A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az ATA Health Center egy állapotriasztás felvételével tudatja Önnel, hogy ha probléma merül fel az ATA üzembe helyezésével kapcsolatban.
Ez a cikk az egyes összetevőkre vonatkozó összes állapotriasztást ismerteti, felsorolva az okot és a probléma megoldásához szükséges lépéseket.
Az ATA-központ problémái
A központ elfogy a lemezterületből
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-adatbázis tárolására használt ATA-központ gépmeghajtón egyre csökken a szabad hely.
Ez azt jelenti, hogy a merevlemez kevesebb mint 200 GB szabad területtel rendelkezik, vagy kevesebb mint 20% szabad terület van, attól függően, hogy melyik kisebb. Amikor az ATA felismeri, hogy a meghajtó kevés helyen fut, elkezd régi adatokat törölni az adatbázisból. Ha nem tudja törölni a régi adatokat, mert továbbra is szüksége van az észlelési motor adataira, ezt a riasztást kapja. Amikor megkapja ezt a riasztást, az ATA nem követi nyomon az új tevékenységeket.
Növelje a meghajtó méretét, vagy szabadítson fel helyet a meghajtótól.
Magas
Sikertelen e-mail-küldés
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA nem tudott e-mail-értesítést küldeni a megadott levelezési kiszolgálóra.
Az ATA nem küld e-maileket.
Ellenőrizze az SMTP-kiszolgáló konfigurációját.
Alacsony
Központ túlterhelt
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-központ nem tudja kezelni az ATA-átjárókról átvitt adatok mennyiségét.
Az ATA-központ leállítja az új hálózati forgalom és események elemzését. Ez azt jelenti, hogy az észlelések és profilok pontossága csökken, amíg ez az állapotriasztás aktív.
Győződjön meg arról, hogy elegendő erőforrást biztosított az ATA-központhoz. Az ATA-központ kapacitásának megfelelő tervezéséről további információt az ATA-kapacitás tervezésében talál. Vizsgálja meg az ATA-központ teljesítményét az ATA hibaelhárításával a teljesítményszámlálók használatával.
Magas
Hiba történt a SIEM-kiszolgálóhoz való csatlakozás során a Syslog használatával
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA nem tudott eseményeket küldeni a megadott SIEM-nek.
Ez azt jelenti, hogy az ATA-központ nem tud gyanús tevékenységeket és állapotriasztásokat küldeni a SIEM-nek.
Az ATA-központ tanúsítványa kevesebb mint 3 hét múlva lejár.
A tanúsítvány lejárta után: az ATA-átjárók és az ATA-központ közötti Csatlakozás tivitás sikertelen lesz. Az ATA-központ folyamata összeomlik, és az ATA összes funkciója leáll.
A tanúsítvány lejárta után: az ATA-átjárók és az ATA-központ közötti Csatlakozás képesség meghiúsul. Az ATA-központ folyamata összeomlik, és minden ATA-funkció leáll.
Az ATA-átjáró tanúsítványa kevesebb mint 3 hét múlva lejár.
az adott ATA-átjáró és az ATA-központ közötti Csatlakozás tivitás meghiúsul. A rendszer nem küld adatokat az ATA-átjáróról.
Az ATA-átjáró tanúsítványának automatikusan meg kellett újulnia. Olvassa el az ATA-átjáró és az ATA-központ naplóit annak megértéséhez, hogy a tanúsítvány miért nem újult meg automatikusan.
Közepes
Az átjárótanúsítvány lejárt
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró tanúsítványa lejárt.
Ebből az ATA-átjáróból nincs kapcsolat az ATA-központhoz. A rendszer nem küld adatokat az ATA-átjáróról.
Nincs hozzárendelve tartományszinkronizáló egyetlen ATA-átjáróhoz sem. Ez akkor fordulhat elő, ha nincs tartományszinkronizálási jelöltként konfigurált ATA-átjáró.
Ha a tartomány nincs szinkronizálva, az entitások módosításai miatt az ATA entitásadatai elavulttá vagy hiányzóvá válhatnak, de nem befolyásolják az észlelést.
Győződjön meg arról, hogy legalább egy ATA-átjáró tartományszinkronizálóként van beállítva.
Alacsony
Az átjárón lévő rögzítési hálózati adapterek egy része nem érhető el
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró összes kiválasztott rögzítési hálózati adaptere le van tiltva vagy leválasztva.
Az ATA-átjáró már nem rögzíti a hálózati forgalmat néhány/az összes tartományvezérlőhöz. Ez hatással van az adott tartományvezérlőkkel kapcsolatos gyanús tevékenységek észlelésére.
Győződjön meg arról, hogy ezek a kiválasztott rögzítési hálózati adapterek engedélyezve vannak és csatlakoztatva vannak az ATA-átjárón.
Közepes
Egyes tartományvezérlők nem érhetők el az átjárók számára
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró néhány konfigurált tartományvezérlő csatlakozási problémái miatt korlátozott funkcionalitással rendelkezik.
A kivonatészlelés átadása kevésbé pontos lehet, ha egyes tartományvezérlőket nem tud lekérdezni az ATA-átjáró.
Győződjön meg arról, hogy a tartományvezérlők működőképesek és futnak, és hogy ez az ATA-átjáró meg tudja nyitni számukra az LDAP-kapcsolatokat.
Közepes
Az átjáró minden tartományvezérlőt nem érhető el
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró jelenleg offline állapotban van az összes konfigurált tartományvezérlő csatlakozási problémái miatt.
Ez hatással van az ATA azon képességére, hogy észlelje az ATA-átjáró által figyelt tartományvezérlőkkel kapcsolatos gyanús tevékenységeket.
Győződjön meg arról, hogy a tartományvezérlők működőképesek és futnak, és hogy ez az ATA-átjáró meg tudja nyitni számukra az LDAP-kapcsolatokat.
Közepes
Az átjáró leállt a kommunikációval
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró nem kommunikált. A riasztás alapértelmezett időtartama 5 perc.
A hálózati forgalmat az ATA-átjáró hálózati adaptere már nem rögzíti. Ez hatással van az ATA gyanús tevékenységek észlelésére, mivel a hálózati forgalom nem éri el az ATA-központot.
Ellenőrizze, hogy az ATA-átjáró és az ATA-központ szolgáltatás közötti kommunikációhoz használt portot nincsenek-e útválasztók vagy tűzfalak blokkolva.
Közepes
Nem érkezett forgalom a tartományvezérlőtől
Alert
Leírás
Resolution (Osztás)
Severity
Ezen az ATA-átjárón keresztül nem érkezett forgalom a tartományvezérlőről.
Ez azt jelezheti, hogy a tartományvezérlőkről az ATA-átjáróra történő porttükrözés még nincs konfigurálva, vagy nem működik.
Egyes továbbított események elemzése nem történik meg
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró több eseményt kap, mint amennyit feldolgozhat.
Egyes továbbított események elemzése nem történik meg, ami hatással lehet az ATA-átjáró által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelésére.
Ellenőrizze, hogy a rendszer csak a szükséges eseményeket továbbítja-e az ATA-átjárónak, vagy próbálja meg továbbítani az események egy részét egy másik ATA-átjárónak.
Közepes
Néhány hálózati forgalom nincs elemezve
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró több hálózati forgalmat kap, mint amennyit feldolgozhat.
A rendszer nem elemzi a hálózati forgalmat, ami hatással lehet az ATA-átjáró által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelésére.
Szükség esetén fontolja meg további processzorok és memória hozzáadását. Ha ez egy különálló ATA-átjáró, csökkentse a figyelt tartományvezérlők számát. Ez akkor is előfordulhat, ha VMware virtuális gépeken használ tartományvezérlőket. A riasztások elkerülése érdekében ellenőrizheti, hogy a következő beállítások 0 vagy letiltva vannak-e a virtuális gépen: - TsoEnable - LargeSendOffload(IPv4) - IPv4 TSO kiszervezése Érdemes lehet letiltani az IPv4-alapú óriás TSO-kiszervezést is. További információkért tekintse meg a VMware dokumentációját.
Közepes
Az átjáró verziója elavult
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-központ újabb, mint az ATA-átjárón telepített verzió. Emiatt az ATA-átjáró a várt módon leáll.
Ez hatással lehet az ATA-átjáró által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelésére.
Automatikusan frissítse az ATA-átjárót a legújabb verzióra az ATA-konzol automatikus frissítésének engedélyezésével vagy az ATA-konzolon elérhető legújabb ATA-átjárócsomag letöltésével.
Magas
Az átjárószolgáltatás nem indult el
Alert
Leírás
Resolution (Osztás)
Severity
Az ATA-átjáró szolgáltatás legalább 30 percig nem indult el.
Ez hatással lehet az ATA-átjáró által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelésére.
Az egyszerűsített átjáró elérte a memóriaerőforrás-korlátot
Alert
Leírás
Resolution (Osztás)
Severity
Az egyszerűsített ATA-átjáró leállt, és automatikusan újraindul, hogy megvédje a tartományvezérlőt az alacsony memóriaállapottól.
Az egyszerűsített ATA-átjáró saját maga kényszeríti ki a memóriakorlátozásokat, hogy a tartományvezérlő ne tapasztaljon erőforrás-korlátozásokat. Ez akkor fordul elő, ha a tartományvezérlő memóriahasználata magas. A tartományvezérlőről származó adatokat csak részben figyeli a rendszer.
Növelje a memória mennyiségét (RAM) a tartományvezérlőn, vagy adjon hozzá további tartományvezérlőket ezen a helyen a tartományvezérlő terhelésének jobb elosztása érdekében.