瞭解 ATA 健康情況警示
適用于:進階威脅分析 1.9 版
ATA 健康狀態中心會藉由引發健康情況警示,讓您知道 ATA 部署何時發生問題。
本文說明每個元件的所有健康情況警示、列出原因和解決問題所需的步驟。
ATA 中心問題
中心用盡磁碟空間
警示 |
描述 |
解決方案 |
嚴重性 |
用於儲存 ATA 資料庫之 ATA 中心機器磁片磁碟機上的可用空間越來越低。 |
這表示硬碟的可用空間小於 200 GB,或可用空間小於 20%,以較小者為准。 當 ATA 辨識磁片磁碟機的空間不足時,會開始從資料庫刪除舊資料。 如果它無法刪除舊資料,因為它仍然需要偵測引擎的資料,您會收到此警示。 當您收到此警示時,ATA 會停止追蹤新活動。 |
增加磁片磁碟機大小,或從該磁片磁碟機釋出空間。 |
高 |
傳送郵件失敗
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 無法傳送電子郵件通知給指定的郵件伺服器。 |
不會從 ATA 傳送任何電子郵件訊息。 |
確認 SMTP 伺服器組態。 |
低 |
中心多載
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 中心無法處理從 ATA 閘道傳輸的資料量。 |
ATA 中心會停止分析新的網路流量和事件。 這表示當此健康情況警示處於作用中狀態時,偵測和設定檔的精確度會降低。 |
請確定您已為 ATA 中心提供足夠的資源。 如需如何正確規劃 ATA 中心容量的詳細資訊,請參閱 ATA 容量規劃 。 使用 效能計數器 對 ATA 進行疑難排解,調查 ATA 中心的效能。 |
高 |
使用 Syslog 連線到 SIEM 伺服器失敗
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 無法將事件傳送至指定的 SIEM。 |
這表示 ATA 中心無法將可疑的活動和健康情況警示傳送至您的 SIEM。 |
請確定您的 Syslog 伺服器設定已正確 設定。 |
低 |
中心憑證即將到期
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 中心憑證將在不到 3 周內到期。 |
憑證到期之後:從 ATA 閘道到 ATA 中心的連線性將會失敗。 ATA 中心進程將會當機,且所有 ATA 功能都會停止。 |
取代 ATA 中心憑證 |
中 |
ATA 中心憑證已過期
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 中心憑證已過期。 |
憑證到期之後:從 ATA 閘道到 ATA 中心的連線性失敗。 ATA 中心進程當機,所有 ATA 功能都會停止。 |
重新部署 ATA 中心 |
高 |
ATA 閘道問題
唯讀使用者密碼即將到期
警示 |
描述 |
解決方案 |
嚴重性 |
用來對 Active Directory 執行實體解析的唯讀使用者密碼,即將在 30 天內到期。 |
如果此使用者的密碼過期,所有 ATA 閘道都會停止執行,而且不會收集任何新資料。 |
變更網域連線密碼 ,然後在 ATA 主控台中更新密碼。 |
中 |
唯讀使用者密碼已過期
警示 |
描述 |
解決方案 |
嚴重性 |
唯讀使用者密碼,用來取得目錄資料已過期。 |
所有 ATA 閘道都會停止執行(或即將停止執行),而且不會收集任何新資料。 |
變更網域連線密碼 ,然後在 ATA 主控台中更新密碼。 |
高 |
閘道憑證即將到期
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道憑證將在不到 3 周內到期。 |
從特定 ATA 閘道到 ATA 中心的連線性失敗。 不會傳送來自該 ATA 閘道的資料。 |
ATA 閘道憑證應該會自動更新。 閱讀 ATA 閘道和 ATA 中心記錄,以瞭解該憑證未自動更新的原因。 |
中 |
閘道憑證已過期
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道憑證已過期。 |
無法從此 ATA 閘道連線到 ATA 中心。 不會傳送來自該 ATA 閘道的資料。 |
卸載並重新安裝 ATA 閘道 。 |
高 |
未指派網域同步器
警示 |
描述 |
解決方案 |
嚴重性 |
未將網域同步器指派給任何 ATA 閘道。 如果沒有設定為網域同步器候選的 ATA 閘道,就可能會發生這種情況。 |
當網域未同步處理時,實體的變更可能會導致 ATA 中的實體資訊過期或遺失,但不會影響任何偵測。 |
請確定至少有一個 ATA 閘道設定為 網域同步器 。 |
低 |
閘道上的所有/部分擷取網路介面卡無法使用
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道上所有/部分選取的擷取網路介面卡都會停用或中斷連線。 |
ATA 閘道不再擷取部分/所有網域控制站的網路流量。 這會影響偵測與這些網域控制站相關的可疑活動的能力。 |
請確定 ATA 閘道上的這些選取的擷取網路介面卡已啟用並聯機。 |
中 |
閘道無法連線到某些網域控制站
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道的功能有限,因為某些已設定網域控制站的連線問題。 |
當 ATA 閘道無法查詢某些網域控制站時,傳遞雜湊偵測可能較不精確。 |
請確定網域控制站已啟動並執行,而且此 ATA 閘道可以開啟其 LDAP 連線。 |
中 |
閘道無法連線到所有網域控制站
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道目前離線,因為所有已設定網域控制站的連線問題。 |
這會影響 ATA 偵測與此 ATA 閘道所監視之網域控制站相關的可疑活動的能力。 |
請確定網域控制站已啟動並執行,而且此 ATA 閘道可以開啟其 LDAP 連線。 |
中 |
閘道已停止通訊
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道沒有通訊。 此警示的預設時間範圍為 5 分鐘。 |
ATA 閘道上的網路介面卡不再擷取網路流量。 這會影響 ATA 偵測可疑活動的能力,因為網路流量將無法連線到 ATA 中心。 |
檢查用於 ATA 閘道與 ATA 中心服務之間通訊的埠並未受到任何路由器或防火牆封鎖。 |
中 |
未從網域控制站接收流量
警示 |
描述 |
解決方案 |
嚴重性 |
未透過此 ATA 閘道從網域控制站接收任何流量。 |
這可能表示尚未設定從網域控制站到 ATA 閘道的埠鏡像,或無法運作。 |
確認 已在您的網路裝置 上正確設定埠鏡像。 在 ATA 閘道擷取 NIC 上,停用進階設定中的這些功能: 接收區段聯合 (IPv4) 接收區段聯合 (IPv6) |
中 |
未分析某些轉送事件
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道接收的事件比處理的事件還要多。 |
未分析某些轉送事件,這可能會影響偵測來自此 ATA 閘道所監視網域控制站的可疑活動的能力。 |
確認只有必要的事件會轉送至 ATA 閘道,或嘗試將部分事件轉送至另一個 ATA 閘道。 |
中 |
未分析某些網路流量
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道接收的網路流量比處理更多。 |
未分析某些網路流量,這可能會影響偵測來自此 ATA 閘道所監視網域控制站的可疑活動的能力。 |
請考慮 視需要新增其他處理器和記憶體 。 如果這是獨立的 ATA 閘道,請減少受監視的網域控制站數目。 如果您在 VMware 虛擬機器上使用網域控制站,也會發生這種情況。 若要避免這些警示,您可以檢查虛擬機器中的下列設定是否設定為 0 或停用: - TsoEnable - LargeSendOffload(IPv4) - IPv4 TSO 卸載 此外,請考慮停用 IPv4 Big TSO 卸載。 如需詳細資訊,請參閱 VMware 檔。 |
中 |
閘道版本已過期
閘道服務無法啟動
警示 |
描述 |
解決方案 |
嚴重性 |
ATA 閘道服務無法啟動至少 30 分鐘。 |
這可能會影響偵測源自此 ATA 閘道所監視網域控制站的可疑活動的能力。 |
監視 ATA 閘道記錄,以瞭解 ATA 閘道服務失敗 的根本原因。 |
高 |
輕量型閘道
輕量型閘道達到記憶體資源限制
警示 |
描述 |
解決方案 |
嚴重性 |
輕量型 ATA 閘道自行停止,並會自動重新開機,以保護網域控制站免于記憶體不足的狀況。 |
輕量型 ATA 閘道會自行強制執行記憶體限制,以防止網域控制站遇到資源限制。 當網域控制站上的記憶體使用量很高時,就會發生這種情況。 此網域控制站的資料只會受到部分監視。 |
增加網域控制站上的記憶體量,或在此月臺中新增更多網域控制站,以更好地分散此網域控制站的負載。 |
中 |
另請參閱