Cómo resolver la notificación "Su base de datos de auditoría ha alcanzado al menos el 95 % de su almacenamiento asignado máximo" en Dell Security Management Server

Productos afectados:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Es posible que vea una notificación importante que haya iniciado sesión en la consola de Dell Security Management Server: Su base de datos de auditoría alcanzó el 95 % de su asignación máxima de almacenamiento de 2 GB.

Figura 1: (Solo en inglés) Notificaciones de Dell Security Management Server

En este artículo, se describe lo que indica la notificación y se proporcionan algunos pasos de corrección que se pueden realizar para reducir la cantidad de eventos que se generan.

La base de datos de auditoría almacena eventos que se cargan desde terminales que ejecutan plug-ins de Advanced Threat Protection, Control web y Firewall (si está activado). Algunos ejemplos de eventos serían amenazas que se encuentran, amenazas que se terminan o ponen en cuarentena, y scripts bloqueados o finalizados. Los eventos que se almacenan en la base de datos de auditoría se pueden encontrar en Enterprise > Eventos de amenazas avanzadas en la consola de Security Management Server.

Cuando la base de datos de auditoría alcanza el 95 % de su tamaño máximo asignado, registra la notificación anterior en la consola del servidor. La base de datos de auditoría ejecuta un trabajo por lotes cada dos horas para reducir los eventos más antiguos y dejar espacio para eventos más recientes. El tamaño de la base de datos de auditoría se puede aumentar a valores predeterminados para ambientes más grandes, si es necesario. Comuníquese con Dell Data Security ProSupport, consulte los números de teléfono de soporte internacional de Dell Data Security para modificar la configuración.

La mayoría de los terminales de eventos generados (posibles en muchos dispositivos diferentes) provienen de eventos de control de script o eventos de protección de memoria que se ejecutan repetidamente. Para reducir la cantidad de eventos que generan los terminales, puede excluir o permitir la inclusión de scripts y procesos seguros conocidos de modo que ya no generen alertas.

La forma más rápida de identificar estos eventos será mediante la generación de informes en Security Management Server, a través de la pestaña Amenazas avanzadas y la pestaña Eventos de amenazas avanzadas . Con la información de los informes, puede crear las exclusiones necesarias para reducir la cantidad de eventos generados por los terminales.

A continuación, hay dos métodos que se pueden usar para extraer informes que proporcionan los eventos que se generan.

En la pestaña Amenazas avanzadas , podemos obtener la lista de scripts presentes en el entorno y la cantidad de veces que se han ejecutado los scripts. Esto se puede hacer seleccionando:

1. Empresa
2. Amenazas avanzadas
3. Protección
4. Control de scripts
5. Export

Figura 2 (Solo en inglés) Exportar scripts

La habilitación del informe de datos de amenazas proporciona una instantánea rápida de lo que está sucediendo en el entorno, en la siguiente sección:

1. Empresa
2. Amenazas avanzadas
3. Opciones
   • Threat Data Report

Figura 3: (Solo en inglés) Token de informe de datos de amenazas

Una vez que tenga el token, puede crear una DIRECCIÓN URL de informe mediante la dirección URL junto a Eventos y el reemplazo de [Token] por el token para su ambiente.

Figura 4: (Solo en inglés) Crear una URL de informe

Realice los mismos pasos para Protección de memoria.

Si el Informe de datos de amenazas no estaba habilitado, los datos de Eventos de amenazas avanzados se pueden exportar en su lugar. Para asegurarse de recibir todos los datos, seleccione:

1. Empresa
2. Eventos de amenazas avanzadas
3. Tipo
4. Borre todas las opciones, excepto Protection Status Changed (Esta opción puede ser de chat y se ingresa como un evento cuando se reinicia el dispositivo).

Figura 5: (Solo en inglés) Cambio de estado de protección

Una vez que se selecciona esto:

1. Modifique el valor de Marca de tiempo.
2. Export

Figura 6: (Solo en inglés) Modificar el registro de fecha y hora

Con estos datos, podemos ver qué scripts se ejecutan a menudo, encontrar los hashes SHA256 y ejecutar ubicaciones para esos scripts y eventos de memoria. Esto nos permite determinar si estos se deben agregar a la lista de permitidos en el entorno.

El ScriptsOverview_DATE.csv se puede ordenar para determinar cuántos dispositivos se ha visto un script en (cantidad de dispositivos) y cuántas veces se ha informado (alerta o bloque).

Ejemplo n.º 1

Figura 7: (Solo en inglés) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv también se puede usar para determinar los eventos de memoria que se han visto dentro del ambiente. Ordenar por nombre de proceso puede ayudar a identificar rápidamente los archivos ejecutables que varios dispositivos ejecutan en gran medida y ayudar a crear ubicaciones para los lugares donde se pueden requerir exclusiones.

Ejemplo n.º 2

Figura 8: (Solo en inglés) MemoryprotectionDataReport.csv

El siguiente artículo se puede utilizar para permitir la lista de scripts y eventos de memoria si se consideran seguros y esperados: Cómo agregar exclusiones en Dell Endpoint Security Suite Enterprise.

Una vez que se crean las listas de permitido adecuadas para Protección de memoria y Script Control, la cantidad de eventos por día debe reducirse drásticamente y eliminar la visualización de las notificaciones de eventos de auditoría cuando se está quedando sin espacio.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.