Risoluzione dei problemi
Questa pagina indica come risolvere i problemi più comuni che potrebbero verificarsi con le appliance Sophos.
La mia appliance non esegue il boot al primo avvio.
Al primo boot, la virtual machine (VM) verifica se è presente una connessione Internet eseguendo il ping di sophos.com
e attendendo una risposta per cinque secondi. Questa verifica viene ripetuta fino a un massimo di sei volte. Se non viene rilevata alcuna connessione Internet, occorre spegnere la VM e risolvere il problema.
Seguire le istruzioni indicate sotto "Nessuna connessione Internet" e riavviare la VM.
Nessuna connessione Internet.
La VM deve essere in grado di inviare e ricevere HTTP, HTTPS, DNS e NTP. Ha anche bisogno di DHCP, se la rete di gestione è configurata per questo protocollo.
Verificare quanto segue:
-
Se il firewall utilizza un filtro dei siti web, la virtual machine è in grado di accedere a questi domini?
sophos.com
: utilizzato per la comunicazione con Sophos Central.archive.ubuntu.com
: utilizzato per gli aggiornamenti del sistema operativo di base.ntp.ubuntu.com
: utilizzato per la sincronizzazione dell’ora NTP.baltocdn.com
: utilizzato per gli aggiornamenti dei pacchetti Helm.sophossecops.jfrog.io
: utilizzato per i nostri server di repository.docker.io
: utilizzato per i container ClickHouse e RedisDB.amazon.com
,amazonaws.com
: utilizzati per caricare i dati su bucket S3.
-
L’accesso a Internet è bloccato da un proxy web?
- L’appliance Sophos è in grado di leggere i pacchetti di rete contrassegnati con un ID VLAN nelle interfacce di gestione e di rete syslog?
- Se su Sophos Central è stato configurato manualmente un IP, le impostazioni sono corrette per la rete assegnata a MGMT durante la configurazione della VM?
- Se si utilizza DHCP, c’è un elemento nell’ambiente di rete del cliente che impedisce alla VM di ottenere un indirizzo IP dal server DHCP? Ad esempio: firewall, VLAN, proxy.
SPAN non funzionante.
Se si sospetta che SPAN non funzioni, aprire la scheda NDR.
Se il valore indicato per SPAN 1 Unicast o SPAN 2 Unicast è meno del 100%, SPAN non funziona correttamente.
Sophos Central non riceve dati di integrazione.
Controllare le pagine NDR e Integrazioni per verificare se i dati vengono caricati dall’appliance.
Se i dati vengono inviati ma Sophos Central non li riceve, è possibile rivolgersi al nostro team di engineering del servizio MDR. Un tecnico specializzato accederà ai file di log dell’integrazione e risolverà il problema.
Sophos Central non riceve dati di integrazione e lo stato dell’appliance (agente di raccolta dati) risulta Connesso.
Se lo stato dell’appliance in Sophos Central viene visualizzato come Connesso ma i dati non raggiungono il Data Lake, controllare lo stato del servizio Dragonfly nella scheda Avanzate.
Se lo stato del servizio Dragonfly risulta In sospeso e la VM si trova in un cluster EVC (Enhanced vMotion Compatibility), verificare che la modalità EVC sia Skylake o successiva.
L’appliance Sophos non supporta l’esecuzione su cluster EVC in modalità Sandy Bridge.