Slik løser du meldingen "Your audit database has reached at least 95% of its maximum allotted storage" (Revisjonsdatabasen din har nådd minst 95 % av den maksimale tildelte lagringen) i Dell Security Management Server

Berørte produkter:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Du kan se et kritisk varsel som er logget på Dell Security Management Server-konsollen: Revisjonsdatabasen din har nådd 95 % av den maksimale lagringstildelingen på 2 GB.

Figur 1: (Bare på engelsk) Varsler om Dell Security Management Server

Denne artikkelen beskriver hva varselet indikerer, og gir noen utbedringstrinn som kan utføres for å redusere antall hendelser som genereres.

Revisjonsdatabasen lagrer hendelser som lastes opp fra endepunkter som kjører plugin-moduler for Avansert trusselbeskyttelse, webkontroll og brannmur (hvis aktivert). Noen eksempler på hendelser er trusler som blir funnet, trusler blir avsluttet eller satt i karantene, og skript blir blokkert eller avsluttet. Du finner hendelsene som lagres i revisjonsdatabasen, under Enterprise > Advanced Threat Events (Avanserte trusselhendelser ) i Security Management Server-konsollen.

Når overvåkingsdatabasen når 95 % av den maksimale tildelte størrelsen, logger den varselet ovenfor i serverkonsollen. Revisjonsdatabasen kjører en satsvis jobb annenhver time for å kutte eldre hendelser og gjøre plass til nyere hendelser. Størrelsen på overvåkingsdatabasen kan økes til standardverdiene for større miljøer om nødvendig. Kontakt Dell Data Security ProSupport med henvisning til Dell Data Security internasjonale telefonnumre for kundestøtte for å endre konfigurasjonen.

De fleste hendelsesendepunktene som genereres (mulig på mange forskjellige enheter), stammer fra skriptkontrollhendelser eller minnebeskyttelseshendelser som kjøres gjentatte ganger. Hvis du vil redusere antall hendelsessluttpunkter som genereres, kan du ekskludere eller tillate kjente sikre skript og prosesser, slik at de ikke lenger genererer varsler.

Den raskeste måten å identifisere disse hendelsene på er å generere rapporter på Security Management Server (Sikkerhetsadministrasjonsserver) via fanen Advanced Threats (Avanserte trusler ) og fanen Advanced Threat Events (Avanserte trusselhendelser ). Ved hjelp av informasjonen i rapportene kan du bygge opp de nødvendige utelatelsene for å redusere antall hendelser som genereres av endepunkter.

Det finnes to metoder nedenfor som kan brukes til å hente rapporter som oppgir hendelsene som genereres.

I fanen Advanced Threats (Avanserte trusler ) kan vi få en liste over skript som finnes i miljøet, og hvor mange ganger skriptene er kjørt. Dette kan gjøres ved å velge:

1. Virksomhet
2. Avanserte trusler
3. Beskyttelse
4. Script Control (Skriptkontroll)
5. Eksportere

Figur 2: (Bare på engelsk) Eksportere skript

Aktivering av trusseldatarapporten gir et raskt øyeblikksbilde av hva som skjer i miljøet. Dette er under:

1. Virksomhet
2. Avanserte trusler
3. Alternativer
   • Rapport om trusseldata

Figur 3: (Bare på engelsk) Token for trusseldatarapport

Når du har tokenet, kan du opprette en URL-adresse for rapporten ved å bruke URL-adressen ved siden av Events (Hendelser) og erstatte [Token] med tokenet for miljøet ditt.

Figur 4: (Bare på engelsk) Opprette en URL-adresse for rapport

Gjør de samme trinnene for minnebeskyttelse.

Hvis trusseldatarapporten ikke var aktivert, kan data fra avanserte trusselhendelser eksporteres i stedet. Velg følgende for å sikre at du mottar alle data:

1. Virksomhet
2. Avanserte trusselhendelser
3. Skriv inn
4. Fjern alle alternativer, bortsett fra at beskyttelsesstatusen er endret (dette alternativet kan være chatt, og angis som en hendelse når enheten startes på nytt).

Figur 5: (Bare på engelsk) Endring av beskyttelsesstatus

Når dette er valgt:

1. Endre verdien for tidsstempelet.
2. Eksportere

Figur 6: (Bare på engelsk) Endre tidsstempelet

Med disse dataene kan vi se hvilke skript som kjøres ofte, finne SHA256-hasher og kjøre plasseringer for både disse skriptene og minnehendelsene. Dette gjør det mulig for oss å fastslå om disse må legges til i tillatelseslisten i miljøet.

ScriptsOverview_DATE.csv kan sorteres for å fastslå hvor mange enheter et skript har blitt sett på (antall enheter), og hvor mange ganger det har blitt rapportert (varsel eller blokkering).

Eksempel 1

Figur 7: (Bare på engelsk) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv kan også brukes til å fastslå minnehendelser som har blitt sett i miljøet. Sortering etter prosessnavnet kan raskt hjelpe deg med å identifisere kjørbare filer som kjøres tungt av flere enheter, og hjelpe til med å bygge opp plasseringer der det kan være nødvendig med utelatelser.

Eksempel 2

Figur 8: (Bare på engelsk) MinneprotectionDataReport.csv

Artikkelen nedenfor kan brukes til å tillate en liste over skript og minnehendelser hvis de anses som sikre og forventede: Slik legger du til utelatelser i Dell Endpoint Security Suite Enterprise.

Når vi har bygd inn de aktuelle tillatelseslistene for minnebeskyttelse og skriptkontroll, skal antall hendelser per dag reduseres betraktelig, og det skal eliminere at overvåkingshendelsesvarslingene går tom for plass.

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.