Informacje o alertach dotyczących kondycji usługi ATA

Dotyczy: Advanced Threat Analytics w wersji 1.9

Centrum kondycji usługi ATA informuje o problemie z wdrożeniem usługi ATA przez utworzenie alertu dotyczącego kondycji. W tym artykule opisano wszystkie alerty dotyczące kondycji każdego składnika, przedstawiając przyczynę i kroki potrzebne do rozwiązania problemu.

Problemy z centrum usługi ATA

W centrum zabraknie miejsca na dysku

Alert	Opis	Rozwiązanie	Waga
Ilość wolnego miejsca na dysku maszyny centrum usługi ATA, która jest używana do przechowywania bazy danych usługi ATA, jest coraz niska.	Oznacza to, że dysk twardy ma mniej niż 200 GB wolnego miejsca lub że jest mniej niż 20% wolnego miejsca, w zależności od tego, co jest mniejsze. Gdy usługa ATA rozpozna, że na dysku brakuje miejsca, zaczyna usuwać stare dane z bazy danych. Jeśli nie może usunąć starych danych, ponieważ nadal potrzebuje danych dla aparatu wykrywania, otrzymasz ten alert. Po otrzymaniu tego alertu usługa ATA przestaje śledzić nowe działania.	Zwiększ rozmiar dysku lub zwolnij miejsce z tego dysku.	High (Wysoki)

Niepowodzenie wysyłania wiadomości e-mail

Alert	Opis	Rozwiązanie	Waga
Usługa ATA nie może wysłać powiadomienia e-mail do określonego serwera poczty.	Nie są wysyłane żadne wiadomości e-mail z usługi ATA.	Sprawdź konfigurację serwera SMTP.	Niski

Przeciążone centrum

Alert	Opis	Rozwiązanie	Waga
Centrum usługi ATA nie może obsłużyć ilości danych przesyłanych z bram usługi ATA.	Centrum usługi ATA przestaje analizować nowy ruch sieciowy i zdarzenia. Oznacza to, że dokładność wykrywania i profilów jest ograniczona, gdy ten alert kondycji jest aktywny.	Upewnij się, że podano wystarczającą ilość zasobów dla centrum usługi ATA. Aby uzyskać więcej informacji na temat prawidłowego planowania pojemności centrum usługi ATA, zobacz Planowanie pojemności usługi ATA. Zbadaj wydajność centrum usługi ATA przy użyciu rozwiązywania problemów z usługą ATA przy użyciu liczników wydajności.	High (Wysoki)

Niepowodzenie nawiązywania połączenia z serwerem SIEM przy użyciu dziennika systemowego

Alert	Opis	Rozwiązanie	Waga
Usługa ATA nie może wysłać zdarzeń do określonego rozwiązania SIEM.	Oznacza to, że centrum usługi ATA nie może wysyłać podejrzanych działań i alertów dotyczących kondycji do rozwiązania SIEM.	Upewnij się, że ustawienia serwera Syslog są poprawnie skonfigurowane.	Niski

Certyfikat centrum wkrótce wygaśnie

Alert	Opis	Rozwiązanie	Waga
Certyfikat centrum usługi ATA wygaśnie za mniej niż 3 tygodnie.	Po wygaśnięciu certyfikatu: łączność z bram usługi ATA do centrum usługi ATA zakończy się niepowodzeniem. Proces centrum usługi ATA ulegnie awarii i wszystkie funkcje usługi ATA zostaną zatrzymane.	Zastępowanie certyfikatu centrum usługi ATA	Średnie

Certyfikat centrum usługi ATA wygasł

Alert	Opis	Rozwiązanie	Waga
Certyfikat centrum usługi ATA wygasł.	Po wygaśnięciu certyfikatu: łączność z bram usługi ATA do centrum usługi ATA kończy się niepowodzeniem. Proces centrum usługi ATA ulega awarii i wszystkie funkcje usługi ATA są zatrzymane.	Ponowne wdrażanie centrum usługi ATA	High (Wysoki)

Problemy z bramą usługi ATA

Hasło użytkownika tylko do odczytu, które wkrótce wygaśnie

Alert	Opis	Rozwiązanie	Waga
Hasło użytkownika tylko do odczytu używane do rozpoznawania jednostek względem usługi Active Directory wkrótce wygaśnie za mniej niż 30 dni.	Jeśli hasło dla tego użytkownika wygaśnie, wszystkie bramy usługi ATA przestaną działać i nie będą zbierane żadne nowe dane.	Zmień hasło łączności z domeną , a następnie zaktualizuj hasło w konsoli usługi ATA.	Średnie

Hasło użytkownika tylko do odczytu wygasło

Alert	Opis	Rozwiązanie	Waga
Hasło użytkownika tylko do odczytu używane do pobierania danych katalogu wygasło.	Wszystkie bramy usługi ATA przestają działać (lub przestaną działać wkrótce) i nie są zbierane żadne nowe dane.	Zmień hasło łączności z domeną , a następnie zaktualizuj hasło w konsoli usługi ATA.	High (Wysoki)

Certyfikat bramy wkrótce wygaśnie

Alert	Opis	Rozwiązanie	Waga
Certyfikat bramy usługi ATA wygaśnie za mniej niż 3 tygodnie.	Łączność z określonej bramy usługi ATA do centrum usługi ATA kończy się niepowodzeniem. Nie są wysyłane żadne dane z tej bramy usługi ATA.	Certyfikat bramy usługi ATA powinien zostać odnowiony automatycznie. Przeczytaj dzienniki bramy usługi ATA i centrum usługi ATA, aby zrozumieć, dlaczego certyfikat nie został automatycznie odnowiony.	Średnie

Certyfikat bramy wygasł

Alert	Opis	Rozwiązanie	Waga
Certyfikat bramy usługi ATA wygasł.	Nie ma łączności z tej bramy usługi ATA do centrum usługi ATA. Nie są wysyłane żadne dane z tej bramy usługi ATA.	Odinstaluj i ponownie zainstaluj bramę usługi ATA.	High (Wysoki)

Nie przypisano synchronizatora domeny

Alert	Opis	Rozwiązanie	Waga
Żaden synchronizator domeny nie jest przypisany do żadnej bramy usługi ATA. Może się tak zdarzyć, jeśli nie skonfigurowano bramy usługi ATA jako kandydata synchronizatora domeny.	Jeśli domena nie jest zsynchronizowana, zmiany w jednostkach mogą spowodować, że informacje o jednostce w usłudze ATA staną się nieaktualne lub nie będą miały wpływu na wykrywanie.	Upewnij się, że co najmniej jedna brama usługi ATA jest ustawiona jako synchronizator domeny.	Niski

Wszystkie/niektóre karty sieciowe przechwytywania w bramie nie są dostępne

Alert	Opis	Rozwiązanie	Waga
Wszystkie/niektóre z wybranych kart sieciowych przechwytywania w bramie usługi ATA są wyłączone lub odłączone.	Ruch sieciowy dla niektórych/wszystkich kontrolerów domeny nie jest już przechwytywany przez bramę usługi ATA. Ma to wpływ na możliwość wykrywania podejrzanych działań związanych z tymi kontrolerami domeny.	Upewnij się, że te wybrane karty sieciowe przechwytywania w bramie usługi ATA są włączone i połączone.	Średnie

Niektóre kontrolery domeny są nieosiągalne przez bramę

Alert	Opis	Rozwiązanie	Waga
Brama usługi ATA ma ograniczoną funkcjonalność z powodu problemów z łącznością z niektórymi skonfigurowanymi kontrolerami domeny.	Przekazywanie wykrywania skrótów może być mniej dokładne, gdy brama usługi ATA nie może wysyłać zapytań do niektórych kontrolerów domeny.	Upewnij się, że kontrolery domeny są uruchomione i że ta brama usługi ATA może otwierać z nimi połączenia LDAP.	Średnie

Wszystkie kontrolery domeny są nieosiągalne przez bramę

Alert	Opis	Rozwiązanie	Waga
Brama usługi ATA jest obecnie w trybie offline z powodu problemów z łącznością ze wszystkimi skonfigurowanymi kontrolerami domeny.	Ma to wpływ na możliwość wykrywania podejrzanych działań związanych z kontrolerami domeny monitorowanymi przez tę bramę usługi ATA.	Upewnij się, że kontrolery domeny są uruchomione i że ta brama usługi ATA może otwierać z nimi połączenia LDAP.	Średnie

Brama przestała się komunikować

Alert	Opis	Rozwiązanie	Waga
Nie było komunikacji z bramy usługi ATA. Domyślny przedział czasu dla tego alertu to 5 minut.	Ruch sieciowy nie jest już przechwytywany przez kartę sieciową w bramie usługi ATA. Ma to wpływ na możliwość wykrywania podejrzanych działań przez usługę ATA, ponieważ ruch sieciowy nie będzie mógł dotrzeć do centrum usługi ATA.	Sprawdź, czy port używany do komunikacji między bramą usługi ATA a usługą Centrum usługi ATA nie jest blokowany przez żadne routery ani zapory.	Średnie

Brak ruchu odebranego z kontrolera domeny

Alert	Opis	Rozwiązanie	Waga
Nie odebrano żadnego ruchu z kontrolera domeny za pośrednictwem tej bramy usługi ATA.	Może to wskazywać, że dublowanie portów z kontrolerów domeny do bramy usługi ATA nie jest jeszcze skonfigurowane lub nie działa.	Sprawdź, czy dublowanie portów jest poprawnie skonfigurowane na urządzeniach sieciowych. W karcie sieciowej przechwytywania bramy usługi ATA wyłącz te funkcje w ustawieniach zaawansowanych: Łączenie segmentu odbierania (IPv4) Łączenie segmentu odbierania (IPv6)	Średnie

Niektóre zdarzenia przesyłane dalej nie są analizowane

Alert	Opis	Rozwiązanie	Waga
Brama usługi ATA odbiera więcej zdarzeń, niż może przetwarzać.	Niektóre przekazane zdarzenia nie są analizowane, co może mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez tę bramę usługi ATA.	Sprawdź, czy tylko wymagane zdarzenia są przekazywane do bramy usługi ATA lub spróbuj przekazać niektóre zdarzenia do innej bramy usługi ATA.	Średnie

Niektóre ruchy sieciowe nie są analizowane

Alert	Opis	Rozwiązanie	Waga
Brama usługi ATA odbiera więcej ruchu sieciowego niż może przetwarzać.	Część ruchu sieciowego nie jest analizowana, co może mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez tę bramę usługi ATA.	Rozważ dodanie dodatkowych procesorów i pamięci zgodnie z wymaganiami. Jeśli jest to autonomiczna brama usługi ATA, zmniejsz liczbę monitorowanych kontrolerów domeny. Może się to również zdarzyć, jeśli używasz kontrolerów domeny na maszynach wirtualnych VMware. Aby uniknąć tych alertów, możesz sprawdzić, czy następujące ustawienia są ustawione na wartość 0 lub Wyłączone na maszynie wirtualnej: - TsoEnable — LargeSendOffload(IPv4) - Odciążanie logowania jednokrotnego IPv4 Rozważ również wyłączenie odciążania gigantycznego logowania jednokrotnego IPv4. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją programu VMware.	Średnie

Nieaktualna wersja bramy

Alert	Opis	Rozwiązanie	Waga
Centrum usługi ATA jest nowsze niż wersja zainstalowana w bramie usługi ATA. Powoduje to, że brama usługi ATA przestaje działać zgodnie z oczekiwaniami.	Może to mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez tę bramę usługi ATA.	Automatycznie zaktualizuj bramę usługi ATA do najnowszej wersji, włączając aktualizację automatyczną w konsoli usługi ATA lub pobierając najnowszy pakiet bramy usługi ATA dostępny w konsoli usługi ATA.	High (Wysoki)

Nie można uruchomić usługi bramy

Alert	Opis	Rozwiązanie	Waga
Nie można uruchomić usługi bramy usługi ATA przez co najmniej 30 minut.	Może to mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez tę bramę usługi ATA.	Monitorowanie dzienników bramy usługi ATA w celu zrozumienia głównej przyczyny niepowodzenia usługi bramy usługi ATA.	High (Wysoki)

Uproszczona brama

Uproszczona brama osiągnęła limit zasobów pamięci

Alert	Opis	Rozwiązanie	Waga
Uproszczona brama usługi ATA została zatrzymana i zostanie automatycznie uruchomiona ponownie w celu ochrony kontrolera domeny przed małą ilością pamięci.	Uproszczona brama usługi ATA wymusza ograniczenia pamięci, aby zapobiec ograniczeniom zasobów kontrolera domeny. Dzieje się tak, gdy użycie pamięci na kontrolerze domeny jest wysokie. Dane z tego kontrolera domeny są tylko częściowo monitorowane.	Zwiększ ilość pamięci (RAM) na kontrolerze domeny lub dodaj więcej kontrolerów domeny w tej lokacji, aby lepiej rozłożyć obciążenie tego kontrolera domeny.	Średnie

Zobacz też

• Wymagania wstępne usługi ATA
• Planowanie pojemności usługi ATA
• Konfigurowanie kolekcji zdarzeń
• Konfigurowanie przekazywania zdarzeń systemu Windows
• Zapoznaj się z forum usługi ATA!