Основные сведения об оповещениях о работоспособности ATA
Статья
Чтение занимает 7 мин
Применяется к: Advanced Threat Analytics версии 1.9
Центр работоспособности ATA сообщает вам о проблемах с развертыванием ATA, создавая оповещение о работоспособности.
В этой статье описаны все оповещения о работоспособности для каждого компонента с указанием причины и действий, необходимых для устранения проблемы.
Проблемы с центром ATA
Нехватка места на диске для центра
Предупреждение
Описание
Решение
Статус
Свободное место на диске компьютера центра ATA, который служит для хранения базы данных ATA, заканчивается.
Это означает, что на жестком диске осталось менее 200 ГБ или 20 % свободного места. Когда решение ATA определяет, что свободное место на диске заканчивается, оно начинает удалять старые данные из базы данных. Если старые данные удалить не удается, так как они все еще нужны для подсистемы обнаружения, выводится это оповещение. При получении этого оповещения ATA прекращает отслеживать новые действия.
Увеличьте размер диска или освободите на нем место.
Высокий
Сбой при отправке электронной почты
Предупреждение
Описание
Решение
Статус
ATA не удалось отправить по электронной почте уведомление на указанный почтовый сервер.
Сообщения электронной почты не отправляются из ATA.
Проверьте конфигурацию SMTP-сервера.
Низкий
Центр перегружен
Предупреждение
Описание
Решение
Статус
Центр ATA не может обработать весь объем данных, передаваемых из шлюзов ATA.
Центр ATA прекращает анализ нового сетевого трафика и событий. Это означает, что при активном оповещении о работоспособности снижается точность обнаружений и профилей.
Срок действия сертификата центра ATA истекает менее чем через 3 недели.
После того как срок действия сертификата истечет: подключение шлюзов ATA к центру ATA станет невозможным; Процесс центра ATA будет аварийно завершаться, и все функциональные возможности ATA прекратятся.
После того как срок действия сертификата истекает: подключение шлюзов ATA к центру ATA невозможно. Происходит аварийное завершение процесса ATA, и ATA перестает функционировать.
Истекает срок действия пароля пользователя, у которого ест доступ только для чтения
Оповещение
Описание
Решение
Статус
Срок действия доступного только для чтения пароля пользователя, используемого для разрешения сущностей в Active Directory, истекает менее чем через 30 дней.
Если срок действия пароля пользователя истечет, все шлюзы ATA перестают работать и новые данные не собираются.
Ни одному из шлюзов ATA не назначен синхронизатор домена. Причиной может быть то, что ни один из шлюзов ATA не настроен как потенциальный синхронизатор домена.
Если домен не синхронизирован, внесение изменений в сущности может привести к тому, что сведения о них в ATA могут устареть или отсутствовать, но на обнаружение это не влияет.
Недоступны все или некоторые сетевые адаптеры записи в шлюзе
Предупреждение
Описание
Решение
Статус
Все или некоторые выбранные сетевые адаптеры записи в шлюзе ATA отключены или не работают.
Сетевой трафик для некоторых или всех контроллеров домена больше не записывается шлюзом ATA. Это скажется на возможности обнаружения подозрительных действий, связанных с этими контроллерами домена.
Убедитесь в том, что выбранные сетевые адаптеры записи в шлюзе ATA подключены и работают.
Средний
Некоторые контроллеры домена недоступны для шлюза
Предупреждение
Описание
Решение
Статус
Функциональность шлюза ATA ограничена из-за проблем с подключением к некоторым из настроенных контроллеров домена.
Если шлюз ATA не может отправлять запросы на некоторые контроллеры домена, обнаружение атак Pass-the-Hash может быть менее точным.
Убедитесь в том, что контроллеры домена работают и что шлюз ATA может открывать подключения LDAP к ним.
Средний
Все контроллеры домена недоступны для шлюза
Предупреждение
Описание
Решение
Статус
Шлюз ATA в настоящее время находится в автономном режиме из-за проблем с подключением ко всем настроенным контроллерам домена.
Это влияет на способность ATA обнаруживать подозрительные действия, связанные с контроллерами домена, отслеживаемыми этим шлюзом ATA.
Убедитесь в том, что контроллеры домена работают и что шлюз ATA может открывать подключения LDAP к ним.
Средний
Шлюз перестал обмениваться данными
Предупреждение
Описание
Решение
Статус
Из шлюза ATA не поступают данные. Период времени по умолчанию для этого оповещения составляет 5 минут.
Сетевой трафик больше не записывается сетевым адаптером в этом шлюзе ATA. Это влияет на способность ATA обнаруживать подозрительные действия, так как сетевой трафик не сможет получить доступ к центру ATA.
Проверьте не блокируется ли порт, используемый для обмена данными между шлюзом ATA и службой центра ATA, маршрутизаторами или брандмауэрами.
Средний
От контроллера домена не поступает трафик
Оповещение
Описание
Решение
Статус
Трафик не поступает от контроллера домена через этот шлюз ATA.
Это может означать, что зеркалирование портов с контроллеров домена на шлюз ATA еще не настроено или не работает.
Проверьте, правильно ли настроено зеркалирование портов в сетевых устройствах. На сетевом адаптере отслеживания шлюза ATA отключите следующие функции в разделе Дополнительные параметры: объединение полученных сегментов (IPv4); объединение полученных сегментов (IPv6).
Средняя
Некоторые пересылаемые события не анализируются
Оповещение
Описание
Решение
Статус
Шлюз ATA получает больше событий, чем он может обработать.
Некоторые пересылаемые события не анализируются, что может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.
Убедитесь в том, что только необходимые события пересылаются в шлюз ATA, или попытайтесь сделать так, чтобы некоторые события пересылались в другой шлюз ATA.
Средний
Часть сетевого трафика не анализируется
Предупреждение
Описание
Решение
Статус
Шлюз ATA получает больше сетевого трафика, чем он может обработать.
Часть сетевого трафика не анализируется, что может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.
Рекомендуется добавить необходимое количество дополнительных процессоров и памяти. Если это отдельный шлюз ATA, сократите число отслеживаемых контроллеров домена. Это также может произойти, если контроллеры домена установлены на виртуальные машины VMware. Чтобы эти оповещения не появлялись, присвойте следующим параметрам виртуальной машины значение "0" или "Отключено": – TsoEnable; – LargeSendOffload(IPv4); – IPv4 TSO Offload. Кроме того, рекомендуется отключить IPv4 Giant TSO Offload. Для получения дополнительной информации см. документацию VMware.
Средний
Версия шлюза устарела
Предупреждение
Описание
Решение
Статус
Версия центра ATA более поздняя, чем версия шлюза ATA. Из-за этого шлюз ATA работает не так, как ожидается.
Это может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.
Обновляйте шлюз ATA до последней версии автоматически, включив автоматическое обновление в консоли ATA, или скачайте последний пакет шлюза ATA, доступный в консоли ATA.
Высокий
Не удалось запустить службу шлюза
Предупреждение
Описание
Решение
Статус
Не удалось запустить службу шлюза ATA в течение по крайней мере 30 минут.
Это может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.
Упрощенный шлюз достиг ограничения на ресурсы памяти
Предупреждение
Описание
Решение
Статус
Работа упрощенного шлюза ATA была остановлена, и он будет перезапущен автоматически, чтобы защитить контроллер домена от возникновения состояния нехватки памяти.
Использование памяти упрощенным шлюзом ATA ограничено для того, чтобы контроллер домена не испытывал нехватку ресурсов. Такая нехватка может возникать при интенсивном использовании памяти на контроллере домена. Данные от этого контроллера домена отслеживаются лишь частично.
Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте больше контроллеров домена, чтобы снять часть нагрузки с этого контроллера домена.