ATA の既知の問題のトラブルシューティング
適用対象: Advanced Threat Analytics Version 1.9
このセクションでは、ATA のデプロイで発生する可能性のあるエラーと、それらのトラブルシューティングに必要な手順について詳述します。
ATA ゲートウェイと ATA Lightweight Gateway のエラー
| エラー | 説明 | 解像度 |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException: ローカル エラーが発生しました | ATA ゲートウェイが、ドメイン コントローラーに対する認証に失敗しました。 | 1. ドメイン コントローラーの DNS レコーダーが、DNS サーバーでだたしく構成されていることを確認します。 2. ATA ゲートウェイの時刻がドメイン コントローラーの時刻と同期されていることを確認します。 |
| System.IdentityModel.Tokens.SecurityTokenValidationException: 証明書チェーンを検証できませんでした | ATA ゲートウェイが、ATA センターの認定資格証を検証できませんでした。 | 1. ルート CA 認定資格証が ATA ゲートウェイの信頼された証明機関の認定資格証ストアにインストールされていることを確認します。 2. 証明書失効リスト (CRL) が使用可能であり、認定資格証失効検証を実行できることを検証します。 |
| Microsoft.Common.ExtendedException: 生成された時間を解析できませんでした | ATA ゲートウェイは、SIEM から転送された Syslog メッセージを解析できませんでした。 | ATA でサポートされている形式のいずれかでメッセージを転送するように SIEM が構成されていることを確認します。 |
| System.ServiceModel.FaultException: メッセージのセキュリティを確認する際に、エラーが発生しました。 | ATA ゲートウェイが、ATA センターに対する認証に失敗しました。 | ATA ゲートウェイの時刻が ATA センターの時刻と同期されていることを確認します。 |
| System.ServiceModel.EndpointNotFoundException: net.tcp://center.ip.addr:443/IEntityReceiver に接続できませんでした | ATA ゲートウェイが ATA センターへの接続を確立できませんでした。 | ネットワーク設定が正しいこと、および ATA ゲートウェイと ATA センター間のネットワーク接続がアクティブであることを確認します。 |
| System.DirectoryServices.Protocols.LdapException: LDAP サーバーは使用できません。 | ATA ゲートウェイは、LDAP プロトコルを使用して ドメイン コントローラーのクエリを実行できませんでした。 | 1. ATA が使用するユーザー アカウントが、Active Directory ツリー内のすべてのオブジェクトへの読み取り権限を保持する Active Directory ドメインに接続されているかを確認します。 2. ATA で使用されるユーザー アカウントからの LDAP クエリを防ぐために、ドメイン コントローラーが強化されていないことを確認します。 |
| Microsoft.Tri.Infrastructure.ContractException: コントラクト例外 | ATA ゲートウェイが ATA センターから構成を同期できませんでした。 | ATA コンソールで ATA ゲートウェイの構成を完了します。 |
| System.Reflection.ReflectionTypeLoadException: 1 つ以上の要求された型を読み込むことができません。 詳細については、LoaderExceptions プロパティを取得してください。 | Message Analyzer は ATA ゲートウェイにインストールされます。 | Message Analyzer をアンインストールします。 |
| Error [Layout] System.OutOfMemoryException: Exception of type 'System.OutOfMemoryException' がスローされました。 | ATA ゲートウェイに十分なメモリがありません。 | ドメイン コントローラーのメモリ量を増やします。 |
| ライブ コンシューマーを起動できませんでした ---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException: The PEFNDIS イベント プロバイダーの準備ができていません | PEF (Message Analyzer) が正しくインストールされていません。 | Hyper-V を使用している場合は、Hyper-V 統合サービスのアップグレードを試みます。それ以外の場合は、回避策についてサポートにお問い合わせください。 |
| エラー: 0x80070652 が原因でインストールに失敗しました | お使いのコンピューターには、他にも保留中のインストールがあります。 | 他のインストールが完了するまで待ち、必要に応じてコンピューターを再起動します。 |
| System.InvalidOperationException: インスタンス 'Microsoft.Tri.Gateway' が指定されたカテゴリに存在しません。 | ATA ゲートウェイのプロセス名に対して PID が有効になりました | プロセス名の PID を無効にするには、「重複するインスタンス名への対応」を参照してください。 |
| 'System.InvalidOperationException: カテゴリが存在しません。 | レジストリでカウンターが無効になっている可能性がある | KB2554336 を使用して、パフォーマンス カウンターを再構築する |
| System.ApplicationException: ETW セッション MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 を開始できません | HOSTS ファイル内に、コンピューターの shortname を指すホスト エントリがあります | C:\Windows\System32\drivers\etc\HOSTS ファイルからホスト エントリを削除するか、FQDN に変更します。 |
| System.IO.IOException: リモート パーティがトランスポート ストリームを閉じているか、SSL/TLS セキュリティで保護されたチャネルを作成できなかったため、認証に失敗しました | ATA ゲートウェイでは、TLS 1.0 が無効になっていますが、.Net は TLS 1.2 を使用するように設定されています | 次のように、SSL と TLS のオペレーティング システムのデフォルト値を使用するようにレジストリ キーを設定して、.Net 用 TLS 1.2 を有効にします。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001 |
| System.TypeLoadException: アセンブリー 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' から 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' 型をロードできませんでした | ATA ゲートウェイが必要な解析ファイルを読み込めませんでした。 | Microsoft Message Analyzer が現在インストールされているかどうかを確認します。 Message Analyzer は、ATA ゲートウェイ/Lightweight Gateway と一緒にインストールできません。 Message Analyzer をアンインストールし、ゲートウェイ サービスを再起動します。 |
| System.Net.WebException: リモート サーバーが、「(407) Proxy Authentication Required」というエラーを返しました | ATA センターとATA ゲートウェイ間の通信がプロキシ サーバーによって中断されています。 | ATA ゲートウェイ コンピューターでプロキシを無効にします。 プロキシ設定はアカウントごとに設定できます。 |
| System.IO.DirectoryNotFoundException: 指定されたパスが見つかりません。 (HRESULT からの例外: 0x80070003) | ATA の操作に必要な 1 つ以上のサービスが開始されませんでした。 | 次のサービスを起動します: パフォーマンス ログとアラート (PLA)、タスク スケジューラー (スケジュール)。 |
| System.Net.WebException: リモート サーバーが「(403) Forbidden」というエラーを返しました。 | ATA センターが信頼されていないため、ATA ゲートウェイまたは Lightweight Gateway への HTTP 接続の確立が禁止されています。 | ATA センターの NetBIOS 名と FQDN を信頼済み Web サイトの一覧に追加し、Internet Explorer 上のキャッシュをクリアします (または、構成が NetBIOS/FQDN と異なる場合は、構成で指定されている ATA センターの名前)。 |
| System.Net.Http.HttpRequestException: PostAsync に失敗しました [requestTypeName=StopNetEventSessionRequest] | ATA ゲートウェイまたは ATA Lightweight Gateway は、WMI の問題が原因でネットワーク トラフィックを収集する ETW セッションを停止または開始できません | 「WMI: WMI レポジトリの再構築」の手順を実行し、WMI の問題を解決する |
| System.Net.Sockets.SocketException: アクセス許可で禁じられた方法でソケットにアクセスしようとしました | 別のアプリケーションが ATA ゲートウェイでポート 514 を使用している | このポートを使用しているプロセスを確立するために netstat -o を使用します。 |
配置エラー
| エラー | 説明 | 解像度 |
|---|---|---|
| エラー 0x800713ec が原因で、.Net Framework 4.6.1 がインストールできない | .Net Framework 4.6.1 の前提条件が、サーバーにインストールされていません。 | ATA をインストールする前に、Windows 更新プログラムである KB2919442 と KB2919355 がサーバーにインストールされているかを確認します。 |
| System.Threading.Tasks.TaskCanceledException: タスクが取り消されました | ATA センターに到達できなかったため、デプロイ プロセスがタイムアウトしました。 | 1. ATA センターへのネットワーク接続を確認するには、その IP アドレスを使用して ATA センターを参照します。 2. プロキシまたはファイアウォールの構成を確認します。 |
| System.Net.Http.HttpRequestException: この要求の送信中にエラーが発生しました。 ---> System.Net.WebException: リモート サーバーが、「(407) Proxy Authentication Required」というエラーを返しました。 | プロキシの構成ミスが原因で ATA センターに到達できなかったため、デプロイ プロセスがタイムアウトされました。 | デプロイ前にプロキシ構成を無効にしてから、プロキシ構成をもう一度有効にします。 または、プロキシで例外を構成することもできます。 |
| System.Net.Sockets.SocketException: リモート ホストが既存の接続を強制終了しました | 次のように、SSL と TLS のオペレーティング システムのデフォルト値を使用するようにレジストリ キーを設定して、.Net 用 TLS 1.2 を有効にします。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 |
|
| エラー [\[]DeploymentModel[\]] 管理認証の失敗 [\[]CurrentlyLoggedOnUser=<ドメイン>\<ユーザー名>Status=FailedAuthentication Exception=[\]] | ATA ゲートウェイまたは ATA Lightweight Gateway のデプロイ プロセスが、ATA センターに対して正常に認証できませんでした | デプロイ プロセスが失敗したコンピューターからブラウザーを開き、ATA コンソールにアクセスできるかどうかを確認します。 アクセスできない場合は、トラブルシューティングを開始して、ブラウザーが ATA センターに対して認証できない理由を確認します。 チェック事項: プロキシ構成 ネットワーク は、ATA センターとは異なるコンピューターでの認証のグループ ポリシー設定を発行します。 |
| エラー [\[]DeploymentModel[\]] 管理認証に失敗しました | センターの認定資格証の検証に失敗しました | センターの認定資格証には、検証用のインターネット接続が必要となる場合があります。 ゲートウェイ サービスに、接続と検証を有効化するためのプロキシが正確に構成されているかを確認します。 |
| センターのデプロイ中に認定資格証を選択すると、「サポートされていません」というエラーが表示される | これは、選択した認定資格証が要件を満たしていないか、認定資格証の秘密キーにアクセスできない場合に発生する場合があります。 | 管理者権限 (管理者として実行) でデプロイを実行しているか、要件を満たした認定資格証を選択したかを確認します。 |
ATA センターのエラー
| エラー | 説明 | 解像度 |
|---|---|---|
| System.Security.Cryptography.CryptographicException: アクセスが拒否されました。 | ATA センターは、発行された認定資格証を復号化に使用できませんでした。 これは、KeyExchange (AT\_KEYEXCHANGE) を使用するのではなく、暗号解読をサポートしていない Signature (AT\_SIGNATURE) と設定された KeySpec (KeyNumber) を使用して、認定資格証を使用したことが原因で発生する可能性が高いエラーです。 | 1. ATA センター サービスを停止します。 2. ATA センター認定資格証をセンターの認定資格証ストアから削除します。 (削除する前に、認定資格証が PFX ファイル内の秘密キーでバックアップされていることを確認します) 3. 管理者権限のコマンド プロンプトを開き、certutil -importpfx "CenterCertificate.pfx" AT\_KEYEXCHANGE を実行します 4. ATA センター サービスを開始します。 5. すべてが期待どおりに動作することを確認します。 |
ATA ゲートウェイと Lightweight Gateway の問題
| 問題 | 説明 | 解像度 |
|---|---|---|
| ドメイン コントローラーからトラフィックは受信されないが、正常性アラートは表示される | ATA ゲートウェイ経由でポート ミラーリングを使用してドメイン コントローラーからトラフィックを受信できなかった | ATA ゲートウェイ キャプチャ NIC の [高度な設定] でこれら機能を無効にします。 Receive Segment Coalescing (IPv4) Receive Segment Coalescing (IPv6) |
| 「一部のネットワーク トラフィックが分析されていません」という正常性アラートが表示される | VMware 仮想マシンに ATA ゲートウェイまたは Lightweight Gateway がある場合、この正常性アラートを受け取る可能性があります。 これは、VMware での構成の不一致が原因で発生します。 | 仮想マシン NIC 構成で、TsoEnable、LargeSendOffload、TSO Offload、Giant TSO Offload を [0] または [無効] に設定します。 |
マルチ プロセッサー グループ モード
Windows オペレーティング システム 2008R2 および 2012 では、ATA ゲートウェイはマルチ プロセッサー グループ モードではサポートされていません。
考えられる回避策を次に示します。
ハイパースレッディングがオンの場合は、オフにします。 これにより、マルチ プロセッサー グループ モードで実行する必要がないように、論理コアの数が減る場合があります。
お使いのコンピューターの論理コアが 64 未満で、HP ホストで実行されている場合、[NUMA グループ サイズの最適化] BIOS 設定をデフォルトの [クラスター化] から [フラット] に変更できる場合があります。