Aplica-se a: Advanced Threat Analytics versão 1.9
O ATA Health Center permite-lhe saber quando existe um problema com a implementação do ATA, ao criar um alerta de estado de funcionamento.
Este artigo descreve todos os alertas de estado de funcionamento de cada componente, listando a causa e os passos necessários para resolve o problema.
Problemas do ATA Center
O centro está a ficar sem espaço em disco
| Alerta |
Descrição |
Resolução |
Severity |
| O espaço livre na unidade de máquina virtual do ATA Center que é utilizado para armazenar a base de dados do ATA está a ficar baixo. |
Isto significa que o disco rígido tem menos de 200 GB de espaço livre ou que existe menos de 20% de espaço livre, o que for menor. Quando o ATA reconhece que a unidade está com pouco espaço, começa a eliminar dados antigos da base de dados. Se não conseguir eliminar dados antigos porque ainda precisa dos dados do motor de deteção, receberá este alerta. Quando recebe este alerta, o ATA deixa de controlar as novas atividades. |
Aumente o tamanho da unidade ou liberte espaço nessa unidade. |
Alto |
Falha ao enviar correio
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA não conseguiu enviar uma notificação por e-mail para o servidor de e-mail especificado. |
Não são enviadas mensagens de e-mail do ATA. |
Verifique a configuração do servidor SMTP. |
Baixo |
Centro sobrecarregado
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA Center não consegue processar a quantidade de dados que estão a ser transferidos a partir dos ATA Gateways. |
O ATA Center deixa de analisar novos eventos e tráfego de rede. Isto significa que a precisão das deteções e perfis é reduzida enquanto este alerta de estado de funcionamento está ativo. |
Confirme que forneceu recursos suficientes para o ATA Center. Para obter mais informações, veja Planeamento da capacidade do ATA. Investigue o desempenho do ATA Center com a Resolução de problemas do ATA com os contadores de desempenho. |
Alto |
Falha ao ligar ao servidor SIEM com o Syslog
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA não conseguiu enviar eventos para o SIEM especificado. |
Isto significa que o ATA Center não pode enviar atividades suspeitas e alertas de estado de funcionamento para o SIEM. |
Certifique-se de que as definições do servidor Syslog estão configuradas corretamente. |
Baixo |
O certificado do Centro está prestes a expirar
| Alerta |
Descrição |
Resolução |
Severity |
| O certificado do ATA Center irá expirar dentro de menos de 3 semanas. |
Após a expiração do certificado: a conectividade dos ATA Gateways ao ATA Center falha. O processo do ATA Center falhará e todas as funcionalidades do ATA serão interrompidas. |
Substituir o certificado do ATA Center |
Médio |
Certificado do ATA Center expirado
| Alerta |
Descrição |
Resolução |
Severity |
| O certificado do ATA Center expirou. |
Após a expiração do certificado: a conectividade dos ATA Gateways ao ATA Center falha. O processo do ATA Center falha e todas as funcionalidades do ATA param. |
Reimplementar o ATA Center |
Alto |
Problemas do ATA Gateway
Palavra-passe de utilizador só de leitura para expirar em breve
| Alerta |
Descrição |
Resolução |
Severity |
| A palavra-passe de utilizador só de leitura, utilizada para efetuar a resolução de entidades no Active Directory, está prestes a expirar em menos de 30 dias. |
Se a palavra-passe deste utilizador expirar, todos os ATA Gateways deixarão de ser executados e não serão recolhidos novos dados. |
Altere a palavra-passe de conectividade do domínio e, em seguida, atualize a palavra-passe na ATA Console. |
Médio |
Palavra-passe de utilizador só de leitura expirada
| Alerta |
Descrição |
Resolução |
Severity |
| A palavra-passe de utilizador só de leitura, utilizada para obter dados de diretório, expirou. |
Todos os ATA Gateways deixam de ser executados (ou deixarão de ser executados em breve) e não são recolhidos novos dados. |
Altere a palavra-passe de conectividade do domínio e, em seguida, atualize a palavra-passe na ATA Console. |
Alto |
Certificado de gateway prestes a expirar
| Alerta |
Descrição |
Resolução |
Severity |
| O certificado do ATA Gateway irá expirar dentro de menos de 3 semanas. |
Falha na conectividade do ATA Gateway específico ao ATA Center. Não são enviados dados desse ATA Gateway. |
O certificado do ATA Gateway deveria ter sido renovado automaticamente. Leia os registos do ATA Gateway e do ATA Center para compreender por que motivo esse Certificado não foi renovado automaticamente. |
Médio |
Certificado de gateway expirado
| Alerta |
Descrição |
Resolução |
Severity |
| O certificado do ATA Gateway expirou. |
Não existe conectividade deste ATA Gateway para o ATA Center. Não são enviados dados desse ATA Gateway. |
Desinstale e reinstale o ATA Gateway. |
Alto |
Synchronizer de domínio não atribuído
| Alerta |
Descrição |
Resolução |
Severity |
| Não é atribuído nenhum synchronizer de domínio a nenhum ATA Gateway. Isto pode acontecer se não existir nenhum ATA Gateway configurado como candidato a sincronizador de domínio. |
Quando o domínio não está sincronizado, as alterações às entidades podem fazer com que as informações da entidade no ATA fiquem desatualizadas ou em falta, mas não afetam nenhuma deteção. |
Certifique-se de que, pelo menos, um ATA Gateway está definido como um Sincronizador de domínio. |
Baixo |
Todos/Alguns dos adaptadores de rede de captura num Gateway não estão disponíveis
| Alerta |
Descrição |
Resolução |
Severity |
| Todos/Alguns dos adaptadores de rede de captura selecionados no ATA Gateway estão desativados ou desligados. |
O tráfego de rede para alguns/todos os controladores de domínio já não é capturado pelo ATA Gateway. Isto afeta a capacidade de detetar atividades suspeitas, relacionadas com esses controladores de domínio. |
Certifique-se de que estes adaptadores de rede de captura selecionados no ATA Gateway estão ativados e ligados. |
Médio |
Alguns controladores de domínio estão inacessíveis por um Gateway
| Alerta |
Descrição |
Resolução |
Severity |
| Um ATA Gateway tem funcionalidades limitadas devido a problemas de conectividade a alguns dos controladores de domínio configurados. |
Transmitir a deteção de Hash pode ser menos precisa quando alguns controladores de domínio não podem ser consultados pelo ATA Gateway. |
Certifique-se de que os controladores de domínio estão em execução e que este ATA Gateway pode abrir ligações LDAP aos mesmos. |
Médio |
Todos os controladores de domínio estão inacessíveis por um Gateway
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA Gateway está atualmente offline devido a problemas de conectividade a todos os controladores de domínio configurados. |
Isto afeta a capacidade do ATA de detetar atividades suspeitas relacionadas com controladores de domínio monitorizados por este ATA Gateway. |
Certifique-se de que os controladores de domínio estão em execução e que este ATA Gateway pode abrir ligações LDAP aos mesmos. |
Médio |
O gateway deixou de comunicar
| Alerta |
Descrição |
Resolução |
Severity |
| Não houve comunicação do ATA Gateway. O intervalo de tempo predefinido para este alerta é de 5 minutos. |
O tráfego de rede já não é capturado pelo adaptador de rede no ATA Gateway. Isto afeta a capacidade do ATA de detetar atividades suspeitas, uma vez que o tráfego de rede não conseguirá aceder ao ATA Center. |
Verifique se a porta utilizada para a comunicação entre o ATA Gateway e o serviço ATA Center não está bloqueada por routers ou firewalls. |
Médio |
Nenhum tráfego recebido do controlador de domínio
| Alerta |
Descrição |
Resolução |
Severity |
| Não foi recebido tráfego do controlador de domínio através deste ATA Gateway. |
Isto pode indicar que o espelhamento de porta dos controladores de domínio para o ATA Gateway ainda não está configurado ou não está a funcionar. |
Verifique se o espelhamento de porta está configurado corretamente nos seus dispositivos de rede.
Na NIC de captura do ATA Gateway, desative estas funcionalidades nas Definições Avançadas:
Agrupamento de Segmentos de Receção (IPv4)
Agrupamento de Segmentos de Receção (IPv6) |
Médio |
Alguns eventos reencaminhados não estão a ser analisados
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA Gateway está a receber mais eventos do que pode processar. |
Alguns eventos reencaminhados não estão a ser analisados, o que pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway. |
Verifique se apenas os eventos necessários são reencaminhados para o ATA Gateway ou tente reencaminhar alguns dos eventos para outro ATA Gateway. |
Médio |
Algum tráfego de rede não está a ser analisado
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA Gateway está a receber mais tráfego de rede do que pode processar. |
Algum tráfego de rede não está a ser analisado, o que pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway. |
Considere adicionar processadores e memória adicionais conforme necessário. Se este for um ATA Gateway autónomo, reduza o número de controladores de domínio que estão a ser monitorizados.
Isto também pode acontecer se estiver a utilizar controladores de domínio em máquinas virtuais VMware. Para evitar estes alertas, pode marcar que as seguintes definições estão definidas como 0 ou Desativadas na máquina virtual:
- TsoEnable
- LargeSendOffload(IPv4)
- Descarga de TSO IPv4
Além disso, considere desativar a Descarga de TSO Gigante IPv4. Para obter mais informações, veja a documentação do VMware. |
Médio |
Versão do gateway desatualizada
| Alerta |
Descrição |
Resolução |
Severity |
| O ATA Center é mais recente do que a versão instalada no ATA Gateway. Isto está a fazer com que o ATA Gateway deixe de funcionar conforme esperado. |
Isto pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway. |
Atualize automaticamente o ATA Gateway para a versão mais recente ao ativar a atualização automática na ATA Console ou ao transferir o pacote do ATA Gateway mais recente disponível na ATA Console. |
Alto |
Falha ao iniciar o serviço de gateway
| Alerta |
Descrição |
Resolução |
Severity |
| O serviço ATA Gateway não foi iniciado durante, pelo menos, 30 minutos. |
Isto pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este ATA Gateway. |
Monitorize os registos do ATA Gateway para compreender a causa da falha do serviço ATA Gateway. |
Alto |
Lightweight Gateway
O Lightweight Gateway atingiu um limite de recursos de memória
| Alerta |
Descrição |
Resolução |
Severity |
| O Lightweight ATA Gateway parou sozinho e será reiniciado automaticamente para proteger o controlador de domínio de uma condição de memória baixa. |
O Lightweight ATA Gateway impõe limitações de memória a si próprio para impedir que o controlador de domínio tenha limitações de recursos. Isto acontece quando a utilização da memória no controlador de domínio é elevada. Os dados deste controlador de domínio são apenas parcialmente monitorizados. |
Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio. |
Médio |
Confira também