Gli eventi di Office 365 vengono visualizzati in ordine o in ritardo
Ultima modifica: 2023-02-28 22:55:55 Etc/GMT
Dichiarazione di non responsabilità
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
Trellix CEO, Bryan Palma, explains the critical need for security that’s always learning.
As per Gartner, "XDR is an emerging technology that can offer improved threat prevention, detection and response."
Trellix announced the establishment of the Trellix Advanced Research Center to advance global threat intelligence.
Trellix Advanced Research Center analyzes threat data on ransomware, nation-states, sectors, vectors, LotL, MITRE ATT&CK techniques, and emails.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Gli eventi di Office 365 vengono visualizzati in ordine o in ritardo
Articoli tecnici ID:
KB89874
Ultima modifica: 2023-02-28 22:55:55 Etc/GMT Ambiente
McAfee evento SIEM Enterprise Receiver McAfee SIEM Enterprise Security Manager (ESM) Problema
Dopo l'aggiunta di un'origine dati di Office 365, i nuovi eventi contengono timestamp ritardati e potrebbero essere ricevuti in ordine. I timestamp indicano che gli eventi sono da qualche minuto a qualche ora.
Soluzione
L'API utilizzata per estrarre gli eventi di Office 365 presenta alcune limitazioni del prodotto e una di esse ha a che fare con la latenza. Quando l'origine dati raccoglie i dati da inviare a SIEM tramite chiamate API, deve raccogliere contemporaneamente informazioni provenienti da più fonti diverse. Quando le informazioni vengono raccolte in questo modo, può portare a tempi di eventi incoerenti perché alcuni file sono più recenti e altri sono più vecchi. Piuttosto che un flusso che arriva a McAfee SIEM in ordine cronologico, può essere un mix di vecchi e nuovi registri. Nota Questo ritardo è non causato da eventuali difetti presenti in SIEM. Viene inviato con questo ritardo dall'API Microsoft. McAfee e Microsoft stanno collaborando per determinare il miglior percorso in avanti per i nostri clienti condivisi. McAfee ha fornito dati che spiegano il problema Microsoft ed è in attesa di Microsoft per completare la valutazione prima di stabilire i prossimi passi da intraprendere. Le seguenti informazioni sono provenienti dalle note di rilascio di Microsoft API: Quando viene creato un abbonamento, può richiedere fino a 12 ore per rendere disponibili i primi BLOB di contenuti per quell'abbonamento. I BLOB di contenuti vengono creati mediante la raccolta e l'aggregazione di azioni ed eventi in più server e centri dati. Come risultato di questo processo distribuito, le azioni e gli eventi contenuti nei BLOB di contenuti non vengono necessariamente visualizzati nell'ordine in cui si sono verificati. Un BLOB di contenuto può contenere azioni ed eventi che si sono verificati prima delle azioni e degli eventi contenuti in un BLOB di contenuto precedente. Stiamo lavorando per ridurre la latenza tra l'insorgenza di azioni ed eventi e la loro disponibilità in un BLOB di contenuti. Ma non possiamo garantire che vengano visualizzati sequenzialmente.
Ulteriori informazioni sono disponibili sul sito Web Microsoft per Office 365 nella sezione Office 365 API all'indirizzo: https://docs.Microsoft.com/en-US/Office/Office-365-Management-API/Office-365-Management-Activity-API-ReferenceDichiarazione di non responsabilitàIl contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Lingue:Questo articolo è disponibile nelle seguenti lingue: |
|