Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Fehlerbehebung zu MDR-Integrationen

Hier werden die Fehler aufgelistet, die bei Integrationen von Drittanbietern auftreten können, die Sie zu Sophos Central hinzugefügt haben.

Wo immer möglich, erklären wir Ihnen, wie Sie häufige Probleme beheben können.

Die Liste umfasst die folgenden Abschnitte:

Um herauszufinden, welche Art von Integration Sie beheben möchten, gehen Sie zu Bedrohungsanalyse-Center > Integrationen und sehen Sie sich die Karte an.

Wir erweitern diese Seite, wenn die Anzahl der Integrationen von Drittanbietern zunimmt.

API-Integrationen

Diese Integrationen verwenden eine API, um eine Verbindung zum Produkt oder Service eines Drittanbieters herzustellen. Probleme treten häufig auf, wenn Sophos Central keine Verbindung zum Drittanbieter herstellen kann.

Jedes Produkt oder jeder Service eines Drittanbieters benötigt unterschiedliche Anmeldeinformationen, um eine Verbindung herzustellen. Wenn Sie Probleme haben, überprüfen Sie diese zuerst.

Wir haben allgemeine Fehler aufgelistet, die bei jeder API-basierten Integration auftreten können, sowie Fehler und Lösungen zu spezifischen Integrationen.

Prüfen Sie die allgemeinen Fehler vor den Fehlern zu spezifischen Integrationen.

Allgemeine Fehler

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Anmeldeinformationen.

Überprüfen Sie Ihre Authentifizierungsdaten für den Dienst eines Drittanbieters und versuchen Sie es erneut. Wenn die API einen geheimen Schlüssel benötigt, stellen Sie sicher, dass Sie ihn korrekt erstellt und ihm die richtigen Berechtigungen erteilt haben.

Dieser Fehler tritt beispielsweise auf, wenn die MS-Graph-API den Fehlercode 401 anzeigt.

Synchronisierung fehlgeschlagen um finish time wegen unzureichender Berechtigung.

Überprüfen Sie alle Anmeldeinformationen und Berechtigungen, die Sie beim Hinzufügen der Integration angegeben haben und stellen Sie sicher, dass diese korrekt sind.

Synchronisierung fehlgeschlagen um finish time wegen nicht erreichbaren Netzwerks.

Wenn in Ihrer Umgebung oder bei Ihrer Internetverbindung keine Netzwerkprobleme auftreten, kann dies zu Problemen mit dem Service eines Drittanbieters führen. Überprüfen Sie, ob der Service verfügbar ist.

Synchronisierung fehlgeschlagen um finish time wegen Anforderungsbegrenzung.

Anfragen von Sophos wurden vom Drittanbieter-Service gedrosselt. Im Folgenden finden Sie einige Beispiele dafür, warum Drosselung stattfindet (von der MS Graph Security-Integration):

  • Microsoft hat Ihre Verbindung gedrosselt (Microsoft-Fehlercode 429 – die Client-Anwendung wurde gedrosselt und sollte erst nach Ablauf einer bestimmten Zeit versuchen, die Anforderung zu wiederholen).

  • Microsoft hat Ihre Verbindung wegen Überschreitung der maximalen Bandbreitengrenze gedrosselt (Microsoft-Fehler 509 – Ihre Anwendung kann die Anforderung erneut versuchen, nachdem mehr Zeit verstrichen ist).

Synchronisierung fehlgeschlagen um finish time wegen eines Fehlers in der Quelle.

Beim Erreichen des Drittanbieterdienstes ist ein Problem aufgetreten. Versuchen Sie es später erneut.

Synchronisierung fehlgeschlagen um finish time wegen unbekanntem Fehler.

Es liegt ein internes Problem vor, bitte versuchen Sie es später erneut.

Synchronisierung fehlgeschlagen um finish time wegen abgelaufenen Anmeldeinformationen.

Die Anmeldeinformationen für die Integration sind abgelaufen. Beispielsweise kann ein API-Token, das im Drittanbieterprodukt erstellt wurde, nur 30 Tage lang gültig sein.

Synchronisierung fehlgeschlagen um finish time wegen ungültigem Zertifikat.

Das Zertifikat, das zum Einrichten einer benutzerdefinierten Domäne für eine Integration verwendet wird, ist ungültig. Sie müssen ein neues Zertifikat erstellen oder ein anderes verwenden.

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Domäne.

Die Domäne für den Dienst eines Drittanbieters ist falsch oder konnte nicht erreicht werden. Prüfen Sie die Domäne und versuchen Sie es erneut.

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Konfiguration.

Bei der Konfiguration ist ein Fehler aufgetreten, der nicht in eine andere Kategorie fällt. Sie müssen die gesamte Konfiguration überprüfen, um das Problem zu finden.

Blackberry Cylance

Synchronisierung fehlgeschlagen um finish time wegen unzureichender Berechtigung.

Wenn Sie den Anwendungsschlüssel für eine Cylance-Integration erstellen, müssen Sie die Zugriffsberechtigung für Detectionauswählen.

Weitere Informationen finden Sie im Abschnitt Erstellen eines geheimen Anwendungsschlüssels auf der Hilfeseite zu Cylance. Siehe Blackberry CylanceOPTICS.

Cisco Duo

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Anmeldeinformationen.

Die Integration verfügt nicht über ausreichende Berechtigungen, um Protokolle von der Duo-API abzurufen. Stellen Sie sicher, dass Sie in Duo die Berechtigung zum Lesen des Protokolls erteilt haben.

Weitere Informationen finden Sie im Abschnitt zum Beziehen der Details von Duo auf der Duo-Hilfeseite. Siehe Cisco Duo.

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Domäne.

Der Hostname ist ungültig. Stellen Sie sicher, dass Sie einen Hostname im Formular api-xxxxxxxx.duosecurity.com eingegeben haben. Verwenden Sie https:// nicht.

Weitere Informationen finden Sie im Abschnitt zum Hinzufügen einer Integration auf der Duo-Hilfeseite. Siehe Cisco Duo.

Fortinet FortiAnalyzer

Synchronisierung fehlgeschlagen um finish time wegen nicht erreichbaren Netzwerks.

Sie können diesen Fehler bei Verbindungsproblemen sehen oder, wenn die eingegebene Basis-URL ungültig ist. Dies kann passieren, wenn die eingegebene Basis-URL keinen öffentlich auflösbaren DNS-Eintrag hat. Die Integration funktioniert nur, wenn die Basis-URL öffentlich auflösbar ist.

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Domäne.

Dieser Fehler kann auftreten, wenn Sie eine Basis-URL eingegeben haben, die ungültig oder privat ist, d. h. nicht öffentlich auflösbar. Die Integration funktioniert nur, wenn die Basis-URL öffentlich auflösbar ist.

Synchronisierung fehlgeschlagen um finish time wegen ungültigem Zertifikat.

Ein selbstsigniertes Zertifikat wird verwendet, oder einige Teile der Kette fehlen oder sind unvollständig. Überprüfen Sie, ob das Zertifikat gültig und nicht selbstsigniert ist.

Mimecast

Synchronisierung fehlgeschlagen um finish time wegen unzureichender Berechtigung.

Die Integration verfügt nicht über die erforderlichen Berechtigungen, um Daten von Mimecast zu erhalten. Überprüfen Sie, ob Sie den Mimecast-Service-Benutzer mit den folgenden Berechtigungen korrekt erstellt haben:

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

Weitere Informationen finden Sie im Abschnitt zum Erstellen eines Service-Benutzers auf der Mimecast-Hilfeseite. Siehe Mimecast Email Security Cloud Gateway.

Synchronisierung fehlgeschlagen um finish time wegen abgelaufenen Anmeldeinformationen.

Die für die Mimecast-API verwendeten Anmeldeinformationen sind abgelaufen. Stellen Sie sicher, dass bei dem von Ihnen erstellten Mimecast-Service-Benutzer Authentication Cache TTL auf Never Expire eingestellt ist, wie im Abschnitt zum Erstellen eines Service-Benutzers auf der Mimecast-Hilfeseite beschrieben. Siehe Mimecast Email Security Cloud Gateway.

Synchronisierung fehlgeschlagen um finish time wegen ungültiger Konfiguration.

Wenn alle anderen von Ihnen angegebenen Anmeldeinformationen korrekt sind, kann dies bedeuten, dass die Anwendungs-ID falsch ist. Überprüfen Sie, ob sie gültig ist.

Okta

Synchronisierung fehlgeschlagen um finish time wegen ungültigem Zertifikat.

Das Zertifikat für die Okta-Basis-URL ist ungültig. Überprüfen Sie, ob es gültig ist.

Protokollsammler-Integrationen

Diese Integrationen verwenden den Protokollsammler von Sophos, um Daten aus dem Drittanbieterprodukt zu sammeln und dem Sophos Data Lake hinzuzufügen. Hierzu zählt auch die Sophos NDR-Integration.

Der Sophos-Protokollsammler ist eine virtuelle Appliance (VA), die eine Verbindung zu einem Produkt und einem Service eines Drittanbieters herstellt, um Netzwerkpakete an den Sophos Data Lake weiterzuleiten. Die Daten können dann im Bedrohungsanalyse-Center analysiert werden.

Sie müssen verschiedene Schritte unternehmen, um eine Verbindung zu jedem Produkt oder Service eines Drittanbieters herzustellen. Auf der Hilfeseite finden Sie Informationen zur Integration, um sicherzustellen, dass Sie alle Schritte ausgeführt haben. Siehe Integrationen.

Wir haben allgemeine Fehler aufgelistet, die bei jeder Protokollsammler-Integration auftreten können, sowie Fehler und Lösungen zu spezifischen Integrationen.

Allgemeine Fehler mit Protokollsammlern

Diese Probleme können bei jeder Integration von Protokollsammlern auftreten.

Der Protokollsammler wird nicht auf der von uns verwendeten virtuellen Maschinen-Plattform ausgeführt.

Derzeit läuft die VA nur auf VMware ESXi 6.7 oder höher. Wir fügen in Zukunft weitere Plattformen hinzu.

Der Status meiner Integration in Datensammler zeigt, dass Probleme aufgetreten sind.

Die Integration kann keine Verbindung zu dem entsprechenden Produkt oder Service eines Drittanbieters herstellen. Stellen Sie sicher, dass keine Netzwerkprobleme eine Verbindung verhindern.

Meine Daten werden nicht vom Protokollsammler weitergeleitet

Dafür kann es viele Gründe geben. Wir empfehlen, die Dokumentation für die Integration durchzugehen und zu überprüfen, ob Sie in der Drittanbieter-Anwendung alles eingerichtet haben, damit der Protokollsammler eine Verbindung herstellen kann.

Virtuelle Sophos NDR-Appliance (VA)

Die Sophos NDR VA leitet nicht alle relevanten Informationen an den Sophos Data Lake weiter.

Die virtuelle Maschine, auf der die VA gehostet wird, wird möglicherweise nicht hinreichend mit Strom versorgt. Lesen Sie den Dimensionierungsleitfaden für den ESXi-Server und ändern Sie die Einstellungen der VM. Siehe Leitfaden zur Größenorientierung für Sophos NDR VM.