適用対象: Advanced Threat Analytics バージョン 1.9
ATA センター イベント ビューアーは、ATA のイベントをログに記録します。 この記事では、イベント ID の一覧と、それぞれの説明を示します。
イベントは次の場所にあります。
ATA 正常性イベント
| イベント ID | アラート名 |
|---|---|
| 1001 | ディスク領域が不足しているセンター |
| 1003 | 中央のオーバーロード |
| 1004 | 有効期限が切れようとしているセンター証明書/センター証明書の有効期限が切れています |
| 1005 | MongoDB がダウンしています |
| 1006 | 読み取り専用ユーザー パスワードの有効期限がまもなく切れる/ 読み取り専用ユーザー パスワードの有効期限が切れた |
| 1007 | ドメイン シンクロナイザーが割り当てられない |
| 1008 | ゲートウェイ上のキャプチャ ネットワーク アダプターの一部またはすべてを使用できない |
| 1009 | ゲートウェイ上のキャプチャ ネットワーク アダプターが存在しなくなりました |
| 1010 | 一部のドメイン コントローラーはゲートウェイで到達できない/すべてのドメイン コントローラーにゲートウェイが到達できない |
| 1011 | ゲートウェイが通信を停止しました |
| 1012 | 転送されたイベントの一部が分析されていない |
| 1013 | 一部のネットワーク トラフィックが分析されていない |
| 1014 | メールの送信に失敗しました |
| 1015 | Syslog を使用して SIEM サーバーに接続できない |
| 1016 | ゲートウェイのバージョンが古い |
| 1017 | ドメイン コントローラーから受信したトラフィックがない |
| 1018 | ゲートウェイ サービスの開始に失敗しました |
| 1019 | Lightweight Gateway がメモリ リソースの上限に達しました |
| 1020 | ゲートウェイが Radius イベントを処理していない |
| 1021 | ゲートウェイが Syslog イベントを処理していない |
| 1022 | 位置情報サービスが利用できない |
ATA セキュリティ アラート イベント
| イベント ID | アラート名 |
|---|---|
| 2001 | 異常行動に基づく個人情報盗難の疑い |
| 2002 | 通常とは異なるプロトコルの実装 |
| 2003 | アカウント列挙を使用した偵察 |
| 2004 | LDAP 単純バインドを使用したブルート フォース攻撃 |
| 2006 | Directory Services の悪意のあるレプリケーション |
| 2007 | DNS を使用した偵察 |
| 2008 | 暗号化のダウングレード アクティビティ |
| 2009 | 暗号化ダウングレード アクティビティ (ゴールデン チケットの可能性) |
| 2010 | 暗号化ダウングレード アクティビティ (潜在的な overpass-the-hash) |
| 2011 | 暗号化ダウングレード アクティビティ (潜在的なスケルトン キー) |
| 2012 | SMB セッション列挙型を使用した偵察 |
| 2013 | 偽造された承認データを使用した特権エスカレーション |
| 2014 | Honeytoken アクティビティ |
| 2016 | 大規模なオブジェクトの削除 |
| 2017 | Pass-the-Hash 攻撃を使用した ID の盗難 |
| 2018 | Pass-the-Ticket 攻撃を使用した ID の盗難 |
| 2019 | リモート実行の試行が検出されました |
| 2020 | 悪意のあるデータ保護の個人情報要求 |
| 2021 | Directory Services クエリを使用した偵察 |
| 2022 | Kerberos ゴールデン チケット アクティビティ |
| 2023 | 疑わしい認証エラー |
| 2024 | 機密グループの異常な変更 |
| 2026 | 疑わしいサービスの作成 |
ATA 監査イベント
| イベント ID | アラート名 |
|---|---|
| 3001 | ATA 構成への変更 |
| 3002 | ATA ゲートウェイが追加されました |
| 3003 | ATA ゲートウェイが削除されました |
| 3004 | ATA ライセンスがアクティブ化されました |
| 3005 | ATA コンソールにログインする |
| 3006 | 正常性アクティビティの状態を手動で変更する |
| 3007 | 疑わしいアクティビティの状態を手動で変更する |