NDR 문제 해결

하나 이상의 응용 프로그램이 준비되지 않아 NDR이 실행되고 있지 않습니다. 이 메시지는 dragonfly 필요한 CPU 명령 집합이 누락되어 컨테이너가 다시 시작 루프에 걸린 경우 종종 표시됩니다.

자세한 내용을 보려면 sudo kubectl describe pod <pod name> CLI에서 명령을 사용하고 출력 끝에 오류 메시지를 확인할 수 있습니다. Sophos 지원에 연락하여 수집한 정보를 공유하십시오.

사전 서명된 URL을 사용하여 NDR 데이터를 S3 버킷에 업로드할 수 없습니다. 이 문제는 일반적으로 방화벽 또는 웹 프록시가 인터넷에 대한 아웃바운드 트래픽을 허용하도록 구성하지 않아 이 트래픽이 차단된 경우에 발생합니다. 방화벽 또는 웹 프록시 설정을 변경해도 문제가 해결되지 않으면 Sophos 지원에 문의하십시오.

네트워크 스팬 트래픽을 NDR 어플라이언스로 전송하는 타사 네트워크 어플라이언스가 올바르게 구성되지 않았습니다. Sophos 지원에 문의하십시오.

네트워크 패킷의 10% 이상이 삭제되고 있으며 NDR 어플라이언스가 올바르게 작동하려면 더 많은 시스템 리소스가 필요합니다. 네트워크 패킷 수집 및 처리는 CPU를 많이 사용하며, NDR이 이를 수용하기에 충분한 CPU 코어를 할당할 수 없는 경우 네트워크 패킷이 삭제됩니다. VM(가상 컴퓨터)에서 NDR을 실행하는 경우 VM에 더 많은 CPU 코어를 할당하고 문제가 해결되는지 확인해야 합니다. 인증된 하드웨어에서 NDR을 실행하는 경우 다른 하드웨어 어플라이언스를 설정하고 두 어플라이언스 간에 네트워크 스팬 트래픽을 분할할 수 있습니다.

타사 로그 수집기 통합은 높은 수준의 syslog 메시지를 수집할 때도 CPU를 많이 사용합니다. 어플라이언스가 여러 유형의 통합을 실행하는 경우, 각 통합에 대한 적절한 리소스를 확보하기 위해 여러 어플라이언스에 분산하는 것을 고려하십시오.

문제를 해결하고 감지가 생성되었는지 확인하려면 다음과 같이 하십시오.

테스트 감지를 생성합니다. 감지 생성(NDR) 을 참조하십시오.

NDR 어플라이언스에서 다음 쿼리를 실행합니다.

SELECT SrcIp,DestIp,Hostname,ClientToServerBytes,ServerToClientBytes,Vlan,ClusterId FROM dragonfly WHERE DestPort=2222 LIMIT 100;

쿼리 실행에 대한 자세한 내용은 NDR 쿼리를 참조하십시오.

선택한 VLAN 및 VLAN0이 표시되면 VLAN 스트립을 켜야 합니다. 전역 설정를 참조하십시오.