处理作业失败

工作流可能会因为各种原因而失败:

  • 连接或凭据信息错误。
  • 步骤输入不正确,格式错误或意外。
  • 该步骤输出null状态,这将导致失败。

如果调查时间线或自动化历史表明您的工作流已经失败,那么您需要找到导致错误的步骤。找到导致错误的步骤:

  • Job > Job详细信息在Insightconnect.
  • 自动化>历史>调查细节在InsightIDR
  • 自动化>历史在InsightVM
  1. 从工作历史中,选择失败的工作。
  2. 单击“所有输出”选项卡。
  3. 找到包含错误的步骤。有些工作流步骤类型在发生错误时创建工件,所以先检查“工件”选项卡,然后检查“日志”选项卡。
  4. 查看提供的详细信息。
  5. 请参阅以下建议的操作以解决此问题。这些由插件类型组织。

伪影错误

每个插件都会产生不同的错误和错误消息,但有些创建文物详细原因插件未能操作的原因。对于Indota2必威联赛sight平台预构建的工作流集成,请在“工件”选项卡上检查以下标题和错误消息。要解决此问题,请首先尝试提供的故障排除建议。如果在尝试以下操作后持续错误,请联系我们的支持团队为进一步援助。

点击集成驱动您的工作流程。活动目录炭黑反应思科ise.IBM BigFix微软SCCMOkta帕洛阿尔托PAN-OSServiceNOW.

活动目录

没有杰出名称

如果你看到跳过了用户操作,因为从IDR来的事件中不存在可分辨名称。DN: ____名称:____

  • 检查区分名是否拼写正确,并且在IDR事件中存在。

没有用户伪影

如果你看到跳过用户操作,因为在作业的执行期间,用户在Active Directory / LDAP中不存在。DN:____名称____

  • 在执行工作流之前,请检查用户拼写是否正确,以及该用户是否存在于LDAP中。

炭黑反应

没有发现传感器或存在隔离

如果你看到由于未找到Cb传感器或已被隔离,跳过了隔离动作。传感器: ____跳过了未经暗示的行动,因为没有发现CB传感器或已经未被暗。传感器: ____

  • 首先检查CB响应步骤配置中的任何拼写错误。
  • 如果在重新运行工作流时,问题仍然存在,请在Cb Response中查看传感器,并根据需要调整步骤配置。
  • 如果传感器已经被隔离或未隔离,请将其从步骤配置中移除

没有隔离

如果你看到在作业执行过程中,人为决策跳过了隔离操作。传感器: ____在工作执行期间,人为决定跳过了未经暗的行动。传感器: ____

  • 查看人工决策和日志,以了解为什么跳过传感器隔离或非隔离。有关更多信息,请与执行该决策的团队成员联系。

失败

如果你看到无法隔离传感器。传感器: ____解隔离传感器失败。传感器: ____

  • 检查由工作流创建的最后一个工件中的信息,因为上一步可能影响了CB响应步骤。
  • 如果在重新运行工作流后,问题仍然存在,请查看日志并搜索因更多信息而失败的步骤。

思科ise.

不隔离神器

如果你看到在作业执行期间,人为决策跳过了____的MAC地址隔离。在作业执行期间,人为决策跳过了____的MAC地址取消隔离。

  • 查看人工决策和日志以了解为何跳过MAC地址隔离或取消隔离。有关更多信息,请与执行该决策的团队成员联系。

失败文物

如果你看到任务执行过程中应用IP地址策略规则失败。地址:_____隔离:____

  • 检查您的策略规则和您试图隔离的IP地址,以检查拼写错误,然后确保策略规则应用于该地址。

如果你看到在执行此作业期间未能取消对提供的MAC地址的资产的隔离。地址:____未隔离:____

  • 检查策略规则和试图隔离拼写错误的MAC地址,然后确保策略规则应用于该地址。

IBM BigFix

失败文物

如果你看到无法创建基线。请检查您的步骤日志和BigFix服务器上的日志。

  • 按照错误消息中的说明进行操作。检查IBM Bigfix步骤的日志以及Bigfix Server上的日志以获取更多信息。

微软SCCM

找不到软件更新

如果你看到:在SCCM中找不到软件更新_____。请确认存在软件更新,并已下载到SCCM。

  • 按照错误消息中的说明进行操作。检查Microsoft SCCM步骤配置中的拼写或标点符号错误。

Okta

没有用户伪影

如果你看到由于作业执行期间Okta中不存在该用户,因此跳过了挂起用户操作。电子邮件:名称:上取消挂起用户操作被跳过,因为在作业执行期间Okta中不存在该用户。电子邮件:名称:上

  • 检查用户的电子邮件和姓名是否拼写正确,并且它们存在于您的Okta目录中。

没有悬架伪影

如果你看到在作业执行期间,人工决策跳过了暂停用户操作。邮箱:____姓名:____

  • 查看人工决策和日志,了解为什么跳过了用户挂起。有关更多信息,请与执行决策的团队成员联系。

没有Unsuspend工件

如果你看到在作业的执行期间,通过人工决定跳过Unspspend。电子邮件:___名称:____

  • 查看人工决策和日志,了解为什么跳过了用户取消挂起。有关更多信息,请与执行决策的团队成员联系。

毫无疑问用户工件

如果你看到用户取消挂起失败。检查操作的输出和Okta中的帐户。用户:____邮箱:____

  • 检查操作步骤的输出和Okta中提供的用户帐户。

帕洛阿尔托PAN-OS

被封锁的工件

如果你看到在作业执行期间,人为决策跳过了____的IP地址解除阻塞。

  • 查看人工决策和日志,了解为什么跳过了IP地址解除阻塞。有关更多信息,请与执行决策的团队成员联系。

失败文物

如果你看到任务执行过程中应用IP地址策略规则失败。地址:____状态:____代码:_______消息:_____

  • 查看您的Palo Alto Pan-OS步骤的配置。确保规则的语法以及相关URL和IP地址是正确的。
  • 如果您的问题仍然存在,请查看Palo Alto PAN-OS步骤的日志,或者检查您的Palo Alto设备的管理控制台。

而不是工件了

如果你看到在作业执行期间,人为决策跳过了____的IP地址块。

  • 查看人工决策和日志以理解为什么跳过IP地址块。有关更多信息,请与执行决策的团队成员联系。

ServiceNOW.

票创建失败

如果你看到:创建票据失败!请确保正确配置ServiceNow连接,然后再试一次。如果问题仍然存在,请联系InsightConnect技术支持。

  • 检查您的ServiceNow连接是否有效,然后再试一次。连接有时会失败,如果应用程序中的凭据或配置更改但不在orchestrator中,或者存在拼写错误。

记录错误

输出日志包含错误伪像未捕获的其他信息。如果您尝试修复文物错误,则无法解决问题,请查看日志以获取更多详细信息。如果您没有看到任何错误,或者您无法修复错误,请拍摄输入和日志屏幕截图并接到技术支持