Problembehandlung bei Cloud Discovery in Microsoft Defender for Cloud Apps
Diese Lerneinheit enthält eine Liste von Cloud Discovery-Fehlern sowie Lösungsempfehlungen für die einzelnen Fehler.
Integration von Microsoft Defender für Endpunkt
Microsoft Defender für Endpunkt wird von vielen Organisationen mit Defender für Cloud-Apps kombiniert. Wenn ein organization diese beiden Microsoft Defender XDR-Dienste integriert und die Ergebnisse der Integration nicht angezeigt werden, sollte er auf die folgende Tabelle verweisen. Diese Tabelle enthält Lösungsaktionen, die Organisationen ausführen können, wenn einer der folgenden Fehler auftritt.
| Problem | Lösung |
|---|---|
| Berichte, die Windows 10 Endpunktbenutzer betreffen, werden nicht in der Liste angezeigt. | Überprüfen Sie, ob es sich bei den Geräten, mit denen Sie eine Verbindung herstellen, um Windows 10 Version 1809 oder höher handelt. Stellen Sie außerdem sicher, dass Sie die erforderlichen zwei Stunden gewartet haben, die es dauert, bevor auf Ihre Daten zugegriffen werden kann. |
| Ermittlungsberichte sind leer | Wenn sich das Endpunktgerät hinter einem Weiterleitungsproxy befindet, können Sie Protokolle von Ihrem Weiterleitungsproxy mithilfe eines Protokollsammlers senden. |
Protokollanalysefehler
Sie können die Verarbeitung von Cloud Discovery-Protokollen mithilfe des Governanceprotokolls nachverfolgen. Diese Tabelle enthält Lösungsaktionen, die Organisationen ausführen können, wenn einer der folgenden Fehler auftritt.
| Error | Beschreibung | Lösung |
|---|---|---|
| Nicht unterstützter Dateityp. | Die hochgeladene Datei ist keine gültige Protokolldatei, sondern beispielsweise eine Bilddatei. | Laden Sie eine Text-, **zip- oder gzip-Datei hoch, die Sie direkt aus Ihrer Firewall oder Ihrem Proxy exportiert haben. |
| Das Protokollformat stimmt nicht überein | Das Protokollformat, das Sie hochgeladen haben, stimmte nicht dem erwarteten Protokollformat für diese Datenquelle überein. | Führen Sie die folgenden Schritte aus: 1. Stellen Sie sicher, dass das Protokoll nicht beschädigt ist. 2. Vergleichen Sie das Format der Protokolldatei mit dem Beispielformat auf der Uploadseite, und passen Sie es entsprechend an. |
| Transaktionen sind älter als 90 Tage | Cloud Discovery ignoriert alle Transaktionen, die älter als 90 Tage sind. | Exportieren Sie ein neues Protokoll mit jüngeren Ereignissen, und laden Sie dieses hoch. |
| Keine Transaktionen für katalogisierte Cloud-Apps | Das Protokoll enthält keine Transaktionen für erkannte Cloud-Apps. | Stellen Sie sicher, dass das Protokoll Informationen zum ausgehenden Datenverkehr enthält. |
| Nicht unterstützter Protokolltyp | Wenn Sie Datenquelle = Andere (nicht unterstützt) auswählen, analysiert Cloud Discovery das Protokoll nicht. Stattdessen wird sie zur Überprüfung an das Microsoft Defender for Cloud Apps technische Team gesendet. | Das technische Microsoft Defender for Cloud Apps-Team erstellt für jede Datenquelle einen dedizierten Parser. Microsoft Defender for Cloud Apps unterstützt bereits die beliebtesten Datenquellen. Das Microsoft Defender for Cloud Apps technische Team überprüft jeden Upload einer nicht unterstützten Datenquelle und fügt ihn der Pipeline für neue Datenquellenparser hinzu. Microsoft Defender for Cloud Apps veröffentlicht neue Parserbenachrichtigungen als Teil der Versionshinweise. |
Protokollsammlerfehler
| Problem | Lösung |
|---|---|
| Es konnte keine Verbindung mit dem Protokollsammler über FTP hergestellt werden. | Führen Sie die folgenden Schritte aus: 1. Stellen Sie sicher, dass Sie FTP-Anmeldeinformationen und keine SSH-Anmeldeinformationen verwenden. 2. Überprüfen Sie, ob Ihr Cloudadministrator den FTP-Client auf SFTP festgelegt hat, was vom Protokollsammler nicht unterstützt wird. |
| Fehler beim Aktualisieren der Collectorkonfiguration | Führen Sie die folgenden Schritte aus: 1. Stellen Sie sicher, dass Sie das neueste Zugriffstoken eingegeben haben. 2. Überprüfen Sie in Ihrer Firewall, ob der Protokollsammler ausgehenden Datenverkehr an Port 443 initiieren kann. |
| An den Collector gesendete Protokolle werden nicht im Portal angezeigt | Führen Sie die folgenden Schritte aus: 1. Überprüfen Sie, ob fehlgeschlagene Analyseaufgaben im Governanceprotokoll angezeigt werden. – Wenn ja, beheben Sie den Fehler mit der vorherigen Fehlertabelle für die Protokollanalyse. – Falls nicht, führen Sie die folgenden Schritte aus, um die Datenquellen und die Konfiguration des Protokollsammlers im Portal zu überprüfen: a. Überprüfen Sie auf der Seite Datenquelle , ob der Name der Datenquelle NSS ist, und überprüfen Sie die Konfiguration. b. Überprüfen Sie auf der Seite Protokollsammler, ob die Datenquelle mit dem richtigen Protokollsammler verknüpft ist. 2. Überprüfen Sie die lokale Konfiguration des lokalen Protokollsammlercomputers, indem Sie die folgenden Schritte ausführen: a. Melden Sie sich über SSH beim Protokollsammler an, und führen Sie das Hilfsprogramm collector_config aus. b. Vergewissern Sie sich, dass Ihre Firewall oder Ihr Proxy Protokolle mithilfe des von Ihnen definierten Protokolls (Syslog/TCP, Syslog/UDP oder FTP) an den Protokollsammler sendet. Überprüfen Sie dann, ob sie an den richtigen Port und das richtige Verzeichnis gesendet werden. c. Führen Sie netstat auf dem Computer aus, und stellen Sie sicher, dass eingehende Verbindungen von Ihrer Firewall oder Ihrem Proxy empfangen werden. 3. Überprüfen Sie, ob der Protokollsammler ausgehenden Datenverkehr an Port 443 initiieren kann. |
| Status des Protokollsammlers: Erstellt | Die Bereitstellung des Protokollsammlers wurde nicht abgeschlossen. Führen Sie die Schritte zur lokalen Bereitstellung wie im Bereitstellungsleitfaden beschrieben aus. |
| Status des Protokollsammlers: Getrennt | In den letzten 24 Stunden wurden von keiner der verknüpften Datenquellen Daten empfangen. |
| Fehler beim Pullen des neuesten Collectorimages | Wenn dieser Fehler während der Docker-Bereitstellung auftritt, ist möglicherweise nicht genügend Arbeitsspeicher auf dem Host vorhanden. Führen Sie den folgenden Befehl auf dem Host aus, um dies zu überprüfen: docker pull mcr.microsoft.com/mcas/logcollector Wenn die folgende Fehlermeldung angezeigt wird, informieren Sie den Hostcomputeradministrator über die Notwendigkeit von mehr Speicherplatz: Fehler beim Registrieren der Ebene: Fehler bei der Verarbeitung der TAR-Datei(exist status 1): schreiben Sie /opt/jdk/jdk1.8.0_152/src.zip: kein Speicherplatz mehr auf dem Gerät |
Discovery-Dashboard-Fehler
| Problem | Lösung |
|---|---|
| Cloud Discovery hat erfolgreich Daten hochgeladen und analysiert, aber die Cloud Discovery-Dashboard scheint leer zu sein. | Die organization das Dashboard so konfiguriert, dass es nach Daten filtert, über die seine Protokolle nicht verfügen. Es sind also keine Daten zum Anzeigen vorhanden. Versuchen Sie, die Filter im Cloud Discovery-Dashboard für verschiedene Datentypen zu ändern, um die Ergebnisse anzuzeigen. |