コンテンツにスキップ
MDR のサポート提供の詳細はこちら

MDR 統合のトラブルシューティング

ここでは、Sophos Central に追加したサードパーティ統合で発生する可能性のあるエラーと問題について説明します。

可能な場合は、一般的な問題を修正する方法を説明します。

このリストには、次のセクションがあります。

トラブルシューティングしている統合の種類を確認するには、「脅威解析センター > 統合」に移動し、カードを確認します。

サードパーティとの統合の数の増加に合わせて、このページにもさらに情報を追加していきます。

API 統合

この統合では、API を使用してサードパーティ製品やサービスに接続します。問題は、Sophos Central がサードパーティに接続できない場合によく発生することがあります。

各サードパーティ製品やサービスは、接続を確立するためには、それぞれ異なった認証情報が必要です。問題がある場合は、まずこれを確認してください。

以下では、すべての API ベースの統合で発生する可能性のある一般的なエラーを表示し、その後、特定の統合に該当するエラーとそのソリューションを表示しています。

特定の統合のエラーを参照する前に、一般的なエラーを参照するようにしてください。

一般的なエラー

認証情報が無効なため、同期は finish time に失敗しました。

サードパーティサービスの認証情報を確認した後、再試行してください。API でシークレットが必要な場合は、シークレットが正しく作成され、適切なパーミッションが与えられていることを確認してください。

このエラーは、MS Graph API がエラーコード 401 を返した場合などに表示されます。

パーミッションが不十分なため、同期は finish time に失敗しました。

統合を追加するときに指定したすべての認証情報とパーミッションをチェックし、正しいことを確認してください。

ネットワークに接続できないため、同期は finish time に失敗しました。

ご使用の環境またはインターネット接続でネットワークの問題がない場合は、サードパーティのサービスに問題がある可能性があります。サービスが利用可能であることを確認してください。

要求が調整されたため、同期は finish time に失敗しました。

ソフォスからの要求は、サードパーティのサービスによって調整されました。以下、MS Graph Security Integratrion に説明のある、調整が行われる理由の例をいくつか示します。

  • Microsoft によって接続が調整されました (Microsoft エラーコード 429 - クライアントアプリケーションが調整されました。一定の時間が経過するまで要求を繰り返さないでください)。

  • 最大帯域幅の上限を超えたために、Microsoft によって接続が調整されました (Microsoft エラー 509 - さらに時間が経過した後に、アプリは要求を再試行できます)。

ソースでエラーが発生したため、同期は finish time に失敗しました。

サードパーティのサービスへのアクセスに関する問題があります。後でやり直してください。

不明なエラーが発生したため、同期は finish time に失敗しました。

内部に問題があります。後でもう一度やり直してください。

認証情報が期限切れになったため、同期は finish time に失敗しました。

統合の認証情報の有効期限が切れています。たとえば、サードパーティ製品で作成された API トークンは、30日間のみ有効である可能性があります。

証明書が無効なため、同期は finish time に失敗しました。

統合のカスタムドメインの設定に使用された証明書が無効です。新しい証明書を作成するか、別の証明書を使用する必要があります。

ドメインが無効なため、同期は finish time に失敗しました。

サードパーティのサービスのドメインが間違っているか、アクセスできませんでした。ドメインを確認後、もう一度やり直してください。

設定が無効なため、同期は finish time に失敗しました。

他のカテゴリに分類されないエラーが、設定で発生しました。問題を見つけるには、設定全体を確認する必要があります。

Blackberry Cylance

パーミッションが不十分なため、同期は finish time に失敗しました。

Cylance 統合のアプリケーションシークレットを作成する場合は、Detection のアクセス権限を選択する必要があります。

詳細は、Cylance ヘルプページの「アプリケーションシークレットの生成」セクションを参照してください。詳細は、Blackberry CylanceOPTICSを参照してください。

Cisco Duo

認証情報が無効なため、同期は finish time に失敗しました。

統合に、Duo API からログを取得するために十分なパーミッションがありません。Duo で「Permission」を「Grant read log」に設定していることを確認します。

詳細は、Duo ヘルプページの「Duo から詳細を取得する」セクションを参照してください。詳細は、Cisco Duoを参照してください。

ドメインが無効なため、同期は finish time に失敗しました。

ホスト名が無効です。api-xxxxxxxx.duosecurity.com という形式でホスト名を入力していることを確認します。https:// は使用しないでください。

詳細は、Duo ヘルプページの「統合の追加」セクションを参照してください。詳細は、Cisco Duoを参照してください。

Fortinet FortiAnalyzer

ネットワークに接続できないため、同期は finish time に失敗しました。

このエラーは、接続に問題がある場合だけでなく、入力したベース URL が無効な場合にも表示されます。これは、入力したベース URL が、パブリック DNS レコードに解決可能でない場合に発生することがあります。統合は、ベース URL がパブリックに解決可能な場合のみに機能します。

ドメインが無効なため、同期は finish time に失敗しました。

このエラーは、入力したベース URL が、無効またはプライベートである (つまり、パブリックに解決可能でない) 場合に発生することがあります。統合は、ベース URL がパブリックに解決可能でない限り、機能しません。

証明書が無効なため、同期は finish time に失敗しました。

自己署名証明書が使用されている、またはチェーンの一部が欠落しているか不完全です。証明書が有効で、自己署名されていないことを確認してください。

Mimecast

パーミッションが不十分なため、同期は finish time に失敗しました。

統合に、Mimecast からデータを取得するために必要なパーミッションがありません。次のパーミッションのある Mimecast サービスユーザーが正しく作成されていることを確認してください。

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

詳細は、Mimecast ヘルプページの「サービスユーザーの作成」セクションを参照してください。詳細は、Mimecast メール セキュリティ クラウド ゲートウェイを参照してください。

認証情報が期限切れになったため、同期は finish time に失敗しました。

Mimecast API に使用されている認証情報の有効期限が切れています。Mimecast ヘルプページの「サービスユーザーの作成」セクションの説明に従って、作成した Mimecast サービスユーザーで、Authentication Cache TTLNever Expire に設定されていることを確認します。詳細は、Mimecast メール セキュリティ クラウド ゲートウェイを参照してください。

設定が無効なため、同期は finish time に失敗しました。

入力した他の認証情報がすべて正しい場合は、アプリケーション ID が正しくない可能性があります。有効であることを確認してください。

Okta

証明書が無効なため、同期は finish time に失敗しました

Okta のベース URL の証明書が無効です。有効であることを確認してください。

ログコレクタ統合

このような統合では、ソフォスのログコレクタを使用してサードパーティ製品からデータを収集し、Sophos Data Lake に追加します。これには、Sophos NDR 統合も含まれます。

ソフォスのログコレクタは、サードパーティ製品およびサービスに接続して、ネットワークパケットを Sophos Data Lake に転送する仮想アプライアンス (VA) です。データはその後、脅威解析センターで解析できます。

各サードパーティ製品やサービスに接続するには、それぞれ異なる手順を実行する必要があります。統合に関するヘルプページを参照して、すべての手順に従ったことを確認してください。詳細は、統合を参照してください。

以下では、すべてのログコレクタの統合で発生する可能性のある一般的なエラーを表示し、その後、特定の統合に該当するエラーとアドバイスを表示しています。

一般的なログコレクタエラー

以下の問題は、すべてのログコレクタの統合で発生する可能性があります。

対応している仮想マシンプラットフォームで、ログコレクタが実行されません。

VA は、現在 VMware ESXi 6.7 以降のみで動作します。ソフォスは今後、さらにプラットフォームを追加していく予定です。

統合の状態に問題があることが「データコレクタ」に示されています。

統合は、該当するサードパーティ製品やサービスに接続できません。接続を妨げるネットワークの問題がないことを確認してください。

データがログコレクタによって転送されていません

これには多くの原因が考えられます。最善の方法は、統合のドキュメントを参照して、ログコレクタが接続できるように、サードパーティですべての設定が行われていることを確認することです。

Sophos NDR 仮想アプライアンス (VA)

Sophos NDR VA が関連情報全体を Sophos Data Lake に転送していません。

VA をホストしている仮想マシンのパワーが不足している可能性があります。ESXi サーバーのサイジングガイドを確認し、VM の設定を変更してください。詳細は、Sophos NDR VM サイズガイドを参照してください。