компьютер, ATA будет использовать соответствующий токен для входа в консоль ATA.If the computer on which the ATA Center is installed and the computer from which you are trying to access the ATA Console are both domain joined, ATA supports single sign-on integrated with Windows authentication - if you've already logged on to your computer, ATA uses that token to log you into the ATA Console. Кроме того, можно выполнять вход в систему с помощью смарт-карты.You can also log in using a smartcard. Ваши разрешения в ATA будут соответствовать вашей роли администратора.Your permissions in ATA correspond with your administrator role.

    Примечание

    При входе в компьютер, с которого вы будете получать доступ к консоли ATA, используйте имя пользователя и пароль администратора ATA.Make sure to log on to the computer from which you want to access the ATA Console using your ATA admin username and password. Вы также можете запустить браузер от имени другого пользователя или выйти из системы Windows и снова войти как администратор ATA.Alternatively, you can run your browser as a different user or log out of Windows and log on with your ATA admin user. Чтобы при доступе к консоли ATA был выведен запрос на ввод учетных данных, откройте ее, перейдя по соответствующему IP-адресу.To prompt the ATA Console to ask for credentials, access the console using an IP address and you are prompted to enter credentials.

  3. Для выполнения входа с использованием функции единого входа сайт консоли ATA должен быть определен в браузере как сайт местной интрасети, а доступ должен осуществляться с помощью краткого имени или localhost.To log in using SSO, make sure the ATA console site is defined as a local intranet site in your browser and that you access it using a shortname or a localhost.

Примечание

Помимо записи в журнал всех подозрительных действий и оповещений о работоспособности, выполняется аудит всех изменений конфигурации, вносимых в консоли ATA, в журнале событий Windows на компьютере центра ATA (Журнал приложений и служб > Microsoft ATA).In addition to logging each suspicious activity and health alert, every configuration change you make in the ATA Console is audited in the Windows Event Log on the ATA Center machine, under Applications and services log and then Microsoft ATA. Кроме того, выполняется аудит всех операций входа в консоль ATA.Each login to the ATA console is audited as well.
Сведения об изменениях конфигурации, влияющих на работу шлюза ATA, также записываются в журнал событий Windows на компьютере шлюза ATA.Configuration affecting the ATA Gateway is also logged in the Windows Event Log of the ATA Gateway machine.

Консоль ATAThe ATA Console

Консоль ATA предоставляет краткий обзор всех оповещений о подозрительных действиях в хронологическом порядке иThe ATA Console provides you a quick view of all suspicious activities in chronological order. позволяет получить дополнительные сведения о любой активности и связанных с ней действиями.It enables you to drill into details of any activity and perform actions based on those activities. В консоли также отображаются оповещения и уведомления о неполадках сети ATA или о новых подозрительных действиях.The console also displays alerts and notifications to highlight problems with the ATA network or new activities that are deemed suspicious.

Ниже приведены основные элементы консоли ATA.These are the key elements of the ATA console.

Временная шкала атакAttack time line

Целевая страница по умолчанию, на которую вы попадаете сразу после входа в консоль ATA.This is the default landing page you are taken to when you log in to the ATA Console. По умолчанию на временной шкале атак отображаются все открытые подозрительные действия.By default, all open suspicious activities are shown on the attack time line. Временную шкалу атак можно фильтровать, чтобы просмотреть все, открытые, закрытые или заблокированные подозрительные действия.You can filter the attack time line to show All, Open, Dismissed or Suppressed suspicious activities. Вы также можете просмотреть уровень серьезности каждого действия.You can also see the severity assigned to each activity.

Изображение временной шкалы атак ATA

Дополнительные сведения см. в статье Обработка подозрительных действий.For more information, see Working with suspicious activities.

Панель уведомленийNotification bar

При обнаружении нового подозрительного действия панель уведомлений автоматически открывается с правой стороны.When a new suspicious activity is detected, the notification bar opens automatically on the right-hand side. Если подозрительные действия были обнаружены после того, как вы покинули консоль, панель уведомлений откроется после выполнения входа.If there are new suspicious activities since the last time you logged in, the notification bar will open after you have successfully logged in. Чтобы открыть панель уведомлений, щелкните стрелку справа.You can click the arrow on the right at any time to access the notification bar.

Изображение панели уведомлений ATA

Панель фильтровFiltering panel

Подозрительные действия, которые отображаются на временной шкале атак или на вкладке подозрительных действий в профиле сущности, можно фильтровать по состоянию и уровню серьезности.You can filter which suspicious activities are displayed in the attack time line or displayed in the entity profile suspicious activities tab based on Status and Severity.

Панель поиска расположена в верхнем меню.In the top menu, you can find a search bar. С ее помощью можно найти конкретного пользователя, компьютер или группы в ATA.You can search for a specific user, computer, or groups in ATA. Чтобы воспользоваться панелью поиска, просто начните вводить текст в текстовом поле.To give it a try, just start typing.

Изображение панели поиска консоли ATA

Центр работоспособностиHealth Center

В центре работоспособности отображаются оповещения об аномальном поведении компонентов в развернутом решении ATA.The Health Center provides you with alerts when something isn't working properly in your ATA deployment.

Изображение центра работоспособности ATA

При обнаружении каких-либо ошибок сети (например, ошибки подключения или отключения шлюза ATA) на значке центра работоспособности появится красная точка.Any time your system encounters a problem, such as a connectivity error or a disconnected ATA Gateway, the Health Center icon lets you know by displaying a red dot. Красная точка над значком центра работоспособности ATA (рисунок)

Профили пользователей и компьютеровUser and computer profiles

Решение ATA создает профиль для каждого пользователя и компьютера в сети.ATA builds a profile for each user and computer in the network. В профиле пользователя отображаются общие сведения (например, членство в группе, история операций входа и недавно запрашиваемые ресурсы).In the user profile ATA displays general information, such as group membership, recent logins, and recently accessed resources. В нем также приводится список расположений, из которых пользователь выполнял подключение посредством VPN.It also provides a list of locations where the user connected via VPN. Список групп, которые рассматриваются в ATA как привилегированные, см. ниже.For a list of group memberships that ATA considers sensitive, see the list that follows.

Профиль пользователя

В профиле компьютера отображаются общие сведения о компьютере (например, история операций входа и недавно запрашиваемые ресурсы).In the computer profile, ATA displays general information, such as recent logins and recently accessed resources.

Профиль компьютера

Дополнительные сведения об объектах (компьютерах, устройствах, пользователях) отображаются на страницах ATA "Сводка", "Действия" и "Подозрительные действия".ATA provides additional information about entities (computers, devices, users) on the following pages: Summary, Activities, and Suspicious activities.

Возле профиля, который ATA не удалось полностью опознать, будет отображаться наполовину заполненный круг.A profile that ATA has not been able to fully resolve is identified by a half-filled circle icon next to it.

Изображение неразрешенного профиля ATA

Привилегированные группыSensitive groups

Перечисленные ниже группы рассматриваются в ATA как привилегированные.The following list of groups are considered Sensitive by ATA. Любая сущность, которая входит в эти группы, считается конфиденциальной:Any entity that is a member of these groups is considered sensitive:

  • Контроллеры домена предприятия — только чтениеEnterprise Read Only Domain Controllers
  • Администраторы доменаDomain Admins
  • Контроллеры доменаDomain Controllers
  • Администраторы схемыSchema Admins,
  • Администраторы предприятияEnterprise Admins
  • Владельцы-создатели групповой политикиGroup Policy Creator Owners
  • Контроллеры домена только для чтенияRead Only Domain Controllers
  • АдминистраторыAdministrators
  • Опытные пользователиPower Users
  • Операторы учетаAccount Operators
  • Операторы сервераServer Operators
  • Операторы печатиPrint Operators,
  • Операторы архиваBackup Operators,
  • РепликаторыReplicators
  • Пользователи удаленного рабочего столаRemote Desktop Users
  • Операторы настройки сетиNetwork Configuration Operators
  • Создатели входящего доверия лесаIncoming Forest Trust Builders
  • Администраторы DNSDNS Admins

Мини-профильMini profile

При наведении в консоли указателя мыши на сущность (где представлена одна сущность, например пользователь или компьютер) автоматически отображается мини-профиль сущности, в котором содержатся следующие сведения:If you hover your mouse over an entity, anywhere in the console where there is a single entity presented, such as a user, or a computer, a mini profile automatically opens displaying the following information if available:

Изображение мини-профиля ATA

  • ИмяName

  • ИзображениеPicture

  • Электронная почтаEmail

  • ТелефонTelephone

  • Сведения о количестве подозрительных действий по уровню серьезностиNumber of suspicious activities by severity

См. такжеSee Also

Ознакомьтесь с форумом ATA.Check out the ATA forum!