Solución de problemas para Cloud Discovery de Microsoft Defender for Cloud Apps
En esta unidad se proporciona una lista de errores de Cloud Discovery y recomendaciones de resolución para cada uno.
Integración de Microsoft Defender para punto de conexión
Las organizaciones suelen Integrar Microsoft Defender para punto de conexión con Microsoft Defender for Cloud Apps. Cuando una organización integra estos dos servicios Microsoft Defender XDR y no ve los resultados de la integración, debe hacer referencia a la tabla siguiente. En esta tabla se proporcionan acciones de resolución que las organizaciones pueden realizar en caso de que se produzcan cualquiera de los errores siguientes.
| Problema | Resolución |
|---|---|
| Los informes que implican Windows 10 usuarios de punto de conexión no aparecen en la lista. | Compruebe que los dispositivos a los que se está conectando son de versión 1809 de Windows 10 o posterior. Compruebe también que ha esperado dos horas necesarias antes de que los datos sean accesibles. |
| Los informes de detección están vacíos. | Si el dispositivo de punto de conexión está detrás de un proxy de reenvío, puede enviar registros desde el proxy de reenvío mediante un recopilador de registros. |
Errores de análisis de registros
Puede realizar un seguimiento del procesamiento de los registros de Cloud Discovery mediante el registro de gobernanza. En esta tabla se proporcionan acciones de resolución que las organizaciones pueden realizar en caso de que se produzcan cualquiera de los errores siguientes.
| Error | Descripción | Resolución |
|---|---|---|
| Tipo de archivo no compatible. | El archivo cargado no es un archivo de registro válido (por ejemplo, un archivo de imagen). | Cargue un archivo de texto, **zip o gzip que exportó directamente desde el firewall o proxy. |
| El formato de registro no coincide. | El formato de registro que cargó no coincide con el formato de registro esperado para este origen de datos. | Complete los pasos siguientes: 1. Compruebe que el registro no está dañado. 2. Compare y haga coincidir el registro con el formato de ejemplo que se muestra en la página de carga. |
| Las transacciones tienen más de 90 días de antigüedad. | Cloud Discovery omite todas las transacciones con más de 90 días de antigüedad. | Exporte un nuevo registro con eventos recientes y vuelva a cargarlo. |
| No hay transacciones en cloud apps catalogadas. | El registro no incluye transacciones en ninguna aplicación en la nube reconocida. | Compruebe que el registro contiene información de tráfico saliente. |
| Tipo de registro no compatible. | Al seleccionar Origen de datos = Otro (no admitido), Cloud Discovery no analiza el registro. En su lugar, lo envía al equipo técnico de Microsoft Defender for Cloud Apps para su revisión. | El equipo técnico de Microsoft Defender for Cloud Apps crea un analizador dedicado para cada origen de datos. Microsoft Defender for Cloud Apps ya admite los orígenes de datos más populares. El equipo técnico de Microsoft Defender for Cloud Apps revisa cada carga de un origen de datos no admitido y lo agrega a la canalización para los nuevos analizadores de orígenes de datos. Microsoft Defender for Cloud Apps publica nuevas notificaciones del analizador como parte de sus notas de la versión. |
Errores del recopilador de registros
| Problema | Resolución |
|---|---|
| No se pudo conectar al recopilador de registros a través de FTP. | Complete los pasos siguientes: 1. Compruebe que usa credenciales de FTP y no credenciales SSH. 2. Compruebe si el administrador de la nube ha establecido el cliente FTP en SFTP, que el recopilador de registros no admite. |
| No se pudo actualizar la configuración del recopilador. | Complete los pasos siguientes: 1. Compruebe que especificó el token de acceso más reciente. 2. Compruebe en el firewall que el recopilador de registros puede iniciar el tráfico saliente en el puerto 443. |
| Los registros enviados al recopilador no aparecen en el portal. | Complete los pasos siguientes: 1. Compruebe si aparecen tareas de análisis erróneas en el registro de gobernanza. - Si es así, solucione el error con la tabla de errores de análisis de registros anterior. - Si no es así, complete los pasos siguientes para comprobar los orígenes de datos y la configuración del recopilador de registros en el portal: a. En la página Origen de datos , compruebe que el nombre del origen de datos es NSS y compruebe su configuración. b. En la página de Recopiladores de registros, compruebe que el origen de datos está vinculado al recopilador de registros correcto. 2. Compruebe la configuración local de la máquina del recopilador de registros local siguiendo estos pasos: a. Inicie sesión en el recopilador de registros a través de SSH y ejecute la utilidad collector_config. b. Confirme que el firewall o proxy está enviando registros al recopilador de registros mediante el protocolo definido (Syslog/TCP, Syslog/UDP o FTP). A continuación, compruebe que los envía al puerto y directorio correctos. c. Ejecute netstat en la máquina y compruebe que recibe conexiones entrantes del firewall o proxy. 3. Compruebe que el recopilador de registros puede iniciar el tráfico saliente en el puerto 443. |
| Estado del recopilador de registros: creado. | La implementación del recopilador de registros no se ha completado. Complete los pasos de implementación local según la guía de implementación. |
| Estado del recopilador de registros: desconectado. | No se recibieron datos en las últimas 24 horas de ninguno de los orígenes de datos vinculados. |
| No se pudo extraer la imagen del recopilador más reciente. | Si recibe este error durante la implementación de Docker, podría ser que no tenga suficiente memoria en el host. Para comprobar esta condición, ejecute el siguiente comando en el host: docker pull mcr.microsoft.com/mcas/logcollector Si recibe el siguiente error, póngase en contacto con el administrador de la máquina host para que proporcione más espacio: no se pudo registrar la capa: Error al procesar el archivo tar (estado de existencia 1): escribir /opt/jdk/jdk1.8.0_152/src.zip: no queda espacio en el dispositivo |
Errores del panel de Discovery
| Problema | Resolución |
|---|---|
| Cloud Discovery cargó y analizó correctamente los datos, pero el panel de Cloud Discovery aparece vacío. | La organización configuró el panel para filtrar los datos que sus registros no tienen. Como resultado, no hay datos que mostrar. Intente cambiar los filtros en el panel de Cloud Discovery para mostrar diferentes tipos de datos para ver los resultados. |