了解 ATA 运行状况警报
适用于:高级威胁分析版本 1.9
ATA 运行状况中心通过引发运行状况警报,在 ATA 部署出现问题时告知你。
本文介绍每个组件的所有运行状况警报,列出了原因和解决问题所需的步骤。
ATA 中心问题
磁盘空间不足的中心
| 通知 |
说明 |
解决方案 |
Severity |
| 用于存储 ATA 数据库的 ATA 中心计算机驱动器上的可用空间越来越少。 |
这意味着硬盘驱动器的可用空间小于 200 GB,或者可用空间小于 20%,以较小者为准。 当 ATA 识别到驱动器的空间不足时,它开始从数据库中删除旧数据。 如果由于仍需要检测引擎的数据而无法删除旧数据,则会收到此警报。 收到此警报时,ATA 将停止跟踪新活动。 |
增加驱动器大小或从该驱动器释放空间。 |
高 |
发送邮件失败
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 无法向指定的邮件服务器发送电子邮件通知。 |
不会从 ATA 发送电子邮件。 |
验证 SMTP 服务器配置。 |
低 |
居中重载
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 中心无法处理从 ATA 网关传输的数据量。 |
ATA 中心停止分析新的网络流量和事件。 这意味着,当此运行状况警报处于活动状态时,检测和配置文件的准确性会降低。 |
请确保为 ATA 中心提供了足够的资源。 有关如何正确规划 ATA 中心容量的更多详细信息,请参阅 ATA 容量规划。 使用性能 计数器通过 ATA 故障排除来调查 ATA 中心的性能。 |
高 |
使用 Syslog 连接到 SIEM 服务器失败
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 无法将事件发送到指定的 SIEM。 |
这意味着 ATA 中心无法向 SIEM 发送可疑活动和运行状况警报。 |
请确保 正确配置 Syslog 服务器设置。 |
低 |
中心证书即将过期
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 中心证书将在 3 周内过期。 |
证书过期后:从 ATA 网关到 ATA 中心的连接将失败。 ATA 中心进程将崩溃,所有 ATA 功能都将停止。 |
替换 ATA 中心证书 |
中 |
ATA 中心证书已过期
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 中心证书已过期。 |
证书过期后:从 ATA 网关到 ATA 中心的连接失败。 ATA 中心进程崩溃,所有 ATA 功能停止。 |
重新部署 ATA 中心 |
高 |
ATA 网关问题
即将过期的只读用户密码
| 通知 |
说明 |
解决方案 |
Severity |
| 用于针对 Active Directory 执行实体解析的只读用户密码将在 30 天内过期。 |
如果此用户的密码过期,则所有 ATA 网关将停止运行,不会收集任何新数据。 |
更改域连接密码 ,然后在 ATA 控制台中更新密码。 |
中 |
只读用户密码已过期
| 通知 |
说明 |
解决方案 |
Severity |
| 用于获取目录数据的只读用户密码已过期。 |
所有 ATA 网关都停止运行 (或将很快停止运行) ,并且不会收集任何新数据。 |
更改域连接密码 ,然后在 ATA 控制台中更新密码。 |
高 |
网关证书即将过期
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关证书将在 3 周内过期。 |
从特定 ATA 网关到 ATA 中心的连接失败。 不会发送来自该 ATA 网关的数据。 |
ATA 网关证书应已自动续订。 阅读 ATA 网关和 ATA 中心日志,了解该证书未自动续订的原因。 |
中 |
网关证书已过期
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关证书已过期。 |
此 ATA 网关与 ATA 中心没有连接。 不会发送来自该 ATA 网关的数据。 |
卸载并重新安装 ATA 网关。 |
高 |
未分配域同步器
| 通知 |
说明 |
解决方案 |
Severity |
| 不会将域同步器分配给任何 ATA 网关。 如果没有将 ATA 网关配置为域同步器候选项,则可能会发生这种情况。 |
当域未同步时,对实体的更改可能会导致 ATA 中的实体信息过期或丢失,但不会影响任何检测。 |
确保至少有一个 ATA 网关设置为 域同步器。 |
低 |
网关上的所有/部分捕获网络适配器不可用
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关上所有/部分选定的捕获网络适配器已禁用或断开连接。 |
ATA 网关不再捕获部分/所有域控制器的网络流量。 这会影响检测与这些域控制器相关的可疑活动的能力。 |
确保 ATA 网关上的这些所选捕获网络适配器已启用并已连接。 |
中 |
网关无法访问某些域控制器
| 通知 |
说明 |
解决方案 |
Severity |
| 由于与某些配置的域控制器的连接问题,ATA 网关的功能有限。 |
当 ATA 网关无法查询某些域控制器时,传递哈希检测可能不太准确。 |
请确保域控制器已启动并运行,并且此 ATA 网关可以打开与其建立的 LDAP 连接。 |
中 |
网关无法访问所有域控制器
| 通知 |
说明 |
解决方案 |
Severity |
| 由于与所有配置的域控制器的连接问题,ATA 网关当前处于脱机状态。 |
这会影响 ATA 检测与此 ATA 网关监视的域控制器相关的可疑活动的能力。 |
请确保域控制器已启动并运行,并且此 ATA 网关可以打开与其建立的 LDAP 连接。 |
中 |
网关已停止通信
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关没有通信。 此警报的默认时间跨度为 5 分钟。 |
ATA 网关上的网络适配器不再捕获网络流量。 这会影响 ATA 检测可疑活动的能力,因为网络流量将无法访问 ATA 中心。 |
检查用于 ATA 网关与 ATA 中心服务之间通信的端口是否未被任何路由器或防火墙阻止。 |
中 |
未从域控制器接收流量
| 通知 |
说明 |
解决方案 |
Severity |
| 未通过此 ATA 网关从域控制器接收流量。 |
这可能表示尚未配置从域控制器到 ATA 网关的端口镜像,或者无法正常工作。 |
验证 是否已在网络设备上正确配置端口镜像。
在 ATA 网关捕获 NIC 上,在“高级设置”中禁用这些功能:
接收段合并 (IPv4)
接收段合并 (IPv6) |
中 |
未分析某些转发事件
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关接收的事件数超过它可以处理的事件数。 |
未分析某些转发事件,这可能会影响检测来自此 ATA 网关监视的域控制器的可疑活动的能力。 |
验证是否仅将所需的事件转发到 ATA 网关,或尝试将某些事件转发到另一个 ATA 网关。 |
中 |
未分析某些网络流量
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关接收的网络流量超过它可以处理的流量。 |
未分析某些网络流量,这可能会影响检测来自此 ATA 网关监视的域控制器的可疑活动的能力。 |
请考虑根据需要 添加其他处理器和内存 。 如果这是独立的 ATA 网关,请减少要监视的域控制器数。
如果在 VMware 虚拟机上使用域控制器,也可能会发生这种情况。 若要避免这些警报,可以检查虚拟机中的以下设置设置为 0 或已禁用:
- TsoEnable
- LargeSendOffload (IPv4)
- IPv4 TSO 卸载
此外,请考虑禁用 IPv4 Giant TSO 卸载。 有关详细信息,请参阅 VMware 文档。 |
中 |
网关版本已过时
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 中心比 ATA 网关上安装的版本更新。 这会导致 ATA 网关停止按预期运行。 |
这可能会影响检测来自此 ATA 网关监视的域控制器的可疑活动的能力。 |
通过在 ATA 控制台中启用 自动更新 或下载 ATA 控制台中提供的最新 ATA 网关包,将 ATA 网关自动更新到最新版本。 |
高 |
网关服务无法启动
| 通知 |
说明 |
解决方案 |
Severity |
| ATA 网关服务在至少 30 分钟内无法启动。 |
这可能会影响检测来自此 ATA 网关监视的域控制器的可疑活动的能力。 |
监视 ATA 网关日志 以了解 ATA 网关服务故障的根本原因。 |
高 |
轻型网关
轻型网关达到内存资源限制
| 通知 |
说明 |
解决方案 |
Severity |
| 轻型 ATA 网关已自行停止,并会自动重启,以保护域控制器免受内存不足影响。 |
轻型 ATA 网关对自身强制实施内存限制,以防止域控制器遇到资源限制。 当域控制器上的内存使用率较高时,会发生这种情况。 来自此域控制器的数据仅受到部分监视。 |
增加域控制器上的内存 (RAM) 量,或在此站点中添加更多域控制器,以更好地分配此域控制器的负载。 |
中 |
另请参阅