Das ATA Health Center informiert Sie, wenn ein Problem mit der ATA-Bereitstellung vorliegt, indem eine Integritätswarnung ausgelöst wird.
In diesem Artikel werden alle Integritätswarnungen für jede Komponente beschrieben sowie die Ursache und die Schritte aufgelistet, die zur Behebung des Problems erforderlich sind.
ATA Center-Probleme
Center, bei dem nicht genügend Speicherplatz vorhanden ist
Warnung
Beschreibung
Lösung
Severity
Der freie Speicherplatz auf dem ATA Center-Computerlaufwerk, der zum Speichern der ATA-Datenbank verwendet wird, wird knapp.
Dies bedeutet, dass die Festplatte über weniger als 200 GB freien Speicherplatz verfügt oder weniger als 20 % freier Speicherplatz verfügbar ist, je nachdem, welcher Wert kleiner ist. Wenn ATA erkennt, dass der Speicherplatz auf dem Laufwerk knapp wird, beginnt es, alte Daten aus der Datenbank zu löschen. Wenn alte Daten nicht gelöscht werden können, weil die Daten weiterhin für die Erkennungs-Engine benötigt werden, erhalten Sie diese Warnung. Wenn Sie diese Warnung erhalten, verfolgt ATA keine neuen Aktivitäten mehr.
Erhöhen Sie die Größe des Laufwerks, oder geben Sie Speicherplatz von diesem Laufwerk frei.
Hoch
Fehler beim Senden von E-Mails
Warnung
Beschreibung
Lösung
Severity
ATA konnte keine E-Mail-Benachrichtigung an den angegebenen E-Mail-Server senden.
Es werden keine E-Mail-Nachrichten von ATA gesendet.
Überprüfen Sie die SMTP-Serverkonfiguration.
Niedrig
Zentriert überladen
Warnung
Beschreibung
Lösung
Severity
ATA Center kann die Menge der Daten, die von den ATA-Gateways übertragen werden, nicht verarbeiten.
Ata Center beendet die Analyse neuer Netzwerkdatenverkehr und -ereignisse. Dies bedeutet, dass die Genauigkeit der Erkennungen und Profile reduziert wird, während diese Integritätswarnung aktiv ist.
Das ATA Center-Zertifikat läuft in weniger als 3 Wochen ab.
Nach Ablauf des Zertifikats: Die Konnektivität zwischen ATA-Gateways und ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab, und alle ATA-Funktionen werden beendet.
Nach Ablauf des Zertifikats: Die Verbindung zwischen den ATA-Gateways und ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab, und alle ATA-Funktionen werden beendet.
Das ATA-Gatewayzertifikat läuft in weniger als 3 Wochen ab.
Die Konnektivität zwischen dem spezifischen ATA-Gateway und ATA Center schlägt fehl. Es werden keine Daten von diesem ATA-Gateway gesendet.
Das ATA-Gatewayzertifikat sollte automatisch erneuert werden. Lesen Sie die Protokolle des ATA-Gateways und von ATA Center, um zu verstehen, warum dieses Zertifikat nicht automatisch verlängert wurde.
Mittel
Gatewayzertifikat abgelaufen
Warnung
Beschreibung
Lösung
Severity
Das ATA-Gatewayzertifikat ist abgelaufen.
Es besteht keine Verbindung zwischen diesem ATA-Gateway und ATA Center. Es werden keine Daten von diesem ATA-Gateway gesendet.
Einem ATA-Gateway ist kein Domänensynchronisierungs-Synchronisierungsmodus zugewiesen. Dies kann passieren, wenn kein ATA-Gateway als Domänensynchronisierungskandidat konfiguriert ist.
Wenn die Domäne nicht synchronisiert wird, können Änderungen an Entitäten dazu führen, dass Entitätsinformationen in ATA veraltet oder fehlen, aber keine Auswirkungen auf die Erkennung haben.
Stellen Sie sicher, dass mindestens ein ATA-Gateway als Domänensynchronisierung festgelegt ist.
Niedrig
Alle/Einige der Erfassungsnetzwerkadapter auf einem Gateway sind nicht verfügbar.
Warnung
Beschreibung
Lösung
Severity
Alle bzw. einige der ausgewählten Aufnahmenetzwerkadapter auf dem ATA-Gateway sind deaktiviert oder getrennt.
Netzwerkdatenverkehr für einige/alle Domänencontroller wird nicht mehr vom ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit aus, verdächtige Aktivitäten im Zusammenhang mit diesen Domänencontrollern zu erkennen.
Stellen Sie sicher, dass diese ausgewählten Erfassungsnetzwerkadapter auf dem ATA-Gateway aktiviert und verbunden sind.
Mittel
Einige Domänencontroller sind von einem Gateway nicht erreichbar
Warnung
Beschreibung
Lösung
Severity
Ein ATA-Gateway verfügt aufgrund von Konnektivitätsproblemen mit einigen der konfigurierten Domänencontroller über eingeschränkte Funktionen.
Pass the Hash Detection ist möglicherweise weniger genau, wenn einige Domänencontroller nicht vom ATA-Gateway abgefragt werden können.
Stellen Sie sicher, dass die Domänencontroller ausgeführt werden und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann.
Mittel
Alle Domänencontroller sind von einem Gateway nicht erreichbar
Warnung
Beschreibung
Lösung
Severity
Das ATA-Gateway ist derzeit aufgrund von Konnektivitätsproblemen mit allen konfigurierten Domänencontrollern offline.
Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten im Zusammenhang mit Domänencontrollern zu erkennen, die von diesem ATA-Gateway überwacht werden.
Stellen Sie sicher, dass die Domänencontroller ausgeführt werden und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann.
Mittel
Die Kommunikation des Gateways wurde beendet.
Warnung
Beschreibung
Lösung
Severity
Es wurde keine Kommunikation vom ATA-Gateway durchgeführt. Die Standardzeitspanne für diese Warnung beträgt 5 Minuten.
Netzwerkdatenverkehr wird nicht mehr vom Netzwerkadapter auf dem ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten zu erkennen, da der Netzwerkdatenverkehr das ATA Center nicht erreichen kann.
Überprüfen Sie, ob der für die Kommunikation zwischen dem ATA-Gateway und dem ATA Center-Dienst verwendete Port nicht von Routern oder Firewalls blockiert wird.
Mittel
Kein Datenverkehr vom Domänencontroller empfangen
Warnung
Beschreibung
Lösung
Severity
Über dieses ATA-Gateway wurde kein Datenverkehr vom Domänencontroller empfangen.
Dies kann darauf hindeuten, dass die Portspiegelung von den Domänencontrollern zum ATA-Gateway noch nicht konfiguriert ist oder nicht funktioniert.
Deaktivieren Sie auf der ATA-Gateway-Erfassungs-NIC diese Features unter Erweiterte Einstellungen:
Receive Segment Coalescing (IPv4)
Receive Segment Coalescing (IPv6)
Mittel
Einige weitergeleitete Ereignisse werden nicht analysiert
Warnung
Beschreibung
Lösung
Severity
Das ATA-Gateway empfängt mehr Ereignisse, als es verarbeiten kann.
Einige weitergeleitete Ereignisse werden nicht analysiert, was sich auf die Fähigkeit auswirken kann, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden.
Stellen Sie sicher, dass nur erforderliche Ereignisse an das ATA-Gateway weitergeleitet werden, oder versuchen Sie, einige der Ereignisse an ein anderes ATA-Gateway weiterzuleiten.
Mittel
Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert.
Warnung
Beschreibung
Lösung
Severity
Das ATA-Gateway empfängt mehr Netzwerkdatenverkehr, als es verarbeiten kann.
Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert, was sich auf die Fähigkeit auswirken kann, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden.
Dies kann auch der Fall sein, wenn Sie Domänencontroller auf virtuellen VMware-Computern verwenden. Um diese Warnungen zu vermeiden, können Sie überprüfen, ob die folgenden Einstellungen auf dem virtuellen Computer auf 0 oder Deaktiviert festgelegt sind:
– TsoEnable
– LargeSendOffload(IPv4)
- IPv4-TSO-Auslagerung
Erwägen Sie außerdem die Deaktivierung von IPv4 Giant TSO Offload. Weitere Informationen finden Sie in der VMware-Dokumentation.
Mittel
Gatewayversion veraltet
Warnung
Beschreibung
Lösung
Severity
ATA Center ist neuer als die auf dem ATA-Gateway installierte Version. Dies führt dazu, dass das ATA-Gateway nicht mehr wie erwartet funktioniert.
Dies kann sich auf die Fähigkeit auswirken, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden.
Aktualisieren Sie das ATA-Gateway automatisch auf die neueste Version, indem Sie das automatische Update in der ATA-Konsole aktivieren oder das neueste ATA-Gateway-Paket herunterladen, das in der ATA-Konsole verfügbar ist.
Hoch
Fehler beim Starten des Gatewaydiensts
Warnung
Beschreibung
Lösung
Severity
Der ATA-Gatewaydienst konnte mindestens 30 Minuten lang nicht gestartet werden.
Dies kann sich auf die Fähigkeit auswirken, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden.
Lightweight Gateway hat einen Grenzwert für Arbeitsspeicherressourcen erreicht.
Warnung
Beschreibung
Lösung
Severity
Das Lightweight-ATA-Gateway hat sich selbst beendet und wird automatisch neu gestartet, um den Domänencontroller vor einer unzureichenden Arbeitsspeicherbedingung zu schützen.
Das Lightweight ATA-Gateway erzwingt Speicherbeschränkungen für sich selbst, um zu verhindern, dass auf dem Domänencontroller Ressourceneinschränkungen auftreten. Dies geschieht, wenn die Arbeitsspeicherauslastung auf dem Domänencontroller hoch ist. Daten von diesem Domänencontroller werden nur teilweise überwacht.
Erhöhen Sie die Arbeitsspeichermenge (RAM) auf dem Domänencontroller, oder fügen Sie weitere Domänencontroller an diesem Standort hinzu, um die Last dieses Domänencontrollers besser zu verteilen.