Aplica-se a: Advanced Threat Analytics versão 1.9
O Centro de Saúde do ATA permite que você saiba quando há um problema com a implantação do ATA, emitindo um alerta de saúde.
Este artigo descreve todos os alertas de saúde para cada componente, listando a causa e as etapas necessárias para resolver o problema.
Problemas do Centro do ATA
Centro ficando sem espaço em disco
| Alerta |
Descrição |
Resolução |
Severidade |
| O espaço livre na unidade de computador do Centro do ATA usado para armazenar o banco de dados do ATA está ficando baixo. |
Isso significa que o disco rígido tem menos de 200 GB de espaço livre ou que há menos de 20% espaço livre, o que for menor. Quando o ATA reconhece que a unidade está com pouco espaço, ela começa a excluir dados antigos do banco de dados. Se ele não puder excluir dados antigos porque ainda precisam dos dados do mecanismo de detecção, você receberá esse alerta. Quando você recebe esse alerta, o ATA para de acompanhar as novas atividades. |
Aumente o tamanho da unidade ou libere espaço naquela unidade. |
Alto |
Falha ao enviar emails
| Alerta |
Descrição |
Resolução |
Severidade |
| Falha do ATA ao enviar uma notificação por e-mail para o servidor de e-mail especificado. |
Nenhuma mensagem de email é enviada do ATA. |
Verifique a configuração do servidor SMTP. |
Baixo |
Centro sobrecarregado
| Alerta |
Descrição |
Resolução |
Severidade |
| O Centro do ATA não é capaz de lidar com a quantidade de dados que estão sendo transferidos dos Gateways do ATA. |
O Centro do ATA interrompe a análise de novos eventos e tráfego de rede. Isso significa que a precisão das detecções e perfis é reduzida enquanto esse alerta de saúde está ativo. |
Verifique se você forneceu recursos suficientes para o Centro do ATA. Para obter mais informações, consulte o planejamento de capacidade do ATA. Investigue o desempenho do Centro do ATA usando a solução de problemas do ATA usando os contadores de desempenho. |
Alto |
Falha ao se conectar ao servidor SIEM usando o Syslog
O certificado central está prestes a expirar
| Alerta |
Descrição |
Resolução |
Severidade |
| O certificado do Centro do ATA expirará em menos de 3 semanas. |
Após a expiração do certificado: a conectividade dos gateways ATA com o Centro ATA falha. O processo do Centro do ATA falhará e todas as funcionalidades do ATA serão interrompidas. |
Substitua o certificado do Centro ATA |
Medium |
Certificado expirado do Centro ATA
| Alerta |
Descrição |
Resolução |
Severidade |
| O certificado do Centro do ATA expirou. |
Após a expiração do certificado: a conectividade dos Gateways do ATA para o Centro do ATA falhará. O processo do Centro do ATA falha e todas as funcionalidades do ATA são interrompidas. |
Reimplantar o Centro do ATA |
Alto |
Problemas do Gateway do ATA
Senha de usuário de acesso somente leitura expirará em breve
| Alerta |
Descrição |
Resolução |
Severidade |
| A palavra-passe de utilizador só de leitura, utilizada para efetuar a resolução de entidades no Active Directory, está prestes a expirar em menos de 30 dias. |
Se a senha desse usuário expirar, todos os Gateways do ATA deixarão de ser executados e nenhum novo dado será coletado. |
Altere a senha de conectividade de domínio e atualize a senha no Console do ATA. |
Medium |
A senha de usuário de acesso somente leitura expirou
| Alerta |
Descrição |
Resolução |
Severidade |
| A palavra-passe de utilizador só de leitura, utilizada para obter dados de diretório, expirou. |
Todos os Gateways do ATA param de ser executados (ou deixarão de ser executados em breve) e nenhum novo dado é coletado. |
Altere a senha de conectividade de domínio e atualize a senha no Console do ATA. |
Alto |
Certificado de gateway prestes a expirar
| Alerta |
Descrição |
Resolução |
Severidade |
| O certificado do Gateway do ATA expirará em menos de 3 semanas. |
A conectividade do Gateway ATA específico para o Centro ATA falhou. Nenhum dado do Gateway ATA é enviado. |
O certificado do Gateway do ATA deve ter sido renovado automaticamente. Leia os logs do Gateway do ATA e do Centro do ATA para entender por que esse certificado não foi renovado automaticamente. |
Medium |
Certificado de gateway expirado
| Alerta |
Descrição |
Resolução |
Severidade |
| O certificado do Gateway do ATA expirou. |
Não há conectividade desse Gateway do ATA com o Centro do ATA. Nenhum dado do Gateway ATA é enviado. |
Desinstale e reinstale o Gateway do ATA. |
Alto |
Sincronizador de domínio não atribuído
| Alerta |
Descrição |
Resolução |
Severidade |
| Nenhum sincronizador de domínio é atribuído a qualquer Gateway do ATA. Isso pode ocorrer se não houver um Gateway do ATA configurado como candidato a sincronizador de domínio. |
Quando o domínio não é sincronizado, alterações em entidades podem fazer com que as informações da entidade no ATA fiquem desatualizadas ou ausentes, mas não afetam nenhuma detecção. |
Verifique se pelo menos um Gateway do ATA está definido como um sincronizador de domínio. |
Baixo |
Todos/Alguns dos adaptadores de rede de captura em um Gateway não estão disponíveis
| Alerta |
Descrição |
Resolução |
Severidade |
| Todos/Alguns dos adaptadores de rede de captura selecionados no Gateway do ATA estão desabilitados ou desconectados. |
O tráfego de rede para alguns/todos os controladores de domínio não é mais capturado pelo Gateway do ATA. Isso afeta a capacidade de detectar atividades suspeitas, relacionadas a esses controladores de domínio. |
Verifique se esses adaptadores de rede de captura selecionados no Gateway do ATA estão habilitados e conectados. |
Medium |
Alguns controladores de domínio são inacessíveis por um Gateway
| Alerta |
Descrição |
Resolução |
Severidade |
| Um Gateway do ATA tem funcionalidade limitada devido a problemas de conectividade com alguns dos controladores de domínio configurados. |
A detecção de Pass the Hash pode ser menos precisa quando o Gateway do ATA não consegue consultar alguns controladores de domínio. |
Verifique se os controladores de domínio estão em execução e se esse Gateway do ATA pode abrir conexões LDAP para eles. |
Medium |
Todos os controladores de domínio são inacessíveis por um Gateway
| Alerta |
Descrição |
Resolução |
Severidade |
| O Gateway do ATA está offline no momento devido a problemas de conectividade com todos os controladores de domínio configurados. |
Isso afeta a capacidade do ATA de detectar atividades suspeitas relacionadas aos controladores de domínio monitorados por esse Gateway do ATA. |
Verifique se os controladores de domínio estão em execução e se esse Gateway do ATA pode abrir conexões LDAP para eles. |
Medium |
O gateway parou de se comunicar
| Alerta |
Descrição |
Resolução |
Severidade |
| Não houve nenhuma comunicação do Gateway do ATA. O intervalo de tempo predefinido para este alerta é de 5 minutos. |
O tráfego de rede não é mais capturado pelo adaptador de rede no Gateway do ATA. Isso afeta a capacidade do ATA de detectar atividades suspeitas, pois o tráfego de rede não será capaz de chegar ao Centro do ATA. |
Verifique se a porta usada para a comunicação entre o Gateway do ATA e o serviço do Centro do ATA não está bloqueada por nenhum roteador ou firewall. |
Medium |
Nenhum tráfego recebido do controlador de domínio
| Alerta |
Descrição |
Resolução |
Severidade |
| Nenhum tráfego foi recebido do controlador de domínio por meio deste Gateway do ATA. |
Isso pode indicar que o espelhamento de porta dos controladores de domínio para o Gateway do ATA ainda não foi configurado ou não está funcionando. |
Verifique se o espelhamento de porta está configurado corretamente nos seus dispositivos de rede.
Na NIC de captura do Gateway do ATA, desabilite esses recursos em Configurações Avançadas:
Agrupamento de Segmentos de Recepção (IPv4)
Coalescência de Segmentos de Recepção (IPv6) |
Medium |
Alguns eventos encaminhados não estão sendo analisados
| Alerta |
Descrição |
Resolução |
Severidade |
| O Gateway do ATA está recebendo mais eventos do que pode processar. |
Alguns eventos encaminhados não estão sendo analisados, o que pode afetar a capacidade de detectar atividades suspeitas provenientes de controladores de domínio monitorados por esse Gateway do ATA. |
Verifique se apenas os eventos necessários são encaminhados para o Gateway do ATA ou tente encaminhar alguns dos eventos para outro Gateway do ATA. |
Medium |
Algum tráfego de rede não está sendo analisado
| Alerta |
Descrição |
Resolução |
Severidade |
| O Gateway do ATA está recebendo mais tráfego de rede do que pode processar. |
Alguns tráfegos de rede não estão sendo analisados, o que pode afetar a capacidade de detectar atividades suspeitas provenientes de controladores de domínio monitorados por esse Gateway do ATA. |
Considere adicionar processadores extras e memória conforme necessário. Se esse for um Gateway do ATA autônomo, reduza o número de controladores de domínio que estão sendo monitorados.
Isso também pode acontecer se você estiver usando controladores de domínio em máquinas virtuais VMware. Para evitar esses alertas, você pode verificar se as seguintes configurações estão definidas como 0 ou Desabilitadas na máquina virtual:
- TsoEnable
- LargeSendOffload(IPv4)
– Descarregamento de TSO IPv4
Além disso, considere desabilitar o descarregamento de TSO gigante IPv4. Para obter mais informações, veja a documentação do VMware. |
Medium |
Versão do gateway desatualizada
| Alerta |
Descrição |
Resolução |
Severidade |
| O Centro do ATA é mais recente do que a versão instalada no Gateway do ATA. Isso está fazendo com que o Gateway do ATA pare de funcionar conforme o esperado. |
Isso pode afetar a capacidade de detectar atividades suspeitas provenientes de controladores de domínio monitorados por esse Gateway do ATA. |
Atualize o Gateway do ATA para a versão mais recente automaticamente habilitando a atualização automática no Console do ATA ou baixando o pacote de Gateway do ATA mais recente disponível no Console do ATA. |
Alto |
Falha ao iniciar o serviço de gateway
| Alerta |
Descrição |
Resolução |
Severidade |
| O serviço de Gateway do ATA não pôde ser iniciado por pelo menos 30 minutos. |
Isso pode afetar a capacidade de detectar atividades suspeitas provenientes de controladores de domínio monitorados por esse Gateway do ATA. |
Monitore os logs do Gateway do ATA para entender a causa raiz da falha do serviço do Gateway do ATA. |
Alto |
Gateway Leve e Compacto
O Gateway Leve atingiu um limite de recursos de memória
| Alerta |
Descrição |
Resolução |
Severidade |
| O Lightweight Gateway do ATA parou e será reiniciado automaticamente para proteger o controlador de domínio devido a uma condição de pouca memória. |
O Gateway do ATA Leve impõe limitações de memória a si mesmo para impedir que o controlador de domínio tenha limitações de recursos. Isso acontece quando o uso de memória no controlador de domínio é alto. Os dados deste controlador de domínio são apenas parcialmente monitorizados. |
Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio. |
Medium |
Consulte Também