ATA 正常性アラートについて
- [アーティクル]
-
-
適用対象: Advanced Threat Analytics バージョン 1.9
ATA Health Center を使用すると、正常性アラートを生成することで、ATA のデプロイに問題が発生したタイミングを把握できます。
この記事では、各コンポーネントのすべての正常性アラートについて説明し、問題を解決するために必要な原因と手順を示します。
ATA センターの問題
ディスク領域が不足しているセンター
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA データベースの格納に使用される ATA センター コンピューター ドライブの空き領域が少なくなっています。 |
これは、ハード ドライブの空き領域が 200 GB 未満であること、または 20% 未満の空き領域がある方が小さいことを意味します。 ATA は、ドライブの空き領域が不足していることを認識すると、データベースから古いデータの削除を開始します。 検出エンジンのデータがまだ必要なため、古いデータを削除できない場合は、このアラートを受け取ります。 このアラートを受信すると、ATA は新しいアクティビティの追跡を停止します。 |
ドライブのサイズを大きくするか、そのドライブから空き領域を増やします。 |
高い |
メールの送信に失敗しました
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA 指定したメール サーバーに電子メール通知を送信できませんでした。 |
ATA から電子メール メッセージは送信されません。 |
SMTP サーバーの構成を確認します。 |
低い |
中央のオーバーロード
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA センターは、ATA ゲートウェイから転送されるデータの量を処理できません。 |
ATA センターは、新しいネットワーク トラフィックとイベントの分析を停止します。 これは、この正常性アラートがアクティブな間、検出とプロファイルの精度が低下することを意味します。 |
ATA センターに十分なリソースが用意されていることを確認します。 ATA センターの容量を適切に計画する方法の詳細については、「 ATA 容量計画」を参照してください。 パフォーマンス カウンターを使用した ATA の トラブルシューティングを使用して、ATA センターのパフォーマンスを調査します。 |
高い |
Syslog を使用して SIEM サーバーに接続できない
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA は、指定された SIEM にイベントを送信できませんでした。 |
これは、ATA センターが疑わしいアクティビティと正常性アラートを SIEM に送信できないことを意味します。 |
Syslog サーバー設定が正しく構成されていることを確認します。 |
低い |
センター証明書の有効期限が近づいています
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA センター証明書の有効期限は 3 週間未満です。 |
証明書の有効期限が切れた後: ATA ゲートウェイから ATA センターへの接続は失敗します。 ATA センター プロセスがクラッシュし、すべての ATA 機能が停止します。 |
ATA センター証明書を置き換える |
中 |
ATA センター証明書の有効期限が切れています
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA センター証明書の有効期限が切れています。 |
証明書の有効期限が切れた後: ATA ゲートウェイから ATA センターへの接続が失敗します。 ATA センター プロセスがクラッシュし、すべての ATA 機能が停止します。 |
ATA センターを再デプロイする |
高い |
ATA ゲートウェイに関する問題
読み取り専用ユーザー パスワードの有効期限がまもなく切れる
| 通知 |
説明 |
解決方法 |
重要度 |
| Active Directory に対するエンティティの解決を実行するために使用される読み取り専用ユーザー パスワードは、30 日以内に有効期限が切れようとしています。 |
このユーザーのパスワードが期限切れになると、すべての ATA ゲートウェイの実行が停止し、新しいデータは収集されません。 |
ドメイン接続パスワードを変更 し、ATA コンソールでパスワードを更新します。 |
中 |
読み取り専用ユーザー パスワードの有効期限が切れています
| 通知 |
説明 |
解決方法 |
重要度 |
| ディレクトリ データの取得に使用される読み取り専用ユーザー パスワードの有効期限が切れています。 |
すべての ATA ゲートウェイは実行を停止し (またはすぐに実行を停止します)、新しいデータは収集されません。 |
ドメイン接続パスワードを変更 し、ATA コンソールでパスワードを更新します。 |
高い |
有効期限が切れようとしているゲートウェイ証明書
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイ証明書の有効期限は 3 週間未満です。 |
特定の ATA ゲートウェイから ATA センターへの接続が失敗します。 その ATA ゲートウェイからのデータは送信されません。 |
ATA ゲートウェイ証明書は自動的に更新されている必要があります。 ATA ゲートウェイと ATA センターのログを読み、証明書が自動的に更新されなかった理由を理解します。 |
中 |
ゲートウェイ証明書の有効期限が切れています
ドメイン シンクロナイザーが割り当てられない
| 通知 |
説明 |
解決方法 |
重要度 |
| どの ATA ゲートウェイにもドメイン シンクロナイザーが割り当てされていません。 これは、ドメイン シンクロナイザー候補として構成された ATA ゲートウェイがない場合に発生する可能性があります。 |
ドメインが同期されていない場合、エンティティに対する変更により、ATA のエンティティ情報が古くなったり欠落したりすることがありますが、検出には影響しません。 |
少なくとも 1 つの ATA ゲートウェイが ドメイン シンクロナイザーとして設定されていることを確認します。 |
低い |
ゲートウェイ上のキャプチャ ネットワーク アダプターのすべて/一部は使用できません
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイで選択されているキャプチャ ネットワーク アダプターのすべて/一部が無効または切断されています。 |
一部またはすべてのドメイン コントローラーのネットワーク トラフィックが ATA ゲートウェイによってキャプチャされなくなりました。 これは、それらのドメイン コントローラーに関連する疑わしいアクティビティを検出する機能に影響します。 |
ATA ゲートウェイで選択したキャプチャ ネットワーク アダプターが有効になっており、接続されていることを確認します。 |
中 |
一部のドメイン コントローラーはゲートウェイによって到達できません
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイには、構成されている一部のドメイン コントローラーへの接続の問題が原因で機能が制限されています。 |
一部のドメイン コントローラーを ATA ゲートウェイで照会できない場合、パス ハッシュ検出の精度が低下する可能性があります。 |
ドメイン コントローラーが稼働していること、およびこの ATA ゲートウェイがそれらに対する LDAP 接続を開くことができることを確認します。 |
中 |
ゲートウェイによってすべてのドメイン コントローラーに到達できない
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイは現在、構成されているすべてのドメイン コントローラーへの接続の問題が原因でオフラインになっています。 |
これは、この ATA ゲートウェイによって監視されるドメイン コントローラーに関連する疑わしいアクティビティを検出する ATA の機能に影響します。 |
ドメイン コントローラーが稼働していること、およびこの ATA ゲートウェイがそれらに対する LDAP 接続を開くことができることを確認します。 |
中 |
ゲートウェイが通信を停止しました
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイからの通信はありません。 このアラートの既定の期間は 5 分です。 |
ATA ゲートウェイのネットワーク アダプターによってネットワーク トラフィックがキャプチャされなくなりました。 これは、ネットワーク トラフィックが ATA センターに到達できないため、疑わしいアクティビティを検出する ATA の機能に影響します。 |
ATA ゲートウェイと ATA センター サービス間の通信に使用されるポートが、ルーターまたはファイアウォールによってブロックされていないことを確認します。 |
中 |
ドメイン コントローラーから受信したトラフィックがない
| 通知 |
説明 |
解決方法 |
重要度 |
| この ATA ゲートウェイを介してドメイン コントローラーからトラフィックが受信されませんでした。 |
これは、ドメイン コントローラーから ATA ゲートウェイへのポート ミラーリングがまだ構成されていないか、動作しないことを示している可能性があります。 |
ポート ミラーリングがネットワーク デバイスで正しく構成されていることを確認します。
ATA ゲートウェイ キャプチャ NIC で、[詳細設定] で次の機能を無効にします。
Receive Segment Coalescing (IPv4)
Receive Segment Coalescing (IPv6) |
中 |
転送されたイベントの一部が分析されていない
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイは、処理できる数よりも多くのイベントを受信しています。 |
一部の転送イベントは分析されていません。これは、この ATA ゲートウェイによって監視されているドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 |
必要なイベントのみが ATA ゲートウェイに転送されていることを確認するか、一部のイベントを別の ATA ゲートウェイに転送してみてください。 |
中 |
一部のネットワーク トラフィックが分析されていない
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイは、処理できるよりも多くのネットワーク トラフィックを受信しています。 |
一部のネットワーク トラフィックが分析されていません。これは、この ATA ゲートウェイによって監視されているドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 |
必要に応じて 、プロセッサとメモリを追加 することを検討してください。 これがスタンドアロン ATA ゲートウェイの場合は、監視するドメイン コントローラーの数を減らします。
これは、VMware 仮想マシンでドメイン コントローラーを使用している場合にも発生する可能性があります。 これらのアラートを回避するには、次の設定が仮想マシンで 0 または無効に設定されていることをチェックできます。
- TsoEnable
- LargeSendOffload(IPv4)
- IPv4 TSO オフロード
また、IPv4 Giant TSO オフロードを無効にすることも検討してください。 詳細については、VMware のドキュメントを参照してください。 |
中 |
ゲートウェイのバージョンが古い
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA センターは、ATA ゲートウェイにインストールされているバージョンよりも新しいです。 これにより、ATA ゲートウェイが期待どおりに機能しなくなります。 |
これは、この ATA ゲートウェイによって監視されているドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 |
ATA コンソールで自動更新を有効にするか、ATA コンソールで利用可能な最新の ATA ゲートウェイ パッケージをダウンロードして、ATA ゲートウェイを最新バージョンに自動的に 更新 します。 |
高い |
ゲートウェイ サービスの開始に失敗しました
| 通知 |
説明 |
解決方法 |
重要度 |
| ATA ゲートウェイ サービスは、少なくとも 30 分間開始できませんでした。 |
これは、この ATA ゲートウェイによって監視されているドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 |
ATA ゲートウェイ のログを監視して 、ATA ゲートウェイ サービスの失敗の根本原因を理解します。 |
高い |
ライトウェイト ゲートウェイ
Lightweight Gateway がメモリ リソースの上限に達しました
| 通知 |
説明 |
解決方法 |
重要度 |
| ライトウェイト ATA ゲートウェイはそれ自体を停止し、メモリ不足状態からドメイン コントローラーを保護するために自動的に再起動します。 |
Lightweight ATA Gateway では、ドメイン コントローラーでリソースの制限が発生しないように、それ自体にメモリ制限が適用されます。 これは、ドメイン コントローラーのメモリ使用量が多い場合に発生します。 このドメイン コントローラーからのデータは、部分的にのみ監視されます。 |
ドメイン コントローラーのメモリ (RAM) の量を増やすか、このサイトにドメイン コントローラーを追加して、このドメイン コントローラーの負荷をより適切に分散します。 |
中 |
関連項目