Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Центр обеспечения работоспособности ATA сообщает о возникновении проблем с развертыванием ATA, создавая оповещения мониторинга.The ATA Health Center lets you know when there's a problem with the ATA deployment, by raising a monitoring alert. В этой статье описываются все оповещения мониторинга для каждого компонента с указанием причины и действий, необходимых для устранения проблемы.This article describes all the monitoring alerts for each component, listing the cause and the steps needed to resolve the problem.

Проблемы с центром ATAATA Center Issues

Нехватка места на диске для центраCenter running out of disk space

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Свободное место на диске компьютера центра ATA, который служит для хранения базы данных ATA, заканчивается.The free space on the ATA Center machine drive that is used for storing the ATA database is getting low. Это означает, что на жестком диске осталось менее 200 ГБ или 20 % свободного места.This means that the hard drive has less than 200 GB of free space or that there is less than 20% free space, whichever is smaller. Когда решение ATA определяет, что свободное место на диске заканчивается, оно начинает удалять старые данные из базы данных.When ATA recognizes that the drive is running low on space, it starts to delete old data from the database. Если старые данные удалить не удается, так как они все еще нужны для подсистемы обнаружения, выводится это оповещение.If it cannot delete old data because it still needs the data for the detection engine, you will receive this alert. При получении этого оповещения ATA прекращает отслеживать новые действия.When you receive this alert, ATA stops keeping track of new activities. Увеличьте размер диска или освободите на нем место.Increase the drive size or free up space from that drive. ВысокийHigh

Сбой при отправке электронной почтыFailure sending mail

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
ATA не удалось отправить по электронной почте уведомление на указанный почтовый сервер.ATA Failed to send an email notification to the specified mail server. Сообщения электронной почты не будут отправляться из ATA.No email messages will be sent from ATA. Проверьте конфигурацию SMTP-сервера.Verify the SMTP server configuration. НизкаяLow

Центр перегруженCenter overloaded

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Центр ATA не может обработать весь объем данных, передаваемых из шлюзов ATA.The ATA Center is not able to handle the amount of data being transferred from the ATA Gateways. Центр ATA прекратит анализ нового сетевого трафика и событий.The ATA Center will stop analyzing new network traffic and events. Пока это оповещение мониторинга будет активно, точность обнаружения и профилирования будет снижена.This means that the accuracy of the detections and profiles is reduced while this monitoring alert is active. Предоставьте достаточное количество ресурсов для центра ATA.Make sure that you provided enough resources for the ATA Center. Дополнительные сведения о надлежащем планировании ресурсов для центра ATA см. в статье Планирование емкости ATA.See ATA capacity planning for more details on how to properly plan for ATA Center capacity. Проанализируйте производительность центра ATA согласно указаниям в статье Устранение неполадок ATA с помощью счетчиков производительности.Investigate the performance of the ATA Center using Troubleshooting ATA using the performance counters. ВысокийHigh

Не удалось подключиться к серверу SIEM с помощью системного журналаFailure connecting to the SIEM server using Syslog

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
ATA не удалось отправить события на указанный сервер SIEM.ATA failed to send events to the specified SIEM. Это означает, что центр ATA не может отправлять сведения о подозрительных действиях и оповещения мониторинга на сервер SIEM.This means the ATA Center cannot send suspicious activities and monitoring alerts to your SIEM. Проверьте, правильно ли настроены параметры сервера системного журнала.Make sure that your Syslog server settings are configured correctly. НизкаяLow

Истекает срок действия сертификата центраCenter certificate is about to expire

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Срок действия сертификата центра ATA истекает менее чем через 3 недели.The ATA Center certificate will expire in less than 3 weeks. После того как срок действия сертификата истечет: подключение шлюзов ATA к центру ATA станет невозможным;After the certificate expires: Connectivity from ATA Gateways to ATA Center will fail. процесс центра ATA будет аварийно завершаться, и ATA перестанет функционировать.The ATA Center process will crash and all ATA functionality will stop. Замените сертификат центра ATA.Replace the ATA Center certificate СредняяMedium

Срок действия сертификата центра ATA истекATA Center certificate expired

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Срок действия сертификата центра ATA истек.The ATA Center certificate expired. После того как срок действия сертификата истекает: подключение шлюзов ATA к центру ATA становится невозможным;After the certificate expires: Connectivity from the ATA Gateways to the ATA Center will fail. процесс центра ATA будет аварийно завершаться, и ATA перестанет функционировать.The ATA Center process will crash and all ATA functionality will stop. Замените сертификат центра ATA.Replace the ATA Center certificate ВысокийHigh

Проблемы со шлюзом ATAATA Gateway issues

Истекает срок действия пароля пользователя, у которого ест доступ только для чтенияRead-only user password to expire shortly

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Срок действия доступного только для чтения пароля пользователя, используемого для разрешения сущностей в Active Directory, истекает менее чем через 30 дней.The read-only user password, used to perform resolution of entities against Active Directory, is about to expire in less than 30 days. Если срок действия пароля пользователя истечет, все шлюзы ATA перестанут работать и новые данные не будут собираться.If the password for this user expires, all the ATA Gateways will stop running and no new data will be collected. Измените пароль для подключения к домену, а затем обновите пароль в консоли ATA.Change the domain connectivity password and then update the password in the ATA Console. СредняяMedium

Срок действия доступного только для чтения пароля пользователя истекRead-only user password expired

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Срок действия доступного только для чтения пароля пользователя, используемого для получения данных каталога, истек.The read-only user password, used to get directory data, expired. Все шлюзы ATA перестали работать (или перестанут работать вскоре), и новые данные не будут собираться.All the ATA Gateways will stop running (or will top running soon) and no new data will be collected. Измените пароль для подключения к домену, а затем обновите пароль в консоли ATA.Change the domain connectivity password and then update the password in the ATA Console. ВысокийHigh

Истекает срок действия сертификата шлюзаGateway certificate about to expire

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Срок действия сертификата шлюза ATA истекает менее чем через 3 недели.The ATA Gateway certificate will expire in less than 3 weeks. Подключение соответствующего шлюза ATA к центру ATA станет невозможным.Connectivity from the specific ATA Gateway to the ATA Center will fail. Данные из этого шлюза ATA передаваться не будут.No data from that ATA Gateway will be sent. Сертификат шлюза ATA должен был продлиться автоматически.The ATA Gateway certificate should have been renewed automatically. Просмотрите журналы шлюза ATA и центра ATA, чтобы понять, почему этого не произошло.Read the ATA Gateway and ATA Center logs to understand why that Certificate did not renew automatically. СредняяMedium

Срок действия сертификата шлюза истекGateway certificate expired

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Срок действия сертификата шлюза ATA истек.The ATA Gateway certificate expired. Подключение этого шлюза ATA к центру ATA отсутствует.There is no connectivity from this ATA Gateway to the ATA Center. Данные из этого шлюза ATA передаваться не будут.No data from that ATA Gateway will be sent. Удалите и повторно установите шлюз ATA.Uninstall and reinstall the ATA Gateway. ВысокийHigh

Синхронизатор домена не назначенDomain synchronizer not assigned

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Ни одному из шлюзов ATA не назначен синхронизатор домена.No domain synchronizer is assigned to any ATA Gateway. Причиной может быть то, что ни один из шлюзов ATA не настроен как потенциальный синхронизатор домена.This may happen if there is no ATA Gateway configured as domain synchronizer candidate. Если домен не синхронизирован, при внесении изменений в сущности сведения о них в ATA могут устареть или отсутствовать, но на обнаружение это не повлияет.When the domain is not synchronized, changes to entities might cause entity information in ATA to become out of date or missing but will not affect any detection. Настройте по крайней мере один шлюз ATA как синхронизатор домена.Make sure that at least one ATA Gateway is set as a Domain synchronizer. НизкаяLow

Недоступны все или некоторые сетевые адаптеры записи в шлюзеAll/Some of the capture network adapters on a Gateway are not available

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Все или некоторые выбранные сетевые адаптеры записи в шлюзе ATA отключены или не работают.All/Some of the selected capture network adapters on the ATA Gateway are disabled or disconnected. Сетевой трафик для некоторых или всех контроллеров домена больше не записывается шлюзом ATA.Network traffic for some/all of the domain controllers is no longer captured by the ATA Gateway. Это сказывается на возможности обнаружения подозрительных действий, связанных с этими контроллерами домена.This will impact the ability to detect suspicious activities, related to those domain controllers. Убедитесь в том, что выбранные сетевые адаптеры записи в шлюзе ATA подключены и работают.Make sure these selected capture network adapters on the ATA Gateway are enabled and connected. СредняяMedium

Некоторые контроллеры домена недоступны для шлюзаSome domain controllers are unreachable by a Gateway

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Функциональность шлюза ATA ограничена из-за проблем с подключением к некоторым из настроенных контроллеров домена.An ATA Gateway has limited functionality due to connectivity issues to some of the configured domain controllers. Если шлюз ATA не может отправлять запросы на некоторые контроллеры домена, обнаружение атак Pass-the-Hash может быть менее точным.Pass the Hash detection might be less accurate when some domain controllers can't be queried by the ATA Gateway. Убедитесь в том, что контроллеры домена работают и что шлюз ATA может открывать подключения LDAP к ним.Make sure the domain controllers are up and running and that this ATA Gateway can open LDAP connections to them. СредняяMedium

Все контроллеры домена недоступны для шлюзаAll domain controllers are unreachable by a Gateway

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Шлюз ATA в настоящее время находится в автономном режиме из-за проблем с подключением ко всем настроенным контроллерам домена.The ATA Gateway is currently offline due to connectivity issues to all the configured domain controllers. Это сказывается на возможности обнаружения решением ATA подозрительных действий, связанных с контроллерами домена, отслеживаемых этим шлюзом ATA.This will impact ATA’s ability to detect suspicious activities related to domain controllers monitored by this ATA Gateway. Убедитесь в том, что контроллеры домена работают и что шлюз ATA может открывать подключения LDAP к ним.Make sure the domain controllers are up and running and that this ATA Gateway can open LDAP connections to them. СредняяMedium

Шлюз перестал обмениваться даннымиGateway stopped communicating

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Из шлюза ATA не поступают данные.There has been no communication from the ATA Gateway. Период времени по умолчанию для этого оповещения составляет 5 минут.The default time span for this alert is 5 minutes. Сетевой трафик больше не записывается сетевым адаптером в этом шлюзе ATA.Network traffic is no longer captured by the network adapter on the ATA Gateway. Это сказывается на возможности обнаружения подозрительных действий решением ATA, так как сетевой трафик не поступает в центр ATA.This will impact ATA’s ability to detect suspicious activities, since network traffic will not be able to reach the ATA Center. Проверьте не блокируется ли порт, используемый для обмена данными между шлюзом ATA и службой центра ATA, маршрутизаторами или брандмауэрами.Check that the port used for the communication between the ATA Gateway and ATA Center service is not blocked by any routers or firewalls. СредняяMedium

От контроллера домена не поступает трафикNo traffic received from domain controller

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Трафик не поступает от контроллера домена через этот шлюз ATA.No traffic was received from the domain controller via this ATA Gateway. Это может означать, что зеркалирование портов с контроллеров домена на шлюз ATA еще не настроено или не работает.This might indicate that port mirroring from the domain controllers to the ATA Gateway is not configured yet or not working. Проверьте, правильно ли настроено зеркалирование портов в сетевых устройствах.Verify that port mirroring is configured properly on your network devices.
В шлюзе ATA в дополнительных параметрах сетевого адаптера записи отключите следующие функции:On the ATA Gateway capture NIC, disable these features in Advanced Settings:
объединение полученных сегментов (IPv4);Receive Segment Coalescing (IPv4)
объединение полученных сегментов (IPv6).Receive Segment Coalescing (IPv6)
СредняяMedium

Некоторые пересылаемые события не анализируютсяSome forwarded events are not being analyzed

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Шлюз ATA получает больше событий, чем он может обработать.The ATA Gateway is receiving more events than it can process. Некоторые пересылаемые события не анализируются, что может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.Some forwarded events are not being analyzed, which can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Убедитесь в том, что только необходимые события пересылаются в шлюз ATA, или попытайтесь сделать так, чтобы некоторые события пересылались в другой шлюз ATA.Verify that only required events are forwarded to the ATA Gateway or try to forward some of the events to another ATA Gateway. СредняяMedium

Часть сетевого трафика не анализируетсяSome network traffic is not being analyzed

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Шлюз ATA получает больше сетевого трафика, чем он может обработать.The ATA Gateway is receiving more network traffic than it can process. Часть сетевого трафика не анализируется, что может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.Some network traffic is not being analyzed, which can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Рекомендуется добавить необходимое количество дополнительных процессоров и памяти.Consider adding additional processors and memory as required. Если это отдельный шлюз ATA, сократите число отслеживаемых контроллеров домена.If this is a standalone ATA Gateway, reduce the number of domain controllers being monitored.
Это также может произойти, если контроллеры домена установлены на виртуальные машины VMware.This can also happen if you are using domain controllers on VMware virtual machines. Чтобы эти оповещения не появлялись, присвойте следующим параметрам виртуальной машины значение "0" или "Отключено":To avoid these alerts, you can check that the following settings are set to 0 or Disabled in the virtual machine:
– TsoEnable;- TsoEnable
– LargeSendOffload(IPv4);- LargeSendOffload(IPv4)
– IPv4 TSO Offload.- IPv4 TSO Offload
Кроме того, рекомендуется отключить IPv4 Giant TSO Offload.Also, consider disabling IPv4 Giant TSO Offload. Для получения дополнительной информации обратитесь к документации VMware.For more information consult your VMware documentation.
СредняяMedium

Версия шлюза устарелаGateway version outdated

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Версия центра ATA более поздняя, чем версия шлюза ATA.The ATA Center is newer than the version installed on the ATA Gateway. Из-за этого шлюз ATA работает не так, как ожидается.This is causing the ATA Gateway to stop functioning as expected. Это может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.This can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Обновляйте шлюз ATA до последней версии автоматически, включив автоматическое обновление в консоли ATA, или скачайте последний пакет шлюза ATA, доступный в консоли ATA.Update the ATA Gateway to the latest version automatically by enabling automatic update in the ATA Console or by downloading the latest ATA Gateway package available in the ATA Console. ВысокийHigh

Не удалось запустить службу шлюзаGateway service failed to start

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Не удалось запустить службу шлюза ATA в течение по крайней мере 30 минут.The ATA Gateway service failed to start for at least 30 minutes. Это может сказаться на возможности обнаружения подозрительных действий, производящихся на контроллерах домена, которые отслеживаются этим шлюзом ATA.This can impact the ability to detect suspicious activities originating from domain controllers being monitored by this ATA Gateway. Просмотрите журналы шлюза ATA, чтобы выяснить основную причину сбоев при запуске службы шлюза ATA.Monitor ATA Gateway logs to understand the root cause for ATA Gateway service failure. ВысокийHigh

Упрощенный шлюзLightweight Gateway

Упрощенный шлюз достиг ограничения на ресурсы памятиLightweight Gateway reached a memory resource limit

ОповещениеAlert ОписаниеDescription РазрешениеResolution СтатусSeverity
Работа упрощенного шлюза ATA была остановлена, и он будет перезапущен автоматически, чтобы защитить контроллер домена от возникновения состояния нехватки памяти.The Lightweight ATA Gateway stopped itself and will restart automatically to protect the domain controller from a low memory condition. Использование памяти упрощенным шлюзом ATA ограничено для того, чтобы контроллер домена не испытывал нехватку ресурсов.The Lightweight ATA Gateway enforces memory limitations upon itself to prevent the domain controller from experiencing resource limitations. Такая нехватка может возникать при интенсивном использовании памяти на контроллере домена.This happens when memory usage on the domain controller is high. Данные от этого контроллера домена отслеживаются лишь частично.Data from this domain controller is only partly monitored. Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте больше контроллеров домена, чтобы снять часть нагрузки с этого контроллера домена.Increase the amount of memory (RAM) on the domain controller or add more domain controllers in this site to better distribute the load of this domain controller. СредняяMedium

См. такжеSee Also