Risolvere i problemi relativi a Cloud Discovery in Microsoft Defender for Cloud Apps
Questa unità fornisce un elenco di errori di Cloud Discovery e consigli per la risoluzione per ognuno di essi.
Integrazione di Microsoft Defender per endpoint
Le organizzazioni spesso integrano Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps. Quando un'organizzazione integra questi due servizi Microsoft Defender XDR e non visualizza i risultati dell'integrazione, deve fare riferimento alla tabella seguente. Questa tabella fornisce azioni di risoluzione che le organizzazioni possono eseguire nel caso in cui si verifichi uno degli errori seguenti.
| Problema | Risoluzione |
|---|---|
| I report che coinvolgono Windows 10 utenti endpoint non vengono visualizzati nell'elenco. | Verificare che i dispositivi a cui ci si connette siano Windows 10 versione 1809 o successive. Accertarsi inoltre di aver atteso le due ore necessarie prima che i dati siano accessibili. |
| I report sull'individuazione sono vuoti. | Se il dispositivo endpoint è protetto da un proxy di inoltro, è possibile inviare i log dal tale proxy usando un agente di raccolta log. |
Errori di analisi dei log
È possibile tenere traccia dell'elaborazione dei log di Cloud Discovery usando il log di governance. Questa tabella fornisce azioni di risoluzione che le organizzazioni possono eseguire nel caso in cui si verifichi uno degli errori seguenti.
| Errore | Descrizione | Risoluzione |
|---|---|---|
| Tipo di file non supportato. | Il file caricato non è un file di log valido, ad esempio un file di immagine. | Caricare un file di testo, **zip o gzip esportato direttamente dal firewall o dal proxy. |
| Il formato del log non corrisponde al formato previsto. | Il formato del log caricato non corrisponde al formato previsto per l'origine dati. | Completare i passaggi seguenti: 1. Verificare che il log non sia danneggiato. 2. Confrontare e associare il log al formato di esempio mostrato nella pagina di caricamento. |
| Le transazioni risalgono a più di 90 giorni fa. | Cloud Discovery ignora tutte le transazioni che hanno più di 90 giorni. | Esportare un nuovo log con eventi recenti e caricarlo nuovamente. |
| Nessuna transazione con app cloud catalogate. | Il log non include le transazioni per le app cloud riconosciute. | Verificare che il log contenga informazioni sul traffico in uscita. |
| Tipo di log non supportato. | Quando si seleziona Origine dati = Altro (non supportato), Cloud Discovery non analizza il log. Al contrario, lo invia al team tecnico Microsoft Defender for Cloud Apps per la revisione. | Il team tecnico di Microsoft Defender for Cloud Apps crea un parser dedicato per ogni origine dati. Microsoft Defender for Cloud Apps supporta già le origini dati più diffuse. Il team tecnico Microsoft Defender for Cloud Apps esamina ogni caricamento di un'origine dati non supportata e la aggiunge alla pipeline per i nuovi parser dell'origine dati. Microsoft Defender for Cloud Apps pubblica nuove notifiche del parser come parte delle note sulla versione. |
Errori dell'agente di raccolta log
| Problema | Risoluzione |
|---|---|
| Non è stato possibile connettersi all'agente di raccolta log tramite FTP. | Completare i passaggi seguenti: 1. Verificare di usare le credenziali FTP e non le credenziali SSH. 2. Controllare se l'amministratore cloud ha impostato il client FTP su SFTP, che l'agente di raccolta log non supporta. |
| Non è stato possibile aggiornare la configurazione dell'agente di raccolta. | Completare i passaggi seguenti: 1. Verificare di aver immesso il token di accesso più recente. 2. Verificare nel firewall che l'agente di raccolta log possa avviare il traffico in uscita sulla porta 443. |
| I log inviati all'agente di raccolta non vengono visualizzati nel portale. | Completare i passaggi seguenti: 1. Verificare se le attività di analisi non riuscite vengono visualizzate nel log di governance. - In tal caso, risolvere l'errore con la tabella degli errori di analisi dei log precedente. - In caso contrario, completare la procedura seguente per controllare le origini dati e la configurazione dell'agente di raccolta log nel portale: a. Nella pagina Origine dati verificare che il nome dell'origine dati sia NSS e verificarne la configurazione. b. Nella pagina Agenti di raccolta log verificare che l'origine dati sia collegata all'agente di raccolta log corretto. 2. Controllare la configurazione locale del computer dell'agente di raccolta log locale completando i passaggi seguenti: a. Accedere all'agente di raccolta log tramite SSH ed eseguire l'utilità collector_config. b. Verificare che il firewall o il proxy invii log all'agente di raccolta log usando il protocollo definito (Syslog/TCP, Syslog/UDP o FTP). Verificare quindi che li invii alla porta e alla directory corrette. c. Eseguire netstat nel computer e verificare che riceva le connessioni in ingresso dal firewall o dal proxy. 3. Verificare che l'agente di raccolta log possa avviare il traffico in uscita sulla porta 443. |
| Stato dell'agente di raccolta log: creato. | La distribuzione dell'agente di raccolta log non è stata completata. Completare la procedura di distribuzione locale in base alla guida alla distribuzione. |
| Stato dell'agente di raccolta log: disconnesso. | Nessun dato ricevuto nelle ultime 24 ore da nessuna delle origini dati collegate. |
| Non è stato possibile eseguire il pull dell'immagine dell'agente di raccolta più recente. | Se si verifica questo errore durante la distribuzione di Docker, è possibile che la memoria disponibile nell'host non sia sufficiente. Per verificare questa condizione, eseguire il comando seguente nell'host: docker pull mcr.microsoft.com/mcas/logcollector Se viene visualizzato l'errore seguente, contattare l'amministratore del computer host per ottenere più spazio: non è stato possibile registrare il livello: errore durante l'elaborazione del file tar (stato esistente 1): scrittura /opt/jdk/jdk1.8.0_152/src.zip: non è rimasto spazio nel dispositivo |
Errori del dashboard di individuazione
| Problema | Risoluzione |
|---|---|
| Cloud Discovery ha caricato e analizzato correttamente i dati, ma il dashboard di Cloud Discovery appare vuoto. | L'organizzazione ha configurato il dashboard per filtrare i dati non disponibili nei log. Di conseguenza, non ci sono dati da visualizzare. Provare a modificare i filtri nel dashboard di Cloud Discovery per visualizzare diversi tipi di dati per vedere i risultati. |