Как устранить проблему с уведомлением «Your audit database has reached at least 95% of its maximum allotted storage» на сервере Dell Security Management Server

Затронутые продукты:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

В консоли Dell Security Management Server может появиться важное уведомление: Максимальная емкость базы данных аудита составляет 95% от максимального ресурса хранения 2 Гбайт.

Рис. 1. (только на английском языке) Уведомления Dell Security Management Server

В этой статье описывается, что указывает уведомление, и приведены некоторые действия по устранению неполадок, которые можно выполнить, чтобы уменьшить количество создаваемых событий.

В базе данных аудита хранятся события, загруженные с конечных точек, на которых запущены подключаемые модули Advanced Threat Protection, Web Control и Firewall (если включены). Примерами событий могут быть обнаружение угроз, удаление или карантин угроз, блокировка или блокировка сценариев. События, хранящиеся в базе данных аудита, можно найти в разделе Enterprise > Advanced Threat Events в консоли Security Management Server.

Когда база данных аудита достигает 95% от максимального выделенного размера, она записает уведомление выше в консоль сервера. База данных аудита выполняет пакетное задание каждые два часа, чтобы обрезка старых событий и место для новых событий. При необходимости размер базы данных аудита можно увеличить до значений по умолчанию для более крупных сред. Для изменения конфигурации обратитесь в службу dell Data Security ProSupport со справочным номером телефона международной службы поддержки Dell Data Security .

Большинство конечных точек событий, создаваемых (возможно на разных устройствах), связаны с событиями управления сценариями или событиями защиты памяти, которые запускаются несколько раз. Чтобы уменьшить количество генерируемых конечных точек событий, можно исключить или включить известные безопасные сценарии и процессы в список допустимых, чтобы они больше не генерирули оповещения.

Самый быстрый способ определения этих событий — создание отчетов на сервере управления безопасностью на вкладке «Угрозы повышенной сложности» и на вкладке События угроз повышенной сложности. Используя информацию в отчетах, можно создать необходимые исключения, чтобы уменьшить количество событий, создаваемых конечными точками.

Ниже приведены два способа получения отчетов, которые предоставляют генерируемые события.

На вкладке Advanced Threats можно получить список сценариев, представленных в среде, и количество запущенных сценариев. Это можно сделать, выбрав:

1. Корпоративные продукты
2. Advanced Threats
3. Защита
4. Script Control
5. Экспортировать

Рис. 2. (только на английском языке) Экспорт сценариев

Включение отчета о данных об угрозах предоставляет краткий снимок того, что происходит в среде, в разделе:

1. Корпоративные продукты
2. Advanced Threats
3. Параметры
   • Threat Data Report

Рис. 3. (только на английском языке) Токен отчета об угрозах

После получения маркера можно создать URL-адрес отчета, обведя URL-адрес рядом с событиями и заменив [Token] токеном для своей среды.

Рис. 4. (только на английском языке) Создание URL-адреса отчета

Выполните те же действия для защиты памяти.

Если отчет о данных об угрозах не включен, можно экспортировать данные из событий advanced Threat Events . Чтобы убедиться, что вы получили все данные, выберите:

1. Корпоративные продукты
2. События угроз повышенной сложности
3. Введите
4. Очистите все параметры , за исключением параметра «Статус защиты изменен» (этот параметр может отображаться как сообщение о событии при перезагрузке устройства).

Рис. 5. (только на английском языке) Изменение состояния защиты

После выбора этого параметра:

1. Измените значение метки времени.
2. Экспортировать

Рис. 6. (только на английском языке) Изменение метки времени

С помощью этих данных можно увидеть, какие сценарии выполняются часто, найти хэш SHA256 и выполнить местоположения для этих сценариев и событий памяти. Это позволяет определить, должны ли они быть добавлены в список допустимых данных в среде.

Можно отсортировать ScriptsOverview_DATE.csv , чтобы определить, на сколько устройств был виден сценарий (количество устройств) и сколько раз он был указан (оповещение или блок).

Пример 1

Рис. 7. (только на английском языке) ScriptsOverview_Date.csv

Для определения событий памяти, которые были видны в среде, также можно использовать функцию MemoryprotectionDataReport.csv . Сортировка по имени процесса может помочь быстро определить исполняемые файлы, которые интенсивно запускаются несколькими устройствами, и помочь в сборке местоположений, для которых могут потребоваться исключения.

Пример 2

Рис. 8. (только на английском языке) Поддержка памятиDataReport.csv

Приведенную ниже статью можно использовать для создания списка сценариев и событий памяти, если они считаются безопасными и ожидаемыми: Добавление исключений в Dell Endpoint Security Suite Enterprise.

После создания соответствующих списков разрешаний для защиты памяти и управления сценариями количество событий в день должно значительно сократиться и исключить отображение уведомлений о событиях аудита, когда в нем заканчивается пространство.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.