Descripción de las alertas de mantenimiento de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

El Centro de mantenimiento de ATA le permite saber cuándo hay un problema con la implementación de ATA mediante la generación de una alerta de estado. Este artículo describe todas las alertas de mantenimiento de cada componente, enumerando la causa y los pasos necesarios para resolver el problema.

Problemas del Centro ATA

El centro se queda sin espacio en disco

Alerta	Descripción	Solución	Severity
El espacio disponible en la unidad de máquina del Centro ATA que se usa para almacenar la base de datos de ATA está bajando.	Esto significa que el disco duro tiene menos de 200 GB de espacio libre o que hay menos del 20 % de espacio libre, lo que sea más pequeño. Cuando ATA reconoce que la unidad se está quedando sin espacio, comienza a eliminar datos antiguos de la base de datos. Si no puede eliminar datos antiguos porque todavía necesitan los datos para el motor de detección, recibirá esta alerta. Cuando recibe esta alerta, ATA deja de realizar un seguimiento de las nuevas actividades.	Aumente el tamaño de la unidad o libere espacio de esa unidad.	Alto

Error al enviar correo

Alerta	Descripción	Solución	Severity
ATA no pudo enviar una notificación por correo electrónico al servidor de correo especificado.	No se envían mensajes de correo electrónico desde ATA.	Compruebe la configuración del servidor SMTP.	Bajo

Centro sobrecargado

Alerta	Descripción	Solución	Severity
El Centro ATA no puede controlar la cantidad de datos que se transfieren desde las puertas de enlace de ATA.	El Centro ATA deja de analizar nuevos eventos y tráfico de red. Esto significa que la precisión de las detecciones y perfiles se reduce mientras esta alerta de estado está activa.	Asegúrese de que proporcionó suficientes recursos para el Centro ATA. Para obtener más información sobre cómo planear correctamente la capacidad del Centro ATA, consulte Planeamiento de la capacidad de ATA. Investigue el rendimiento del Centro ATA mediante la solución de problemas de ATA mediante los contadores de rendimiento.	Alto

Error al conectarse al servidor SIEM mediante Syslog

Alerta	Descripción	Solución	Severity
ATA no pudo enviar eventos al SIEM especificado.	Esto significa que el Centro ATA no puede enviar actividades sospechosas y alertas de estado a siem.	Asegúrese de que la configuración del servidor de Syslog esté configurada correctamente.	Bajo

El certificado del centro está a punto de expirar

Alerta	Descripción	Solución	Severity
El certificado del Centro ATA expirará en menos de 3 semanas.	Una vez que expire el certificado: se producirá un error en la conectividad de las puertas de enlace de ATA con el Centro ATA. El proceso del Centro ATA se bloqueará y se detendrá toda la funcionalidad de ATA.	Reemplazar el certificado del Centro ATA	Mediano

Certificado del Centro ATA expirado

Alerta	Descripción	Solución	Severity
El certificado del Centro ATA expiró.	Una vez expirado el certificado: se produce un error en la conectividad de las puertas de enlace de ATA con el Centro ATA. El proceso del Centro ATA se bloquea y se detiene toda la funcionalidad de ATA.	Volver a implementar el Centro ATA	Alto

Problemas de puerta de enlace de ATA

Contraseña de usuario de solo lectura que expirará en breve

Alerta	Descripción	Solución	Severity
La contraseña de usuario de solo lectura, que se usa para realizar la resolución de entidades en Active Directory, está a punto de expirar en menos de 30 días.	Si la contraseña de este usuario expira, todas las puertas de enlace de ATA dejan de ejecutarse y no se recopilan datos nuevos.	Cambie la contraseña de conectividad del dominio y, a continuación, actualice la contraseña en la consola de ATA.	Mediano

Contraseña de usuario de solo lectura expirada

Alerta	Descripción	Solución	Severity
La contraseña de usuario de solo lectura, que se usa para obtener datos de directorio, ha expirado.	Todas las puertas de enlace de ATA dejan de ejecutarse (o dejarán de ejecutarse pronto) y no se recopilan datos nuevos.	Cambie la contraseña de conectividad del dominio y, a continuación, actualice la contraseña en la consola de ATA.	Alto

Certificado de puerta de enlace a punto de expirar

Alerta	Descripción	Solución	Severity
El certificado de puerta de enlace de ATA expirará en menos de 3 semanas.	Se produce un error en la conectividad de la puerta de enlace de ATA específica con el Centro ATA. No se envía ningún dato de esa puerta de enlace de ATA.	El certificado de puerta de enlace de ATA debería haberse renovado automáticamente. Lea los registros de la puerta de enlace de ATA y del Centro ATA para comprender por qué ese certificado no se renovó automáticamente.	Mediano

Certificado de puerta de enlace expirado

Alerta	Descripción	Solución	Severity
El certificado de puerta de enlace de ATA expiró.	No hay conectividad desde esta puerta de enlace de ATA al Centro ATA. No se envía ningún dato de esa puerta de enlace de ATA.	Desinstale y vuelva a instalar la puerta de enlace de ATA.	Alto

Sincronizador de dominio no asignado

Alerta	Descripción	Solución	Severity
No se asigna ningún sincronizador de dominio a ninguna puerta de enlace de ATA. Esto puede ocurrir si no hay ninguna puerta de enlace de ATA configurada como candidata para el sincronizador de dominio.	Cuando el dominio no está sincronizado, los cambios en las entidades pueden hacer que la información de entidad de ATA esté obsoleta o falte, pero no afecta a ninguna detección.	Asegúrese de que al menos una puerta de enlace de ATA está establecida como sincronizador de dominio.	Bajo

Todos o algunos de los adaptadores de red de captura en una puerta de enlace no están disponibles

Alerta	Descripción	Solución	Severity
Todos o algunos de los adaptadores de red de captura seleccionados en la puerta de enlace de ATA están deshabilitados o desconectados.	La puerta de enlace de ATA ya no captura el tráfico de red para algunos o todos los controladores de dominio. Esto afecta a la capacidad de detectar actividades sospechosas relacionadas con esos controladores de dominio.	Asegúrese de que estos adaptadores de red de captura seleccionados en la puerta de enlace de ATA están habilitados y conectados.	Mediano

Una puerta de enlace no puede acceder a algunos controladores de dominio

Alerta	Descripción	Solución	Severity
Una puerta de enlace de ATA tiene una funcionalidad limitada debido a problemas de conectividad con algunos de los controladores de dominio configurados.	Pasar la detección de hash podría ser menos precisa cuando la puerta de enlace de ATA no puede consultar algunos controladores de dominio.	Asegúrese de que los controladores de dominio están en funcionamiento y de que esta puerta de enlace de ATA puede abrir conexiones LDAP con ellos.	Mediano

Una puerta de enlace no puede acceder a todos los controladores de dominio

Alerta	Descripción	Solución	Severity
La puerta de enlace de ATA está actualmente sin conexión debido a problemas de conectividad con todos los controladores de dominio configurados.	Esto afecta a la capacidad de ATA de detectar actividades sospechosas relacionadas con controladores de dominio supervisados por esta puerta de enlace de ATA.	Asegúrese de que los controladores de dominio están en funcionamiento y de que esta puerta de enlace de ATA puede abrir conexiones LDAP con ellos.	Mediano

La puerta de enlace dejó de comunicarse

Alerta	Descripción	Solución	Severity
No ha habido ninguna comunicación desde la puerta de enlace de ATA. El intervalo de tiempo predeterminado para esta alerta es de 5 minutos.	El adaptador de red ya no captura el tráfico de red en la puerta de enlace de ATA. Esto afecta a la capacidad de ATA para detectar actividades sospechosas, ya que el tráfico de red no podrá llegar al Centro ATA.	Compruebe que ningún enrutador o firewall bloquee el puerto utilizado para la comunicación entre la puerta de enlace de ATA y el servicio del Centro ATA.	Mediano

No se ha recibido tráfico del controlador de dominio

Alerta	Descripción	Solución	Severity
No se recibió tráfico del controlador de dominio a través de esta puerta de enlace de ATA.	Esto podría indicar que la creación de reflejo del puerto desde los controladores de dominio a la puerta de enlace de ATA todavía no está configurada o no funciona.	Compruebe que la creación de reflejo del puerto está configurada correctamente en los dispositivos de red. En la NIC de captura de puerta de enlace de ATA, deshabilite estas características en Configuración avanzada: Fusión de segmentos de recepción (IPv4) Fusión de segmentos de recepción (IPv6)	Mediano

Algunos eventos reenviados no se están analizando

Alerta	Descripción	Solución	Severity
La puerta de enlace de ATA recibe más eventos de los que puede procesar.	Algunos eventos reenviados no se están analizando, lo que puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.	Compruebe que solo los eventos necesarios se reenvíen a la puerta de enlace de ATA o intente reenviar algunos de los eventos a otra puerta de enlace de ATA.	Mediano

No se está analizando algún tráfico de red

Alerta	Descripción	Solución	Severity
La puerta de enlace de ATA recibe más tráfico de red del que puede procesar.	No se está analizando algún tráfico de red, lo que puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.	Considere la posibilidad de agregar procesadores y memoria adicionales según sea necesario. Si se trata de una puerta de enlace de ATA independiente, reduzca el número de controladores de dominio que se supervisan. Esto también puede ocurrir si usa controladores de dominio en máquinas virtuales de VMware. Para evitar estas alertas, puede comprobar que la siguiente configuración se establece en 0 o Deshabilitado en la máquina virtual: - TsoEnable - LargeSendOffload(IPv4) - Descarga de TSO IPv4 Además, considere la posibilidad de deshabilitar la descarga de TSO gigante de IPv4. Para obtener más información, consulte la documentación de VMware.	Mediano

Versión de puerta de enlace obsoleta

Alerta	Descripción	Solución	Severity
El Centro ATA es más reciente que la versión instalada en la puerta de enlace de ATA. Esto hace que la puerta de enlace de ATA deje de funcionar según lo esperado.	Esto puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.	Actualice la puerta de enlace de ATA a la versión más reciente automáticamente habilitando la actualización automática en la consola de ATA o descargando el paquete de puerta de enlace de ATA más reciente disponible en la consola de ATA.	Alto

No se pudo iniciar el servicio de puerta de enlace

Alerta	Descripción	Solución	Severity
El servicio de puerta de enlace de ATA no se pudo iniciar durante al menos 30 minutos.	Esto puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.	Supervise los registros de puerta de enlace de ATA para comprender la causa principal del error del servicio de puerta de enlace de ATA.	Alto

Puerta de enlace ligera

La puerta de enlace ligera alcanzó un límite de recursos de memoria

Alerta	Descripción	Solución	Severity
La puerta de enlace ligera de ATA se detuvo y se reiniciará automáticamente para proteger el controlador de dominio de una condición de memoria baja.	La puerta de enlace ligera de ATA aplica limitaciones de memoria sobre sí misma para evitar que el controlador de dominio experimente limitaciones de recursos. Esto sucede cuando el uso de memoria en el controlador de dominio es alto. Los datos de este controlador de dominio solo se supervisan parcialmente.	Aumente la cantidad de memoria (RAM) en el controlador de dominio o agregue más controladores de dominio en este sitio para distribuir mejor la carga de este controlador de dominio.	Mediano

Consulta también

• Requisitos previos de ATA
• Planeamiento de la capacidad de ATA
• Configuración de la colección de eventos
• Configuración del reenvío de eventos de Windows
• Consulte el foro de ATA.