Область применения: Advanced Threat Analytics версии 1.9
Центр управления здоровьем ATA позволяет узнать, когда возникает проблема с развертыванием ATA, создавая оповещение о состоянии системы.
В этой статье описываются все предупреждения о состоянии для каждого компонента, а также указываются причины и шаги, необходимые для устранения проблемы.
Проблемы центра ATA
Центр заканчивает свободное место на диске
| Alert |
Описание |
Резолюция |
Тяжесть |
| Свободное место на компьютере Центра ATA, используемом для хранения базы данных ATA, становится низким. |
Это означает, что жесткий диск имеет менее 200 ГБ свободного места или что свободное место меньше 20% свободного места, в зависимости от того, что меньше. Когда ATA распознает, что диск работает с низким пространством, он начинает удалять старые данные из базы данных. Если он не может удалить старые данные, так как он по-прежнему нуждается в данных для подсистемы обнаружения, вы получите это оповещение. При получении этого оповещения ATA перестает отслеживать новые действия. |
Увеличьте размер диска или освободите место от этого диска. |
Высокий |
Сбой отправки почты
| Alert |
Описание |
Резолюция |
Тяжесть |
| ATA не удалось отправить уведомление по электронной почте на указанный почтовый сервер. |
Сообщения электронной почты не отправляются из ATA. |
Проверьте конфигурацию SMTP-сервера. |
Low |
Перегрузка центра
Сбой подключения к серверу SIEM с помощью системного журнала
Срок действия сертификата центра истекает
| Alert |
Описание |
Резолюция |
Тяжесть |
| Срок действия сертификата Центра ATA истекает менее чем за 3 недели. |
После истечения срока действия сертификата: сбой подключения из шлюзов ATA к Центру ATA. Процесс центра ATA завершится сбоем, и все функциональные возможности ATA будут остановлены. |
Замена сертификата Центра ATA |
Medium |
Срок действия сертификата Центра ATA истек
| Alert |
Описание |
Резолюция |
Тяжесть |
| Срок действия сертификата Центра ATA истек. |
После истечения срока действия сертификата: подключение из шлюзов ATA к центру ATA завершается сбоем. Процесс центра ATA завершается сбоем, и все функции ATA останавливаются. |
Повторное развертывание центра ATA |
Высокий |
Проблемы с шлюзом ATA
Срок действия пароля пользователя только для чтения истекает в ближайшее время
| Alert |
Описание |
Резолюция |
Тяжесть |
| Срок действия пароля пользователя только для чтения, используемого для разрешения сущностей в Active Directory, истекает менее чем через 30 дней. |
Если срок действия пароля для этого пользователя истек, все шлюзы ATA перестают работать, и новые данные не собираются. |
Измените пароль подключения к домену и обновите пароль в консоли ATA. |
Medium |
Пароль пользователя с доступом только для чтения истёк
| Alert |
Описание |
Резолюция |
Тяжесть |
| Срок действия пароля пользователя только для чтения, используемого для получения данных каталога, истек. |
Все шлюзы ATA перестают работать (или перестают работать в ближайшее время), и новые данные не собираются. |
Измените пароль подключения к домену и обновите пароль в консоли ATA. |
Высокий |
Сертификат шлюза скоро истекает
| Alert |
Описание |
Резолюция |
Тяжесть |
| Срок действия сертификата шлюза ATA истекает менее чем за 3 недели. |
Подключение из определенного шлюза ATA к Центру ATA завершается сбоем. Данные из этого шлюза ATA не отправляются. |
Сертификат шлюза ATA должен быть обновлен автоматически. Ознакомьтесь с журналами шлюза ATA и центра ATA, чтобы понять, почему сертификат не продлевается автоматически. |
Medium |
Срок действия сертификата шлюза
| Alert |
Описание |
Резолюция |
Тяжесть |
| Срок действия сертификата шлюза ATA истек. |
Нет подключения из этого шлюза ATA к Центру ATA. Данные из этого шлюза ATA не отправляются. |
Удалите и переустановите шлюз ATA. |
Высокий |
Синхронизатор домена не назначен
| Alert |
Описание |
Резолюция |
Тяжесть |
| Ни один синхронизатор домена не назначается шлюзу ATA. Это может произойти, если шлюз ATA не настроен в качестве кандидата синхронизатора домена. |
Если домен не синхронизирован, изменения сущностей могут привести к тому, что сведения об сущностях в ATA становятся устаревшими или отсутствующими, но не влияют на обнаружение. |
Убедитесь, что по крайней мере один шлюз ATA задан в качестве синхронизатора домена. |
Low |
Все или некоторые сетевые адаптеры записи на шлюзе недоступны.
| Alert |
Описание |
Резолюция |
Тяжесть |
| Некоторые или все из выбранных сетевых адаптеров захвата на шлюзе ATA отключены или не подключены. |
Сетевой трафик для некоторых или всех контроллеров домена больше не фиксируется шлюзом ATA. Это влияет на возможность обнаружения подозрительных действий, связанных с этими контроллерами домена. |
Убедитесь, что эти выбранные сетевые адаптеры записи включены и подключены к шлюзу ATA. |
Medium |
Некоторые контроллеры домена недоступны для шлюза.
| Alert |
Описание |
Резолюция |
Тяжесть |
| Шлюз ATA имеет ограниченные функциональные возможности из-за проблем с подключением к некоторым настроенным контроллерам домена. |
Обнаружение атаки Pass-the-Hash может быть менее точным, если некоторые доменные контроллеры не могут быть запрошены шлюзом ATA. |
Убедитесь, что контроллеры домена находятся в рабочем состоянии и что этот шлюз ATA может открывать подключения LDAP к ним. |
Medium |
Все контроллеры домена недоступны шлюзом
| Alert |
Описание |
Резолюция |
Тяжесть |
| Шлюз ATA в настоящее время находится в автономном режиме из-за проблем с подключением ко всем настроенным контроллерам домена. |
Это влияет на способность ATA обнаруживать подозрительные действия, связанные с контроллерами домена, отслеживаемыми этим шлюзом ATA. |
Убедитесь, что контроллеры домена работают и этот шлюз Microsoft ATA может установить LDAP-подключения к ним. |
Medium |
Шлюз перестал взаимодействовать
| Alert |
Описание |
Резолюция |
Тяжесть |
| Нет связи из шлюза ATA. Период времени по умолчанию для этого оповещения составляет 5 минут. |
Сетевой трафик больше не фиксируется сетевым адаптером в шлюзе ATA. Это влияет на способность ATA обнаруживать подозрительные действия, так как сетевой трафик не сможет получить доступ к Центру ATA. |
Убедитесь, что порт, используемый для обмена данными между шлюзом ATA и службой центра ATA, не блокируется маршрутизаторами или брандмауэрами. |
Medium |
Нет трафика, полученного от контроллера домена
| Alert |
Описание |
Резолюция |
Тяжесть |
| Трафик не был получен от контроллера домена через этот шлюз ATA. |
Это может указывать на то, что зеркальное отображение портов от контроллеров домена к шлюзу ATA еще не настроено или не работает. |
Убедитесь, что на сетевых устройствах правильно настроено зеркальное отображение портов.
В сетевом адаптере шлюза ATA отключите эти функции в дополнительных параметрах:
Объединение сегментов получения (IPv4)
Объединение получаемых сегментов (IPv6) |
Medium |
Некоторые переадресированные события не анализируются
| Alert |
Описание |
Резолюция |
Тяжесть |
| Шлюз ATA получает больше событий, чем может обрабатываться. |
Некоторые переадресированные события не анализируются, что может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA. |
Убедитесь, что только необходимые события перенаправляются в шлюз ATA или пытаются перенаправить некоторые события в другой шлюз ATA. |
Medium |
Некоторый сетевой трафик не анализируется
| Alert |
Описание |
Резолюция |
Тяжесть |
| Шлюз ATA получает больше сетевого трафика, чем может обрабатываться. |
Некоторый сетевой трафик не анализируется, что может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA. |
При необходимости рекомендуется добавлять дополнительные процессоры и память . Если это автономный шлюз ATA, уменьшите количество отслеживаемых контроллеров домена.
Это также может произойти, если вы используете контроллеры домена на виртуальных машинах VMware. Чтобы избежать появления этих уведомлений, можно проверить, что такие параметры, как настройки виртуальной машины, заданы на значение 0 или выключены.
- TsoEnable
— LargeSendOffload(IPv4)
— разгрузка IPv4 TSO
Кроме того, рассмотрите возможность отключения разгрузки IPv4 Giant TSO. Дополнительные сведения см. в документации по VMware. |
Medium |
Устаревшая версия шлюза
| Alert |
Описание |
Резолюция |
Тяжесть |
| Центр ATA является более новым, чем версия, установленная на шлюзе ATA. Это приводит к остановке работы шлюза ATA, как ожидалось. |
Это может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA. |
Обновите шлюз ATA до последней версии автоматически, включив автоматическое обновление в консоли ATA или скачав последний пакет шлюза ATA, доступный в консоли ATA. |
Высокий |
Не удалось запустить службу шлюза
| Alert |
Описание |
Резолюция |
Тяжесть |
| Служба шлюза ATA не смогла запуститься в течение не менее 30 минут. |
Это может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим шлюзом ATA. |
Отслеживайте журналы шлюза ATA, чтобы понять первопричину сбоя службы шлюза ATA. |
Высокий |
Легкий шлюз
Легковесный шлюз достиг ограничения ресурсов памяти
| Alert |
Описание |
Резолюция |
Тяжесть |
| Упрощенный шлюз ATA остановился и автоматически перезагрузится для защиты контроллера домена от низкой памяти. |
Упрощенный шлюз ATA применяет ограничения памяти, чтобы запретить контроллеру домена испытывать ограничения ресурсов. Это происходит, когда объем памяти на контроллере домена высок. Данные из этого контроллера домена отслеживаются только частично. |
Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте дополнительные контроллеры домена на этом сайте, чтобы лучше распределить нагрузку этого контроллера домена. |
Medium |
См. также