kharuka2016のブログ

日々の出来事を書き留めておくブログ

はじめてのMicrosoft Advanced Threat Analytics(ATA)導入

Azureテクノロジ入門2016 (マイクロソフト関連書)

Azureテクノロジ入門2016 (マイクロソフト関連書)

【前提条件】

仮想マシン

 AD(1NIC)

  サービスアカウント

   atasvc

 ATAセンター(1 NIC, 2 IPアドレスATAセンターサービス用と管理コンソール用)

  ローカルアカウント

   ataadmin(Micosoft Advanced Threat Analytics Administratorsグループに所属させる)

 ATAゲートウェイ(2 NIC:管理アダプター用とキャプチャーアダプター用)

  ※キャプチャーアダプターのIPアドレスは1.1.1.1/32

 Windowsクライアント

OS

 Windows Server 2016 Standard

 Windows 10

【導入手順概要】

1.Network設定

2.ATAセンターインストー

3.ATAゲートウェイインストー

【導入手順】

1.1.ADのネットワークアダプターのポートミラーリングミラーリングモードを移行元にします。

f:id:kharuka2016:20170706111729p:plain

1.2.同様にしてATA GWのキャプチャーアダプターのポートミラーリングミラーリングモードを移行先にします。

2.1.以下リンクからATA評価版メディアをダウンロードします。

www.microsoft.com

2.2.ATACenterにメディアを配置します。

f:id:kharuka2016:20170706111644p:plain

2.3.Microsoft ATA Center Setupを実行します。言語を選択し、次へをクリックします。

f:id:kharuka2016:20170706111712p:plain

2.4.マイクロソフトソフトウェアライセンス条項に同意しますにチェックを入れ、次へをクリックします。

f:id:kharuka2016:20170706111747p:plain

2.5.オフライン環境のため、Microsoft Updateを使用しませんを選択し、次へをクリックします。

f:id:kharuka2016:20170706111808p:plain

2.6.各項目入力し、インストールをクリックします。

f:id:kharuka2016:20170706111846p:plain

2.7.起動をクリックします。

f:id:kharuka2016:20170706111907p:plain

2.8.このサイトの閲覧を続行する(推奨されません)。をクリックします。

f:id:kharuka2016:20170706111920p:plain

2.9.今後、この警告を表示しないにチェックを入れ、OKをクリックします。

f:id:kharuka2016:20170706111951p:plain

2.10.サービスアカウントでサインインします。

f:id:kharuka2016:20170706112009p:plain

※atasvcでATAセンターにサインイン出来ない場合。

「リモートでサインインするには、リモートデスクトップサービス経由でサインインする権限が必要です。既定では、Remote Desktop Usersグループのメンバーがこの権限を持っています。所属しているグループに権限がない場合や、Remote Deskto Usersグループから権限が削除されている場合は、権限を追加する必要があります。」とメッセージが出た場合は、サービスアカウントにRDPする権限がないので、権限を付与します。

■権限付与の方法はこちらの記事などを参考にしてください。

kharuka2016.hatenablog.com

2.11.各項目入力し、接続のテストをします。

f:id:kharuka2016:20170706114518p:plain

3.1.仮想マシンATA GWでATAセンターの管理コンソールにアクセスし、ゲートウェイセットアップのダウンロードをクリックします。

f:id:kharuka2016:20170706121325p:plain

3.2.Microsoft ATA Gateway Setupを実行します。

f:id:kharuka2016:20170706121339p:plain

3.3.言語を選択し、次へをクリックします。

f:id:kharuka2016:20170706121400p:plain

3.4.次へをクリックします。

f:id:kharuka2016:20170706121414p:plain

3.5.各項目入力し、インストールをクリックします。

f:id:kharuka2016:20170706122303p:plain

3.6.起動をクリックします。

f:id:kharuka2016:20170706122414p:plain

3.7.このサイトの閲覧を続行する(推奨されません)。をクリックします。

f:id:kharuka2016:20170706122438p:plain

3.8.今後、この警告を表示しないにチェックを入れ、OKをクリックします。

f:id:kharuka2016:20170706122455p:plain

3.9.未構成をクリックします。

f:id:kharuka2016:20170706122610p:plain

3.10.各項目を入力し、キャプチャーアダプターにチェックを入れ、保存をクリックします。

ポートミラーリングされたドメインコントローラー(FQDN)でドメイン名しか入力しておらずはまってしまいました。

AD(ホスト名:atadc)、ドメイン(contoso.com)の場合、atadc.contoso.comと入力しましょう。

f:id:kharuka2016:20170706122655p:plain

3.11.画面上部に出る「すべてのゲートウェイがセンターの最新の構成と正常に同期しました。」メッセージを確認します。

またゲートウェイの状態が「開始しています」から「実行中」になることを確認します。

f:id:kharuka2016:20170706122711p:plain

参考:

docs.microsoft.com

Azureテクノロジ入門 2016

Azureテクノロジ入門 2016