Så här löser du meddelandet "Din granskningsdatabas har nått minst 95 % av den maximala tilldelade lagringen" i Dell Security Management Server

Berörda produkter:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Du kan se ett viktigt meddelande som är loggat i Dell Security Management Server-konsolen: Din granskningsdatabas har nått 95 % av den maximala lagringstillsättningen 2 GB.

Bild 1: (Endast på engelska) Dell Security Management Server-aviseringar

I den här artikeln beskrivs vad meddelandet anger och innehåller några åtgärder som kan vidtas för att minska antalet händelser som genereras.

I granskningsdatabasen lagras händelser som har överförts från slutpunkter som kör insticksprogram för Advanced Threat Protection, Webbkontroll och Brandvägg (om aktiverat). Några exempel på händelser kan vara hot som hittas, hot som avslutas eller sätts i karantän och skript blockeras eller avslutas. De händelser som lagras i granskningsdatabasen finns under Enterprise > Advanced Threat Events i Security Management Server-konsolen.

När granskningsdatabasen når 95 % av den maximala tilldelade storleken loggar den meddelandet ovan i serverkonsolen. Granskningsdatabasen kör ett batchjobb varannan timme för att minska äldre händelser och ge utrymme för nyare händelser. Revisionsdatabasens storlek kan ökas till standardvärden för större miljöer om det behövs. Kontakta Dell Data Security ProSupport och hänvisa till dells internationella supporttelefonnummer för att ändra konfigurationen.

De flesta händelser som genereras (möjligt på många olika enheter) härrör från Script Control-händelser eller minnesskyddshändelser som körs upprepade gånger. Om du vill minska antalet händelser som slutpunkter genererar kan du exkludera eller tillåta lista kända säkra skript och processer så att de inte längre genererar varningar.

Det snabbaste sättet att identifiera dessa händelser är genom att generera rapporter på Security Management Server, via fliken Advanced Threats och fliken Advanced Threat Events . Med hjälp av informationen i rapporterna kan du skapa de undantag som krävs för att minska antalet händelser som genereras av slutpunkter.

Det finns två metoder nedan som kan användas för att hämta rapporter som ger de händelser som genereras.

På fliken Advanced Threats kan vi hämta en lista över skript som finns i miljön och hur många gånger skripten har körts. Det kan du göra genom att välja:

1. Företag
2. Avancerade hot
3. Skydd
4. Skriptkontroll
5. Exportera

Bild 2: (Endast på engelska) Exportera skript

Om du aktiverar rapporten Threat Data (hotdata) får du en snabb ögonblicksbild av vad som händer i miljön, under:

1. Företag
2. Avancerade hot
3. Alternativ
   • Hotdatarapport

Bild 3: (Endast på engelska) Token för hotdatarapporter

När du har token kan du skapa en rapport-URL genom att hantera URL-adressen bredvid Händelser och ersätta [Token] med token för din miljö.

Bild 4: (Endast på engelska) Skapa en rapport-URL

Utför samma steg för Memory Protection.

Om rapporten Threat Data inte var aktiverad kan data från Advanced Threat Events exporteras i stället. För att se till att du får alla data väljer du:

1. Företag
2. Avancerade hothändelser
3. Typ
4. Rensa alla alternativ utom skyddsstatusen har ändrats (det här alternativet kan chatta och anges som en händelse när enheten startas om).

Bild 5: (Endast på engelska) Statusändring för skydd

När du har valt det här:

1. Ändra tidsstämpelvärdet.
2. Exportera

Bild 6: (Endast på engelska) Ändra tidsstämpeln

Med dessa data kan vi se vilka skript som körs ofta, hitta SHA256-hash-kommandon och köra platser för både dessa skript och minneshändelser. På så sätt kan vi avgöra om dessa måste läggas till i allowlist i miljön.

ScriptsOverview_DATE.csv kan sorteras för att fastställa hur många enheter ett skript har visats på (antal enheter) och hur många gånger det har rapporterats (Alert eller Block).

Exempel 1

Bild 7: (Endast på engelska) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv kan även användas för att fastställa minneshändelser som har visats i miljön. Genom att sortera efter processnamnet kan du snabbt identifiera körbara filer som körs mycket av flera enheter och hjälpa till att bygga platser där undantag kan krävas.

Exempel 2

Bild 8: (Endast på engelska) MemoryprotectionDataReport.csv

Nedanstående artikel kan användas för att tillåta lista skript och minneshändelser om de anses vara säkra och förväntade: Lägga till undantag i Dell Endpoint Security Suite Enterprise.

När vi har skapat lämpliga listor för Memory Protection och Script Control bör antalet händelser per dag minskas drastiskt och du bör eliminera att se meddelandena om granskningshändelser när utrymmet håller på att ta slut.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.