Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Les événements ne sont pas reçus sur le récepteur une fois que vous avez ajouté une source de données. De plus, vous pouvez voir une source de données existante qui fonctionnait, interrompt l’envoi des données.
REMARQUE : L’impossibilité de collecter des événements à partir d’une source de données donnée affecte la visibilité et peut réduire la conformité à la conservation et à la journalisation des données.
Cause
Plusieurs causes peuvent être à l’origine de l’échec de la récupération des événements. En général, la cause est l’une des suivantes :
La source de données n’envoie pas de données au récepteur, peut-être en raison d’une configuration incorrecte.
Un problème de collecteur sur le récepteur provoque la non-stockage des données d’événement reçues par le récepteur.
Le processus de l’analyseur syntaxique n’est pas en mesure de décoder les journaux bruts en événements.
Il se peut que les événements ne soient pas insérés dans la base de données ESM.
Le réseau ou le pare-feu bloque un port nécessaire, empêchant syslog.
Un problème avec la stratégie SIEM.
Solution
Pour résoudre ce problème, travaillez bien avec chacune de ces solutions dans l’ordre.
Cliquez pour développer et afficher chaque solution :
Vérifiez que la source de données est configurée pour envoyer des données au récepteur :
Identifiez l’adaptateur Ethernet en cours d’utilisation. Sur les récepteurs non haute disponibilité, il s’agit généralement eth0 d’un récepteur haute disponibilité. il s’agit généralement eth1 de l’adresse IP flottante.
SSH au récepteur, saisissez la commande suivante, puis appuyez sur entrée :
tcpdump –nni ethx host x.x.x.x
Où x.x.x.x est l’adresse IP de la source de données et ethx est l’adaptateur Ethernet utilisé.
Remarque : Pour les sources de données syslog, le trafic entrant est visible sur le port UDP 514. Les sources de données plus lentes peuvent nécessiter quelques minutes d’observation avant qu’un paquet ne soit observé. Les plus rapides, comme un pare-feu, sont presque immédiats. Si aucun paquet n’est observé, il peut s’agir d’un pare-feu ou d’un problème de terminal.
Si aucune donnée n’est observée, double-Vérifiez l’adresse IP et le numéro Ethernet. S’ils sont corrects, le problème est probablement sur le poste client (par exemple, l’équipement n’a pas été configuré correctement). Pour les sources de données non-syslog, procédez à un test de connexion à partir de l’interface utilisateur graphique lors de l’exécution de tcpdump. WMI va extraire les données sur le port 135 et SQL extrait les données via le port 1433.
Remarque : Si les informations d’adresse IP et de port sont correctes et que vous ne voyez pas le trafic entrant dans tcpdump, un pare-feu ou le réseau peut empêcher le trafic entrant sur le port spécifié. Contactez votre administrateur réseau pour obtenir d’autres étapes de dépannage.
Saisissez la commande suivante et appuyez sur ENTREE :
iptables –n –v –L|grep x.x.x.x
Remarque : Assurez-vous qu’une règle est en place pour l’adresse IP de la source de données, qui l’autorise via le pare-feu.
Une sortie standard de iptables inclut le port et l' adresse IP de la source de données. Par exemple, 10.10.10.10 514 pour syslog.
Sélectionnez la source de données dans l’interface utilisateur de l’ESM et choisissez le tableau de bord Etat de l' équipement . Après le chargement, faites défiler vers le bas dans la fenêtre inférieure et recherchez le vipsid numéro de la source de données à côté de la lettre v.
SSH au récepteur et exécutez la commande suivante :
ls –al /var/log/data/inline/thirdparty.logs/##/XXX/in
Où ## correspond au numéro vipsID et XXX au type de collecteur syslogcollector , NPP_C, ou gsql .
S’il existe un fichier et qu’il n’est pas de 0 octet, passez à la Data.xxxxxxsolution 2.
Assurez-vous que le parseur correct est sélectionné. Dans les cas où il existe plusieurs analyseurs syntaxiques possibles, choisissez-en un avec le titre (asp). De plus, assurez-vous que les paramètres de remise et de format sont définis sur la valeur par défaut, sauf si vous utilisez des sources de données MEF ou non-syslog.
Les paramètres et la stratégie de source de données ne sont peut-être pas à jour. Ouvrez les Propriétés de la source de données et modifiez les lignes. Par exemple, ajoutez un espace au nom, puis supprimez l’espace.
Cliquez sur OK, puis sur Ecrire pour écrire les paramètres de source de données dans le récepteur.
Déployez la stratégie en sélectionnant le récepteur dans l’arborescence des équipements et, dans l 'Editeur de stratégies, cliquez sur opérations, déployer la stratégie. Activez la case à cocher dans le coin inférieur gauche pour mettre à jour tout de même.
S’il s’agit d’une source de données syslog, activez journaliser syslog inconnu dans les paramètres de source de données dans l’interface utilisateur graphique. Avec cette action, si un événement ne peut pas être analysé, il s’affiche comme inconnu et n’est pas supprimé.
Sélectionnez l’onglet interface et assurez-vous que les numéros de port sont complets et corrects pour le type de source de données en question. Par exemple, 514 pour syslog, 135 pour WMI, 139 pour RPC, 1433 pour SQL.
Il se peut que les règles ne soient pas activées pour la source de données. ainsi, si la source de données est sélectionnée, ouvrez l 'Editeur de stratégies. Assurez-vous que les règles répertoriées pour cette source de données sont activées.
Remarque : Il est normal que les règles de stratégie par défaut soient désactivées. N’activez pas la stratégie au niveau par défaut.
Si ces étapes ne résolvent pas le problème, passez à la solution 3.
Un problème peut survenir lors de l’insertion d’événements dans ESM. Pour voir s’il y a un problème, procédez comme suit :
Vérifiez si d’autres sources de données sont incapables de collecter des données. Si tel est le cas, accédez à Propriétés du récepteur et effectuez une opération arrêter et démarrer sur le récepteur.
Vérifiez si d’autres sources de données fonctionnent comme prévu.
Si ces étapes ne résolvent pas le problème, passez à la solution 4.
Si vous rencontrez toujours des problèmes, il est possible que les modifications nécessaires n’aient pas été écrites. Le SIEM doit écrire les paramètres de source de données sur le récepteur et déployer la stratégie pour mettre en œuvre les modifications :
Ouvrez les Propriétés du récepteur, puis cliquez sur l’onglet source de données :
Si le bouton Ecrire est disponible, passez à l’étape 2.
Si le bouton Ecrire n’est pas disponible, sélectionnez n’importe quelle source de données et Modifiez -la. Effectuez une petite modification telle que l’ajout et la suppression d’un espace dans le nom/la description, puis cliquez sur OK pour forcer l’activation de l' écriture .
Cliquez sur Ecrire pour écrire les paramètres de source de données dans le récepteur.
Si le déploiement de stratégie s’affiche, sélectionnez la case en bas à gauche pour forcer le déploiement sur tous les équipements, puis cliquez sur OK.
Remarque : S’il ne s’affiche pas automatiquement, revenez au tableau de bord, sélectionnez l’ESM, cliquez sur Editeur de stratégies en haut, puis cliquez sur opérations, stratégie de déploiement.
Si vous rencontrez toujours des problèmes et que vous avez suivi les étapes de toutes les solutions fournies, contactez Support technique pour obtenir de l’aide.
Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.