Home
  •  

Hay una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina.

Microsoft.AdvancedThreatAnalytics.1_7.Gateway.HostEntryInHOSTSFile (Rule)

Regla de supervisión de puerta de enlace de Microsoft ATA 1.7: hay una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina.

Knowledge Base article:

Resumen

Hay una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina.

Soluciones

Quite la entrada de host del archivo C:\Windows\System32\drivers\etc\HOSTS o cámbiela por un FQDN.

Element properties:

TargetMicrosoft.AdvancedThreatAnalytics.1_7.Gateway
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Alerta sobre la presencia de una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina.

Hay una entrada de host en el archivo HOSTS que apunta al nombre corto de la máquina.
Archivo de registro: {0}
Directorio del archivo de registro: {1}
Proveedor de registro: {2}
Fila registrada: {3}

Member Modules:

ID Module Type TypeId RunAs 
ATALogFile DataSource Microsoft.AdvancedThreatAnalytics.LogFileProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AdvancedThreatAnalytics.1_7.Gateway.HostEntryInHOSTSFile" Enabled="true" Target="Microsoft.AdvancedThreatAnalytics.1_7.Gateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="ATALogFile" TypeID="Microsoft.AdvancedThreatAnalytics.LogFileProvider">

      <LogFileDirectory>$Target/Property[Type="Microsoft.AdvancedThreatAnalytics.1_7.Gateway"]/InstallationPath$\Logs</LogFileDirectory>

      <LogFilePattern>Microsoft.Tri.Gateway-Errors.log</LogFilePattern>

      <PublisherName>System.ApplicationException</PublisherName>

      <ErrorStringContains>Unable to start ETW session MMA-ETW-Livecapture</ErrorStringContains>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AdvancedThreatAnalytics.1_7.Gateway.HostEntryInHOSTSFile.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventData/DataItem/LogFileName$</AlertParameter1>

        <AlertParameter2>$Data/EventData/DataItem/LogFileDirectory$</AlertParameter2>

        <AlertParameter3>$Data/PublisherName$</AlertParameter3>

        <AlertParameter4>$Data/EventDescription$</AlertParameter4>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

        <SuppressionValue>$Data/EventDescription$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>