Como resolver a notificação "Seu banco de dados de auditoria atingiu pelo menos 95% de seu armazenamento máximo alocado" no Dell Security Management Server

Produtos afetados:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Você pode ver uma notificação crítica registrada no console do Dell Security Management Server: Seu banco de dados de auditoria atingiu 95% de sua alocação máxima de armazenamento de 2 GB.

Figura 1: (Somente em inglês) Notificações do Dell Security Management Server

Este artigo descreve o que a notificação indica e fornece algumas etapas de correção que podem ser tomadas para reduzir o número de eventos gerados.

O banco de dados de auditoria armazena eventos que são carregados de endpoints que executam plug-ins Advanced Threat Protection, Web Control e Firewall (se ativado). Alguns exemplos de eventos seriam ameaças que estão sendo encontradas, ameaças sendo encerradas ou colocadas em quarentena e scripts sendo bloqueados ou encerrados. Os eventos que estão sendo armazenados no banco de dados de auditoria podem ser encontrados em Enterprise > Advanced Threat Events no console do Security Management Server.

Quando o banco de dados de auditoria atinge 95% de seu tamanho máximo alocado, ele registra a notificação acima no console do servidor. O banco de dados de auditoria executa um trabalho em lote a cada duas horas para cortar eventos mais antigos e criar espaço para eventos mais recentes. O tamanho do banco de dados de auditoria pode ser aumentado para valores padrão para ambientes maiores, se necessário. Entre em contato com o Dell Data Security ProSupport para consultar os números de telefone do suporte internacional do Dell Data Security para modificar a configuração.

A maioria dos eventos gerados por endpoints (possível em muitos dispositivos diferentes) será originado de eventos de controle de script ou eventos de proteção de memória que estão sendo executados repetidamente. Para reduzir o número de eventos que os endpoints geram, você pode excluir ou permitir scripts e processos seguros conhecidos para que eles não gerem mais alertas.

A maneira mais rápida de identificar esses eventos será gerando relatórios no Security Management Server, por meio da guia Ameaças avançadas e da guia Eventos de ameaça avançada. Usando as informações nos relatórios, você pode criar as exclusões necessárias para reduzir o número de eventos gerados pelos endpoints.

Há dois métodos abaixo que podem ser usados para extrair relatórios que fornecem os eventos que estão sendo gerados.

Na guia Ameaças avançadas , podemos obter a lista de scripts presentes no ambiente e o número de vezes que os scripts foram executados. Isso pode ser feito selecionando:

1. Enterprise
2. Ameaças avançadas
3. Proteção
4. Script Control
5. Exportar

Figura 2: (Somente em inglês) Exportar scripts

A ativação do relatório de dados de ameaças fornece um snapshot rápido sobre o que está acontecendo no ambiente em:

1. Enterprise
2. Ameaças avançadas
3. Opções
   • Relatório de dados de ameaças

Figura 3: (Somente em inglês) Token de relatório de dados de ameaças

Depois de ter o token, você pode criar uma URL de relatório copiando a URL ao lado de Events e substituindo [Token] pelo token para seu ambiente.

Figura 4: (Somente em inglês) Criar uma URL de relatório

Execute as mesmas etapas para Proteção de memória.

Se o Relatório de dados de ameaças não estiver ativado, os dados de Eventos de ameaça avançada poderão ser exportados em vez disso. Para garantir que você receba todos os dados, selecione:

1. Enterprise
2. Eventos de ameaças avançadas
3. Tipo
4. Desmarque todas as opções, exceto Status de proteção alterado (essa opção pode ser chat e é inserida como um evento quando o dispositivo é reinicializado).

Figura 5: (Somente em inglês) Alteração do status de proteção

Depois que isso for selecionado:

1. Modifique o valor de registro de data e hora.
2. Exportar

Figura 6: (Somente em inglês) Modificar o registro de data e hora

Com esses dados, podemos ver quais scripts são executados com frequência, localizar os hashes SHA256 e executar locais para esses scripts e eventos de memória. Isso nos permite determinar se eles devem ser adicionados à lista de permissões no ambiente.

O ScriptsOverview_DATE.csv pode ser classificados para determinar em quantos dispositivos um script foi visto (nº de dispositivos) e quantas vezes ele foi relatado (alerta ou block).

Exemplo 1

Figura 7: (Somente em inglês) ScriptsOverview_Date.csv

O MemoryprotectionDataReport.csv também pode ser usado para determinar eventos de memória que foram vistos no ambiente. A classificação pelo nome do processo pode ajudar a identificar rapidamente os executáveis que estão sendo executados intensamente por vários dispositivos e ajudar a criar locais onde as exclusões podem ser necessárias.

Exemplo 2

Figura 8: (Somente em inglês) MemoryprotectionDataReport.csv

O artigo abaixo pode ser usado para permitir scripts e eventos de memória se forem considerados seguros e esperados: Como adicionar exclusões no Dell Endpoint Security Suite Enterprise.

Depois de criarmos as listas de permissão apropriadas para Proteção de memória e Controle de scripts, o número de eventos por dia deve reduzir drasticamente e eliminar a visualização das notificações de eventos de auditoria quando estiver ficando sem espaço.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.