Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Solução de problemas de integrações MDR

Isso lista os erros que você pode ver e os problemas que pode ter com integrações de terceiros que adicionou ao Sophos Central.

Sempre que possível, dizemos como corrigir problemas comuns.

A lista tem as seguintes seções:

Para saber para que tipo de integração você está solucionando um problema, vá para Centro de Análise de Ameaças > Integrações e veja no cartão.

Adicionamos mais itens a esta página à medida que o número de integrações de terceiros aumenta.

Integrações de API

Essas integrações usam uma API para se conectar a um produto ou serviço de terceiros. Os problemas geralmente ocorrem quando o Sophos Central não consegue se conectar ao produto ou serviço de terceiros.

Produtos ou serviços de terceiros precisam de credenciais diferentes para estabelecer uma conexão. Se estiver tendo problemas, verifique isso primeiro.

Fizemos uma lista de erros gerais, que podem ocorrer em qualquer integração baseada em API, e de erros e soluções que se aplicam a integrações específicas.

Você precisa verificar os erros gerais antes de verificar os erros de integrações específicas.

Erros gerais

Falha de sincronização às finish time devido a credenciais inválidas.

Verifique suas credenciais de autenticação do serviço de terceiros e tente novamente. Se a API exigir um segredo, certifique-se de tê-lo criado corretamente e concedido as permissões corretas.

Por exemplo, você verá esse erro se a API do MS Graph retornar o código de erro 401.

Falha de sincronização às finish time devido a insuficiência de permissão.

Verifique todas as credenciais e permissões fornecidas ao adicionar a integração e certifique-se de que estejam corretas.

Falha de sincronização às finish time devido a inacessibilidade da rede.

Se você não tiver problemas de rede em seu ambiente ou com a sua conexão à Internet, talvez o problema esteja no serviço de terceiros. Verifique se o serviço está disponível.

Falha de sincronização às finish time devido a limitação da solicitação.

As solicitações da Sophos foram limitadas pelo serviço de terceiros. A seguir, alguns exemplos do motivo de ocorrem limitações, obtidos da integração de segurança do Microsoft Graph:

  • A Microsoft limitou sua conexão (código de erro 429 da Microsoft: o aplicativo cliente foi limitado e não deve tentar repetir a solicitação até que um certo tempo tenha decorrido).

  • A Microsoft limitou sua conexão por exceder o limite máximo de largura de banda (erro 509 da Microsoft: seu aplicativo pode repetir a solicitação novamente depois de passar mais tempo).

Falha de sincronização às finish time devido a um erro na origem.

Há um problema para alcançar o serviço de terceiros. Tente novamente mais tarde.

Falha de sincronização às finish time devido a um erro desconhecido.

Há um problema interno. Tente novamente mais tarde.

Falha de sincronização às finish time devido a credenciais expiradas.

As credenciais para a integração expiraram. Por exemplo, um token de API que foi criado no produto de terceiros talvez seja válido somente por 30 dias.

Falha de sincronização às finish time devido a um certificado inválido.

O certificado usado para configurar um domínio personalizado para uma integração não é válido. Você precisa criar um novo certificado ou usar um certificado diferente.

Falha de sincronização às finish time devido a um domínio inválido.

O domínio do serviço de terceiros está errado ou não pôde ser alcançado. Verifique o domínio e tente novamente.

Falha de sincronização às finish time devido a uma configuração inválida.

Há um erro na configuração que não se enquadra em nenhuma categoria específica. Você precisa analisar toda a configuração para encontrar o problema.

Blackberry Cylance

Falha de sincronização às finish time devido a insuficiência de permissão.

Ao criar o segredo de aplicativo para uma integração do Cylance, você deve selecionar o privilégio de acesso para Detection.

Para obter mais informações, leia a seção Gerar um segredo de aplicativo na página de ajuda do Cylance. Consulte Blackberry CylanceOPTICS.

Cisco Duo

Falha de sincronização às finish time devido a credenciais inválidas.

A integração não tem permissões suficientes para obter logs da API da Duo. Certifique-se de ter definido a Permissão na Duo como Grant read log.

Para obter mais informações, leia a seção Obter detalhes da Duo na página de ajuda da Duo. Consulte Cisco Duo.

Falha de sincronização às finish time devido a um domínio inválido.

O nome de host é inválido. Certifique-se de ter inserido um nome de host no formato: api-xxxxxxxx.duosecurity.com. Você não deve usar https://.

Para obter mais informações, leia a seção Adicionar uma integração na página de ajuda da Duo. Consulte Cisco Duo.

Fortinet FortiAnalyzer

Falha de sincronização às finish time devido a inacessibilidade da rede.

Você pode ver esse erro se houver problemas de conexão, mas também se a URL base inserida for inválida. Isso pode acontecer se a URL base inserida não tiver um registro DNS resolvido publicamente. A integração só funciona se a URL base for resolvida publicamente.

Falha de sincronização às finish time devido a um domínio inválido.

Esse erro pode ocorrer se você inseriu uma URL base inválida ou privada, ou seja, ela não pode ser resolvida publicamente. A integração não funciona a menos que a URL base seja resolvida publicamente.

Falha de sincronização às finish time devido a um certificado inválido.

Um certificado autoassinado está sendo usado ou algumas partes da cadeia estão ausentes ou incompletas. Verifique se o certificado é válido e não está autoassinado.

Mimecast

Falha de sincronização às finish time devido a insuficiência de permissão.

A integração não tem as permissões necessárias para obter dados do Mimecast. Verifique se você criou corretamente o usuário do serviço Mimecast com as seguintes permissões:

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

Para obter mais informações, leia a seção Crie um usuário de serviço na página de ajuda do Mimecast. Consulte Mimecast Email Security, Cloud Gateway.

Falha de sincronização às finish time devido a credenciais expiradas.

As credenciais usadas para a API Mimecast expiraram. Certifique-se de que o usuário do serviço Mimecast que você criou tenha definido Authentication Cache TTL como Never Expire, conforme descrito na seção Crie um usuário de serviço na página de ajuda do Mimecast. Consulte Mimecast Email Security, Cloud Gateway.

Falha de sincronização às finish time devido a uma configuração inválida.

Se todas as outras credenciais fornecidas estiverem corretas, pode ser que o ID do aplicativo esteja incorreto. Verifique se ele é válido.

Okta

Falha de sincronização às finish time devido a um certificado inválido

O certificado para a URL base do Okta é inválido. Verifique se ele é válido.

Integrações do coletor de log

Essas integrações usam o coletor de log da Sophos para coletar dados do produto de terceiros e adicioná-los ao Sophos Data Lake. Isso inclui a integração do Sophos NDR.

O coletor de log da Sophos está hospedado em uma máquina virtual. O chamamos também de coletor de dados.

O coletor de dados se conecta a um produto ou serviço de terceiros para encaminhar pacotes de rede para o Sophos Data Lake. Os dados podem ser analisados no Centro de Análise de Ameaças.

Você precisa tomar medidas diferentes para se conectar a cada produto ou serviço de terceiros. Consulte a página de ajuda da integração para ter certeza de que seguiu todas as etapas. Consulte Integrações.

Fizemos uma lista de erros gerais, que podem ocorrer em qualquer integração do coletor de log, e de erros e recomendações para algumas integrações específicas.

Erros gerais do coletor de log

Esses problemas podem ocorrer com qualquer integração do coletor de log.

O coletor de log não é executado na plataforma da máquina virtual que usamos.

Atualmente, a VA só é executada no VMware ESXi 6.7 ou posterior. Adicionaremos mais plataformas no futuro.

O status da minha integração em Coletores de dados mostra que há problemas.

A integração não pode se conectar ao produto ou serviço de terceiros relevante. Certifique-se de que não haja problemas de rede impedindo a conexão.

Meus dados não estão sendo encaminhados pelo coletor de log

Pode haver diferentes motivos para isso. A melhor abordagem é examinar a documentação sobre a integração e verificar se você configurou tudo no produto de terceiros para permitir que o coletor de log se conecte.

Dispositivo virtual (VA) Sophos NDR

O Sophos NDR VA não está encaminhando todas as informações relevantes para o Sophos Data Lake.

A máquina virtual que hospeda o VA pode estar com baixa alimentação de energia. Verifique o guia de dimensionamento do servidor ESXi e altere as configurações da VM. Consulte Guia de tamanho da VM do Sophos NDR.