Vysvětlení upozornění na stav ATA

Platí pro: Advanced Threat Analytics verze 1.9

ATA Health Center vás upozorní na problém s nasazením ATA tím, že vyvolá upozornění na stav. Tento článek popisuje všechna upozornění na stav pro každou komponentu a uvádí příčinu a kroky potřebné k vyřešení problému.

Problémy s ATA Center

V centru dochází místo na disku

Upozornění	Popis	Řešení	Závažnost
Dochází k nedostatku volného místa na jednotce počítače ATA Center, která se používá k ukládání databáze ATA.	To znamená, že na pevném disku je méně než 200 GB volného místa nebo že je na něm méně než 20 % volného místa podle toho, co je menší. Když ATA zjistí, že na jednotce dochází málo místa, začne z databáze odstraňovat stará data. Pokud nemůže odstranit stará data, protože stále potřebuje data pro modul detekce, zobrazí se tato výstraha. Jakmile obdržíte toto upozornění, ATA přestane sledovat nové aktivity.	Zvětšete velikost jednotky nebo uvolněte místo na této jednotce.	High (Vysoká)

Selhání při odesílání pošty

Upozornění	Popis	Řešení	Závažnost
ATA Nepovedlo se odeslat e-mailové oznámení na zadaný poštovní server.	Z ATA se neposílají žádné e-mailové zprávy.	Ověřte konfiguraci serveru SMTP.	Nízký

Přetížené centrum

Upozornění	Popis	Řešení	Závažnost
ATA Center nedokáže zpracovat množství dat přenášených z ATA Gateway.	ATA Center přestane analyzovat nový síťový provoz a události. To znamená, že během aktivního upozornění na stav se sníží přesnost detekcí a profilů.	Ujistěte se, že jste pro ATA Center poskytli dostatek prostředků. Další podrobnosti o správném plánování kapacity ATA Center najdete v tématu Plánování kapacity ATA. Prošetřete výkon ATA Center pomocí řešení potíží s ATA pomocí čítačů výkonu.	High (Vysoká)

Selhání připojení k serveru SIEM pomocí syslogu

Upozornění	Popis	Řešení	Závažnost
ATA se nepodařilo odeslat události do zadaného SIEM.	To znamená, že ATA Center nemůže odesílat podezřelé aktivity a upozornění na stav do vašeho SIEM.	Ujistěte se, že jsou správně nakonfigurovaná nastavení serveru Syslog.	Nízký

Platnost certifikátu centra brzy vyprší.

Upozornění	Popis	Řešení	Závažnost
Platnost certifikátu ATA Center vyprší za méně než 3 týdny.	Po vypršení platnosti certifikátu: Připojení z ATA Gateway k ATA Center selže. Proces ATA Center se chybově ukončí a všechny funkce ATA se zastaví.	Nahrazení certifikátu ATA Center	Střední

Platnost certifikátu ATA Center vypršela

Upozornění	Popis	Řešení	Závažnost
Platnost certifikátu ATA Center vypršela.	Po vypršení platnosti certifikátu: Připojení z ATA Gateway k ATA Center selže. Proces ATA Center se chybově ukončí a všechny funkce ATA se zastaví.	Opětovné nasazení ATA Center	High (Vysoká)

Problémy s ATA Gateway

Brzy vyprší platnost hesla uživatele jen pro čtení.

Upozornění	Popis	Řešení	Závažnost
Uživatelské heslo jen pro čtení, které se používá k překladu entit ve službě Active Directory, brzy vyprší za méně než 30 dnů.	Pokud vyprší platnost hesla pro tohoto uživatele, všechny komponenty ATA Gateway přestanou běžet a neshromáždí se žádná nová data.	Změňte heslo připojení k doméně a pak ho aktualizujte v konzole ATA.	Střední

Vypršela platnost hesla uživatele jen pro čtení.

Upozornění	Popis	Řešení	Závažnost
Platnost hesla uživatele jen pro čtení, které se používá k získání dat adresáře, vypršela.	Všechny komponenty ATA Gateway přestanou běžet (nebo brzy přestanou fungovat) a neshromažďují se žádná nová data.	Změňte heslo připojení k doméně a pak ho aktualizujte v konzole ATA.	High (Vysoká)

Blíží se vypršení platnosti certifikátu brány

Upozornění	Popis	Řešení	Závažnost
Platnost certifikátu ATA Gateway vyprší za méně než 3 týdny.	Připojení z konkrétní komponenty ATA Gateway k ATA Center selže. Z této komponenty ATA Gateway se neposílají žádná data.	Certifikát ATA Gateway by se měl obnovit automaticky. Přečtěte si protokoly ATA Gateway a ATA Center, abyste zjistili, proč se certifikát neprodloužil automaticky.	Střední

Platnost certifikátu brány vypršela

Upozornění	Popis	Řešení	Závažnost
Platnost certifikátu ATA Gateway vypršela.	Z této komponenty ATA Gateway neexistuje žádné připojení k ATA Center. Z této komponenty ATA Gateway se neposílají žádná data.	Odinstalujte a znovu nainstalujte ATA Gateway.	High (Vysoká)

Synchronizátor domény není přiřazený

Upozornění	Popis	Řešení	Závažnost
AtA Gateway nemá přiřazený žádný synchronizátor domény. K tomu může dojít, pokud není ata gateway nakonfigurovaná jako kandidát na synchronizátora domény.	Pokud doména není synchronizovaná, změny entit můžou způsobit, že informace o entitách v ATA přestanou být aktuální nebo chybí, ale nebudou mít vliv na žádné zjišťování.	Ujistěte se, že je alespoň jedna ATA Gateway nastavená jako synchronizátor domény.	Nízký

Všechny nebo některé síťové adaptéry pro zachytávání na bráně nejsou k dispozici

Upozornění	Popis	Řešení	Závažnost
Všechny nebo některé vybrané síťové adaptéry pro zachytávání ve službě ATA Gateway jsou zakázané nebo odpojené.	ATA Gateway už nezachytává síťový provoz některých nebo všech řadičů domény. To má vliv na schopnost detekovat podezřelé aktivity související s těmito řadiči domény.	Ujistěte se, že jsou tyto vybrané síťové adaptéry pro zachytávání ve službě ATA Gateway povolené a připojené.	Střední

Některé řadiče domény jsou nedostupné bránou

Upozornění	Popis	Řešení	Závažnost
ATA Gateway má omezené funkce kvůli problémům s připojením k některým nakonfigurovaným řadičům domény.	Detekce předání hodnoty hash může být méně přesná, když ata gateway nemůže dotazovat některé řadiče domény.	Ujistěte se, že jsou řadiče domény v provozu a že tato ATA Gateway k nim může otevřít připojení LDAP.	Střední

Všechny řadiče domény jsou nedostupné bránou

Upozornění	Popis	Řešení	Závažnost
ATA Gateway je momentálně offline kvůli problémům s připojením ke všem nakonfigurovaným řadičům domény.	To má vliv na schopnost ATA detekovat podezřelé aktivity související s řadiči domény monitorovanými touto komponentou ATA Gateway.	Ujistěte se, že jsou řadiče domény v provozu a že tato ATA Gateway k nim může otevřít připojení LDAP.	Střední

Brána přestala komunikovat

Upozornění	Popis	Řešení	Závažnost
Ze služby ATA Gateway nedošlo k žádné komunikaci. Výchozí časový rozsah pro tuto výstrahu je 5 minut.	Síťový adaptér ata Gateway už nezachytává síťový provoz. To má vliv na schopnost ATA detekovat podezřelé aktivity, protože síťový provoz se nebude moct dostat do ATA Center.	Zkontrolujte, že port používaný pro komunikaci mezi ATA Gateway a službou ATA Center není blokovaný žádnými směrovači nebo branami firewall.	Střední

Z řadiče domény nebyl přijat žádný provoz.

Upozornění	Popis	Řešení	Závažnost
Z řadiče domény se přes tuto ATA Gateway nepřijaly žádné přenosy.	To může znamenat, že zrcadlení portů z řadičů domény do ATA Gateway ještě není nakonfigurované nebo nefunguje.	Ověřte, že je zrcadlení portů na síťových zařízeních správně nakonfigurované. Na síťové kartě pro zachytávání ATA Gateway zakažte v upřesňujícím nastavení tyto funkce: Shodování příjmových segmentů (IPv4) Shodování příjmových segmentů (IPv6)	Střední

Některé přeposlané události se neanalybují.

Upozornění	Popis	Řešení	Závažnost
ATA Gateway přijímá více událostí, než dokáže zpracovat.	Některé přesměrované události se neanalybují, což může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných touto komponentou ATA Gateway.	Ověřte, že se do KOMPONENTY ATA Gateway předávají jenom požadované události, nebo zkuste některé události předat do jiné komponenty ATA Gateway.	Střední

Některé síťové přenosy se neanalybují

Upozornění	Popis	Řešení	Závažnost
ATA Gateway přijímá více síťového provozu, než dokáže zpracovat.	Některé síťové přenosy se neanalybují, což může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných touto komponentou ATA Gateway.	Zvažte přidání dalších procesorů a paměti podle potřeby. Pokud se jedná o samostatnou ATA Gateway, snižte počet monitorovaných řadičů domény. K tomu může dojít také v případě, že na virtuálních počítačích VMware používáte řadiče domény. Pokud se chcete těmto upozorněním vyhnout, můžete zkontrolovat, jestli jsou na virtuálním počítači nastavená následující nastavení na hodnotu 0 nebo Zakázáno: - TsoEnable – LargeSendOffload(IPv4) – Přesměrování zpracování IPv4 TSO Zvažte také zakázání přesměrování zpracování IPv4 obřího TSO. Další informace najdete v dokumentaci k VMware.	Střední

Zastaralá verze brány

Upozornění	Popis	Řešení	Závažnost
ATA Center je novější než verze nainstalovaná ve službě ATA Gateway. To způsobuje, že ATA Gateway přestane fungovat podle očekávání.	To může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných touto komponentou ATA Gateway.	Automaticky aktualizujte ATA Gateway na nejnovější verzi povolením automatické aktualizace v konzole ATA nebo stažením nejnovějšího balíčku ATA Gateway dostupného v konzole ATA.	High (Vysoká)

Službu brány se nepodařilo spustit

Upozornění	Popis	Řešení	Závažnost
Službu ATA Gateway se nepodařilo spustit nejméně 30 minut.	To může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných touto komponentou ATA Gateway.	Monitorujte protokoly ATA Gateway, abyste pochopili původní příčinu selhání služby ATA Gateway.	High (Vysoká)

Lightweight Gateway

Lightweight Gateway dosáhla limitu prostředků paměti

Upozornění	Popis	Řešení	Závažnost
Lightweight ATA Gateway se sama zastavila a automaticky se restartuje, aby chránila řadič domény před nedostatkem paměti.	Lightweight ATA Gateway sama o sobě vynucuje omezení paměti, aby nedošlo k omezení prostředků řadiče domény. K tomu dochází, když je využití paměti na řadiči domény vysoké. Data z tohoto řadiče domény se monitorují jenom částečně.	Pokud chcete lépe distribuovat zatížení tohoto řadiče domény, zvyšte velikost paměti (RAM) na řadiči domény nebo přidejte do této lokality další řadiče domény.	Střední

Viz taky

• Požadavky ATA
• Plánování kapacity ATA
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Podívejte se na fórum ATA!