了解 ATA 运行状况警报

适用于:高级威胁分析版本 1.9

ATA 运行状况中心通过发出运行状况警报,告知你 ATA 部署何时出现问题。 本文介绍每个组件的所有运行状况警报,列出相关原因和解决问题所需的步骤。

ATA 中心的问题

中心磁盘空间不足

Alert 说明 解决方案 Severity
ATA 中心用于存储 ATA 数据库的计算机驱动器中的可用空间越来越少。 这意味着硬盘驱动器上的可用空间小于 200 GB,或者可用空间小于 20%,以较小者为准。 当 ATA 识别到驱动器的空间不足时,它会开始从数据库中删除旧数据。 如果它因仍需检测引擎数据而无法删除旧数据,你会收到此警报。 收到此警报时,ATA 会停止对新活动的跟踪。 增加驱动器大小或释放驱动器上的空间。

发送邮件时出错

Alert 说明 解决方案 Severity
ATA 无法向指定的邮件服务器发送电子邮件通知。 ATA 不会发送电子邮件。 验证 SMTP 服务器配置

中心重载

Alert 说明 解决方案 Severity
ATA 中心无法处理从 ATA 网关传输的数据量。 ATA 中心停止分析新的网络流量和事件。 这意味着,在此运行状况警报处于活动状态时,检测和配置文件的准确度会降低。 请务必为 ATA 中心提供足够的资源。 有关如何正确规划 ATA 中心容量的详细信息,请参阅 ATA 容量计划。 借助使用性能计数器对 ATA 进行故障排除,调查 ATA 中心的性能。

使用 Syslog 连接到 SIEM 服务器失败

警报 说明 解决方案 Severity
ATA 无法将事件发送给指定的 SIEM。 这意味着 ATA 中心无法将可疑活动和运行状况警报发送给 SIEM。 请务必正确配置 Syslog 服务器设置

中心的证书即将过期

警报 说明 解决方案 Severity
ATA 中心的证书将在 3 周内过期。 证书过期后:ATA 网关与 ATA 中心之间的连接将失效。 ATA 中心的进程将崩溃,且 ATA 的所有功能都将停止。 替换 ATA 中心的证书

ATA 中心的证书已过期

警报 说明 解决方案 Severity
ATA 中心的证书已过期。 证书过期后:ATA 网关与 ATA 中心之间的连接失效。 ATA 中心的进程崩溃,且 ATA 的所有功能停止。 重新部署 ATA 中心

ATA 网关的问题

只读用户密码即将过期

警报 说明 解决方案 Severity
用于针对 Active Directory 进行实体解析的只读用户密码将在 30 天内过期。 如果此用户的密码过期,则所有 ATA 网关都将停止运行,且不会收集任何新数据。 更改域连接密码,然后在 ATA 控制台中更新密码。

只读用户密码已过期

警报 说明 解决方案 Severity
用于获取目录数据的只读用户密码已过期。 所有 ATA 网关停止运行(或即将停止运行),且不会收集任何新数据。 更改域连接密码,然后在 ATA 控制台中更新密码。

网关的证书即将过期

Alert 说明 解决方案 Severity
ATA 网关的证书将在 3 周内过期。 特定 ATA 网关与 ATA 中心之间的连接失效。 来自该 ATA 网关的数据不会被发送。 ATA 网关的证书应已自动续订。 读取 ATA 网关和 ATA 中心的日志,了解证书未自动续订的原因。

网关的证书已过期

警报 说明 解决方案 Severity
ATA 网关的证书已过期。 此 ATA 网关与 ATA 中心之间没有连接。 来自该 ATA 网关的数据不会被发送。 卸载并重新安装 ATA 网关

未分配域同步器

警报 说明 解决方案 Severity
未将域同步器分配给任何 ATA 网关。 如果没有将 ATA 网关配置为域同步器的候选项,则可能会发生这种情况。 当域未同步时,对实体的更改可能会导致 ATA 中的实体信息过期或丢失,但不会对检测造成任何影响。 请务必至少将一个 ATA 网关设置为域同步器

网关上的全部/部分捕获网络适配器不可用

警报 说明 解决方案 Severity
ATA 网关上的全部/部分选中的捕获网络适配器已被禁用或已断开连接。 ATA 网关不再捕获部分/全部域控制器的网络流量。 这会影响检测与这些域控制器相关的可疑活动的能力。 请确保 ATA 网关上的这些选定的捕获网络适配器已被启用且已连接。

网关无法访问部分域控制器

警报 说明 解决方案 Severity
由于与某些已配置域控制器存在连接问题,因此 ATA 网关的功能有限。 当 ATA 网关无法查询部分域控制器时,哈希传递检测可能就不太准确。 请确保域控制器正常运行,且此 ATA 网关可以打开指向它们的 LDAP 连接。

网关无法访问所有域控制器

警报 说明 解决方案 Severity
由于与所有已配置域控制器存在连接问题,ATA 网关当前处于脱机状态。 这会影响 ATA 检测与此 ATA 网关所监视的域控制器相关的可疑活动的能力。 请确保域控制器正常运行,且此 ATA 网关可以打开指向它们的 LDAP 连接。

网关停止通信

警报 说明 解决方案 Severity
没有来自 ATA 网关的通信。 此警报的默认时间跨度为 5 分钟。 ATA 网关上的网络适配器不再捕获网络流量。 这会影响 ATA 检测可疑活动的能力,因为网络流量将无法到达 ATA 中心。 确保用于在 ATA 网关和 ATA 中心服务之间进行通信的端口没有被路由器或防火墙阻塞。

没有从域控制器接收到流量

警报 说明 解决方案 Severity
没有通过此 ATA 网关接收到来自域控制器的流量。 这可能表明尚未配置从域控制器到 ATA 网关的端口镜像或无法正常工作。 确保网络设备上已正确配置端口镜像

在 ATA 网关捕获 NIC 上,在“高级设置”中禁用这些功能:

接收段合并 (IPv4)

接收段合并 (IPv6)

部分转发事件没有被分析

Alert 说明 解决方案 Severity
ATA 网关接收的事件数超过了它的处理能力。 部分转发事件没有被分析,这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 确认仅将必要的事件转发到 ATA 网关,或尝试将一些事件转发给另一个 ATA 网关。

部分网络流量没有被分析

Alert 说明 解决方案 Severity
ATA 网关接收的网络流量超过了它的处理能力。 部分网络流量没有被分析,这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 请考虑根据需要添加额外的处理器和内存。 如果这是一个独立的 ATA 网关,请减少要监视的域控制器的数量。

如果在 VMware 虚拟机上使用域控制器,也可能会发生这种情况。 要避免这些警报,可以检查虚拟机中的以下设置是否已设置为 0 或“禁用”:

– TsoEnable

– LargeSendOffload(IPv4)

– IPv4 TSO 卸载

另请考虑禁用 IPv4 Giant TSO 卸载。 有关详细信息,请参阅 VMware 文档。

网关版本已过时

Alert 说明 解决方案 Severity
ATA 中心的版本高于 ATA 网关上安装的版本。 这会导致 ATA 网关不再按预期运行。 这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 通过在 ATA 控制台中启用自动更新功能,或下载 ATA 控制台中提供的最新 ATA 网关包,自动将 ATA 网关更新到最新版本。

网关服务未能启动

Alert 说明 解决方案 Severity
ATA 网关服务至少 30 分钟无法启动。 这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 监视 ATA 网关的日志,了解 ATA 网关服务失败的根本原因

轻型网关

轻型网关达到内存资源限制

警报 说明 解决方案 Severity
轻型 ATA 网关会自动停止并重新启动,以保护域控制器免受内存不足情况的影响。 轻型 ATA 网关会对自身实施内存限制,以防止域控制器遇到资源限制问题。 当域控制器上的内存使用率较高时,就会发生这种情况。 此域控制器中仅有部分数据受到监视。 请增加域控制器上的内存 (RAM) 量或在此站点中添加更多域控制器,以便更好地分配此域控制器的负载。

另请参阅