Se aplica a: Advanced Threat Analytics versión 1.9
El Centro de mantenimiento de ATA le permite saber cuándo hay un problema con la implementación de ATA mediante la generación de una alerta de estado.
En este artículo se describen todas las alertas de estado de cada componente, donde se enumeran la causa y los pasos necesarios para resolver el problema.
Problemas del Centro de ATA
Centro sin espacio en disco
Alerta
Descripción
Resolución
Gravedad
El espacio libre en la unidad de la máquina del Centro de ATA que se usa para almacenar la base de datos de ATA está agotándose.
Esto significa que el disco duro tiene menos de 200 GB de espacio libre o que hay menos del 20 % de espacio libre, lo que sea menor. Cuando ATA reconoce que la unidad se está quedando sin espacio, comienza a eliminar los datos antiguos de la base de datos. Si no puede eliminar datos antiguos porque todavía necesita los datos para el motor de detección, recibirá esta alerta. Cuando reciba esta alerta, ATA deja de realizar un seguimiento de las nuevas actividades.
Aumente el tamaño de la unidad o libere espacio de esa unidad.
Alto
Error al enviar correo
Alerta
Descripción
Resolución
Gravedad
ATA no pudo enviar una notificación por correo electrónico al servidor de correo especificado.
No se envía ningún mensaje de correo electrónico desde ATA.
Compruebe la configuración del servidor SMTP.
Bajo
Centro sobrecargado
Alerta
Descripción
Resolución
Gravedad
El Centro de ATA no puede controlar la cantidad de datos que se transfieren desde las puertas de enlace de ATA.
El Centro de ATA deja de analizar el nuevo tráfico de red y eventos. Esto significa que la precisión de las detecciones y perfiles se reduce mientras esta alerta de estado está activa.
El certificado del Centro de ATA expirará en menos de 3 semanas.
Una vez expirado el certificado: se producirá un error en la conectividad de las puertas de enlace de ATA al Centro de ATA. El proceso del Centro de ATA se bloqueará y se detendrá toda la funcionalidad de ATA.
Después de que expire el certificado: se produce un error de conectividad de las puertas de enlace de ATA al Centro de ATA. El proceso del Centro de ATA se bloquea y se detiene toda la funcionalidad de ATA.
Certificado de puerta de enlace a punto de expirar
Alerta
Descripción
Resolución
Gravedad
El certificado de puerta de enlace de ATA expirará en menos de 3 semanas.
La conectividad de la puerta de enlace de ATA específica al Centro de ATA produce un error. No se envían datos de esa puerta de enlace de ATA.
El certificado de la puerta de enlace de ATA debe haberse renovado automáticamente. Lea los registros de la puerta de enlace de ATA y del Centro de ATA para comprender por qué ese certificado no se renovó automáticamente.
Media
Certificado de puerta de enlace expirado
Alerta
Descripción
Resolución
Gravedad
El certificado de la puerta de enlace de ATA expiró.
No hay conectividad desde esta puerta de enlace de ATA al Centro de ATA. No se envían datos de esa puerta de enlace de ATA.
No se asigna ningún sincronizador de dominio a ninguna puerta de enlace de ATA. Esto puede ocurrir si no hay ninguna puerta de enlace de ATA configurada como candidato del sincronizador de dominio.
Cuando el dominio no está sincronizado, los cambios en las entidades pueden hacer que la información de entidad de ATA deje de estar actualizada o que falte, pero no afecta a ninguna detección.
Asegúrese de que al menos una puerta de enlace de ATA esté establecida como sincronizador de dominio.
Bajo
Todos o algunos de los adaptadores de red de captura de una puerta de enlace no están disponibles
Alerta
Descripción
Resolución
Gravedad
Todos o algunos de los adaptadores de red de captura seleccionados en la puerta de enlace de ATA están deshabilitados o desconectados.
La puerta de enlace de ATA ya no captura el tráfico de red para algunos o todos los controladores de dominio. Esto afecta a la capacidad de detectar actividades sospechosas, relacionadas con esos controladores de dominio.
Asegúrese de que estos adaptadores de red de captura seleccionados en la puerta de enlace de ATA están habilitados y conectados.
Media
Algunos controladores de dominio son inalcanzables por una puerta de enlace
Alerta
Descripción
Resolución
Gravedad
Una puerta de enlace de ATA tiene una funcionalidad limitada debido a problemas de conectividad con algunos de los controladores de dominio configurados.
La detección de Pass-the-Hash puede ser menos precisa cuando la puerta de enlace de ATA no puede consultar algunos controladores de dominio.
Asegúrese de que los controladores de dominio están en funcionamiento y de que esta puerta de enlace de ATA puede abrir conexiones LDPA a ellos.
Media
Ninguno de los controladores de dominio es accesible por una puerta de enlace
Alerta
Descripción
Resolución
Gravedad
La puerta de enlace de ATA está actualmente sin conexión debido a problemas de conectividad a todos los controladores de dominio configurados.
Esto afecta a la capacidad de ATA de detectar actividades sospechosas relacionadas con controladores de dominio supervisados por esta puerta de enlace de ATA.
Asegúrese de que los controladores de dominio están en funcionamiento y de que esta puerta de enlace de ATA puede abrir conexiones LDPA a ellos.
Media
La puerta de enlace dejó de comunicarse
Alerta
Descripción
Resolución
Gravedad
No se ha producido ninguna comunicación desde la puerta de enlace de ATA. El intervalo de tiempo predeterminado para esta alerta es de 5 minutos.
El adaptador de red ya no captura el tráfico de red en la puerta de enlace de ATA. Esto afecta a la capacidad de ATA para detectar actividades sospechosas, ya que el tráfico de red no podrá acceder al Centro de ATA.
Compruebe que el puerto usado para la comunicación entre la puerta de enlace de ATA y el servicio Centro de ATA no está bloqueado por ningún enrutador o firewall.
Media
No se ha recibido tráfico del controlador de dominio
Alerta
Descripción
Resolución
Gravedad
No se recibió tráfico del controlador de dominio a través de esta puerta de enlace de ATA.
Esto puede indicar que la creación de reflejo del puerto de los controladores de dominio a la puerta de enlace de ATA aún no está configurada o no funciona.
La puerta de enlace de ATA recibe más eventos de los que puede procesar.
Algunos eventos reenviados no se están analizando, lo que puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.
Compruebe que solo los eventos necesarios se reenviaron a la puerta de enlace de ATA o intente reenviar algunos de los eventos a otra puerta de enlace de ATA.
Media
No se está analizando cierto tráfico de red
Alerta
Descripción
Resolución
Gravedad
La puerta de enlace de ATA recibe más tráfico de red de lo que puede procesar.
No se está analizando el tráfico de red, lo que puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.
Considere la posibilidad de agregar procesadores y memoria adicionales según sea necesario. Si se trata de una puerta de enlace de ATA independiente, reduzca el número de controladores de dominio que se supervisan. Esto también puede ocurrir si usa controladores de dominio en máquinas virtuales de VMware. Para evitar estas alertas, puede comprobar que la siguiente configuración está establecida en 0 o Deshabilitada en la máquina virtual: : TsoEnable : LargeSendOffload(IPv4) : IPv4 TSO Offload También puede deshabilitar IPv4 Giant TSO Offload. Para obtener más información, consulte la documentación de VMware.
Media
Versión obsoleta de la puerta de enlace
Alerta
Descripción
Resolución
Gravedad
El Centro de ATA es más reciente que la versión instalada en la puerta de enlace de ATA. Esto hace que la puerta de enlace de ATA deje de funcionar según lo previsto.
Esto puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.
Actualice automáticamente la puerta de enlace de ATA a la versión más reciente habilitando la actualización automática en la consola de ATA o descargando el paquete de puerta de enlace de ATA más reciente disponible en la consola de ATA.
Alto
No se ha podido iniciar el servicio de puerta de enlace
Alerta
Descripción
Resolución
Gravedad
El servicio de la puerta de enlace de ATA no se pudo iniciar durante al menos 30 minutos.
Esto puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por esta puerta de enlace de ATA.
La puerta de enlace ligera alcanzó un límite de recursos de memoria
Alerta
Descripción
Resolución
Gravedad
La puerta de enlace ligera de ATA se detuvo y se reiniciará automáticamente para proteger el controlador de dominio de una condición de memoria baja.
La puerta de enlace ligera de ATA aplica limitaciones de memoria sobre sí mismas para evitar que el controlador de dominio experimente limitaciones de recursos. Esto sucede cuando el uso de memoria en el controlador de dominio es alto. Los datos de este controlador de dominio solo se supervisan parcialmente.
Aumente la cantidad de memoria (RAM) en el controlador de dominio o agregue más controladores de dominio en este sitio para distribuir mejor la carga de este controlador de dominio.