Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: Advanced Threat Analytics versão 1.9
O Centro de Saúde ATA informa-o quando há um problema com a implementação do ATA, emitindo um alerta de saúde. Este artigo descreve todos os alertas de saúde para cada componente, listando a causa e os passos necessários para resolver o problema.
Questões com o ATA Center
O centro está a ficar sem espaço em disco
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O espaço livre no disco da máquina ATA Center que é usado para armazenar a base de dados ATA está a diminuir. | Isto significa que o disco rígido tem menos de 200 GB de espaço livre ou que há menos de 20% espaço livre, o que for menor. Quando o ATA reconhece que o disco está com pouco espaço, começa a apagar dados antigos da base de dados. Se não conseguir apagar dados antigos porque ainda precisa dos dados para o motor de deteção, recebe este alerta. Quando recebe este alerta, a ATA deixa de acompanhar novas atividades. | Aumenta o tamanho do disco ou liberta espaço desse disco. | Alto |
Falha no envio de e-mail
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| ATA Falhou em enviar uma notificação por email para o servidor de email especificado. | Não são enviadas mensagens de email da ATA. | Verifique a configuração do servidor SMTP. | Low |
Centro sobrecarregado
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O Centro ATA não consegue gerir a quantidade de dados transferidos pelos gateways ATA. | O Centro ATA deixa de analisar novos tráfegos e eventos de rede. Isto significa que a precisão das deteções e perfis é reduzida enquanto este alerta de saúde está ativo. | Certifique-se de que forneceu recursos suficientes para o ATA Center. Para mais informações, consulte o planeamento de capacidade do ATA. Investigue o desempenho do ATA Center através de Resolução de Problemas do ATA usando os contadores de desempenho. | Alto |
Falha na ligação ao servidor SIEM usando o Syslog
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| A ATA não enviou eventos para o SIEM especificado. | Isto significa que o Centro ATA não pode enviar atividades suspeitas nem alertas de saúde para o seu SIEM. | Certifique-se de que as definições do seu servidor Syslog estão configuradas corretamente. | Low |
O certificado do centro está prestes a expirar
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O certificado do ATA Center expirará em menos de 3 semanas. | Após o certificado expirar: a conectividade dos gateways ATA para o ATA Center falha. O processo do ATA Center vai crashar e toda a funcionalidade do ATA vai parar. | Substituir o certificado do ATA Center | Medium |
Certificado do ATA Center expirado
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O certificado do ATA Center expirou. | Após o certificado expirar: A conectividade dos Gateways ATA ao Centro ATA falha. O processo do ATA Center crasha e toda a funcionalidade do ATA para. | Reimplantar o Centro ATA | Alto |
Problemas com o ATA Gateway
Palavra-passe de utilizador de só leitura prestes a expirar em breve
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| A palavra-passe de utilizador só de leitura, utilizada para efetuar a resolução de entidades no Active Directory, está prestes a expirar em menos de 30 dias. | Se a palavra-passe deste utilizador expirar, todos os gateways ATA deixam de funcionar e não são recolhidos novos dados. | Muda a palavra-passe da conectividade do domínio e depois atualiza-a na Consola ATA. | Medium |
Palavra-passe de utilizador só de leitura expirou
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| A palavra-passe de utilizador só de leitura, utilizada para obter dados de diretório, expirou. | Todos os gateways ATA deixam de funcionar (ou vão parar em breve) e não são recolhidos novos dados. | Muda a palavra-passe da conectividade do domínio e depois atualiza-a na Consola ATA. | Alto |
Certificado de gateway prestes a expirar
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O certificado ATA Gateway expirará em menos de 3 semanas. | A conectividade do Gateway ATA específico para o ATA Center falha. Não são enviados dados desse Gateway ATA. | O certificado do Gateway ATA deveria ter sido renovado automaticamente. Leia os registos do ATA Gateway e do ATA Center para perceber porque é que esse Certificado não renovou automaticamente. | Medium |
Certificado de gateway expirado
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O certificado do Gateway ATA expirou. | Não há ligação deste Gateway ATA ao Centro ATA. Não são enviados dados desse Gateway ATA. | Desinstala e reinstala o Gateway ATA. | Alto |
Sincronizador de domínio não atribuído
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| Nenhum sincronizador de domínio é atribuído a qualquer Gateway ATA. Isto pode acontecer se não houver um gateway ATA configurado como candidato a sincronizador de domínio. | Quando o domínio não está sincronizado, alterações às entidades podem fazer com que a informação da entidade no ATA fique desatualizada ou desapareça, mas isso não afeta a deteção. | Certifique-se de que pelo menos um ATA Gateway está definido como sincronizador de domínio. | Low |
Todos/Alguns dos adaptadores de rede de captura num Gateway não estão disponíveis
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| Todos/Alguns dos adaptadores de rede de captura selecionados no ATA Gateway estão desativados ou desligados. | O tráfego de rede para alguns ou todos os controladores de domínio já não é capturado pelo Gateway ATA. Isto afeta a capacidade de detetar atividades suspeitas, relacionadas com esses controladores de domínio. | Certifique-se de que estes adaptadores de rede de captura selecionados no ATA Gateway estão ativados e ligados. | Medium |
Alguns controladores de domínio são inacessíveis por um Gateway
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| Um gateway ATA tem funcionalidades limitadas devido a problemas de conectividade com alguns dos controladores de domínio configurados. | A deteção Pass the Hash pode ser menos precisa quando alguns controladores de domínio não podem ser consultados pelo Gateway ATA. | Certifique-se de que os controladores de domínio estão a funcionar e que este gateway ATA pode abrir ligações LDAP para eles. | Medium |
Todos os controladores de domínio são inacessíveis por um Gateway
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O gateway ATA está atualmente offline devido a problemas de conectividade com todos os controladores de domínio configurados. | Isto afeta a capacidade da ATA de detetar atividades suspeitas relacionadas com controladores de domínio monitorizados por este Gateway ATA. | Certifique-se de que os controladores de domínio estão a funcionar e que este gateway ATA pode abrir ligações LDAP para eles. | Medium |
O Gateway deixou de comunicar
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| Não houve qualquer comunicação do Gateway ATA. O intervalo de tempo predefinido para este alerta é de 5 minutos. | O tráfego de rede já não é capturado pelo adaptador de rede no Gateway ATA. Isto afeta a capacidade da ATA de detetar atividades suspeitas, uma vez que o tráfego de rede não poderá chegar ao ATA Center. | Verifica se a porta usada para a comunicação entre o ATA Gateway e o serviço ATA Center não está bloqueada por routers ou firewalls. | Medium |
Nenhum tráfego recebido do controlador de domínio
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| Não foi recebido tráfego do controlador de domínio através deste gateway ATA. | Isto pode indicar que o espelhamento de portas dos controladores de domínio para o Gateway ATA ainda não está configurado ou não está a funcionar. | Verifique se o espelhamento de porta está configurado corretamente nos seus dispositivos de rede. Na NIC de captura do ATA Gateway, desative estas funcionalidades nas Definições Avançadas: Agrupamento de Segmentos de Receção (IPv4) Agrupamento de Segmentos de Receção (IPv6) |
Medium |
Alguns eventos encaminhados não estão a ser analisados
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O ATA Gateway está a receber mais eventos do que consegue processar. | Alguns eventos encaminhados não estão a ser analisados, o que pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio monitorizados por este Gateway ATA. | Verifique se apenas os eventos necessários são encaminhados para o Gateway ATA ou tente encaminhar alguns dos eventos para outro Gateway ATA. | Medium |
Algum tráfego de rede não está a ser analisado
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O Gateway ATA está a receber mais tráfego de rede do que consegue processar. | Algum tráfego de rede não está a ser analisado, o que pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio monitorizados por este Gateway ATA. |
Considere adicionar processadores e memória extra conforme necessário. Se este for um Gateway ATA autónomo, reduza o número de controladores de domínio monitorizados. Isto também pode acontecer se estiveres a usar controladores de domínio em máquinas virtuais VMware. Para evitar estes alertas, pode verificar se as seguintes definições estão definidas para 0 ou desativadas na máquina virtual: - TsoEnable - LargeSendOffload(IPv4) - Descarregamento TSO IPv4 Além disso, considera desativar o descarregamento do TSO gigante do IPv4. Para obter mais informações, veja a documentação do VMware. |
Medium |
Versão Gateway desatualizada
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O ATA Center é mais recente do que a versão instalada no ATA Gateway. Isto está a fazer com que o ATA Gateway deixe de funcionar como esperado. | Isto pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio monitorizados por este Gateway ATA. | Atualize automaticamente o ATA Gateway para a versão mais recente ativando a atualização automática na Consola ATA ou descarregando o pacote mais recente do ATA Gateway disponível na Consola ATA. | Alto |
O serviço Gateway falhou em iniciar
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O serviço ATA Gateway não arrancou durante pelo menos 30 minutos. | Isto pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio monitorizados por este Gateway ATA. | Monitorize os registos do ATA Gateway para compreender a causa raiz da falha do serviço ATA Gateway. | Alto |
Gateway Ligeiro
O Gateway Leve atingiu um limite de recursos de memória
| Alert | Descrição | Resolução | Severidade |
|---|---|---|---|
| O Gateway ATA Leve parou por si só e irá reiniciar automaticamente para proteger o controlador de domínio de uma situação de memória insuficiente. | O Lightweight ATA Gateway impõe a si próprio limitações de memória para evitar que o controlador de domínio enfrente limitações de recursos. Isto acontece quando o uso de memória no controlador de domínio é elevado. Os dados deste controlador de domínio são apenas parcialmente monitorizados. | Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio. | Medium |