De melding "Your audit database has reached least 95% of its maximum allotted storage" oplossen in Dell Security Management Server

Betreffende producten:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Mogelijk ziet u een kritieke melding die is geregistreerd in uw Dell Security Management Server console: Uw auditdatabase heeft 95% van de maximale storagetoewijzing van 2 GB bereikt.

Afbeelding 1: (Alleen In het Engels) Dell Security Management Server meldingen

Dit artikel beschrijft wat de melding aangeeft en bevat enkele herstelstappen die kunnen worden ondernomen om het aantal gebeurtenissen dat wordt gegenereerd te verminderen.

In de auditdatabase worden gebeurtenissen opgeslagen die worden geüpload vanaf eindpunten waarop Advanced Threat Protection, Web Control en Firewall (indien ingeschakeld) plug-ins worden uitgevoerd. Enkele voorbeelden van gebeurtenissen zijn bedreigingen die worden gevonden, bedreigingen die worden beëindigd of in quarantaine worden geplaatst en scripts die worden geblokkeerd of beëindigd. De gebeurtenissen die in de auditdatabase worden opgeslagen, zijn te vinden onder Enterprise > Advanced Threat Events in de Security Management Server console.

Wanneer de auditdatabase 95% van de maximale toegewezen grootte bereikt, registreert deze de bovenstaande melding in de serverconsole. De auditdatabase voert elke twee uur een batchtaak uit om oudere gebeurtenissen bij te werken en ruimte te maken voor nieuwere gebeurtenissen. De grootte van de auditdatabase kan indien nodig worden verhoogd naar de standaardwaarden voor grotere omgevingen. Neem contact op met Dell Data Security ProSupport referentie Dell Data Security International Support telefoonnummers voor het wijzigen van de configuratie.

De meeste gegenereerde eindpunten voor gebeurtenissen (mogelijk op veel verschillende apparaten) zijn het gevolg van scriptcontrole-gebeurtenissen of geheugenbeveiligings gebeurtenissen die herhaaldelijk worden uitgevoerd. Om het aantal gegenereerde gebeurtenissen te verminderen, kunt u bekende veilige scripts en processen uitsluiten of toestaan, zodat ze geen waarschuwingen meer genereren.

De snelste manier om deze gebeurtenissen te identificeren is door rapporten te genereren op de Security Management Server, via het tabblad Geavanceerde bedreigingen en het tabblad Geavanceerde bedreigings gebeurtenissen . Met behulp van de informatie in de rapporten kunt u de noodzakelijke uitsluitingen bouwen om het aantal gebeurtenissen dat door eindpunten wordt gegenereerd te verminderen.

Er zijn twee onderstaande methoden die kunnen worden gebruikt om rapporten op te halen die de gebeurtenissen leveren die worden gegenereerd.

Op het tabblad Geavanceerde bedreigingen kunnen we de lijst met scripts ophalen die in de omgeving aanwezig zijn en het aantal keren dat de scripts zijn uitgevoerd. U kunt dit doen door het selecteren van:

1. Enterprise
2. Geavanceerde bedreigingen
3. Bescherming
4. Scriptcontrole
5. Exporteren

Afbeelding 2: (Alleen In het Engels) Scripts exporteren

Het inschakelen van het Bedreigingsdatarapport biedt een snelle snapshot van wat er in de omgeving gebeurt. Dit is onder:

1. Enterprise
2. Geavanceerde bedreigingen
3. Opties
   • Rapport over bedreigingsdata

Afbeelding 3: (Alleen In het Engels) Token bedreigingsdatarapport

Zodra u het token hebt, kunt u een rapport-URL maken door de URL naast Gebeurtenissen te verwijderen en [Token] te vervangen door het token voor uw omgeving.

Afbeelding 4: (Alleen In het Engels) Een rapport-URL maken

Voer dezelfde stappen uit voor geheugenbeveiliging.

Als het Rapport bedreigingsdata niet is ingeschakeld, kunnen de data van Advanced Threat Events in plaats daarvan worden geëxporteerd. Om ervoor te zorgen dat u alle data ontvangt, selecteert u:

1. Enterprise
2. Geavanceerde bedreigingsevenementen
3. Typ
4. Wis alle opties, behalve de gewijzigde beveiligingsstatus (deze optie kan chatty zijn en wordt ingevoerd als een gebeurtenis wanneer het apparaat opnieuw wordt opgestart).

Afbeelding 5: (Alleen In het Engels) Statuswijziging beveiliging

Zodra dit is geselecteerd:

1. Wijzig de tijdstempelwaarde.
2. Exporteren

Afbeelding 6: (Alleen In het Engels) De tijdstempel wijzigen

Met deze data kunnen we zien welke scripts vaak worden uitgevoerd, de SHA256-hashes vinden en locaties uitvoeren voor zowel die scripts als geheugen gebeurtenissen. Hierdoor kunnen we bepalen of deze moeten worden toegevoegd aan de allowlist in de omgeving.

De ScriptsOverview_DATE.csv kan worden gesorteerd om te bepalen op hoeveel apparaten een script is waargenomen (aantal apparaten) en hoe vaak het is gemeld (Waarschuwing of Blokkeren).

Voorbeeld 1

Afbeelding 7: (Alleen In het Engels) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv kan ook worden gebruikt om geheugen gebeurtenissen te bepalen die zijn waargenomen in de omgeving. Sorteren op de procesnaam kan helpen om snel uitvoerbare bestanden te identificeren die zwaar worden uitgevoerd door verschillende apparaten en helpen bij het bouwen van locaties waar uitsluitingen nodig kunnen zijn.

Voorbeeld 2

Afbeelding 8: (Alleen In het Engels) MemoryprotectionDataReport.csv

Het onderstaande artikel kan worden gebruikt om scripts en geheugen gebeurtenissen toe te staan als ze als veilig worden beschouwd en verwacht: Uitsluitingen toevoegen in Dell Endpoint Security Suite Enterprise.

Zodra we de juiste allowlists voor Geheugenbeveiliging en Scriptcontrole hebben gebouwd, zou het aantal gebeurtenissen per dag drastisch moeten verminderen en zou het niet meer moeten voorkomen dat de auditgebeurtenissen worden weergegeven wanneer er onvoldoende ruimte is.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.