Řešení potíží s integrací SIEM
Tento článek obsahuje seznam možných problémů při připojování SIEM k Defender for Cloud Apps a nabízí možná řešení.
Obnovení chybějících událostí aktivit v agentu Defender for Cloud Apps SIEM
Než budete pokračovat, zkontrolujte, jestli vaše licence Defender for Cloud Apps podporuje integraci SIEM, kterou se pokoušíte nakonfigurovat.
Pokud jste obdrželi systémové upozornění týkající se problému s doručováním aktivit prostřednictvím agenta SIEM, podle následujících kroků obnovte události aktivity v časovém rámci problému. Tyto kroky vás provedou nastavením nového agenta SIEM pro obnovení, který bude běžet paralelně a znovu odešle události aktivit do vašeho SIEM.
Poznámka
Proces obnovení znovu odešle všechny události aktivity v časovém rámci popsaném v systémovém upozornění. Pokud váš SIEM už obsahuje události aktivit z tohoto časového rámce, po tomto obnovení se zobrazí duplicitní události.
Krok 1 – Paralelní konfigurace nového agenta SIEM s existujícím agentem
Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.
V části Systém vyberte Agent SIEM. Pak vyberte přidat nového agenta SIEM a pomocí průvodce nakonfigurujte podrobnosti o připojení k SIEM. Můžete například vytvořit nového agenta SIEM s následující konfigurací:
- Protokol: TCP
- Vzdálený hostitel: Libovolné zařízení, na kterém můžete poslouchat port. Jednoduché řešení by například bylo použít stejné zařízení jako agent a nastavit IP adresu vzdáleného hostitele na 127.0.0.1.
- Port: Libovolný port, který můžete poslouchat na zařízení vzdáleného hostitele.
Poznámka
Tento agent by měl běžet paralelně s existujícím agentem, takže konfigurace sítě nemusí být identická.
V průvodci nakonfigurujte datové typy tak, aby zahrnovaly pouze aktivity , a použijte stejný filtr aktivit, jaký jste použili v původním agentu SIEM (pokud existuje).
Uložte nastavení.
Spusťte nového agenta pomocí vygenerovaného tokenu.
Krok 2 – Ověření úspěšného doručení dat do SIEM
K ověření konfigurace použijte následující postup:
- Připojte se k siEM a zkontrolujte, že se z nového nakonfigurovaného agenta SIEM přijímají nová data.
Poznámka
Agent bude odesílat aktivity pouze v časovém rámci problému, na který jste byli upozorněni.
- Pokud váš SIEM nepřijal data, zkuste na novém zařízení agenta SIEM naslouchat portu, který jste nakonfigurovali tak, aby předával aktivity, abyste zjistili, jestli se data odesílají z agenta do SIEM. Například spusťte,
netcat -l <port>kde<port>je dříve nakonfigurované číslo portu.
Poznámka
Pokud používáte ncat, ujistěte se, že jste zadali příznak -4ipv4 .
- Pokud agent odesílá data, ale váš SIEM je nepřijal, zkontrolujte protokol agenta SIEM. Pokud se zobrazují zprávy o odmítnutí připojení, ujistěte se, že je agent SIEM nakonfigurovaný tak, aby používal protokol TLS 1.2 nebo novější.
Krok 3 – Odebrání agenta SIEM pro obnovení
- Jakmile agent SIEM pro obnovení dosáhne koncového data, automaticky přestane odesílat data a bude zakázán.
- Ověřte v SIEM, že agent SIEM pro obnovení neposílal žádná nová data.
- Zastavte spuštění agenta na vašem zařízení.
- Na portálu přejděte na stránku agenta SIEM a odeberte agenta SIEM pro obnovení.
- Ujistěte se, že původní agent SIEM stále funguje správně.
Obecné řešení potíží
Ujistěte se, že stav agenta SIEM v Microsoft Defender for Cloud Apps není Chyba připojení nebo Odpojeno a že nejsou žádná oznámení agenta. Stav se zobrazí jako Chyba připojení , pokud je připojení mimo provoz déle než dvě hodiny. Pokud je připojení vypnuté déle než 12 hodin, stav se změní na Odpojeno .
Pokud se při spuštění agenta v příkazovém řádku zobrazí jedna z následujících chyb, pomocí následujících kroků problém napravte:
| Error | Popis | Řešení |
|---|---|---|
| Obecná chyba během spouštění | Během spouštění agenta došlo k neočekávané chybě. | Kontaktujte podporu. |
| Příliš mnoho kritických chyb | Při připojování konzoly došlo k příliš mnoha kritickým chybám. Vypnutí. | Kontaktujte podporu. |
| Neplatný token | Zadaný token není platný. | Ujistěte se, že jste zkopírovali správný token. K vygenerování tokenu můžete použít výše uvedený postup. |
| Neplatná adresa proxy serveru | Zadaná adresa proxy serveru není platná. | Ujistěte se, že jste zadali správný proxy server a port. |
Po vytvoření agenta zkontrolujte stránku agenta SIEM v Defender for Cloud Apps. Pokud se zobrazí jedno z následujících oznámení agenta, pomocí následujícího postupu problém napravte:
| Error | Popis | Řešení |
|---|---|---|
| Vnitřní chyba | S agentem SIEM se nepovedlo něco neznámého. | Kontaktujte podporu. |
| Chyba odeslání datového serveru | Tato chyba se může zobrazit, pokud pracujete se serverem Syslog přes protokol TCP. Agent SIEM se nemůže připojit k serveru Syslog. Pokud se zobrazí tato chyba, agent přestane stahovat nové aktivity, dokud se nevyřeší. Nezapomeňte postupovat podle kroků pro nápravu, dokud se chyba nezobrazí. | 1. Ujistěte se, že jste správně definovali server Syslog: V uživatelském rozhraní Defender for Cloud Apps upravte agenta SIEM, jak je popsáno výše. Ujistěte se, že jste správně napsali název serveru a nastavili správný port.
2. Zkontrolujte připojení k serveru Syslog: Ujistěte se, že brána firewall neblokuje komunikaci. |
| Chyba připojení k datovému serveru | Tato chyba se může zobrazit, pokud pracujete se serverem Syslog přes protokol TCP. Agent SIEM se nemůže připojit k serveru Syslog. Pokud se zobrazí tato chyba, agent přestane stahovat nové aktivity, dokud se neopraví. Nezapomeňte postupovat podle kroků pro nápravu, dokud se chyba nezobrazí. | 1. Ujistěte se, že jste správně definovali server Syslog: V uživatelském rozhraní Defender for Cloud Apps upravte agenta SIEM, jak je popsáno výše. Ujistěte se, že jste správně napsali název serveru a nastavili správný port.
2. Zkontrolujte připojení k serveru Syslog: Ujistěte se, že brána firewall neblokuje komunikaci. |
| Chyba agenta SIEM | Agent SIEM je odpojený déle než X hodin. | Ujistěte se, že jste v Defender for Cloud Apps nezměnili konfiguraci SIEM. V opačném případě může tato chyba znamenat problémy s připojením mezi Defender for Cloud Apps a počítačem, na kterém používáte agenta SIEM. |
| Chyba oznámení agenta SIEM | Od agenta SIEM došlo k chybám přeposílání oznámení agenta SIEM. | Tato chyba značí, že jste obdrželi chyby týkající se připojení mezi agentem SIEM a serverem SIEM. Ujistěte se, že server SIEM nebo počítač, na kterém spouštíte agenta SIEM, neblokuje brána firewall. Zkontrolujte také, že se nezměnila IP adresa serveru SIEM. Pokud jste nainstalovali aktualizaci Java Runtime Engine (JRE) 291 nebo novější, postupujte podle pokynů v tématu Problém s novými verzemi Javy. |
Problém s novými verzemi Javy
Novější verze Javy můžou způsobovat problémy s agentem SIEM. Pokud jste nainstalovali aktualizaci Java Runtime Engine (JRE) 291 nebo novější, postupujte takto:
V příkazovém řádku PowerShellu se zvýšenými oprávněními přepněte do složky Java Install Bin.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Stáhněte si všechny následující certifikáty certifikační autority Azure TLS vydávající certifikační autority.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImportujte každý soubor CRT certifikátu certifikační autority do úložiště klíčů Java s použitím výchozího parametru keystore password changeit.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitPokud to chcete ověřit, projděte si výše uvedené aliasy certifikátů certifikační autority pro úložiště klíčů Java pro Azure TLS vydávající certifikační autority.
keytool -list -keystore ..\lib\security\cacertsSpusťte agenta SIEM a zkontrolujte nový soubor protokolu trasování, abyste potvrdili úspěšné připojení.
Další kroky
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.