Solução de problemas conhecidos no ATA
Aplica-se a: Advanced Threat Analytics versão 1.9
Esta seção detalha possíveis erros nas implantações do ATA e as etapas necessárias para solucioná-los.
Erros no ATA Gateway e Lightweight Gateway
| Erro | Descrição | Resolução |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: ocorreu um erro local | O ATA Gateway falhou ao autenticar no controlador de domínio. | 1. Confirme se o registro DNS do controlador de domínio está configurado corretamente no servidor DNS. 2. Verifique se a hora do ATA Gateway está sincronizada com a hora do controlador de domínio. |
| System.IdentityModel.Tokens.SecurityTokenValidationException: Falha ao validar a cadeia de certificados | O ATA Gateway não conseguiu validar o certificado do ATA Center. | 1. Verifique se o certificado de CA raiz está instalado no armazenamento de certificados de autoridade de certificação confiável no ATA Gateway. 2. Valide se a lista de revogação de certificado (CRL) está disponível e se a validação de revogação de certificado pode ser executada. |
| Microsoft.Common.ExtendedException: Falha ao analisar o tempo gerado | O ATA Gateway falhou ao analisar mensagens syslog que foram encaminhadas do SIEM. | Verifique se o SIEM está configurado para encaminhar as mensagens em um dos formatos suportados pelo ATA. |
| System.ServiceModel.FaultException: ocorreu um erro ao verificar a segurança da mensagem. | O ATA Gateway não conseguiu autenticar no ATA Center. | Verifique se a hora do ATA Gateway está sincronizada com a hora do ATA Center. |
| System.ServiceModel.EndpointNotFoundException: não foi possível se conectar a net.tcp://center.ip.addr:443/IEntityReceiver | O ATA Gateway não conseguiu estabelecer uma conexão com o ATA Center. | Verifique se as configurações de rede estão corretas e se a conexão de rede entre o ATA Gateway e o ATA Center está ativa. |
| System.DirectoryServices.Protocols.LdapException: o servidor LDAP não está disponível. | O ATA Gateway falhou ao consultar o controlador de domínio usando o protocolo LDAP. | 1. Verifique se a conta de usuário usada pelo ATA para se conectar ao domínio do Active Directory tem acesso de leitura a todos os objetos na árvore do Active Directory. 2. Certifique-se de que o controlador de domínio não está protegido para impedir consultas LDAP da conta de usuário usada pelo ATA. |
| Microsoft.Tri.Infrastructure.ContractException: exceção de contrato | O ATA Gateway não conseguiu sincronizar a configuração a partir do ATA Center. | Configuração completa do ATA Gateway no ATA Console. |
| System.Reflection.ReflectionTypeLoadException: não é possível carregar um ou mais dos tipos solicitados. Recupere a propriedade LoaderExceptions para obter mais informações. | O Message Analyzer está instalado no ATA Gateway. | Desinstale o Message Analyzer. |
| Error [Layout] System.OutOfMemoryException: Exceção do tipo 'System.OutOfMemoryException' foi lançada. | O ATA Gateway não tem memória suficiente. | Aumente a quantidade de memória no controlador de domínio. |
| Falha ao iniciar o consumidor ao vivo ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: o provedor de eventos PEFNDIS não está pronto | O PEF (Message Analyzer) não foi instalado corretamente. | Se estiver usando o Hyper-V, tente atualizar os serviços de integração do Hyper-V, caso contrário, entre em contato com o suporte para obter uma solução alternativa. |
| Falha na instalação com erro: 0x80070652 | Existem outras instalações pendentes no computador. | Aguarde a conclusão das outras instalações e, se necessário, reinicie o computador. |
| System.InvalidOperationException: a instância 'Microsoft.Tri.Gateway' não existe na categoria especificada. | PIDs foi habilitado para nomes de processos no ATA Gateway | Consulte Manipular nomes de instância duplicados para desabilitar PIDs em nomes de processo |
| 'System.InvalidOperationException: a categoria não existe. | Os contadores podem estar desabilitados no Registro | Usar KB2554336 para recriar contadores de desempenho |
| System.ApplicationException: não é possível iniciar a sessão ETW MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | Há uma entrada de host no arquivo HOSTS apontando para o nome curto da máquina | Remova a entrada do host do arquivo C:\Windows\System32\drivers\etc\HOSTS ou altere-a para um FQDN. |
| System.IO.IOException: falha na autenticação porque a parte remota fechou o fluxo de transporte ou não pôde criar um canal seguro SSL/TLS | O TLS 1.0 está desabilitado no ATA Gateway, mas o .Net está definido para usar o TLS 1.2 | Habilite o TLS 1.2 para .Net definindo as chaves do Registro para usar os padrões do sistema operacional para SSL e TLS, da seguinte maneira:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: não foi possível carregar o tipo 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' do assembly 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | O ATA Gateway falhou ao carregar os arquivos de análise necessários. | Verifique se o Microsoft Message Analyzer está instalado no momento. Não há suporte para instalação do Message Analyzer com o ATA Gateway / Lightweight Gateway. Desinstale o Message Analyzer e reinicie o serviço Gateway. |
| System.Net.WebException: o servidor remoto retornou um erro: (407) Autenticação de proxy necessária | A comunicação do ATA Gateway com o ATA Center está sendo interrompida por um servidor proxy. | Desative o proxy na máquina do ATA Gateway. Observe que as configurações de proxy podem ser feitas para cada conta. |
| System.IO.DirectoryNotFoundException: o sistema não pôde localizar o caminho especificado. (Exceção de HRESULT: 0x80070003) | Um ou mais dos serviços necessários para operar o ATA não foram iniciados. | Inicie os seguintes serviços: Logs e Alertas de Desempenho (PLA), Agendador de Tarefas (agendar). |
| System.Net.WebException: o servidor remoto retornou um erro: (403) Proibido | O ATA Gateway ou Lightweight Gateway foi proibido de estabelecer uma conexão HTTP porque o ATA Center não é confiável. | Adicione o nome NetBIOS e o FQDN do ATA Center à lista de sites confiáveis e limpe o cache no Internet Explorer (ou o nome do ATA Center especificado na configuração, se o configurado for diferente de NetBIOS/FQDN). |
| System.Net.Http.HttpRequestException: falha de PostAsync [requestTypeName=StopNetEventSessionRequest] | O ATA Gateway ou o ATA Lightweight Gateway não pode parar e iniciar a sessão ETW que coleta o tráfego de rede devido a um problema de WMI | Siga as instruções em WMI: Recriar o repositório WMI para corrigir o problema do WMI |
| System.Net.Sockets.SocketException: houve uma tentativa de acesso a um soquete de um modo proibido por suas permissões de acesso | Outro aplicativo está usando a porta 514 no ATA Gateway | Use netstat -o para estabelecer qual processo está usando essa porta. |
Erros de implantação
| Erro | Descrição | Resolução |
|---|---|---|
| A instalação do .Net Framework 4.6.1 falha com erro 0x800713ec | Os pré-requisitos para o .Net Framework 4.6.1 não estão instalados no servidor. | Antes de instalar o ATA, verifique se as atualizações do Windows KB2919442 e KB2919355 estão instaladas no servidor. |
| System.Threading.Tasks.TaskCanceledException: uma tarefa foi cancelada | O processo de implantação atingiu o tempo limite, pois não foi possível acessar o ATA Center. | 1. Verifique a conectividade de rede com o ATA Center navegando até ele usando seu endereço IP. 2. Verifique a configuração do proxy ou do firewall. |
| System.Net.Http.HttpRequestException: ocorreu um erro ao enviar a solicitação. ---> System.Net.WebException: o servidor remoto retornou um erro: (407) Autenticação de proxy necessária. | O processo de implantação atingiu o tempo limite, pois não foi possível acessar o ATA Center devido a uma configuração incorreta de proxy. | Desative a configuração de proxy antes da implantação e habilite a configuração de proxy novamente. Como alternativa, você pode configurar uma exceção no proxy. |
| System.Net.Sockets.SocketException: uma conexão existente foi fechada forçadamente pelo host remoto | Habilite o TLS 1.2 para .Net definindo as chaves do Registro para usar os padrões do sistema operacional para SSL e TLS, da seguinte maneira:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| Error [\[]DeploymentModel[\]] Falha na autenticação de gerenciamento [\[]CurrentlyLoggedOnUser=<domain>\<username>Status=FailedAuthentication Exception=[\]] | O processo de implantação do ATA Gateway ou do ATA Lightweight Gateway não pôde ser autenticado com êxito no ATA Center | Abra um navegador da máquina na qual o processo de implantação falhou e veja se você pode acessar o ATA Console. Caso contrário, inicie a solução de problemas para ver por que o navegador não pode se autenticar no ATA Center. Coisas a verificar: Configuração de proxy Problemas de rede Configurações de política de grupo para autenticação na máquina que difere do ATA Center. |
| Erro [\[]DeploymentModel[\]] Falha na autenticação de gerenciamento | Falha na validação do certificado do Center | O certificado do Center pode exigir uma conexão com a Internet para validação. Certifique-se de que o serviço Gateway tenha a configuração de proxy adequada para habilitar a conexão e a validação. |
| Ao implantar o Center e selecionar um certificado, um erro "Não suportado" é relatado | Isso pode acontecer se o certificado selecionado não atender aos requisitos ou se a chave privada do certificado não estiver acessível. | Verifique se você está executando a implantação com privilégios elevados (Executar como administrador) e se o certificado selecionado atende aos requisitos. |
Erros do ATA Center
| Erro | Descrição | Resolução |
|---|---|---|
| System.Security.Cryptography.CryptographicException: Acesso negado. | O ATA Center não pôde usar o certificado emitido para a descriptografia. Isso provavelmente aconteceu devido ao uso de um certificado com KeySpec (KeyNumber) definido como Signature (AT\_SIGNATURE) que não é suportado para descriptografia, em vez de usar KeyExchange (AT\_KEYEXCHANGE). | 1. Pare o serviço ATA Center. 2. Exclua o certificado do ATA Center do repositório de certificados do centro. (Antes de excluir, certifique-se de que o certificado tenha feito backup com a chave privada em um arquivo PFX.) 3. Abra um prompt de comando com privilégios elevados e execute certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE 4. Inicie o serviço ATA Center. 5. Verifique se tudo funciona conforme o esperado. |
Problemas no ATA Gateway e Lightweight Gateway
| Problema | Descrição | Resolução |
|---|---|---|
| Nenhum tráfego recebido do controlador de domínio, mas alertas de integridade são observados | Nenhum tráfego foi recebido de um controlador de domínio usando espelhamento de porta por meio de um ATA Gateway | Na placa de rede de captura do ATA Gateway, desative esses recursos em Configurações avançadas: Receive Segment Coalescing (IPv4) Receive Segment Coalescing (IPv6) |
| Este alerta de integridade é exibido: algum tráfego de rede não está sendo analisado | Se você tiver um ATA Gateway ou Lightweight Gateway em máquinas virtuais VMware, poderá receber esse alerta de integridade. Isso acontece devido a uma incompatibilidade de configuração no VMware. | Defina as seguintes configurações como 0 ou Desabilitado na configuração da NIC da máquina virtual: TsoEnable, LargeSendOffload, TSO Offload, Giant TSO Offload |
Modo Multi Processor Group
Para os sistemas operacionais Windows 2008R2 e 2012, o ATA Gateway não é suportado no modo Multi Processor Group.
Possíveis soluções alternativas sugeridas:
Se o hyperthreading estiver ativado, desative-o. Isso pode reduzir o número de núcleos lógicos o suficiente para evitar a necessidade de execução no modo Multi Processor Group.
Se sua máquina tiver menos de 64 núcleos lógicos e estiver sendo executada em um host HP, você poderá alterar a configuração do BIOS NUMA Group Size Optimization do padrão de Clustered para Flat.