Resolver problemas conhecidos do ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Esta secção detalha possíveis erros nas implementações do ATA e os passos necessários para os resolver.
Erros do ATA Gateway e do Lightweight Gateway
| Erro | Descrição | Resolução |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: Ocorreu um erro local | O ATA Gateway não conseguiu autenticar-se no controlador de domínio. | 1. Confirme que o registo DNS do controlador de domínio está configurado corretamente no servidor DNS. 2. Verifique se a hora do ATA Gateway é sincronizada com a hora do controlador de domínio. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Falha ao validar a cadeia de certificados | O ATA Gateway não conseguiu validar o certificado do ATA Center. | 1. Verifique se o certificado da AC de Raiz está instalado no arquivo de certificados da autoridade de certificação fidedigna no ATA Gateway. 2. Valide se a lista de revogação de certificados (CRL) está disponível e que a validação da revogação de certificados pode ser efetuada. |
| Microsoft.Common.ExtendedException: Falha ao analisar o tempo gerado | O ATA Gateway não conseguiu analisar as mensagens syslog que foram reencaminhadas a partir do SIEM. | Verifique se o SIEM está configurado para reencaminhar as mensagens num dos formatos suportados pelo ATA. |
| System.ServiceModel.FaultException: ocorreu um erro ao verificar a segurança da mensagem. | O ATA Gateway não conseguiu autenticar-se no ATA Center. | Verifique se a hora do ATA Gateway está sincronizada com a hora do ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Não foi possível ligar a net.tcp://center.ip.addr:443/IEntityReceiver | O ATA Gateway não conseguiu estabelecer uma ligação ao ATA Center. | Certifique-se de que as definições de rede estão corretas e que a ligação de rede entre o ATA Gateway e o ATA Center está ativa. |
| System.DirectoryServices.Protocols.LdapException: o servidor LDAP não está disponível. | O ATA Gateway não conseguiu consultar o controlador de domínio com o protocolo LDAP. | 1. Verifique se a conta de utilizador utilizada pelo ATA para ligar ao domínio do Active Directory tem acesso de leitura a todos os objetos na árvore do Active Directory. 2. Certifique-se de que o controlador de domínio não está endurecido para impedir consultas LDAP da conta de utilizador utilizada pelo ATA. |
| Microsoft.Tri.Infrastructure.ContractException: exceção de contrato | O ATA Gateway não conseguiu sincronizar a configuração a partir do ATA Center. | Conclua a configuração do ATA Gateway na ATA Console. |
| System.Reflection.ReflectionTypeLoadException: não é possível carregar um ou mais dos tipos pedidos. Obtenha a propriedade LoaderExceptions para obter mais informações. | O Analisador de Mensagens está instalado no ATA Gateway. | Desinstalar o Analisador de Mensagens. |
| Erro [Esquema] System.OutOfMemoryException: Foi emitida uma exceção do tipo "System.OutOfMemoryException". | O ATA Gateway não tem memória suficiente. | Aumente a quantidade de memória no controlador de domínio. |
| Falha ao iniciar o consumidor em direto ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: O fornecedor de eventos PEFNDIS não está pronto | O PEF (Analisador de Mensagens) não foi instalado corretamente. | Se utilizar o Hyper-V, tente atualizar os serviços de Integração do Hyper-V caso contrário, contacte o suporte para obter uma solução. |
| Falha na instalação com o erro: 0x80070652 | Existem outras instalações pendentes no seu computador. | Aguarde que as outras instalações sejam concluídas e, se necessário, reinicie o computador. |
| System.InvalidOperationException: a instância "Microsoft.Tri.Gateway" não existe na Categoria especificada. | Os PIDs foram ativados para nomes de processos no ATA Gateway | Veja Handling Duplicate Instance Names to disable PIDs in process names (Processar Nomes de Instância Duplicados para desativar PIDs nos nomes dos processos) |
| "System.InvalidOperationException: A categoria não existe. | Os contadores podem estar desativados no registo | Utilizar KB2554336 para reconstruir Contadores de Desempenho |
| System.ApplicationException: Não é possível iniciar a sessão ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Existe uma entrada de anfitrião no ficheiro HOSTS que aponta para o nome abreviado do computador | Remova a entrada de anfitrião do ficheiro C:\Windows\System32\drivers\etc\HOSTS ou altere-a para um FQDN. |
| System.IO.IOException: A autenticação falhou porque a entidade remota fechou o fluxo de transporte ou não conseguiu criar um canal seguro SSL/TLS | O TLS 1.0 está desativado no ATA Gateway, mas o .Net está definido para utilizar o TLS 1.2 | Ative o TLS 1.2 para .Net ao definir as chaves de registo para utilizar as predefinições do sistema operativo para SSL e TLS, da seguinte forma:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: Não foi possível carregar o tipo "Microsoft.Opn.Runtime.Values.BinaryValueBufferManager" da assemblagem "Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" | O ATA Gateway não conseguiu carregar os ficheiros de análise necessários. | Verifique se o Microsoft Message Analyzer está atualmente instalado. O Analisador de Mensagens não é suportado para ser instalado com o ATA Gateway/Lightweight Gateway. Desinstale o Message Analyzer e reinicie o serviço gateway. |
| System.Net.WebException: O servidor remoto devolveu um erro: (407) Autenticação de Proxy Necessária | A comunicação do ATA Gateway com o ATA Center está a ser interrompida por um servidor proxy. | Desative o proxy no computador ATA Gateway. Tenha em atenção que as definições de proxy podem ser por conta. |
| System.IO.DirectoryNotFoundException: o sistema não consegue localizar o caminho especificado. (Exceção de HRESULT: 0x80070003) | Um ou mais dos serviços necessários para operar o ATA não foram iniciados. | Inicie os seguintes serviços: Registos de Desempenho e Alertas (PLA), Programador de Tarefas (Agenda). |
| System.Net.WebException: O servidor remoto devolveu um erro: (403) Proibido | O ATA Gateway ou o Lightweight Gateway foi proibido de estabelecer uma ligação HTTP porque o ATA Center não é fidedigno. | Adicione o nome NetBIOS e o FQDN do ATA Center à lista de sites fidedignos e limpe a cache na Internet Explorer (ou o nome do ATA Center, conforme especificado na configuração, se o configurado for diferente do NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync falhou [requestTypeName=StopNetEventSessionRequest] | O ATA Gateway ou o ATA Lightweight Gateway não consegue parar e iniciar a sessão ETW que recolhe o tráfego de rede devido a um problema de WMI | Siga as instruções no WMI: Reconstruir o Repositório WMI para corrigir o problema da WMI |
| System.Net.Sockets.SocketException: Foi efetuada uma tentativa de aceder a um socket de forma proibida pelas suas permissões de acesso | Outra aplicação está a utilizar a porta 514 no ATA Gateway | Utilize netstat -o para estabelecer que processo está a utilizar essa porta. |
Erros de implementação
| Erro | Descrição | Resolução |
|---|---|---|
| A instalação do .Net Framework 4.6.1 falha com o erro 0x800713ec | Os pré-requisitos do .Net Framework 4.6.1 não estão instalados no servidor. | Antes de instalar o ATA, verifique se as atualizações do Windows KB2919442 e KB2919355 estão instaladas no servidor. |
| System.Threading.Tasks.TaskCanceledException: Uma tarefa foi cancelada | O processo de implementação excedeu o tempo limite, uma vez que não conseguiu aceder ao ATA Center. | 1. Verifique a conectividade de rede ao ATA Center ao navegar para o mesmo com o respetivo endereço IP. 2. Verifique a configuração do proxy ou da firewall. |
| System.Net.Http.HttpRequestException: ocorreu um erro ao enviar o pedido. >--- System.Net.WebException: o servidor remoto devolveu um erro: (407) Autenticação de Proxy Necessária. | O processo de implementação excedeu o tempo limite, uma vez que não conseguiu aceder ao ATA Center devido a uma configuração incorreta do proxy. | Desative a configuração do proxy antes da implementação e, em seguida, ative novamente a configuração do proxy. Em alternativa, pode configurar uma exceção no proxy. |
| System.Net.Sockets.SocketException: uma ligação existente foi forçada a fechar pelo anfitrião remoto | Ative o TLS 1.2 para .Net ao definir as chaves de registo para utilizar as predefinições do sistema operativo para SSL e TLS, da seguinte forma:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Erro [\[]DeploymentModel[\]] Falha na autenticação de gestão [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | O processo de implementação do ATA Gateway ou do ATA Lightweight Gateway não conseguiu autenticar com êxito no ATA Center | Abra um browser a partir do computador no qual o processo de implementação falhou e veja se consegue aceder à ATA Console.
Caso contrário, comece a resolução de problemas para ver o motivo pelo qual o browser não consegue autenticar-se no ATA Center. Aspetos a marcar: Configuração de proxy Problemas de rede Definições de política de grupo para autenticação nesse computador que difere do ATA Center. |
| Erro [\[]DeploymentModel[\]] Falha na autenticação de gestão | Falha na validação do certificado do Centro | O certificado do Centro pode exigir uma ligação à Internet para validação. Certifique-se de que o serviço de Gateway tem a configuração de proxy adequada para ativar a ligação e a validação. |
| Ao implementar o Centro e selecionar um certificado, é comunicado um erro "Não suportado" | Isto pode acontecer se o certificado selecionado não cumprir os requisitos ou se a chave privada do certificado não estiver acessível. | Confirme que está a executar a implementação com privilégios elevados (Executar como administrador) e que o certificado selecionado cumpre os requisitos. |
Erros do ATA Center
| Erro | Descrição | Resolução |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Acesso negado. | O ATA Center não conseguiu utilizar o certificado emitido para desencriptação. Isto provavelmente ocorreu devido à utilização de um certificado com KeySpec (KeyNumber) definido como Assinatura (AT\_SIGNATURE) que não é suportado para desencriptação, em vez de utilizar KeyExchange (AT\_KEYEXCHANGE). | 1. Pare o serviço ATA Center. 2. Elimine o certificado do ATA Center do arquivo de certificados do centro. (Antes de eliminar, certifique-se de que tem a cópia de segurança do certificado com a chave privada num ficheiro PFX.) 3. Abra uma linha de comandos elevada e execute certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Inicie o serviço ATA Center. 5. Verifique se tudo funciona como esperado. |
Problemas do ATA Gateway e do Lightweight Gateway
| Problema | Descrição | Resolução |
|---|---|---|
| Nenhum tráfego recebido do controlador de domínio, mas são observados alertas de estado de funcionamento | Não foi recebido tráfego de um controlador de domínio através do espelhamento de porta através de um ATA Gateway | Na NIC de captura do ATA Gateway, desative estas funcionalidades nas Definições Avançadas: Agrupamento de Segmentos de Receção (IPv4) Agrupamento de Segmentos de Receção (IPv6) |
| Este alerta de estado de funcionamento é apresentado: algum tráfego de rede não está a ser analisado | Se tiver um ATA Gateway ou Um Lightweight Gateway em máquinas virtuais VMware, poderá receber este alerta de estado de funcionamento. Isto acontece devido a um erro de correspondência de configuração no VMware. | Defina as seguintes definições como 0 ou Desativado na configuração nic da máquina virtual: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Modo de Grupo com Vários Processadores
Para os sistemas operativos Windows 2008R2 e 2012, o ATA Gateway não é suportado no modo grupo de processadores múltiplos .
Soluções possíveis sugeridas:
Se a hiperthreading estiver ativada, desative-a. Isto pode reduzir o número de núcleos lógicos o suficiente para evitar a necessidade de ser executado no modo grupo de processadores múltiplos .
Se o computador tiver menos de 64 núcleos lógicos e estiver em execução num anfitrião HP, poderá conseguir alterar a definição BIOS de Otimização do Tamanho do Grupo NUMA da predefinição de Clustered para Flat.