Instalar o ATA – Etapa 5

Aplica-se a: Advanced Threat Analytics versão 1.9

Etapa 5: Definir as configurações do Gateway do ATA

Depois que o Gateway do ATA foi instalado, execute as etapas a seguir para definir as configurações do Gateway do ATA.

1. No Console do ATA, vá para Configuração e, em Sistema, selecione Gateways.

   

2. Selecione no Gateway que você deseja configurar e insira as seguintes informações:

   

   • Descrição: insira uma descrição para o Gateway do ATA (opcional).
   • Controladores de Domínio com Porta Espelhada (FQDN) (necessários para o ATA Gateway; os Controladores de Domínio com Porta Espelhada não podem ser alterados para o Gateway Lightweight do ATA): insira o FQDN completo do seu controlador de domínio e clique no sinal de adição para adicioná-lo à lista. Por exemplo, dc01.contoso.com

   As seguintes informações se aplicam aos servidores que você insere na lista controladores de domínio :

   • Todos os controladores de domínio cujo tráfego está sendo monitorado por meio do espelhamento de porta pelo Gateway do ATA devem ser listados na lista Controladores de Domínio . Se um controlador de domínio não estiver listado na lista Controladores de Domínio , a deteção de atividades suspeitas poderá não funcionar conforme esperado.

   • Pelo menos um controlador de domínio na lista deve ser um catálogo global. Isso permite que o ATA resolva objetos de computador e usuário em outros domínios na floresta.

   • Captura de adaptadores de rede (necessário):

   • Para um Gateway do ATA em um servidor dedicado, selecione os adaptadores de rede que estão configurados como a porta de espelhamento de destino. Eles recebem o tráfego do controlador de domínio espelhado.

   • Para um Gateway Lightweight do ATA, esses devem ser todos os adaptadores de rede que são usados para comunicação com outros computadores em sua organização.

   • Domain synchronizer candidate: qualquer gateway do ATA definido como um candidato sincronizador de domínio pode ser responsável pela sincronização entre o ATA e seu domínio Active Directory. Dependendo do tamanho do domínio, a sincronização inicial pode levar algum tempo e é intensiva em recursos. Por padrão, somente os Gateways do ATA são definidos como candidatos ao sincronizador de domínio. É recomendável que você desabilite quaisquer Gateways do ATA no site remoto como candidatos a sincronizador de domínio. Se o controlador de domínio for em modo somente leitura, não o defina como um candidato ao sincronizador. Para obter mais informações, consulte a arquitetura do ATA.

   Observação

   Levará alguns minutos para que o serviço de Gateway do ATA inicie na primeira vez após a instalação, pois ele cria o cache dos analisadores de captura de rede. As alterações de configuração são aplicadas ao Gateway do ATA na próxima sincronização agendada entre o Gateway do ATA e o Centro do ATA.

3. Opcionalmente, você pode definir o ouvinte Syslog e a Coleção de Encaminhamento de Eventos do Windows.

4. Habilite Atualizar automaticamente o Gateway do ATA para que, nas próximas versões, ao atualizar o Centro do ATA, este Gateway do ATA seja atualizado automaticamente.

5. Clique em Salvar.

Validar instalações

Para validar que o Gateway do ATA foi implantado com êxito, verifique as seguintes etapas:

1. Verifique se o serviço chamado Microsoft Advanced Threat Analytics Gateway está em execução. Depois de salvar as configurações do Gateway do ATA, pode levar alguns minutos para que o serviço seja iniciado.

2. Se o serviço não for iniciar, examine o arquivo "Microsoft.Tri.Gateway-Errors.log" localizado na seguinte pasta padrão, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" e consulte Solução de problemas do ATA para mais ajuda.

3. Se este for o primeiro Gateway do ATA instalado, após alguns minutos, entre no Console do ATA e abra o painel de notificação deslizando o lado direito da tela aberta. Você deve ver uma lista de Entidades Aprendidas recentemente na barra de notificação no lado direito do console.

4. Na área de trabalho, selecione o atalho Microsoft Advanced Threat Analytics para se conectar ao Console do ATA. Entre com as mesmas credenciais de usuário que você usou para instalar o Centro do ATA.

5. No console, pesquise algo na barra de pesquisa, como um usuário ou um grupo em seu domínio.

6. Abra Monitor de Desempenho. Na árvore Desempenho, selecione Monitor de Desempenho e depois selecione o ícone de adição para Adicionar um Contador. Expanda o Gateway do Microsoft ATA e role para baixo até Network Listener PEF Captured Messages/Sec e adicione-o. Em seguida, verifique se você vê a atividade no grafo.

   

Definir exclusões antivírus

Depois de instalar o Gateway do ATA, exclua o diretório do ATA de ser verificado continuamente pelo aplicativo antivírus. O local padrão no banco de dados é: **C:\Arquivos de Programas\Microsoft Advanced Threat Analytics**.

Exclua também os seguintes processos da verificação antivirus:

Processos
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Se você instalou o ATA em um diretório diferente, altere os caminhos da pasta de acordo com sua instalação.

Consulte também

• Guia de implantação do ATA POC
• Ferramenta de dimensionamento do ATA
• Veja o fórum do ATA!
• Configurar a recolha de eventos
• Pré-requisitos do ATA