kharuka2016のブログ

日々の出来事を書き留めておくブログ

Microsoft Advanced Threat Analytics(ATA)の設定Part1

Azureテクノロジ入門2016 (マイクロソフト関連書)

Azureテクノロジ入門2016 (マイクロソフト関連書)

【前提条件】

仮想マシン

 AD(1NIC)

  サービスアカウント

   atasvc

 ATAセンター(1 NIC, 2 IPアドレスATAセンターサービス用と管理コンソール用)

  ローカルアカウント

   ataadmin(Micosoft Advanced Threat Analytics Administratorsグループに所属させる)

 ATAゲートウェイ(2 NIC:管理アダプター用とキャプチャーアダプター用)

  ※キャプチャーアダプターのIPアドレスは1.1.1.1/32

 Windowsクライアント

OS

 Windows Server 2016 Standard

 Windows 10

【設定手順概要】

1.すべてのゲートウェイを自動更新します。

2.Windows イベント転送を構成します。(ポート ミラーリングによる ATA ゲートウェイの WEF 構成)

【設定手順】

1.ATAGWですべてのゲートウェイを自動更新します。

f:id:kharuka2016:20170706170926p:plain

2.1.ATAGWでWindowsイベント転送設定をします。

f:id:kharuka2016:20170706170906p:plain

2.2.ADでネットワーク サービス アカウントを Event Log Readers グループに追加します。

※Network Service を Event Log Readers グループに追加した後、変更を反映するためにドメイン コントローラーを再起動する必要があります。

f:id:kharuka2016:20170706164100p:plain

f:id:kharuka2016:20170706171359p:plain

f:id:kharuka2016:20170706171417p:plain

f:id:kharuka2016:20170707101812p:plain

2.3.[ターゲット サブスクリプション マネージャーを構成する] 設定を設定するドメイン コントローラーのポリシーを作成します。

f:id:kharuka2016:20170707101940p:plain

f:id:kharuka2016:20170707101852p:plain

f:id:kharuka2016:20170707102133p:plain

f:id:kharuka2016:20170707102150p:plain

f:id:kharuka2016:20170707103254p:plain

f:id:kharuka2016:20170707103505p:plain

f:id:kharuka2016:20170707103520p:plain

f:id:kharuka2016:20170707103536p:plain

f:id:kharuka2016:20170707103553p:plain

f:id:kharuka2016:20170707103611p:plain

f:id:kharuka2016:20170707112606p:plain

f:id:kharuka2016:20170707112621p:plain

2.4.ATA ゲートウェイでイベント 4776 が ATA ゲートウェイの [転送されたイベント] に表示される様に設定します。

f:id:kharuka2016:20170707112637p:plain

f:id:kharuka2016:20170707113737p:plain

f:id:kharuka2016:20170707112810p:plain

f:id:kharuka2016:20170707112829p:plain

f:id:kharuka2016:20170707112844p:plain

f:id:kharuka2016:20170707112859p:plain

f:id:kharuka2016:20170707112939p:plain

f:id:kharuka2016:20170707112952p:plain

f:id:kharuka2016:20170707113006p:plain

f:id:kharuka2016:20170707113019p:plain

f:id:kharuka2016:20170707113033p:plain

f:id:kharuka2016:20170707113045p:plain

本来はイベントID4776が転送されるはずなのですが、、、

現在調査中です。

f:id:kharuka2016:20170707113059p:plain

イベントID4776が転送されていました。設定の反映に時間がかかっただけの様でした。

f:id:kharuka2016:20170710102217p:plain

参考:

docs.microsoft.com

blogs.technet.microsoft.com

www.atmarkit.co.jp

www.atmarkit.co.jp

Azureテクノロジ入門 2016

Azureテクノロジ入門 2016