Hallo Allerseits,
wie bereits angekündigt hier nun ein Blogeintrag zum Thema ATA Installation. Die zu installierenden Komponenten sind ja ATA Center, ATA Gateway und ATA Lightweight Gateway.
Die Komponenten werden in einer produktiven Installation idealerweise voneinander getrennt aufgebaut.
Das ATA Center wird unihomed erstellt (eine NIC), aber idealerweise mit zwei IPs. Das ATA Gateway wird dualhomed (zwei NICs) aufgebaut, jede NIC bekommt eine IP. Da eine NIC beim Gateway “nur” als Capture-Adapter aufgebaut wird kann hier auch eine IP verwendet werden, welche nicht in den LAN-IP-Bereichen verwendet wird. Das ATA Lightweight Gateway wird AUF einem DC installiert und benötigt somit keine eigene Serverstruktur. Allerdings muss der betroffene DC über die geforderten Leistungsdaten verfügen, hierzu ist die Kapazitätsplanung das A und O (https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-capacity-planning)!
Zuerst wird das ATA-Center installiert, dann die Gateways. Zur weiteren Orientierung ist folgender Technet-Artikel interessant: https://docs.microsoft.com/de-de/advanced-threat-analytics/deploy-use/install-ata-step1
Center Installation:
Hier seht ihr, wie ich auf meiner Testinstanz für das ATA Center doch nur eine IP, aber unterschiedliche Sockets etabliert habe (443 + 444). Bei den Installationspfaden kann darüber nachgedacht werden die DB auf andere Partitionen zu legen und diese aus dem AV auszuschließen.
Rufen Sie nicht uns an, wir rufen Sie an:
Fertig:
Nach der Installation kann auf das Webfrontend des ATA Centers zugegriffen werden. Es wird sich entweder mit einem lokalen Admin authentifiziert (Workgroup-Szenario) oder mit einem Admin aus dem AD (Domain-Szenario):
Die Installation ist zunächst zeitlich limitiert, bis eine passende Seriennummer eingegeben worden ist.
Unter Configuration wird ein Benutzeraccount für einen AD-Connector angeben, hier reicht ein normaler Domain-User aus.
Danach führt ein beherzter Klick auf „Download ATA Gateway Setup“ zu den ATA Gateway Installationsdateien. In dem heruntergeladenen Zip-Archiv befindet sich eine personalsierte .json-Datei, insofern ist die Installation nur für das jeweilige Center als Backend geeignet:
Gateway Installation:
Für die Gateway Registrierung wird ein Admin-Account benötigt. Neben Self-signed Zertifikaten können auch Zertifikate der internen PKI verwendet werden, so vorhanden. Weitere Informationen dazu findet ihr hier: https://technet.microsoft.com/de-de/library/mt429319.aspx
Und wieder geht die Installation auf die Reise:
rdy:
Nach der ATA Gateway Installation meldet man sich im ATA Center an, um dann den zu überwachenden DC anzugeben, sowie die Capture-NIC definieren:
Speichern und Synchronisation abwarten bis:
Kontrolle ob folgende Dienste auf den jeweiligen Servern gestartet sind (hier ist zu Testzwecken das Center + Gateway auf einem Server installiert):
Wenn die AD Anbindung sauber läuft, dann sollte in der ATA Center Konsole eine Suche etwas zutage fördern:
Oder:
Schick, ATA lernt:
Lightweight Gateway Installation:
Seit der ATA Version 1.6 gibt es neuerdings sogenannte ATA Lightweight Gateways. Diese werden verwendet, wenn die Infrastruktur z.B. nicht die Möglichkeit bietet Spiegelports zu verwenden. Dies ist unter anderem in Cloud-Umgebungen wie Azure der Fall. Ein ATA Lightweight Gateway wird direkt auf den betroffenen DCs installiert. Voraussetzung hierfür ist das .Net Framework in der Version 4.6.1 (oder höher).
Die ATA Setup-Routine installiert das Framework selbständig, falls fehlend:
Die Installation des ATA Lightweight Gateways ist recht einfach:
Im Vorfeld genügend Ressourcen besorgen (Stichwort: Kapazitätsplanung, s.o.!), ansonsten kommt eine Hinweismeldung:
Nach der Installation sieht man das Lightweight Gateway natürlich auch in der ATA-Konfiguration:
Damit ATA aber einwandfrei lernen kann sind noch ein paar Basiskonfigurationen nötig. Dazu mehr im nächsten Artikel.
Gruß,
Karsten Hentrup aka Jens Mander…
<j-j>