Van toepassing op: Advanced Threat Analytics versie 1.9
Het ATA Health Center laat u weten wanneer er een probleem is met de ATA-implementatie, door een statuswaarschuwing te genereren.
In dit artikel worden alle statuswaarschuwingen voor elk onderdeel beschreven, met een overzicht van de oorzaak en de stappen die nodig zijn om het probleem op te lossen.
Problemen met ATA Center
Er is onvoldoende schijfruimte beschikbaar in het centrum
Waarschuwing
Beschrijving
Oplossing
Ernst
De vrije ruimte op het ATA Center-machinestation dat wordt gebruikt voor het opslaan van de ATA-database wordt steeds kleiner.
Dit betekent dat de harde schijf minder dan 200 GB vrije ruimte heeft of dat er minder dan 20% vrije ruimte is, afhankelijk van welke kleiner is. Wanneer ATA detecteert dat het station onvoldoende ruimte heeft, worden oude gegevens uit de database verwijderd. Als oude gegevens niet kunnen worden verwijderd omdat de gegevens nog nodig zijn voor de detectie-engine, ontvangt u deze waarschuwing. Wanneer u deze waarschuwing ontvangt, stopt ATA met het bijhouden van nieuwe activiteiten.
Vergroot de grootte van het station of maak ruimte vrij van dat station.
Hoog
Fout bij het verzenden van e-mail
Waarschuwing
Beschrijving
Oplossing
Ernst
ATA kan geen e-mailmelding verzenden naar de opgegeven e-mailserver.
Er worden geen e-mailberichten verzonden vanuit ATA.
Controleer de SMTP-serverconfiguratie.
Laag
Het centrum is overbelast
Waarschuwing
Beschrijving
Oplossing
Ernst
Het ATA Center kan de hoeveelheid gegevens die wordt overgedragen vanuit de ATA Gateways niet verwerken.
Het ATA Center stopt met het analyseren van nieuw netwerkverkeer en gebeurtenissen. Dit betekent dat de nauwkeurigheid van de detecties en profielen wordt verminderd terwijl deze statuswaarschuwing actief is.
Het ATA Center-certificaat verloopt over minder dan 3 weken.
Nadat het certificaat is verlopen: connectiviteit van ATA Gateways naar ATA Center mislukt. Het ATA Center-proces loopt vast en alle ATA-functionaliteit stopt.
Nadat het certificaat is verlopen: de verbinding tussen de ATA-gateways en het ATA Center mislukt. Het ATA Center-proces loopt vast en alle ATA-functionaliteit stopt.
Het ATA Gateway-certificaat verloopt over minder dan 3 weken.
De verbinding van de specifieke ATA-gateway naar het ATA Center mislukt. Er worden geen gegevens van die ATA-gateway verzonden.
Het ATA Gateway-certificaat moet automatisch worden vernieuwd. Lees de ATA Gateway- en ATA Center-logboeken om te begrijpen waarom dat certificaat niet automatisch is vernieuwd.
Gemiddeld
Gatewaycertificaat verlopen
Waarschuwing
Beschrijving
Oplossing
Ernst
Het ATA Gateway-certificaat is verlopen.
Er is geen verbinding van deze ATA-gateway met het ATA Center. Er worden geen gegevens van die ATA-gateway verzonden.
Er is geen domeinsynchronisatieprogramma toegewezen aan een ATA-gateway. Dit kan gebeuren als er geen ATA Gateway is geconfigureerd als kandidaat voor domeinsynchronisatie.
Wanneer het domein niet wordt gesynchroniseerd, kunnen wijzigingen in entiteiten ertoe leiden dat entiteitsinformatie in ATA verouderd raakt of ontbreekt, maar dit heeft geen invloed op de detectie.
Alle/sommige van de vastlegnetwerkadapters op een gateway zijn niet beschikbaar
Waarschuwing
Beschrijving
Oplossing
Ernst
Alle/sommige geselecteerde capture-netwerkadapters op de ATA-gateway zijn uitgeschakeld of verbroken.
Netwerkverkeer voor sommige/alle domeincontrollers wordt niet meer vastgelegd door de ATA-gateway. Dit is van invloed op de mogelijkheid om verdachte activiteiten te detecteren die betrekking hebben op deze domeincontrollers.
Zorg ervoor dat deze geselecteerde netwerkadapters voor vastleggen op de ATA-gateway zijn ingeschakeld en verbonden.
Gemiddeld
Sommige domeincontrollers zijn onbereikbaar voor een gateway
Waarschuwing
Beschrijving
Oplossing
Ernst
Een ATA-gateway heeft beperkte functionaliteit vanwege verbindingsproblemen met sommige van de geconfigureerde domeincontrollers.
Pass the Hash-detectie is mogelijk minder nauwkeurig wanneer op sommige domeincontrollers geen query's kunnen worden uitgevoerd door de ATA Gateway.
Zorg ervoor dat de domeincontrollers actief zijn en dat deze ATA Gateway LDAP-verbindingen voor deze domeincontrollers kan openen.
Gemiddeld
Alle domeincontrollers zijn onbereikbaar voor een gateway
Waarschuwing
Beschrijving
Oplossing
Ernst
De ATA-gateway is momenteel offline vanwege verbindingsproblemen met alle geconfigureerde domeincontrollers.
Dit is van invloed op de mogelijkheid van ATA om verdachte activiteiten te detecteren met betrekking tot domeincontrollers die worden bewaakt door deze ATA-gateway.
Zorg ervoor dat de domeincontrollers actief zijn en dat deze ATA Gateway LDAP-verbindingen voor deze domeincontrollers kan openen.
Gemiddeld
Gateway communiceert niet meer
Waarschuwing
Beschrijving
Oplossing
Ernst
Er is geen communicatie van de ATA-gateway. De standaardtijdsduur voor deze waarschuwing is 5 minuten.
Netwerkverkeer wordt niet meer vastgelegd door de netwerkadapter op de ATA-gateway. Dit is van invloed op de mogelijkheid van ATA om verdachte activiteiten te detecteren, omdat netwerkverkeer het ATA Center niet kan bereiken.
Controleer of de poort die wordt gebruikt voor de communicatie tussen de ATA Gateway en de ATA Center-service niet wordt geblokkeerd door routers of firewalls.
Gemiddeld
Geen verkeer ontvangen van domeincontroller
Waarschuwing
Beschrijving
Oplossing
Ernst
Er is geen verkeer ontvangen van de domeincontroller via deze ATA-gateway.
Dit kan erop wijzen dat poortspiegeling van de domeincontrollers naar de ATA-gateway nog niet is geconfigureerd of niet werkt.
Schakel op de NIC van de ATA Gateway-opname deze functies uit in Geavanceerde instellingen:
Segment coalescering ontvangen (IPv4)
Segment coalescering ontvangen (IPv6)
Gemiddeld
Sommige doorgestuurde gebeurtenissen worden niet geanalyseerd
Waarschuwing
Beschrijving
Oplossing
Ernst
De ATA-gateway ontvangt meer gebeurtenissen dan kan worden verwerkt.
Sommige doorgestuurde gebeurtenissen worden niet geanalyseerd, wat van invloed kan zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die door deze ATA-gateway worden bewaakt.
Controleer of alleen vereiste gebeurtenissen worden doorgestuurd naar de ATA-gateway of probeer een aantal gebeurtenissen door te sturen naar een andere ATA-gateway.
Gemiddeld
Sommige netwerkverkeer wordt niet geanalyseerd
Waarschuwing
Beschrijving
Oplossing
Ernst
De ATA-gateway ontvangt meer netwerkverkeer dan kan worden verwerkt.
Sommige netwerkverkeer wordt niet geanalyseerd, wat van invloed kan zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die door deze ATA Gateway worden bewaakt.
U kunt desgewenst extra processors en geheugen toevoegen . Als dit een zelfstandige ATA-gateway is, vermindert u het aantal domeincontrollers dat wordt bewaakt.
Dit kan ook gebeuren als u domeincontrollers gebruikt op virtuele VMware-machines. Om deze waarschuwingen te voorkomen, kunt u controleren of de volgende instellingen zijn ingesteld op 0 of Uitgeschakeld op de virtuele machine:
- TsoEnable
- LargeSendOffload(IPv4)
- IPv4 TSO Offload
Overweeg ook om IPv4 Giant TSO-offload uit te schakelen. Raadpleeg uw VMware-documentatie voor meer informatie.
Gemiddeld
Gatewayversie verouderd
Waarschuwing
Beschrijving
Oplossing
Ernst
Het ATA Center is nieuwer dan de versie die op de ATA-gateway is geïnstalleerd. Hierdoor werkt de ATA-gateway niet meer zoals verwacht.
Dit kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze ATA-gateway.
Werk de ATA Gateway automatisch bij naar de nieuwste versie door automatische updates in te schakelen in de ATA-console of door het meest recente ATA Gateway-pakket te downloaden dat beschikbaar is in de ATA Console.
Hoog
Gatewayservice kan niet worden gestart
Waarschuwing
Beschrijving
Oplossing
Ernst
De ATA Gateway-service kan gedurende ten minste 30 minuten niet worden gestart.
Dit kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze ATA-gateway.
Lightweight Gateway heeft een geheugenresourcelimiet bereikt
Waarschuwing
Beschrijving
Oplossing
Ernst
De Lightweight ATA Gateway stopte zichzelf en wordt automatisch opnieuw opgestart om de domeincontroller te beschermen tegen een geheugentekort.
De Lightweight ATA Gateway dwingt geheugenbeperkingen op zichzelf af om te voorkomen dat de domeincontroller resourcebeperkingen ondervindt. Dit gebeurt wanneer het geheugengebruik op de domeincontroller hoog is. Gegevens van deze domeincontroller worden slechts gedeeltelijk bewaakt.
Verhoog de hoeveelheid geheugen (RAM) op de domeincontroller of voeg meer domeincontrollers toe op deze site om de belasting van deze domeincontroller beter te verdelen.