Основные сведения об оповещениях о работоспособности ATA
Статья
Область применения: Advanced Threat Analytics версии 1.9
Центр работоспособности ATA позволяет узнать, когда возникают проблемы с развертыванием ATA, создавая оповещение о работоспособности.
В этой статье описаны все оповещения о работоспособности для каждого компонента, а также приведены причины и шаги, необходимые для устранения проблемы.
Проблемы центра ATA
В центре не работает место на диске
Оповещение
Описание
Решение
Severity
Свободное место на диске компьютера ЦЕНТРА ATA, используемом для хранения базы данных ATA, становится низким.
Это означает, что на жестком диске меньше 200 ГБ свободного места или что свободного места меньше 20 %, в зависимости от того, что меньше. Когда ATA распознает, что на диске недостаточно места, она начинает удалять старые данные из базы данных. Если не удается удалить старые данные, так как они по-прежнему требуются для подсистемы обнаружения, вы получите это оповещение. Когда вы получите это оповещение, ATA перестает отслеживать новые действия.
Увеличьте размер диска или освободите место с этого диска.
Высокая
Сбой отправки почты
Оповещение
Описание
Решение
Severity
ATA не удалось отправить уведомление по электронной почте на указанный почтовый сервер.
Сообщения электронной почты от ATA не отправляются.
Проверьте конфигурацию SMTP-сервера.
Низкая
Центр перегружен
Оповещение
Описание
Решение
Severity
Центр ATA не может обрабатывать объем данных, передаваемых из шлюзов ATA.
Центр ATA прекращает анализ нового сетевого трафика и событий. Это означает, что точность обнаружения и профилей снижается, пока это оповещение о работоспособности активно.
Срок действия сертификата центра ATA истекает менее чем через 3 недели.
После истечения срока действия сертификата: подключение шлюзов ATA к Центру ATA завершится ошибкой. Процесс центра ATA завершится сбоем, и все функции ATA прекратятся.
После истечения срока действия сертификата: сбой подключения из шлюзов ATA к Центру ATA. Процесс центра ATA завершается сбоем, и все функции ATA останавливаются.
Срок действия сертификата шлюза ATA истекает менее чем через 3 недели.
Сбой подключения из конкретного шлюза ATA к Центру ATA. Данные из этого шлюза ATA не отправляются.
Сертификат шлюза ATA должен быть обновлен автоматически. Прочтите журналы шлюза ATA и центра ATA, чтобы понять, почему сертификат не продлевается автоматически.
Средняя
Срок действия сертификата шлюза истек
Оповещение
Описание
Решение
Severity
Срок действия сертификата шлюза ATA истек.
Этот шлюз ATA не подключен к Центру ATA. Данные из этого шлюза ATA не отправляются.
Ни одному шлюзу ATA не назначается ни один синхронизатор домена. Это может произойти, если шлюз ATA не настроен в качестве кандидата синхронизатора домена.
Если домен не синхронизирован, изменения сущностей могут привести к тому, что информация о сущностях в ATA станет устаревшей или отсутствует, но не влияет на обнаружение.
Все или некоторые сетевые адаптеры записи на шлюзе недоступны
Оповещение
Описание
Решение
Severity
Все или некоторые из выбранных сетевых адаптеров записи на шлюзе ATA отключены или отключены.
Сетевой трафик для некоторых или всех контроллеров домена больше не фиксируется шлюзом ATA. Это влияет на возможность обнаружения подозрительных действий, связанных с этими контроллерами домена.
Убедитесь, что эти выбранные сетевые адаптеры записи на шлюзе ATA включены и подключены.
Средняя
Некоторые контроллеры домена недоступны шлюзом
Оповещение
Описание
Решение
Severity
Шлюз ATA имеет ограниченные функциональные возможности из-за проблем с подключением к некоторым настроенным контроллерам домена.
Передача обнаружения хэша может быть менее точной, если шлюз ATA не может запрашивать некоторые контроллеры домена.
Убедитесь, что контроллеры домена работают и могут открывать к ним подключения LDAP.
Средняя
Шлюз недоступен для всех контроллеров домена
Оповещение
Описание
Решение
Severity
Шлюз ATA в настоящее время находится в автономном режиме из-за проблем с подключением ко всем настроенным контроллерам домена.
Это влияет на способность ATA обнаруживать подозрительные действия, связанные с контроллерами домена, отслеживаемыми этим шлюзом ATA.
Убедитесь, что контроллеры домена работают и могут открывать к ним подключения LDAP.
Средняя
Шлюз перестал взаимодействовать
Оповещение
Описание
Решение
Severity
Связь со шлюзом ATA не выполнена. Период времени по умолчанию для этого оповещения составляет 5 минут.
Сетевой трафик больше не фиксируется сетевым адаптером на шлюзе ATA. Это влияет на способность ATA обнаруживать подозрительные действия, так как сетевой трафик не сможет получить доступ к Центру ATA.
Убедитесь, что порт, используемый для обмена данными между шлюзом ATA и службой ЦЕНТРА ATA, не заблокирован маршрутизаторами или брандмауэрами.
Средняя
Трафик от контроллера домена не получен
Оповещение
Описание
Решение
Severity
Трафик от контроллера домена через этот шлюз ATA не получен.
Это может означать, что зеркальное отображение портов от контроллеров домена к шлюзу ATA еще не настроено или не работает.
На сетевом адаптере отслеживания шлюза ATA отключите следующие функции в разделе Дополнительные параметры:
Объединение сегментов получения (IPv4)
Объединение сегментов получения (IPv6)
Средняя
Некоторые переадресованные события не анализируются
Оповещение
Описание
Решение
Severity
Шлюз ATA получает больше событий, чем может обработать.
Некоторые переадресованные события не анализируются, что может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Убедитесь, что в шлюз ATA перенаправляются только необходимые события, или попробуйте переслать некоторые события в другой шлюз ATA.
Средняя
Некоторые сетевые трафик не анализируются
Оповещение
Описание
Решение
Severity
Шлюз ATA получает больше сетевого трафика, чем может обработать.
Некоторые сетевые трафики не анализируются, что может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Это также может произойти, если вы используете контроллеры домена на виртуальных машинах VMware. Чтобы избежать этих оповещений, можно проверка, что для следующих параметров задано значение 0 или Отключено на виртуальной машине:
- TsoEnable
— LargeSendOffload(IPv4)
— Разгрузка TSO IPv4
Кроме того, рассмотрите возможность отключения разгрузки IPv4 Giant TSO. Дополнительные сведения см. в документации по VMware.
Средняя
Версия шлюза устарела
Оповещение
Описание
Решение
Severity
Центр ATA является более новой версией, чем версия, установленная на шлюзе ATA. Это приводит к остановке работы шлюза ATA.
Это может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Автоматически обновите шлюз ATA до последней версии, включив автоматическое обновление в консоли ATA или скачав последний пакет шлюза ATA, доступный в консоли ATA.
Высокая
Не удалось запустить службу шлюза
Оповещение
Описание
Решение
Severity
Служба шлюза ATA не запускалась не менее 30 минут.
Это может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Упрощенный шлюз достиг ограничения ресурсов памяти
Оповещение
Описание
Решение
Severity
Упрощенный шлюз ATA остановился и автоматически перезапустится, чтобы защитить контроллер домена от нехватки памяти.
Упрощенный шлюз ATA применяет к себе ограничения памяти, чтобы предотвратить возникновение ограничений ресурсов на контроллере домена. Это происходит при высоком использовании памяти на контроллере домена. Данные из этого контроллера домена отслеживаются только частично.
Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте дополнительные контроллеры домена на этом сайте, чтобы лучше распределить нагрузку этого контроллера домена.