如何解决 Dell Security Management Server 中的“Your audit database has reached least 95% its maximum allotted storage” 通知

Summary: Dell Security Management Server 收到通知,“您的审核数据库已达到其最大分配存储的至少 95%”。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

受影响的产品:

  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

您可能会看到记录在 Dell Security Management Server 控制台中的严重通知:您的审核数据库已达到其最大存储分配量的 95% 2 GB

Dell Security Management Server 通知
图 1:(仅限英文)Dell Security Management Server 通知

本文介绍了通知指示的内容,并提供了一些补救步骤,可以采取这些步骤来减少生成的事件数量。

Cause

审核数据库存储从运行高级威胁保护、Web 控制和防火墙(如果已启用)插件的端点上传的事件。一些事件示例包括发现威胁、威胁被终止或隔离以及脚本被阻止或终止。存储在审核数据库中的事件可在安全管理服务器控制台的 Enterprise > Advanced Threat Events 下找到。

当审核数据库达到其最大分配大小的 95% 时,它会在服务器控制台中记录上述通知。审核数据库每两小时运行一次批处理作业,以修剪较旧的事件并为较新的事件腾出空间。如果需要,可以将审核数据库大小增加到较大环境的默认值。请联系 Dell Data Security ProSupport,参考 Dell Data Security 国际支持电话号码 来修改配置。

提醒: 安全管理服务器 v10.2.3 及更高版本在审核数据库清理机制中进行了性能改进。

生成的大多数事件端点(可能在许多不同的设备上)将源自 重复运行的脚本控制事件内存保护事件 。要减少端点生成的事件数量,您可以排除或允许列出已知的安全脚本和进程,以便它们不再生成警报。

Resolution

识别这些事件的最快方法是通过“ 高级威胁 ”选项卡和“ 高级威胁事件 ”选项卡在安全管理服务器上生成报告。使用报告中的信息,您可以构建必要的排除条件,以减少端点生成的事件数。

下面有两种方法可用于提取提供生成的事件的报告。

Advanced Threat 选项卡中,我们可以获取环境中存在的脚本列表以及脚本运行次数。可以通过选择以下选项来完成此操作:

  1. 企业
  2. 高级威胁
  3. 保护
  4. 脚本控制
  5. 导出

导出脚本
图 2:(仅限英文)导出脚本

启用威胁数据报告可提供有关环境中发生情况的快速快照,如下所示:

  1. 企业
  2. 高级威胁
  3. Options(“选项”)
    • 威胁数据报告

 

提醒: 每天生成数据。如果尚未启用威胁数据报告,则可能需要长达 24 小时才能获得数据。

 

威胁数据报告令牌
图 3:(仅限英文)威胁数据报告令牌

拥有令牌后,您可以通过应对事件旁边的 URL 并将 [令牌] 替换为环境的令牌来构建报告 URL。

构建报告 URL
图 4:(仅限英文)构建报告 URL

内存保护执行相同的步骤。

如果未启用威胁数据报告,则可以导出来自 高级威胁事件 的数据。要确保您收到所有数据,请选择:

  1. 企业
  2. 高级威胁事件
  3. 键入
  4. 清除除 Protection Status Changed 以外的所有选项(此选项可以是 chatty,并在设备重新启动时作为事件输入)。

保护状态更改
图 5:(仅限英文)保护状态更改

选择此选项后:

  1. 修改时间戳值。
  2. 导出

修改时间戳
图 6:(仅限英文)修改时间戳

使用这些数据,我们可以看到哪些脚本经常运行,查找 SHA256 哈希,以及这些脚本和内存事件的运行位置。这使我们能够确定是否必须将这些内容添加到环境中的允许列表中。

可以对 ScriptsOverview_DATE.csv 进行排序,以确定脚本在(设备数量)上看到多少个设备,以及报告的次数(警报或数据块)。

示例 1

ScriptsOverview_Date.csv
图 7:(仅限英文)ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv 还可用于确定环境中出现的内存事件。按 流程名称 排序可帮助快速识别由多个设备大量运行的可执行文件,并帮助为可能需要排除的位置构建位置。

示例 2

MemoryprotectionDataReport.csv
图 8:(仅限英文)MemoryprotectionDataReport.csv

以下文章可用于允许列表脚本和内存事件(如果它们被视为安全且预期):如何在 Dell Endpoint Security Suite Enterprise 中添加排除项。

一旦我们为内存保护和脚本控制构建了适当的允许列表,每天的事件数量应该会显著减少,并且应该消除在空间不足时看到审核事件通知的情况。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000129620
Article Type: Solution
Last Modified: 14 Aug 2023
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.