ATA イベント ID 参照

適用対象: Advanced Threat Analytics Version 1.9

ATA センター イベント ビューアーは、ATA のイベントをログに記録します。 この記事では、イベント ID の一覧と、それぞれの説明を示します。

イベントについては、こちらを参照してください:

ATA 正常性イベント

イベント ID	アラート名
1001	センターのディスク容量不足
1003	センターがオーバーロードしている
1004	センター認定資格証の有効期限が間もなく切れる/センター認定資格証の有効期限が切れている
1005	MongoDB がダウンしています
1006	読み取り専用ユーザーのパスワードの有効期限が間もなく切れる/読み取り専用ユーザーのパスワードの有効期限が切れた
1007	ドメイン シンクロナイザーが割り当てられない
1008	ゲートウェイ上のネットワーク キャプチャ アダプターの一部またはすべてを使用できない
1009	ゲートウェイ上のネットワーク キャプチャ アダプターが存在しない
1010	ゲートウェイが一部のドメイン コントローラーに到達できない/ゲートウェイがすべてのドメイン コントローラーに到達できない
1011	ゲートウェイの通信が停止した
1012	一部の転送イベントが分析されない
1013	一部のネットワーク トラフィックが分析されない
1014	メールを送信できない
1015	Syslog を使用して SIEM サーバーに接続できない
1016	期限切れのゲートウェイ バージョン
1017	ドメイン コントローラーからトラフィックを受信しない
1018	ゲートウェイ サービスを開始できない
1019	Lightweight Gateway がメモリ リソースの制限に達した
1020	ゲートウェイが Radius イベントを処理しない
1021	ゲートウェイが Syslog イベントを処理しない
1022	Geolocation Service が利用できない

ATA セキュリティ アラート イベント

イベント ID	アラート名
2001	異常な動作に基づくなりすましの疑い
2002	不審なプロトコルの実装
2003	アカウント列挙攻撃による偵察
2004	LDAP simple bind を使用したブルート フォース攻撃
2006	ディレクトリ サービスの悪意のあるレプリケーション
2007	DNS を使用した偵察
2008	暗号化のダウングレード アクティビティ
2009	暗号化ダウングレード アクティビティ (ゴールデン チケットの可能性)
2010	暗号化ダウングレード アクティビティ (overpass-the-hash の可能性)
2011	暗号化ダウングレード アクティビティ (スケルトン キーの可能性)
2012	SMB セッション リストを使用した偵察
2013	偽造承認データを使用した権限エスカレーション
2014	ハニートークン アクティビティ
2016	大規模なオブジェクトの削除
2017	Pass-the-Hash 攻撃を使用したなりすまし
2018	Pass-the-Ticket 攻撃を使用したなりすまし
2019	リモート実行の試行の検出
2020	悪意のあるデータ保護の個人情報要求
2021	Directory Services クエリを使用した偵察
2022	Kerberos ゴールデン チケット アクティビティ
2023	不審な認証エラー
2024	機密性の高いグループの異常な変更
2026	疑わしいサービス作成

ATA 監査イベント

イベント ID	アラート名
3001	ATA構成への変更
3002	ATA ゲートウェイの追加
3003	ATA ゲートウェイの削除
3004	アクティブ化された ATA ライセンス
3005	ATA コンソールにログインする
3006	正常性アクティビティの状態を手動で変更する
3007	不審なアクティビティの状態を手動で変更する

参照

• ATA 前提条件
• ATA の容量計画
• イベント収集を構成する
• Windows イベント転送の構成
• ATA フォーラムをご覧ください。