Risoluzione dei problemi noti di ATA
Si applica a: Advanced Threat Analytics versione 1.9
Questa sezione illustra in dettaglio i possibili errori nelle distribuzioni di ATA e i passaggi necessari per la risoluzione dei problemi.
Errori del gateway ATA e del gateway leggero
| Errore | Descrizione | Risoluzione |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: si è verificato un errore locale | Il gateway ATA non è riuscito a eseguire l'autenticazione nel controller di dominio. | 1. Verificare che il record DNS del controller di dominio sia configurato correttamente nel server DNS. 2. Verificare che l'ora del gateway ATA sia sincronizzata con l'ora del controller di dominio. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Impossibile convalidare la catena di certificati | Il gateway ATA non è riuscito a convalidare il certificato del Centro ATA. | 1. Verificare che il certificato CA radice sia installato nell'archivio certificati dell'autorità di certificazione attendibile nel gateway ATA. 2. Verificare che l'elenco di revoche di certificati (CRL) sia disponibile e che sia possibile eseguire la convalida della revoca dei certificati. |
| Microsoft.Common.ExtendedException: impossibile analizzare il tempo generato | Il gateway ATA non è riuscito ad analizzare i messaggi syslog inoltrati dal sistema SIEM. | Verificare che siem sia configurato per inoltrare i messaggi in uno dei formati supportati da ATA. |
| System.ServiceModel.FaultException: si è verificato un errore durante la verifica della sicurezza del messaggio. | Il gateway ATA non è riuscito a eseguire l'autenticazione in ATA Center. | Verificare che l'ora del gateway ATA sia sincronizzata con l'ora di ATA Center. |
| System.ServiceModel.EndpointNotFoundException: Impossibile connettersi a net.tcp://center.ip.addr:443/IEntityReceiver | Il gateway ATA non è riuscito a stabilire una connessione al Centro ATA. | Assicurarsi che le impostazioni di rete siano corrette e che la connessione di rete tra il gateway ATA e ATA Center sia attiva. |
| System.DirectoryServices.Protocols.LdapException: il server LDAP non è disponibile. | Il gateway ATA non è riuscito a eseguire query sul controller di dominio usando il protocollo LDAP. | 1. Verificare che l'account utente utilizzato da ATA per connettersi al dominio di Active Directory abbia accesso in lettura a tutti gli oggetti nell'albero di Active Directory. 2. Assicurarsi che il controller di dominio non sia protetto per impedire query LDAP dall'account utente usato da ATA. |
| Microsoft.Tri.Infrastructure.ContractException: Eccezione del contratto | Il gateway ATA non è riuscito a sincronizzare la configurazione da ATA Center. | Completare la configurazione del gateway ATA nella console ATA. |
| System.Reflection.ReflectionTypeLoadException: impossibile caricare uno o più tipi richiesti. Recuperare la proprietà LoaderExceptions per altre informazioni. | Message Analyzer è installato nel gateway ATA. | Disinstallare Message Analyzer. |
| Errore [Layout] System.OutOfMemoryException: eccezione di tipo 'System.OutOfMemoryException' generata. | Il gateway ATA non dispone di memoria sufficiente. | Aumentare la quantità di memoria nel controller di dominio. |
| Impossibile avviare il consumer live ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: il provider di eventi PEFNDIS non è pronto | PEF (Message Analyzer) non è stato installato correttamente. | Se si usa Hyper-V, provare ad aggiornare i servizi di integrazione Hyper-V in caso contrario, contattare il supporto tecnico per una soluzione alternativa. |
| Installazione non riuscita con errore: 0x80070652 | Nel computer sono presenti altre installazioni in sospeso. | Attendere il completamento delle altre installazioni e, se necessario, riavviare il computer. |
| System.InvalidOperationException: l'istanza 'Microsoft.Tri.Gateway' non esiste nella categoria specificata. | I PID sono stati abilitati per i nomi dei processi nel gateway ATA | Vedere Gestione dei nomi di istanza duplicati per disabilitare i PID nei nomi dei processi |
| 'System.InvalidOperationException: Category does not exist. | I contatori potrebbero essere disabilitati nel Registro di sistema | Usare KB2554336 per ricompilare i contatori delle prestazioni |
| System.ApplicationException: impossibile avviare la sessione ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Nel file HOSTS è presente una voce host che punta al nome breve del computer | Rimuovere la voce host dal file C:\Windows\System32\drivers\etc\HOSTS o modificarla in un FQDN. |
| System.IO.IOException: autenticazione non riuscita perché l'entità remota ha chiuso il flusso di trasporto o non è stato in grado di creare un canale sicuro SSL/TLS | TLS 1.0 è disabilitato nel gateway ATA, ma .Net è impostato per l'uso di TLS 1.2 | Abilitare TLS 1.2 per .Net impostando le chiavi del Registro di sistema per usare le impostazioni predefinite del sistema operativo per SSL e TLS, come indicato di seguito:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: impossibile caricare il tipo 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' dall'assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | Il gateway ATA non è riuscito a caricare i file di analisi necessari. | Verificare se Microsoft Message Analyzer è attualmente installato. Message Analyzer non è supportato per l'installazione con il gateway ATA/Lightweight Gateway. Disinstallare Message Analyzer e riavviare il servizio Gateway. |
| System.Net.WebException: il server remoto ha restituito un errore: (407) Autenticazione proxy richiesta | La comunicazione del gateway ATA con ATA Center viene interrotta da un server proxy. | Disabilitare il proxy nel computer gateway ATA. Si noti che le impostazioni proxy possono essere per account. |
| System.IO.DirectoryNotFoundException: il sistema non riesce a trovare il percorso specificato. (Eccezione da HRESULT: 0x80070003) | Uno o più servizi necessari per gestire ATA non sono stati avviati. | Avviare i servizi seguenti: Log delle prestazioni e avvisi (PLA), Utilità di pianificazione (pianificazione). |
| System.Net.WebException: il server remoto ha restituito un errore: (403) Accesso negato | Il gateway ATA o il gateway Lightweight non è consentito stabilire una connessione HTTP perché ATA Center non è attendibile. | Aggiungere il nome NetBIOS e il nome FQDN di ATA Center all'elenco dei siti Web attendibili e cancellare la cache in Internet Explorer (o il nome di ATA Center come specificato nella configurazione se l'oggetto configurato è diverso da NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] | Il gateway ATA o il gateway ATA Lightweight non possono arrestare e avviare la sessione ETW che raccoglie il traffico di rete a causa di un problema WMI | Seguire le istruzioni in WMI: Ricompilare il repository WMI per risolvere il problema WMI |
| System.Net.Sockets.SocketException: tentativo di accedere a un socket in modo non consentito dalle autorizzazioni di accesso | Un'altra applicazione usa la porta 514 nel gateway ATA | Usare netstat -o per stabilire quale processo usa tale porta. |
Errori di distribuzione
| Errore | Descrizione | Risoluzione |
|---|---|---|
| L'installazione di .Net Framework 4.6.1 non riesce con errore 0x800713ec | I prerequisiti per .Net Framework 4.6.1 non sono installati nel server. | Prima di installare ATA, verificare che gli aggiornamenti di Windows KB2919442 e KB2919355 siano installati nel server. |
| System.Threading.Tasks.TaskCanceledException: un'attività è stata annullata | Il timeout del processo di distribuzione non è riuscito a raggiungere il Centro ATA. | 1. Controllare la connettività di rete ad ATA Center passando a essa usando il relativo indirizzo IP. 2. Verificare la presenza di configurazione del proxy o del firewall. |
| System.Net.Http.HttpRequestException: An error occurred while sending the request. >--- System.Net.WebException: il server remoto ha restituito un errore: (407) Autenticazione proxy obbligatoria. | Timeout del processo di distribuzione perché non è riuscito a raggiungere ATA Center a causa di una configurazione errata del proxy. | Disabilitare la configurazione del proxy prima della distribuzione, quindi abilitare di nuovo la configurazione del proxy. In alternativa, è possibile configurare un'eccezione nel proxy. |
| System.Net.Sockets.SocketException: una connessione esistente è stata chiusa forzatamente dall'host remoto | Abilitare TLS 1.2 per .Net impostando le chiavi del Registro di sistema per usare le impostazioni predefinite del sistema operativo per SSL e TLS, come indicato di seguito:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Errore [\[]DeploymentModel[\]] Autenticazione di gestione non riuscita [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | Il processo di distribuzione del gateway ATA o del gateway ATA Lightweight non è riuscito a eseguire correttamente l'autenticazione in ATA Center | Aprire un browser dal computer in cui il processo di distribuzione non è riuscito e verificare se è possibile raggiungere la console ATA. In caso contrario, avviare la risoluzione dei problemi per vedere perché il browser non riesce a eseguire l'autenticazione in ATA Center. Aspetti da controllare: configurazione proxy Problemi di reteProblemidi criteri di gruppo per l'autenticazione in tale computer che differisce da ATA Center. |
| Errore [\[]DeploymentModel[\]] Autenticazione di gestione non riuscita | Convalida del certificato centro non riuscita | Il certificato del Centro potrebbe richiedere una connessione Internet per la convalida. Assicurarsi che il servizio gateway disponga della configurazione proxy appropriata per abilitare la connessione e la convalida. |
| Durante la distribuzione del Centro e la selezione di un certificato, viene segnalato un errore "Non supportato" | Ciò può verificarsi se il certificato selezionato non soddisfa i requisiti o la chiave privata del certificato non è accessibile. | Assicurarsi di eseguire la distribuzione con privilegi elevati (Esegui come amministratore) e che il certificato selezionato soddisfi i requisiti. |
Errori di ATA Center
| Errore | Descrizione | Risoluzione |
|---|---|---|
| System.Security.Cryptography.CryptographicException: accesso negato. | AtA Center non è riuscito a usare il certificato rilasciato per la decrittografia. Questo problema è probabilmente dovuto all'uso di un certificato con KeySpec (KeyNumber) impostato su Signature (AT\_SIGNATURE) che non è supportato per la decrittografia, anziché usare KeyExchange (AT\_KEYEXCHANGE). | 1. Arrestare il servizio ATA Center. 2. Eliminare il certificato di ATA Center dall'archivio certificati del centro. Prima di eliminare, assicurarsi di disporre del certificato di cui è stato eseguito il backup con la chiave privata in un file PFX. 3. Aprire un prompt dei comandi con privilegi elevati ed eseguire certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Avviare il servizio ATA Center. 5. Verificare che tutto funzioni come previsto. |
Problemi del gateway ATA e del gateway leggero
| Problema | Descrizione | Risoluzione |
|---|---|---|
| Nessun traffico ricevuto dal controller di dominio, ma vengono osservati avvisi di integrità | Nessun traffico ricevuto da un controller di dominio tramite il mirroring delle porte tramite un gateway ATA | Nella scheda di interfaccia di rete di acquisizione del gateway ATA disabilitare queste funzionalità in Advanced Impostazioni: Coalescing segmento di ricezione (IPv4) Coalescing segmento di ricezione (IPv6) |
| Viene visualizzato questo avviso di integrità: il traffico di rete non viene analizzato | Se si ha un gateway ATA o un gateway Lightweight nelle macchine virtuali VMware, è possibile che venga visualizzato questo avviso di integrità. Ciò si verifica a causa di una mancata corrispondenza della configurazione in VMware. | Impostare le impostazioni seguenti su 0 o Disabilitato nella configurazione della scheda di interfaccia di rete della macchina virtuale: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Modalità gruppo multiprocessore
Per i sistemi operativi Windows 2008R2 e 2012, il gateway ATA non è supportato in modalità multiprocessore .
Possibili soluzioni alternative suggerite:
Se l'hyperthreading è attivato, disattivarlo. Ciò può ridurre il numero di core logici sufficienti per evitare la necessità di eseguire in modalità multiprocessore .
Se il computer ha meno di 64 core logici ed è in esecuzione in un host HP, potrebbe essere possibile modificare l'impostazione del BIOS di ottimizzazione delle dimensioni del gruppo NUMA dal valore predefinito Clustered a Flat.