Résolution des problèmes connus d’ATA
S’applique à : Advanced Threat Analytics version 1.9
Cette section détaille les erreurs possibles dans les déploiements d’ATA et les étapes requises pour les résoudre.
Erreurs de passerelle ATA et de passerelle légère
| Error | Description | Résolution |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException : une erreur locale s’est produite | La passerelle ATA n’a pas pu s’authentifier auprès du contrôleur de domaine. | 1. Vérifiez que l’enregistrement DNS du contrôleur de domaine est configuré correctement dans le serveur DNS. 2. Vérifiez que l’heure de la passerelle ATA est synchronisée avec l’heure du contrôleur de domaine. |
| System.IdentityModel.Tokens.SecurityTokenValidationException : Échec de la validation de la chaîne de certificats | La passerelle ATA n’a pas pu valider le certificat du centre ATA. | 1. Vérifiez que le certificat d’autorité de certification racine est installé dans le magasin de certificats d’autorité de certification approuvé sur la passerelle ATA. 2. Vérifiez que la liste de révocation de certificats (CRL) est disponible et que la validation de révocation de certificats peut être effectuée. |
| Microsoft.Common.ExtendedException : Échec de l’analyse du temps généré | La passerelle ATA n’a pas pu analyser les messages syslog qui ont été transférés à partir de SIEM. | Vérifiez que le SIEM est configuré pour transférer les messages dans l’un des formats pris en charge par ATA. |
| System.ServiceModel.FaultException : une erreur s’est produite lors de la vérification de la sécurité du message. | La passerelle ATA n’a pas pu s’authentifier auprès du centre ATA. | Vérifiez que l’heure de la passerelle ATA est synchronisée avec l’heure du centre ATA. |
| System.ServiceModel.EndpointNotFoundException : Impossible de se connecter à net.tcp ://center.ip.addr :443/IEntityReceiver | La passerelle ATA n’a pas pu établir une connexion au centre ATA. | Vérifiez que les paramètres réseau sont corrects et que la connexion réseau entre la passerelle ATA et le centre ATA est active. |
| System.DirectoryServices.Protocols.LdapException : le serveur LDAP n’est pas disponible. | La passerelle ATA n’a pas pu interroger le contrôleur de domaine à l’aide du protocole LDAP. | 1. Vérifiez que le compte d’utilisateur utilisé par ATA pour se connecter au domaine Active Directory dispose d’un accès en lecture à tous les objets de l’arborescence Active Directory. 2. Assurez-vous que le contrôleur de domaine n’est pas renforcé pour empêcher les requêtes LDAP du compte d’utilisateur utilisé par ATA. |
| Microsoft.Tri.Infrastructure.ContractException : exception de contrat | La passerelle ATA n’a pas pu synchroniser la configuration à partir du centre ATA. | Configuration complète de la passerelle ATA dans la console ATA. |
| Système. Réflexions ion. Réflexions ionTypeLoadException : Impossible de charger un ou plusieurs des types demandés. Récupérez la propriété LoaderExceptions pour plus d’informations. | Message Analyzer est installé sur la passerelle ATA. | Désinstallez Message Analyzer. |
| Erreur [Layout] System.OutOfMemoryException : l’exception de type « System.OutOfMemoryException » a été levée. | La passerelle ATA n’a pas suffisamment de mémoire. | Augmentez la quantité de mémoire sur le contrôleur de domaine. |
| Échec du démarrage du consommateur en direct ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException : le fournisseur d’événements PEFNDIS n’est pas prêt | PEF (Analyseur de messages) n’a pas été installé correctement. | Si vous utilisez Hyper-V, essayez de mettre à niveau les services d’intégration Hyper-V dans le cas contraire, contactez le support technique pour obtenir une solution de contournement. |
| Échec de l’installation avec erreur : 0x80070652 | Il existe d’autres installations en attente sur votre ordinateur. | Attendez que les autres installations se terminent et, si nécessaire, redémarrez l’ordinateur. |
| System.InvalidOperationException : l’instance « Microsoft.Tri.Gateway » n’existe pas dans la catégorie spécifiée. | Les PID ont été activés pour les noms de processus dans la passerelle ATA | Consultez Gestion des noms d’instances dupliquées pour désactiver les PID dans les noms de processus |
| 'System.InvalidOperationException : La catégorie n’existe pas. | Les compteurs peuvent être désactivés dans le Registre | Utiliser Ko2554336 pour reconstruire les compteurs de performances |
| System.ApplicationException : Impossible de démarrer la session ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Il existe une entrée d’hôte dans le fichier HOSTS pointant vers le nom court de l’ordinateur | Supprimez l’entrée de l’hôte de C :\Windows\System32\drivers\etc\HOSTS ou remplacez-la par un nom de domaine complet. |
| System.IO.IOException : l’authentification a échoué, car la partie distante a fermé le flux de transport ou n’a pas pu créer un canal sécurisé SSL/TLS | TLS 1.0 est désactivé sur la passerelle ATA, mais .Net est défini pour utiliser TLS 1.2 | Activez TLS 1.2 pour .Net en définissant les clés de Registre pour utiliser les valeurs par défaut du système d’exploitation pour SSL et TLS, comme suit :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException : Impossible de charger le type ' Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' à partir de l’assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | La passerelle ATA n’a pas pu charger les fichiers d’analyse requis. | Vérifiez si Microsoft Message Analyzer est actuellement installé. L’analyseur de messages n’est pas pris en charge pour être installé avec la passerelle ATA / Passerelle légère. Désinstallez Message Analyzer et redémarrez le service de passerelle. |
| System.Net.WebException : Le serveur distant a retourné une erreur : (407) Authentification proxy requise | La communication de la passerelle ATA avec le centre ATA est interrompue par un serveur proxy. | Désactivez le proxy sur l’ordinateur de passerelle ATA. Notez que les paramètres de proxy peuvent être par compte. |
| System.IO.DirectoryNotFoundException : le système ne peut pas trouver le chemin spécifié. (Exception de HRESULT : 0x80070003) | Un ou plusieurs des services nécessaires à l’exploitation d’ATA ne démarrent pas. | Démarrez les services suivants : Journaux et alertes de performances (PLA), Planificateur de tâches (Planification). |
| System.Net.WebException : Le serveur distant a retourné une erreur : (403) Interdit | La passerelle ATA ou la passerelle légère n’a pas été autorisée à établir une connexion HTTP, car le centre ATA n’est pas approuvé. | Ajoutez le nom NetBIOS et le nom de domaine complet du Centre ATA à la liste des sites web approuvés et effacez le cache sur Internet Explorer (ou le nom du centre ATA tel qu’il est spécifié dans la configuration si le paramètre est différent du nom de domaine complet/netBIOS). |
| System.Net.Http.HttpRequestException : Échec de PostAsync [requestTypeName=StopNetEventSessionRequest] | La passerelle ATA ou la passerelle légère ATA ne peut pas arrêter et démarrer la session ETW qui collecte le trafic réseau en raison d’un problème WMI | Suivez les instructions de WMI : Reconstruction du référentiel WMI pour résoudre le problème WMI |
| System.Net.Sockets.SocketException : une tentative a été effectuée pour accéder à un socket d’une manière interdite par ses autorisations d’accès | Une autre application utilise le port 514 sur la passerelle ATA | Permet netstat -o d’établir quel processus utilise ce port. |
Erreurs de déploiement
| Error | Description | Résolution |
|---|---|---|
| L’installation de .Net Framework 4.6.1 échoue avec l’erreur 0x800713ec | Les conditions préalables pour .Net Framework 4.6.1 ne sont pas installées sur le serveur. | Avant d’installer ATA, vérifiez que les mises à jour windows Ko2919442 et les Ko2919355 sont installées sur le serveur. |
| System.Threading.Tasks.TaskCanceledException : une tâche a été annulée | Le processus de déploiement a expiré car il n’a pas pu atteindre le centre ATA. | 1. Vérifiez la connectivité réseau au Centre ATA en accédant à celui-ci à l’aide de son adresse IP. 2. Recherchez la configuration du proxy ou du pare-feu. |
| System.Net.Http.HttpRequestException: An error occurred while sending the request. >--- System.Net.WebException : le serveur distant a retourné une erreur : (407) Authentification proxy requise. | Le processus de déploiement a expiré car il n’a pas pu atteindre le centre ATA en raison d’une configuration incorrecte du proxy. | Désactivez la configuration du proxy avant le déploiement, puis réactivez la configuration du proxy. Vous pouvez également configurer une exception dans le proxy. |
| System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant | Activez TLS 1.2 pour .Net en définissant les clés de Registre pour utiliser les valeurs par défaut du système d’exploitation pour SSL et TLS, comme suit :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Erreur [\[]DeploymentModel[\]] Failed management authentication [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Le processus de déploiement de la passerelle ATA ou de la passerelle légère ATA n’a pas pu s’authentifier correctement auprès du centre ATA | Ouvrez un navigateur à partir de l’ordinateur sur lequel le processus de déploiement a échoué et vérifiez si vous pouvez atteindre la console ATA. Si ce n’est pas le cas, commencez à résoudre les problèmes pour savoir pourquoi le navigateur ne peut pas s’authentifier auprès du Centre ATA. Éléments à case activée : Mise en réseau de configurationdu proxy émet desparamètres de stratégie de groupe pour l’authentification sur cet ordinateur qui diffère du centre ATA. |
| Erreur [\[]DeploymentModel[\]] Échec de l’authentification de gestion | Échec de la validation du certificat du centre | Le certificat du Centre peut nécessiter une connexion Internet pour validation. Vérifiez que votre service de passerelle dispose de la configuration de proxy appropriée pour activer la connexion et la validation. |
| Lors du déploiement du Centre et de la sélection d’un certificat, une erreur « Non prise en charge » est signalée | Cela peut se produire si le certificat sélectionné ne répond pas aux exigences ou si la clé privée du certificat n’est pas accessible. | Vérifiez que vous exécutez le déploiement avec des privilèges élevés (Exécuter en tant qu’administrateur) et que le certificat sélectionné répond aux exigences. |
Erreurs du Centre ATA
| Error | Description | Résolution |
|---|---|---|
| System.Security.Cryptography.CryptographicException : Accès refusé. | Le centre ATA n’a pas pu utiliser le certificat émis pour le déchiffrement. Cela s’est probablement produit en raison de l’utilisation d’un certificat avec KeySpec (KeyNumber) défini sur Signature (AT\_SIGNATURE) qui n’est pas pris en charge pour le déchiffrement, au lieu d’utiliser KeyExchange (AT\_KEYEXCHANGE). | 1. Arrêtez le service du centre ATA. 2. Supprimez le certificat du centre ATA du magasin de certificats du centre. (Avant de supprimer, vérifiez que le certificat est sauvegardé avec la clé privée dans un fichier PFX.) 3. Ouvrez une invite de commandes avec élévation de privilèges et exécutez certutil -importpfx « CenterCertificate.pfx » AT\_KEYEXCHANGE 4. Démarrez le service centre ATA. 5. Vérifiez que tout fonctionne maintenant comme prévu. |
Problèmes de passerelle ATA et de passerelle légère
| Problème | Description | Résolution |
|---|---|---|
| Aucun trafic reçu du contrôleur de domaine, mais les alertes d’intégrité sont observées | Aucun trafic n’a été reçu d’un contrôleur de domaine à l’aide du port miroir ing via une passerelle ATA | Sur la carte réseau de capture de la passerelle ATA, désactivez ces fonctionnalités dans Advanced Paramètres : Segment de réception Coalescing (IPv4) Fusion des segments de réception (IPv6) |
| Cette alerte d’intégrité s’affiche : le trafic réseau n’est pas analysé | Si vous disposez d’une passerelle ATA ou d’une passerelle légère sur des machines virtuelles VMware, vous pouvez recevoir cette alerte d’intégrité. Cela se produit en raison d’une incompatibilité de configuration dans VMware. | Définissez les paramètres suivants sur 0 ou Désactivé dans la configuration de la carte réseau de la machine virtuelle : TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Mode groupe multiprocesseur
Pour les systèmes d’exploitation Windows 2008R2 et 2012, la passerelle ATA n’est pas prise en charge en mode groupe multiprocesseur.
Solutions de contournement possibles suggérées :
Si l’hyperthreading est activé, désactivez-le. Cela peut réduire le nombre de cœurs logiques suffisants pour éviter d’avoir à s’exécuter en mode groupe multiprocesseur.
Si votre ordinateur a moins de 64 cœurs logiques et s’exécute sur un hôte HP, vous pouvez peut-être modifier le paramètre BIOS d’optimisation de la taille du groupe NUMA de la valeur par défaut du cluster àplat.