Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Pusat Kesehatan ATA memberi tahu Anda ketika ada masalah dengan penyebaran ATA, dengan menaikkan pemberitahuan kesehatan.
Artikel ini menjelaskan semua pemberitahuan kesehatan untuk setiap komponen, mencantumkan penyebab dan langkah-langkah yang diperlukan untuk menyelesaikan masalah.
Masalah Pusat ATA
Pusat kehabisan ruang disk
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Ruang kosong pada drive mesin ATA Center yang digunakan untuk menyimpan database ATA semakin rendah.
Ini berarti bahwa hard drive memiliki kurang dari 200 GB ruang kosong atau ada kurang dari 20% ruang kosong, mana pun yang lebih kecil. Ketika ATA mengenali bahwa drive hampir kehabisan ruang, drive mulai menghapus data lama dari database. Jika tidak dapat menghapus data lama karena masih memerlukan data untuk mesin deteksi, Anda menerima pemberitahuan ini. Saat Anda menerima pemberitahuan ini, ATA berhenti melacak aktivitas baru.
Tingkatkan ukuran drive atau kosongkan ruang dari drive tersebut.
Sangat Penting
Gagal mengirim email
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
ATA Gagal mengirim pemberitahuan email ke server email yang ditentukan.
Tidak ada pesan email yang dikirim dari ATA.
Verifikasi konfigurasi server SMTP.
Kurang Penting
Pusat kelebihan beban
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Pusat ATA tidak dapat menangani jumlah data yang ditransfer dari Gateway ATA.
Pusat ATA berhenti menganalisis lalu lintas dan peristiwa jaringan baru. Ini berarti bahwa akurasi deteksi dan profil berkurang saat pemberitahuan kesehatan ini aktif.
Pastikan Anda menyediakan sumber daya yang cukup untuk Pusat ATA. Untuk detail selengkapnya tentang cara merencanakan kapasitas ATA Center dengan benar, lihat Perencanaan kapasitas ATA. Selidiki performa Pusat ATA menggunakan Pemecahan Masalah ATA menggunakan penghitung kinerja.
Sangat Penting
Kegagalan menyambungkan ke server SIEM menggunakan Syslog
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
ATA gagal mengirim peristiwa ke SIEM yang ditentukan.
Ini berarti Pusat ATA tidak dapat mengirim aktivitas mencurigakan dan pemberitahuan kesehatan ke SIEM Anda.
Sertifikat Pusat ATA akan kedaluwarsa dalam waktu kurang dari 3 minggu.
Setelah sertifikat kedaluwarsa: Koneksi ivity dari Gateway ATA ke Pusat ATA akan gagal. Proses ATA Center akan crash dan semua fungsionalitas ATA akan berhenti.
Setelah sertifikat kedaluwarsa: Koneksi ivity dari Gateway ATA ke Pusat ATA gagal. Proses ATA Center mengalami crash dan semua fungsionalitas ATA berhenti.
Kata sandi pengguna baca-saja untuk segera kedaluwarsa
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Kata sandi pengguna baca-saja, yang digunakan untuk melakukan resolusi entitas terhadap Direktori Aktif, akan kedaluwarsa dalam waktu kurang dari 30 hari.
Jika kata sandi untuk pengguna ini kedaluwarsa, semua Gateway ATA berhenti berjalan dan tidak ada data baru yang dikumpulkan.
Ubah kata sandi konektivitas domain lalu perbarui kata sandi di Konsol ATA.
Medium
Kata sandi pengguna baca-saja kedaluwarsa
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Kata sandi pengguna baca-saja, digunakan untuk mendapatkan data direktori, kedaluwarsa.
Semua Gateway ATA berhenti berjalan (atau akan segera berhenti berjalan) dan tidak ada data baru yang dikumpulkan.
Ubah kata sandi konektivitas domain lalu perbarui kata sandi di Konsol ATA.
Sangat Penting
Sertifikat gateway akan kedaluwarsa
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Sertifikat Gateway ATA akan kedaluwarsa dalam waktu kurang dari 3 minggu.
Koneksi ivitas dari Gateway ATA tertentu ke Pusat ATA gagal. Tidak ada data dari Gateway ATA yang dikirim.
Sertifikat Gateway ATA seharusnya telah diperpanjang secara otomatis. Baca log ATA Gateway dan ATA Center untuk memahami mengapa Sertifikat tersebut tidak diperpanjang secara otomatis.
Medium
Sertifikat gateway kedaluwarsa
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Sertifikat Gateway ATA kedaluwarsa.
Tidak ada konektivitas dari Gateway ATA ini ke Pusat ATA. Tidak ada data dari Gateway ATA yang dikirim.
Tidak ada penyinkron domain yang ditetapkan ke Gateway ATA apa pun. Ini dapat terjadi jika tidak ada Gateway ATA yang dikonfigurasi sebagai kandidat penyinkron domain.
Ketika domain tidak disinkronkan, perubahan pada entitas dapat menyebabkan informasi entitas di ATA menjadi kedaluarsa atau hilang tetapi tidak memengaruhi deteksi apa pun.
Pastikan setidaknya satu Gateway ATA diatur sebagai Penyinkron Domain.
Kurang Penting
Semua/Beberapa adaptor jaringan penangkapan di Gateway tidak tersedia
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Semua/Beberapa adaptor jaringan pengambilan yang dipilih pada Gateway ATA dinonaktifkan atau terputus.
Lalu lintas jaringan untuk beberapa/semua pengendali domain tidak lagi ditangkap oleh Gateway ATA. Ini berdampak pada kemampuan untuk mendeteksi aktivitas yang mencurigakan, yang terkait dengan pengendali domain tersebut.
Pastikan adaptor jaringan tangkapan yang dipilih ini di Gateway ATA diaktifkan dan tersambung.
Medium
Beberapa pengendali domain tidak dapat dijangkau oleh Gateway
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Gateway ATA memiliki fungsionalitas terbatas karena masalah konektivitas ke beberapa pengontrol domain yang dikonfigurasi.
Meneruskan deteksi Hash mungkin kurang akurat ketika beberapa pengontrol domain tidak dapat dikueri oleh Gateway ATA.
Pastikan pengontrol domain aktif dan berjalan dan gateway ATA ini dapat membuka koneksi LDAP kepada mereka.
Medium
Semua pengendali domain tidak dapat dijangkau oleh Gateway
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Gateway ATA saat ini offline karena masalah konektivitas ke semua pengontrol domain yang dikonfigurasi.
Hal ini berdampak pada kemampuan ATA untuk mendeteksi aktivitas mencurigakan yang terkait dengan pengendali domain yang dipantau oleh Gateway ATA ini.
Pastikan pengontrol domain aktif dan berjalan dan gateway ATA ini dapat membuka koneksi LDAP kepada mereka.
Medium
Gateway berhenti berkomunikasi
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Belum ada komunikasi dari Gateway ATA. Rentang waktu default untuk pemberitahuan ini adalah 5 menit.
Lalu lintas jaringan tidak lagi ditangkap oleh adaptor jaringan di Gateway ATA. Hal ini berdampak pada kemampuan ATA untuk mendeteksi aktivitas yang mencurigakan, karena lalu lintas jaringan tidak akan dapat mencapai Pusat ATA.
Periksa apakah port yang digunakan untuk komunikasi antara ATA Gateway dan layanan ATA Center tidak diblokir oleh router atau firewall apa pun.
Medium
Tidak ada lalu lintas yang diterima dari pengendali domain
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Tidak ada lalu lintas yang diterima dari pengendali domain melalui Gateway ATA ini.
Ini mungkin menunjukkan bahwa pencerminan port dari pengendali domain ke Gateway ATA belum dikonfigurasi atau tidak berfungsi.
Pada NIC penangkapan Gateway ATA, nonaktifkan fitur-fitur ini di Pengaturan Tingkat Lanjut:
Menerima Coalescing Segmen (IPv4)
Menerima Coalescing Segmen (IPv6)
Medium
Beberapa peristiwa yang diteruskan tidak dianalisis
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Gateway ATA menerima lebih banyak peristiwa daripada yang dapat diproses.
Beberapa peristiwa yang diteruskan tidak dianalisis, yang dapat memengaruhi kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh Gateway ATA ini.
Verifikasi bahwa hanya peristiwa yang diperlukan yang diteruskan ke Gateway ATA atau coba teruskan beberapa peristiwa ke Gateway ATA lain.
Medium
Beberapa lalu lintas jaringan tidak dianalisis
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Gateway ATA menerima lebih banyak lalu lintas jaringan daripada yang dapat diproses.
Beberapa lalu lintas jaringan tidak dianalisis, yang dapat memengaruhi kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh Gateway ATA ini.
Pertimbangkan untuk menambahkan prosesor dan memori tambahan sesuai kebutuhan. Jika ini adalah Gateway ATA mandiri, kurangi jumlah pengendali domain yang dipantau.
Ini juga dapat terjadi jika Anda menggunakan pengendali domain pada komputer virtual VMware. Untuk menghindari pemberitahuan ini, Anda dapat memeriksa apakah pengaturan berikut diatur ke 0 atau Dinonaktifkan di komputer virtual:
- TsoEnable
- LargeSendOffload (IPv4)
- Offload TSO IPv4
Selain itu, pertimbangkan untuk menonaktifkan Offload TSO Raksasa IPv4. Untuk informasi selengkapnya, lihat dokumentasi VMware Anda.
Medium
Versi gateway kedaluarsa
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Pusat ATA lebih baru dari versi yang diinstal pada Gateway ATA. Hal ini menyebabkan Gateway ATA berhenti berfungsi seperti yang diharapkan.
Ini dapat berdampak pada kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh Gateway ATA ini.
Perbarui Gateway ATA ke versi terbaru secara otomatis dengan mengaktifkan pembaruan otomatis di Konsol ATA atau dengan mengunduh paket Gateway ATA terbaru yang tersedia di Konsol ATA.
Sangat Penting
Layanan gateway gagal dimulai
Peringatan
Deskripsi
Resolusi
Tingkat keparahan
Layanan Gateway ATA gagal dimulai setidaknya selama 30 menit.
Ini dapat berdampak pada kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh Gateway ATA ini.
Gateway ATA Ringan berhenti sendiri dan akan dimulai ulang secara otomatis untuk melindungi pengendali domain dari kondisi memori yang rendah.
Gateway ATA Ringan memberlakukan batasan memori pada dirinya sendiri untuk mencegah pengendali domain mengalami keterbatasan sumber daya. Ini terjadi ketika penggunaan memori pada pengendali domain tinggi. Data dari pengendali domain ini hanya dipantau sebagian.
Tingkatkan jumlah memori (RAM) pada pengendali domain atau tambahkan lebih banyak pengendali domain di situs ini untuk mendistribusikan beban pengendali domain ini dengan lebih baik.