Compréhension des alertes d’intégrité ATA

  • Article

S’applique à : Advanced Threat Analytics version 1.9

Le Centre d’intégrité ATA vous permet de savoir s’il existe un problème avec le déploiement ATA, en générant une alerte d’intégrité. Cet article décrit toutes les alertes d’intégrité pour chaque composant, répertoriant la cause et les étapes nécessaires pour résoudre le problème.

Problèmes liés au Centre ATA

Espace disque insuffisant pour le centre

Alerte Description Résolution Niveau de gravité
L’espace libre sur le lecteur d’ordinateur du Centre ATA utilisé pour stocker la base de données ATA est faible. Cela signifie que le disque dur a moins de 200 Go d’espace libre ou qu’il y a moins de 20 % d’espace libre, selon le cas. Quand ATA reconnaît que le lecteur est en cours d’exécution faible sur l’espace, il commence à supprimer les anciennes données de la base de données. S’il ne peut pas supprimer d’anciennes données, car il a toujours besoin des données pour le moteur de détection, vous recevez cette alerte. Lorsque vous recevez cette alerte, ATA cesse de suivre les nouvelles activités. Augmentez la taille du lecteur ou libérez de l’espace à partir de ce lecteur. Forte

Échec de l’envoi du courrier

Alerte Description Résolution Niveau de gravité
ATA n’a pas pu envoyer une notification par e-mail au serveur de courrier spécifié. Aucun e-mail n’est envoyé à partir d’ATA. Vérifiez la configuration du serveur SMTP. Faible

Centre surchargé

Alerte Description Résolution Niveau de gravité
Le Centre ATA ne peut pas gérer la quantité de données transférées à partir des passerelles ATA. Le Centre ATA cesse d’analyser le nouveau trafic réseau et les événements. Cela signifie que la précision des détections et des profils est réduite pendant que cette alerte d’intégrité est active. Assurez-vous que vous avez fourni suffisamment de ressources pour le Centre ATA. Pour plus d’informations sur la façon de planifier correctement la capacité du Centre ATA, consultez la planification de la capacité ATA. Examinez les performances du Centre ATA à l’aide de la résolution des problèmes d’ATA à l’aide des compteurs de performances. Forte

Échec de connexion au serveur SIEM à l’aide de Syslog

Alerte Description Résolution Niveau de gravité
ATA n'a pas réussi à envoyer des événements au SIEM spécifié. Cela signifie que le Centre ATA ne peut pas envoyer d’activités suspectes et d’alertes d’intégrité à votre SIEM. Vérifiez que les paramètres de votre serveur Syslog sont configurés correctement. Faible

Le certificat centre est sur le point d’expirer

Alerte Description Résolution Niveau de gravité
Le certificat du Centre ATA expirera en moins de 3 semaines. Après l'expiration du certificat : la connectivité entre les passerelles ATA et le centre ATA échoue. Le processus du Centre ATA se bloque et toutes les fonctionnalités ATA s’arrêtent. Remplacer le certificat du Centre ATA Moyenne

Le certificat du Centre ATA a expiré

Alerte Description Résolution Niveau de gravité
Le certificat du Centre ATA a expiré. Après l'expiration du certificat : la connectivité entre les passerelles ATA et le centre ATA échoue. Le processus du Centre ATA se bloque et toutes les fonctionnalités ATA s’arrêtent. Redéployer le Centre ATA Forte

Problèmes de passerelle ATA

Mot de passe de l’utilisateur en lecture seule à expirer prochainement

Alerte Description Résolution Niveau de gravité
Le mot de passe de l’utilisateur en lecture seule, utilisé pour résoudre les entités sur Active Directory, est sur le point d’expirer en moins de 30 jours. Si le mot de passe de cet utilisateur expire, toutes les passerelles ATA arrêtent de s’exécuter et aucune nouvelle donnée n’est collectée. Changer le mot de passe de connectivité de domaine, puis mettez à jour le mot de passe dans la Console ATA. Moyenne

Mot de passe utilisateur en lecture seule expiré

Alerte Description Résolution Niveau de gravité
Le mot de passe de l'utilisateur en lecture seule, utilisé pour obtenir les données de l'annuaire, a expiré. Toutes les passerelles ATA arrêtent de s’exécuter (ou cesseront de s’exécuter bientôt) et aucune nouvelle donnée n’est collectée. Changer le mot de passe de connectivité de domaine, puis mettez à jour le mot de passe dans la Console ATA. Forte

Certificat de passerelle sur le point d’expirer

Alerte Description Résolution Niveau de gravité
Le certificat de passerelle ATA expire dans moins de 3 semaines. Connectivité de la passerelle ATA spécifique au Centre ATA échec. Aucune donnée de cette passerelle ATA n’est envoyée. Le certificat de passerelle ATA doit avoir été renouvelé automatiquement. Lisez les journaux de la passerelle ATA et du Centre ATA pour comprendre pourquoi ce certificat n’a pas été renouvelé automatiquement. Moyenne

Le certificat de passerelle a expiré

Alerte Description Résolution Niveau de gravité
Le certificat de passerelle ATA a expiré. Il n’existe aucune connectivité de cette passerelle ATA au Centre ATA. Aucune donnée de cette passerelle ATA n’est envoyée. Désinstallez et réinstallez la passerelle ATA. Forte

Synchronisateur de domaine non affecté

Alerte Description Résolution Niveau de gravité
Aucun synchronisateur de domaine n’est affecté à une passerelle ATA. Cela peut se produire s’il n’existe aucune passerelle ATA configurée en tant que candidat synchronisateur de domaine. Lorsque le domaine n'est pas synchronisé, les modifications apportées aux entités peuvent entraîner l'obsolescence ou l'absence d'informations sur les entités dans ATA, mais n'affectent aucune détection. Vérifiez qu’au moins une passerelle ATA est définie en tant que synchronisateur de domaine. Faible

Toutes/Certaines cartes réseau de capture sur une passerelle ne sont pas disponibles

Alerte Description Résolution Niveau de gravité
Toutes/certaines des cartes réseau de capture sélectionnées sur la passerelle ATA sont désactivées ou déconnectées. Le trafic réseau pour certains/tous les contrôleurs de domaine n’est plus capturé par la passerelle ATA. Cela a un impact sur la capacité à détecter les activités suspectes, liées à ces contrôleurs de domaine. Vérifiez que ces cartes réseau de capture sélectionnées sur la passerelle ATA sont activées et connectées. Moyenne

Tous les contrôleurs de domaine ne sont pas accessibles par une Passerelle

Alerte Description Résolution Niveau de gravité
Une passerelle ATA a des fonctionnalités limitées en raison de problèmes de connectivité à certains des contrôleurs de domaine configurés. Passer la détection de hachage peut être moins précise lorsque certains contrôleurs de domaine ne peuvent pas être interrogés par la passerelle ATA. Assurez-vous que les contrôleurs de domaine sont opérationnels et que cette passerelle ATA peut ouvrir des connexions LDAP. Moyenne

Tous les contrôleurs de domaine ne sont pas accessibles par une Passerelle

Alerte Description Résolution Niveau de gravité
La passerelle ATA est actuellement hors connexion en raison de problèmes de connectivité à tous les contrôleurs de domaine configurés. Cela a un impact sur la capacité d’ATA à détecter les activités suspectes liées aux contrôleurs de domaine surveillés par cette passerelle ATA. Assurez-vous que les contrôleurs de domaine sont opérationnels et que cette passerelle ATA peut ouvrir des connexions LDAP. Moyenne

La passerelle a cessé de communiquer

Alerte Description Résolution Niveau de gravité
Aucune communication n’a été établie à partir de la passerelle ATA. L’intervalle de temps par défaut pour cette alerte est de 5 minutes. Le trafic réseau n’est plus capturé par la carte réseau sur la passerelle ATA. Cela a un impact sur la capacité d’ATA à détecter les activités suspectes, car le trafic réseau ne pourra pas atteindre le Centre ATA. Vérifier que le port utilisé pour la communication entre la passerelle ATA et le service Centre ATA n’est pas bloqué par des routeurs ou pare-feu. Moyenne

Aucun trafic n'a été reçu du contrôleur de domaine

Alerte Description Résolution Niveau de gravité
Aucun trafic n’a été reçu du contrôleur de domaine via cette passerelle ATA. Cela peut indiquer que la mise en miroir des ports des contrôleurs de domaine vers la passerelle ATA n'est pas encore configurée ou ne fonctionne pas. Vérifier que la mise en miroir des ports est configuré correctement sur vos appareils réseau.

Sur le NIC de capture de la passerelle ATA, désactiver ces fonctions dans les paramètres avancés :

Coalescence des segments de réception (IPv4)

Coalescence des segments de réception (IPv6)		 Moyenne

Certains événements transmis ne sont pas en cours d’analyse

Alerte Description Résolution Niveau de gravité
La passerelle ATA reçoit plus d’événements qu’elle ne peut traiter. Certains événements transférés ne sont pas analysés, ce qui peut avoir un impact sur la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA. Vérifiez que seuls les événements requis sont transférés à la passerelle ATA ou essayez de transférer certains des événements vers une autre passerelle ATA. Moyenne

Une partie du trafic réseau n’est pas analysée

Alerte Description Résolution Niveau de gravité
La passerelle ATA reçoit plus de trafic réseau que possible. Certains trafics réseau ne sont pas analysés, ce qui peut avoir un impact sur la possibilité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA. Envisagez d’ajouter des processeurs et de la mémoire supplémentaires selon les besoins. S’il s’agit d’une passerelle ATA autonome, réduisez le nombre de contrôleurs de domaine surveillés.

Cela peut également se produire si vous utilisez des contrôleurs de domaine sur des machines virtuelles VMware. Pour éviter ces alertes, vous pouvez case activée que les paramètres suivants sont définis sur 0 ou désactivés dans la machine virtuelle :

- TsoEnable

- LargeSendOffload(IPv4)

- Déchargement de IPv4 TSO

Pensez aussi à désactiver IPv4 Giant TSO Offload. Pour plus d’informations, consultez la documentation VMware.		 Moyenne

La version de la passerelle est obsolète

Alerte Description Résolution Niveau de gravité
Le Centre ATA est plus récent que la version installée sur la passerelle ATA. Cela entraîne l’arrêt de fonctionnement de la passerelle ATA comme prévu. Cela peut avoir un impact sur la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA. Mettez à jour la passerelle ATA automatiquement vers la dernière version en activant la mise à jour automatique dans la Console ATA ou en téléchargeant le dernier package de passerelle ATA disponible dans la Console ATA. Forte

Le démarrage du service de passerelle a échoué

Alerte Description Résolution Niveau de gravité
Le service de passerelle ATA n’a pas pu démarrer pendant au moins 30 minutes. Cela peut avoir un impact sur la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par cette passerelle ATA. Surveillez les journaux de passerelle ATA pour comprendre la cause racine de l’échec du service de passerelle ATA. Forte

Passerelle légère

La passerelle légère a atteint une limite de ressources de mémoire

Alerte Description Résolution Niveau de gravité
La passerelle ATA légère s’est arrêtée et redémarre automatiquement pour protéger le contrôleur de domaine d’une condition de mémoire faible. La passerelle ATA légère applique des limitations de mémoire sur elle-même pour empêcher le contrôleur de domaine de rencontrer des limitations de ressources. Cela se produit lorsque l’utilisation de la mémoire sur le contrôleur de domaine est élevée. Les données de ce contrôleur de domaine ne sont surveillées qu’en partie. Augmentez la quantité de mémoire (RAM) sur le contrôleur de domaine ou ajoutez d’autres contrôleurs de domaine dans ce site pour mieux répartir la charge de ce contrôleur de domaine. Moyenne

Voir aussi