Brama usługi ATA nie może wykonać zapytania dla kontrolera domeny przy użyciu protokołu LDAP - Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToQueryDCUsingLDAPProtocol (Rule) (PLK)

Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToQueryDCUsingLDAPProtocol (Rule)

Reguła umożliwiająca monitorowanie alertu Brama usługi Microsoft ATA 1.8 — nie można utworzyć zapytania dotyczącego kontrolera domeny przy użyciu protokołu LDAP w bramie usługi ATA

Knowledge Base article:

Podsumowanie

Nie można wykonać zapytania względem kontrolera domeny przy użyciu protokołu LDAP na poziomie bramy usługi ATA.

Rozwiązania

1. Sprawdź, czy konto użytkownika używane przez usługę ATA do nawiązania połączenia z domeną usługi Active Directory ma dostęp do odczytu do wszystkich obiektów w ramach drzewa usługi Active Directory.

Element properties:

Target

Microsoft.AdvancedThreatAnalytics.1_8.Gateway

Category

AvailabilityHealth

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

Alert dotyczący braku możliwości wykonania przez bramę usługi ATA zapytania dla kontrolera domeny przy użyciu protokołu LDAP

Nie można utworzyć zapytania dotyczącego kontrolera domeny przy użyciu protokołu LDAP w bramie usługi ATA
Plik dziennika: {0}
Katalog pliku dziennika: {1}
Dostawca dziennika: {2}
Zarejestrowany wiersz: {3}

Member Modules:

ID	Module Type	TypeId	RunAs
ATALogFile	DataSource	Microsoft.AdvancedThreatAnalytics.LogFileProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToQueryDCUsingLDAPProtocol" Enabled="true" Target="Microsoft.AdvancedThreatAnalytics.1_8.Gateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>AvailabilityHealth</Category> <DataSources> <DataSource ID="ATALogFile" TypeID="Microsoft.AdvancedThreatAnalytics.LogFileProvider"> <LogFileDirectory>$Target/Property[Type="Microsoft.AdvancedThreatAnalytics.1_8.Gateway"]/InstallationPath$\Logs</LogFileDirectory> <LogFilePattern>Microsoft.Tri.Gateway-Errors.log</LogFilePattern> <PublisherName>System.DirectoryServices.Protocols.LdapException</PublisherName> <ErrorStringContains>The LDAP server is unavailable</ErrorStringContains> </DataSource> </DataSources> <WriteActions> <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>2</Severity> <AlertMessageId>$MPElement[Name="Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToQueryDCUsingLDAPProtocol.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventData/DataItem/LogFileName$</AlertParameter1> <AlertParameter2>$Data/EventData/DataItem/LogFileDirectory$</AlertParameter2> <AlertParameter3>$Data/PublisherName$</AlertParameter3> <AlertParameter4>$Data/EventDescription$</AlertParameter4> </AlertParameters> <Suppression> <SuppressionValue>$Data/LoggingComputer$</SuppressionValue> <SuppressionValue>$Data/EventDescription$</SuppressionValue> </Suppression> </WriteAction> </WriteActions> </Rule>