Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

ATA Health Center segnala che si è verificato un problema di distribuzione ATA generando un avviso di monitoraggio.The ATA Health Center lets you know when there's a problem with the ATA deployment, by raising a monitoring alert. Questo articolo descrive tutti gli avvisi di monitoraggio di ogni componente, indicando la causa e i passaggi necessari per risolvere il problema.This article describes all the monitoring alerts for each component, listing the cause and the steps needed to resolve the problem.

Problemi di ATA CenterATA Center Issues

Spazio su disco insufficiente in CenterCenter running out of disk space

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The free space on the ATA Center machine drive that is used for storing the ATA database is getting low (Spazio libero nell'unità del computer di ATA Center usato per l'archiviazione del database ATA insufficiente).The free space on the ATA Center machine drive that is used for storing the ATA database is getting low. Ciò significa che il disco rigido ha meno di 200 GB o meno del 20% di spazio libero.This means that the hard drive has less than 200 GB of free space or that there is less than 20% free space, whichever is smaller. Quando rileva che l'unità sta esaurendo lo spazio, ATA inizia a eliminare i dati meno recenti dal database.When ATA recognizes that the drive is running low on space, it starts to delete old data from the database. Se non è possibile eliminare i dati meno recenti perché necessari per il motore di rilevamento, si riceverà questo avviso.If it cannot delete old data because it still needs the data for the detection engine, you will receive this alert. Quando si riceve questo avviso, ATA arresta il rilevamento delle nuove attività.When you receive this alert, ATA stops keeping track of new activities. Aumentare le dimensioni dell'unità oppure liberare spazio sull'unità.Increase the drive size or free up space from that drive. AltaHigh

Errore di invio di messaggi di posta elettronicaFailure sending mail

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
ATA Failed to send an email notification to the specified mail server (ATA non ha inviato una notifica di posta elettronica al server di posta specificato).ATA Failed to send an email notification to the specified mail server. Non verranno inviati messaggi di posta elettronica da ATA.No email messages will be sent from ATA. Verificare la configurazione del server SMTP.Verify the SMTP server configuration. BassoLow

Overload di CenterCenter overloaded

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Center is not able to handle the amount of data being transferred from the ATA Gateways (ATA Center non è in grado di gestire la quantità di dati trasferita dai gateway ATA).The ATA Center is not able to handle the amount of data being transferred from the ATA Gateways. ATA Center arresterà l'analisi del traffico di rete e degli eventi nuovi.The ATA Center will stop analyzing new network traffic and events. Ciò significa che viene ridotta la precisione dei rilevamenti e dei profili mentre è attivo questo avviso di monitoraggio.This means that the accuracy of the detections and profiles is reduced while this monitoring alert is active. Verificare di aver garantito risorse sufficienti per ATA Center.Make sure that you provided enough resources for the ATA Center. Vedere Pianificazione della capacità di ATA per altre informazioni su come pianificare correttamente la capacità di ATA Center.See ATA capacity planning for more details on how to properly plan for ATA Center capacity. Analizzare le prestazioni di ATA Center seguendo le istruzioni indicate in Risoluzione dei problemi di ATA mediante i contatori delle prestazioni.Investigate the performance of the ATA Center using Troubleshooting ATA using the performance counters. AltaHigh

Errore durante la connessione al server SIEM tramite SyslogFailure connecting to the SIEM server using Syslog

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
ATA failed to send events to the specified SIEM (ATA non ha inviato gli eventi al SIEM specificato).ATA failed to send events to the specified SIEM. Ciò significa che ATA Center non è in grado di inviare le attività sospette e gli avvisi di monitoraggio al SIEM.This means the ATA Center cannot send suspicious activities and monitoring alerts to your SIEM. Assicurarsi che le impostazioni del server Syslog siano configurate correttamente.Make sure that your Syslog server settings are configured correctly. BassoLow

Certificato di Center in scadenzaCenter certificate is about to expire

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Center certificate will expire in less than 3 weeks (Il certificato di ATA Center scadrà tra meno di tre settimane).The ATA Center certificate will expire in less than 3 weeks. Dopo la scadenza del certificato, la connettività dei gateway ATA ad ATA Center verrà interrotta.After the certificate expires: Connectivity from ATA Gateways to ATA Center will fail. ATA Center verrà arrestato in modo anomalo e tutte le funzionalità ATA verranno arrestate.The ATA Center process will crash and all ATA functionality will stop. Sostituire il certificato di ATA CenterReplace the ATA Center certificate MediaMedium

Certificato di ATA Center scadutoATA Center certificate expired

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Center certificate expired (Certificato di ATA Center scaduto).The ATA Center certificate expired. Dopo la scadenza del certificato, la connettività dei gateway ATA ad ATA Center verrà interrotta.After the certificate expires: Connectivity from the ATA Gateways to the ATA Center will fail. ATA Center verrà arrestato in modo anomalo e tutte le funzionalità ATA verranno arrestate.The ATA Center process will crash and all ATA functionality will stop. Sostituire il certificato di ATA CenterReplace the ATA Center certificate AltaHigh

Problemi del gateway ATAATA Gateway issues

Password dell'utente di sola lettura prossima alla scadenzaRead-only user password to expire shortly

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The read-only user password, used to perform resolution of entities against Active Directory, is about to expire in less than 30 days (La password utente di sola lettura usata per eseguire la risoluzione delle entità in Active Directory scadrà tra meno di 30 giorni).The read-only user password, used to perform resolution of entities against Active Directory, is about to expire in less than 30 days. Se la password dell'utente scade, viene arrestata l'esecuzione di tutti i gateway ATA e non vengono raccolti nuovi dati.If the password for this user expires, all the ATA Gateways will stop running and no new data will be collected. Modificare la password di connettività del dominio e quindi aggiornare la password nella console ATA.Change the domain connectivity password and then update the password in the ATA Console. MediaMedium

Password utente di sola lettura scadutaRead-only user password expired

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The read-only user password, used to get directory data, expired (La password utente di sola lettura usata per ottenere i dati di directory è scaduta).The read-only user password, used to get directory data, expired. Verrà arrestata l'esecuzione di tutti i gateway ATA e non verranno raccolti nuovi dati.All the ATA Gateways will stop running (or will top running soon) and no new data will be collected. Modificare la password di connettività del dominio e quindi aggiornare la password nella console ATA.Change the domain connectivity password and then update the password in the ATA Console. AltaHigh

Certificato di ATA Gateway in scadenzaGateway certificate about to expire

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Gateway certificate will expire in less than 3 weeks (Il certificato del gateway ATA scadrà tra meno di tre settimane).The ATA Gateway certificate will expire in less than 3 weeks. La connettività tra il gateway ATA specifico e ATA Center verrà interrotta.Connectivity from the specific ATA Gateway to the ATA Center will fail. Non verranno inviati dati dal gateway ATA.No data from that ATA Gateway will be sent. Il certificato del gateway ATA avrebbe dovuto rinnovarsi automaticamente.The ATA Gateway certificate should have been renewed automatically. Leggere i log del gateway ATA e di ATA Center per comprendere perché il certificato non è stato rinnovato automaticamente.Read the ATA Gateway and ATA Center logs to understand why that Certificate did not renew automatically. MediaMedium

Certificato di ATA Gateway scadutoGateway certificate expired

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Gateway certificate expired (Certificato del gateway ATA scaduto).The ATA Gateway certificate expired. Non è presente alcuna connettività tra il gateway ATA e ATA Center.There is no connectivity from this ATA Gateway to the ATA Center. Non verranno inviati dati dal gateway ATA.No data from that ATA Gateway will be sent. Disinstallare e reinstallare il gateway ATA.Uninstall and reinstall the ATA Gateway. AltaHigh

Programma di sincronizzazione di dominio non assegnatoDomain synchronizer not assigned

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
No domain synchronizer is assigned to any ATA Gateway.No domain synchronizer is assigned to any ATA Gateway. This may happen if there is no ATA Gateway configured as domain synchronizer candidate (Nessun programma di sincronizzazione di dominio assegnato a un gateway ATA. È possibile che non sia stato configurato alcun gateway ATA come programma di sincronizzazione di dominio).This may happen if there is no ATA Gateway configured as domain synchronizer candidate. Quando il dominio non è sincronizzato, le modifiche alle entità potrebbero rendere non aggiornate o mancanti le informazioni sulle entità in ATA ma non hanno alcun effetto sui rilevamenti.When the domain is not synchronized, changes to entities might cause entity information in ATA to become out of date or missing but will not affect any detection. Assicurarsi che almeno un gateway ATA sia impostato come programma di sincronizzazione di dominio.Make sure that at least one ATA Gateway is set as a Domain synchronizer. BassoLow

Tutte o alcune delle schede di rete di acquisizione in ATA Gateway non sono disponibiliAll/Some of the capture network adapters on a Gateway are not available

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
All/Some of the selected capture network adapters on the ATA Gateway are disabled or disconnected (Tutte o alcune delle schede di rete di acquisizione selezionate nel gateway ATA sono disabilitate o disconnesse).All/Some of the selected capture network adapters on the ATA Gateway are disabled or disconnected. Il traffico di rete per alcuni o tutti i controller di dominio non viene più acquisito dal gateway ATA.Network traffic for some/all of the domain controllers is no longer captured by the ATA Gateway. Ciò ha effetto sulla possibilità di rilevare attività sospette correlate ai controller di dominio.This will impact the ability to detect suspicious activities, related to those domain controllers. Assicurarsi che le schede di rete di acquisizione selezionate nel gateway ATA siano abilitate e connesse.Make sure these selected capture network adapters on the ATA Gateway are enabled and connected. MediaMedium

Alcuni controller di dominio non sono raggiungibili da ATA GatewaySome domain controllers are unreachable by a Gateway

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
An ATA Gateway has limited functionality due to connectivity issues to some of the configured domain controllers (La funzionalità di un gateway ATA è limitata a causa di problemi di connettività ad alcuni dei controller di dominio configurati).An ATA Gateway has limited functionality due to connectivity issues to some of the configured domain controllers. Il rilevamento di Pass the Hash potrebbe essere meno accurato quando il gateway ATA non può eseguire query in alcuni controller di dominio.Pass the Hash detection might be less accurate when some domain controllers can't be queried by the ATA Gateway. Verificare che i controller di dominio siano operativi e che il gateway ATA possa aprire connessioni LDAP con i controller.Make sure the domain controllers are up and running and that this ATA Gateway can open LDAP connections to them. MediaMedium

Tutti i controller di dominio non sono raggiungibili da ATA GatewayAll domain controllers are unreachable by a Gateway

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Gateway is currently offline due to connectivity issues to all the configured domain controllers (Il gateway ATA è offline a causa di problemi di connettività con tutti i controller di dominio configurati).The ATA Gateway is currently offline due to connectivity issues to all the configured domain controllers. Ciò ha effetto sulla capacità di ATA di rilevare attività sospette correlate ai controller di dominio monitorati dal gateway ATA.This will impact ATA’s ability to detect suspicious activities related to domain controllers monitored by this ATA Gateway. Verificare che i controller di dominio siano operativi e che il gateway ATA possa aprire connessioni LDAP con i controller.Make sure the domain controllers are up and running and that this ATA Gateway can open LDAP connections to them. MediaMedium

Comunicazione interrotta da ATA GatewayGateway stopped communicating

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
There has been no communication from the ATA Gateway.There has been no communication from the ATA Gateway. The default time span for this alert is 5 minutes (Nessuna comunicazione dal gateway ATA. La durata predefinita di questo avviso è di cinque minuti).The default time span for this alert is 5 minutes. Il traffico di rete non viene più acquisito dalla scheda di rete nel gateway ATA.Network traffic is no longer captured by the network adapter on the ATA Gateway. Ciò avrà effetto sulla capacità di ATA di rilevare le attività sospette poiché il traffico di rete non sarà in grado di raggiungere ATA Center.This will impact ATA’s ability to detect suspicious activities, since network traffic will not be able to reach the ATA Center. Verificare che la porta usata per la comunicazione tra il gateway ATA e il servizio ATA Center non sia bloccata da router o firewall.Check that the port used for the communication between the ATA Gateway and ATA Center service is not blocked by any routers or firewalls. MediaMedium

Nessun traffico ricevuto dal controller di dominioNo traffic received from domain controller

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
No traffic was received from the domain controller via this ATA Gateway (Non è stato ricevuto traffico dal controller di dominio attraverso questo gateway ATA).No traffic was received from the domain controller via this ATA Gateway. Ciò potrebbe indicare che il mirroring delle porte dai controller di dominio al gateway ATA non sia ancora configurato o non funzioni.This might indicate that port mirroring from the domain controllers to the ATA Gateway is not configured yet or not working. Verificare che il mirroring delle porte sia configurato correttamente nei dispositivi di rete.Verify that port mirroring is configured properly on your network devices.
Nella scheda di interfaccia di rete di acquisizione di ATA Gateway disabilitare le funzionalità seguenti nelle impostazioni avanzate:On the ATA Gateway capture NIC, disable these features in Advanced Settings:
Unione segmenti ricevuti (IPv4)Receive Segment Coalescing (IPv4)
Unione segmenti ricevuti (IPv6)Receive Segment Coalescing (IPv6)
MediaMedium

Alcuni eventi inoltrati non vengono analizzatiSome forwarded events are not being analyzed

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Gateway is receiving more events than it can process (Il gateway ATA sta ricevendo più eventi di quanti sia in grado di elaborare).The ATA Gateway is receiving more events than it can process. Alcuni eventi inoltrati non vengono analizzati e ciò può influire sulla capacità di rilevare attività sospette provenienti dai controller di dominio monitorati dal gateway ATA.Some forwarded events are not being analyzed, which can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Verificare che solo gli eventi necessari vengano inoltrati al gateway ATA o provare a inoltrare alcuni degli eventi a un altro gateway ATA.Verify that only required events are forwarded to the ATA Gateway or try to forward some of the events to another ATA Gateway. MediaMedium

Una parte del traffico di rete non viene analizzataSome network traffic is not being analyzed

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Gateway is receiving more network traffic than it can process (Il gateway ATA sta ricevendo più traffico di rete di quanto sia in grado di elaborare).The ATA Gateway is receiving more network traffic than it can process. Una parte del traffico di rete non viene analizzata e ciò può influire sulla capacità di rilevare attività sospette provenienti dai controller di dominio monitorati dal gateway ATA.Some network traffic is not being analyzed, which can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Può essere utile aggiungere altri processori e memoria in base alle esigenze specifiche.Consider adding additional processors and memory as required. Se viene usato un gateway ATA autonomo, ridurre il numero di controller di dominio monitorati.If this is a standalone ATA Gateway, reduce the number of domain controllers being monitored.
Questa situazione può verificarsi anche se si usano controller di dominio in macchine virtuali VMware.This can also happen if you are using domain controllers on VMware virtual machines. Per evitare questi avvisi, verificare che le impostazioni seguenti siano impostate su 0 o disabilitate nella macchina virtuale:To avoid these alerts, you can check that the following settings are set to 0 or Disabled in the virtual machine:
- TsoEnable- TsoEnable
- LargeSendOffload(IPv4)- LargeSendOffload(IPv4)
- IPv4 TSO Offload- IPv4 TSO Offload
Inoltre, è consigliabile disabilitare IPv4 Giant TSO Offload.Also, consider disabling IPv4 Giant TSO Offload. Per altre informazioni, vedere la documentazione di VMware.For more information consult your VMware documentation.
MediaMedium

Versione di ATA Gateway non aggiornataGateway version outdated

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Center is newer than the version installed on the ATA Gateway.The ATA Center is newer than the version installed on the ATA Gateway. This is causing the ATA Gateway to stop functioning as expected (ATA Center è più recente della versione installata nel gateway ATA. Per questa ragione il gateway ATA non funziona come previsto).This is causing the ATA Gateway to stop functioning as expected. Ciò può avere effetto sulla capacità di rilevare attività sospette provenienti dai controller di dominio monitorati dal gateway ATA.This can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Aggiornare automaticamente il gateway ATA alla versione più recente abilitando l'aggiornamento automatico nella console ATA o scaricando il pacchetto del gateway ATA più recente disponibile nella console ATA.Update the ATA Gateway to the latest version automatically by enabling automatic update in the ATA Console or by downloading the latest ATA Gateway package available in the ATA Console. AltaHigh

Avvio del servizio ATA Gateway non riuscitoGateway service failed to start

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The ATA Gateway service failed to start for at least 30 minutes (Il servizio del gateway ATA non è stato avviato per almeno 30 minuti).The ATA Gateway service failed to start for at least 30 minutes. Ciò può avere effetto sulla capacità di rilevare attività sospette provenienti dai controller di dominio monitorati dal gateway ATA.This can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Monitorare i log del gateway ATA per individuare la causa radice dell'errore del servizio del gateway ATA.Monitor ATA Gateway logs to understand the root cause for ATA Gateway service failure. AltaHigh

Gateway LightweightLightweight Gateway

Lightweight Gateway ha raggiunto un limite di risorse di memoriaLightweight Gateway reached a memory resource limit

AvvisoAlert DescrizioneDescription RisoluzioneResolution GravitàSeverity
The Lightweight ATA Gateway stopped itself and will restart automatically to protect the domain controller from a low memory condition (Il gateway ATA Lightweight è stato arrestato e verrà riavviato automaticamente per proteggere il controller di dominio da una condizione di memoria insufficiente).The Lightweight ATA Gateway stopped itself and will restart automatically to protect the domain controller from a low memory condition. Il gateway ATA Lightweight impone limitazioni di memoria per impedire che nel controller di dominio si verifichino limitazioni delle risorse.The Lightweight ATA Gateway enforces memory limitations upon itself to prevent the domain controller from experiencing resource limitations. Ciò si verifica quando l'utilizzo della memoria nel controller di dominio è elevato.This happens when memory usage on the domain controller is high. I dati provenienti da questo controller di dominio sono parzialmente monitorati.Data from this domain controller is only partly monitored. Aumentare la quantità di memoria (RAM) nel controller di dominio o aggiungere altri controller di dominio nel sito per ottimizzare la distribuzione del carico del controller di dominio.Increase the amount of memory (RAM) on the domain controller or add more domain controllers in this site to better distribute the load of this domain controller. MediaMedium

Vedere ancheSee Also