Устранение ошибок обнаружения в облаке
В этой статье приведен список ошибок обнаружения в облаке и рекомендации по их устранению.
Даже после настройки обнаружения клиенты могут продолжать усиление защиты операционной системы в соответствии со стандартами соответствия. Однако это действие может привести к помехам для самой службы контейнеризации.
Интеграция Microsoft Defender для конечной точки
Если вы интегрировали Microsoft Defender для конечной точки с Defender for Cloud Apps и не видите результаты интеграции.
| Проблема | Решение |
|---|---|
| Отчеты о конечных точках, управляемых Защитником, не отображаются в списке | Убедитесь, что устройства, к которым вы подключаетесь, Windows 10 версии 1809 или более поздней, и что вы подождали необходимые два часа, прежде чем ваши данные будут доступны. |
| Отчеты об обнаружении пусты | Если устройство конечной точки находится за прокси-сервером пересылки, можно отправлять журналы из прокси-сервера пересылки с помощью сборщика журналов. |
Ошибки анализа журнала
Вы можете отслеживать обработку журналов обнаружения в облаке с помощью журнала управления. В этой статье описаны действия по устранению каждой ошибки, которая может отображаться в ней.
Ошибки журнала управления
| Ошибка | Описание | Решение |
|---|---|---|
| Неподдерживаемый тип файла | Добавленный файл не является допустимым файлом журнала (например, это файл изображения). | Отправьте текстовый, ZIP-файл или gzip-файл , который был экспортирован непосредственно из брандмауэра или прокси-сервера. |
| Формат журнала не соответствует | Формат добавленного журнала не соответствует ожидаемому формату для этого источника данных. | 1. Убедитесь, что журнал не поврежден. 2. Сравните свой журнал с образцом, показанным на странице отправки. |
| Срок выполнения транзакций превышает 90 дней | Все транзакции произошли более 90 дней назад и игнорируются. | Экспортируйте новый журнал с последними событиями и повторно добавьте его. |
| Нет транзакций в каталогированных облачных приложениях | В журнале не найдены транзакции, связанные с распознанными облачными приложениями. | Убедитесь, что журнал содержит сведения об исходящем трафике. |
| Неподдерживаемый тип журнала | Если выбрать Источник данных = Другое (не поддерживается), журнал не будет анализироваться. Вместо этого он отправляется на проверку технической группе Defender for Cloud Apps. | Техническая группа Defender for Cloud Apps создает выделенное средство синтаксического анализа для каждого источника данных. Большинство популярных источников данных уже поддерживаются. При добавлении неподдерживаемого источника данных он изучается и добавляется в конвейер для новых средств синтаксического анализа источников данных. Новые уведомления средства синтаксического анализа публикуются как часть заметок о выпуске Defender for Cloud Apps. |
Ошибки сборщика журналов
| Проблема | Решение |
|---|---|
| Не удалось подключиться к сборщику журналов по протоколу FTP | 1. Убедитесь, что вы используете учетные данные FTP, а не учетные данные SSH. 2. Убедитесь, что для ftp-клиента, который вы используете, не задано значение SFTP (протокол безопасной передачи файлов). |
| Сбой обновления конфигурации сборщика | 1. Убедитесь, что вы ввели последний маркер доступа. 2. Убедитесь в брандмауэре, что сборщику журналов разрешено инициировать исходящий трафик через порт 443. |
| Журналы, отправленные сборщику, не отображаются на портале | 1. Проверьте, нет ли невыполненных задач по синтаксическому анализу в журнале управления. Если это так, устраните ошибку с помощью приведенной выше таблицы ошибок анализа журналов. 2. Если нет, проверка источники данных и конфигурацию сборщика журналов на портале. А. На странице источника данных убедитесь, что имя источника данных NSS и правильно настроено. Б. На странице сборщиков журналов убедитесь, что источники данных связаны с нужным сборщиком журналов. 3. Проверьте локальную конфигурацию локального компьютера сборщика журналов. А. Войдите в сборщик журналов по протоколу SSH и запустите служебную программу collector_config. Б. Убедитесь, что брандмауэр или прокси-сервер отправляет журналы сборщику журналов по заданному вами протоколу (Syslog/TCP, Syslog/UDP или FTP) и отправляет их на правильный порт и каталог. c. Запустите netstat на компьютере и убедитесь, что он получает входящие подключения от брандмауэра или прокси-сервера. 4. Убедитесь, что сборщику журналов разрешено инициировать исходящий трафик через порт 443. |
| Состояние сборщика журналов: создано | Развертывание сборщика журналов не было завершено. Выполните действия по локальному развертыванию в соответствии с руководством по развертыванию. |
| Состояние сборщика журналов: Отключено | Если вы видите эту проблему, это означает, что за последние 24 часа из связанных источников данных данные не были получены. Обратитесь в службу поддержки Microsoft Defender for Cloud Apps и предоставьте файлы журнала для исследования. Наша команда анализирует журналы, чтобы определить, когда произошла последняя синхронизация и что вызвало отключение. |
| Сбой при извлечении последнего образа сборщика | Если эта ошибка произошла во время развертывания Docker, возможно, на узле недостаточно памяти. Чтобы проверка этого, выполните следующую команду на узле: docker pull mcr.microsoft.com/mcas/logcollector. Если возвращается эта ошибка, failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device обратитесь к администратору хост-компьютера, чтобы предоставить больше места. |
Ошибки панели мониторинга Discovery
| Проблема | Решение |
|---|---|
| Данные обнаружения успешно отправлены и проанализированы, но панель мониторинга облачного обнаружения выглядит пустой | Панель мониторинга может быть отфильтровываема по данным, которые отсутствуют в журналах, поэтому данные для отображения отсутствуют. Попробуйте изменить фильтры на панели мониторинга облачного обнаружения, чтобы отобразить различные типы данных, чтобы увидеть результаты. |
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.