Fejlfinding af SIEM-integration
Denne artikel indeholder en liste over mulige problemer, når du opretter forbindelse mellem din SIEM og Defender for Cloud Apps og giver mulighed for løsninger.
Gendan manglende aktivitetshændelser i Defender for Cloud Apps SIEM-agent
Før du fortsætter, skal du kontrollere, at din Defender for Cloud Apps licens understøtter den SIEM-integration, du forsøger at konfigurere.
Hvis du har modtaget en systembesked om et problem med levering af aktivitet via SIEM-agenten, skal du følge nedenstående trin for at gendanne aktivitetshændelserne inden for problemets tidsramme. Disse trin fører dig gennem konfiguration af en ny RECOVERY SIEM-agent, der kører parallelt og sender aktivitetshændelserne til din SIEM igen.
Bemærk!
Gendannelsesprocessen sender alle aktivitetshændelser igen inden for den tidsramme, der er beskrevet i systemadvarslen. Hvis din SIEM allerede indeholder aktivitetshændelser fra denne tidsramme, vil du opleve duplikerede hændelser efter denne gendannelse.
Trin 1 – Konfigurer en ny SIEM-agent parallelt med din eksisterende agent
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps.
Under System skal du vælge SIEM Agent. Vælg derefter Tilføj en ny SIEM-agent, og brug guiden til at konfigurere forbindelsesoplysningerne til din SIEM. Du kan f.eks. oprette en ny SIEM-agent med følgende konfiguration:
- Protokol: TCP
- Fjernvært: Enhver enhed, hvor du kan lytte til en port. En simpel løsning ville f.eks. være at bruge den samme enhed som agenten og angive fjernværtens IP-adresse til 127.0.0.1
- Port: Enhver port, du kan lytte til på fjernværtsenheden
Bemærk!
Denne agent skal køre parallelt med den eksisterende, så netværkskonfigurationen er muligvis ikke identisk.
I guiden skal du konfigurere datatyperne, så de kun indeholder aktiviteter , og anvende det samme aktivitetsfilter, der blev brugt i din oprindelige SIEM-agent (hvis det findes).
Gem indstillingerne.
Kør den nye agent ved hjælp af det genererede token.
Trin 2 – Valider den vellykkede levering af data til din SIEM
Brug følgende trin til at validere konfigurationen:
- Opret forbindelse til din SIEM, og kontrollér, at der modtages nye data fra den nye SIEM-agent, som du har konfigureret.
Bemærk!
Agenten sender kun aktiviteter inden for tidsrammen for det problem, du blev advaret om.
- Hvis din SIEM ikke modtager data, kan du prøve at lytte til den port, du har konfigureret til at videresende aktiviteter, på den nye SIEM-agentenhed for at se, om der sendes data fra agenten til SIEM. Kør f.eks. ,
netcat -l <port>hvor<port>er det tidligere konfigurerede portnummer.
Bemærk!
Hvis du bruger ncat, skal du sørge for at angive ipv4-flaget -4.
- Hvis data sendes af agenten, men ikke modtages af din SIEM, skal du kontrollere SIEM-agentloggen. Hvis du kan se meddelelser om "forbindelse nægtet", skal du sørge for, at din SIEM-agent er konfigureret til at bruge TLS 1.2 eller nyere.
Trin 3 – Fjern SIEM-genoprettelsesagenten
- SIEM-genoprettelsesagenten stopper automatisk med at sende data og deaktiveres, når den når slutdatoen.
- Valider i DIN SIEM, at der ikke sendes nye data af SIEM-genoprettelsesagenten.
- Stop udførelsen af agenten på din enhed.
- Gå til siden SIEM Agent på portalen, og fjern SIEM-genoprettelsesagenten.
- Kontrollér, at din oprindelige SIEM-agent stadig kører korrekt.
Generel fejlfinding
Sørg for, at status for SIEM-agenten i Microsoft Defender for Cloud Apps ikke er forbindelsesfejl eller afbrudt, og at der ikke er nogen agentmeddelelser. Status vises som forbindelsesfejl , hvis forbindelsen er nede i mere end to timer. Status ændres til Afbrudt , hvis forbindelsen er nede i over 12 timer.
Hvis du får vist en af følgende fejl i cmd-prompten, mens du kører agenten, skal du bruge følgende trin til at løse problemet:
| Error | Beskrivelse | Opløsning |
|---|---|---|
| Generel fejl under bootstrap | Der opstod en uventet fejl under agent bootstrap. | Kontakt support. |
| Der er for mange kritiske fejl | Der opstod for mange kritiske fejl under oprettelse af forbindelse til konsollen. Lukke. | Kontakt support. |
| Ugyldigt token | Det angivne token er ikke gyldigt. | Sørg for, at du har kopieret det rigtige token. Du kan bruge processen ovenfor til at generere tokenet igen. |
| Ugyldig proxyadresse | Den angivne proxyadresse er ikke gyldig. | Sørg for, at du har angivet den rigtige proxy og port. |
Når du har oprettet agenten, skal du kontrollere SIEM-agentsiden i Defender for Cloud Apps. Hvis du får vist en af følgende agentmeddelelser, skal du følge disse trin for at løse problemet:
| Error | Beskrivelse | Opløsning |
|---|---|---|
| Intern fejl | Noget ukendt gik galt med SIEM-agenten. | Kontakt support. |
| Fejl ved afsendelse af dataserver | Du kan få vist denne fejl, hvis du arbejder med en Syslog-server via TCP. SIEM-agenten kan ikke oprette forbindelse til Syslog-serveren. Hvis du får denne fejl, stopper agenten med at trække nye aktiviteter, indtil den er rettet. Sørg for at følge afhjælpningstrinnene, indtil fejlen stopper med at blive vist. | 1. Sørg for, at du har defineret Syslog-serveren korrekt: Rediger SIEM-agenten i den Defender for Cloud Apps brugergrænseflade som beskrevet ovenfor. Kontrollér, at du har skrevet navnet på serveren korrekt, og angiv den rigtige port.
2. Kontrollér forbindelsen til Syslog-serveren: Kontrollér, at firewallen ikke blokerer kommunikation. |
| Fejl ved forbindelse til dataserver | Du kan få vist denne fejl, hvis du arbejder med en Syslog-server via TCP. SIEM-agenten kan ikke oprette forbindelse til Syslog-serveren. Hvis du får vist denne fejl, stopper agenten med at trække nye aktiviteter, indtil den er rettet. Sørg for at følge afhjælpningstrinnene, indtil fejlen stopper med at blive vist. | 1. Sørg for, at du har defineret Syslog-serveren korrekt: Rediger SIEM-agenten i den Defender for Cloud Apps brugergrænseflade som beskrevet ovenfor. Kontrollér, at du har skrevet navnet på serveren korrekt, og angiv den rigtige port.
2. Kontrollér forbindelsen til Syslog-serveren: Kontrollér, at firewallen ikke blokerer kommunikation. |
| SIEM-agentfejl | SIEM-agenten er blevet afbrudt i mere end X timer | Sørg for, at du ikke ændrede SIEM-konfigurationen i Defender for Cloud Apps. Ellers kan denne fejl indikere forbindelsesproblemer mellem Defender for Cloud Apps og den computer, hvor du kører SIEM-agenten. |
| Meddelelsesfejl i SIEM-agent | Der blev modtaget fejl i videresendelse af SIEM-agentmeddelelser fra en SIEM-agent. | Denne fejl angiver, at du har modtaget fejl om forbindelsen mellem SIEM-agenten og din SIEM-server. Sørg for, at der ikke er en firewall, der blokerer din SIEM-server eller den computer, hvor du kører SIEM-agenten. Kontrollér også, at IP-adressen på SIEM-serveren ikke blev ændret. Hvis du har installeret JRE-opdateringen (Java Runtime Engine) 291 eller nyere, skal du følge vejledningen i Problem med nye versioner af Java. |
Problem med nye versioner af Java
Nyere versioner af Java kan medføre problemer med SIEM-agenten. Hvis du har installeret JRE-opdateringen (Java Runtime Engine) 291 eller nyere, skal du følge disse trin:
Skift til mappen Java-installationsplacering i en PowerShell-prompt med administratorrettigheder.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Download hvert af følgende Azure TLS-udstedende nøglecentercertifikater.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImportér hver CRT-fil for nøglecentercertifikatet til Java-nøglelageret ved hjælp af standardadgangskodeændringen for keystore.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitDu kan bekræfte dette ved at få vist Java-nøglelageret for Azure TLS, der udsteder nøglecentercertifikataliasser, som er angivet ovenfor.
keytool -list -keystore ..\lib\security\cacertsStart SIEM-agenten, og gennemse den nye sporingslogfil for at bekræfte en vellykket forbindelse.
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.