ATA Health Center meddelar dig när det är problem med ATA-distributionen genom att skapa en hälsoavisering.
Den här artikeln beskriver alla hälsoaviseringar för varje komponent och visar orsaken och de steg som krävs för att lösa problemet.
PROBLEM med ATA Center
Center får slut på diskutrymme
Varning
Description
Upplösning
Allvarlighet
Det lediga utrymmet på ATA Center-datorenheten som används för att lagra ATA-databasen börjar bli lågt.
Det innebär att hårddisken har mindre än 200 GB ledigt utrymme eller att det finns mindre än 20 % ledigt utrymme, beroende på vilket som är mindre. När ATA ser att enheten har ont om utrymme börjar den ta bort gamla data från databasen. Om det inte går att ta bort gamla data eftersom de fortfarande behöver data för identifieringsmotorn får du den här aviseringen. När du får den här aviseringen slutar ATA att hålla reda på nya aktiviteter.
Öka enhetens storlek eller frigör utrymme från enheten.
Högt
Det gick inte att skicka e-post
Varning
Description
Upplösning
Allvarlighet
ATA kunde inte skicka ett e-postmeddelande till den angivna e-postservern.
Inga e-postmeddelanden skickas från ATA.
Kontrollera SMTP-serverkonfigurationen.
Lågt
Centeröverlagrade
Varning
Description
Upplösning
Allvarlighet
ATA Center kan inte hantera mängden data som överförs från ATA-gatewayerna.
ATA Center slutar analysera ny nätverkstrafik och händelser. Det innebär att noggrannheten för identifieringarna och profilerna minskar medan den här hälsoaviseringen är aktiv.
Det gick inte att ansluta till SIEM-servern med Syslog
Varning
Description
Upplösning
Allvarlighet
ATA kunde inte skicka händelser till angivet SIEM.
Det innebär att ATA Center inte kan skicka misstänkta aktiviteter och hälsoaviseringar till SIEM.
Kontrollera att syslog-serverinställningarna är korrekt konfigurerade.
Lågt
Mittcertifikatet upphör snart att gälla
Varning
Description
Upplösning
Allvarlighet
ATA Center-certifikatet upphör att gälla om mindre än tre veckor.
När certifikatet har upphört att gälla: Anslut ivity från ATA Gateways till ATA Center misslyckas. ATA Center-processen kraschar och alla ATA-funktioner stoppas.
När certifikatet har upphört att gälla: Anslut ivity från ATA Gateways till ATA Center misslyckas. ATA Center-processen kraschar och alla ATA-funktioner stoppas.
Skrivskyddat användarlösenord upphör snart att gälla
Varning
Description
Upplösning
Allvarlighet
Det skrivskyddade användarlösenordet, som används för att lösa entiteter mot Active Directory, upphör snart att gälla om mindre än 30 dagar.
Om lösenordet för den här användaren upphör att gälla slutar alla ATA-gatewayer att köras och inga nya data samlas in.
Ändra lösenordet för domänanslutningen och uppdatera lösenordet i ATA-konsolen.
Medium
Skrivskyddat användarlösenord har upphört att gälla
Varning
Description
Upplösning
Allvarlighet
Det skrivskyddade användarlösenordet, som används för att hämta katalogdata, har upphört att gälla.
Alla ATA-gatewayer slutar att köras (eller kommer att sluta köras snart) och inga nya data samlas in.
Ändra lösenordet för domänanslutningen och uppdatera lösenordet i ATA-konsolen.
Högt
Gatewaycertifikatet upphör snart att gälla
Varning
Description
Upplösning
Allvarlighet
ATA Gateway-certifikatet upphör att gälla om mindre än tre veckor.
Anslut ivity från den specifika ATA Gateway till ATA Center misslyckas. Inga data från ata-gatewayen skickas.
ATA Gateway-certifikatet bör ha förnyats automatiskt. Läs ATA Gateway- och ATA Center-loggarna för att förstå varför certifikatet inte förnyades automatiskt.
Medium
Gatewaycertifikatet har upphört att gälla
Varning
Description
Upplösning
Allvarlighet
ATA Gateway-certifikatet har upphört att gälla.
Det finns ingen anslutning från denna ATA Gateway till ATA Center. Inga data från ata-gatewayen skickas.
Ingen domänsynkronisering har tilldelats någon ATA-gateway. Detta kan inträffa om det inte finns någon ATA Gateway konfigurerad som domänsynkroniseringskandidat.
När domänen inte synkroniseras kan ändringar i entiteter leda till att entitetsinformation i ATA blir inaktuell eller saknas men inte påverkar någon identifiering.
Kontrollera att minst en ATA Gateway har angetts som en domänsynkronisering.
Lågt
Alla/vissa av nätverkskorten för avbildning på en gateway är inte tillgängliga
Varning
Description
Upplösning
Allvarlighet
Alla/några av de valda nätverkskorten för avbildning på ATA-gatewayen är inaktiverade eller frånkopplade.
Nätverkstrafik för vissa/alla domänkontrollanter registreras inte längre av ATA Gateway. Detta påverkar möjligheten att identifiera misstänkta aktiviteter som är relaterade till dessa domänkontrollanter.
Kontrollera att de valda avbildningsnätverkskorten på ATA Gateway är aktiverade och anslutna.
Medium
Vissa domänkontrollanter kan inte nås av en gateway
Varning
Description
Upplösning
Allvarlighet
En ATA Gateway har begränsade funktioner på grund av anslutningsproblem med några av de konfigurerade domänkontrollanterna.
Pass the Hash detection might be less accurate when some domain controllers can't be queried by the ATA Gateway.
Kontrollera att domänkontrollanterna är igång och att ata-gatewayen kan öppna LDAP-anslutningar till dem.
Medium
Alla domänkontrollanter kan inte nås av en gateway
Varning
Description
Upplösning
Allvarlighet
ATA Gateway är för närvarande offline på grund av anslutningsproblem för alla konfigurerade domänkontrollanter.
Detta påverkar ATA:s förmåga att identifiera misstänkta aktiviteter relaterade till domänkontrollanter som övervakas av den här ATA-gatewayen.
Kontrollera att domänkontrollanterna är igång och att ata-gatewayen kan öppna LDAP-anslutningar till dem.
Medium
Gatewayen slutade kommunicera
Varning
Description
Upplösning
Allvarlighet
Det har inte förekommit någon kommunikation från ATA Gateway. Standardtidsintervallet för den här aviseringen är 5 minuter.
Nätverkstrafiken registreras inte längre av nätverkskortet på ATA Gateway. Detta påverkar ATA:s förmåga att identifiera misstänkta aktiviteter, eftersom nätverkstrafiken inte kommer att kunna nå ATA Center.
Kontrollera att porten som används för kommunikationen mellan ATA Gateway och ATA Center-tjänsten inte blockeras av några routrar eller brandväggar.
Medium
Ingen trafik har tagits emot från domänkontrollanten
Varning
Description
Upplösning
Allvarlighet
Ingen trafik togs emot från domänkontrollanten via den här ATA-gatewayen.
Detta kan tyda på att portspegling från domänkontrollanterna till ATA Gateway inte har konfigurerats ännu eller inte fungerar.
ATA Gateway tar emot fler händelser än den kan bearbeta.
Vissa vidarebefordrade händelser analyseras inte, vilket kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av denna ATA Gateway.
Kontrollera att endast nödvändiga händelser vidarebefordras till ATA Gateway eller försök att vidarebefordra några av händelserna till en annan ATA-gateway.
Medium
En del nätverkstrafik analyseras inte
Varning
Description
Upplösning
Allvarlighet
ATA Gateway tar emot mer nätverkstrafik än den kan bearbeta.
En del nätverkstrafik analyseras inte, vilket kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av denna ATA Gateway.
Överväg att lägga till ytterligare processorer och minne efter behov. Om det här är en fristående ATA Gateway minskar du antalet domänkontrollanter som övervakas. Detta kan också inträffa om du använder domänkontrollanter på virtuella VMware-datorer. För att undvika dessa aviseringar kan du kontrollera att följande inställningar är inställda på 0 eller Inaktiverade på den virtuella datorn: - TsoEnable – LargeSendOffload(IPv4) – IPv4 TSO-avlastning Överväg också att inaktivera IPv4 Giant TSO Offload. Mer information finns i VMware-dokumentationen.
Medium
Gateway-versionen är inaktuell
Varning
Description
Upplösning
Allvarlighet
ATA Center är nyare än den version som installerats på ATA Gateway. Detta gör att ATA Gateway slutar fungera som förväntat.
Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här ATA-gatewayen.
Uppdatera ATA Gateway till den senaste versionen automatiskt genom att aktivera automatisk uppdatering i ATA-konsolen eller genom att ladda ned det senaste ATA Gateway-paketet som är tillgängligt i ATA-konsolen.
Högt
Gateway-tjänsten kunde inte starta
Varning
Description
Upplösning
Allvarlighet
ATA Gateway-tjänsten kunde inte starta i minst 30 minuter.
Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här ATA-gatewayen.
Lightweight ATA Gateway stoppade sig själv och startar om automatiskt för att skydda domänkontrollanten från ett dåligt minnestillstånd.
Lightweight ATA Gateway tillämpar minnesbegränsningar på sig själv för att förhindra att domänkontrollanten upplever resursbegränsningar. Detta inträffar när minnesanvändningen på domänkontrollanten är hög. Data från den här domänkontrollanten övervakas endast delvis.
Öka mängden minne (RAM) på domänkontrollanten eller lägg till fler domänkontrollanter på den här webbplatsen för att bättre distribuera belastningen på den här domänkontrollanten.