瞭解 ATA 健康情況警示
適用於:Advanced Threat Analytics 1.9 版
ATA 健康情況中心會發出健康情況警示,讓您知道 ATA 部署發生問題。
本文說明每個元件的所有健康情況警示,列出原因和解決問題所需的步驟。
ATA 中心問題
磁碟空間不足中心
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 中心機器磁碟驅動器上用來儲存 ATA 資料庫的可用空間越來越低。 |
這表示硬碟的可用空間少於 200 GB,或可用空間少於 20%,以較小者為準。 當 ATA 辨識磁碟驅動器空間不足時,就會開始從資料庫刪除舊數據。 如果它因為仍然需要偵測引擎的數據而無法刪除舊數據,您會收到此警示。 當您收到此警示時,ATA 會停止追蹤新的活動。 |
增加磁碟驅動器大小或釋出該磁碟驅動器的空間。 |
高 |
傳送郵件失敗
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 無法將電子郵件通知傳送至指定的郵件伺服器。 |
ATA 不會傳送任何電子郵件訊息。 |
確認 SMTP 伺服器組態。 |
低 |
置中多載
使用 Syslog 連線到 SIEM 伺服器失敗
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 無法將事件傳送至指定的 SIEM。 |
這表示 ATA 中心無法將可疑的活動和健康情況警示傳送至 SIEM。 |
請確定您的 Syslog 伺服器設定已正確設定。 |
低 |
中心憑證即將到期
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 中心憑證將在 3 周內過期。 |
憑證到期之後:從 ATA 閘道到 ATA 中心的連線將會失敗。 ATA 中心進程將會損毀,且所有 ATA 功能都會停止。 |
取代 ATA 中心憑證 |
中 |
ATA 中心憑證已過期
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 中心憑證已過期。 |
憑證到期之後:從 ATA 閘道到 ATA 中心的連線失敗。 ATA 中心進程當機,所有 ATA 功能都會停止。 |
重新部署 ATA 中心 |
高 |
ATA 閘道問題
要過期的唯讀用戶密碼
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| 用來針對 Active Directory 執行實體解析的唯讀使用者密碼即將在 30 天內過期。 |
如果此使用者的密碼過期,所有 ATA 閘道都會停止執行,而且不會收集任何新數據。 |
變更網域連線密碼 ,然後在 ATA 控制台中更新密碼。 |
中 |
唯讀用戶密碼已過期
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| 用來取得目錄數據的唯讀用戶密碼已過期。 |
所有 ATA 閘道都會停止執行 (或即將停止執行) ,而且不會收集任何新數據。 |
變更網域連線密碼 ,然後在 ATA 控制台中更新密碼。 |
高 |
閘道憑證即將到期
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道憑證將在3周內過期。 |
從特定 ATA 閘道到 ATA 中心的連線失敗。 不會傳送來自該 ATA 閘道的數據。 |
ATA 閘道憑證應該已自動更新。 閱讀 ATA 閘道和 ATA 中心記錄,以了解憑證未自動更新的原因。 |
中 |
網關憑證已過期
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道憑證已過期。 |
無法從此 ATA 網關聯機到 ATA 中心。 不會傳送來自該 ATA 閘道的數據。 |
卸載並重新安裝 ATA 閘道。 |
高 |
未指派網域同步器
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| 不會將任何網域同步器指派給任何 ATA 閘道。 如果沒有設定為網域同步器候選的 ATA 閘道,就可能發生這種情況。 |
當網域未同步處理時,實體的變更可能會導致 ATA 中的實體資訊過期或遺失,但不會影響任何偵測。 |
請確定至少有一個 ATA 閘道設定為 網域同步器。 |
低 |
閘道上的所有/部分擷取網路適配器無法使用
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道上所有/部分選取的擷取網路適配器已停用或中斷連線。 |
ATA 閘道不會再擷取部分/所有域控制器的網路流量。 這會影響偵測與這些域控制器相關的可疑活動的能力。 |
請確定 ATA 閘道上這些選取的擷取網路適配器已啟用並連線。 |
中 |
閘道無法連線到某些域控制器
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| 由於某些已設定域控制器的連線問題,ATA 閘道的功能有限。 |
當 ATA 閘道無法查詢某些域控制器時,傳遞哈希偵測可能較不精確。 |
請確定域控制器已啟動並執行,而且此 ATA 閘道可以開啟其LDAP連線。 |
中 |
閘道無法連線到所有域控制器
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道目前離線,因為所有已設定的域控制器連線問題。 |
這會影響 ATA 偵測與此 ATA 閘道所監視之域控制器相關可疑活動的能力。 |
請確定域控制器已啟動並執行,而且此 ATA 閘道可以開啟其LDAP連線。 |
中 |
閘道已停止通訊
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道沒有通訊。 此警示的預設時間範圍為5分鐘。 |
ATA 閘道上的網路適配器不會再擷取網路流量。 這會影響 ATA 偵測可疑活動的能力,因為網路流量將無法連線到 ATA 中心。 |
檢查用於 ATA 閘道與 ATA 中心服務之間通訊的埠未遭到任何路由器或防火牆封鎖。 |
中 |
未收到來自域控制器的流量
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| 未透過此 ATA 閘道從域控制器接收任何流量。 |
這可能表示從域控制器到 ATA 閘道的埠鏡像尚未設定或無法運作。 |
確認 已在網路裝置上正確設定埠鏡像。
在 ATA 閘道擷取 NIC 上,停用 [進階設定] 中的這些功能:
接收區段聯合 (IPv4)
接收區段聯合 (IPv6) |
中 |
未分析某些轉送的事件
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道接收的事件數目超出其可處理的數目。 |
某些轉送的事件不會被分析,這可能會影響偵測來自此 ATA 閘道所監視域控制器之可疑活動的能力。 |
確認只有必要的事件會轉送至 ATA 閘道,或嘗試將某些事件轉送至另一個 ATA 閘道。 |
中 |
部分網路流量未進行分析
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道所接收的網路流量超出其可處理的數目。 |
某些網路流量不會被分析,這可能會影響偵測來自此 ATA 閘道所監視域控制器之可疑活動的能力。 |
請考慮視需要 新增其他處理器和記憶體 。 如果這是獨立的 ATA 閘道,請減少受監視的域控制器數目。
如果您在 VMware 虛擬機上使用域控制器,也可能會發生這種情況。 若要避免這些警示,您可以檢查虛擬機中的下列設定是否設為 0 或已停用:
- TsoEnable
- LargeSendOffload (IPv4)
- IPv4 TSO 卸除
此外,請考慮停用IPv4大型 TSO 卸除。 如需詳細資訊,請參閱您的 VMware 檔。 |
中 |
閘道版本已過期
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 中心比安裝在 ATA 閘道上的版本還要新。 這會導致 ATA 閘道如預期般停止運作。 |
這可能會影響偵測來自此 ATA 閘道所監視域控制器之可疑活動的能力。 |
在 ATA 控制台中啟用 自動更新 ,或下載 ATA 控制台中提供的最新 ATA 閘道套件,自動將 ATA 閘道更新為最新版本。 |
高 |
無法啟動閘道服務
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| ATA 閘道服務無法啟動至少 30 分鐘。 |
這可能會影響偵測來自此 ATA 閘道所監視域控制器之可疑活動的能力。 |
監視 ATA 閘道記錄,以 瞭解 ATA 閘道服務失敗的根本原因。 |
高 |
輕量型閘道
輕量型閘道達到記憶體資源限制
| 提醒 |
描述 |
解決方案 |
嚴重性 |
| 輕量型 ATA 閘道會自行停止並自動重新啟動,以保護域控制器免於記憶體不足的情況。 |
輕量型 ATA 閘道會自行強制執行記憶體限制,以防止域控制器遇到資源限制。 當域控制器上的記憶體使用量很高時,就會發生這種情況。 此域控制器的數據只會受到部分監視。 |
增加域控制器上 RAM) 的記憶體 (量,或在此站台中新增更多域控制器,以更有效地分散此域控制器的負載。 |
中 |
另請參閱