ATA 正常性アラートについて
-
[アーティクル]
-
-
適用対象: Advanced Threat Analytics Version 1.9
ATA ヘルス センターでは、正常性アラートを生成することで、ATA のデプロイに問題が発生した場合に通知できます。
この記事では、各コンポーネントのすべての正常性アラートについて説明し、原因と問題の解決に必要な手順を一覧表示します。
ATA センターの問題
センターのディスク容量不足
| Alert |
説明 |
解像度 |
重要度 |
| ATA データベースの格納に使用される ATA センター コンピューター ドライブの空き領域が少なくなっています。 |
つまり、ハード ドライブの空き領域が 200 GB 未満であるか、空き領域が 20% 未満のいずれか小さい方であることを意味します。 ドライブの空き領域が不足していることを ATA が認識すると、データベースから古いデータの削除が開始されます。 検出エンジンのデータがまだ必要なため、古いデータを削除できない場合は、このアラートを受信します。 このアラートを受信すると、ATA は新しいアクティビティの追跡を停止します。 |
ドライブのサイズを大きくするか、そのドライブから空き領域を増やします。 |
高 |
メールを送信できない
| Alert |
説明 |
解像度 |
重要度 |
| ATA 指定されたメール サーバーに Email 通知を送信できませんでした。 |
ATA から Email メッセージが送信されません。 |
SMTP サーバー構成を検証します。 |
低 |
センターがオーバーロードしている
| Alert |
説明 |
解像度 |
重要度 |
| ATA センターでは、ATA ゲートウェイから転送されるデータの量を処理できません。 |
ATA センターは、新しいネットワーク トラフィックとイベントの分析を停止します。 これは、この正常性アラートがアクティブな間、検出とプロファイルの精度が低下することを意味します。 |
ATA センターに十分なリソースが用意されていることを確認します。 ATA センターの容量を適切に計画する方法の詳細については、「ATA の容量計画」を参照してください。 パフォーマンス カウンターを使用した ATA のトラブルシューティングを使用して、ATA センターのパフォーマンスを調査します。 |
高 |
Syslog を使用して SIEM サーバーに接続できない
| Alert |
説明 |
解像度 |
重要度 |
| ATA は、指定された SIEM にイベントを送信できませんでした。 |
これは、ATA センターが不審なアクティビティと正常性アラートを SIEM に送信できないことを意味します。 |
Syslog サーバーの設定が正しく構成されていることを確認します。 |
低 |
センター認定資格証の有効期限が間もなく切れる
| Alert |
説明 |
解像度 |
重要度 |
| ATA センター認定資格証の有効期限は 3 週間以内です。 |
認定資格証の有効期限が切れると、ATA ゲートウェイから ATA センターへの接続は失敗します。 ATA センター プロセスがクラッシュし、すべての ATA 機能が停止します。 |
ATA センター認定資格証を置き換える |
中 |
ATA センター認定資格証の期限が切れた
| Alert |
説明 |
解像度 |
重要度 |
| ATA センター証明書の有効期限が切れています。 |
認定資格証の有効期限が切れると、ATA ゲートウェイから ATA センターへの接続は失敗します。 ATA センター プロセスがクラッシュし、すべての ATA 機能が停止します。 |
ATA センターを再デプロイする |
高 |
ATA Gateway の問題
読み取り専用ユーザー パスワードが間もなく期限切れになる
| Alert |
説明 |
解像度 |
重要度 |
| Active Directory に対してエンティティの解決を実行するために使用される読み取り専用のユーザー パスワードは、30 日以内に有効期限が切れます。 |
このユーザーのパスワードの有効期限が切れると、すべての ATA ゲートウェイの実行が停止し、新しいデータは収集されません。 |
ドメイン接続パスワードを変更して、ATA コンソールでパスワードを更新します。 |
中 |
読み取り専用ユーザー パスワードの有効期限が切れている
| Alert |
説明 |
解像度 |
重要度 |
| ディレクトリ データの取得に使用する読み取り専用ユーザー パスワードの有効期限が切れています。 |
すべての ATA ゲートウェイは実行を停止し (または間もなく実行を停止し)、新しいデータは収集されません。 |
ドメイン接続パスワードを変更して、ATA コンソールでパスワードを更新します。 |
高 |
ゲートウェイ認定資格証の有効期限がまもなく切れます
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイ認定資格証の有効期限は 3 週間以内です。 |
特定の ATA ゲートウェイから ATA センターへの接続が失敗します。 その ATA ゲートウェイからのデータは送信されません。 |
ATA ゲートウェイ認定資格証は自動更新されている必要があります。 ATA ゲートウェイと ATA センターのログを読み、認定資格証が自動更新されなかった理由を把握します。 |
中 |
ゲートウェイ認定資格証の有効期限が切れている
ドメイン シンクロナイザーが割り当てられない
| Alert |
説明 |
解像度 |
重要度 |
| ドメイン シンクロナイザーは、すべての ATA ゲートウェイに割り当てられます。 これは、ドメイン シンクロナイザー候補として ATA ゲートウェイが構成されていない場合に発生する場合があります。 |
ドメインが同期されていない場合、エンティティに変更を加えると、ATA のエンティティ情報が古くなったり、見つからなかったりする場合がありますが、検出に影響はありません。 |
少なくとも 1 つの ATA ゲートウェイがドメイン シンクロナイザーとして設定されていることを確認します。 |
低 |
ゲートウェイ上のネットワーク キャプチャ アダプターの一部またはすべてを使用できない
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイで選択されているキャプチャ ネットワーク アダプターのすべて/一部が無効または切断されています。 |
一部またはすべてのドメイン コントローラーのネットワーク トラフィックは、ATA ゲートウェイによってキャプチャされなくなりました。 これは、ドメイン コントローラーに関連する不審なアクティビティを検出する機能に影響します。 |
ATA ゲートウェイで選択したこれらのキャプチャ ネットワーク アダプターが有効になっており、接続されていることを確認します。 |
中 |
ゲートウェイが一部のドメイン コントローラーに到達できない
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイは、構成されているドメイン コントローラーの一部への接続の問題が原因で機能が制限されています。 |
一部のドメイン コントローラーが ATA ゲートウェイでクエリできない場合は、Pass the Hash 検出の精度が低下する場合があります。 |
ドメイン コントローラーが稼働しており、ATA ゲートウェイがそれらに対する LDAP 接続を開いていることを確認します。 |
中 |
ゲートウェイがすべてのドメイン コントローラーに到達できない
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイは現在、構成されているすべてのドメイン コントローラーへの接続の問題が原因でオフラインになっています。 |
これは、この ATA ゲートウェイが監視するドメイン コントローラー関連の不審なアクティビティを検出する ATA の機能に影響します。 |
ドメイン コントローラーが稼働しており、ATA ゲートウェイがそれらに対する LDAP 接続を開いていることを確認します。 |
中 |
ゲートウェイの通信が停止した
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイからの通信がありません。 このアラートのデフォルト期間は 5 分です。 |
ATA ゲートウェイのネットワーク アダプターによってネットワーク トラフィックがキャプチャされなくなりました。 これは、ネットワーク トラフィックが ATA センターに到達できないため、ATA が不審なアクティビティを検出する機能に影響します。 |
ATA ゲートウェイと ATA センター サービス間の通信に使用されるポートが、ルーターまたはファイアウォールによってブロックされていないことを確認します。 |
中 |
ドメイン コントローラーからトラフィックを受信しない
| Alert |
説明 |
解像度 |
重要度 |
| この ATA ゲートウェイを経由するドメイン コントローラーからトラフィックを受信しませんでした。 |
これは、ドメイン コントローラーからの ATA ゲートウェイのポート ミラーリングがまだ構成されていないか、動作していないことを示します。 |
ポート ミラーリングがネットワーク デバイスで正常に構成されていることを確認します。
ATA ゲートウェイ キャプチャ NIC の [高度な設定] でこれら機能を無効にします。
Receive Segment Coalescing (IPv4)
Receive Segment Coalescing (IPv6) |
中 |
一部の転送イベントが分析されない
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイは、処理できる数よりも多くのイベントを受信しています。 |
一部の転送イベントは分析されません。これは、この ATA ゲートウェイが監視するドメイン コントローラーから発生した不審なアクティビティを検出する機能に影響する場合があるからです。 |
必要なイベントのみが ATA ゲートウェイに転送されることを確認するか、一部のイベントを別の ATA ゲートウェイに転送してみてください。 |
中 |
一部のネットワーク トラフィックが分析されない
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイは、処理できる数よりも多くのネットワーク トラフィックを受信しています。 |
一部のネットワーク トラフィックは分析されません。これは、この ATA ゲートウェイが監視するドメイン コントローラーから発生した不審なアクティビティを検出する機能に影響する場合があるからです。 |
必要に応じて、プロセッサとメモリを追加することを検討してください。 これがスタンドアロン ATA ゲートウェイの場合は、監視対象のドメイン コントローラー数を減らします。
これは、VMware 仮想マシンでドメイン コントローラーを使用している場合にも発生する可能性があります。 これらのアラートを回避するには、仮想マシンで次の設定が [0] または [無効] に設定されていることをチェックします。
- TsoEnable
- LargeSendOffload(IPv4)
- IPv4 TSO Offload
また、IPv4 Giant TSO Offload を無効にすることを検討してください。 詳細については、お使いの VMware ドキュメントを参照してください。 |
中 |
期限切れのゲートウェイ バージョン
| Alert |
説明 |
解像度 |
重要度 |
| ATA センターは、ATA ゲートウェイにインストールされているバージョンよりも新しいバージョンです。 これにより、ATA ゲートウェイが期待どおりに機能しなくなります。 |
これは、この ATA ゲートウェイが監視するドメイン コントローラーから発生する不審なアクティビティを検出する機能に影響します。 |
ATA ゲートウェイを自動で最新バージョンに更新するには、ATA コンソールの [自動更新] を有効にするか、ATA コンソールで利用できる最新の ATA ゲートウェイ パッケージをダウンロードします。 |
高 |
ゲートウェイ サービスを開始できない
| Alert |
説明 |
解像度 |
重要度 |
| ATA ゲートウェイ サービスを少なくとも 30 分間開始できませんでした。 |
これは、この ATA ゲートウェイが監視するドメイン コントローラーから発生する不審なアクティビティを検出する機能に影響します。 |
ATA ゲートウェイ ログを監視して、ATA ゲートウェイ サービスの生涯のコンピ音原因を把握します。 |
高 |
Lightweight Gateway
Lightweight Gateway がメモリ リソースの制限に達した
| Alert |
説明 |
解像度 |
重要度 |
| Lightweight ATA Gateway 自体が停止し、ドメイン コントローラーをメモリ不足状態から保護するために自動的に再起動します。 |
Lightweight ATA Gateway は、ドメイン コントローラーがリソース制限の発生を防ぐため、メモリ制限を自身に適用します。 これは、ドメイン コントローラーのメモリ使用率が高い場合に発生します。 このドメイン コントローラーのデータは、一部しか監視されません。 |
ドメイン コントローラーのメモリー容量 (RAM) を増やすか、このサイトでドメイン コントローラーを追加して、このドメイン コントローラーの負荷をより適切に分産させます。 |
中 |
参照