安装 ATA - 步骤 5

适用于：高级威胁分析版本 1.9

步骤 5：配置 ATA 网关设置

安装 ATA 网关后，请执行以下步骤来配置 ATA 网关的设置。

1. 在 ATA 控制台中，转到 “配置” ，然后在“ 系统”下选择“ 网关”。

   

2. 单击要配置的网关，并输入以下信息：

   

   • 说明：输入 ATA 网关 (可选) 的说明。
   • 端口镜像域控制器 (FQDN) ATA 网关所需的 (，不能更改 ATA 轻型网关) ：输入域控制器的完整 FQDN，然后单击加号将其添加到列表中。 例如， dc01.contoso.com

   以下信息适用于在 “域控制器 ”列表中输入的服务器：

   • 必须在域控制器列表中列出通过 ATA 网关通过端口镜像监视其流量的所有 域控制器 。 如果域控制器未在 “域控制器 ”列表中列出，则可疑活动的检测可能无法按预期运行。

   • 列表中至少有一个域控制器应该是全局目录。 这使 ATA 能够解析林中其他域中的计算机和用户对象。

   • 捕获网络适配器（必需）：

   • 对于专用服务器上的 ATA 网关，请选择配置为目标镜像端口的网络适配器。 它们接收镜像的域控制器流量。

   • 对于 ATA 轻型网关，这应该是用于与组织中的其他计算机通信的所有网络适配器。

   • 域同步器候选项：设置为域同步器候选项的任何 ATA 网关都可以负责 ATA 与 Active Directory 域之间的同步。 根据域的大小，初始同步可能需要一些时间，并且会占用大量资源。 默认情况下，仅 ATA 网关设置为域同步器候选项。 建议禁用任何远程站点 ATA 网关作为域同步器候选项。 如果域控制器是只读的，请不要将其设置为域同步器候选项。 有关详细信息，请参阅 ATA 体系结构。

   注意

   ATA 网关服务在安装后第一次启动需要几分钟时间，因为它会生成网络捕获分析器的缓存。 在 ATA 网关与 ATA 中心之间的下一次计划同步时，配置更改将应用于 ATA 网关。

3. （可选）可以设置 Syslog 侦听器和 Windows 事件转发集合。

4. 启用 自动更新 ATA 网关 ，以便在更新 ATA 中心时，在即将发布的版本中，此 ATA 网关会自动更新。

5. 单击保存。

验证安装

若要验证是否已成功部署 ATA 网关，检查以下步骤：

1. 检查名为 Microsoft 高级威胁分析网关 的服务是否正在运行。 保存 ATA 网关设置后，服务可能需要几分钟时间才能启动。

2. 如果服务未启动，请查看位于以下默认文件夹中的“Microsoft.Tri.Gateway-Errors.log”文件“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs”，并查看 ATA 故障排除 以获取帮助。

3. 如果这是安装的第一个 ATA 网关，则几分钟后，登录到 ATA 控制台，并通过轻扫打开的屏幕右侧打开通知窗格。 应在控制台右侧的通知栏中看到 最近学习的实体 列表。

4. 在桌面上，单击 “Microsoft高级威胁分析 ”快捷方式以连接到 ATA 控制台。 使用用于安装 ATA 中心的相同用户凭据登录。

5. 在控制台中，在搜索栏中搜索某些内容，例如域上的用户或组。

6. 打开性能监视器。 在“性能”树中，单击“性能监视器然后单击加号图标以添加计数器。 展开 MICROSOFT ATA 网关 ，向下滚动到 网络侦听器 PEF 捕获的消息数/秒 并添加它。 然后，请确保在图形上看到活动。

   

设置防病毒排除项

安装 ATA 网关后，从防病毒应用程序持续扫描 ATA 目录中排除。 数据库中的默认位置为：**C：\Program Files\Microsoft Advanced Threat Analytics**。

此外，请确保从 AV 扫描中排除以下进程：

过程
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

如果在不同的目录中安装了 ATA，请确保根据安装更改文件夹路径。

另请参阅

• ATA POC 部署指南
• ATA 大小调整工具
• 查看 ATA 论坛！
• 配置事件集合
• ATA 先决条件