Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
Die ATA Center-Ereignisanzeige protokolliert Ereignisse für ATA. Dieser Artikel enthält eine Liste der Ereignis-IDs und eine Beschreibung der einzelnen Ereignisse.
Die Ereignisse finden Sie hier:
ATA-Integritätsereignisse
| Ereignis-ID | Warnungsname |
|---|---|
| 1001 | Center, bei dem nicht genügend Speicherplatz vorhanden ist |
| 1003 | Zentriert überladen |
| 1004 | Centerzertifikat läuft bald ab / Centerzertifikat abgelaufen |
| 1005 | MongoDB ist ausgefallen |
| 1006 | Schreibgeschütztes Benutzerkennwort läuft in Kürze ab / Schreibgeschütztes Benutzerkennwort abgelaufen |
| 1007 | Domänensynchronisierung nicht zugewiesen |
| 1008 | Einige oder alle Aufzeichnungsnetzwerkadapter auf einem Gateway sind nicht verfügbar. |
| 1009 | Ein Erfassungsnetzwerkadapter auf einem Gateway ist nicht mehr vorhanden. |
| 1010 | Einige Domänencontroller sind von einem Gateway nicht erreichbar/ Alle Domänencontroller sind von einem Gateway nicht erreichbar |
| 1011 | Die Kommunikation des Gateways wurde beendet. |
| 1012 | Einige weitergeleitete Ereignisse werden nicht analysiert |
| 1013 | Ein Teil des Netzwerkdatenverkehrs wird nicht analysiert. |
| 1014 | Fehler beim Senden von E-Mails |
| 1015 | Fehler beim Herstellen einer Verbindung mit dem SIEM-Server mithilfe von Syslog |
| 1016 | Gatewayversion veraltet |
| 1017 | Kein Datenverkehr vom Domänencontroller empfangen |
| 1018 | Fehler beim Starten des Gatewaydiensts |
| 1019 | Lightweight Gateway hat einen Grenzwert für Arbeitsspeicherressourcen erreicht. |
| 1020 | Das Gateway verarbeitet keine Radius-Ereignisse. |
| 1021 | Das Gateway verarbeitet keine Syslog-Ereignisse. |
| 1022 | Geolocation-Dienst ist nicht verfügbar |
ATA-Sicherheitswarnungsereignisse
| Ereignis-ID | Warnungsname |
|---|---|
| 2001 | Verdacht auf Identitätsdiebstahl basierend auf ungewöhnlichem Verhalten |
| 2002 | Ungewöhnliche Protokollimplementierung |
| 2003 | Reconnaissance mit Kontoenumeration |
| 2004 | Brute-Force-Angriff mit einfacher LDAP-Bindung |
| 2006 | Böswillige Replikation von Verzeichnisdiensten |
| 2007 | Reconnaissance mit DNS |
| 2008 | Verschlüsselungs downgrade-Aktivität |
| 2009 | Verschlüsselungs downgrade-Aktivität (potenzielles Goldenes Ticket) |
| 2010 | Verschlüsselungs downgrade-Aktivität (potenzielles Überpassen des Hashs) |
| 2011 | Verschlüsselungs downgrade-Aktivität (potenzieller Gerüstschlüssel) |
| 2012 | Reconnaissance mit SMB-Sitzungsenumeration |
| 2013 | Rechteausweitung mithilfe gefälschter Autorisierungsdaten |
| 2014 | Honeytoken-Aktivität |
| 2016 | Massives Löschen von Objekten |
| 2017 | Identitätsdiebstahl mithilfe eines Pass-the-Hash-Angriffs |
| 2018 | Identitätsdiebstahl mithilfe eines Pass-the-Ticket-Angriffs |
| 2019 | Remoteausführungsversuch erkannt |
| 2020 | Private Informationsanforderung für böswillige Daten |
| 2021 | Reconnaissance mithilfe von Verzeichnisdienstabfragen |
| 2022 | Kerberos Golden Ticket-Aktivität |
| 2023 | Verdächtige Authentifizierungsfehler |
| 2024 | Ungewöhnliche Änderung vertraulicher Gruppen |
| 2026 | Erstellen eines verdächtigen Diensts |
ATA-Überwachungsereignisse
| Ereignis-ID | Warnungsname |
|---|---|
| 3001 | Ändern der ATA-Konfiguration |
| 3002 | ATA-Gateway hinzugefügt |
| 3003 | ATA-Gateway gelöscht |
| 3004 | ATA-Lizenz aktiviert |
| 3005 | Anmelden bei der ATA-Konsole |
| 3006 | Manuelle Änderung der status für Integritätsaktivitäten |
| 3007 | Manuelle Änderung an verdächtigen Aktivitäts-status |