次の方法で共有


ATA イベント ID リファレンス

適用対象: Advanced Threat Analytics バージョン 1.9

ATA センター イベント ビューアーは、ATA のイベントをログに記録します。 この記事では、イベント ID の一覧と、それぞれの説明を示します。

イベントは次の場所にあります。

イベント ID の場所。

ATA 正常性イベント

イベント ID アラート名
1001 ディスク領域が不足しているセンター
1003 中央のオーバーロード
1004 有効期限が切れようとしているセンター証明書/センター証明書の有効期限が切れています
1005 MongoDB がダウンしています
1006 読み取り専用ユーザー パスワードの有効期限がまもなく切れる/ 読み取り専用ユーザー パスワードの有効期限が切れた
1007 ドメイン シンクロナイザーが割り当てられない
1008 ゲートウェイ上のキャプチャ ネットワーク アダプターの一部またはすべてを使用できない
1009 ゲートウェイ上のキャプチャ ネットワーク アダプターが存在しなくなりました
1010 一部のドメイン コントローラーはゲートウェイで到達できない/すべてのドメイン コントローラーにゲートウェイが到達できない
1011 ゲートウェイが通信を停止しました
1012 転送されたイベントの一部が分析されていない
1013 一部のネットワーク トラフィックが分析されていない
1014 メールの送信に失敗しました
1015 Syslog を使用して SIEM サーバーに接続できない
1016 ゲートウェイのバージョンが古い
1017 ドメイン コントローラーから受信したトラフィックがない
1018 ゲートウェイ サービスの開始に失敗しました
1019 Lightweight Gateway がメモリ リソースの上限に達しました
1020 ゲートウェイが Radius イベントを処理していない
1021 ゲートウェイが Syslog イベントを処理していない
1022 位置情報サービスが利用できない

ATA セキュリティ アラート イベント

イベント ID アラート名
2001 異常行動に基づく個人情報盗難の疑い
2002 通常とは異なるプロトコルの実装
2003 アカウント列挙を使用した偵察
2004 LDAP 単純バインドを使用したブルート フォース攻撃
2006 Directory Services の悪意のあるレプリケーション
2007 DNS を使用した偵察
2008 暗号化のダウングレード アクティビティ
2009 暗号化ダウングレード アクティビティ (ゴールデン チケットの可能性)
2010 暗号化ダウングレード アクティビティ (潜在的な overpass-the-hash)
2011 暗号化ダウングレード アクティビティ (潜在的なスケルトン キー)
2012 SMB セッション列挙型を使用した偵察
2013 偽造された承認データを使用した特権エスカレーション
2014 Honeytoken アクティビティ
2016 大規模なオブジェクトの削除
2017 Pass-the-Hash 攻撃を使用した ID の盗難
2018 Pass-the-Ticket 攻撃を使用した ID の盗難
2019 リモート実行の試行が検出されました
2020 悪意のあるデータ保護の個人情報要求
2021 Directory Services クエリを使用した偵察
2022 Kerberos ゴールデン チケット アクティビティ
2023 疑わしい認証エラー
2024 機密グループの異常な変更
2026 疑わしいサービスの作成

ATA 監査イベント

イベント ID アラート名
3001 ATA 構成への変更
3002 ATA ゲートウェイが追加されました
3003 ATA ゲートウェイが削除されました
3004 ATA ライセンスがアクティブ化されました
3005 ATA コンソールにログインする
3006 正常性アクティビティの状態を手動で変更する
3007 疑わしいアクティビティの状態を手動で変更する

関連項目