了解 ATA 运行状况警报
适用于:高级威胁分析版本 1.9
ATA 运行状况中心通过发出运行状况警报,告知你 ATA 部署何时出现问题。
本文介绍每个组件的所有运行状况警报,列出相关原因和解决问题所需的步骤。
ATA 中心的问题
中心磁盘空间不足
| Alert |
说明 |
解决方案 |
Severity |
| ATA 中心用于存储 ATA 数据库的计算机驱动器中的可用空间越来越少。 |
这意味着硬盘驱动器上的可用空间小于 200 GB,或者可用空间小于 20%,以较小者为准。 当 ATA 识别到驱动器的空间不足时,它会开始从数据库中删除旧数据。 如果它因仍需检测引擎数据而无法删除旧数据,你会收到此警报。 收到此警报时,ATA 会停止对新活动的跟踪。 |
增加驱动器大小或释放驱动器上的空间。 |
高 |
发送邮件时出错
| Alert |
说明 |
解决方案 |
Severity |
| ATA 无法向指定的邮件服务器发送电子邮件通知。 |
ATA 不会发送电子邮件。 |
验证 SMTP 服务器配置 |
低 |
中心重载
| Alert |
说明 |
解决方案 |
Severity |
| ATA 中心无法处理从 ATA 网关传输的数据量。 |
ATA 中心停止分析新的网络流量和事件。 这意味着,在此运行状况警报处于活动状态时,检测和配置文件的准确度会降低。 |
请务必为 ATA 中心提供足够的资源。 有关如何正确规划 ATA 中心容量的详细信息,请参阅 ATA 容量计划。 借助使用性能计数器对 ATA 进行故障排除,调查 ATA 中心的性能。 |
高 |
使用 Syslog 连接到 SIEM 服务器失败
| 警报 |
说明 |
解决方案 |
Severity |
| ATA 无法将事件发送给指定的 SIEM。 |
这意味着 ATA 中心无法将可疑活动和运行状况警报发送给 SIEM。 |
请务必正确配置 Syslog 服务器设置。 |
低 |
中心的证书即将过期
| 警报 |
说明 |
解决方案 |
Severity |
| ATA 中心的证书将在 3 周内过期。 |
证书过期后:ATA 网关与 ATA 中心之间的连接将失效。 ATA 中心的进程将崩溃,且 ATA 的所有功能都将停止。 |
替换 ATA 中心的证书 |
中 |
ATA 中心的证书已过期
| 警报 |
说明 |
解决方案 |
Severity |
| ATA 中心的证书已过期。 |
证书过期后:ATA 网关与 ATA 中心之间的连接失效。 ATA 中心的进程崩溃,且 ATA 的所有功能停止。 |
重新部署 ATA 中心 |
高 |
ATA 网关的问题
只读用户密码即将过期
| 警报 |
说明 |
解决方案 |
Severity |
| 用于针对 Active Directory 进行实体解析的只读用户密码将在 30 天内过期。 |
如果此用户的密码过期,则所有 ATA 网关都将停止运行,且不会收集任何新数据。 |
更改域连接密码,然后在 ATA 控制台中更新密码。 |
中 |
只读用户密码已过期
| 警报 |
说明 |
解决方案 |
Severity |
| 用于获取目录数据的只读用户密码已过期。 |
所有 ATA 网关停止运行(或即将停止运行),且不会收集任何新数据。 |
更改域连接密码,然后在 ATA 控制台中更新密码。 |
高 |
网关的证书即将过期
| Alert |
说明 |
解决方案 |
Severity |
| ATA 网关的证书将在 3 周内过期。 |
特定 ATA 网关与 ATA 中心之间的连接失效。 来自该 ATA 网关的数据不会被发送。 |
ATA 网关的证书应已自动续订。 读取 ATA 网关和 ATA 中心的日志,了解证书未自动续订的原因。 |
中 |
网关的证书已过期
| 警报 |
说明 |
解决方案 |
Severity |
| ATA 网关的证书已过期。 |
此 ATA 网关与 ATA 中心之间没有连接。 来自该 ATA 网关的数据不会被发送。 |
卸载并重新安装 ATA 网关。 |
高 |
未分配域同步器
| 警报 |
说明 |
解决方案 |
Severity |
| 未将域同步器分配给任何 ATA 网关。 如果没有将 ATA 网关配置为域同步器的候选项,则可能会发生这种情况。 |
当域未同步时,对实体的更改可能会导致 ATA 中的实体信息过期或丢失,但不会对检测造成任何影响。 |
请务必至少将一个 ATA 网关设置为域同步器。 |
低 |
网关上的全部/部分捕获网络适配器不可用
| 警报 |
说明 |
解决方案 |
Severity |
| ATA 网关上的全部/部分选中的捕获网络适配器已被禁用或已断开连接。 |
ATA 网关不再捕获部分/全部域控制器的网络流量。 这会影响检测与这些域控制器相关的可疑活动的能力。 |
请确保 ATA 网关上的这些选定的捕获网络适配器已被启用且已连接。 |
中 |
网关无法访问部分域控制器
| 警报 |
说明 |
解决方案 |
Severity |
| 由于与某些已配置域控制器存在连接问题,因此 ATA 网关的功能有限。 |
当 ATA 网关无法查询部分域控制器时,哈希传递检测可能就不太准确。 |
请确保域控制器正常运行,且此 ATA 网关可以打开指向它们的 LDAP 连接。 |
中 |
网关无法访问所有域控制器
| 警报 |
说明 |
解决方案 |
Severity |
| 由于与所有已配置域控制器存在连接问题,ATA 网关当前处于脱机状态。 |
这会影响 ATA 检测与此 ATA 网关所监视的域控制器相关的可疑活动的能力。 |
请确保域控制器正常运行,且此 ATA 网关可以打开指向它们的 LDAP 连接。 |
中 |
网关停止通信
| 警报 |
说明 |
解决方案 |
Severity |
| 没有来自 ATA 网关的通信。 此警报的默认时间跨度为 5 分钟。 |
ATA 网关上的网络适配器不再捕获网络流量。 这会影响 ATA 检测可疑活动的能力,因为网络流量将无法到达 ATA 中心。 |
确保用于在 ATA 网关和 ATA 中心服务之间进行通信的端口没有被路由器或防火墙阻塞。 |
中 |
没有从域控制器接收到流量
| 警报 |
说明 |
解决方案 |
Severity |
| 没有通过此 ATA 网关接收到来自域控制器的流量。 |
这可能表明尚未配置从域控制器到 ATA 网关的端口镜像或无法正常工作。 |
确保网络设备上已正确配置端口镜像。
在 ATA 网关捕获 NIC 上,在“高级设置”中禁用这些功能:
接收段合并 (IPv4)
接收段合并 (IPv6) |
中 |
部分转发事件没有被分析
| Alert |
说明 |
解决方案 |
Severity |
| ATA 网关接收的事件数超过了它的处理能力。 |
部分转发事件没有被分析,这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 |
确认仅将必要的事件转发到 ATA 网关,或尝试将一些事件转发给另一个 ATA 网关。 |
中 |
部分网络流量没有被分析
| Alert |
说明 |
解决方案 |
Severity |
| ATA 网关接收的网络流量超过了它的处理能力。 |
部分网络流量没有被分析,这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 |
请考虑根据需要添加额外的处理器和内存。 如果这是一个独立的 ATA 网关,请减少要监视的域控制器的数量。
如果在 VMware 虚拟机上使用域控制器,也可能会发生这种情况。 要避免这些警报,可以检查虚拟机中的以下设置是否已设置为 0 或“禁用”:
– TsoEnable
– LargeSendOffload(IPv4)
– IPv4 TSO 卸载
另请考虑禁用 IPv4 Giant TSO 卸载。 有关详细信息,请参阅 VMware 文档。 |
中 |
网关版本已过时
| Alert |
说明 |
解决方案 |
Severity |
| ATA 中心的版本高于 ATA 网关上安装的版本。 这会导致 ATA 网关不再按预期运行。 |
这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 |
通过在 ATA 控制台中启用自动更新功能,或下载 ATA 控制台中提供的最新 ATA 网关包,自动将 ATA 网关更新到最新版本。 |
高 |
网关服务未能启动
| Alert |
说明 |
解决方案 |
Severity |
| ATA 网关服务至少 30 分钟无法启动。 |
这可能会影响检测源自此 ATA 网关监视的域控制器的可疑活动的能力。 |
监视 ATA 网关的日志,了解 ATA 网关服务失败的根本原因。 |
高 |
轻型网关
轻型网关达到内存资源限制
| 警报 |
说明 |
解决方案 |
Severity |
| 轻型 ATA 网关会自动停止并重新启动,以保护域控制器免受内存不足情况的影响。 |
轻型 ATA 网关会对自身实施内存限制,以防止域控制器遇到资源限制问题。 当域控制器上的内存使用率较高时,就会发生这种情况。 此域控制器中仅有部分数据受到监视。 |
请增加域控制器上的内存 (RAM) 量或在此站点中添加更多域控制器,以便更好地分配此域控制器的负载。 |
中 |
另请参阅