Freigeben über


Grundlegendes zu ATA-Integritätswarnungen

Gilt für: Advanced Threat Analytics Version 1.9

Das ATA Health Center informiert Sie, wenn ein Problem mit der ATA-Bereitstellung vorliegt, indem eine Integritätswarnung ausgelöst wird. In diesem Artikel werden alle Integritätswarnungen für jede Komponente beschrieben sowie die Ursache und die Schritte aufgelistet, die zur Behebung des Problems erforderlich sind.

ATA Center-Probleme

Center, bei dem nicht genügend Speicherplatz vorhanden ist

Warnung Beschreibung Lösung Severity
Der freie Speicherplatz auf dem ATA Center-Computerlaufwerk, der zum Speichern der ATA-Datenbank verwendet wird, wird knapp. Dies bedeutet, dass die Festplatte über weniger als 200 GB freien Speicherplatz verfügt oder weniger als 20 % freier Speicherplatz verfügbar ist, je nachdem, welcher Wert kleiner ist. Wenn ATA erkennt, dass der Speicherplatz auf dem Laufwerk knapp wird, beginnt es, alte Daten aus der Datenbank zu löschen. Wenn alte Daten nicht gelöscht werden können, weil die Daten weiterhin für die Erkennungs-Engine benötigt werden, erhalten Sie diese Warnung. Wenn Sie diese Warnung erhalten, verfolgt ATA keine neuen Aktivitäten mehr. Erhöhen Sie die Größe des Laufwerks, oder geben Sie Speicherplatz von diesem Laufwerk frei. Hoch

Fehler beim Senden von E-Mails

Warnung Beschreibung Lösung Severity
ATA konnte keine E-Mail-Benachrichtigung an den angegebenen E-Mail-Server senden. Es werden keine E-Mail-Nachrichten von ATA gesendet. Überprüfen Sie die SMTP-Serverkonfiguration. Niedrig

Zentriert überladen

Warnung Beschreibung Lösung Severity
ATA Center kann die Menge der Daten, die von den ATA-Gateways übertragen werden, nicht verarbeiten. Ata Center beendet die Analyse neuer Netzwerkdatenverkehr und -ereignisse. Dies bedeutet, dass die Genauigkeit der Erkennungen und Profile reduziert wird, während diese Integritätswarnung aktiv ist. Stellen Sie sicher, dass Sie genügend Ressourcen für ATA Center bereitgestellt haben. Weitere Informationen zur ordnungsgemäßen Planung der ATA Center-Kapazität finden Sie unter ATA-Kapazitätsplanung. Untersuchen Sie die Leistung von ATA Center mithilfe der Problembehandlung von ATA mithilfe der Leistungsindikatoren. Hoch

Fehler beim Herstellen einer Verbindung mit dem SIEM-Server mithilfe von Syslog

Warnung Beschreibung Lösung Severity
ATA konnte keine Ereignisse an das angegebene SIEM senden. Dies bedeutet, dass ATA Center keine verdächtigen Aktivitäten und Integritätswarnungen an Sie senden kann. Stellen Sie sicher, dass Ihre Syslog-Servereinstellungen ordnungsgemäß konfiguriert sind. Niedrig

Center-Zertifikat läuft bald ab

Warnung Beschreibung Lösung Severity
Das ATA Center-Zertifikat läuft in weniger als 3 Wochen ab. Nach Ablauf des Zertifikats: Die Konnektivität zwischen ATA-Gateways und ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab, und alle ATA-Funktionen werden beendet. Ersetzen des ATA Center-Zertifikats Mittel

ATA Center-Zertifikat abgelaufen

Warnung Beschreibung Lösung Severity
Das ATA Center-Zertifikat ist abgelaufen. Nach Ablauf des Zertifikats: Die Verbindung zwischen den ATA-Gateways und ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab, und alle ATA-Funktionen werden beendet. Erneutes Bereitstellen von ATA Center Hoch

ATA-Gatewayprobleme

Schreibgeschütztes Benutzerkennwort, das in Kürze abläuft

Warnung Beschreibung Lösung Severity
Das schreibgeschützte Benutzerkennwort, das zum Auflösen von Entitäten in Active Directory verwendet wird, läuft in weniger als 30 Tagen ab. Wenn das Kennwort für diesen Benutzer abläuft, werden alle ATA-Gateways nicht mehr ausgeführt, und es werden keine neuen Daten erfasst. Ändern Sie das Kennwort für die Domänenkonnektivität , und aktualisieren Sie das Kennwort dann in der ATA-Konsole. Mittel

Schreibgeschütztes Benutzerkennwort abgelaufen

Warnung Beschreibung Lösung Severity
Das schreibgeschützte Benutzerkennwort, das zum Abrufen von Verzeichnisdaten verwendet wird, ist abgelaufen. Alle ATA-Gateways werden nicht mehr ausgeführt (oder werden bald nicht mehr ausgeführt), und es werden keine neuen Daten gesammelt. Ändern Sie das Kennwort für die Domänenkonnektivität , und aktualisieren Sie das Kennwort dann in der ATA-Konsole. Hoch

Gatewayzertifikat läuft bald ab

Warnung Beschreibung Lösung Severity
Das ATA-Gatewayzertifikat läuft in weniger als 3 Wochen ab. Die Konnektivität zwischen dem spezifischen ATA-Gateway und ATA Center schlägt fehl. Es werden keine Daten von diesem ATA-Gateway gesendet. Das ATA-Gatewayzertifikat sollte automatisch erneuert werden. Lesen Sie die Protokolle des ATA-Gateways und von ATA Center, um zu verstehen, warum dieses Zertifikat nicht automatisch verlängert wurde. Mittel

Gatewayzertifikat abgelaufen

Warnung Beschreibung Lösung Severity
Das ATA-Gatewayzertifikat ist abgelaufen. Es besteht keine Verbindung zwischen diesem ATA-Gateway und ATA Center. Es werden keine Daten von diesem ATA-Gateway gesendet. Deinstallieren Sie das ATA-Gateway, und installieren Sie es erneut. Hoch

Domänensynchronisierung nicht zugewiesen

Warnung Beschreibung Lösung Severity
Einem ATA-Gateway ist kein Domänensynchronisierungs-Synchronisierungsmodus zugewiesen. Dies kann passieren, wenn kein ATA-Gateway als Domänensynchronisierungskandidat konfiguriert ist. Wenn die Domäne nicht synchronisiert wird, können Änderungen an Entitäten dazu führen, dass Entitätsinformationen in ATA veraltet oder fehlen, aber keine Auswirkungen auf die Erkennung haben. Stellen Sie sicher, dass mindestens ein ATA-Gateway als Domänensynchronisierung festgelegt ist. Niedrig

Alle/Einige der Erfassungsnetzwerkadapter auf einem Gateway sind nicht verfügbar.

Warnung Beschreibung Lösung Severity
Alle bzw. einige der ausgewählten Aufnahmenetzwerkadapter auf dem ATA-Gateway sind deaktiviert oder getrennt. Netzwerkdatenverkehr für einige/alle Domänencontroller wird nicht mehr vom ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit aus, verdächtige Aktivitäten im Zusammenhang mit diesen Domänencontrollern zu erkennen. Stellen Sie sicher, dass diese ausgewählten Erfassungsnetzwerkadapter auf dem ATA-Gateway aktiviert und verbunden sind. Mittel

Einige Domänencontroller sind von einem Gateway nicht erreichbar

Warnung Beschreibung Lösung Severity
Ein ATA-Gateway verfügt aufgrund von Konnektivitätsproblemen mit einigen der konfigurierten Domänencontroller über eingeschränkte Funktionen. Pass the Hash Detection ist möglicherweise weniger genau, wenn einige Domänencontroller nicht vom ATA-Gateway abgefragt werden können. Stellen Sie sicher, dass die Domänencontroller ausgeführt werden und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann. Mittel

Alle Domänencontroller sind von einem Gateway nicht erreichbar

Warnung Beschreibung Lösung Severity
Das ATA-Gateway ist derzeit aufgrund von Konnektivitätsproblemen mit allen konfigurierten Domänencontrollern offline. Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten im Zusammenhang mit Domänencontrollern zu erkennen, die von diesem ATA-Gateway überwacht werden. Stellen Sie sicher, dass die Domänencontroller ausgeführt werden und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann. Mittel

Die Kommunikation des Gateways wurde beendet.

Warnung Beschreibung Lösung Severity
Es wurde keine Kommunikation vom ATA-Gateway durchgeführt. Die Standardzeitspanne für diese Warnung beträgt 5 Minuten. Netzwerkdatenverkehr wird nicht mehr vom Netzwerkadapter auf dem ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten zu erkennen, da der Netzwerkdatenverkehr das ATA Center nicht erreichen kann. Überprüfen Sie, ob der für die Kommunikation zwischen dem ATA-Gateway und dem ATA Center-Dienst verwendete Port nicht von Routern oder Firewalls blockiert wird. Mittel

Kein Datenverkehr vom Domänencontroller empfangen

Warnung Beschreibung Lösung Severity
Über dieses ATA-Gateway wurde kein Datenverkehr vom Domänencontroller empfangen. Dies kann darauf hindeuten, dass die Portspiegelung von den Domänencontrollern zum ATA-Gateway noch nicht konfiguriert ist oder nicht funktioniert. Stellen Sie sicher, dass die Portspiegelung auf Ihren Netzwerkgeräten ordnungsgemäß konfiguriert ist.

Deaktivieren Sie auf der ATA-Gateway-Erfassungs-NIC diese Features unter Erweiterte Einstellungen:

Receive Segment Coalescing (IPv4)

Receive Segment Coalescing (IPv6)
Mittel

Einige weitergeleitete Ereignisse werden nicht analysiert

Warnung Beschreibung Lösung Severity
Das ATA-Gateway empfängt mehr Ereignisse, als es verarbeiten kann. Einige weitergeleitete Ereignisse werden nicht analysiert, was sich auf die Fähigkeit auswirken kann, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Stellen Sie sicher, dass nur erforderliche Ereignisse an das ATA-Gateway weitergeleitet werden, oder versuchen Sie, einige der Ereignisse an ein anderes ATA-Gateway weiterzuleiten. Mittel

Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert.

Warnung Beschreibung Lösung Severity
Das ATA-Gateway empfängt mehr Netzwerkdatenverkehr, als es verarbeiten kann. Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert, was sich auf die Fähigkeit auswirken kann, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Erwägen Sie , nach Bedarf zusätzliche Prozessoren und Arbeitsspeicher hinzuzufügen . Wenn es sich um ein eigenständiges ATA-Gateway handelt, verringern Sie die Anzahl der überwachten Domänencontroller.

Dies kann auch der Fall sein, wenn Sie Domänencontroller auf virtuellen VMware-Computern verwenden. Um diese Warnungen zu vermeiden, können Sie überprüfen, ob die folgenden Einstellungen auf dem virtuellen Computer auf 0 oder Deaktiviert festgelegt sind:

– TsoEnable

– LargeSendOffload(IPv4)

- IPv4-TSO-Auslagerung

Erwägen Sie außerdem die Deaktivierung von IPv4 Giant TSO Offload. Weitere Informationen finden Sie in der VMware-Dokumentation.
Mittel

Gatewayversion veraltet

Warnung Beschreibung Lösung Severity
ATA Center ist neuer als die auf dem ATA-Gateway installierte Version. Dies führt dazu, dass das ATA-Gateway nicht mehr wie erwartet funktioniert. Dies kann sich auf die Fähigkeit auswirken, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Aktualisieren Sie das ATA-Gateway automatisch auf die neueste Version, indem Sie das automatische Update in der ATA-Konsole aktivieren oder das neueste ATA-Gateway-Paket herunterladen, das in der ATA-Konsole verfügbar ist. Hoch

Fehler beim Starten des Gatewaydiensts

Warnung Beschreibung Lösung Severity
Der ATA-Gatewaydienst konnte mindestens 30 Minuten lang nicht gestartet werden. Dies kann sich auf die Fähigkeit auswirken, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Überwachen Sie ATA-Gatewayprotokolle, um die Grundursache für den Fehler des ATA-Gatewaydiensts zu verstehen. Hoch

Lightweight Gateway

Lightweight Gateway hat einen Grenzwert für Arbeitsspeicherressourcen erreicht.

Warnung Beschreibung Lösung Severity
Das Lightweight-ATA-Gateway hat sich selbst beendet und wird automatisch neu gestartet, um den Domänencontroller vor einer unzureichenden Arbeitsspeicherbedingung zu schützen. Das Lightweight ATA-Gateway erzwingt Speicherbeschränkungen für sich selbst, um zu verhindern, dass auf dem Domänencontroller Ressourceneinschränkungen auftreten. Dies geschieht, wenn die Arbeitsspeicherauslastung auf dem Domänencontroller hoch ist. Daten von diesem Domänencontroller werden nur teilweise überwacht. Erhöhen Sie die Arbeitsspeichermenge (RAM) auf dem Domänencontroller, oder fügen Sie weitere Domänencontroller an diesem Standort hinzu, um die Last dieses Domänencontrollers besser zu verteilen. Mittel

Siehe auch