Общие сведения о оповещениях о работоспособности ATA
Статья
Область применения: Advanced Threat Analytics версии 1.9
Центр здравоохранения ATA позволяет узнать, когда возникла проблема с развертыванием ATA, вызвав оповещение о работоспособности.
В этой статье описываются все оповещения о работоспособности для каждого компонента, перечисление причины и действия, необходимые для устранения проблемы.
Проблемы центра ATA
Центр занимает свободное место на диске
Предупреждение
Описание
Решение
Важность
Свободное место на компьютере Центра ATA, используемом для хранения базы данных ATA, становится низким.
Это означает, что жесткий диск имеет менее 200 ГБ свободного места или что свободное пространство меньше 20 %, в зависимости от того, что меньше. Когда ATA распознает, что диск работает с низким пространством, он начинает удалять старые данные из базы данных. Если он не может удалить старые данные, так как он по-прежнему нуждается в данных для подсистемы обнаружения, вы получите это оповещение. При получении этого оповещения ATA перестает отслеживать новые действия.
Увеличьте размер диска или освободите место от этого диска.
Высокая
Сбой отправки почты
Предупреждение
Описание
Решение
Важность
ATA не удалось отправить уведомление по электронной почте на указанный почтовый сервер.
Сообщения электронной почты не отправляются из ATA.
Проверьте конфигурацию SMTP-сервера.
Низкая
Перегрузка центра
Предупреждение
Описание
Решение
Важность
Центр ATA не может обрабатывать объем передаваемых данных из шлюзов ATA.
Центр ATA останавливает анализ нового сетевого трафика и событий. Это означает, что точность обнаружения и профилей снижается, пока это оповещение о работоспособности активно.
Убедитесь, что вы предоставили достаточно ресурсов для центра ATA. Дополнительные сведения о том, как правильно спланировать емкость Центра ATA, см. в разделе "Планирование емкости ATA". Изучите производительность центра ATA с помощью средства устранения неполадок ATA с помощью счетчиков производительности.
Высокая
Сбой подключения к серверу SIEM с помощью системного журнала
Предупреждение
Описание
Решение
Важность
ATA не удалось отправить события в указанный SIEM.
Это означает, что центр ATA не может отправлять подозрительные действия и оповещения о работоспособности в SIEM.
Срок действия сертификата Центра ATA истекает менее чем за 3 недели.
После истечения срока действия сертификата: Подключение тивность из шлюзов ATA в Центр ATA завершится ошибкой. Процесс центра ATA завершится сбоем, и все функциональные возможности ATA будут остановлены.
После истечения срока действия сертификата: Подключение тивность из шлюзов ATA в центр ATA завершается ошибкой. Процесс центра ATA завершается сбоем, и все функции ATA останавливаются.
Срок действия пароля пользователя только для чтения истекает в ближайшее время
Предупреждение
Описание
Решение
Важность
Пароль пользователя только для чтения, используемый для разрешения сущностей в Active Directory, истекает менее чем за 30 дней.
Если срок действия пароля для этого пользователя истек, все шлюзы ATA перестают работать, и новые данные не собираются.
Измените пароль подключения к домену и обновите пароль в консоли ATA.
Средняя
Срок действия пароля пользователя только для чтения
Предупреждение
Описание
Решение
Важность
Пароль пользователя только для чтения, используемый для получения данных каталога, истек.
Все шлюзы ATA перестают работать (или перестают работать в ближайшее время), и новые данные не собираются.
Измените пароль подключения к домену и обновите пароль в консоли ATA.
Высокая
Срок действия сертификата шлюза
Предупреждение
Описание
Решение
Важность
Срок действия сертификата шлюза ATA истекает менее чем за 3 недели.
Подключение не удается выполнить Подключение из определенного шлюза ATA в центр ATA. Данные из этого шлюза ATA не отправляются.
Сертификат шлюза ATA должен быть обновлен автоматически. Прочитайте журналы шлюза ATA и центра ATA, чтобы понять, почему сертификат не обновлялся автоматически.
Средняя
Срок действия сертификата шлюза
Предупреждение
Описание
Решение
Важность
Срок действия сертификата шлюза ATA истек.
Нет подключения из этого шлюза ATA к Центру ATA. Данные из этого шлюза ATA не отправляются.
Ни один синхронизатор домена не назначается шлюзу ATA. Это может произойти, если шлюз ATA не настроен в качестве кандидата синхронизатора домена.
Если домен не синхронизирован, изменения сущностей могут привести к тому, что сведения об сущностях в ATA становятся устаревшими или отсутствующими, но не влияют на обнаружение.
Все или некоторые сетевые адаптеры записи на шлюзе недоступны.
Предупреждение
Описание
Решение
Важность
Все или некоторые из выбранных сетевых адаптеров записи на шлюзе ATA отключены или отключены.
Сетевой трафик для некоторых или всех контроллеров домена больше не фиксируется шлюзом ATA. Это влияет на возможность обнаружения подозрительных действий, связанных с этими контроллерами домена.
Убедитесь, что эти выбранные сетевые адаптеры записи включены и подключены к шлюзу ATA.
Средняя
Некоторые контроллеры домена недоступны для шлюза.
Предупреждение
Описание
Решение
Важность
Шлюз ATA имеет ограниченные функциональные возможности из-за проблем с подключением к некоторым настроенным контроллерам домена.
Передача обнаружения хэша может быть менее точной, если некоторые контроллеры домена не могут запрашиваться шлюзом ATA.
Убедитесь, что контроллеры домена работают и работают, и что этот шлюз ATA может открывать подключения LDAP к ним.
Средняя
Все контроллеры домена недоступны шлюзом
Предупреждение
Описание
Решение
Важность
Шлюз ATA в настоящее время находится в автономном режиме из-за проблем с подключением ко всем настроенным контроллерам домена.
Это влияет на способность ATA обнаруживать подозрительные действия, связанные с контроллерами домена, отслеживаемыми этим шлюзом ATA.
Убедитесь, что контроллеры домена работают и работают, и что этот шлюз ATA может открывать подключения LDAP к ним.
Средняя
Шлюз перестал взаимодействовать
Предупреждение
Описание
Решение
Важность
Нет связи из шлюза ATA. Период времени по умолчанию для этого оповещения составляет 5 минут.
Сетевой трафик больше не фиксируется сетевым адаптером в шлюзе ATA. Это влияет на способность ATA обнаруживать подозрительные действия, так как сетевой трафик не сможет добраться до центра ATA.
Убедитесь, что порт, используемый для обмена данными между шлюзом ATA и службой центра ATA, не блокируется маршрутизаторами или брандмауэрами.
Средняя
Нет трафика, полученного от контроллера домена
Предупреждение
Описание
Решение
Важность
Трафик не был получен от контроллера домена через этот шлюз ATA.
Это может указывать на то, что порт зеркало от контроллеров домена к шлюзу ATA еще не настроен или не работает.
Некоторые перенаправленные события не анализируются
Предупреждение
Описание
Решение
Важность
Шлюз ATA получает больше событий, чем может обрабатываться.
Некоторые перенаправленные события не анализируются, что может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Убедитесь, что только необходимые события перенаправляются в шлюз ATA или пытаются перенаправить некоторые события в другой шлюз ATA.
Средняя
Некоторый сетевой трафик не анализируется
Предупреждение
Описание
Решение
Важность
Шлюз ATA получает больше сетевого трафика, чем может обрабатываться.
Некоторый сетевой трафик не анализируется, что может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA.
При необходимости рекомендуется добавлять дополнительные процессоры и память . Если это автономный шлюз ATA, уменьшите количество отслеживаемых контроллеров домена. Это также может произойти, если вы используете контроллеры домена на виртуальных машинах VMware. Чтобы избежать этих оповещений, можно проверка, что для следующих параметров задано значение 0 или отключено на виртуальной машине: - TsoEnable — LargeSendOffload(IPv4) — разгрузка IPv4 TSO Кроме того, рекомендуется отключить разгрузку IPv4-гиганта TSO. Дополнительные сведения см. в документации по VMware.
Средняя
Устаревшая версия шлюза
Предупреждение
Описание
Решение
Важность
Центр ATA является более новой версией, установленной на шлюзе ATA. Это приводит к остановке работы шлюза ATA, как ожидалось.
Это может повлиять на возможность обнаружения подозрительных действий, поступающих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Обновите шлюз ATA до последней версии автоматически, включив автоматическое обновление в консоли ATA или скачав последний пакет шлюза ATA, доступный в консоли ATA.
Высокая
Не удалось запустить службу шлюза
Предупреждение
Описание
Решение
Важность
Не удалось запустить службу шлюза ATA не менее 30 минут.
Это может повлиять на возможность обнаружения подозрительных действий, поступающих от контроллеров домена, отслеживаемых этим шлюзом ATA.
Упрощенный шлюз достиг ограничения ресурсов памяти
Предупреждение
Описание
Решение
Важность
Упрощенный шлюз ATA остановился и автоматически перезагрузится для защиты контроллера домена от низкой памяти.
Упрощенный шлюз ATA применяет ограничения памяти, чтобы запретить контроллеру домена испытывать ограничения ресурсов. Это происходит, когда объем памяти на контроллере домена высок. Данные из этого контроллера домена отслеживаются только частично.
Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте на этот сайт больше контроллеров домена, чтобы лучше распределить нагрузку этого контроллера домена.