Dépannage des problèmes connus d’ATA
S’applique à : Advanced Threat Analytics version 1.9
Cette section détaille les erreurs possibles dans les déploiements d’ATA et les étapes requises pour les dépanner.
Erreurs de passerelle ATA et de passerelle légère
| Erreur | Description | Résolution |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: une erreur locale s’est produite | La passerelle ATA n’a pas pu s’authentifier auprès du contrôleur de domaine. | 1. Confirmez que l'enregistrement DNS du contrôleur de domaine est correctement configuré dans le serveur DNS. 2. Vérifiez que l’heure de la passerelle ATA est synchronisée avec l’heure du contrôleur de domaine. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: échec de la validation de la chaîne de certification | La passerelle ATA n’a pas pu valider le certificat du Centre ATA. | 1. Vérifiez que le certificat d’autorité de certification racine est installé dans le magasin de certificats d’autorité de certification approuvé sur la passerelle ATA. 2. Vérifiez que la liste de révocation de certificats (CRL) est disponible et que la validation de révocation de certificats peut être effectuée. |
| Microsoft.Common.ExtendedException: Échec de l’analyse du temps généré | La passerelle ATA n’a pas pu analyser les messages syslog qui ont été transférés à partir de SIEM. | Vérifier que le SIEM est configuré pour transférer les messages dans l’un des formats pris en charge par ATA. |
| System.ServiceModel.FaultException: une erreur s’est produite lors de la vérification de la sécurité du message. | La passerelle ATA n’a pas pu s’authentifier auprès du Centre ATA. | Vérifier que l’heure de la passerelle ATA est synchronisée avec l’heure du Centre ATA. |
| System.ServiceModel.EndpointNotFoundException: impossible de se connecter à net.tcp://center.ip.addr:443/IEntityReceiver | La passerelle ATA n'a pas réussi à établir une connexion avec le centre ATA. | Vérifiez que les paramètres réseau sont corrects et que la connexion réseau entre la passerelle ATA et le Centre ATA est active. |
| System.DirectoryServices.Protocols.LdapException: le serveur LDAP n’est pas disponible. | La passerelle ATA n’a pas pu interroger le contrôleur de domaine à l’aide du protocole LDAP. | 1. Vérifiez que le compte d’utilisateur utilisé par ATA pour se connecter au domaine Active Directory dispose d’un accès en lecture à tous les objets de l’arborescence Active Directory. 2. Assurez-vous que le contrôleur de domaine n’est pas renforcé pour empêcher les requêtes LDAP du compte d’utilisateur utilisé par ATA. |
| Microsoft.Tri.Infrastructure.ContractException: exception de contrat | La passerelle ATA n’a pas pu synchroniser la configuration à partir du Centre ATA. | Configuration complète de la passerelle ATA dans la Console ATA. |
| System.Reflection.ReflectionTypeLoadException: impossible de charger un ou plusieurs des types demandés. Récupérer la propriété LoaderExceptions pour plus d’informations. | Message Analyzer est installé sur la passerelle ATA. | Désinstaller Message Analyzer. |
| Erreur [Layout] System.OutOfMemoryException: une exception de type « System.OutOfMemoryException » a été levée. | La passerelle ATA n’a pas suffisamment de mémoire. | Augmenter la quantité de mémoire sur le contrôleur de domaine. |
| Échec du démarrage du consommateur en direct ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException : le fournisseur d'événements PEFNDIS n’est pas prêt | DEP (Message Analyzer) n’a pas été installé correctement. | Si vous utilisez Hyper-V, essayez de mettre à niveau les services d’intégration Hyper-V dans le cas contraire, contacter le support technique pour obtenir une solution de contournement. |
| Échec de l’installation avec l’erreur 0x80070652 | Il existe d’autres installations en attente sur votre ordinateur. | Attendez que les autres installations se terminent et, si nécessaire, redémarrer l’ordinateur. |
| System.InvalidOperationException : l’instance « Microsoft.Tri.Gateway » n’existe pas dans la catégorie spécifiée. | Les PID ont été activés pour les noms de processus dans la passerelle ATA | Consultez Gestion des noms d’instances dupliquées pour désactiver les PID dans les noms de processus |
| 'System.InvalidOperationException : la catégorie n’existe pas. | Les compteurs peuvent être désactivés dans le registre | Utiliser KB2554336 pour régénérer les compteurs de performances |
| System.ApplicationException : impossible de démarrer la session ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Il existe une entrée d’hôte dans le fichier HOSTS pointant vers le nom court de l’ordinateur | Supprimer l'entrée hôte du fichier C:\NWindows\NSystem32\Ndrivers\Nc\NHOSTS oula modifier en un FQDN. |
| System.IO.IOException : l’authentification a échoué, car la partie distante a fermé le flux de transport ou n’a pas pu créer un canal sécurisé SSL/TLS | TLS 1.0 est désactivé sur la passerelle ATA, mais .Net est défini pour utiliser TLS 1.2 | Activez TLS 1.2 pour .Net en définissant les clés de Registre pour utiliser les valeurs par défaut du système d'exploitation pour SSL et TLS, comme suit :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException : impossible de charger le type 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' à partir de l’assemblage 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutre, PublicKeyToken=31bf3856ad364e35' | La passerelle ATA n’a pas pu charger les fichiers d’analyse requis. | Vérifier si Microsoft Message Analyzer est installé. L’analyseur de messages n’est pas pris en charge pour être installé avec la passerelle ATA / Passerelle légère. Désinstaller Message Analyzer et redémarrer le service de passerelle. |
| System.Net.WebException : le serveur distant a renvoyé une erreur : (407) Authentification du proxy requise | La communication de la passerelle ATA avec le Centre ATA est interrompue par un serveur proxy. | Désactiver le proxy sur l’ordinateur de passerelle ATA. Notez que les paramètres de proxy peuvent être par compte. |
| System.IO.DirectoryNotFoundException : le système ne peut pas trouver le chemin d'accès spécifié. (Exception de HRESULT : 0x80070003) | Un ou plusieurs des services nécessaires à l’exploitation d’ATA ne démarrent pas. | Démarrez les services suivants : Journaux et alertes de performances (PLA), Planificateur de tâches (Planifier). |
| System.Net.WebException: le serveur distant a renvoyé une erreur : (403) Interdit | L'établissement d'une connexion HTTP a été interdit à la passerelle ATA ou à la passerelle légère parce que le centre ATA n'est pas fiable. | Ajoutez le nom NetBIOS et le FQDN du Centre ATA à la liste des sites Internet de confiance et videz le cache sur Internet Explorer (ou le nom du Centre ATA tel que spécifié dans la configuration si le nom configuré est différent du NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException : échec de PostAsync [requestTypeName=StopNetEventSessionRequest] | La passerelle ATA ou la passerelle légère ATA ne peut pas arrêter et démarrer la session ETW qui collecte le trafic réseau en raison d’un problème WMI | Suivez les instructions de WMI : reconstruction du référentiel WMI pour résoudre le problème WMI |
| System.Net.Sockets.SocketException : une tentative a été faite pour accéder à une socket d'une manière interdite par ses autorisations d'accès | Une autre application utilise le port 514 sur la passerelle ATA | Utiliser netstat -o permet d’établir quel processus utilise ce port. |
Erreurs de déploiement
| Erreur | Description | Résolution |
|---|---|---|
| L’installation de .Net Framework 4.6.1 échoue avec l’erreur 0x800713ec | Les conditions préalables pour .Net Framework 4.6.1 ne sont pas installées sur le serveur. | Avant d’installer ATA, vérifier que les mises à jour windows KB2919442 et KB2919355 sont installées sur le serveur. |
| System.Threading.Tasks.TaskCanceledException : une tâche a été annulée | Le processus de déploiement a expiré car il n’a pas pu atteindre le Centre ATA. | 1. Vérifiez la connexion réseau au Centre ATA en accédant à celui-ci à l’aide de son adresse IP. 2. Vérifiez la configuration du proxy ou du pare-feu. |
| System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: le serveur distant a renvoyé une erreur : (407) Authentification du proxy requise. | Le processus de déploiement a expiré car il n’a pas pu atteindre le Centre ATA en raison d’une mauvaise configuration du proxy. | Désactiver la configuration du proxy avant le déploiement, puis réactivez la configuration du proxy. Vous pouvez également configurer une exception dans le proxy. |
| System.Net.Sockets.SocketException: une connexion existante a dû être fermée par l’hôte distant | Activez TLS 1.2 pour .Net en définissant les clés de Registre pour utiliser les valeurs par défaut du système d'exploitation pour SSL et TLS, comme suit :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Erreur [\[]DeploymentModel[\]] Échec de l'authentification de gestion [\[]CurrentlyLoggedOnUser=<domaine>\<nom d’utilisateur>État=FailedAuthentication Exception=[\]] | Le processus de déploiement de la passerelle ATA ou de la passerelle légère ATA n’a pas pu s’authentifier correctement auprès du Centre ATA | Ouvrir un navigateur à partir de l’ordinateur sur lequel le processus de déploiement a échoué et vérifiez si vous pouvez atteindre la Console ATA. Si ce n’est pas le cas, commencez à résoudre les problèmes pour savoir pourquoi le navigateur ne peut pas s’authentifier auprès du Centre ATA. Éléments à vérifier : Configuration du proxyProblèmes de réseauParamètres de stratégie de groupe pour l'authentification sur cette machine qui diffèrent de ceux du centre ATA. |
| Erreur [\[]DeploymentModel[\]] Échec de l'authentification de la gestion | Échec de la validation du certificat du Centre | Le certificat du Centre peut nécessiter une connexion Internet pour validation. Vérifiez que votre service de passerelle dispose de la configuration de proxy appropriée pour activer la connexion et la validation. |
| Lors du déploiement du Centre et de la sélection d’un certificat, une erreur « Non prise en charge » est signalée | Cela peut se produire si le certificat sélectionné ne répond pas aux exigences ou si la clé privée du certificat n’est pas accessible. | Vérifiez que vous exécutez le déploiement avec des privilèges élevés (Exécuter en tant qu’administrateur) et que le certificat sélectionné répond aux exigences. |
Erreurs du Centre ATA
| Erreur | Description | Résolution |
|---|---|---|
| System.Security.Cryptography.CryptographicException : accès refusé. | Le Centre ATA n’a pas pu utiliser le certificat émis pour le déchiffrement. Ce problème est probablement dû à l'utilisation d'un certificat dont le KeySpec (KeyNumber) est réglé sur Signature (AT\_SIGNATURE), qui n'est pas pris en charge pour le déchiffrement, au lieu d'utiliser KeyExchange (AT\_KEYEXCHANGE). | 1. Arrêtez le service Centre ATA. 2. Supprimer le certificat du Centre ATA du magasin de certificats du centre. (Avant de supprimer, vérifiez que le certificat est sauvegardé avec la clé privée dans un fichier PFX.) 3. Ouvrir une invite de commandes avec élévation de privilèges et exécuter certutil -importpfx « CenterCertificate.pfx » AT\_KEYEXCHANGE 4. Démarrez le service Centre ATA. 5. Vérifier que tout fonctionne comme prévu. |
Problèmes de passerelle ATA et de passerelle légère
| Problème | Description | Résolution |
|---|---|---|
| Aucun trafic reçu du contrôleur de domaine, mais les alertes d’intégrité sont observées | Aucun trafic n'a été reçu d'un contrôleur de domaine utilisant la mise en miroir des ports via une passerelle ATA | Sur le NIC de capture de la passerelle ATA, désactiver ces fonctions dans les paramètres avancés : Coalescence des segments de réception (IPv4) Coalescence des segments de réception (IPv6) |
| Cette alerte d’intégrité s’affiche : le trafic réseau n’est pas analysé | Si vous disposez d’une passerelle ATA ou d’une passerelle légère sur des machines virtuelles VMware, vous pouvez recevoir cette alerte d’intégrité. Cela se produit en raison d’une incompatibilité de configuration dans VMware. | Définissez les paramètres suivants sur 0 ou Désactivé dans la configuration NIC de l’ordinateur virtuel : TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Mode groupe multiprocesseur
Pour les systèmes d’exploitation Windows 2008R2 et 2012, la passerelle ATA n’est pas prise en charge en mode groupe multiprocesseur.
Solutions de contournement possibles suggérées :
Si l’hyperthreading est activé, le désactiver. Cela peut réduire le nombre de cœurs logiques suffisants pour éviter d’avoir à s’exécuter en mode groupe multiprocesseur.
Si votre ordinateur possède moins de 64 cœurs logiques et fonctionne sur un hôte HP, vous pouvez peut-être modifier le paramètre BIOS d'optimisation de la taille des groupes NUMA en remplaçant la valeur par défaut Groupé par Plat.