Anleitung zum Beheben der Benachrichtigung "Your audit database has reached at least 95% of its maximum allotted storage" (Ihre Auditdatenbank hat mindestens 95 % des maximal zugewiesenen Speichers erreicht) in Dell Security Management Server

Betroffene Produkte:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Möglicherweise wird eine kritische Benachrichtigung angezeigt, die in Ihrer Dell Security Management Server-Konsole protokolliert wird: Ihre Auditdatenbank hat 95 % ihrer maximalen Speicherzuweisung von 2 GB erreicht.

Abbildung 1: (Nur in englischer Sprache) Dell Security Management Server-Benachrichtigungen

In diesem Artikel wird beschrieben, was die Benachrichtigung angibt, und es werden einige Korrekturschritte bereitgestellt, mit denen die Anzahl der erzeugten Ereignisse reduziert werden kann.

Die Auditdatenbank speichert Ereignisse, die von Endpunkten hochgeladen werden, auf denen Plug-ins für Advanced Threat Protection, Web Control und Firewall (falls aktiviert) ausgeführt werden. Einige Beispiele für Ereignisse sind Bedrohungen, die erkannt werden, Bedrohungen, die beendet oder unter Quarantäne gestellt werden, und Skripte, die blockiert oder beendet werden. Die in der Auditdatenbank gespeicherten Ereignisse finden Sie unter Enterprise > Advanced Threat Events in der Security Management Server-Konsole.

Wenn die Auditdatenbank 95 % ihrer maximal zugewiesenen Größe erreicht, protokolliert sie die obige Benachrichtigung in der Serverkonsole. Die Auditdatenbank führt alle zwei Stunden einen Batchjob aus, um ältere Ereignisse zu reduzieren und Platz für neuere Ereignisse zu schaffen. Die Größe der Auditdatenbank kann bei Bedarf auf Standardwerte für größere Umgebungen erhöht werden. Wenden Sie sich an Dell Data Security ProSupport unter Dell Data Security Internationale Support-Telefonnummern , um die Konfiguration zu ändern.

Die meisten der generierten Ereignisendpunkte (möglich auf vielen verschiedenen Geräten) stammen aus Skriptsteuerungsereignissen oder Speicherschutzereignissen , die wiederholt ausgeführt werden. Um die Anzahl der ereignisbasierten Endpunkte zu reduzieren, können Sie bekannte sichere Skripte und Prozesse ausschließen oder zulassen, sodass sie keine Warnmeldungen mehr erzeugen.

Die schnellste Möglichkeit, diese Ereignisse zu identifizieren, ist die Generierung von Berichten auf dem Security Management Server, über die Registerkarte Advanced Threats und die Registerkarte Advanced Threat Events . Mithilfe der Informationen in den Berichten können Sie die erforderlichen Ausschlüsse erstellen, um die Anzahl der von Endpunkten erzeugten Ereignisse zu reduzieren.

Es gibt zwei Methoden unten, die verwendet werden können, um Berichte abzurufen, die die erzeugten Ereignisse bereitstellen.

Auf der Registerkarte "Advanced Threats " können wir die Liste der in der Umgebung vorhandenen Skripte und die Anzahl der Ausführungen der Skripte abrufen. Dazu können Sie Folgendes auswählen:

1. Enterprise
2. Advanced Threats
3. Schutz
4. Skriptkontrolle
5. Exportieren

Abbildung 2: (Nur in englischer Sprache) Skripte exportieren

Das Aktivieren des Bedrohungsdatenberichts bietet einen schnellen Snapshot zu den Geschehnissen in der Umgebung. Dies geschieht unter:

1. Enterprise
2. Advanced Threats
3. Options
   • Threat Data Report

Abbildung 3: (Nur in englischer Sprache) Token für Bedrohungsdatenberichte

Sobald Sie das Token haben, können Sie eine Berichts-URL erstellen, indem Sie die URL neben "Ereignisse" kopieren und [Token] durch das Token für Ihre Umgebung ersetzen.

Abbildung 4: (Nur in englischer Sprache) Erstellen einer Berichts-URL

Führen Sie die gleichen Schritte für Memory Protection aus.

Wenn der Bedrohungsdatenbericht nicht aktiviert wurde, können die Daten von Advanced Threat Events stattdessen exportiert werden. Um sicherzustellen, dass Sie alle Daten erhalten, wählen Sie Folgendes aus:

1. Enterprise
2. Advanced Threat-Ereignisse
3. Type
4. Löschen Sie alle Optionen außer "Protection Status Changed" (Diese Option kann chatty sein und wird als Ereignis eingegeben, wenn das Gerät neu gestartet wird).

Abbildung 5: (Nur in englischer Sprache) Änderung des Schutzstatus

Sobald dies ausgewählt ist:

1. Ändern Sie den Zeitstempelwert.
2. Exportieren

Abbildung 6: (Nur in englischer Sprache) Ändern des Zeitstempels

Mit diesen Daten können wir sehen, welche Skripte häufig ausgeführt werden, die SHA256-Hashes finden und Speicherorte für diese Skripte und Speicherereignisse ausführen. Auf diese Weise können wir feststellen, ob diese zur Allowlist in der Umgebung hinzugefügt werden müssen.

Die ScriptsOverview_DATE.csv kann sortiert werden, um zu bestimmen, auf wie vielen Geräten ein Skript angezeigt wurde (Anzahl der Geräte) und wie oft es gemeldet wurde (Warnung oder Block).

1. Beispiel

Abbildung 7: (Nur in englischer Sprache) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv kann auch verwendet werden, um Speicherereignisse zu bestimmen, die in der Umgebung beobachtet wurden. Die Sortierung nach dem Prozessnamen kann dazu beitragen, ausführbare Dateien schnell zu identifizieren, die von mehreren Geräten stark ausgeführt werden, und hilft bei der Erstellung von Speicherorten, für die Ausnahmen erforderlich sein können.

2. Beispiel

Abbildung 8: (Nur in englischer Sprache) MemoryProtectionDataReport.csv

Der folgende Artikel kann verwendet werden, um Listenskripte und Speicherereignisse zuzulassen, wenn sie als sicher und erwartet gelten: Hinzufügen von Ausschlüssen in Dell Endpoint Security Suite Enterprise.

Sobald wir die entsprechenden Allowlists für Memory Protection und Script Control erstellt haben, sollte die Anzahl der Ereignisse pro Tag drastisch reduziert werden und es sollte vermieden werden, dass auditereignisbenachrichtigungen angezeigt werden, wenn der Speicherplatz knapp wird.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.