Noções básicas sobre alertas de integridade do ATA
Artigo
Aplica-se a: Advanced Threat Analytics versão 1.9
O Centro de Saúde do ATA informa quando há um problema com a implantação do ATA, acionando um alerta de integridade.
Este artigo descreve todos os alertas de integridade para cada componente, listando a causa e as etapas necessárias para resolver o problema.
Problemas do Centro ATA
Centro ficando sem espaço em disco
Alerta
Descrição
Resolução
Gravidade
O espaço livre na unidade de máquina do ATA Center usada para armazenar o banco de dados do ATA está ficando baixo.
Isto significa que o disco rígido tem menos de 200 GB de espaço livre ou que há menos de 20% de espaço livre, o que for menor. Quando o ATA reconhece que a unidade está com pouco espaço, ele começa a excluir dados antigos do banco de dados. Se ele não puder excluir dados antigos porque ainda precisa dos dados para o mecanismo de deteção, você receberá esse alerta. Quando você recebe esse alerta, o ATA para de acompanhar novas atividades.
Aumente o tamanho da unidade ou libere espaço dessa unidade.
Alto
Falha no envio de e-mails
Alerta
Descrição
Resolução
Gravidade
ATA Falha ao enviar uma notificação por e-mail para o servidor de email especificado.
Nenhuma mensagem de e-mail é enviada da ATA.
Verifique a configuração do servidor SMTP.
Baixo
Centro sobrecarregado
Alerta
Descrição
Resolução
Gravidade
O Centro do ATA não é capaz de lidar com a quantidade de dados que estão sendo transferidos dos Gateways do ATA.
O Centro do ATA para de analisar novos eventos e tráfego de rede. Isso significa que a precisão das deteções e perfis é reduzida enquanto esse alerta de integridade está ativo.
Certifique-se de que forneceu recursos suficientes para o Centro ATA. Para obter mais detalhes sobre como planejar corretamente a capacidade do ATA Center, consulte Planejamento de capacidade do ATA. Investigue o desempenho do Centro do ATA usando a Solução de problemas do ATA usando os contadores de desempenho.
Alto
Falha na conexão com o servidor SIEM usando o Syslog
Alerta
Descrição
Resolução
Gravidade
O ATA não conseguiu enviar eventos para o SIEM especificado.
Isso significa que o Centro do ATA não pode enviar atividades suspeitas e alertas de integridade para o seu SIEM.
O certificado do ATA Center expirará em menos de 3 semanas.
Depois que o certificado expirar: a conectividade dos Gateways do ATA com o Centro do ATA falhará. O processo do ATA Center falhará e todas as funcionalidades do ATA serão interrompidas.
Depois que o certificado expirar: a conectividade dos Gateways do ATA para o Centro do ATA falhará. O processo do ATA Center falha e todas as funcionalidades do ATA são interrompidas.
O certificado do ATA Gateway expirará em menos de 3 semanas.
A conectividade do Gateway ATA específico com o Centro do ATA falha. Nenhum dado desse Gateway ATA é enviado.
O certificado do ATA Gateway deveria ter sido renovado automaticamente. Leia os logs do Gateway do ATA e do Centro do ATA para entender por que esse certificado não foi renovado automaticamente.
Médio
O certificado de gateway expirou
Alerta
Descrição
Resolução
Gravidade
O certificado do Gateway do ATA expirou.
Não há conectividade deste Gateway do ATA com o Centro do ATA. Nenhum dado desse Gateway ATA é enviado.
Nenhum sincronizador de domínio é atribuído a qualquer Gateway ATA. Isso pode acontecer se não houver nenhum Gateway ATA configurado como candidato a sincronizador de domínio.
Quando o domínio não está sincronizado, as alterações nas entidades podem fazer com que as informações da entidade no ATA fiquem desatualizadas ou ausentes, mas não afetam nenhuma deteção.
Certifique-se de que pelo menos um gateway ATA está definido como um sincronizador de domínio.
Baixo
Todos/Alguns dos adaptadores de rede de captura em um gateway não estão disponíveis
Alerta
Descrição
Resolução
Gravidade
Todos/Alguns dos adaptadores de rede de captura selecionados no Gateway ATA estão desabilitados ou desconectados.
O tráfego de rede para alguns/todos os controladores de domínio não é mais capturado pelo Gateway ATA. Isso afeta a capacidade de detetar atividades suspeitas, relacionadas a esses controladores de domínio.
Verifique se esses adaptadores de rede de captura selecionados no Gateway ATA estão habilitados e conectados.
Médio
Alguns controladores de domínio são inacessíveis por um gateway
Alerta
Descrição
Resolução
Gravidade
Um Gateway ATA tem funcionalidade limitada devido a problemas de conectividade com alguns dos controladores de domínio configurados.
Passar a deteção de hash pode ser menos preciso quando alguns controladores de domínio não podem ser consultados pelo Gateway ATA.
Verifique se os controladores de domínio estão ativos e em execução e se esse Gateway ATA pode abrir conexões LDAP com eles.
Médio
Todos os controladores de domínio são inacessíveis por um gateway
Alerta
Descrição
Resolução
Gravidade
O Gateway ATA está atualmente offline devido a problemas de conectividade com todos os controladores de domínio configurados.
Isso afeta a capacidade do ATA de detetar atividades suspeitas relacionadas a controladores de domínio monitorados por esse Gateway ATA.
Verifique se os controladores de domínio estão ativos e em execução e se esse Gateway ATA pode abrir conexões LDAP com eles.
Médio
O gateway parou de se comunicar
Alerta
Descrição
Resolução
Gravidade
Não houve comunicação do ATA Gateway. O período de tempo padrão para esse alerta é de 5 minutos.
O tráfego de rede não é mais capturado pelo adaptador de rede no Gateway ATA. Isso afeta a capacidade do ATA de detetar atividades suspeitas, uma vez que o tráfego de rede não poderá chegar ao Centro do ATA.
Verifique se a porta usada para a comunicação entre o Gateway do ATA e o serviço do Centro do ATA não está bloqueada por nenhum roteador ou firewall.
Médio
Nenhum tráfego recebido do controlador de domínio
Alerta
Descrição
Resolução
Gravidade
Nenhum tráfego foi recebido do controlador de domínio através deste ATA Gateway.
Isso pode indicar que o espelhamento de porta dos controladores de domínio para o Gateway ATA ainda não está configurado ou não está funcionando.
Na NIC de captura do Gateway do ATA, desative estes recursos em Configurações avançadas:
Coalescência de segmento de recebimento (IPv4)
Recebimento de coalescência de segmento (IPv6)
Médio
Alguns eventos encaminhados não estão sendo analisados
Alerta
Descrição
Resolução
Gravidade
O Gateway do ATA está recebendo mais eventos do que pode processar.
Alguns eventos encaminhados não estão sendo analisados, o que pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por esse Gateway ATA.
Verifique se apenas os eventos necessários são encaminhados para o Gateway do ATA ou tente encaminhar alguns dos eventos para outro Gateway do ATA.
Médio
Algum tráfego de rede não está a ser analisado
Alerta
Descrição
Resolução
Gravidade
O Gateway ATA está recebendo mais tráfego de rede do que pode processar.
Parte do tráfego de rede não está sendo analisado, o que pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por esse Gateway ATA.
Considere adicionar processadores e memória adicionais, conforme necessário. Se este for um Gateway ATA autônomo, reduza o número de controladores de domínio que estão sendo monitorados.
Isso também pode acontecer se você estiver usando controladores de domínio em máquinas virtuais VMware. Para evitar esses alertas, você pode verificar se as seguintes configurações estão definidas como 0 ou Desabilitado na máquina virtual:
- TsoEnable
- LargeSendOffload (IPv4)
- Descarregamento de TSO IPv4
Além disso, considere desativar o IPv4 Giant TSO Offload. Para obter mais informações, consulte a documentação do VMware.
Médio
Versão do gateway desatualizada
Alerta
Descrição
Resolução
Gravidade
O Centro do ATA é mais recente do que a versão instalada no Gateway do ATA. Isso está fazendo com que o Gateway do ATA pare de funcionar conforme o esperado.
Isso pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por esse Gateway ATA.
Atualize o Gateway do ATA para a versão mais recente automaticamente habilitando a atualização automática no Console do ATA ou baixando o pacote mais recente do Gateway do ATA disponível no Console do ATA.
Alto
Falha ao iniciar o serviço de gateway
Alerta
Descrição
Resolução
Gravidade
O serviço ATA Gateway falhou ao iniciar por pelo menos 30 minutos.
Isso pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por esse Gateway ATA.
O Lightweight Gateway atingiu um limite de recursos de memória
Alerta
Descrição
Resolução
Gravidade
O Lightweight ATA Gateway parou e será reiniciado automaticamente para proteger o controlador de domínio de uma condição de pouca memória.
O Lightweight ATA Gateway impõe limitações de memória sobre si mesmo para evitar que o controlador de domínio enfrente limitações de recursos. Isso acontece quando o uso de memória no controlador de domínio é alto. Os dados deste controlador de domínio são apenas parcialmente monitorizados.
Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio.