O ATA Health Center permite-lhe saber quando existe um problema com a implementação do ATA, ao criar um alerta de estado de funcionamento.
Este artigo descreve todos os alertas de estado de funcionamento de cada componente, listando a causa e os passos necessários para resolve o problema.
Problemas do ATA Center
O centro está a ficar sem espaço em disco
Alerta
Descrição
Resolução
Severity
O espaço livre na unidade de máquina virtual do ATA Center que é utilizado para armazenar a base de dados do ATA está a ficar baixo.
Isto significa que o disco rígido tem menos de 200 GB de espaço livre ou que existe menos de 20% de espaço livre, o que for menor. Quando o ATA reconhece que a unidade está com pouco espaço, começa a eliminar dados antigos da base de dados. Se não conseguir eliminar dados antigos porque ainda precisa dos dados do motor de deteção, receberá este alerta. Quando recebe este alerta, o ATA deixa de controlar as novas atividades.
Aumente o tamanho da unidade ou liberte espaço nessa unidade.
Alto
Falha ao enviar correio
Alerta
Descrição
Resolução
Severity
O ATA não conseguiu enviar uma notificação por e-mail para o servidor de e-mail especificado.
Não são enviadas mensagens de e-mail do ATA.
Verifique a configuração do servidor SMTP.
Baixo
Centro sobrecarregado
Alerta
Descrição
Resolução
Severity
O ATA Center não consegue processar a quantidade de dados que estão a ser transferidos a partir dos ATA Gateways.
O ATA Center deixa de analisar novos eventos e tráfego de rede. Isto significa que a precisão das deteções e perfis é reduzida enquanto este alerta de estado de funcionamento está ativo.
O certificado do ATA Center irá expirar dentro de menos de 3 semanas.
Após a expiração do certificado: a conectividade dos ATA Gateways ao ATA Center falhará. O processo do ATA Center falhará e todas as funcionalidades do ATA serão interrompidas.
Após a expiração do certificado: a conectividade dos ATA Gateways ao ATA Center falha. O processo do ATA Center falha e todas as funcionalidades do ATA param.
Palavra-passe de utilizador só de leitura para expirar em breve
Alerta
Descrição
Resolução
Severity
A palavra-passe de utilizador só de leitura, utilizada para efetuar a resolução de entidades no Active Directory, está prestes a expirar em menos de 30 dias.
Se a palavra-passe deste utilizador expirar, todos os ATA Gateways deixarão de ser executados e não serão recolhidos novos dados.
O certificado do ATA Gateway irá expirar dentro de menos de 3 semanas.
Falha na conectividade do ATA Gateway específico ao ATA Center. Não são enviados dados desse ATA Gateway.
O certificado do ATA Gateway deveria ter sido renovado automaticamente. Leia os registos do ATA Gateway e do ATA Center para compreender por que motivo esse Certificado não foi renovado automaticamente.
Médio
Certificado de gateway expirado
Alerta
Descrição
Resolução
Severity
O certificado do ATA Gateway expirou.
Não existe conectividade deste ATA Gateway para o ATA Center. Não são enviados dados desse ATA Gateway.
Não é atribuído nenhum synchronizer de domínio a nenhum ATA Gateway. Isto pode acontecer se não existir nenhum ATA Gateway configurado como candidato a sincronizador de domínio.
Quando o domínio não está sincronizado, as alterações às entidades podem fazer com que as informações da entidade no ATA fiquem desatualizadas ou em falta, mas não afetam nenhuma deteção.
Certifique-se de que, pelo menos, um ATA Gateway está definido como um Sincronizador de domínio.
Baixo
Todos/Alguns dos adaptadores de rede de captura num Gateway não estão disponíveis
Alerta
Descrição
Resolução
Severity
Todos/Alguns dos adaptadores de rede de captura selecionados no ATA Gateway estão desativados ou desligados.
O tráfego de rede para alguns/todos os controladores de domínio já não é capturado pelo ATA Gateway. Isto afeta a capacidade de detetar atividades suspeitas, relacionadas com esses controladores de domínio.
Certifique-se de que estes adaptadores de rede de captura selecionados no ATA Gateway estão ativados e ligados.
Médio
Alguns controladores de domínio estão inacessíveis por um Gateway
Alerta
Descrição
Resolução
Severity
Um ATA Gateway tem funcionalidades limitadas devido a problemas de conectividade a alguns dos controladores de domínio configurados.
Transmitir a deteção de Hash pode ser menos precisa quando alguns controladores de domínio não podem ser consultados pelo ATA Gateway.
Certifique-se de que os controladores de domínio estão em execução e que este ATA Gateway pode abrir ligações LDAP aos mesmos.
Médio
Todos os controladores de domínio estão inacessíveis por um Gateway
Alerta
Descrição
Resolução
Severity
O ATA Gateway está atualmente offline devido a problemas de conectividade a todos os controladores de domínio configurados.
Isto afeta a capacidade do ATA de detetar atividades suspeitas relacionadas com controladores de domínio monitorizados por este ATA Gateway.
Certifique-se de que os controladores de domínio estão em execução e que este ATA Gateway pode abrir ligações LDAP aos mesmos.
Médio
O gateway deixou de comunicar
Alerta
Descrição
Resolução
Severity
Não houve comunicação do ATA Gateway. O intervalo de tempo predefinido para este alerta é de 5 minutos.
O tráfego de rede já não é capturado pelo adaptador de rede no ATA Gateway. Isto afeta a capacidade do ATA de detetar atividades suspeitas, uma vez que o tráfego de rede não conseguirá aceder ao ATA Center.
Verifique se a porta utilizada para a comunicação entre o ATA Gateway e o serviço ATA Center não está bloqueada por routers ou firewalls.
Médio
Nenhum tráfego recebido do controlador de domínio
Alerta
Descrição
Resolução
Severity
Não foi recebido tráfego do controlador de domínio através deste ATA Gateway.
Isto pode indicar que o espelhamento de porta dos controladores de domínio para o ATA Gateway ainda não está configurado ou não está a funcionar.
Na NIC de captura do ATA Gateway, desative estas funcionalidades nas Definições Avançadas:
Agrupamento de Segmentos de Receção (IPv4)
Agrupamento de Segmentos de Receção (IPv6)
Médio
Alguns eventos reencaminhados não estão a ser analisados
Alerta
Descrição
Resolução
Severity
O ATA Gateway está a receber mais eventos do que pode processar.
Alguns eventos reencaminhados não estão a ser analisados, o que pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway.
Verifique se apenas os eventos necessários são reencaminhados para o ATA Gateway ou tente reencaminhar alguns dos eventos para outro ATA Gateway.
Médio
Algum tráfego de rede não está a ser analisado
Alerta
Descrição
Resolução
Severity
O ATA Gateway está a receber mais tráfego de rede do que pode processar.
Algum tráfego de rede não está a ser analisado, o que pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway.
Considere adicionar processadores e memória adicionais conforme necessário. Se este for um ATA Gateway autónomo, reduza o número de controladores de domínio que estão a ser monitorizados.
Isto também pode acontecer se estiver a utilizar controladores de domínio em máquinas virtuais VMware. Para evitar estes alertas, pode marcar que as seguintes definições estão definidas como 0 ou Desativadas na máquina virtual:
- TsoEnable
- LargeSendOffload(IPv4)
- Descarga de TSO IPv4
Além disso, considere desativar a Descarga de TSO Gigante IPv4. Para obter mais informações, consulte a documentação do VMware.
Médio
Versão do gateway desatualizada
Alerta
Descrição
Resolução
Severity
O ATA Center é mais recente do que a versão instalada no ATA Gateway. Isto está a fazer com que o ATA Gateway deixe de funcionar conforme esperado.
Isto pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway.
Atualize automaticamente o ATA Gateway para a versão mais recente ao ativar a atualização automática na ATA Console ou ao transferir o pacote do ATA Gateway mais recente disponível na ATA Console.
Alto
Falha ao iniciar o serviço de gateway
Alerta
Descrição
Resolução
Severity
O serviço ATA Gateway não foi iniciado durante, pelo menos, 30 minutos.
Isto pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway.
O Lightweight Gateway atingiu um limite de recursos de memória
Alerta
Descrição
Resolução
Severity
O Lightweight ATA Gateway parou sozinho e será reiniciado automaticamente para proteger o controlador de domínio de uma condição de memória baixa.
O Lightweight ATA Gateway impõe limitações de memória a si próprio para impedir que o controlador de domínio tenha limitações de recursos. Isto acontece quando a utilização da memória no controlador de domínio é elevada. Os dados deste controlador de domínio são apenas parcialmente monitorizados.
Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio.