適用対象: Advanced Threat Analytics バージョン 1.9
ATA センター イベント ビューアーは、ATA のイベントをログに記録します。 この記事では、イベント ID の一覧と、それぞれの説明を示します。
イベントは次の場所にあります。
ATA 正常性イベント
イベント ID | アラート名 |
---|---|
1001 | ディスク領域が不足しているセンター |
1003 | 中央のオーバーロード |
1004 | 有効期限が切れようとしているセンター証明書/センター証明書の有効期限が切れています |
1005 | MongoDB がダウンしています |
1006 | 読み取り専用ユーザー パスワードの有効期限がまもなく切れる/ 読み取り専用ユーザー パスワードの有効期限が切れた |
1007 | ドメイン シンクロナイザーが割り当てられない |
1008 | ゲートウェイ上のキャプチャ ネットワーク アダプターの一部またはすべてを使用できない |
1009 | ゲートウェイ上のキャプチャ ネットワーク アダプターが存在しなくなりました |
1010 | 一部のドメイン コントローラーはゲートウェイで到達できない/すべてのドメイン コントローラーにゲートウェイが到達できない |
1011 | ゲートウェイが通信を停止しました |
1012 | 転送されたイベントの一部が分析されていない |
1013 | 一部のネットワーク トラフィックが分析されていない |
1014 | メールの送信に失敗しました |
1015 | Syslog を使用して SIEM サーバーに接続できない |
1016 | ゲートウェイのバージョンが古い |
1017 | ドメイン コントローラーから受信したトラフィックがない |
1018 | ゲートウェイ サービスの開始に失敗しました |
1019 | Lightweight Gateway がメモリ リソースの上限に達しました |
1020 | ゲートウェイが Radius イベントを処理していない |
1021 | ゲートウェイが Syslog イベントを処理していない |
1022 | 位置情報サービスが利用できない |
ATA セキュリティ アラート イベント
イベント ID | アラート名 |
---|---|
2001 | 異常行動に基づく個人情報盗難の疑い |
2002 | 通常とは異なるプロトコルの実装 |
2003 | アカウント列挙を使用した偵察 |
2004 | LDAP 単純バインドを使用したブルート フォース攻撃 |
2006 | Directory Services の悪意のあるレプリケーション |
2007 | DNS を使用した偵察 |
2008 | 暗号化のダウングレード アクティビティ |
2009 | 暗号化ダウングレード アクティビティ (ゴールデン チケットの可能性) |
2010 | 暗号化ダウングレード アクティビティ (潜在的な overpass-the-hash) |
2011 | 暗号化ダウングレード アクティビティ (潜在的なスケルトン キー) |
2012 | SMB セッション列挙型を使用した偵察 |
2013 | 偽造された承認データを使用した特権エスカレーション |
2014 | Honeytoken アクティビティ |
2016 | 大規模なオブジェクトの削除 |
2017 | Pass-the-Hash 攻撃を使用した ID の盗難 |
2018 | Pass-the-Ticket 攻撃を使用した ID の盗難 |
2019 | リモート実行の試行が検出されました |
2020 | 悪意のあるデータ保護の個人情報要求 |
2021 | Directory Services クエリを使用した偵察 |
2022 | Kerberos ゴールデン チケット アクティビティ |
2023 | 疑わしい認証エラー |
2024 | 機密グループの異常な変更 |
2026 | 疑わしいサービスの作成 |
ATA 監査イベント
イベント ID | アラート名 |
---|---|
3001 | ATA 構成への変更 |
3002 | ATA ゲートウェイが追加されました |
3003 | ATA ゲートウェイが削除されました |
3004 | ATA ライセンスがアクティブ化されました |
3005 | ATA コンソールにログインする |
3006 | 正常性アクティビティの状態を手動で変更する |
3007 | 疑わしいアクティビティの状態を手動で変更する |