Cloud Discovery 문제 해결
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
이 문서에서는 Cloud Discovery 오류 목록 및 각각에 대한 권장 해결 방법을 제공합니다.
엔드포인트용 Microsoft Defender 통합
클라우드용 Defender 앱과 엔드포인트용 Microsoft Defender 통합한 경우 통합 결과가 표시되지 않습니다.
| 문제 | 해결 방법 |
|---|---|
| Win10 엔드포인트 사용자 보고서가 목록에 표시되지 않음 | 연결하는 디바이스가 버전 1809 이상에 Windows 10 데이터에 액세스하기 전에 필요한 2시간을 기다렸는지 확인합니다. |
| 검색 보고서가 비어 있음 | 엔드포인트 디바이스가 앞으로 프록시 뒤에 있는 경우 로그 수집기를 사용하여 전달 프록시에서 로그를 보낼 수 있습니다. |
로그 구문 분석 오류
거버넌스 로그를 사용하여 Cloud Discovery 로그 처리를 추적할 수 있습니다. 이 문서에서는 표시될 수 있는 각 오류에 대해 수행할 해결 방법을 제공합니다.
거버넌스 로그 오류
| Error | 설명 | 해결 방법 |
|---|---|---|
| 지원되지 않는 파일 유형 | 업로드된 파일이 유효한 로그 파일이 아닙니다(예: 이미지 파일). | 방화벽 또는 프록시에서 직접 내보낸 텍스트, **zip 또는 gzip 파일을 업로드하세요. |
| 로그 형식이 일치하지 않음 | 업로드한 로그 형식이 이 데이터 원본에 예상되는 로그 형식과 일치하지 않습니다. | 1. 로그가 손상되지 않았는지 확인합니다. 2. 로그를 업로드 페이지에 표시된 샘플 형식과 비교하고 일치합니다. |
| 트랜잭션이 90일 이상 오래됨 | 모든 트랜잭션이 90일보다 오래되어 무시됩니다. | 최근 이벤트와 함께 새 로그를 내보내고 다시 업로드합니다. |
| 카탈로그된 클라우드 앱에 대한 트랜잭션 없음 | 인식된 클라우드 앱에 대한 트랜잭션이 로그에 없습니다. | 로그에 아웃바운드 트래픽 정보가 포함되어 있는지 확인하세요. |
| 지원되지 않는 로그 유형 | 데이터 원본 = 기타(지원되지 않음)를 선택하면 로그가 구문 분석되지 않습니다. 대신 클라우드용 Defender Apps 기술 팀에 검토를 위해 전송됩니다. | 클라우드용 Defender 앱 기술 팀은 각 데이터 원본당 전용 파서가 빌드됩니다. 가장 많이 사용되는 데이터 원본은 이미 지원되고 있습니다. 지원되지 않는 데이터 원본의 각 업로드를 검토하고 새 데이터 원본 파서에 대한 파이프라인에 추가합니다. 새 파서 알림은 클라우드용 Defender 앱 릴리스 정보의 일부로 게시됩니다. |
로그 수집기 오류
| 문제 | 해결 방법 |
|---|---|
| FTP를 통해 로그 수집기에 연결할 수 없습니다. | 1. SSH 자격 증명이 아닌 FTP 자격 증명을 사용하고 있는지 확인합니다. 2. 사용 중인 FTP 클라이언트가 SFTP로 설정되어 있지 않은지 확인합니다. |
| 수집기 구성을 업데이트하지 못했습니다. | 1. 최신 액세스 토큰을 입력했는지 확인합니다. 2. 방화벽에서 로그 수집기가 포트 443에서 아웃바운드 트래픽을 시작할 수 있는지 확인합니다. |
| 수집기로 전송된 로그가 포털에 표시되지 않습니다. | 1. 거버넌스 로그에 실패한 구문 분석 작업이 있는지 확인합니다. 그렇다면 위의 로그 구문 분석 오류 표를 사용하여 오류를 해결합니다. 2. 그렇지 않은 경우 포털에서 데이터 원본 및 로그 수집기 구성을 확인합니다. a. 데이터 원본 페이지에서 데이터 원본의 이름이 NSS 이고 올바르게 구성되어 있는지 확인합니다. b. 로그 수집기 페이지에서 데이터 원본이 올바른 로그 수집기에 연결되어 있는지 확인합니다. 3. 온-프레미스 로그 수집기 컴퓨터의 로컬 구성을 확인합니다. a. SSH를 통해 로그 수집기에 로그인하고 collector_config 유틸리티를 실행합니다. b. 방화벽 또는 프록시가 정의한 프로토콜(Syslog/TCP, Syslog/UDP 또는 FTP)을 사용하여 로그를 로그 수집기로 보내고 있는지, 올바른 포트 및 디렉터리로 보내고 있는지 확인합니다. 다. 컴퓨터에서 netstat를 실행하고 방화벽 또는 프록시에서 들어오는 연결을 받는지 확인합니다. 4. 로그 수집기가 포트 443에서 아웃바운드 트래픽을 시작할 수 있는지 확인합니다. |
| 로그 수집기 상태: 작성됨 | 로그 수집기 배포가 완료되지 않았습니다. 배포 가이드에 따라 온-프레미스 배포 단계를 완료합니다. |
| 로그 수집기 상태: 연결 끊김 | 지난 24시간 동안 연결된 데이터 원본에서 데이터가 수신되지 않았습니다. |
| 최신 수집기 이미지를 끌어당기지 못했습니다. | Docker 배포 중에 이 오류가 발생하면 호스트에 충분한 메모리가 없을 수 있습니다. 이를 확인하려면 호스트 docker pull mcr.microsoft.com/mcas/logcollector에서 다음 명령을 실행합니다. 이 오류가 failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device 반환되면 호스트 컴퓨터 관리자에게 문의하여 더 많은 공간을 제공하세요. |
검색 대시보드 오류
| 문제 | 해결 방법 |
|---|---|
| 검색 데이터가 성공적으로 업데이트 및 구문 분석되었으나 Cloud Discovery 대시보드가 비어 있습니다. | 대시보드가 로그에 없는 데이터에서 필터링되므로 표시할 데이터가 없습니다. Cloud Discovery 대시보드에서 다른 유형의 데이터를 표시하도록 필터를 변경하여 결과를 확인해 보세요. |
다음 단계
문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.