Instalar ATA - Passo 5

Aplica-se a: Advanced Threat Analytics versão 1.9

Passo 5: Configurar as definições do ATA Gateway

Depois de instalado o Gateway ATA, execute os seguintes passos para configurar as definições do Gateway ATA.

1. Na Consola ATA, vá a Configuração e, em Sistema, selecione Gateways.

   

2. Selecione o Gateway que pretende configurar e introduza as seguintes informações:

   

   • Descrição: Introduza uma descrição para o ATA Gateway (opcional).
   • Controladores de Domínio Espelhados via Porta (FQDN) (Essencial para o Gateway ATA, não pode ser modificado para o Gateway ATA Leve): Introduza o FQDN completo do seu controlador de domínio e selecione o ícone de mais para o adicionar à lista. Por exemplo, dc01.contoso.com

   A seguinte informação aplica-se aos servidores que inserir na lista de Controladores de Domínio:

   • Todos os controladores de domínio cujo tráfego está a ser monitorizado via espelhamento de portas pelo Gateway ATA devem estar listados na lista de Controladores de Domínio . Se um controlador de domínio não estiver listado na lista Controladores de Domínio , a deteção de atividades suspeitas poderá não funcionar conforme esperado.

   • Pelo menos um controlador de domínio na lista deve ser um catálogo global. Isto permite ao ATA resolver objetos do computador e do utilizador noutros domínios da floresta.

   • Adaptadores de rede de captura (obrigatórios):

   • Para um gateway ATA num servidor dedicado, selecione os adaptadores de rede configurados como porta de espelho de destino. Estes recebem o tráfego espelhado do controlador de domínio.

   • Para um Gateway Leve ATA, isto deve abranger todos os adaptadores de rede usados para comunicação com outros computadores da sua organização.

   • Candidato a sincronizador de domínio: Qualquer ATA Gateway configurado como candidato a sincronizador de domínio pode ser responsável pela sincronização entre o ATA e o seu domínio Active Directory. Dependendo do tamanho do domínio, a sincronização inicial pode demorar algum tempo e é exigente em recursos. Por padrão, apenas os Gateways ATA são definidos como candidatos a sincronizador de domínio. Recomenda-se que remova quaisquer gateways ATA de sites remotos da lista de candidatos a sincronizadores de domínio. Se o seu controlador de domínio for apenas de leitura, não o defina como candidato a sincronizador de domínio. Para mais informações, consulte arquitetura ATA.

   Observação

   Demora alguns minutos até o serviço ATA Gateway iniciar pela primeira vez após a instalação porque constrói a cache dos parsers de captura de rede. As alterações de configuração são aplicadas ao Gateway ATA na próxima sincronização programada entre o Gateway ATA e o ATA Center.

3. Opcionalmente, pode definir o ouvinte Syslog e Windows Event Forwarding Collection.

4. Ative Atualizar o Gateway ATA automaticamente para que, nas próximas versões, ao atualizar o Centro ATA, este gateway ATA seja atualizado automaticamente.

5. Selecione Guardar.

Validar instalações

Para validar que o ATA Gateway foi implementado com sucesso, verifique os seguintes passos:

1. Verifique se o serviço chamado Microsoft Advanced Threat Analytics Gateway está a funcionar. Depois de guardares as definições do ATA Gateway, pode demorar alguns minutos até o serviço começar.

2. Se o serviço não arrancar, reveja o "Microsoft. Tri.Gateway-Errors.log" localizado na pasta predefinida seguinte, "%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs" e verifique ATA Troubleshooting para obter ajuda.

3. Se este for o primeiro ATA Gateway instalado, passados alguns minutos, inicie sessão na Consola ATA e abra o painel de notificações deslizando a partir do lado direito do ecrã. Deves ver uma lista de Entidades Recentemente Aprendidas na barra de notificações do lado direito da consola.

4. No ambiente de trabalho, selecione o atalho Microsoft Advanced Threat Analytics para se ligar à Consola ATA. Inicia sessão com as mesmas credenciais de utilizador que usaste para instalar o ATA Center.

5. Na consola, procura algo na barra de pesquisa, como um utilizador ou um grupo no teu domínio.

6. Abra o Monitor de Desempenho. Na árvore de Desempenho, selecione Performance Monitor e depois selecione o ícone mais para Adicionar um Contador. Expanda Microsoft ATA Gateway e desça até Network Listener PEF Captured Messages/Sec e adicione-a. Depois, certifica-te de que vês a atividade no gráfico.

   

Definir exclusões de antivírus

Após instalar o Gateway ATA, exclua o diretório ATA de ser continuamente analisado pela sua aplicação antivírus. A localização padrão na base de dados é: **C:\Program Files\Microsoft Advanced Threat Analytics**.

Certifique-se de excluir também os seguintes processos da análise AV:

Processos
Microsoft.Tri.Gateway.exe
Microsoft.Tri.Gateway.Updater.exe

Se instalaste o ATA numa pasta diferente, certifica-te de alterar os caminhos das pastas de acordo com a tua instalação.

Ver também

• Guia de implementação de POC da ATA
• Ferramenta de dimensionamento ATA
• Veja o fórum do ATA!
• Configurar a recolha de eventos
• Pré-requisitos do ATA