"Your audit database has reached least 95% of its maximum allotted storage" -ilmoituksen ratkaiseminen Dell Security Management Serverissä (englanninkielinen)

Tuotteet, joita asia koskee:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Saatat nähdä kriittisen ilmoituksen, joka on kirjattu Dell Security Management Server -konsoliin: Tarkastustietokantasi on saavuttanut 95 % enimmäistallennustilasta 2 Gt.

Kuva 1: (Englanninkielinen) Dell Security Management Server -ilmoitukset

Tämä artikkeli sisältää tietoja ilmoituksesta ja joitakin korjaustoimia, joilla voidaan vähentää luotujen tapahtumien määrää.

Tarkastustietokanta tallentaa päätepisteistä ladatut tapahtumat, joissa on Advanced Threat Protection-, Web Control- ja palomuurilaajennuksia (jos käytössä). Esimerkkejä tapahtumista ovat uhkien löytyminen, uhkien lopettaminen tai asettaminen karanteeniin sekä komentosarjojen esto tai lopettaminen. Valvontatietokantaan tallennettavat tapahtumat löytyvät Security Management Server -konsolin Enterprise > Advanced Threat Events -kohdasta.

Kun tarkastustietokannan koko on 95 % määritetystä enimmäiskoosta, se kirjaa edellä mainitun ilmoituksen palvelinkonsoliin. Tarkastustietokanta suorittaa kahden tunnin välein erätyön, jolla voidaan rajata vanhempia tapahtumia ja tehdä tilaa uudemmille tapahtumille. Valvontatietokannan kokoa voidaan tarvittaessa lisätä suurempien ympäristöjen oletusarvoihin. Ota yhteyttä Dell Data Security ProSupport -tuen Dell Data Securityn kansainvälisen tuen puhelinnumeroihin kokoonpanon muuttamista varten.

Suurin osa (mahdollinen monissa eri laitteissa) luoduista tapahtumista johtuu komentosarjojen hallintatapahtumista tai muistin suojaustapahtumista , joita suoritetaan toistuvasti. Voit vähentää päätepisteiden luomien tapahtumien määrää sallimalla tunnettujen turvallisten komentosarjojen ja prosessien määrän siten, että ne eivät enää luo hälytyksiä.

Nopein tapa tunnistaa nämä tapahtumat on luoda raportteja Security Management Server -palvelimeen Advanced Threats -välilehden ja Advanced Threat Events - välilehden kautta. Raporttien tietojen avulla voit luoda tarvittavat ohitukset, jotta päätepisteiden luomien tapahtumien määrää voidaan vähentää.

Alla on kaksi tapaa hakea raportteja, jotka sisältävät luotavat tapahtumat.

Advanced Threats -välilehdessä näkyy ympäristössä käytettävissä olevien komentosarjojen luettelo ja komentosarjojen suoritusaikojen määrä. Tämä voidaan tehdä valitsemalla:

1. Enterprise
2. Kehittyneet uhat
3. Protection
4. Komentosarjojen hallinta
5. Vienti

Kuva 2: (Englanninkielinen) Vie komentosarjoja

Uhkatietoraportin ottaminen käyttöön antaa nopean tilannevedoksen siitä, mitä ympäristössä tapahtuu:

1. Enterprise
2. Kehittyneet uhat
3. Vaihtoehdot
   • Uhkatietoraportti

Kuva 3: (Englanninkielinen) Uhkatietoraportin tunnus

Kun olet saanut tunnuksen, voit luoda raportin URL-osoitteen kopioimalla Events -kohdan vieressä olevan URL-osoitteen ja korvaamalla [Token] ympäristösi tunnuteella.

Kuva 4: (Englanninkielinen) Luo raportin URL-osoite

Tee samat muistin suojauksen vaiheet.

Jos uhkatietoraporttia ei otettu käyttöön, Advanced Threat Events -tapahtumien tiedot voidaan viedä. Varmista, että saat kaikki tiedot, valitsemalla:

1. Enterprise
2. Kehittyneet uhkatapahtumat
3. Kirjoita
4. Tyhjennä kaikki muut vaihtoehdot paitsi Protection Status Changed (tämä vaihtoehto voi olla chatty, ja se annetaan tapahtumana, kun laite käynnistetään uudelleen).

Kuva 5: (Englanninkielinen) Suojauksen tilan muutos

Kun se on valittu:

1. Muuta aikaleima-arvoa.
2. Vienti

Kuva 6: (Englanninkielinen) Aikaleiman muuttaminen

Näiden tietojen avulla voidaan tarkistaa, mitä komentosarjoja suoritetaan usein, etsiä SHA256-hajautuksia ja suorittaa sijainteja sekä komentosarville että muistitapahtumille. Siten voidaan määrittää, onko ne lisättävä sallintaluetteloon ympäristössä.

ScriptsOverview_DATE.csv-tiedoston voi lajitella siten, miten monessa laitteessa komentosarja on havaittu (laitteiden määrä) ja miten monta kertaa se on ilmoitettu (hälytys tai esto).

Esimerkki 1

Kuva 7: (Englanninkielinen) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv-tiedoston avulla voidaan myös määrittää ympäristössä havaittuja muistitapahtumia. Lajittelu prosessin nimen mukaan voi auttaa tunnistamaan nopeasti suoritettavat tiedostot, joita useat laitteet käyttävät paljon, sekä luoda sijainteja poikkeuksia varten.

Esimerkki 2

Kuva 8: (Englanninkielinen) MemoryprotectionDataReport.csv

Voit sallia luettelon komentosarjat ja muistitapahtumat seuraavassa artikkelissa, jos ne ovat turvallisia ja odotettuja: Poikkeuksien lisääminen Dell Endpoint Security Suite Enterpriseen

Kun muistin suojausta ja komentosarjojen hallintaa varten on koottu asianmukaiset sallinnat, tapahtumien määrän pitäisi vähentyä merkittävästi eikä valvontatapahtumailmoituksia pitäisi näkyä, kun tila on loppumassa.

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.