Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Cette section détaille les erreurs possibles dans les déploiements d’ATA et les étapes requises pour les résoudre.
Erreurs de passerelle ATA et de passerelle légère
| Erreur | Description | Résolution |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException : une erreur locale s’est produite | La passerelle ATA n’a pas pu s’authentifier auprès du contrôleur de domaine. | 1. Vérifiez que l’enregistrement DNS du contrôleur de domaine est correctement configuré dans le serveur DNS. 2. Vérifiez que l’heure de la passerelle ATA est synchronisée avec l’heure du contrôleur de domaine. |
| System.IdentityModel.Tokens.SecurityTokenValidationException : Échec de la validation de la chaîne de certificats | La passerelle ATA n’a pas pu valider le certificat du centre ATA. | 1. Vérifiez que le certificat d’autorité de certification racine est installé dans le magasin de certificats de l’autorité de certification approuvée sur la passerelle ATA. 2. Vérifiez que la liste de révocation de certificats (CRL) est disponible et que la validation de révocation de certificat peut être effectuée. |
| Microsoft.Common.ExtendedException : Échec de l’analyse de l’heure générée | La passerelle ATA n’a pas pu analyser les messages syslog qui ont été transférés à partir du SIEM. | Vérifiez que siem est configuré pour transférer les messages dans l’un des formats pris en charge par ATA. |
| System.ServiceModel.FaultException : une erreur s’est produite lors de la vérification de la sécurité du message. | La passerelle ATA n’a pas pu s’authentifier auprès du centre ATA. | Vérifiez que l’heure de la passerelle ATA est synchronisée avec l’heure du centre ATA. |
| System.ServiceModel.EndpointNotFoundException : impossible de se connecter à net.tcp ://center.ip.addr :443/IEntityReceiver | La passerelle ATA n’a pas pu établir une connexion au centre ATA. | Vérifiez que les paramètres réseau sont corrects et que la connexion réseau entre la passerelle ATA et le centre ATA est active. |
| System.DirectoryServices.Protocols.LdapException : le serveur LDAP n’est pas disponible. | La passerelle ATA n’a pas pu interroger le contrôleur de domaine à l’aide du protocole LDAP. | 1. Vérifiez que le compte d’utilisateur utilisé par ATA pour se connecter au domaine Active Directory dispose d’un accès en lecture à tous les objets de l’arborescence Active Directory. 2. Assurez-vous que le contrôleur de domaine n’est pas renforcé pour empêcher les requêtes LDAP à partir du compte d’utilisateur utilisé par ATA. |
| Microsoft.Tri.Infrastructure.ContractException : Exception de contrat | La passerelle ATA n’a pas pu synchroniser la configuration à partir du centre ATA. | Terminez la configuration de la passerelle ATA dans la console ATA. |
| System.Reflection.ReflectionTypeLoadException : impossible de charger un ou plusieurs des types demandés. Récupérez la propriété LoaderExceptions pour plus d’informations. | Message Analyzer est installé sur la passerelle ATA. | Désinstallez Message Analyzer. |
| Erreur [Layout] System.OutOfMemoryException : l’exception de type 'System.OutOfMemoryException' a été levée. | La passerelle ATA n’a pas suffisamment de mémoire. | Augmentez la quantité de mémoire sur le contrôleur de domaine. |
| Échec du démarrage du consommateur en direct ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException : le fournisseur d’événements PEFNDIS n’est pas prêt | PEF (Message Analyzer) n’a pas été installé correctement. | Si vous utilisez Hyper-V, essayez de mettre à niveau les services d’intégration Hyper-V dans le cas contraire, contactez le support pour obtenir une solution de contournement. |
| Échec de l’installation avec l’erreur : 0x80070652 | D’autres installations sont en attente sur votre ordinateur. | Attendez que les autres installations se terminent et, si nécessaire, redémarrez l’ordinateur. |
| System.InvalidOperationException : l’instance « Microsoft.Tri.Gateway » n’existe pas dans la catégorie spécifiée. | Les PID ont été activés pour les noms de processus dans la passerelle ATA | Consultez Gestion des noms d’instances en double pour désactiver les PID dans les noms de processus |
| 'System.InvalidOperationException : La catégorie n’existe pas. | Les compteurs peuvent être désactivés dans le Registre | Utiliser KB2554336 pour reconstruire les compteurs de performances |
| System.ApplicationException : Impossible de démarrer la session ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Une entrée d’hôte dans le fichier HOSTS pointe vers le nom court de l’ordinateur | Supprimez l’entrée hôte du fichier C :\Windows\System32\drivers\etc\HOSTS ou remplacez-la par un nom de domaine complet. |
| System.IO.IOException : l’authentification a échoué, car la partie distante a fermé le flux de transport ou n’a pas pu créer de canal sécurisé SSL/TLS | TLS 1.0 est désactivé sur la passerelle ATA, mais .Net est configuré pour utiliser TLS 1.2 | Activez TLS 1.2 pour .Net en définissant les clés de Registre pour utiliser les valeurs par défaut du système d’exploitation pour SSL et TLS, comme suit :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException : impossible de charger le type « Microsoft.Opn.Runtime.Values.BinaryValueBufferManager » à partir de l’assembly « Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 » | La passerelle ATA n’a pas pu charger les fichiers d’analyse requis. | Vérifiez si Microsoft Message Analyzer est actuellement installé. L’installation de l’analyseur de message avec la passerelle ATA/passerelle légère n’est pas prise en charge. Désinstallez Message Analyzer et redémarrez le service de passerelle. |
| System.Net.WebException : le serveur distant a retourné une erreur : (407) Authentification proxy requise | La communication de la passerelle ATA avec le centre ATA est interrompue par un serveur proxy. | Désactivez le proxy sur l’ordinateur de la passerelle ATA. Notez que les paramètres de proxy peuvent être par compte. |
| System.IO.DirectoryNotFoundException : le système ne peut pas trouver le chemin spécifié. (Exception de HRESULT : 0x80070003) | Un ou plusieurs des services nécessaires à l’exploitation d’ATA n’ont pas démarré. | Démarrez les services suivants : Journaux et alertes de performances (PLA), Planificateur de tâches (planification). |
| System.Net.WebException : le serveur distant a renvoyé une erreur : (403) Interdit | La passerelle ATA ou la passerelle légère n’a pas été autorisée à établir une connexion HTTP, car le centre ATA n’est pas approuvé. | Ajoutez le nom NetBIOS et le nom de domaine complet du centre ATA à la liste des sites web approuvés et effacez le cache sur Internet Explorer (ou le nom du centre ATA comme spécifié dans la configuration si le configuré est différent du nom de domaine complet/netBIOS). |
| System.Net.Http.HttpRequestException : PostAsync a échoué [requestTypeName=StopNetEventSessionRequest] | La passerelle ATA ou la passerelle légère ATA ne peut pas arrêter et démarrer la session ETW qui collecte le trafic réseau en raison d’un problème WMI | Suivez les instructions de WMI : Reconstruction du référentiel WMI pour résoudre le problème WMI |
| System.Net.Sockets.SocketException : une tentative d’accès à un socket a été effectuée d’une manière interdite par ses autorisations d’accès | Une autre application utilise le port 514 sur la passerelle ATA | Utilisez netstat -o pour déterminer quel processus utilise ce port. |
Erreurs de déploiement
| Erreur | Description | Résolution |
|---|---|---|
| L’installation de .Net Framework 4.6.1 échoue avec une erreur 0x800713ec | Les conditions préalables pour .Net Framework 4.6.1 ne sont pas installées sur le serveur. | Avant d’installer ATA, vérifiez que les mises à jour Windows KB2919442 et KB2919355 sont installées sur le serveur. |
| System.Threading.Tasks.TaskCanceledException : une tâche a été annulée | Le processus de déploiement a expiré, car il n’a pas pu atteindre le centre ATA. | 1. Vérifiez la connectivité réseau au centre ATA en accédant à celui-ci à l’aide de son adresse IP. 2. Recherchez la configuration du proxy ou du pare-feu. |
| System.Net.Http.HttpRequestException : une erreur s’est produite lors de l’envoi de la requête. >--- System.Net.WebException : le serveur distant a retourné une erreur : (407) Authentification proxy requise. | Le processus de déploiement a expiré, car il n’a pas pu atteindre le centre ATA en raison d’une mauvaise configuration du proxy. | Désactivez la configuration du proxy avant le déploiement, puis réactivez la configuration du proxy. Vous pouvez également configurer une exception dans le proxy. |
| System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant | Activez TLS 1.2 pour .Net en définissant les clés de Registre pour utiliser les valeurs par défaut du système d’exploitation pour SSL et TLS, comme suit :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| Erreur [\[]DeploymentModel[\]] Échec de l’authentification de gestion [\[]ActuellementLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Le processus de déploiement de la passerelle ATA ou de la passerelle légère ATA n’a pas pu s’authentifier auprès du centre ATA | Ouvrez un navigateur à partir de l’ordinateur sur lequel le processus de déploiement a échoué et vérifiez si vous pouvez accéder à la console ATA.
Si ce n’est pas le cas, commencez à résoudre les problèmes pour voir pourquoi le navigateur ne peut pas s’authentifier auprès du centre ATA. Éléments à case activée : Configuration du proxy Problèmes de mise en réseau Paramètres de stratégie de groupe pour l’authentification sur cet ordinateur qui diffèrent du centre ATA. |
| Erreur [\[]DeploymentModel[\]] Échec de l’authentification de gestion | Échec de la validation du certificat du centre | Le certificat center peut nécessiter une connexion Internet pour la validation. Assurez-vous que votre service de passerelle dispose de la configuration de proxy appropriée pour activer la connexion et la validation. |
| Lors du déploiement du centre et de la sélection d’un certificat, une erreur « Non pris en charge » est signalée | Cela peut se produire si le certificat sélectionné ne répond pas aux exigences ou si la clé privée du certificat n’est pas accessible. | Vérifiez que vous exécutez le déploiement avec des privilèges élevés (Exécuter en tant qu’administrateur) et que le certificat sélectionné répond aux exigences. |
Erreurs du centre ATA
| Erreur | Description | Résolution |
|---|---|---|
| System.Security.Cryptography.CryptographicException : accès refusé. | Le centre ATA n’a pas pu utiliser le certificat émis pour le déchiffrement. Cela s’est probablement produit en raison de l’utilisation d’un certificat avec KeySpec (KeyNumber) défini sur Signature (AT\_SIGNATURE) qui n’est pas pris en charge pour le déchiffrement, au lieu d’utiliser KeyExchange (AT\_KEYEXCHANGE). | 1. Arrêtez le service du centre ATA. 2. Supprimez le certificat du centre ATA du magasin de certificats du centre. (Avant de supprimer, vérifiez que le certificat est sauvegardé avec la clé privée dans un fichier PFX.) 3. Ouvrez une invite de commandes avec élévation de privilèges et exécutez certutil -importpfx « CenterCertificate.pfx » AT\_KEYEXCHANGE 4. Démarrez le service du centre ATA. 5. Vérifiez que tout fonctionne désormais comme prévu. |
Problèmes de passerelle ATA et de passerelle légère
| Problème | Description | Résolution |
|---|---|---|
| Aucun trafic reçu du contrôleur de domaine, mais des alertes d’intégrité sont observées | Aucun trafic n’a été reçu d’un contrôleur de domaine à l’aide de la mise en miroir de ports via une passerelle ATA | Sur la carte réseau de capture de la passerelle ATA, désactivez ces fonctionnalités dans Paramètres avancés : Fusion de segments de réception (IPv4) Fusion de segments de réception (IPv6) |
| Cette alerte d’intégrité s’affiche : Un trafic réseau n’est pas analysé | Si vous disposez d’une passerelle ATA ou d’une passerelle légère sur des machines virtuelles VMware, vous pouvez recevoir cette alerte d’intégrité. Cela se produit en raison d’une incompatibilité de configuration dans VMware. | Définissez les paramètres suivants sur 0 ou Désactivé dans la configuration de la carte réseau de la machine virtuelle : TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Mode groupe multiprocesseur
Pour les systèmes d’exploitation Windows 2008R2 et 2012, la passerelle ATA n’est pas prise en charge en mode groupe multiprocesseur .
Solutions de contournement possibles suggérées :
Si l’hyperthreading est activé, désactivez-le. Cela peut réduire suffisamment le nombre de cœurs logiques pour éviter d’avoir à s’exécuter en mode groupe multiprocesseur .
Si votre ordinateur a moins de 64 cœurs logiques et s’exécute sur un hôte HP, vous pouvez peut-être modifier le paramètre BIOS D’optimisation de la taille du groupe NUMA de la valeur par défaut Clustered à Flat.