如何解決 Dell Security Management Server 中「您的稽核資料庫已達到其最大配置儲存裝置的 95%」通知

Summary: Dell Security Management Server 收到通知:「您的稽核資料庫已達到其最大配置儲存裝置的 95%」。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

受影響的產品:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

您可能會在 Dell Security Management Server 主控台看到記錄的重要通知:您的稽核資料庫已達到 2 GB 儲存裝置分配上限的 95%。

Dell Security Management Server 通知
圖 1:(僅限英文)Dell Security Management Server 通知

本文說明通知所指出的內容,並提供一些補救步驟,以減少產生的事件數目。

Cause

稽核資料庫會儲存從執行進階威脅保護、Web 控制和防火牆 (若已啟用) 外掛程式的端點上傳的事件。某些事件範例會是發現威脅、威脅遭到終止或隔離,以及指令檔遭到封鎖或終止。您可以在 Security Management Server 主控台的 Enterprise > Advanced Threat Events 底下找到儲存在稽核資料庫中的事件。

當稽核資料庫達到其最大配置大小的 95% 時,它會在伺服器主控台中記錄上述通知。稽核資料庫每兩小時執行一次批次處理工作,以減少較舊的事件,並為較新的事件騰出空間。若有需要,稽核資料庫大小可以增加到大型環境的預設值。如需修改組態,請聯絡 Dell Data Security ProSupport 參考Dell Data Security International 支援電話號碼

注意:Security Management Server v10.2.3 和更新版本在稽核資料庫清理機制中有效能改善。

產生的大部分事件端點 (可能在許多不同的裝置上) 將來自 腳本控制事件 或重複執行的 記憶體保護事件 。若要減少端點產生的事件數目,您可以排除或允許列出已知的安全腳本和程式,使其不再產生警示。

Resolution

識別這些事件的最快方法是透過「進階 威脅 」標籤和「進階 威脅事件 」標籤,在安全性管理伺服器上產生報告。您可以使用報告中的資訊建立必要的排除專案,以減少端點產生的事件數量。

以下有兩種方法可用來提取報告,以提供產生的事件。

在「 進階威脅 」標籤中,我們可以取得環境中顯示的腳本清單,以及執行腳本的次數。您可以選取以下方式完成:

  1. Enterprise
  2. 進階威脅
  3. 保護
  4. 指令檔控制
  5. 匯出

匯出腳本
圖 2:(僅限英文)匯出腳本

啟用威脅資料包告可快速快照環境中正在發生的一切,如下所示:

  1. Enterprise
  2. 進階威脅
  3. 選項
    • 威脅資料報告

 

注意:資料會每日產生。如果威脅資料包告尚未啟用,資料可用可能需要長達 24 小時的時間。

 

威脅資料包告權杖
圖 3:(僅限英文)威脅資料包告權杖

擁有權杖後,您可以透過對應事件旁的 URL,並將 [Token] 更換為環境的權杖來建立報告 URL。

建立報告 URL
圖 4:(僅限英文)建立報告 URL

記憶體保護執行相同的步驟。

如果未啟用威脅資料包告,可以改為匯出「 進階威脅事件 」中的資料。為確保您收到所有資料,請選取:

  1. Enterprise
  2. 進階威脅事件
  3. 類型
  4. 清除除 保護狀態變更以外的所有選項 (此選項可以是交談,並在裝置重新開機時輸入為事件)。

保護狀態變更
圖 5:(僅限英文)保護狀態變更

選取後:

  1. 修改時間戳記值。
  2. 匯出

修改時間戳記
圖 6:(僅限英文)修改時間戳記

透過此資料,我們可以看到經常執行哪些腳本、尋找 SHA256 雜湊,以及執行這些腳本和記憶體事件的位置。這可讓我們決定這些內容是否必須新增至環境中的允許清單中。

您可以排序 ScriptsOverview_DATE.csv ,以判斷指令檔在 (裝置數量) 上看到多少個裝置,以及報告次數 (警示或區塊)。

範例 #1

ScriptsOverview_Date.csv
圖 7:(僅限英文)ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv也可用來判斷環境中出現的記憶體事件。透過 「程式名稱 」進行排序,有助於快速識別由數部裝置大量執行的可執行檔,並協助建立可能需要排除專案的位置。

範例 #2

MemoryprotectionDataReport.csv
圖 8:(僅限英文)MemoryprotectionDataReport.csv

如果腳本和記憶體事件被視為安全且預期,則可使用以下文章來允許其清單腳本和記憶體事件:如何在 Dell Endpoint Security Suite Enterprise 中新增排除專案

建立適當的記憶體保護和腳本控制允許清單後,每天的事件數量應該會大幅減少,而且應該不會在空間用盡時看到稽核事件通知。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000129620
Article Type: Solution
Last Modified: 14 Aug 2023
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.