适用于:高级威胁分析版本 1.9
ATA 可以在检测到可疑活动时通知你。 若要使 ATA 能够发送电子邮件通知,必须首先配置Email服务器设置。
在 ATA 中心服务器上,单击桌面上的“Microsoft 高级威胁分析管理”图标。
输入用户名和密码,然后单击“ 登录”。
选择工具栏上的设置选项,然后选择 “配置”。
在 “通知 ”部分的 “邮件服务器”下,输入以下信息:
字段 说明 值 SMTP 服务器终结点 (必需) 输入 SMTP 服务器的 FQDN,并选择性地更改端口号 (默认 25) 。 例如:
smtp.contoso.comSSL 如果 SMTP 服务器需要 SSL,请切换 SSL。 注意: 如果启用 SSL,则还需要更改端口号。 默认值已禁用 身份验证 如果 SMTP 服务器需要身份验证,请启用。 注意: 如果启用身份验证,则必须提供有权连接到 SMTP 服务器的电子邮件帐户的用户名和密码。 默认值已禁用 发送自(必需) 输入将从其发送电子邮件的电子邮件地址。 例如:
ATA@contoso.com
为 ATA 提供 Syslog 服务器设置
ATA 可以通过将通知发送到 Syslog 服务器,在检测到可疑活动时通知你。 如果启用 Syslog 通知,则可以为其设置以下内容。
在配置 Syslog 通知之前,请与 SIEM 管理员联系,了解以下信息:
SIEM 服务器的 FQDN 或 IP 地址
SIEM 服务器侦听的端口
要使用的传输方式:UDP、TCP 或 TLS (安全 Syslog)
发送数据 RFC 3164 或 5424 的格式
在 ATA 中心服务器上,单击桌面上的“Microsoft 高级威胁分析管理”图标。
输入用户名和密码,然后单击“ 登录”。
选择工具栏上的设置选项,然后选择 “配置”。
在“通知”部分下,选择“ Syslog 服务器 ”并输入以下信息:
字段 说明 Syslog 服务器终结点 Syslog 服务器的 FQDN,并选择性地更改端口号 (默认值 514)
只能配置一个 Syslog 终结点。Transport 可以是 UDP、TCP 或 TLS (安全 Syslog) 格式 这是 ATA 用于将事件发送到 SIEM 服务器(RFC 5424 或 RFC 3164)的格式。 