Troubleshooting
Problem
Microsoft™ Graph Security API のログ・ソースがイベントを受信せず、プロトコル・テスト・ツールで以下のエラー・メッセージが表示されます。:
Error received from Microsoft Graph Security API HTTP status Not OK. Status code is 206.
Symptom
Microsoft Graph Security API の照会がイベント・データとして返されない場合、 1 番目のエラー・コード 206 は接続エラーの事象として識別されます。 2 番目のエラー・メッセージは、セキュリティー・プロバイダーに照会に対するエラー・メッセージを表示しています。
Cause
QRadar® が Microsoft™ Graph Security API に照会する時、 API は構成済みのフィルターかどうかにかかわらず、構成された全てのセキュリティー・プロバイダーからアラートを照会します。エラー 206 のためにデータを返すことができないセキュリティー・プロバイダーは、 API からの「 Partial Content 」レスポンスを示します。接続に失敗したセキュリティー・プロバイダーを特定するのに役立つよう、 2 番目のエラーは 206 エラーの後に表示されます。管理者は Microsoft Graph Security API の照会を成功させるため、 2 番目のエラーを解消する必要があります。
Diagnosing The Problem
2 番目のエラー・メッセージで、 Microsoft Defender ATP セキュリティー・プロバイダーが HTTP 401 ( Unauthorized ) エラーを返したか特定します。 Unauthorized のエラー・メッセージは、セキュリティー・プロバイダーのログ・ソースで構成されているユーザーに関するライセンスまたはテナント許可の問題を示しています。
警告メッセージのフォーマット
199 - "{Vendor2}/{Provider 2}/{HTTP error code}/{time}",199 - "{Vendor4}/{Provider 4}/{HTTP error code}/{/{time}"エラー・コードの参照
- HTTP ステータス・コードのリスト : https://docs.microsoft.com/en-us/graph/errors
- Microsoft Graph Security API エラー : https://docs.microsoft.com/en-us/graph/api/resources/security-error-codes?view=graph-rest-1.0
Resolving The Problem
- Microsoft Graph Security API イベントの収集で問題が発生した場合、管理者は問題を判別するために HTTP エラー・コードの確認を行う必要があります。一部のシナリオでは、 HTTP エラーが Microsoft プロバイダーによる一時的なサービス中断によって引き起こされる可能性があり、全てのプロバイダーが使用可能になった時に問題が自動的に解決される場合があります。その際、 Microsoft Graph Security API の次回のポーリングでは、最後に成功している照会から全てのデータを取得します。
- 問題がテナントの許可、ライセンス交付、または拡張サービス停止に関連している場合、管理者は Microsoft Graph Security for support に連絡してください。
注 :
Microsoft 、 Windows 、 Windows NT 、および Windows ロゴは、米国 Microsoft Corporation 、その他の国の Microsoft Corporation 、あるいはその両方の登録商標です。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000GnfdAAC","label":"QRadar->Events->Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
09 October 2020
UID
ibm16216109