Freigeben über


Grundlegendes zu ATA-Integritätswarnungen

Gilt für: Advanced Threat Analytics, Version 1.9

Das ATA Health Center informiert Sie, wenn ein Problem mit der ATA-Bereitstellung vorliegt, indem es eine Integritätswarnung auslöst. Beschreibt alle Integritätswarnungen für jede Komponente, listet die Ursache und die Schritte auf, die zum Beheben des Problems erforderlich sind.

ATA Center-Probleme

Nicht genügend Speicherplatz für Center vorhanden

Warnung Beschreibung Lösung Severity
Der freie Speicherplatz auf dem ATA Center-Computerlaufwerk, das zum Speichern der ATA-Datenbank verwendet wird, wird niedrig. Dies bedeutet, dass die Festplatte weniger als 200 GB freien Speicherplatz hat oder dass weniger als 20 % freier Speicherplatz vorhanden ist, je nachdem, welcher Wert kleiner ist. Wenn ATA erkennt, dass das Laufwerk wenig Speicherplatz hat, beginnt es, alte Daten aus der Datenbank zu löschen. Wenn alte Daten nicht gelöscht werden können, da sie weiterhin die Daten für das Erkennungsmodul benötigt, erhalten Sie diese Warnung. Wenn Sie diese Warnung erhalten, beendet ATA die Nachverfolgung neuer Aktivitäten. Erhöhen Sie die Laufwerkgröße oder geben Sie Speicherplatz von diesem Laufwerk frei. Hoch

Fehler beim Senden von E-Mails

Warnung Beschreibung Lösung Severity
ATA Fehler beim Senden einer E-Mail-Benachrichtigung an den angegebenen E-Mail-Server. Es werden keine E-Mail-Nachrichten von ATA gesendet. Überprüfen der SMTPS-Server-Konfiguration Niedrig

Center überladen

Warnung Beschreibung Lösung Severity
Das ATA Center kann die Datenmenge, die von den ATA-Gateways übertragen wird, nicht verarbeiten. Das ATA Center stoppt die Analyse des neuen Netzwerkdatenverkehrs und der Ereignisse. Dies bedeutet, dass die Genauigkeit der Erkennungen und Profile reduziert wird, während diese Integritätswarnung aktiv ist. Stellen Sie sicher, dass Sie genügend Ressourcen für das ATA Center bereitgestellt haben. Weitere Informationen zum ordnungsgemäßen Planen der ATA Center-Kapazität finden Sie unter ATA-Kapazitätsplanung. Untersuchen Sie die Leistung des ATA Center mithilfe der Problembehandlung bei ATA mithilfe der Leistungsindikatoren. Hoch

Fehler beim Herstellen einer Verbindung mit dem SIEM-Server mithilfe von Syslog

Warnung Beschreibung Lösung Severity
ATA konnte keine Ereignisse an das angegebene SIEM senden. Dies bedeutet, dass das ATA Center verdächtige Aktivitäten und Integritätswarnungen nicht an Ihr SIEM senden kann. Stellen Sie sicher, dass Ihre Syslog-Servereinstellungen ordnungsgemäß konfiguriert sind. Niedrig

Center-Zertifikat läuft bald ab

Warnung Beschreibung Lösung Severity
Das ATA Center-Zertifikat läuft in weniger als 3 Wochen ab. Nach Ablauf des Zertifikats: Konnektivität von ATA-Gateways zu ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab und alle ATA-Funktionen werden beendet. Ersetzen des ATA Center-Zertifikats Medium

ATA Center-Zertifikat abgelaufen

Warnung Beschreibung Lösung Severity
Das ATA Center-Zertifikat ist abgelaufen. Nach Ablauf des Zertifikats: Konnektivität von ATA-Gateways zu ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab und alle ATA-Funktionen werden beendet. Erneutes Bereitstellen des ATA Center Hoch

ATA-Gateway-Probleme

Schreibgeschütztes Benutzerkennwort, das bald abläuft

Warnung Beschreibung Lösung Severity
Das schreibgeschützte Benutzerkennwort, das zum Ausführen der Auflösung von Entitäten mit Active Directory verwendet wird, läuft in weniger als 30 Tagen ab. Wenn das Kennwort für diesen Benutzer abläuft, werden alle ATA-Gateways nicht mehr ausgeführt und es werden keine neuen Daten erfasst. Ändern Sie das Domänen-Konnektivitätskennwort und aktualisieren Sie dann das Kennwort in der ATA-Konsole. Medium

Schreibgeschütztes Benutzerkennwort abgelaufen

Warnung Beschreibung Lösung Severity
Das schreibgeschützte Benutzerkennwort, das zum Abrufen von Verzeichnisdaten verwendet wird, ist abgelaufen. Alle ATA-Gateways werden nicht mehr ausgeführt (oder werden bald nicht mehr ausgeführt) und es werden keine neuen Daten gesammelt. Ändern Sie das Domänen-Konnektivitätskennwort und aktualisieren Sie dann das Kennwort in der ATA-Konsole. Hoch

Gatewayzertifikat läuft bald ab

Warnung Beschreibung Lösung Severity
Das ATA-Gatewayzertifikat läuft in weniger als 3 Wochen ab. Konnektivität des spezifischen ATA-Gateways zum ATA Center schlägt fehl. Es werden keine Daten von diesem ATA-Gateway gesendet. Das ATA-Gatewayzertifikat sollte automatisch erneuert worden sein. Lesen Sie die ATA-Gateway- und ATA Center-Protokolle, um zu verstehen, warum dieses Zertifikat nicht automatisch verlängert wurde. Medium

Gatewayzertifikat abgelaufen

Warnung Beschreibung Lösung Severity
Das ATA-Gatewayzertifikat ist abgelaufen. Keine Konnektivität von diesem ATA-Gateways zum ATA Center. Es werden keine Daten von diesem ATA-Gateway gesendet. Deinstallieren Sie das ATA-Gateway und installieren Sie es erneut. Hoch

Domänensynchronizer nicht zugewiesen

Warnung Beschreibung Lösung Severity
Keinem ATA-Gateway ist ein Domänensynchronizer zugewiesen. Dies kann passieren, wenn kein ATA-Gateway als Domänensynchronizer-Kandidat. Wenn die Domäne nicht synchronisiert wird, können Änderungen an Entitäten dazu führen, dass Entitätsinformationen in ATA veraltet sind oder fehlen, aber ohne Auswirkungen auf die Erkennung haben. Stellen Sie sicher, dass mindestens ein ATA-Gateway als Domänensynchronizer festgelegt ist. Niedrig

Alle/Einige Netzwerkdatenerfassungs-Adapter auf einem Gateway sind nicht verfügbar

Warnung Beschreibung Lösung Severity
Alle/einige der ausgewählten Netzwerkdatenerfassungs-Adapter auf dem ATA-Gateway sind deaktiviert oder getrennt. Netzwerkdatenverkehr für einige/alle Domänencontroller werden nicht mehr vom ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit aus, verdächtige Aktivitäten zu erkennen, die sich auf diese Domänencontroller beziehen. Stellen Sie sicher, dass diese ausgewählten Aufnahmenetzwerkadapter auf dem ATA-Gateway aktiviert und verbunden sind. Medium

Einige Domänencontroller sind über einen Gateway nicht erreichbar

Warnung Beschreibung Lösung Severity
Ein ATA-Gateway verfügt aufgrund von Verbindungsproblemen über eingeschränkte Funktionen für einige der konfigurierten Domänencontroller. Pass–the-Hash-Erkennung funktioniert möglicherweise weniger genau, wenn einige Domänencontroller nicht vom ATA-Gateway abgefragt werden können. Stellen Sie sicher, dass die Domänencontroller aktiv sind und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann. Medium

Keiner der Domänencontroller ist über einen Gateway erreichbar

Warnung Beschreibung Lösung Severity
Das ATA-Gateway ist derzeit aufgrund von Verbindungsproblemen mit allen konfigurierten Domänencontrollern offline. Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten in Bezug auf Domänencontroller zu erkennen, die von diesem ATA-Gateway überwacht werden. Stellen Sie sicher, dass die Domänencontroller aktiv sind und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann. Medium

Gateway kommuniziert nicht mehr

Warnung Beschreibung Lösung Severity
Es gibt keine Kommunikation vom ATA-Gateway. Die Standardzeitspanne für diese Warnung beträgt 5 Minuten. Der Netzwerkdatenverkehr wird nicht mehr vom Netzwerkadapter auf dem ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten zu erkennen, da der Netzwerkdatenverkehr das ATA Center nicht erreicht. Überprüfen Sie, ob der für die Kommunikation zwischen dem ATA-Gateway und dem ATA Center-Dienst verwendete Port von Routern oder Firewalls blockiert wird. Medium

Kein Datenverkehr vom Domänencontroller empfangen

Warnung Beschreibung Lösung Severity
Über dieses ATA-Gateway wird kein Datenverkehr vom Domänencontroller empfangen. Dies kann darauf hindeuten, dass die Portspiegelung von den Domänencontrollern zum ATA-Gateway noch nicht konfiguriert ist oder nicht funktioniert. Stellen Sie sicher, dass der Portspiegelung auf Ihren Netzwerkgeräten ordnungsgemäß konfiguriert ist.

Deaktivieren Sie auf der ATA-Gateway-Aufnahme-NIC diese Features unter Advanced Einstellungen:

Empfang zusammengeführter Segmente (IPv4)

Empfang zusammengeführter Segmente (IPv6)
Medium

Einige weitergeleitete Ereignisse werden nicht analysiert.

Warnung Beschreibung Lösung Severity
Das ATA-Gateway empfängt mehr Ereignisse, als es verarbeiten kann. Einige weitergeleitete Ereignisse werden nicht analysiert, was sich auf die Erkennung verdächtiger Aktivitäten auswirken kann, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Stellen Sie sicher, dass nur erforderliche Ereignisse an das ATA-Gateway weitergeleitet werden, oder versuchen Sie, einige Ereignisse an ein anderes ATA-Gateway weiterzuleiten. Medium

Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert

Warnung Beschreibung Lösung Severity
Das ATA-Gateway empfängt mehr Netzwerkdatenverkehr, als es verarbeiten kann. Ein Teil des Netzwerk-Datenverkehrs wird nicht analysiert, was sich auf die Erkennung verdächtiger Aktivitäten auswirken kann, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Erwägen Sie, bei Bedarf zusätzliche Prozessoren und Arbeitsspeicher hinzuzufügen. Wenn es sich um ein eigenständiges ATA-Gateway handelt, verringern Sie die Anzahl der Domänencontroller, die überwacht werden.

Dies kann auch passieren, wenn Sie Domänencontroller auf virtuellen VMware-Computern verwenden. Um diese Warnungen zu vermeiden, können Sie überprüfen, ob die folgenden Einstellungen auf "0" oder "Deaktiviert" auf dem virtuellen Computer festgelegt sind:

- TsoEnable

- LargeSendOffload(IPv4)

- IPv4 TSO Offload

Deaktivieren Sie ebenso IPv4 Giant TSO Offload. Weitere Informationen finden Sie in der VMware-Dokumentation.
Medium

Veraltete Gateway-Version

Warnung Beschreibung Lösung Severity
Das ATA Center ist neuer als die auf dem ATA-Gateway installierte Version. Dies führt dazu, dass das ATA-Gateway nicht mehr wie erwartet funktioniert. Dies kann sich auf die Erkennung verdächtiger Aktivitäten auswirken, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Aktualisieren Sie das ATA-Gateway automatisch auf die neueste Version, indem Sie automatische Updates in der ATA-Konsole aktivieren oder das neueste ATA-Gatewaypaket herunterladen, das in der ATA-Konsole verfügbar ist. Hoch

Fehler beim Starten des Gatewaydiensts

Warnung Beschreibung Lösung Severity
Der ATA-Gatewaydienst konnte mindestens 30 Minuten lang nicht gestartet werden. Dies kann sich auf die Erkennung verdächtiger Aktivitäten auswirken, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. Überwachen Sie ATA-Gatewayprotokolle, um die Ursache für den ATA-Gatewaydienstfehler zu verstehen. Hoch

Lightweight Gateway

Lightweight Gateway hat einen Speicherressourcen-Grenzwert erreicht

Warnung Beschreibung Lösung Severity
Das Lightweight ATA-Gateway hat sich selbst beendet und wird automatisch neu gestartet, um den Domänencontroller vor einem Zustand mit geringem Arbeitsspeicher zu schützen. Das Lightweight ATA-Gateway erzwingt Speicherbeschränkungen auf sich selbst, um zu verhindern, dass der Domänencontroller Ressourcenbeschränkungen aufweist. Dies geschieht, wenn die Speicherauslastung auf dem Domänencontroller hoch ist. Daten von diesem Domänencontroller werden nur teilweise überwacht. Erhöhen Sie den Arbeitsspeicher (RAM) auf dem Domänencontroller oder fügen Sie mehr Domänencontroller an dieser Website hinzu, um die Auslastung dieses Domänencontrollers besser zu verteilen. Medium

Weitere Informationen