Risoluzione dei problemi noti di ATA
Si applica a: Advanced Threat Analytics versione 1.9
Questa sezione descrive in dettaglio i possibili errori nelle distribuzioni di ATA e i passaggi necessari per risolverli.
Errori del gateway ATA e del gateway leggero
| Error | Descrizione | Risoluzione |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: errore locale | Il gateway ATA non è riuscito a eseguire l'autenticazione nel controller di dominio. | 1. Verificare che il record DNS del controller di dominio sia configurato correttamente nel server DNS. 2. Verificare che l'ora del gateway ATA sia sincronizzata con l'ora del controller di dominio. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: non è stato possibile convalidare la catena di certificati | Il gateway ATA non è riuscito a convalidare il certificato del Centro ATA. | 1. Verificare che il certificato ca radice sia installato nell'archivio certificati dell'autorità di certificazione attendibile nel gateway ATA. 2. Verificare che l'elenco di revoche di certificati sia disponibile e che sia possibile eseguire la convalida della revoca del certificato. |
| Microsoft.Common.ExtendedException: impossibile analizzare il tempo generato | Il gateway ATA non è riuscito ad analizzare i messaggi syslog inoltrati dal SIEM. | Verificare che SIEM sia configurato per inoltrare i messaggi in uno dei formati supportati da ATA. |
| System.ServiceModel.FaultException: si è verificato un errore durante la verifica della sicurezza per il messaggio. | Il gateway ATA non è riuscito a eseguire l'autenticazione in ATA Center. | Verificare che l'ora del gateway ATA sia sincronizzata con l'ora del Centro ATA. |
| System.ServiceModel.EndpointNotFoundException: impossibile connettersi a net.tcp://center.ip.addr:443/IEntityReceiver | Il gateway ATA non è riuscito a stabilire una connessione al Centro ATA. | Assicurarsi che le impostazioni di rete siano corrette e che la connessione di rete tra il gateway ATA e il Centro ATA sia attiva. |
| System.DirectoryServices.Protocols.LdapException: il server LDAP non è disponibile. | Il gateway ATA non è riuscito a eseguire query sul controller di dominio usando il protocollo LDAP. | 1. Verificare che l'account utente usato da ATA per connettersi al dominio di Active Directory abbia accesso in lettura a tutti gli oggetti nell'albero di Active Directory. 2. Assicurarsi che il controller di dominio non sia sottoposto a protezione avanzata per impedire le query LDAP dall'account utente usato da ATA. |
| Microsoft.Tri.Infrastructure.ContractException: eccezione del contratto | Il gateway ATA non è riuscito a sincronizzare la configurazione dal Centro ATA. | Configurazione completa del gateway ATA nella console ATA. |
| System.Reflection.ReflectionTypeLoadException: impossibile caricare uno o più tipi richiesti. Recuperare la proprietà LoaderExceptions per altre informazioni. | Message Analyzer viene installato nel gateway ATA. | Disinstallare Message Analyzer. |
| Errore [Layout] System.OutOfMemoryException: eccezione di tipo 'System.OutOfMemoryException' generata. | Il gateway ATA non ha memoria sufficiente. | Aumentare la quantità di memoria nel controller di dominio. |
| Non è possibile avviare il consumer live ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: il provider di eventi PEFNDIS non è pronto | PEF (Message Analyzer) non è stato installato correttamente. | Se si usa Hyper-V, provare ad aggiornare i servizi di integrazione Hyper-V in caso contrario, contattare il supporto tecnico per una soluzione alternativa. |
| Installazione non riuscita con errore: 0x80070652 | Nel computer sono presenti altre installazioni in sospeso. | Attendere il completamento delle altre installazioni e, se necessario, riavviare il computer. |
| System.InvalidOperationException: l'istanza 'Microsoft.Tri.Gateway' non esiste nella categoria specificata. | I PID sono stati abilitati per i nomi dei processi nel gateway ATA | Vedere Gestione di nomi di istanza duplicati per disabilitare i PID nei nomi dei processi |
| 'System.InvalidOperationException: la categoria non esiste. | I contatori potrebbero essere disabilitati nel Registro di sistema | Usare KB2554336 per ricompilare i contatori delle prestazioni |
| System.ApplicationException: impossibile avviare la sessione ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Nel file HOSTS è presente una voce host che punta al nome breve del computer | Rimuovere la voce host dal file C:\Windows\System32\drivers\etc\HOSTS o modificarla in fqdn. |
| System.IO.IOException: autenticazione non riuscita perché la parte remota ha chiuso il flusso di trasporto o non è stato possibile creare un canale sicuro SSL/TLS | TLS 1.0 è disabilitato nel gateway ATA, ma .Net è impostato per l'uso di TLS 1.2 | Abilitare TLS 1.2 per .Net impostando le chiavi del Registro di sistema per usare le impostazioni predefinite del sistema operativo per SSL e TLS, come indicato di seguito:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: impossibile caricare il tipo 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' dall'assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | Il gateway ATA non è riuscito a caricare i file di analisi necessari. | Verificare se Microsoft Message Analyzer è attualmente installato. Message Analyzer non è supportato per l'installazione con il gateway ATA/Lightweight Gateway. Disinstallare Message Analyzer e riavviare il servizio gateway. |
| System.Net.WebException: il server remoto ha restituito un errore: (407) Autenticazione proxy obbligatoria | La comunicazione del gateway ATA con ATA Center viene interrotta da un server proxy. | Disabilitare il proxy nel computer del gateway ATA. Si noti che le impostazioni proxy possono essere per account. |
| System.IO.DirectoryNotFoundException: il sistema non riesce a trovare il percorso specificato. (Eccezione da HRESULT: 0x80070003) | Uno o più servizi necessari per gestire ATA non sono stati avviati. | Avviare i servizi seguenti: Log e avvisi delle prestazioni (PLA), Utilità di pianificazione (pianificazione). |
| System.Net.WebException: il server remoto ha restituito un errore: (403) Accesso negato | Il gateway ATA o lightweight gateway non è stato autorizzato a stabilire una connessione HTTP perché il Centro ATA non è attendibile. | Aggiungere il nome NetBIOS e l'FQDN di ATA Center all'elenco dei siti Web attendibili e cancellare la cache in Internet Explorer (o il nome di ATA Center come specificato nella configurazione se l'oggetto configurato è diverso da NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] | Il gateway ATA o ATA Lightweight Gateway non può arrestare e avviare la sessione ETW che raccoglie il traffico di rete a causa di un problema WMI | Seguire le istruzioni in WMI: Ricompilazione del repository WMI per risolvere il problema WMI |
| System.Net.Sockets.SocketException: è stato effettuato un tentativo di accesso a un socket in modo non consentito dalle relative autorizzazioni di accesso | Un'altra applicazione usa la porta 514 nel gateway ATA | Usare netstat -o per stabilire quale processo usa tale porta. |
Errori di distribuzione
| Error | Descrizione | Risoluzione |
|---|---|---|
| L'installazione di .Net Framework 4.6.1 non riesce con errore 0x800713ec | I prerequisiti per .Net Framework 4.6.1 non sono installati nel server. | Prima di installare ATA, verificare che gli aggiornamenti di Windows KB2919442 e KB2919355 siano installati nel server. |
| System.Threading.Tasks.TaskCanceledException: un'attività è stata annullata | Timeout del processo di distribuzione perché non è stato possibile raggiungere il Centro ATA. | 1. Controllare la connettività di rete al Centro ATA accedendo al centro tramite il relativo indirizzo IP. 2. Verificare la configurazione del proxy o del firewall. |
| System.Net.Http.HttpRequestException: errore durante l'invio della richiesta. >--- System.Net.WebException: il server remoto ha restituito un errore: (407) Autenticazione proxy obbligatoria. | Timeout del processo di distribuzione perché non è stato possibile raggiungere il Centro ATA a causa di un errore di configurazione del proxy. | Disabilitare la configurazione del proxy prima della distribuzione, quindi abilitare di nuovo la configurazione del proxy. In alternativa, è possibile configurare un'eccezione nel proxy. |
| System.Net.Sockets.SocketException: una connessione esistente è stata chiusa forzatamente dall'host remoto | Abilitare TLS 1.2 per .Net impostando le chiavi del Registro di sistema per usare le impostazioni predefinite del sistema operativo per SSL e TLS, come indicato di seguito:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Errore [\[]DeploymentModel[\]] Autenticazione di gestione non riuscita [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Il processo di distribuzione del gateway ATA o del gateway ATA Lightweight non è riuscito a eseguire correttamente l'autenticazione in ATA Center | Aprire un browser dal computer in cui il processo di distribuzione non è riuscito e verificare se è possibile raggiungere la console ATA.
In caso contrario, avviare la risoluzione dei problemi per vedere perché il browser non può eseguire l'autenticazione nel Centro ATA. Cose da controllare: configurazione proxy Rete problemi Impostazioni di Criteri di gruppo per l'autenticazione in quel computer che differisce da ATA Center. |
| Errore [\[]DeploymentModel[\]] Autenticazione di gestione non riuscita | Convalida del certificato del centro non riuscita | Il certificato Center può richiedere una connessione Internet per la convalida. Assicurarsi che il servizio gateway disponga della configurazione proxy appropriata per abilitare la connessione e la convalida. |
| Durante la distribuzione del Centro e la selezione di un certificato, viene segnalato un errore "Non supportato" | Ciò può verificarsi se il certificato selezionato non soddisfa i requisiti o se la chiave privata del certificato non è accessibile. | Assicurarsi di eseguire la distribuzione con privilegi elevati (Esegui come amministratore) e che il certificato selezionato soddisfi i requisiti. |
Errori di ATA Center
| Error | Descrizione | Risoluzione |
|---|---|---|
| System.Security.Cryptography.CryptographicException: accesso negato. | ATA Center non è riuscito a usare il certificato emesso per la decrittografia. Ciò è probabilmente dovuto all'uso di un certificato con KeySpec (KeyNumber) impostato su Signature (AT\_SIGNATURE) che non è supportato per la decrittografia, invece di usare KeyExchange (AT\_KEYEXCHANGE). | 1. Arrestare il servizio ATA Center. 2. Eliminare il certificato ATA Center dall'archivio certificati del centro. Prima di eliminare, assicurarsi di avere il certificato di cui è stato eseguito il backup con la chiave privata in un file PFX. 3. Aprire un prompt dei comandi con privilegi elevati ed eseguire certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Avviare il servizio ATA Center. 5. Verificare che tutto funzioni come previsto. |
Problemi relativi al gateway ATA e al gateway leggero
| Problema | Descrizione | Risoluzione |
|---|---|---|
| Nessun traffico ricevuto dal controller di dominio, ma vengono osservati avvisi di integrità | Nessun traffico ricevuto da un controller di dominio che usa il mirroring delle porte tramite un gateway ATA | Nella scheda di interfaccia di rete di acquisizione del gateway ATA disabilitare queste funzionalità in Impostazioni avanzate: Receive Segment Coalescing (IPv4) Coalescing segmento di ricezione (IPv6) |
| Viene visualizzato questo avviso di integrità: il traffico di rete non viene analizzato | Se si dispone di un gateway ATA o di un gateway leggero in macchine virtuali VMware, è possibile che venga visualizzato questo avviso di integrità. Ciò si verifica a causa di una mancata corrispondenza della configurazione in VMware. | Impostare le impostazioni seguenti su 0 o Disabilitato nella configurazione della scheda di interfaccia di rete della macchina virtuale: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Modalità gruppo multiprocessore
Per i sistemi operativi Windows 2008R2 e 2012, il gateway ATA non è supportato in modalità Gruppo multiprocessore .
Possibili soluzioni alternative suggerite:
Se l'hyperthreading è attivato, disattivarlo. Ciò può ridurre il numero di core logici sufficienti per evitare la necessità di eseguire in modalità Gruppo multiprocessore .
Se il computer ha meno di 64 core logici ed è in esecuzione in un host HP, potrebbe essere possibile modificare l'impostazione BIOS ottimizzazione dimensioni gruppo NUMA dal valore predefinito Clustered a Flat.