Sådan løses meddelelsen "Din overvågningsdatabase har nået mindst 95 % af sit maksimale tildelte lager" i Dell Security Management Server

Berørte produkter:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Du får muligvis vist en vigtig meddelelse, der er logget på din Dell Security Management Server-konsol: Din overvågningsdatabase har nået 95 % af sin maksimale lagertildeling på 2 GB.

Figur 1: (Kun på engelsk) Dell Security Management Server-meddelelser

Denne artikel beskriver, hvad meddelelsen angiver, og indeholder nogle afhjælpningstrin, der kan udføres for at reducere antallet af hændelser, der genereres.

Overvågningsdatabasen gemmer hændelser, der er uploadet fra slutpunkter, der kører Advanced Threat Protection-, Web Control- og Firewall-plug-ins (hvis aktiveret). Nogle eksempler på hændelser er trusler, der findes, trusler, der afsluttes eller sættes i karantæne, og scripts, der blokeres eller afsluttes. De hændelser, der gemmes i overvågningsdatabasen, kan findes under Enterprise > Advanced Threat Events i Security Management Server-konsollen.

Når overvågningsdatabasen når 95 % af dens maksimale tildelte størrelse, logger den ovenstående meddelelse i serverkonsollen. Overvågningsdatabase kører et batchjob hver anden time for at trime ældre hændelser og gøre plads til nyere hændelser. Overvågningsdatabasestørrelsen kan øges til standardværdier for større miljøer, hvis det er nødvendigt. Kontakt Dell Data Security ProSupport på telefonnumre til Dell Data Security International Support for ændring af konfigurationen.

De fleste af de genererede hændelsesslutpunkter (muligt på mange forskellige enheder) kommer til at stamme fra scriptstyringshændelser eller hukommelsesbeskyttelseshændelser , der køres gentagne gange. For at reducere antallet af hændelsesslutpunkter, der genereres, kan du udelukke eller tillade kendte sikre scripts og processer, så de ikke længere genererer advarsler.

Den hurtigste måde at identificere disse hændelser på er ved at generere rapporter på Security Management Server via fanen Advanced Threats og fanen Advanced Threat Events . Ved hjælp af oplysningerne i rapporterne kan du bygge de nødvendige udelukkelser for at reducere antallet af hændelser, der genereres af slutpunkter.

Der er to metoder nedenfor, der kan bruges til at hente rapporter, der angiver de hændelser, der genereres.

På fanen Advanced Threats (Avancerede trusler ) kan vi få en liste over de scripts, der findes i miljøet, og antallet af gange, scripts er kørt. Dette kan gøres ved at vælge:

1. Enterprise
2. Avancerede trusler
3. Beskyttelse
4. Script-styring
5. Eksport

Figur 2: (Kun på engelsk) Eksporter scripts

Aktivering af trusselsdatarapporten giver et hurtigt snapshot af, hvad der sker i miljøet, dette er under:

1. Enterprise
2. Avancerede trusler
3. Muligheder
   • Trusselsdatarapport

Figur 3: (Kun på engelsk) Token til trusselsdatarapport

Når du har tokenet, kan du oprette en rapport-URL ved at skifte URL-adressen ud for Hændelser og erstatte [Token] med tokenet til dit miljø.

Figur 4: (Kun på engelsk) Opbyg en rapport-URL

Udfør de samme trin for Memory Protection.

Hvis trusselsdatarapporten ikke var aktiveret, kan dataene fra Avancerede trusselshændelser eksporteres i stedet. Du kan sikre dig, at du modtager alle data, ved at vælge:

1. Enterprise
2. Avancerede trusselshændelser
3. Skriv
4. Ryd alle indstillinger, undtagen beskyttelsesstatus ændret (denne indstilling kan være chatty og angives som en hændelse, når enheden genstartes).

Figur 5: (Kun på engelsk) Ændring af beskyttelsesstatus

Når dette er valgt:

1. Rediger tidsstempelværdien.
2. Eksport

Figur 6: (Kun på engelsk) Rediger tidsstempel

Med disse data kan vi se, hvilke scripts der køres ofte, finde SHA256-hashes og køre placeringer for både disse scripts og hukommelseshændelser. Dette gør det muligt for os at afgøre, om disse skal føjes til listen over tilladte oplysninger i miljøet.

ScriptsOverview_DATE.csv kan sorteres for at bestemme, hvor mange enheder et script er set på (antal enheder), og hvor mange gange det er blevet rapporteret (advarsel eller blokering).

Eksempel nr. 1

Figur 7: (Kun på engelsk) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv kan også bruges til at bestemme hukommelseshændelser, der er set inden for miljøet. Sortering efter procesnavn kan hjælpe med hurtigt at identificere eksekverbare filer, der køres meget af flere enheder, og hjælpe med at bygge placeringer til, hvor der kan kræves udelukkelser.

Eksempel nr. 2

Figur 8: (Kun på engelsk) MemoryprotectionDataReport.csv

Nedenstående artikel kan bruges til at tillade scripts og hukommelseshændelser, hvis de anses for at være sikre og forventede: Sådan tilføjer du udelukkelser i Dell Endpoint Security Suite Enterprise.

Når vi bygger de relevante allowlists til Memory Protection og scriptstyring, bør antallet af hændelser om dagen reduceres betydeligt og bør elimineres, når overvågningshændelsesmeddelelserne er ved at løbe tør for plads.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.