Aller au contenu
Découvrez comment nous prenons en charge MDR.

Résolution des problèmes avec les intégrations MDR

Cette liste répertorie les erreurs que vous pouvez rencontrer et les problèmes qui peuvent survenir avec les intégrations tierces que vous avez ajoutées à Sophos Central.

Dans la mesure du possible, nous vous indiquons comment résoudre les problèmes courants.

La liste comporte les sections suivantes :

Pour savoir quel type d’intégration vous dépannez, allez dans Centre d’analyse des menaces > Intégrations et consultez la carte.

Nous ajouterons plus d’informations à cette page à mesure que le nombre d’intégrations tierces prises en charge augmentera.

Intégrations API

Ces intégrations utilisent une API pour se connecter au produit ou au service tiers. Des problèmes surviennent fréquemment lorsque Sophos Central ne parvient pas à se connecter au produit ou service tiers.

Chaque produit ou service tiers nécessite des codes d’accès différents pour se connecter. En cas de problème, consultez tout d’abord cette liste.

Nous avons répertorié les erreurs courantes qui surviennent lors des intégrations API, puis les erreurs et les solutions qui s’appliquent à des types d’intégration spécifiques.

Vérifiez les erreurs courantes avant de vérifier les erreurs s’appliquant à des intégrations spécifiques.

Erreurs générales

Échec de la synchronisation à finish time en raison de codes d’accès incorrects.

Vérifiez vos codes d’accès pour le service tiers et retentez la connexion. Si l’API exige une clé secrète, assurez-vous de l’avoir créée correctement et de lui avoir octroyé les autorisations correctes.

Par exemple, vous verrez cette erreur si l’API MS Graph renvoie le code d’erreur 401.

Échec de la synchronisation à finish time en raison d’une autorisation insuffisante.

Vérifiez tous les codes d’accès et les autorisations que vous avez fournies lors de la création de l’intégration et assurez-vous qu’ils sont corrects.

Échec de la synchronisation à finish time car le réseau est inaccessible.

Si vous n’avez pas de problèmes de réseau dans votre environnement ou avec votre connexion Internet, cela peut signifier que le problème provient du service tiers. Vérifiez que le service est disponible.

Échec de la synchronisation à finish time en raison de la limitation de la demande.

Les requêtes de Sophos ont été limitées par le service tiers. Voici quelques raisons pour lesquelles la restriction se produit, prenant pour exemple l’intégration de MS Graph Security :

  • Microsoft a limité votre connexion (code d’erreur Microsoft 429 - L’application client a été limitée et ne doit pas essayer de répéter la demande tant qu’un certain temps ne s’est pas écoulé).

  • Microsoft a limité votre connexion pour avoir dépassé la limite de bande passante maximale (erreur Microsoft 509 - Votre application peut réessayer la demande ultérieurement).

Échec de la synchronisation à finish time en raison d’une erreur dans la source.

Un problème est survenu lors de l’accès au service tiers. Veuillez réessayer ultérieurement.

Échec de la synchronisation à finish time en raison d’une erreur inconnue.

Il y a un problème interne, veuillez réessayer ultérieurement.

Échec de la synchronisation à finish time en raison de l’expiration des codes d’accès.

Les codes d’accès utilisés pour l’intégration ont expiré. Par exemple, le token API créé dans le produit tiers avait peut-être une validité de 30 jours uniquement.

Échec de la synchronisation à finish time en raison d’un certificat non valide.

Le certificat utilisé pour configurer un domaine personnalisé pour une intégration n’est pas valide. Créez un nouveau certificat ou utilisez-en un autre.

Échec de la synchronisation à finish time en raison d’un domaine non valide.

Le domaine du service tiers est incorrect ou n’a pas pu être atteint. Veuillez vérifier le domaine et réessayer.

Échec de la synchronisation à finish time en raison d’une configuration non valide.

Il y a une erreur avec la configuration qui ne tombe dans aucune autre catégorie. Vous devez vérifier toute la configuration pour trouver le problème.

Blackberry Cylance

Échec de la synchronisation à finish time en raison d’une autorisation insuffisante.

Lorsque vous créez la clé secrète de l’application pour une intégration Cylance, vous devez sélectionner le privilège d’accès pour Detection.

Retrouvez plus de renseignements à la section Générer un secret d’application de la page d’aide Cylance. Voir Blackberry CylanceOPTICS.

Cisco Duo

Échec de la synchronisation à finish time en raison de codes d’accès incorrects.

L’intégration ne dispose pas des autorisations suffisantes pour obtenir des journaux à partir de l’API Duo. Assurez-vous d’avoir défini l’Autorisation dans Duo comme Accorder le journal de lecture.

Retrouvez plus de renseignements à la section Récupérer les détails depuis Duo de la page d’aide Duo. Voir Cisco Duo.

Échec de la synchronisation à finish time en raison d’un domaine non valide.

Le nom d’hôte n’est pas valide. Assurez-vous que vous avez saisi un nom d’hôte sous la forme : api-xxxxxxxx.duosecurity.com. N’utilisez pas https://.

Retrouvez plus de renseignements à la section Ajouter une intégration de la page d’aide de Duo. Voir Cisco Duo.

Fortinet FortiAnalyzer

Échec de la synchronisation à finish time car le réseau est inaccessible.

Cette erreur s’affiche en cas de problèmes de connexion, ou si l’URL de base saisie n’est pas valide. Cela peut se produire si l’URL de base que vous avez saisie ne possède pas d’enregistrement DNS pouvant être résolu publiquement. L’intégration ne fonctionne que si l’URL de base peut être résolue publiquement.

Échec de la synchronisation à finish time en raison d’un domaine non valide.

Cette erreur peut se produire si vous avez saisi une URL de base non valide ou privée, c’est-à-dire qu’elle ne peut pas être résolue publiquement. L’intégration ne fonctionne que si l’URL de base peut être résolue publiquement.

Échec de la synchronisation à finish time en raison d’un certificat non valide.

Un certificat auto-signé est en cours d’utilisation ou certaines parties de la chaîne sont manquantes ou incomplètes. Vérifiez que le certificat est valide et qu'il n'est pas auto-signé.

Mimecast

Échec de la synchronisation à finish time en raison d’une autorisation insuffisante.

L’intégration ne dispose pas des autorisations requises pour obtenir des données de Mimecast. Vérifiez que vous avez correctement créé l’utilisateur du service Mimecast avec les autorisations suivantes :

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

Retrouvez plus de renseignements à la section Créer un utilisateur de service de la page d’aide de Mimecast. Voir Mimecast Email Security Cloud Gateway.

Échec de la synchronisation à finish time en raison de l’expiration des codes d’accès.

Les codes d’accès utilisés pour l’API Mimecast ont expiré. Assurez-vous que l’utilisateur de service Mimecast que vous avez créé Authentication Cache TTL a défini sur Never Expire comme décrit dans la section Créer un utilisateur de service de la page d’aide Mimecast. Voir Mimecast Email Security Cloud Gateway.

Échec de la synchronisation à finish time en raison d’une configuration non valide.

Si tous les autres codes d’accès que vous avez fournis sont corrects, cela peut signifier que l’ID de l’application est incorrect. Vérifiez qu’il est valide.

Okta

Échec de la synchronisation à finish time en raison d’un certificat non valide.

Le certificat de l’URL de base Okta n’est pas valide. Vérifiez qu’il est valide.

Intégration du collecteur de journaux

Ces intégrations utilisent l’outil de collecte des journaux de Sophos pour recueillir les données du produit tiers et les ajouter dans Sophos Data Lake. Cela inclut l’intégration Sophos NDR.

L’outil de collecte des journaux Sophos est une appliance virtuelle (VA) qui se connecte à un produit et à un service tiers pour transférer les paquets réseau vers Sophos Data Lake. Les données peuvent ensuite être analysées dans le Centre d’analyse des menaces.

Chaque produit ou service tiers requiert des étapes de connexion différentes. Reportez-vous à la page d’aide de l’intégration pour vous assurer d’avoir suivi toutes les étapes. Voir Intégrations.

Nous avons répertorié les erreurs courantes, qui peuvent se produire pour n’importe quelle intégration de l’outil de collecte des journaux, puis les erreurs et les conseils s’appliquant à certaines intégrations spécifiques.

Erreurs courantes de l’outil de collecte des journaux

Ces problèmes peuvent se produire avec n’importe quelle intégration de l’outil de collecte des journaux.

L’outil de collecte des journaux ne s’exécute pas sur la plate-forme de machine virtuelle que nous utilisons.

Actuellement, l’appliance virtuelle s’exécute à partir de VMware ESXi 6.7. Nous allons ajouter d’autres plates-formes à l’avenir.

L’état de mon intégration dans Collecteurs de données indique qu’il y a des problèmes.

L’intégration ne parvient pas à se connecter au produit ou au service tiers concerné. Assurez-vous qu’aucun problème de réseau n’empêche la connexion.

Mes données ne sont pas transférées par l’outil de collecte des journaux.

Il peut y avoir plusieurs raisons à cela. Consultez la documentation relative à l’intégration et assurez-vous d’avoir tout configuré sur le produit ou service tiers pour permettre à l’outil de collecte des journaux de se connecter.

Appliance virtuelle (VA) Sophos NDR

L’appliance virtuelle Sophos NDR ne transfère pas toutes les informations pertinentes à Sophos Data Lake.

La machine virtuelle hébergeant l’appliance virtuelle est peut-être sous-alimentée. Consultez le guide de dimensionnement du serveur ESXi et modifiez les paramètres de la machine virtuelle. Voir Guide de dimensionnement des machines virtuelles Sophos NDR.