Risoluzione dei problemi di Cloud Discovery
Nota
Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.
Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
Questo articolo include un elenco di errori di Cloud Discovery e suggerimenti di risoluzione per ognuno.
integrazione Microsoft Defender per endpoint
Se si è integrato Microsoft Defender per endpoint con Defender per il cloud Apps e non vengono visualizzati i risultati dell'integrazione.
| Problema | Risoluzione |
|---|---|
| I report degli utenti degli endpoint Win10 non vengono visualizzati nell'elenco | Assicurarsi che i dispositivi a cui ci si connette siano Windows 10 versione 1809 o successiva e che siano state attese le due ore necessarie prima che i dati siano accessibili. |
| I report di individuazione sono vuoti | Se il dispositivo endpoint si trova dietro un proxy di inoltro, è possibile inviare i log dal proxy di inoltro usando un agente di raccolta log |
Errori di analisi dei log
È possibile monitorare l'elaborazione dei log di Cloud Discovery mediante il log di governance. Questo articolo riporta le azioni che è possibile eseguire per risolvere ogni errore che può essere visualizzato nel log.
Errori del log di governance
| Errore | Descrizione | Risoluzione |
|---|---|---|
| Tipo di file non supportato | Il file caricato non è un file di log valido (ad esempio un file di immagine). | Upload un file text, **zip o gzip esportato direttamente dal firewall o dal proxy. |
| Il formato di log non corrisponde | Il formato di log che è stato caricato non corrisponde al formato di log previsto per questa origine dati. | 1. Verificare che il log non sia danneggiato. 2. Confrontare e confrontare il log con il formato di esempio visualizzato nella pagina di caricamento. |
| Le transazioni sono più vecchie di 90 giorni | Tutte le transazioni sono più vecchie di 90 giorni e vengono ignorate. | Esportare un nuovo log degli eventi recenti e caricarlo nuovamente. |
| Nessuna transazione per le app cloud catalogate | Nessuna transazione per le app cloud riconosciute è presente nel log. | Verificare che il log contenga le informazioni sul traffico in uscita. |
| Tipo di log non supportato | Quando si seleziona Origine dati = Altro (non supportato), il log non viene analizzato. Viene invece inviato per la revisione al team tecnico di Defender per il cloud Apps. | Il team tecnico Defender per il cloud Apps crea un parser dedicato per ogni origine dati. Le origini dati più diffuse sono già supportate. Ogni caricamento di un'origine dati non supportata viene esaminato e aggiunto alla pipeline per i nuovi parser di origine dati. Le nuove notifiche del parser vengono pubblicate come parte delle note sulla versione di Defender per il cloud Apps. |
Errori dell'agente di raccolta log
| Problema | Risoluzione |
|---|---|
| Impossibile connettersi all'agente di raccolta log tramite FTP | 1. Verificare di usare le credenziali FTP e non le credenziali SSH. 2. Verificare che il client FTP in uso non sia impostato su SFTP. |
| Aggiornamento della configurazione dell'agente di raccolta non riuscito | 1. Verificare di aver immesso il token di accesso più recente. 2. Verificare nel firewall che l'agente di raccolta log sia autorizzato ad avviare il traffico in uscita sulla porta 443. |
| I log inviati all'agente di raccolta non vengono visualizzati nel portale | 1. Verificare se sono presenti attività di analisi non riuscite nel log di governance. In questo caso risolvere l'errore facendo riferimento alla tabella degli errori di analisi riportata sopra. 2. In caso contrario, controllare le origini dati e la configurazione dell'agente di raccolta log nel portale. a. Nella pagina Origine dati verificare che il nome dell'origine dati sia NSS e che sia configurato correttamente. b. Nella pagina degli agenti di raccolta log verificare che l'origine dati sia collegata all'agente di raccolta log giusto. 3. Controllare la configurazione locale del computer dell'agente di raccolta log locale. a. Accedere all'agente di raccolta log su SSH ed eseguire l'utilità collector_config. b. Verificare che il firewall o proxy invii i log all'agente di raccolta log usando il protocollo che è stato definito (Syslog/TCP, UDP/Syslog o FTP) e che li invii alla porta e directory corretta. c. Eseguire netstat nel computer e verificare che riceva le connessioni in ingresso dal firewall o proxy 4. Verificare che l'agente di raccolta log sia autorizzato ad avviare il traffico in uscita sulla porta 443. |
| Stato dell'agente di raccolta log: creato | La distribuzione dell'agente di raccolta log non è stata completata. Completare i passaggi di distribuzione locali in base alla guida alla distribuzione. |
| Stato dell'agente di raccolta log: disconnesso | Nessun dato ricevuto nelle ultime 24 ore dalle origini dati collegate. |
| Impossibile eseguire il pull dell'immagine dell'agente di raccolta più recente | Se si verifica questo errore durante la distribuzione di Docker, potrebbe non essere disponibile memoria sufficiente nell'host. Per verificarlo, eseguire questo comando nell'host: docker pull mcr.microsoft.com/mcas/logcollector. Se restituisce questo errore: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device contattare l'amministratore del computer host per fornire più spazio. |
Errori del dashboard di Cloud Discovery
| Problema | Risoluzione |
|---|---|
| I dati di individuazione sono stati caricati e analizzati correttamente, ma il dashboard di Cloud Discovery risulta vuoto | È possibile che il dashboard venga filtrato in base a dati che i log non contengono e che quindi non vi siano dati da visualizzare. Provare a modificare i filtri nel dashboard di Cloud Discovery per visualizzare i risultati usando tipi di dati diversi. |
Passaggi successivi
Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.