NDR トラブルシューティング

1つ以上のアプリケーションの準備ができていないため、NDR が実行されていません。このメッセージは、必要な CPU 命令セットが欠落しているために dragonfly コンテナが再起動ループでスタックしている場合によく表示されます。

詳細については、CLI で sudo kubectl describe pod <pod name> コマンドを使用して、出力の最後にエラーメッセージが表示されているかどうかを確認してください。ソフォスサポートに連絡して、収集した情報を共有してください。

事前署名された URL を使用して、NDR データを S3 バケットにアップロードできませんでした。この問題は通常、インターネットへの送信トラフィックを許可するようにファイアウォールまたは Web プロキシを設定していないため、このトラフィックがブロックされている場合に発生します。ファイアウォールまたは Web プロキシ設定を変更しても問題が解決しない場合は、ソフォスサポートにお問い合わせください。

ネットワークスパントラフィックを NDR アプライアンスに送信するサードパーティのネットワークアプライアンスが正しく設定されていません。ソフォスサポートへお問い合わせください。

ネットワークパケットの 10%以上がドロップされており、NDR アプライアンスが正常に機能するには、より多くのシステムリソースが必要です。ネットワークパケットの取り込みと処理は CPU に負荷がかかります。NDR がこれに対応するのに十分な CPU コアを割り当てることができない場合、ネットワークパケットはドロップされます。仮想マシン (VM) で NDR を実行している場合は、VM に CPU コアを割り当てて、問題が解決するかどうかを確認する必要があります。認定ハードウェアで NDR を実行している場合は、別のハードウェアアプライアンスを設定して、ネットワークスパントラフィックを 2つのハードウェア間で分割できます。

サードパーティのログコレクタ統合も、高レベルの syslog メッセージを取り込む場合に CPU に負荷をかけます。アプライアンスで複数の種類の統合が実行されている場合は、統合ごとに適切なリソースを確保するために、複数のアプライアンスに分散することを検討してください。

この問題を解決し、検出が生成されていることを確認するには、次の手順に従います。

テスト検出を生成します。検出の生成 (NDR) を参照してください。

NDR アプライアンスで次のクエリを実行します。

SELECT SrcIp,DestIp,Hostname,ClientToServerBytes,ServerToClientBytes,Vlan,ClusterId FROM dragonfly WHERE DestPort=2222 LIMIT 100;

クエリの実行については、NDR クエリを参照してください。

選択した VLAN AND VLAN0 が表示されている場合は、 「VLAN Strip」(VLAN ストリップ) をオンにする必要があります。詳細は、グローバル NDR 設定を参照してください。