跳至內容
查找我們如何支持MDR

MDR 整合疑難排解

這會列出您能看到的錯誤,以及您已新增至 Sophos Central 的協力廠商整合可能出現的問題。

我們會盡可能向您說明如何解決常見問題。

此清單包含以下部分:

若要瞭解您正在疑難排解的整合類型,請移至威脅分析中心 > 整合,並查看卡片。

隨著協力廠商整合數量的增加,我們會在此頁面中新增更多內容。

API 整合

這些整合使用 API 連線到協力廠商產品或服務。當 Sophos Central 無法連線至協力廠商時,通常會發生問題。

每個協力廠商產品或服務都需要不同的認證才能建立連線。如果您遇到問題,請先檢查這些內容。

我們列出了一般錯誤,這些錯誤可能會發生在任何基於 API 的整合中,然後列出適用於特定整合的錯誤和解決方案。

在檢查特定整合的錯誤之前,需要先檢查一般錯誤。

一般錯誤

由於憑證無效,同步於 finish time 失敗。

請檢查您協力廠商服務的驗證認證,然後再試一次。如果 API 需要祕密,請確保您已正確建立該 API 並授與其正確的權限。

例如,如果 MS Graph API 返回錯誤代碼 401,則會看到此錯誤。

由於權限不足,同步於 finish time 失敗。

檢查您在新增整合時提供的所有認證和權限,並確定它們正確無誤。

由於未連線到網路,同步於 finish time 失敗。

如果您的環境或網際網路連線沒有任何網路問題,這可能表示協力廠商服務有問題。檢查服務是否可用。

由於請求節流,同步於 finish time 失敗。

來自 Sophos 的請求已被協力廠商服務限制。下面是一些範例,說明了為什麼會發生節流,這些範例取自 MS Graph Security 整合:

  • Microsoft 已節流您的連線(Microsoft 錯誤代碼 429-用戶端應用程式已被節流,在經過一段時間之前,不應嘗試重複請求)。

  • Microsoft 已節流您的連線,因為超過最大頻寬上限(Microsoft 錯誤代碼 509 - 等待更長時間後,您的應用程式可以再次重試請求)。

由於來源出現錯誤,同步於 finish time 失敗。

連線至協力廠商服務時發生問題。請稍後重試。

由於未知錯誤,同步於 finish time 失敗。

出現內部問題,請稍後再試一次。

由於認證過期,同步於 finish time 失敗。

整合的認證已過期。例如,在協力廠商產品中建立的 API 權杖可能只有 30 天的有效期。

由於憑證無效,同步於 finish time 失敗。

用於為整合設定自訂網域的憑證無效。您需要建立新憑證或使用其他憑證。

由於網域無效,同步於 finish time 失敗。

協力廠商服務的網域錯誤或無法存取。請檢查網域,然後重試。

由於設定無效,同步於 finish time 失敗。

設定存在不屬於任何其他類別的錯誤。您需要審查整個設定以尋找問題。

Blackberry Cylance

由於權限不足,同步於 finish time 失敗。

為 Cylance 整合建立應用程式密碼時,必須為 Detection 選取存取權限。

有關更多資訊,請閱讀 Cylance 說明頁面的產生應用程式密碼部分。請參閱Blackberry CylanceOPTICS

Cisco Duo

由於憑證無效,同步於 finish time 失敗。

整合沒有足夠的權限從 Duo API 取得記錄。確保您已在 Duo 中設定了授與讀取記錄權限

有關更多資訊,請閱讀 Duo 說明頁面的從 Duo 取得詳細資料部分。請參閱Cisco Duo

由於網域無效,同步於 finish time 失敗。

主機名無效。確保您已按以下格式輸入了主機名:api-xxxxxxxx.duosecurity.com。您不能使用 https://

有關更多資訊,請閱讀 Duo 說明頁面的新增整合部分。請參閱Cisco Duo

Fortinet FortiAnalyzer

由於未連線到網路,同步於 finish time 失敗。

如果存在連線問題,您可以看到此錯誤,但如果輸入的基本 URL 無效,也可以看到此錯誤。如果您輸入的基本 URL 沒有可公開解析的 DNS 記錄,就可能發生這種情況。只有在基本 URL 可公開解析時,整合才有效。

由於網域無效,同步於 finish time 失敗。

如果您輸入的基本 URL 無效或為私有 URL,即不可公開解析,則可能會發生此錯誤。除非基本 URL 可公開解析,否則整合將不起作用。

由於憑證無效,同步於 finish time 失敗。

使用的是自我簽署憑證,或者鏈結中的某些部分缺失或不完整。檢查憑證是否有效且未自我簽署。

Mimecast

由於權限不足,同步於 finish time 失敗。

整合沒有從 Mimecast 取得資料所需的權限。檢查您是否已正確建立具有下列權限的 Mimecast 服務使用者:

  • Monitoring | URL Protection | Read
  • Monitoring | Impersonation Protection | Read
  • Monitoring | Impersonation Protection | Read

如需更多資訊,請參閱 Mimecast 說明頁面中的建立服務使用者部分。請參閱Mimecast Email Security Cloud Gateway

由於認證過期,同步於 finish time 失敗。

用於 Mimecast API 的認證已過期。請確定您建立的 Mimecast 服務使用者已將 Authentication Cache TTL 設定為 Never Expire,如 Mimecast 說明頁面中的建立服務使用者部分所述。請參閱Mimecast Email Security Cloud Gateway

由於設定無效,同步於 finish time 失敗。

如果您提供的所有其他認證都正確,則可能表示應用程式 ID 不正確。檢查這項是否有效。

Okta

由於憑證無效,同步於 finish time 失敗

Okta 基本 URL 的憑證無效。檢查這項是否有效。

記錄收集器整合

這些整合使用 Sophos 記錄收集器從協力廠商產品收集資料,並將資料新增到 Sophos Data Lake。這包括 Sophos NDR 整合。

Sophos 記錄收集器是連線到協力廠商產品和服務的虛擬設備 (VA),用於將網路封包轉寄到 Sophos Data Lake。然後,可以在威脅分析中心中對資料進行分析。

連線每個協力廠商產品或服務的步驟各不相同。請參閱整合的說明頁面,確定您已執行所有步驟。請參閱整合

我們列出了一般錯誤,這些錯誤可能會發生在任何記錄收集器整合中,然後列出了某些特定整合的錯誤和建議。

一般記錄收集器錯誤

這些問題可能會在任何記錄收集器整合中發生。

記錄收集器無法在我們使用的虛擬機平台上執行。

目前,VA 僅在 VMWare ESXi 6.7 或更新版本上執行。我們將在未來新增更多平台。

我在資料收集器中的整合狀態顯示有問題。

整合無法連線至相關的協力廠商產品或服務。請確保沒有阻止連線的網路問題。

我的資料未由記錄收集器轉送

這可能有許多原因。最佳方法是瀏覽整合的文件,並檢查是否已在協力廠商上設定所有項目,以允許記錄收集器連線。

Sophos NDR 虛擬設備 (VA)

Sophos NDR VA 並未將所有相關資訊轉寄至 Sophos Data Lake。

搭載 VA 的虛擬機可能電源不足。檢查 ESXi 伺服器的大小調整指南並變更 VM 的設定。請參閱Sophos NDR VM 大小指南