Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Resolución de problemas con las integraciones de MDR

Aquí se enumeran los errores que puede ver y los problemas que puede tener con las integraciones de terceros que ha añadido a Sophos Central.

Siempre que sea posible, le indicamos cómo solucionar problemas comunes.

La lista consta de las siguientes secciones:

Para averiguar para qué tipo de integración está solucionando el problema, vaya a Centro de análisis de amenazas > Integraciones y consulte la ficha.

Iremos añadiendo más información a esta página a medida que aumente el número de integraciones de terceros.

Integraciones basadas en API

Estas integraciones utilizan una API para conectarse al producto o servicio de terceros. Los problemas suelen producirse cuando Sophos Central no puede conectarse con el tercero.

Cada producto o servicio de terceros necesita credenciales diferentes para establecer una conexión. Si está teniendo problemas, se recomienda realizar primero esta comprobación.

Hemos enumerado los errores generales, que pueden producirse en cualquier integración basada en API, y luego los errores y soluciones que se aplican a integraciones específicas.

Es aconsejable realizar primero las comprobaciones de los errores generales y luego las relativas a las integraciones específicas.

Errores generales

Error de sincronización a las finish time debido a credenciales no válidas.

Compruebe las credenciales de autenticación del servicio de terceros e inténtelo de nuevo. Si la API requiere un secreto, asegúrese de que lo ha creado correctamente y de que le ha otorgado los permisos correctos.

Por ejemplo, verá este error si la API de MS Graph devuelve el código de error 401.

Error de sincronización a las finish time debido a permisos insuficientes.

Compruebe todas las credenciales y permisos que ha proporcionado al añadir la integración y asegúrese de que sean correctos.

Error de sincronización a las finish time debido a que la red no estaba accesible.

Si no tiene problemas de red en su entorno, o con su conexión a Internet, esto puede significar problemas con el servicio de terceros. Compruebe que el servicio está disponible.

Error de sincronización a las finish time debido a una solicitud limitada.

Las solicitudes de Sophos han sido limitadas por el servicio de terceros. A continuación se presentan algunos ejemplos de posibles razones de la limitación, tomados de la integración de MS Graph Security:

  • Microsoft ha limitado la conexión (código de error de Microsoft 429: se ha limitado la aplicación cliente y no debe intentar repetir la solicitud hasta que haya transcurrido un tiempo).

  • Microsoft ha limitado la conexión por superar el límite máximo de ancho de banda (error de Microsoft 509: la aplicación puede volver a intentar la solicitud cuando haya transcurrido más tiempo).

Error de sincronización a las finish time debido a un error de origen.

Se ha producido un problema al contactar con el servicio de terceros. Inténtelo de nuevo más tarde.

Error de sincronización a las finish time debido a un error desconocido.

Hay un problema interno; inténtelo de nuevo más tarde.

Error de sincronización a las finish time debido a credenciales caducadas.

Han caducado las credenciales para la integración. Por ejemplo, un token de API que se haya creado en el producto de terceros puede que solo sea válido durante 30 días.

Error de sincronización a las finish time debido a un certificado no válido.

El certificado utilizado para configurar un dominio personalizado para una integración no es válido. Debe crear un certificado nuevo o utilizar otro.

Error de sincronización a las finish time debido a un dominio no válido.

El dominio del servicio de terceros es erróneo o no se ha podido acceder a él. Verifique el dominio y vuelva a intentarlo.

Error de sincronización a las finish time debido a una configuración no válida.

Hay un error en la configuración que no corresponde a ninguna categoría específica. Debe revisar toda la configuración para encontrar el problema.

Blackberry Cylance

Error de sincronización a las finish time debido a permisos insuficientes.

Al crear el secreto de la aplicación para una integración de Cylance, debe seleccionar el privilegio de acceso para Detection.

Para obtener más información, consulte la sección Generar un secreto de aplicación de la página de ayuda de Cylance. Consulte Blackberry CylanceOPTICS.

Cisco Duo

Error de sincronización a las finish time debido a credenciales no válidas.

La integración no tiene permisos suficientes para obtener registros de la API de Duo. Asegúrese de que ha establecido el Permiso en Duo como Conceder registro de lectura.

Para obtener más información, consulte la sección Obtener los datos de Duo de la página de ayuda de Duo. Consulte Cisco Duo.

Error de sincronización a las finish time debido a un dominio no válido.

El nombre de host no es válido. Asegúrese de haber introducido un nombre de host con el formato: api-xxxxxxxx.duosecurity.com. No debe utilizar https://.

Para obtener más información, consulte la sección Añadir una integración de la página de ayuda de Duo. Consulte Cisco Duo.

Fortinet FortiAnalyzer

Error de sincronización a las finish time debido a que la red no estaba accesible.

Puede ver este error si hay problemas de conexión, pero también si la URL base introducida no es válida. Esto puede suceder si la URL base que ha introducido no tiene un registro DNS que se pueda resolver públicamente. La integración solo funciona si la URL base se puede resolver públicamente.

Error de sincronización a las finish time debido a un dominio no válido.

Este error puede darse si ha introducido una URL base que no es válida o privada, es decir, no se puede resolver públicamente. La integración no funciona a menos que la URL base se pueda resolver públicamente.

Error de sincronización a las finish time debido a un certificado no válido.

Se está utilizando un certificado autofirmado, o faltan algunas partes de la cadena o están incompletas. Compruebe que el certificado es válido y que no está autofirmado.

Mimecast

Error de sincronización a las finish time debido a permisos insuficientes.

La integración no tiene los permisos necesarios para obtener datos de Mimecast. Compruebe que ha creado correctamente el usuario de servicio de Mimecast con los siguientes permisos:

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

Para obtener más información, consulte la sección Crear un usuario de servicio en la página de ayuda de Mimecast. Consulte Mimecast Email Security, Cloud Gateway.

Error de sincronización a las finish time debido a credenciales caducadas.

Las credenciales utilizadas para la API de Mimecast han caducado. Asegúrese de que el usuario de servicio de Mimecast creado tiene la opción Authentication Cache TTL establecida en Never Expire, tal como se describe en la sección Crear un usuario de servicio en la página de ayuda de Mimecast. Consulte Mimecast Email Security, Cloud Gateway.

Error de sincronización a las finish time debido a una configuración no válida.

Si todas las demás credenciales que ha proporcionado son correctas, esto puede significar que el ID de la aplicación no es correcto. Compruebe que sea válido.

Okta

Error de sincronización a las finish time debido a un certificado no válido.

El certificado para la URL base de Okta no es válido. Compruebe que sea válido.

Integraciones del recopilador de registros

Estas integraciones utilizan el recopilador de registros de Sophos para recopilar datos del producto de terceros y añadirlos en Sophos Data Lake. Esto incluye la integración de Sophos NDR.

El recopilador de registros de Sophos está alojado en una máquina virtual. Esto es lo que se denomina recopilador de datos.

El recopilador de datos se conecta a un producto y servicio de terceros para reenviar paquetes de red a Sophos Data Lake. Luego, los datos se pueden analizar en el Centro de análisis de amenazas.

Debe realizar diferentes pasos para conectarse a cada producto o servicio de terceros. Consulte la página de ayuda de la integración para asegurarse de haber seguido todos los pasos. Consulte Integraciones.

Hemos enumerado los errores generales, que pueden producirse en cualquier integración del recopilador de registros, y luego los errores y consejos para algunas integraciones específicas.

Errores generales del recopilador de registros

Estos problemas pueden darse con cualquier integración del recopilador de registros.

El recopilador de registros no se ejecutará en la plataforma de la máquina virtual que utilizamos.

Actualmente, el dispositivo virtual solo se ejecuta en VMWare ESXi 6.7 o posterior. Añadiremos más plataformas en el futuro.

El estado de mi integración en Recopiladores de datos muestra que hay problemas.

La integración no puede conectarse al producto o servicio de terceros pertinente. Asegúrese de que no haya problemas de red que impidan la conexión.

El recopilador de registros no reenvía mis datos.

Puede haber muchas razones para este error. Lo mejor es revisar la documentación de la integración y comprobar que ha configurado todo en el tercero para permitir que el recopilador de registros se conecte.

Dispositivo virtual (VA) de Sophos NDR

El VA de Sophos NDR no reenvía toda la información relevante a Sophos Data Lake.

La máquina virtual que aloja el VA puede tener poca potencia. Consulte la guía de dimensionamiento del servidor ESXi y cambie la configuración de la máquina virtual. Consulte Guía de dimensionamiento de la VM de Sophos NDR.