Новость из категории: Информация

Вопросы по Microsoft Advanced Threat Analytics. Продолжение

Вопросы по Microsoft Advanced Threat Analytics. Продолжение

Как мне развернуть Microsoft Advanced Threat Analytics?
Процесс развертывания очень прост и занимает примерно 15 минут. Обычно средство запускается как виртуальная машина и должно быть помещено на тог же самый хост Hyper-V в качестве контроллера домена (если используется Hyper-V), чтобы разрешить зеркалирование портов с контроллеров домена в экземпляр ATA. Зеркалирование позволяет экземпляру ATA видеть весь трафик контроллера домена и выполнять глубокий анализ пакетов без добавления каких-либо непроизводительных издержек для работающего DC. Для работы используются два сертификата. Один применяется для реальных коммуникаций центра ATA и может быть самозаверяющим сертификатом. Другой используется для активации соединения SSL с веб-сайтом управления ATA и тоже может быть самозаверяющим. Весьма вероятно, что вы захотите задействовать сертификат удостоверяющего центра своей организации: именно ему доверяют все системы в вашей сети.

ATA требует запуска на Windows Server 2012 R2, и система может быть членом домена или рабочей группы. Не следует об этом забывать, если конечно обслуживание компьютеров для организаций (http://it-terra.ru) не осуществляется сторонней компанией, специализирующейся на данном типе услуг. Подробные требования можно найти в документе https://technet.microsoft.com/en-US/library/dn707709.aspx?f=255&MSPPError=-2147217396. В нем рассказывается о размере базы данных и аппаратном обеспечении, в зависимости от числа контроллеров домена и нагрузки от аутентификации.

Существует два компонента ATA:
• центр Center,
• шлюз Gateway.

Вопросы по Microsoft Advanced Threat Analytics. Продолжение
Установка ATA

Оба могут запускаться на одном и том же экземпляре операционной системы в тестовой среде (но этого следует избегать в производственной среде), следовательно, IP-адрес центра коммуникации Center Communication настроен на параметр 127.0.0.2 (который является IP-адресом обратной связи, как и любой другой адрес из диапазона 127.0.0.0/8, только не 127.0.0.1). В обычном развертывании вам нужно иметь как минимум два IP-адреса для ATA, что активирует дополнительные шлюзы для подсоединения к единому экземпляру Center. Но для тестового варианта или одиночных развертываний этот IP-адрес обратной связи подходит, хотя, если вы используете один IP, вам нужно изменить номер порта для Center Communication со значения 443 на другое, например на 444. Также в производственной среде диск базы данных должен быть отделен от диска с установкой, для того чтобы гарантировать необходимую производительность операций ввода-вывода. Существует только один экран для настройки параметров, где указываются размер выбранной базы данных, которая должна быть выбрана, и IP-адреса и сертификаты, которые должны быть выбраны. Установка будет завершена после введения пользователем информации (см. скриншот выше).



Когда установка будет завершена, в веб-браузере откройте страницу настройки по адресу https://savdalata01.savilltech.net/configuration. Если вдруг вы получите ошибку сертификата, то причина в том, что он по умолчанию использует IP-адрес. Чтобы решить эту проблему, просто измените URL так, чтобы он использовал имя сервера, которое соответствует вашему сертификату веб-сайта управления. Теперь необходимо завершить настройку. Пользователь, который установил ATA, сможет получить доступ к порталу управления, как и члены локальной группы администраторов и локальной группы администраторов аналитики угроз повышенной сложности Microsoft Advanced Threat Analytics Administrators на сервере ATA Center.

Первая задача — это настройка учетной записи, которую будут использовать экземпляры шлюза (которых еще нет) для коммуникации с Active Directory, чтобы собрать информацию. Необходимо создать выделенную учетную запись, чтобы ATA ее использовал. Важно, чтобы учетная запись была типа Domain User, никаких других прав не требуется.

Вопросы по Microsoft Advanced Threat Analytics. Продолжение
Настройка учетной записи

Когда учетная запись домена будет сохранена, станет доступна кнопка загрузки Download Gateway Setup. Нажмите ее для того, чтобы загрузить программное обеспечение шлюза Gateway (см. скриншот выше). Основные настройки ATA Center теперь завершены. Gateway может быть установлен на экземпляр операционной системы центра управления или на экземпляры другой операционной системы. Загруженный файл программного обеспечения Gateway может использоваться на нескольких серверах шлюза. Загрузив программное обеспечение Gateway, откройте файл архива и скопируйте его содержимое в папку, доступную всем экземплярам операционной системы, которые будут серверами шлюзов. Запустите настройку Gateway и выполните базовую установку. Снова будет использоваться само-заверяющий сертификат наряду с указанием пользовательской учетной записи, которая должна иметь права локального администратора. Сертификат применяется для обоюдной аутентификации между ATA Center и ATA Gateway. Gateway также должен иметь два сетевых адаптера: один для захвATA пакетов и один для управления, хотя это не является обязательным требованием. Желательно переименовать эти адаптеры в операционной системе так, чтобы они соответствовали цели.

Вопросы по Microsoft Advanced Threat Analytics. Продолжение
Настройка шлюза

После установки шлюза конечным этапом завершения его настройки будет добавлен ие контроллеров домена, которые шлюз будет мониторить, и сетевого адаптера, который будет получать зеркально отраженные данные с контроллеров домена. Щелкните Save после введения данных (см. скриншот выше).

Вопросы по Microsoft Advanced Threat Analytics. Продолжение
Настройка зеркалирования портов

Теперь необходимо настроить порт зеркалирования так, чтобы шлюз получал необходимый трафик. В Hyper-V для исходной виртуальной машины (DC) это можно сделать в открытых настройках сетевого адаптера: откройте Advanced Features, затем в Port mirroring укажите как Mirroring mode режим Source. Для виртуальной машины ATA настройте режим зеркалирования Mirroring mode на Destination (см. скриншот выше).

Через несколько минут должны появиться данные, которые можно просмотреть, если щелкнуть по значку звонка Bell (уведомления) в правом верхнем углу вебконсоли.

Вопросы по Microsoft Advanced Threat Analytics. Продолжение
Работа с лентой сообщений

Щелкнув на значке в ленте сообщений (второй значок слева на скриншот выше), вы увидите обзор сообщений, где будет показана подозрительная активность. Потратьте немного времени на просмотр различных параметров настройки, которые дают дополнительные возможности, включая отправку предупреждений по электронной почте. Более подробную информацию о развертывании можно найти по адресу: littps://technet.microsoft.com/en-US/library/dn707704.aspx

Рейтинг статьи

Оценка
3/5
голосов: 1
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх