S’applique à : Advanced Threat Analytics version 1.9
Le Centre d’intégrité ATA vous permet de savoir s’il existe un problème avec le déploiement ATA, en générant une alerte d’intégrité.
Cet article décrit toutes les alertes d’intégrité pour chaque composant, répertoriant la cause et les étapes nécessaires pour résoudre le problème.
Problèmes liés au Centre ATA
Espace disque insuffisant pour le centre
Alerte
Description
Résolution
Niveau de gravité
L’espace libre sur le lecteur d’ordinateur du Centre ATA utilisé pour stocker la base de données ATA est faible.
Cela signifie que le disque dur a moins de 200 Go d’espace libre ou qu’il y a moins de 20 % d’espace libre, selon le cas. Quand ATA reconnaît que le lecteur est en cours d’exécution faible sur l’espace, il commence à supprimer les anciennes données de la base de données. S’il ne peut pas supprimer d’anciennes données, car il a toujours besoin des données pour le moteur de détection, vous recevez cette alerte. Lorsque vous recevez cette alerte, ATA cesse de suivre les nouvelles activités.
Augmentez la taille du lecteur ou libérez de l’espace à partir de ce lecteur.
Forte
Échec de l’envoi du courrier
Alerte
Description
Résolution
Niveau de gravité
ATA n’a pas pu envoyer une notification par e-mail au serveur de courrier spécifié.
Aucun e-mail n’est envoyé à partir d’ATA.
Vérifiez la configuration du serveur SMTP.
Faible
Centre surchargé
Alerte
Description
Résolution
Niveau de gravité
Le Centre ATA ne peut pas gérer la quantité de données transférées à partir des passerelles ATA.
Le Centre ATA cesse d’analyser le nouveau trafic réseau et les événements. Cela signifie que la précision des détections et des profils est réduite pendant que cette alerte d’intégrité est active.
Assurez-vous que vous avez fourni suffisamment de ressources pour le Centre ATA. Pour plus d’informations sur la façon de planifier correctement la capacité du Centre ATA, consultez la planification de la capacité ATA. Examinez les performances du Centre ATA à l’aide de la résolution des problèmes d’ATA à l’aide des compteurs de performances.
Forte
Échec de connexion au serveur SIEM à l’aide de Syslog
Alerte
Description
Résolution
Niveau de gravité
ATA n'a pas réussi à envoyer des événements au SIEM spécifié.
Cela signifie que le Centre ATA ne peut pas envoyer d’activités suspectes et d’alertes d’intégrité à votre SIEM.
Le certificat du Centre ATA expirera en moins de 3 semaines.
Après l'expiration du certificat : la connectivité entre les passerelles ATA et le centre ATA échoue. Le processus du Centre ATA se bloque et toutes les fonctionnalités ATA s’arrêtent.
Après l'expiration du certificat : la connectivité entre les passerelles ATA et le centre ATA échoue. Le processus du Centre ATA se bloque et toutes les fonctionnalités ATA s’arrêtent.
Mot de passe de l’utilisateur en lecture seule à expirer prochainement
Alerte
Description
Résolution
Niveau de gravité
Le mot de passe de l’utilisateur en lecture seule, utilisé pour résoudre les entités sur Active Directory, est sur le point d’expirer en moins de 30 jours.
Si le mot de passe de cet utilisateur expire, toutes les passerelles ATA arrêtent de s’exécuter et aucune nouvelle donnée n’est collectée.
Le certificat de passerelle ATA expire dans moins de 3 semaines.
Connectivité de la passerelle ATA spécifique au Centre ATA échec. Aucune donnée de cette passerelle ATA n’est envoyée.
Le certificat de passerelle ATA doit avoir été renouvelé automatiquement. Lisez les journaux de la passerelle ATA et du Centre ATA pour comprendre pourquoi ce certificat n’a pas été renouvelé automatiquement.
Moyenne
Le certificat de passerelle a expiré
Alerte
Description
Résolution
Niveau de gravité
Le certificat de passerelle ATA a expiré.
Il n’existe aucune connectivité de cette passerelle ATA au Centre ATA. Aucune donnée de cette passerelle ATA n’est envoyée.
Aucun synchronisateur de domaine n’est affecté à une passerelle ATA. Cela peut se produire s’il n’existe aucune passerelle ATA configurée en tant que candidat synchronisateur de domaine.
Lorsque le domaine n'est pas synchronisé, les modifications apportées aux entités peuvent entraîner l'obsolescence ou l'absence d'informations sur les entités dans ATA, mais n'affectent aucune détection.
Vérifiez qu’au moins une passerelle ATA est définie en tant que synchronisateur de domaine.
Faible
Toutes/Certaines cartes réseau de capture sur une passerelle ne sont pas disponibles
Alerte
Description
Résolution
Niveau de gravité
Toutes/certaines des cartes réseau de capture sélectionnées sur la passerelle ATA sont désactivées ou déconnectées.
Le trafic réseau pour certains/tous les contrôleurs de domaine n’est plus capturé par la passerelle ATA. Cela a un impact sur la capacité à détecter les activités suspectes, liées à ces contrôleurs de domaine.
Vérifiez que ces cartes réseau de capture sélectionnées sur la passerelle ATA sont activées et connectées.
Moyenne
Tous les contrôleurs de domaine ne sont pas accessibles par une Passerelle
Alerte
Description
Résolution
Niveau de gravité
Une passerelle ATA a des fonctionnalités limitées en raison de problèmes de connectivité à certains des contrôleurs de domaine configurés.
Passer la détection de hachage peut être moins précise lorsque certains contrôleurs de domaine ne peuvent pas être interrogés par la passerelle ATA.
Assurez-vous que les contrôleurs de domaine sont opérationnels et que cette passerelle ATA peut ouvrir des connexions LDAP.
Moyenne
Tous les contrôleurs de domaine ne sont pas accessibles par une Passerelle
Alerte
Description
Résolution
Niveau de gravité
La passerelle ATA est actuellement hors connexion en raison de problèmes de connectivité à tous les contrôleurs de domaine configurés.
Cela a un impact sur la capacité d’ATA à détecter les activités suspectes liées aux contrôleurs de domaine surveillés par cette passerelle ATA.
Assurez-vous que les contrôleurs de domaine sont opérationnels et que cette passerelle ATA peut ouvrir des connexions LDAP.
Moyenne
La passerelle a cessé de communiquer
Alerte
Description
Résolution
Niveau de gravité
Aucune communication n’a été établie à partir de la passerelle ATA. L’intervalle de temps par défaut pour cette alerte est de 5 minutes.
Le trafic réseau n’est plus capturé par la carte réseau sur la passerelle ATA. Cela a un impact sur la capacité d’ATA à détecter les activités suspectes, car le trafic réseau ne pourra pas atteindre le Centre ATA.
Vérifier que le port utilisé pour la communication entre la passerelle ATA et le service Centre ATA n’est pas bloqué par des routeurs ou pare-feu.
Moyenne
Aucun trafic n'a été reçu du contrôleur de domaine
Alerte
Description
Résolution
Niveau de gravité
Aucun trafic n’a été reçu du contrôleur de domaine via cette passerelle ATA.
Cela peut indiquer que la mise en miroir des ports des contrôleurs de domaine vers la passerelle ATA n'est pas encore configurée ou ne fonctionne pas.
Certains événements transmis ne sont pas en cours d’analyse
Alerte
Description
Résolution
Niveau de gravité
La passerelle ATA reçoit plus d’événements qu’elle ne peut traiter.
Certains événements transférés ne sont pas analysés, ce qui peut avoir un impact sur la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
Vérifiez que seuls les événements requis sont transférés à la passerelle ATA ou essayez de transférer certains des événements vers une autre passerelle ATA.
Moyenne
Une partie du trafic réseau n’est pas analysée
Alerte
Description
Résolution
Niveau de gravité
La passerelle ATA reçoit plus de trafic réseau que possible.
Certains trafics réseau ne sont pas analysés, ce qui peut avoir un impact sur la possibilité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
Envisagez d’ajouter des processeurs et de la mémoire supplémentaires selon les besoins. S’il s’agit d’une passerelle ATA autonome, réduisez le nombre de contrôleurs de domaine surveillés. Cela peut également se produire si vous utilisez des contrôleurs de domaine sur des machines virtuelles VMware. Pour éviter ces alertes, vous pouvez case activée que les paramètres suivants sont définis sur 0 ou désactivés dans la machine virtuelle : - TsoEnable - LargeSendOffload(IPv4) - Déchargement de IPv4 TSO Pensez aussi à désactiver IPv4 Giant TSO Offload. Pour plus d’informations, consultez la documentation VMware.
Moyenne
La version de la passerelle est obsolète
Alerte
Description
Résolution
Niveau de gravité
Le Centre ATA est plus récent que la version installée sur la passerelle ATA. Cela entraîne l’arrêt de fonctionnement de la passerelle ATA comme prévu.
Cela peut avoir un impact sur la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
Mettez à jour la passerelle ATA automatiquement vers la dernière version en activant la mise à jour automatique dans la Console ATA ou en téléchargeant le dernier package de passerelle ATA disponible dans la Console ATA.
Forte
Le démarrage du service de passerelle a échoué
Alerte
Description
Résolution
Niveau de gravité
Le service de passerelle ATA n’a pas pu démarrer pendant au moins 30 minutes.
Cela peut avoir un impact sur la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA.
La passerelle légère a atteint une limite de ressources de mémoire
Alerte
Description
Résolution
Niveau de gravité
La passerelle ATA légère s’est arrêtée et redémarre automatiquement pour protéger le contrôleur de domaine d’une condition de mémoire faible.
La passerelle ATA légère applique des limitations de mémoire sur elle-même pour empêcher le contrôleur de domaine de rencontrer des limitations de ressources. Cela se produit lorsque l’utilisation de la mémoire sur le contrôleur de domaine est élevée. Les données de ce contrôleur de domaine ne sont surveillées qu’en partie.
Augmentez la quantité de mémoire (RAM) sur le contrôleur de domaine ou ajoutez d’autres contrôleurs de domaine dans ce site pour mieux répartir la charge de ce contrôleur de domaine.