Gilt für: Advanced Threat Analytics Version 1.9
Das ATA Health Center informiert Sie, wenn ein Problem mit der ATA-Bereitstellung vorliegt, indem eine Integritätswarnung ausgelöst wird.
In diesem Artikel werden alle Gesundheitswarnungen für jede Komponente beschrieben, einschließlich der Ursache und der Schritte, die erforderlich sind, um das Problem zu beheben.
ATA Center-Probleme
Das Zentrum hat nicht genügend Speicherplatz.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Der freie Speicherplatz auf dem ATA Center-Computerlaufwerk, das zum Speichern der ATA-Datenbank verwendet wird, wird niedrig. |
Dies bedeutet, dass die Festplatte weniger als 200 GB freien Speicherplatz hat oder dass es weniger als 20% freien Speicherplatz gibt, je nachdem, was kleiner ist. Wenn ATA erkennt, dass das Laufwerk wenig Speicherplatz hat, beginnt es, alte Daten aus der Datenbank zu löschen. Wenn alte Daten nicht gelöscht werden können, da sie weiterhin die Daten für das Erkennungsmodul benötigt, erhalten Sie diese Warnung. Wenn Sie diese Warnung erhalten, hält ATA die Nachverfolgung neuer Aktivitäten auf. |
Erhöhen Sie die Laufwerkgröße, oder geben Sie Speicherplatz von diesem Laufwerk frei. |
Hoch |
Fehler beim Senden von E-Mails
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| ATA Fehler beim Senden einer E-Mail-Benachrichtigung an den angegebenen E-Mail-Server. |
Es werden keine E-Mail-Nachrichten von ATA gesendet. |
Überprüfen Sie die SMTP-Serverkonfiguration. |
Niedrig |
Überlastetes Zentrum
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA Center kann die Datenmenge, die von den ATA-Gateways übertragen wird, nicht verarbeiten. |
Das ATA Center stoppt die Analyse des neuen Netzwerkdatenverkehrs und der Ereignisse. Dies bedeutet, dass die Genauigkeit der Erkennungen und Profile reduziert wird, während diese Gesundheitswarnung aktiv ist. |
Stellen Sie sicher, dass Sie genügend Ressourcen für das ATA Center bereitgestellt haben. Weitere Informationen finden Sie unter ATA-Kapazitätsplanung. Untersuchen Sie die Leistung des ATA Center mithilfe der Problembehebung von ATA mit Leistungsindikatoren. |
Hoch |
Fehler beim Herstellen einer Verbindung mit dem SIEM-Server mithilfe von Syslog
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| ATA konnte keine Ereignisse an das angegebene SIEM senden. |
Dies bedeutet, dass das ATA Center keine verdächtigen Aktivitäten und Gesundheitswarnungen an Ihr SIEM senden kann. |
Stellen Sie sicher, dass Ihre Syslog-Servereinstellungen ordnungsgemäß konfiguriert sind. |
Niedrig |
Center-Zertifikat läuft bald ab
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA Center-Zertifikat läuft in weniger als 3 Wochen ab. |
Nach Ablauf des Zertifikats: Konnektivität von ATA-Gateways mit ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab, und alle ATA-Funktionen werden beendet. |
Ersetzen des ATA Center-Zertifikats |
Medium |
ATA Center-Zertifikat abgelaufen
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA Center-Zertifikat ist abgelaufen. |
Nach Ablauf des Zertifikats: Konnektivität von den ATA-Gateways zum ATA Center schlägt fehl. Der ATA Center-Prozess stürzt ab und alle ATA-Funktionen werden beendet. |
Erneutes Bereitstellen des ATA Center |
Hoch |
ATA-Gatewayprobleme
Nur-Lesen-Benutzerkennwort, das bald abläuft
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das schreibgeschützte Benutzerkennwort, das zum Auflösen von Entitäten in Active Directory verwendet wird, läuft in weniger als 30 Tagen ab. |
Wenn das Kennwort für diesen Benutzer abläuft, werden alle ATA-Gateways nicht mehr ausgeführt, und es werden keine neuen Daten erfasst. |
Ändern Sie das Kennwort für die Domänenkonnektivität , und aktualisieren Sie dann das Kennwort in der ATA-Konsole. |
Medium |
Nur-Lese-Benutzerkennwort abgelaufen
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das schreibgeschützte Benutzerkennwort, das zum Abrufen von Verzeichnisdaten verwendet wird, ist abgelaufen. |
Alle ATA-Gateways werden nicht mehr ausgeführt (oder werden bald nicht mehr ausgeführt werden), und es werden keine neuen Daten gesammelt. |
Ändern Sie das Kennwort für die Domänenkonnektivität , und aktualisieren Sie dann das Kennwort in der ATA-Konsole. |
Hoch |
Gatewayzertifikat bald abläuft
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA-Gatewayzertifikat läuft in weniger als 3 Wochen ab. |
Die Konnektivität vom spezifischen ATA-Gateway zum ATA Center schlägt fehl. Es werden keine Daten von diesem ATA-Gateway gesendet. |
Das ATA-Gatewayzertifikat sollte automatisch erneuert worden sein. Lesen Sie die ATA-Gateway- und ATA Center-Protokolle, um zu verstehen, warum dieses Zertifikat nicht automatisch verlängert wurde. |
Medium |
Gatewayzertifikat abgelaufen
Domänensynchronisierung nicht zugewiesen
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Einem ATA-Gateway wird kein Domänen-Synchronizer zugewiesen. Dies kann passieren, wenn kein ATA-Gateway als Domänensynchronisierungskandidat konfiguriert ist. |
Wenn die Domäne nicht synchronisiert wird, können Änderungen an Entitäten dazu führen, dass Entitätsinformationen in ATA nicht mehr aktuell oder fehlen, sich aber nicht auf die Erkennung auswirken. |
Stellen Sie sicher, dass mindestens ein ATA-Gateway als Domänen-Synchronizer festgelegt ist. |
Niedrig |
Alle/einige der Aufnahmenetzwerkadapter auf einem Gateway sind nicht verfügbar.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Alle/einige der ausgewählten Aufnahmenetzwerkadapter auf dem ATA-Gateway sind deaktiviert oder getrennt. |
Der Netzwerkdatenverkehr für einige/alle Domänencontroller wird nicht mehr vom ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit aus, verdächtige Aktivitäten im Zusammenhang mit diesen Domänencontrollern zu erkennen. |
Stellen Sie sicher, dass diese ausgewählten Aufnahmenetzwerkadapter auf dem ATA-Gateway aktiviert und verbunden sind. |
Medium |
Einige Domänencontroller können von einem Gateway nicht erreichbar sein.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Ein ATA-Gateway verfügt aufgrund von Verbindungsproblemen mit einigen der konfigurierten Domänencontroller über eingeschränkte Funktionalität. |
Die Pass-the-Hash-Erkennung kann weniger genau sein, wenn einige Domänencontroller nicht vom ATA-Gateway abgefragt werden können. |
Stellen Sie sicher, dass die Domänencontroller betriebsbereit sind und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann. |
Medium |
Alle Domänencontroller können von einem Gateway nicht erreichbar sein.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA-Gateway ist derzeit aufgrund von Verbindungsproblemen mit allen konfigurierten Domänencontrollern offline. |
Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten im Zusammenhang mit Domänencontrollern zu erkennen, die von diesem ATA-Gateway überwacht werden. |
Stellen Sie sicher, dass die Domänencontroller betriebsbereit sind und dass dieses ATA-Gateway LDAP-Verbindungen zu ihnen öffnen kann. |
Medium |
Die Kommunikation des Gateways wurde beendet.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Es gab keine Kommunikation vom ATA-Gateway. Die Standardzeitspanne für diese Warnung beträgt 5 Minuten. |
Der Netzwerkdatenverkehr wird nicht mehr vom Netzwerkadapter auf dem ATA-Gateway erfasst. Dies wirkt sich auf die Fähigkeit von ATA aus, verdächtige Aktivitäten zu erkennen, da der Netzwerkdatenverkehr nicht in der Lage ist, das ATA Center zu erreichen. |
Überprüfen Sie, ob der für die Kommunikation zwischen dem ATA-Gateway und dem ATA Center-Dienst verwendete Port von Routern oder Firewalls nicht blockiert wird. |
Medium |
Kein Datenverkehr, der vom Domänencontroller empfangen wurde
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Über dieses ATA-Gateway wurde kein Datenverkehr vom Domänencontroller empfangen. |
Dies kann darauf hindeuten, dass die Portspiegelung von den Domänencontrollern zum ATA-Gateway noch nicht konfiguriert ist oder nicht funktioniert. |
Stellen Sie sicher, dass die Portspiegelung auf Ihren Netzwerkgeräten ordnungsgemäß konfiguriert ist.
Deaktivieren Sie auf der ATA-Gateway-Aufnahme-NIC diese Features in den erweiterten Einstellungen:
Empfangenes Segment-Zusammenführen (IPv4)
Empfangen von Segment-Zusammenführung (IPv6) |
Medium |
Einige weitergeleitete Ereignisse werden nicht analysiert.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA-Gateway empfängt mehr Ereignisse, als es verarbeiten kann. |
Einige weitergeleitete Ereignisse werden nicht analysiert, was sich auf die Fähigkeit auswirken kann, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. |
Stellen Sie sicher, dass nur erforderliche Ereignisse an das ATA-Gateway weitergeleitet werden, oder versuchen Sie, einige Ereignisse an ein anderes ATA-Gateway weiterzuleiten. |
Medium |
Einige Netzwerkdatenverkehr werden nicht analysiert.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA-Gateway empfängt mehr Netzwerkdatenverkehr, als es verarbeiten kann. |
Einige Netzwerkdatenverkehre werden nicht analysiert, was sich auf die Möglichkeit auswirken kann, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. |
Erwägen Sie, bei Bedarf zusätzliche Prozessoren und Arbeitsspeicher hinzuzufügen . Wenn es sich um ein eigenständiges ATA-Gateway handelt, verringern Sie die Anzahl der überwachten Domänencontroller.
Dies kann auch passieren, wenn Sie Domänencontroller auf virtuellen VMware-Computern verwenden. Um diese Warnungen zu vermeiden, können Sie überprüfen, ob die folgenden Einstellungen auf "0" oder "Deaktiviert" auf dem virtuellen Computer festgelegt sind:
- TsoEnable
- LargeSendOffload(IPv4)
- IPv4 TSO-Entlastung
Erwägen Sie außerdem, IPv4 Giant TSO Offload zu deaktivieren. Weitere Informationen finden Sie in der VMware-Dokumentation. |
Medium |
Veraltete Gatewayversion
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das ATA Center ist neuer als die auf dem ATA-Gateway installierte Version. Dies führt dazu, dass das ATA-Gateway nicht mehr wie erwartet funktioniert. |
Dies kann sich auf die Möglichkeit auswirken, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. |
Aktualisieren Sie das ATA-Gateway automatisch auf die neueste Version, indem Sie automatische Updates in der ATA-Konsole aktivieren oder das neueste ATA-Gatewaypaket herunterladen, das in der ATA-Konsole verfügbar ist. |
Hoch |
Gatewaydienst konnte nicht gestartet werden
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Der ATA-Gatewaydienst konnte mindestens 30 Minuten lang nicht gestartet werden. |
Dies kann sich auf die Möglichkeit auswirken, verdächtige Aktivitäten zu erkennen, die von Domänencontrollern stammen, die von diesem ATA-Gateway überwacht werden. |
Überwachen Sie ATA-Gatewayprotokolle, um die Ursache für den ATA-Gatewaydienstfehler zu verstehen. |
Hoch |
Leichtgewichtiges Gateway
Lightweight Gateway hat einen Speicherressourcengrenzwert erreicht.
| Alert |
Beschreibung |
Lösung |
Schweregrad |
| Das Lightweight ATA-Gateway hat sich gestoppt und wird automatisch neu gestartet, um den Domänencontroller vor einer Speichermangelsituation zu schützen. |
Das Lightweight ATA-Gateway erzwingt Speicherbeschränkungen auf sich selbst, um zu verhindern, dass der Domänencontroller Ressourceneinschränkungen aufweist. Dies geschieht, wenn die Speicherauslastung auf dem Domänencontroller hoch ist. Daten von diesem Domänencontroller werden nur teilweise überwacht. |
Erhöhen Sie die Arbeitsspeichermenge (RAM) auf dem Domänencontroller, oder fügen Sie weitere Domänencontroller an diesem Standort hinzu, um die Last dieses Domänencontrollers besser zu verteilen. |
Medium |
Siehe auch