S’applique à : Advanced Threat Analytics version 1.9
Le centre d’intégrité ATA vous permet de savoir s’il y a un problème avec le déploiement d’ATA, en mettant en place une alerte d’intégrité.
Cet article décrit toutes les alertes sur l’état d’intégrité pour chaque composant, en indiquant la cause et les étapes nécessaires pour résoudre le problème.
Problèmes du centre ATA
Espace disque insuffisant dans le centre
Alerte
Description
Résolution
Severity
L’espace libre sur le lecteur de l’ordinateur du centre ATA utilisé pour stocker la base de données ATA devient faible.
Cela signifie que le disque dur dispose de moins de 200 Go d’espace libre ou qu’il y a moins de 20 % d’espace libre, selon la valeur la plus petite. Quand ATA reconnaît que le lecteur est à court d’espace, il commence à supprimer les anciennes données de la base de données. S’il ne peut pas supprimer les anciennes données, car il a toujours besoin des données pour le moteur de détection, vous recevez cette alerte. Lorsque vous recevez cette alerte, ATA cesse de suivre les nouvelles activités.
Augmentez la taille du lecteur ou libérez de l’espace sur ce lecteur.
Élevé
Échec de l’envoi du courrier
Alerte
Description
Résolution
Severity
ATA n’a pas pu envoyer une notification par e-mail au serveur de messagerie spécifié.
Aucun e-mail n’est envoyé par ATA.
Vérifiez la configuration du serveur SMTP.
Faible
Surchargé au centre
Alerte
Description
Résolution
Severity
Le centre ATA n’est pas en mesure de gérer la quantité de données transférées à partir des passerelles ATA.
Le centre ATA cesse d’analyser le nouveau trafic et les nouveaux événements réseau. Cela signifie que la précision des détections et des profils est réduite pendant que cette alerte d’intégrité est active.
Le certificat de centre est sur le point d’expirer
Alerte
Description
Résolution
Severity
Le certificat du centre ATA expirera dans moins de 3 semaines.
Une fois le certificat arrivé à expiration : la connectivité entre les passerelles ATA et le centre ATA échoue. Le processus du centre ATA se bloque et toutes les fonctionnalités ATA s’arrêtent.
Après l’expiration du certificat : la connectivité entre les passerelles ATA et le centre ATA échoue. Le processus du centre ATA se bloque et toutes les fonctionnalités ATA s’arrêtent.
Le mot de passe utilisateur en lecture seule doit expirer sous peu
Alerte
Description
Résolution
Severity
Le mot de passe utilisateur en lecture seule, utilisé pour effectuer la résolution des entités sur Active Directory, est sur le point d’expirer dans moins de 30 jours.
Si le mot de passe de cet utilisateur expire, toutes les passerelles ATA cessent de s’exécuter et aucune nouvelle donnée n’est collectée.
Le certificat de passerelle ATA expirera dans moins de 3 semaines.
La connectivité de la passerelle ATA spécifique au centre ATA échoue. Aucune donnée de cette passerelle ATA n’est envoyée.
Le certificat de passerelle ATA doit avoir été renouvelé automatiquement. Lisez les journaux de la passerelle ATA et du centre ATA pour comprendre pourquoi ce certificat n’a pas été renouvelé automatiquement.
Moyen
Le certificat de passerelle a expiré
Alerte
Description
Résolution
Severity
Le certificat de passerelle ATA a expiré.
Il n’existe aucune connectivité entre cette passerelle ATA et le centre ATA. Aucune donnée de cette passerelle ATA n’est envoyée.
Aucun synchronisateur de domaine n’est affecté à une passerelle ATA. Cela peut se produire si aucune passerelle ATA n’est configurée en tant que candidat synchronisateur de domaine.
Lorsque le domaine n’est pas synchronisé, les modifications apportées aux entités peuvent faire en sorte que les informations d’entité dans ATA soient obsolètes ou manquantes, mais n’affectent aucune détection.
Toutes/certaines cartes réseau de capture sur une passerelle ne sont pas disponibles
Alerte
Description
Résolution
Severity
Toutes les cartes réseau de capture sélectionnées sur la passerelle ATA sont désactivées ou déconnectées.
Le trafic réseau pour une partie ou la totalité des contrôleurs de domaine n’est plus capturé par la passerelle ATA. Cela a un impact sur la capacité à détecter les activités suspectes liées à ces contrôleurs de domaine.
Assurez-vous que ces cartes réseau de capture sélectionnées sur la passerelle ATA sont activées et connectées.
Moyen
Certains contrôleurs de domaine sont inaccessibles par une passerelle
Alerte
Description
Résolution
Severity
Une passerelle ATA a des fonctionnalités limitées en raison de problèmes de connectivité à certains des contrôleurs de domaine configurés.
Passer la détection de hachage peut être moins précis lorsque certains contrôleurs de domaine ne peuvent pas être interrogés par la passerelle ATA.
Assurez-vous que les contrôleurs de domaine sont opérationnels et que cette passerelle ATA peut leur ouvrir des connexions LDAP.
Moyen
Tous les contrôleurs de domaine sont inaccessibles par une passerelle
Alerte
Description
Résolution
Severity
La passerelle ATA est actuellement hors connexion en raison de problèmes de connectivité à tous les contrôleurs de domaine configurés.
Cela affecte la capacité d’ATA à détecter les activités suspectes liées aux contrôleurs de domaine surveillés par cette passerelle ATA.
Assurez-vous que les contrôleurs de domaine sont opérationnels et que cette passerelle ATA peut leur ouvrir des connexions LDAP.
Moyen
La passerelle a cessé de communiquer
Alerte
Description
Résolution
Severity
Il n’y a eu aucune communication de la passerelle ATA. L’intervalle de temps par défaut pour cette alerte est de 5 minutes.
Le trafic réseau n’est plus capturé par la carte réseau sur la passerelle ATA. Cela affecte la capacité d’ATA à détecter les activités suspectes, car le trafic réseau ne pourra pas atteindre le centre ATA.
Vérifiez que le port utilisé pour la communication entre la passerelle ATA et le service du centre ATA n’est bloqué par aucun routeur ou pare-feu.
Moyen
Aucun trafic reçu du contrôleur de domaine
Alerte
Description
Résolution
Severity
Aucun trafic n’a été reçu du contrôleur de domaine via cette passerelle ATA.
Cela peut indiquer que la mise en miroir de ports des contrôleurs de domaine vers la passerelle ATA n’est pas encore configurée ou ne fonctionne pas.
Sur la carte réseau de capture de la passerelle ATA, désactivez ces fonctionnalités dans Paramètres avancés :
Fusion de segments de réception (IPv4)
Fusion de segments de réception (IPv6)
Moyen
Certains événements transférés ne sont pas analysés
Alerte
Description
Résolution
Severity
La passerelle ATA reçoit plus d’événements qu’elle ne peut en traiter.
Certains événements transférés ne sont pas analysés, ce qui peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
Vérifiez que seuls les événements requis sont transférés à la passerelle ATA ou essayez de transférer certains des événements à une autre passerelle ATA.
Moyen
Une partie du trafic réseau n’est pas analysée
Alerte
Description
Résolution
Severity
La passerelle ATA reçoit plus de trafic réseau qu’elle ne peut en traiter.
Une partie du trafic réseau n’est pas analysée, ce qui peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
Cela peut également se produire si vous utilisez des contrôleurs de domaine sur des machines virtuelles VMware. Pour éviter ces alertes, vous pouvez case activée que les paramètres suivants sont définis sur 0 ou Désactivé sur la machine virtuelle :
- TsoEnable
- LargeSendOffload(IPv4)
- Déchargement de l’authentification unique IPv4
Envisagez également de désactiver le déchargement TSO IPv4 Giant. Pour plus d’informations, consultez votre documentation VMware.
Moyen
Version de la passerelle obsolète
Alerte
Description
Résolution
Severity
Le centre ATA est plus récent que la version installée sur la passerelle ATA. Cela entraîne l’arrêt du fonctionnement de la passerelle ATA comme prévu.
Cela peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
Mettez automatiquement à jour la passerelle ATA vers la dernière version en activant la mise à jour automatique dans la console ATA ou en téléchargeant le dernier package de passerelle ATA disponible dans la console ATA.
Élevé
Échec du démarrage du service de passerelle
Alerte
Description
Résolution
Severity
Le service de passerelle ATA n’a pas pu démarrer pendant au moins 30 minutes.
Cela peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
La passerelle légère a atteint une limite de ressources de mémoire
Alerte
Description
Résolution
Severity
La passerelle ATA légère s’est arrêtée elle-même et redémarre automatiquement pour protéger le contrôleur de domaine contre une insuffisance de mémoire.
La passerelle ATA légère applique des limitations de mémoire sur elle-même pour empêcher le contrôleur de domaine de rencontrer des limitations de ressources. Cela se produit lorsque l’utilisation de la mémoire sur le contrôleur de domaine est élevée. Les données de ce contrôleur de domaine ne sont que partiellement surveillées.
Augmentez la quantité de mémoire (RAM) sur le contrôleur de domaine ou ajoutez d’autres contrôleurs de domaine dans ce site pour mieux répartir la charge de ce contrôleur de domaine.