Dell Security Management Serverで「監査データベースが割り当てられたストレージの最大容量の95%以上に達しました」という通知を解決する方法

Summary: Dell Security Management Server は、「Your audit database has reached least 95% of its maximum allotted storage」という通知を受信します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

対象製品:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

Dell Security Management Server コンソールに重大な通知が記録される場合があります。監査データベースは、最大ストレージ割り当て容量の95%に達しました。2 GB

Dell Security Management Server の通知
図1: (英語のみ)Dell Security Management Server の通知

この記事では、通知が示す内容について説明し、生成されるイベントの数を減らすために実行できる改善手順について説明します。

Cause

監査データベースには、Advanced Threat Protection、Web Control、ファイアウォール(有効な場合)プラグインを実行しているエンドポイントからアップロードされたイベントが格納されます。イベントの例としては、検出された脅威、脅威の終了または隔離、スクリプトのブロックまたは終了などがあります。監査データベースに格納されているイベントは、 Security Management Server コンソールの Enterprise > Advanced Threat Events の下にあります。

監査データベースが最大割り当てサイズの95%に達すると、サーバー コンソールに上記の通知が記録されます。監査データベースは、2時間ごとにバッチ ジョブを実行して、古いイベントをトリミングし、新しいイベントの余地を作ります。監査データベースのサイズは、必要に応じて大規模な環境のデフォルト値に増やすことができます。構成を変更するには、 Dell Data Security ProSupport に連絡してください。 Dell Data Security International Support の電話番号 を参照してください。

注:Security Management Server v10.2.3 以降では、監査データベースクリーンアップメカニズムのパフォーマンスが向上しています。

生成されるイベント エンドポイントのほとんどは(多くの異なるデバイスで可能)、 スクリプト制御イベント または繰り返し実行される メモリー保護イベント に起因します。エンドポイントが生成するイベントの数を減らすには、既知の安全なスクリプトとプロセスを除外または許可リストに追加して、アラートが生成されないようにすることができます。

Resolution

これらのイベントを最も迅速に識別する方法は、Security Management Serverの[ Advanced Threats ]タブと[ Advanced Threat Events ]タブを使用してレポートを生成することです。レポートの情報を使用して、必要な除外を作成して、エンドポイントによって生成されるイベントの数を減らすことができます。

生成されるイベントを提供するレポートを取得するために使用できる方法は、次の2つあります。

[高度な脅威]タブでは、環境内に存在するスクリプトのリストと、スクリプトが実行された回数を取得できます。これを行うには、次のオプションを選択します。

  1. Enterprise
  2. Advanced Threats
  3. データプロテクション
  4. スクリプト制御
  5. エクスポート

スクリプトのエクスポート
図2:(英語のみ)スクリプトのエクスポート

Threat Data Reportを有効にすると、環境で何が起こっているかについての簡単なスナップショットが提供されます。これは次のとおりです。

  1. Enterprise
  2. Advanced Threats
  3. オプション
    • [Threat Data Report]

 

注:データは毎日生成されます。Threat Data Reportがまだ有効になっていない場合は、データが使用可能になるまでに最大24時間かかる場合があります。

 

脅威データ レポート トークン
図3:(英語のみ)脅威データ レポート トークン

トークンを取得したら、[Events]の横にあるURLを使用してレポートURLを作成し、[Token]を使用する環境のトークンに置き換えることができます。

レポートURLの作成
図4:(英語のみ)レポートURLの作成

メモリー保護にも同じ手順を実行します。

脅威データ レポートが有効になっていない場合は、代わりに Advanced Threat Events のデータをエクスポートできます。すべてのデータを確実に受信するには、次の項目を選択します。

  1. Enterprise
  2. 高度な脅威イベント
  3. 次のコマンドを入力します。
  4. 保護ステータスの変更を除くすべてのオプションをクリアします(このオプションはチャット可能で、デバイスの再起動時にイベントとして入力されます)。

保護ステータスの変更
図5:(英語のみ)保護ステータスの変更

これが選択されたら、次の手順を実行します。

  1. タイムスタンプの値を変更します。
  2. エクスポート

タイムスタンプの変更
図6:(英語のみ)タイムスタンプの変更

このデータを使用すると、どのスクリプトが頻繁に実行されているかを確認し、SHA256ハッシュを検索し、これらのスクリプトとメモリー イベントの両方の場所を実行できます。これにより、環境内の許可リストに追加する必要があるかどうかを判断できます。

ScriptsOverview_DATE.csvをソートして、スクリプトが表示されたデバイスの数(デバイス数)と報告された回数(アラートまたはブロック)を判断できます。

例#1

ScriptsOverview_Date.csv
図7:(英語のみ)ScriptsOverview_Date.csv

MemoryprotectionDataReport.csvを使用して、環境内で発生したメモリー イベントを特定することもできます。プロセス名でソートすると、複数のデバイスによって頻繁に実行されている実行可能ファイルを迅速に特定し、除外が必要な場所を構築するのに役立ちます。

例#2

MemoryprotectionDataReport.csv
図8:(英語のみ)MemoryprotectionDataReport.csv

以下の記事は、安全で期待される場合に、許可リスト スクリプトとメモリー イベントに使用できます。Dell Endpoint Security Suite Enterpriseで除外を追加する方法

メモリー保護とスクリプト制御の適切な許可リストを作成すると、1日あたりのイベント数が大幅に減少し、領域不足時に監査イベント通知が表示されないようにする必要があります。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000129620
Article Type: Solution
Last Modified: 14 Aug 2023
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.