Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Risoluzione dei problemi noti di ATATroubleshooting ATA known issues

Questa sezione descrive errori che possono verificarsi nelle distribuzioni di ATA e i passaggi necessari per risolverli.This section details possible errors in the deployments of ATA and the steps required for troubleshooting them.

Errori del gateway ATA e del gateway ATA LightweightATA Gateway and Lightweight Gateway errors

ErroreError DescrizioneDescription SoluzioneResolution
System.DirectoryServices.Protocols.LdapException: Errore localeSystem.DirectoryServices.Protocols.LdapException: A local error occurred Non è stato possibile eseguire l'autenticazione del gateway ATA per il controller di dominio.The ATA Gateway failed to authenticate against the domain controller. 1. Verificare che il record DNS del controller di dominio sia configurato correttamente nel server DNS.1. Confirm that the domain controller’s DNS record is configured properly in the DNS server.
2. Verificare che l'ora del gateway ATA sia sincronizzata con l'ora del controller di dominio.2. Verify that the time of the ATA Gateway is synchronized with the time of the domain controller.
System.IdentityModel.Tokens.SecurityTokenValidationException: Failed to validate certificate chain (Convalida catena di certificati non riuscita)System.IdentityModel.Tokens.SecurityTokenValidationException: Failed to validate certificate chain Il gateway ATA non ha potuto convalidare il certificato del Centro ATA.The ATA Gateway failed to validate the certificate of the ATA Center. 1. Verificare che il certificato CA radice sia installato nell'archivio certificati dell'autorità di certificazione attendibile nel gateway ATA.1. Verify that the Root CA certificate is installed in the trusted certificate authority certificate store on the ATA Gateway.
2. Verificare che l'elenco di revoche di certificati (CRL) sia disponibile e che sia possibile eseguire la convalida della revoca del certificato.2. Validate that the certificate revocation list (CRL) is available and that certificate revocation validation can be performed.
Microsoft.Common.ExtendedException: Failed to parse time generated (Analisi ora generata non riuscita)Microsoft.Common.ExtendedException: Failed to parse time generated Il gateway ATA non ha potuto analizzare i messaggi syslog inoltrati dal SIEM.The ATA Gateway failed to parse syslog messages that were forwarded from the SIEM. Verificare che il SIEM sia configurato per inoltrare i messaggi in uno dei formati supportati da ATA.Verify that the SIEM is configured to forward the messages in one of the formats that are supported by ATA.
System.ServiceModel.FaultException: Errore durante la verifica della sicurezza del messaggio.System.ServiceModel.FaultException: An error occurred when verifying security for the message. Il gateway ATA non ha potuto eseguire l'autenticazione del Centro ATA.The ATA Gateway failed to authenticate against ATA Center. Verificare che l'ora del gateway ATA sia sincronizzata con l'ora del Centro ATA.Verify that the time of the ATA Gateway is synchronized with the time of the ATA Center.
System.ServiceModel.EndpointNotFoundException: Impossibile connettersi a net.tcp://center.ip.addr:443/IEntityReceiverSystem.ServiceModel.EndpointNotFoundException: Could not connect to net.tcp://center.ip.addr:443/IEntityReceiver Il gateway ATA non ha potuto stabilire la connessione al Centro ATA.The ATA Gateway failed to establish connection to the ATA Center. Assicurarsi che le impostazioni di rete siano corrette e che la connessione di rete tra il gateway ATA e il Centro ATA sia attiva.Ensure that the network settings are correct and that the network connection between the ATA Gateway and the ATA Center is active.
System.DirectoryServices.Protocols.LdapException: Server LDAP non disponibile.System.DirectoryServices.Protocols.LdapException: The LDAP server is unavailable. Il gateway ATA non ha potuto eseguire una query sul controller di dominio tramite il protocollo LDAP.The ATA Gateway failed to query the domain controller using the LDAP protocol. 1. Verificare che l'account utente usato da ATA per connettersi al dominio di Active Directory disponga dell'accesso in lettura a tutti gli oggetti nella struttura di Active Directory.1.Verify that the user account used by ATA to connect to the Active Directory domain has read access to all the objects in the Active Directory tree.
2. Assicurarsi che il controller di dominio non sia stato finalizzato per evitare che LDAP esegua query dall'account utente usato da ATA.2.Make sure that the domain controller is not hardened to prevent LDAP queries from the user account used by ATA.
Microsoft.Tri.Infrastructure.ContractException: Contract exception (Eccezione contratto)Microsoft.Tri.Infrastructure.ContractException: Contract exception Il gateway ATA non ha potuto sincronizzare la configurazione dal Centro ATA.The ATA Gateway failed to synchronize the configuration from the ATA Center. Completare la configurazione del gateway ATA nella Console ATA.Complete configuration of the ATA Gateway in the ATA Console.
System.Reflection.ReflectionTypeLoadException: Impossibile caricare uno o più tipi richiesti.System.Reflection.ReflectionTypeLoadException: Unable to load one or more of the requested types. Recuperare la proprietà LoaderExceptions per ulteriori informazioni.Retrieve the LoaderExceptions property for more information. Message Analyzer è installato sul gateway ATA.Message Analyzer is installed on the ATA Gateway. Disinstallare Message Analyzer.Uninstall Message Analyzer.
Error [Layout] System.OutOfMemoryException: È stata generata un'eccezione di tipo 'System.OutOfMemoryException'.Error [Layout] System.OutOfMemoryException: Exception of type 'System.OutOfMemoryException' was thrown. La memoria del gateway ATA non è sufficiente.The ATA Gateway does not have enough memory. Aumentare la quantità di memoria nel controller di dominio.Increase the amount of memory on the domain controller.
Fail to start live consumer ---> (Non è possibile avviare il consumer) Microsoft.Opn.Runtime.Monitoring.MessageSessionException: The PEFNDIS event provider is not ready (Il provider di eventi PEFNDIS non è pronto)Fail to start live consumer ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: The PEFNDIS event provider is not ready PEF (Message Analyzer) non è stato installato correttamente.PEF (Message Analyzer) was not installed correctly. Se si usa Hyper-V, provare ad aggiornare i servizi di integrazione Hyper-V. In caso contrario, contattare il supporto per una soluzione alternativa.If using Hyper-V, try to upgrade Hyper-V Integration services otherwise, contact support for a workaround.
Installazione non riuscita. Errore: 0x80070652Installation failed with error: 0x80070652 Esistono altre installazioni in sospeso nel computer.There are other pending installations on your computer. Attendere che le altre installazioni siano completate e, se necessario, riavviare il computer.Wait for the other installations to complete and, if necessary, restart the computer.
System.InvalidOperationException: Instance 'Microsoft.Tri.Gateway' does not exist in the specified Category. (L'istanza 'Microsoft.Tri.Gateway' non esiste nella categoria specificata.)System.InvalidOperationException: Instance 'Microsoft.Tri.Gateway' does not exist in the specified Category. I PID sono stati abilitati per i nomi dei processi nel gateway ATA.PIDs was enabled for process names in the ATA Gateway Vedere l'articolo KB281884 per disabilitare i PID nei nomi dei processi.Use KB281884 to disable PIDs in process names
System.InvalidOperationException: Category does not exist. (La categoria non esiste.)System.InvalidOperationException: Category does not exist. I contatori potrebbero essere disabilitati nel Registro di sistema.Counters might be disabled in the registry Vedere l'articolo KB2554336 per ricostruire i contatori delle prestazioni.Use KB2554336 to rebuild Performance Counters
System.ApplicationException: Unable to start ETW session MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 (Non è possibile avviare la sessione ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329)System.ApplicationException: Unable to start ETW session MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 Nel file HOSTS è presente una voce di host che punta al nome breve del computer.There is a host entry in the HOSTS file pointing to the machine's shortname Rimuovere la voce di host dal file C:\Windows\System32\drivers\etc\HOSTS o sostituirlo con un FQDN.Remove the host entry from C:\Windows\System32\drivers\etc\HOSTS file or change it to an FQDN.
System.IO.IOException: Autenticazione non riuscita. La parte remota ha chiuso il flusso di trasporto.System.IO.IOException: Authentication failed because the remote party has closed the transport stream. TLS 1.0 è disabilitato nel gateway ATA ma .NET è configurato per usare TLS 1.2TLS 1.0 is disabled on the ATA Gateway, but .Net is set to use TLS 1.2 Usare uno dei seguenti metodi:Use one of the following options:
Abilitare TLS 1.0 nel gateway ATAEnable TLS 1.0 on the ATA Gateway
Abilitare TLS 1.2 in .NET impostando le chiavi del Registro di sistema per l'uso delle impostazioni predefinite del sistema operativo per SSL e TLS, come segue:Enable TLS 1.2 on .Net by setting the registry keys to use the operating system defaults for SSL and TLS, as follows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
System.TypeLoadException: Could not load type 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' from assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' (Impossibile caricare il tipo 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' dall'assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35')System.TypeLoadException: Could not load type 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' from assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' Il gateway ATA non ha caricato i file di analisi richiesti.ATA Gateway failed to load required parsing files. Verificare se l'Analizzatore messaggi Microsoft è installato.Check to see if Microsoft Message Analyzer is currently installed. L'installazione dell'Analizzatore messaggi non è supportata con il gateway ATA o il gateway Lightweight.Message Analyzer is not supported to be installed with the ATA Gateway / Lightweight Gateway. Disinstallare l'Analizzatore messaggi e riavviare il servizio gateway.Uninstall Message Analyzer and restart the Gateway service.
Dropped port mirror traffic alerts when using Lightweight Gateway on VMware (Avvisi di traffico di mirroring delle porte ridotto durante l'uso del gateway Lightweight in VMware).Dropped port mirror traffic alerts when using Lightweight Gateway on VMware Se si usano controller di dominio in macchine virtuali VMware, è possibile ricevere avvisi relativi al traffico di rete di mirroring delle porte ridotto.If you are using DCs on VMware virtual machines, you might receive alerts about Dropped port mirrored network traffic. La causa può essere una configurazione errata in VMware.This might be due to a configuration mismatch in VMware. Per evitare questi avvisi, verificare che le impostazioni seguenti siano impostate su 0 o disabilitate: TsoEnable, LargeSendOffload, IPv4, TSO Offload.To avoid these alerts, you can check that the following settings are set to 0 or Disabled: TsoEnable, LargeSendOffload, IPv4, TSO Offload. Inoltre, è consigliabile disabilitare IPv4 Giant TSO Offload.Also, consider disabling IPv4 Giant TSO Offload. Per altre informazioni, vedere la documentazione di VMware.For more information consult your VMware documentation.
System.Net.WebException: Errore del server remoto: (407) Richiesta autorizzazione proxySystem.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required La comunicazione del gateway ATA con il centro ATA viene interrotta da un server proxy.The ATA Gateway communication with the ATA Center is being disrupted by a proxy server. Disabilitare il proxy nel computer del gateway ATA.Disable the proxy on the ATA Gateway machine.
Si noti che le impostazioni proxy possono variare in base all'account.Note that proxy settings may be per-account.
System.IO.DirectoryNotFoundException: Impossibile trovare il percorso specificato.System.IO.DirectoryNotFoundException: The system cannot find the path specified. (Eccezione da HRESULT:0x80070003)(Exception from HRESULT: 0x80070003) Uno o più servizi necessari per il funzionamento di ATA non è stato avviato.One or more of the services needed to operate ATA did not start. Avviare i seguenti servizi:Start the following services:
Avvisi e registri di prestazioni, utilità di pianificazione.Performance Logs and Alerts (PLA), Task Scheduler (Schedule).
System.Net.WebException: The remote server returned an error: (403) Forbidden. (Il server remoto ha restituito un errore: (403) Accesso negatoSystem.Net.WebException: The remote server returned an error: (403) Forbidden È possibile che sia stato impedito ad ATA Gateway o ad ATA Lightweight Gateway di stabilire una connessione HTTP perché ATA Center non è attendibile.The ATA Gateway or Lightweight Gateway could was forbidden from establishing an HTTP connection because the ATA Center is not trusted. Aggiungere il nome NetBIOS e il nome di dominio completo di ATA Center all'elenco dei siti Web attendibili e cancellare la cache in Internet Explorer (o il nome di ATA Center specificato nella configurazione, se diverso dal nome NetBIOS o dal nome di dominio completo).Add the NetBIOS name and FQDN of the ATA Center to the trusted websites list and clear the cache on Interne Explorer (or the name of the ATA Center as specified in the configuration if the configured is different than the NetBIOS/FQDN).
System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest]System.Net.Http.HttpRequestException: PostAsync failed [requestTypeName=StopNetEventSessionRequest] ATA Gateway o ATA Lightweight Gateway non può arrestare e avviare la sessione ETW che raccoglie il traffico di rete a causa di un errore di WMIThe ATA Gateway or ATA Lightweight Gateway can't stop and start the ETW session that collects network traffic due to a WMI issue Seguire le istruzioni fornite nel post di blog WMI: Rebuilding the WMI Repository (WMI: ricreare il repository WMI) per risolvere l'errore di WMIFollow the instructions in WMI: Rebuilding the WMI Repository to fix the WMI issue

Errori di distribuzioneDeployment errors

ErroreError DescrizioneDescription RisoluzioneResolution
L'installazione di .Net Framework 4.6.1 ha dato esito negativo con errore 0x800713ec.Net Framework 4.6.1 installation fails with error 0x800713ec I prerequisiti di .Net Framework 4.6.1 non sono installati nel server.The pre-requisites for .Net Framework 4.6.1 are not installed on the server. Prima di installare ATA, verificare che gli aggiornamenti di Windows KB2919442 e KB2919355 vengano installati nel server.Before installing ATA, verify that the windows updates KB2919442 and KB2919355 are installed on the server.
System.Threading.Tasks.TaskCanceledException: A task was canceled (Attività annullata)System.Threading.Tasks.TaskCanceledException: A task was canceled Si è verificato un timeout durante il processo di distribuzione poiché non è stato possibile raggiungere ATA Center.The deployment process timed out as it could not reach the ATA Center. 1. Verificare la connettività di rete ad ATA Center passando ad ATA Center usando il relativo indirizzo IP.1. Check network connectivity to the ATA Center by browsing to it using its IP address.
2. Verificare la configurazione del proxy o del firewall.2. Check for proxy or firewall configuration.
System.Net.Http.HttpRequestException: An error occurred while sending the request. (Si è verificato un errore durante l'invio della richiesta)System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required. (Il server remoto ha restituito un errore: (407) Richiesta autenticazione proxy)---> System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required. Si è verificato un timeout durante il processo di distribuzione poiché non è stato possibile raggiungere ATA Center a causa della configurazione del proxy errata.The deployment process timed out as it could not reach the ATA Center due to a proxy misconfiguration. Disabilitare la configurazione del proxy prima della distribuzione, quindi abilitare nuovamente la configurazione del proxy.Disable the proxy configuration before deployment, then enable the proxy configuration again. In alternativa, è possibile configurare un'eccezione nel proxy.Alternatively, you can configure an exception in the proxy.
System.Net.Sockets.SocketException: Una connessione esistente è stata chiusa forzatamente dall'host remotoSystem.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host Usare uno dei seguenti metodi:Use one of the following options:
Abilitare TLS 1.0 nel gateway ATAEnable TLS 1.0 on the ATA Gateway
Abilitare TLS 1.2 in .NET impostando le chiavi del Registro di sistema per l'uso delle impostazioni predefinite del sistema operativo per SSL e TLS, come segue:Enable TLS 1.2 on .Net by setting the registry keys to use the operating system defaults for SSL and TLS, as follows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
Errore [[]DeploymentModel[]] Failed management authentication (Autenticazione gestione non riuscita) [[]CurrentlyLoggedOnUser=<username>Status=FailedAuthentication Exception=[]]Error [[]DeploymentModel[]] Failed management authentication [[]CurrentlyLoggedOnUser=<username>Status=FailedAuthentication Exception=[]] Il processo di distribuzione del gateway ATA o di ATA Lightweight Gateway non ha completato l'autenticazione con ATA CenterThe deployment process of the ATA Gateway or ATA Lightweight Gateway could not successfully authenticate against the ATA Center Aprire un browser dal computer in cui il processo di distribuzione non è riuscito e tentare di accedere alla Console ATA.Open a browser from the machine on which the deployment process failed and see if you can reach the ATA Console.
Se non si riesce ad accedere, avviare la risoluzione dei problemi e verificare perché l'autenticazione del browser in ATA Center non riesce.If not, start troubleshooting to see why the browser can't authenticate against the ATA Center.
Elementi da verificare:Things to check:
Configurazione proxyProxy configuration
Problemi di reteNetworking issues
Impostazioni di criteri di gruppo per l'autenticazione nel computer diverse dalle impostazioni di ATA Center.Group policy settings for authentication on that machine that differs from the ATA Center.

Problemi del gateway ATA e del gateway ATA LightweightATA Gateway and Lightweight Gateway issues

ProblemaIssue DescrizioneDescription RisoluzioneResolution
No traffic received from domain controller, but monitoring alerts are observed (Il controller di dominio non ha ricevuto traffico, ma gli avvisi di monitoraggio sono controllati)No traffic received from domain controller, but monitoring alerts are observed Un controller di dominio non ha ricevuto traffico con mirroring delle porte tramite un gateway ATANo traffic was received from a domain controller using port mirroring through an ATA Gateway Nella scheda di interfaccia di rete del gateway ATA disabilitare le funzionalità seguenti in Advanced Settings (Impostazioni avanzate):On the ATA Gateway capture NIC, disable these features in Advanced Settings:
Unione segmenti ricevuti (IPv4)Receive Segment Coalescing (IPv4)
Unione segmenti ricevuti (IPv6)Receive Segment Coalescing (IPv6)
Viene visualizzato l'avviso di monitoraggio: Una parte del traffico di rete non viene analizzataThis monitoring alert is displayed: Some network traffic is not being analyzed Se si ha un gateway ATA o un gateway Lightweight nelle macchine virtuali VMware, è possibile ricevere questo avviso di monitoraggio.If you have an ATA Gateway or Lightweight Gateway on VMware virtual machines, you might receive this monitoring alert. Questo problema si verifica a causa di una configurazione errata in VMware.This happens because of a configuration mismatch in VMware. Specificare 0 o Disabilitato nella configurazione NIC della macchina virtuale per le impostazioni seguenti: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO OffloadSet the following settings to 0 or Disabled in the virtual machine NIC configuration: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload

Vedere ancheSee Also