적용 대상: Advanced Threat Analytics 버전 1.9
ATA 상태 센터에서 상태 경고를 발생시켜 ATA 배포에 문제가 있는 경우를 알 수 있습니다.
이 문서에서는 문제를 resolve 데 필요한 원인과 단계를 나열하여 각 구성 요소에 대한 모든 상태 경고를 설명합니다.
ATA 센터 문제
디스크 공간이 부족한 가운데
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 데이터베이스를 저장하는 데 사용되는 ATA 센터 기계 드라이브의 여유 공간이 낮아지고 있습니다. |
즉, 하드 드라이브의 여유 공간이 200GB 미만이거나 사용 가능한 공간이 20% 미만이며 그 중 더 작은 공간이 있습니다. ATA는 드라이브가 공간이 부족하다는 것을 인식하면 데이터베이스에서 이전 데이터를 삭제하기 시작합니다. 검색 엔진에 대한 데이터가 여전히 필요하기 때문에 이전 데이터를 삭제할 수 없는 경우 이 경고를 받게 됩니다. 이 경고를 받으면 ATA는 새 활동 추적을 중지합니다. |
드라이브 크기를 늘리거나 해당 드라이브에서 공간을 확보합니다. |
높음 |
메일 보내기 실패
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA에서 지정된 메일 서버에 전자 메일 알림을 보내지 못했습니다. |
ATA에서 전자 메일 메시지가 전송되지 않습니다. |
SMTP 서버 구성을 확인합니다. |
낮음 |
가운데 오버로드됨
Syslog를 사용하여 SIEM 서버에 연결하지 못했습니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA에서 지정된 SIEM에 이벤트를 보내지 못했습니다. |
즉, ATA 센터는 의심스러운 활동 및 상태 경고를 SIEM에 보낼 수 없습니다. |
Syslog 서버 설정이 올바르게 구성되었는지 확인합니다. |
낮음 |
센터 인증서가 곧 만료됩니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 센터 인증서는 3주 이내에 만료됩니다. |
인증서가 만료된 후: ATA 게이트웨이에서 ATA 센터로의 연결이 실패합니다. ATA 센터 프로세스가 중단되고 모든 ATA 기능이 중지됩니다. |
ATA 센터 인증서 바꾸기 |
보통 |
ATA 센터 인증서가 만료됨
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 센터 인증서가 만료되었습니다. |
인증서가 만료된 후: ATA 게이트웨이에서 ATA 센터로의 연결이 실패합니다. ATA 센터 프로세스가 충돌하고 모든 ATA 기능이 중지됩니다. |
ATA 센터 다시 배포 |
높음 |
ATA 게이트웨이 문제
곧 만료할 읽기 전용 사용자 암호
| 경고 |
설명 |
해결 방법 |
심각도 |
| Active Directory에 대한 엔터티 확인을 수행하는 데 사용되는 읽기 전용 사용자 암호는 30일 이내에 만료됩니다. |
이 사용자의 암호가 만료되면 모든 ATA 게이트웨이의 실행이 중지되고 새 데이터가 수집되지 않습니다. |
도메인 연결 암호를 변경 한 다음 ATA 콘솔에서 암호를 업데이트합니다. |
보통 |
읽기 전용 사용자 암호가 만료됨
| 경고 |
설명 |
해결 방법 |
심각도 |
| 디렉터리 데이터를 가져오는 데 사용되는 읽기 전용 사용자 암호가 만료되었습니다. |
모든 ATA 게이트웨이의 실행이 중지되거나 곧 실행이 중지되며 새 데이터가 수집되지 않습니다. |
도메인 연결 암호를 변경 한 다음 ATA 콘솔에서 암호를 업데이트합니다. |
높음 |
게이트웨이 인증서가 곧 만료됩니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이 인증서는 3주 이내에 만료됩니다. |
특정 ATA 게이트웨이에서 ATA 센터로의 연결이 실패합니다. 해당 ATA 게이트웨이의 데이터가 전송되지 않습니다. |
ATA 게이트웨이 인증서가 자동으로 갱신되어야 합니다. ATA 게이트웨이 및 ATA 센터 로그를 읽고 인증서가 자동으로 갱신되지 않은 이유를 이해합니다. |
보통 |
게이트웨이 인증서가 만료됨
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이 인증서가 만료되었습니다. |
이 ATA 게이트웨이에서 ATA 센터로의 연결은 없습니다. 해당 ATA 게이트웨이의 데이터가 전송되지 않습니다. |
ATA 게이트웨이를 제거하고 다시 설치합니다. |
높음 |
도메인 동기화 장치가 할당되지 않음
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이에 도메인 동기화 장치가 할당되지 않습니다. 도메인 동기화 장치 후보로 구성된 ATA 게이트웨이가 없는 경우에 발생할 수 있습니다. |
도메인이 동기화되지 않으면 엔터티를 변경하면 ATA의 엔터티 정보가 만료되거나 누락될 수 있지만 검색에는 영향을 주지 않습니다. |
하나 이상의 ATA 게이트웨이가 도메인 동기화 장치로 설정되어 있는지 확인합니다. |
낮음 |
게이트웨이의 일부 캡처 네트워크 어댑터를 사용할 수 없음
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이에서 선택한 캡처 네트워크 어댑터 중 일부가 비활성화되거나 연결이 끊어졌습니다. |
일부/모든 도메인 컨트롤러에 대한 네트워크 트래픽은 더 이상 ATA 게이트웨이에 의해 캡처되지 않습니다. 이는 해당 도메인 컨트롤러와 관련된 의심스러운 활동을 검색하는 기능에 영향을 줍니다. |
ATA 게이트웨이에서 선택한 캡처 네트워크 어댑터가 사용하도록 설정되고 연결되어 있는지 확인합니다. |
보통 |
일부 도메인 컨트롤러는 게이트웨이에서 연결할 수 없습니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이는 구성된 도메인 컨트롤러 중 일부에 대한 연결 문제로 인해 기능이 제한됩니다. |
일부 도메인 컨트롤러를 ATA 게이트웨이에서 쿼리할 수 없는 경우 해시 검색 전달이 덜 정확할 수 있습니다. |
도메인 컨트롤러가 실행 중이고 이 ATA 게이트웨이가 LDAP 연결을 열 수 있는지 확인합니다. |
보통 |
게이트웨이에서 모든 도메인 컨트롤러에 연결할 수 없음
| 경고 |
설명 |
해결 방법 |
심각도 |
| 구성된 모든 도메인 컨트롤러에 대한 연결 문제로 인해 ATA 게이트웨이가 현재 오프라인 상태입니다. |
이는 ATA 게이트웨이에서 모니터링하는 도메인 컨트롤러와 관련된 의심스러운 활동을 검색하는 ATA의 기능에 영향을 줍니다. |
도메인 컨트롤러가 실행 중이고 이 ATA 게이트웨이가 LDAP 연결을 열 수 있는지 확인합니다. |
보통 |
게이트웨이 통신이 중지됨
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이에서 통신이 없습니다. 이 경고의 기본 시간 범위는 5분입니다. |
네트워크 트래픽은 더 이상 ATA 게이트웨이의 네트워크 어댑터에 의해 캡처되지 않습니다. 이는 네트워크 트래픽이 ATA 센터에 연결할 수 없으므로 ATA가 의심스러운 활동을 검색하는 기능에 영향을 줍니다. |
ATA 게이트웨이와 ATA 센터 서비스 간의 통신에 사용되는 포트가 라우터 또는 방화벽에 의해 차단되지 않는지 확인합니다. |
보통 |
도메인 컨트롤러에서 수신된 트래픽 없음
| 경고 |
설명 |
해결 방법 |
심각도 |
| 이 ATA 게이트웨이를 통해 도메인 컨트롤러에서 트래픽이 수신되지 않았습니다. |
이는 도메인 컨트롤러에서 ATA 게이트웨이로의 포트 미러링이 아직 구성되지 않았거나 작동하지 않음을 나타낼 수 있습니다. |
네트워크 디바이스에서 포트 미러링이 제대로 구성되었는지 확인합니다.
ATA 게이트웨이 캡처 NIC에서 고급 설정에서 이러한 기능을 사용하지 않도록 설정합니다.
수신 세그먼트 병합(IPv4)
수신 세그먼트 병합(IPv6) |
보통 |
일부 전달된 이벤트는 분석되지 않습니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이는 처리할 수 있는 것보다 더 많은 이벤트를 수신합니다. |
일부 전달된 이벤트는 분석되지 않으므로 이 ATA 게이트웨이에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. |
필요한 이벤트만 ATA 게이트웨이로 전달되는지 확인하거나 일부 이벤트를 다른 ATA 게이트웨이로 전달합니다. |
보통 |
일부 네트워크 트래픽이 분석되지 않음
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이는 처리할 수 있는 것보다 더 많은 네트워크 트래픽을 수신하고 있습니다. |
일부 네트워크 트래픽은 분석되지 않으므로 이 ATA 게이트웨이에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. |
필요에 따라 추가 프로세서 및 메모리를 추가하는 것이 좋습니다. 독립 실행형 ATA 게이트웨이인 경우 모니터링되는 도메인 컨트롤러 수를 줄입니다.
VMware 가상 머신에서 도메인 컨트롤러를 사용하는 경우에도 이 문제가 발생할 수 있습니다. 이러한 경고를 방지하려면 가상 머신에서 다음 설정이 0 또는 사용 안 함으로 설정되어 있는지 검사 수 있습니다.
- TsoEnable
- LargeSendOffload(IPv4)
- IPv4 TSO 오프로드
또한 IPv4 Giant TSO 오프로드를 사용하지 않도록 설정하는 것이 좋습니다. 자세한 내용은 VMware 설명서를 참조하세요. |
보통 |
게이트웨이 버전이 오래되었습니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 센터는 ATA 게이트웨이에 설치된 버전보다 최신 버전입니다. 이로 인해 ATA 게이트웨이가 예상대로 작동하지 않습니다. |
이는 이 ATA 게이트웨이에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. |
ATA 콘솔에서 자동 업데이트를 사용하도록 설정하거나 ATA 콘솔에서 사용할 수 있는 최신 ATA 게이트웨이 패키지를 다운로드하여 ATA 게이트웨이를 최신 버전으로 자동으로 업데이트합니다. |
높음 |
게이트웨이 서비스를 시작하지 못했습니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| ATA 게이트웨이 서비스가 30분 이상 시작되지 않았습니다. |
이는 이 ATA 게이트웨이에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. |
ATA 게이트웨이 로그를 모니터링하여 ATA 게이트웨이 서비스 실패의 근본 원인을 파악합니다. |
높음 |
경량 게이트웨이
경량 게이트웨이가 메모리 리소스 제한에 도달했습니다.
| 경고 |
설명 |
해결 방법 |
심각도 |
| 경량 ATA 게이트웨이는 자체적으로 중지되었으며 메모리 부족 상태에서 도메인 컨트롤러를 보호하기 위해 자동으로 다시 시작됩니다. |
경량 ATA 게이트웨이는 도메인 컨트롤러에 리소스 제한이 발생하지 않도록 메모리 제한을 적용합니다. 이 문제는 도메인 컨트롤러의 메모리 사용량이 많을 때 발생합니다. 이 도메인 컨트롤러의 데이터는 부분적으로만 모니터링됩니다. |
이 도메인 컨트롤러의 메모리 양(RAM)을 늘리거나 이 사이트에 더 많은 도메인 컨트롤러를 추가하여 이 도메인 컨트롤러의 부하를 더 잘 분산합니다. |
보통 |
참고 항목