Si applica a: Advanced Threat Analytics versione 1.9
Il Centro integrità ATA consente di sapere quando si verifica un problema con la distribuzione di ATA generando un avviso di integrità.
Questo articolo descrive tutti gli avvisi di integrità per ogni componente, elencando la causa e i passaggi necessari per risolvere il problema.
Problemi di ATA Center
Spazio su disco insufficiente al centro
Avviso
Descrizione
Risoluzione
Gravità
Lo spazio disponibile nell'unità computer ATA Center usato per l'archiviazione del database ATA sta diventando insufficiente.
Ciò significa che il disco rigido ha meno di 200 GB di spazio libero o che c'è meno del 20% di spazio libero, a seconda di quale sia più piccolo. Quando ATA riconosce che lo spazio dell'unità è insufficiente, inizia a eliminare i dati precedenti dal database. Se non è possibile eliminare i dati precedenti perché richiedono ancora i dati per il motore di rilevamento, si riceve questo avviso. Quando si riceve questo avviso, ATA smette di tenere traccia delle nuove attività.
Aumentare le dimensioni dell'unità o liberare spazio da tale unità.
Fortemente
Errore durante l'invio di messaggi di posta elettronica
Avviso
Descrizione
Risoluzione
Gravità
ATA Non è stato possibile inviare una notifica tramite posta elettronica al server di posta specificato.
Nessun messaggio di posta elettronica inviato da ATA.
Verificare la configurazione del server SMTP.
Bassa
Sovraccarico al centro
Avviso
Descrizione
Risoluzione
Gravità
ATA Center non è in grado di gestire la quantità di dati trasferiti dai gateway ATA.
ATA Center interrompe l'analisi del nuovo traffico di rete e dei nuovi eventi. Ciò significa che l'accuratezza dei rilevamenti e dei profili viene ridotta mentre questo avviso di integrità è attivo.
Il certificato ATA Center scadrà tra meno di 3 settimane.
Dopo la scadenza del certificato: la connettività dai gateway ATA ad ATA Center avrà esito negativo. Il processo di ATA Center si arresta in modo anomalo e tutte le funzionalità ATA vengono arrestate.
Dopo la scadenza del certificato: la connettività dai gateway ATA al Centro ATA ha esito negativo. Il processo di ATA Center si arresta in modo anomalo e tutte le funzionalità ATA si arrestano.
Il certificato del gateway ATA scadrà tra meno di 3 settimane.
La connettività dal gateway ATA specifico al Centro ATA non riesce. Non vengono inviati dati da tale gateway ATA.
Il certificato del gateway ATA deve essere stato rinnovato automaticamente. Leggere i log del gateway ATA e di ATA Center per comprendere il motivo per cui il certificato non è stato rinnovato automaticamente.
Medio
Certificato del gateway scaduto
Avviso
Descrizione
Risoluzione
Gravità
Il certificato del gateway ATA è scaduto.
Non è disponibile alcuna connettività da questo gateway ATA al Centro ATA. Non vengono inviati dati da tale gateway ATA.
Programma di sincronizzazione del dominio non assegnato
Avviso
Descrizione
Risoluzione
Gravità
Nessun programma di sincronizzazione del dominio viene assegnato a un gateway ATA. Ciò può verificarsi se non è presente alcun gateway ATA configurato come candidato per il programma di sincronizzazione del dominio.
Quando il dominio non è sincronizzato, le modifiche alle entità potrebbero causare l'aggiornamento o la mancanza di informazioni sulle entità in ATA, ma non influisce su alcun rilevamento.
Tutte/alcune schede di rete di acquisizione in un gateway non sono disponibili
Avviso
Descrizione
Risoluzione
Gravità
Tutte/Alcune delle schede di rete di acquisizione selezionate nel gateway ATA sono disabilitate o disconnesse.
Il traffico di rete per alcuni/tutti i controller di dominio non viene più acquisito dal gateway ATA. Ciò influisce sulla capacità di rilevare attività sospette, correlate a tali controller di dominio.
Assicurarsi che queste schede di rete di acquisizione selezionate nel gateway ATA siano abilitate e connesse.
Medio
Alcuni controller di dominio non sono raggiungibili da un gateway
Avviso
Descrizione
Risoluzione
Gravità
Un gateway ATA ha funzionalità limitate a causa di problemi di connettività ad alcuni dei controller di dominio configurati.
Passare il rilevamento hash potrebbe essere meno accurato quando alcuni controller di dominio non possono essere sottoposti a query dal gateway ATA.
Assicurarsi che i controller di dominio siano attivi e in esecuzione e che questo gateway ATA possa aprire connessioni LDAP.
Medio
Tutti i controller di dominio non sono raggiungibili da un gateway
Avviso
Descrizione
Risoluzione
Gravità
Il gateway ATA è attualmente offline a causa di problemi di connettività a tutti i controller di dominio configurati.
Ciò influisce sulla capacità di ATA di rilevare attività sospette correlate ai controller di dominio monitorati da questo gateway ATA.
Assicurarsi che i controller di dominio siano attivi e in esecuzione e che questo gateway ATA possa aprire connessioni LDAP.
Medio
Il gateway ha smesso di comunicare
Avviso
Descrizione
Risoluzione
Gravità
Non è stata eseguita alcuna comunicazione dal gateway ATA. L'intervallo di tempo predefinito per questo avviso è di 5 minuti.
Il traffico di rete non viene più acquisito dalla scheda di rete nel gateway ATA. Ciò influisce sulla capacità di ATA di rilevare attività sospette, poiché il traffico di rete non sarà in grado di raggiungere il Centro ATA.
Verificare che la porta usata per la comunicazione tra il gateway ATA e il servizio ATA Center non sia bloccata da router o firewall.
Medio
Nessun traffico ricevuto dal controller di dominio
Avviso
Descrizione
Risoluzione
Gravità
Nessun traffico ricevuto dal controller di dominio tramite questo gateway ATA.
Questo potrebbe indicare che il mirroring delle porte dai controller di dominio al gateway ATA non è ancora configurato o non funziona.
Nella scheda di interfaccia di rete di acquisizione del gateway ATA disabilitare queste funzionalità in Impostazioni avanzate:
Receive Segment Coalescing (IPv4)
Coalescing segmento di ricezione (IPv6)
Medio
Alcuni eventi inoltrati non vengono analizzati
Avviso
Descrizione
Risoluzione
Gravità
Il gateway ATA riceve più eventi di quanti ne possa elaborare.
Alcuni eventi inoltrati non vengono analizzati, il che può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo gateway ATA.
Verificare che solo gli eventi necessari vengano inoltrati al gateway ATA o provare a inoltrare alcuni eventi a un altro gateway ATA.
Medio
Il traffico di rete non viene analizzato
Avviso
Descrizione
Risoluzione
Gravità
Il gateway ATA riceve più traffico di rete di quello che può elaborare.
Il traffico di rete non viene analizzato, il che può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo gateway ATA.
Prendere in considerazione l'aggiunta di processori aggiuntivi e memoria in base alle esigenze. Se si tratta di un gateway ATA autonomo, ridurre il numero di controller di dominio monitorati.
Ciò può verificarsi anche se si usano controller di dominio in macchine virtuali VMware. Per evitare questi avvisi, è possibile verificare che le impostazioni seguenti siano impostate su 0 o Disabilitate nella macchina virtuale:
- TsoEnable
- LargeSendOffload(IPv4)
- Offload TSO IPv4
È anche consigliabile disabilitare l'offload IPv4 Giant TSO. Per altre informazioni, vedere la documentazione di VMware.
Medio
Versione del gateway obsoleta
Avviso
Descrizione
Risoluzione
Gravità
ATA Center è più recente della versione installata nel gateway ATA. In questo modo il gateway ATA smette di funzionare come previsto.
Ciò può influire sulla capacità di rilevare le attività sospette provenienti dai controller di dominio monitorati da questo gateway ATA.
Aggiornare automaticamente il gateway ATA alla versione più recente abilitando l'aggiornamento automatico nella console ATA o scaricando il pacchetto del gateway ATA più recente disponibile nella console ATA.
Fortemente
Impossibile avviare il servizio gateway
Avviso
Descrizione
Risoluzione
Gravità
Il servizio gateway ATA non è stato avviato per almeno 30 minuti.
Ciò può influire sulla capacità di rilevare le attività sospette provenienti dai controller di dominio monitorati da questo gateway ATA.
Il gateway Lightweight ha raggiunto un limite di risorse di memoria
Avviso
Descrizione
Risoluzione
Gravità
Il gateway ATA lightweight si è arrestato e verrà riavviato automaticamente per proteggere il controller di dominio da una condizione di memoria insufficiente.
Il gateway ATA lightweight applica limitazioni di memoria per impedire al controller di dominio di riscontrare limitazioni delle risorse. Ciò si verifica quando l'utilizzo della memoria nel controller di dominio è elevato. I dati di questo controller di dominio vengono monitorati solo in parte.
Aumentare la quantità di memoria (RAM) nel controller di dominio o aggiungere altri controller di dominio in questo sito per distribuire meglio il carico di questo controller di dominio.