Vai al contenuto
Il supporto che offriamo per MDR.

Risoluzione dei problemi relativi alle integrazioni MDR

In questa pagina vengono elencati gli errori che potrebbero essere visualizzati e i problemi che si potrebbero riscontrare con integrazioni di terze parti aggiunte a Sophos Central.

Dove possibile, indichiamo come risolvere i problemi più comuni.

L’elenco include le seguenti sezioni:

Per scoprire per quale tipo di integrazione si sta effettuando la risoluzione dei problemi, selezionare Centro di analisi delle minacce > Integrazioni e leggere la scheda.

Questa pagina verrà aggiornata con l’aggiunta di altri contenuti, in base all’aumento del numero di integrazioni di terze parti disponibili.

Integrazioni API

Queste integrazioni utilizzano un’API per connettersi al prodotto o servizio di terze parti. Spesso i problemi sono dovuti al fatto che Sophos Central non riesce a connettersi con le terze parti.

Ogni prodotto o servizio di terze parti richiede credenziali diverse per stabilire una connessione. In caso di problemi, si consiglia di effettuare prima questo controllo.

Abbiamo elencato gli errori generali, che possono verificarsi in qualsiasi integrazione basata su API, seguiti da errori e soluzioni applicabili a integrazioni specifiche.

Si consiglia di eseguire prima i controlli per gli errori generali e successivamente quelli che riguardano integrazioni specifiche.

Errori generali

Sincronizzazione non riuscita alle ore finish time, a causa di credenziali non valide.

Controllare le credenziali di autenticazione del servizio di terze parti e riprovare. Se l’API richiede un segreto, assicurarsi di averlo creato correttamente e di avervi assegnato le giuste autorizzazioni.

Questo errore viene visualizzato, ad esempio, se l’API MS Graph restituisce il codice di errore 401.

Sincronizzazione non riuscita alle ore finish time, a causa di autorizzazioni insufficienti.

Verificare tutte le credenziali e le autorizzazioni fornite al momento dell’aggiunta dell’integrazione e assicurarsi che siano corrette.

Sincronizzazione non riuscita alle ore finish time, perché la rete non era raggiungibile.

Se la rete e la connessione a Internet nel proprio ambiente non presentano problemi, potrebbe essere una questione che riguarda il servizio di terze parti. Assicurarsi che il servizio sia disponibile.

Sincronizzazione non riuscita alle ore finish time, a causa della limitazione delle richieste.

Le richieste di Sophos sono state limitate dal servizio di terze parti. Di seguito sono riportati alcuni esempi dei possibili motivi della limitazione, tratti dall’integrazione MS Graph Security:

  • Microsoft has throttled your connection (Microsoft ha limitato la connessione: codice di errore Microsoft 429 - l’applicazione client è stata limitata e non dovrebbe cercare di ripetere la richiesta fino a quando non è trascorso un determinato periodo di tempo).

  • Microsoft has throttled your connection for exceeding the maximum bandwidth cap (Microsoft ha limitato la connessione a causa del superamento del limite massimo per la larghezza di banda: errore Microsoft 509 - l’applicazione può ripetere la richiesta una volta trascorso un periodo di tempo più lungo).

Sincronizzazione non riuscita alle ore finish time, a causa di un errore nell’origine.

Si è verificato un problema durante il tentativo di raggiungere il servizio di terze parti. Riprova più tardi.

Sincronizzazione non riuscita alle ore finish time a causa di un errore sconosciuto.

Si è verificato un problema interno, riprovare più tardi.

Sincronizzazione non riuscita alle ore finish time, perché le credenziali sono scadute.

Le credenziali dell’integrazione sono scadute. Ad esempio, un token API creato nel prodotto di terze parti potrebbe essere valido solo per 30 giorni.

Sincronizzazione non riuscita alle ore finish time, perché un certificato non è valido.

Il certificato utilizzato per configurare un dominio personalizzato per un’integrazione non è valido. Bisogna creare un nuovo certificato o utilizzarne uno diverso.

Sincronizzazione non riuscita alle ore finish time, perché un dominio non è valido.

Il dominio del servizio di terze parti è errato o irraggiungibile. Verificare il dominio e riprovare.

Sincronizzazione non riuscita alle ore finish time, perché la configurazione non è valida.

Si è verificato un errore di configurazione che non rientra in nessuna categoria specifica. Occorre controllare l’intera configurazione per individuare il problema.

Blackberry Cylance

Sincronizzazione non riuscita alle ore finish time, a causa di autorizzazioni insufficienti.

Quando si crea il segreto dell’applicazione per un’integrazione Cylance, occorre selezionare il privilegio di accesso per Detection.

Per maggiori informazioni, consultare la sezione Come generare un segreto dell’applicazione, nella pagina della guida dedicata a Cylance. Vedere Blackberry CylanceOPTICS.

Cisco Duo

Sincronizzazione non riuscita alle ore finish time, a causa di credenziali non valide.

L’integrazione non ha autorizzazioni sufficienti per recuperare i log dall’API Duo. Assicurarsi di aver impostato la Permission (Autorizzazione) in Duo su Grant read log (Concedi lettura log).

Per maggiori informazioni, consultare la sezione Come ottenere i dettagli da Duo, nella pagina della guida dedicata a Duo. Vedere Cisco Duo.

Sincronizzazione non riuscita alle ore finish time, perché un dominio non è valido.

Il nome host non è valido. Assicurarsi di aver specificato un nome host nel formato: api-xxxxxxxx.duosecurity.com. Non si deve utilizzare https://.

Per maggiori informazioni, consultare la sezione Aggiunta di un’integrazione, nella pagina della guida dedicata a Duo. Vedere Cisco Duo.

Fortinet FortiAnalyzer

Sincronizzazione non riuscita alle ore finish time, perché la rete non era raggiungibile.

Questo errore potrebbe essere visualizzato se si verificano problemi di connessione, ma anche se l’URL di base immesso non è valido. Può verificarsi se l’URL di base immesso non ha un record DNS risolvibile pubblicamente. L’integrazione funziona solo se l’URL di base è risolvibile pubblicamente.

Sincronizzazione non riuscita alle ore finish time, perché un dominio non è valido.

Questo errore può verificarsi se è stato immesso un URL di base non valido o privato, ovvero non risolvibile pubblicamente. L’integrazione non funziona, se l’URL di base non è risolvibile pubblicamente.

Sincronizzazione non riuscita alle ore finish time, perché un certificato non è valido.

Si sta utilizzando un certificato autofirmato oppure alcune parti della catena sono mancanti o incomplete. Verificare che il certificato sia valido e che non sia autofirmato.

Mimecast

Sincronizzazione non riuscita alle ore finish time, a causa di autorizzazioni insufficienti.

L’integrazione non ha le autorizzazioni necessarie per recuperare dati da Mimecast. Verificare di aver creato correttamente l’utente del servizio Mimecast, con le seguenti autorizzazioni:

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

Per maggiori informazioni, consultare la sezione Creare un utente del servizio nella pagina della guida dedicata a Mimecast. Vedere Mimecast Email Security, Cloud Gateway.

Sincronizzazione non riuscita alle ore finish time, perché le credenziali sono scadute.

Le credenziali utilizzate per l’API Mimecast sono scadute. Accertarsi che l’utente del servizio Mimecast creato abbia l’opzione Authentication Cache TTL impostata su Never Expire, come descritto nella sezione Creare un utente del servizio, nella pagina della guida dedicata a Mimecast. Vedere Mimecast Email Security, Cloud Gateway.

Sincronizzazione non riuscita alle ore finish time, perché la configurazione non è valida.

Se tutte le altre credenziali fornite sono corrette, significa che è l’ID dell’applicazione a non essere corretto. Assicurarsi che sia valido.

Okta

Sincronizzazione non riuscita alle ore finish time, perché un certificato non è valido.

Il certificato per l’URL di base di Okta non è valido. Assicurarsi che sia valido.

Integrazioni di tipo agente di raccolta log

Queste integrazioni utilizzano l’agente di raccolta log Sophos per raccogliere dati dal prodotto di terze parti e aggiungerli al Sophos Data Lake. Tra queste, c’è anche l’integrazione Sophos NDR.

L’agente di raccolta log Sophos è ospitato su una virtual machine, chiamata agente di raccolta dati.

L’agente di raccolta dati si connette a un prodotto o servizio di terze parti per inoltrare pacchetti di rete al Sophos Data Lake. I dati possono quindi essere analizzati nel Centro di analisi delle minacce.

Per la connessione a ciascun prodotto o servizio di terze parti, occorre seguire procedure diverse. Consultare la sezione della guida dedicata all’integrazione, per assicurarsi di aver svolto tutti i passaggi. Vedere Integrazioni.

Abbiamo elencato gli errori generali che possono verificarsi in qualsiasi integrazione di tipo agente di raccolta log, seguiti da errori e soluzioni applicabili a integrazioni specifiche.

Errori generali dell’agente di raccolta log

Questi problemi possono verificarsi con qualsiasi integrazione di tipo agente di raccolta log.

L’agente di raccolta log non si esegue sulla piattaforma della virtual machine utilizzata.

Attualmente la VA è compatibile solo con VMware ESXi 6.7 o versioni successive. In futuro, aggiungeremo altre piattaforme.

Lo stato della mia integrazione in Agenti di raccolta dati indica che ci sono dei problemi.

L’integrazione non è in grado di connettersi al prodotto o al servizio di terze parti interessato. Assicurarsi che non ci siano problemi di rete che impediscono la connessione.

I miei dati non vengono inoltrati dall’agente di raccolta log

I motivi possono essere diversi. L’approccio migliore consiste nel leggere attentamente la documentazione di quell’integrazione e verificare di aver configurato, nel sistema di terze parti, tutti gli elementi necessari per permettere la connessione dell’agente di raccolta log.

Appliance virtuale (VA) Sophos NDR

La VA di Sophos NDR non inoltra tutte le informazioni pertinenti al Sophos Data Lake.

La virtual machine che ospita la VA potrebbe non avere le risorse necessarie. Consultare la guida alla scelta dell’appliance per il server ESXi e modificare le impostazioni della VM. Vedere Guida alla scelta della VM Sophos NDR.