Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
Il Centro salute ATA ti avvisa quando c'è un problema nella distribuzione di ATA generando un avviso sanitario. Questo articolo descrive tutti gli avvisi di integrità per ogni componente, elencando la causa e i passaggi necessari per risolvere il problema.
Problemi del Centro ATA
Centro che sta esaurendo lo spazio su disco
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Lo spazio disponibile nell'unità del computer ATA Center usato per l'archiviazione del database ATA è ridotto. | Ciò significa che il disco rigido ha meno di 200 GB di spazio libero o che vi è meno di 20% spazio libero, a differenza di quale sia più piccolo. Quando ATA riconosce che l'unità è insufficiente nello spazio, inizia a eliminare i dati precedenti dal database. Se non è possibile eliminare i dati obsoleti perché sono ancora necessari i dati per il motore di rilevamento, viene visualizzato questo avviso. Quando si riceve questo avviso, ATA smette di tenere traccia delle nuove attività. | Aumentare le dimensioni dell'unità o liberare spazio da tale unità. | Alto |
Errore durante l'invio della posta
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| ATA Non è stato possibile inviare una notifica tramite posta elettronica al server di posta specificato. | Non vengono inviati messaggi di posta elettronica da ATA. | Verificare la configurazione del server SMTP. | Low |
Sovraccarico del centro
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| ATA Center non è in grado di gestire la quantità di dati trasferiti dai gateway ATA. | ATA Center interrompe l'analisi del nuovo traffico di rete e degli eventi. Ciò significa che l'accuratezza dei rilevamenti e dei profili viene ridotta mentre questa allerta sanitaria è attiva. | Assicurarsi di aver fornito risorse sufficienti per ATA Center. Per altre informazioni, vedere Pianificazione della capacità di ATA. Esaminare le prestazioni di ATA Center utilizzando la risoluzione dei problemi di ATA con i contatori delle prestazioni. | Alto |
Errore di connessione al server SIEM tramite Syslog
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| ATA non è riuscito a inviare eventi al siem specificato. | Ciò significa che ATA Center non può inviare attività sospette e avvisi di integrità al SIEM. | Assicurarsi che le impostazioni del server Syslog siano configurate correttamente. | Low |
Il certificato del Centro sta per scadere
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il certificato di ATA Center scadrà in meno di 3 settimane. | Dopo la scadenza del certificato: la connettività dai gateway ATA ad ATA Center ha esito negativo. Il processo di ATA Center si arresterà in modo anomalo e tutte le funzionalità ATA si arresteranno. | Sostituire il certificato di ATA Center | Medium |
Certificato ATA Center scaduto
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il certificato dell'ATA Center è scaduto. | Dopo la scadenza del certificato: la connettività dai gateway ATA al Centro ATA si interrompe. Il processo di ATA Center si arresta in modo anomalo e tutte le funzionalità ATA si arrestano. | Ridispiegare il centro ATA | Alto |
Problemi del gateway ATA
Password di un utente con accesso in sola lettura in scadenza a breve
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| La password utente di sola lettura, usata per eseguire la risoluzione delle entità in Active Directory, sta per scadere tra meno di 30 giorni. | Se la password per questo utente scade, tutti i gateway ATA si arrestano e non vengono raccolti nuovi dati. | Modificare la password di connettività del dominio e quindi aggiornare la password nella console ATA. | Medium |
Password utente di sola lettura scaduta
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| La password utente di sola lettura, usata per ottenere i dati della directory, è scaduta. | Tutti i gateway ATA cesseranno di funzionare (o smetteranno di funzionare a breve) e non verranno raccolti nuovi dati. | Modificare la password di connettività del dominio e quindi aggiornare la password nella console ATA. | Alto |
Certificato del gateway in scadenza
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il certificato del gateway ATA scadrà in meno di 3 settimane. | La connessione dal Gateway ATA specifico al Centro ATA non riesce. Non vengono inviati dati dal gateway ATA. | Il certificato del gateway ATA dovrebbe essere stato rinnovato automaticamente. Leggere i log del gateway ATA e del Centro ATA per comprendere perché il certificato non è stato rinnovato automaticamente. | Medium |
Certificato del gateway scaduto
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il certificato del gateway ATA è scaduto. | Non esiste connettività da questo gateway ATA al Centro ATA. Non vengono inviati dati dal gateway ATA. | Disinstallare e reinstallare il gateway ATA. | Alto |
Programma di sincronizzazione del dominio non assegnato
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Nessun programma di sincronizzazione del dominio viene assegnato a qualsiasi gateway ATA. Questo problema può verificarsi se non è configurato alcun gateway ATA come candidato per la sincronizzazione del dominio. | Quando il dominio non è sincronizzato, le modifiche apportate alle entità potrebbero causare la mancata data o la mancanza di informazioni sull'entità in ATA, ma non influisce sul rilevamento. | Assicurarsi che almeno un gateway ATA sia impostato come programma di sincronizzazione del dominio. | Low |
Tutti/Alcuni adattatori di rete su un Gateway non sono disponibili
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Tutte/Alcune delle schede di rete di acquisizione selezionate nel gateway ATA sono disabilitate o disconnesse. | Il traffico di rete per alcuni/tutti i controller di dominio non viene più acquisito dal gateway ATA. Ciò influisce sulla possibilità di rilevare attività sospette, correlate a tali controller di dominio. | Assicurarsi che questi adattatori di rete di acquisizione selezionati sull'ATA Gateway siano abilitati e connessi. | Medium |
Alcuni controller di dominio non sono raggiungibili da un gateway
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Un gateway ATA ha funzionalità limitate a causa di problemi di connettività ad alcuni dei controller di dominio configurati. | Il rilevamento dell'hash può essere meno accurato quando alcuni controller di dominio non possono essere interrogati dal gateway ATA. | Assicurarsi che i controller di dominio siano operativi e che questo gateway ATA possa aprire le connessioni LDAP. | Medium |
Tutti i controller di dominio non sono raggiungibili da un gateway
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il gateway ATA è attualmente offline a causa di problemi di connettività a tutti i controller di dominio configurati. | Ciò influisce sulla capacità di ATA di rilevare attività sospette correlate ai controller di dominio monitorati da questo gateway ATA. | Assicurarsi che i controller di dominio siano operativi e che questo gateway ATA possa aprire le connessioni LDAP. | Medium |
Il gateway ha interrotto la comunicazione
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Non è stata eseguita alcuna comunicazione dal gateway ATA. L'intervallo di tempo predefinito per questo avviso è di 5 minuti. | Il traffico di rete non viene più acquisito dalla scheda di rete nel gateway ATA. Ciò influisce sulla capacità di ATA di rilevare attività sospette, perché il traffico di rete non sarà in grado di raggiungere ATA Center. | Verificare che la porta usata per la comunicazione tra il gateway ATA e il servizio ATA Center non sia bloccata da router o firewall. | Medium |
Nessun traffico ricevuto dal controller di dominio
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Nessun traffico ricevuto dal controller di dominio tramite questo gateway ATA. | Questo potrebbe indicare che il mirroring delle porte dai controller di dominio al gateway ATA non è ancora configurato o non funziona. | Verificare che il mirroring delle porte sia configurato correttamente nei dispositivi di rete. Nella scheda di interfaccia di rete di acquisizione del gateway ATA disabilitare queste funzionalità in Impostazioni avanzate: Coalescenza del segmento di ricezione (IPv4) Coalescenza del segmento di ricezione (IPv6) |
Medium |
Alcuni eventi inoltrati non vengono analizzati
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il gateway ATA riceve più eventi di quanto possa essere elaborato. | Alcuni eventi inoltrati non vengono analizzati, che possono influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo gateway ATA. | Verificare che vengano inoltrati solo gli eventi necessari al gateway ATA o provare a inoltrare alcuni eventi a un altro gateway ATA. | Medium |
Alcuni traffico di rete non vengono analizzati
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il gateway ATA riceve più traffico di rete di quanto possa elaborare. | Il traffico di rete non viene analizzato, che può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo gateway ATA. | Prendere in considerazione l'aggiunta di processori e memoria aggiuntivi in base alle esigenze. Se si tratta di un gateway ATA autonomo, ridurre il numero di controller di dominio monitorati. Ciò può verificarsi anche se si usano controller di dominio nelle macchine virtuali VMware. Per evitare questi avvisi, è possibile verificare che le impostazioni seguenti siano impostate su 0 o Disabilitato nella macchina virtuale: - TsoEnable - LargeSendOffload(IPv4) - Offload IPv4 TSO Valutare anche la possibilità di disabilitare il TSO Offload di grandi dimensioni per IPv4. Per altre informazioni, vedere la documentazione di VMware. |
Medium |
Versione del gateway non aggiornata
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| ATA Center è più recente della versione installata nel gateway ATA. In questo modo il gateway ATA smette di funzionare come previsto. | Ciò può influire sulla possibilità di rilevare attività sospette provenienti da controller di dominio monitorati da questo gateway ATA. | Aggiornare automaticamente il gateway ATA alla versione più recente abilitando l'aggiornamento automatico nella console ATA o scaricando il pacchetto più recente del gateway ATA disponibile nella console ATA. | Alto |
Avvio del servizio gateway non riuscito
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| L'avvio del servizio gateway ATA non è riuscito per almeno 30 minuti. | Ciò può influire sulla possibilità di rilevare attività sospette provenienti da controller di dominio monitorati da questo gateway ATA. | Monitorare i log del gateway ATA per comprendere la causa radice dell'errore del servizio gateway ATA. | Alto |
Gateway leggero
Il gateway leggero ha raggiunto un limite di risorse di memoria
| Allerta | Descrizione | Resolution | Severity |
|---|---|---|---|
| Il gateway ATA Lightweight si è arrestato e verrà riavviato automaticamente per proteggere il controller di dominio da una condizione di memoria insufficiente. | Il gateway ATA Lightweight applica limitazioni di memoria a se stesso per impedire al controller di dominio di riscontrare limitazioni delle risorse. Ciò si verifica quando l'utilizzo della memoria nel controller di dominio è elevato. I dati di questo controller di dominio vengono monitorati solo in parte. | Aumentare la quantità di memoria (RAM) nel controller di dominio o aggiungere altri controller di dominio in questo sito per distribuire meglio il carico di questo controller di dominio. | Medium |