Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
L’observateur d’événements du centre ATA journalise les événements pour ATA. Cet article fournit une liste d’ID d’événement et fournit une description de chacun d’eux.
Les événements sont disponibles ici :
Événements d’intégrité ATA
| ID d’événement | Nom de l’alerte |
|---|---|
| 1001 | Espace disque insuffisant dans le centre |
| 1003 | Surchargé au centre |
| 1004 | Certificat de centre sur le point d’expirer/ Certificat de centre a expiré |
| 1005 | MongoDB est en panne |
| 1006 | Le mot de passe utilisateur en lecture seule expire bientôt / Mot de passe utilisateur en lecture seule a expiré |
| 1007 | Synchronisateur de domaine non affecté |
| 1008 | Une partie ou la totalité des cartes réseau de capture sur une passerelle ne sont pas disponibles |
| 1009 | Une carte réseau de capture sur une passerelle n’existe plus |
| 1010 | Certains contrôleurs de domaine sont inaccessibles par une passerelle / Tous les contrôleurs de domaine sont inaccessibles par une passerelle |
| 1011 | La passerelle a cessé de communiquer |
| 1012 | Certains événements transférés ne sont pas analysés |
| 1013 | Une partie du trafic réseau n’est pas analysée |
| 1014 | Échec de l’envoi du courrier |
| 1015 | Échec de connexion au serveur SIEM à l’aide de Syslog |
| 1016 | Version de la passerelle obsolète |
| 1017 | Aucun trafic reçu du contrôleur de domaine |
| 1018 | Échec du démarrage du service de passerelle |
| 1019 | La passerelle légère a atteint une limite de ressources de mémoire |
| 1020 | La passerelle ne traite pas les événements Radius |
| 1021 | La passerelle ne traite pas les événements Syslog |
| 1022 | Le service de géolocalisation n’est pas disponible |
Événements d’alerte de sécurité ATA
| ID d’événement | Nom de l’alerte |
|---|---|
| 2001 | Suspicion d’usurpation d’identité basée sur un comportement anormal |
| 2002 | Implémentation de protocole inhabituelle |
| 2003 | Reconnaissance à l’aide de l’énumération de compte |
| 2004 | Attaque par force brute à l’aide d’une liaison simple LDAP |
| 2006 | Réplication malveillante des services d’annuaire |
| 2007 | Reconnaissance à l’aide de DNS |
| 2008 | Activité de passage à une version antérieure du chiffrement |
| 2009 | Activité de passage à une version antérieure du chiffrement (potentiellement golden ticket) |
| 2010 | Activité de passage à une version antérieure du chiffrement (overpass-the-hash potentiel) |
| 2011 | Activité de passage à une version antérieure du chiffrement (clé squelette potentielle) |
| 2012 | Reconnaissance à l’aide de l’énumération de session SMB |
| 2013 | Escalade de privilèges à l’aide de données d’autorisation falsifiées |
| 2014 | Activité Honeytoken |
| 2016 | Suppression massive d’objets |
| 2017 | Usurpation d’identité à l’aide d’une attaque Pass-the-Hash |
| 2018 | Usurpation d’identité à l’aide d’une attaque Pass-the-Ticket |
| 2019 | Tentative d’exécution à distance détectée |
| 2020 | Demande d’informations privées de protection des données malveillantes |
| 2021 | Reconnaissance à l’aide de requêtes des services d’annuaire |
| 2022 | Activité Kerberos Golden Ticket |
| 2023 | Échecs d’authentification suspects |
| 2024 | Modification anormale des groupes sensibles |
| 2026 | Création d’un service suspect |
Événements d’audit ATA
| ID d’événement | Nom de l’alerte |
|---|---|
| 3001 | Modification de la configuration ATA |
| 3002 | Passerelle ATA ajoutée |
| 3003 | Passerelle ATA supprimée |
| 3004 | Licence ATA activée |
| 3005 | Se connecter à la console ATA |
| 3006 | Modification manuelle de l’status de l’activité d’intégrité |
| 3007 | Modification manuelle des status d’activités suspectes |