Freigeben über

Problembehandlung bei der SIEM-Integration

  • Artikel

Dieser Artikel enthält eine Liste möglicher Probleme beim Verbinden Ihres SIEM mit Defender for Cloud Apps und enthält mögliche Lösungen.

Wiederherstellen fehlender Aktivitätsereignisse in Defender for Cloud Apps SIEM-Agent

Bevor Sie fortfahren, überprüfen Sie, ob Ihre Defender for Cloud Apps-Lizenz die SIEM-Integration unterstützt, die Sie konfigurieren möchten.

Wenn Sie eine Systemwarnung zu einem Problem mit der Aktivitätsübermittlung über den SIEM-Agent erhalten haben, führen Sie die folgenden Schritte aus, um die Aktivitätsereignisse im Zeitrahmen des Problems wiederherzustellen. Diese Schritte führen Sie durch das Einrichten eines neuen Wiederherstellungs-SIEM-Agents, der parallel ausgeführt wird und die Aktivitätsereignisse erneut an Ihre SIEM-Instanz sendet.

Hinweis

Der Wiederherstellungsprozess übermittelt alle Aktivitätsereignisse in dem in der Systemwarnung beschriebenen Zeitrahmen erneut. Wenn Ihr SIEM bereits Aktivitätsereignisse aus diesem Zeitrahmen enthält, treten nach dieser Wiederherstellung doppelte Ereignisse auf.

Schritt 1: Konfigurieren eines neuen SIEM-Agents parallel zu Ihrem vorhandenen Agent

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.

  2. Wählen Sie unter System die Option SIEM-Agent aus. Wählen Sie dann Neuen SIEM-Agent hinzufügen aus, und konfigurieren Sie mithilfe des Assistenten die Verbindungsdetails zu Ihrem SIEM. Sie können beispielsweise einen neuen SIEM-Agent mit der folgenden Konfiguration erstellen:

    • Protokoll: TCP
    • Remotehost: Jedes Gerät, auf dem Sie an einem Port lauschen können. Eine einfache Lösung wäre beispielsweise, dasselbe Gerät wie der Agent zu verwenden und die IP-Adresse des Remotehosts auf 127.0.0.1 festzulegen.
    • Port: Jeder Port, an dem Sie auf dem Remotehostgerät lauschen können

    Hinweis

    Dieser Agent sollte parallel zum vorhandenen Agent ausgeführt werden, sodass die Netzwerkkonfiguration möglicherweise nicht identisch ist.

  3. Konfigurieren Sie im Assistenten die Datentypen so, dass sie nur Aktivitäten enthalten, und wenden Sie denselben Aktivitätsfilter an, der in Ihrem ursprünglichen SIEM-Agent verwendet wurde (sofern vorhanden).

  4. Speichern Sie die Einstellungen.

  5. Führen Sie den neuen Agent mit dem generierten Token aus.

Schritt 2 : Überprüfen der erfolgreichen Datenübermittlung an Ihr SIEM

Führen Sie die folgenden Schritte aus, um Ihre Konfiguration zu überprüfen:

  1. Stellen Sie eine Verbindung mit Ihrem SIEM her, und überprüfen Sie, ob neue Daten vom neuen SIEM-Agent empfangen werden, den Sie konfiguriert haben.

Hinweis

Der Agent sendet Aktivitäten nur im Zeitrahmen des Problems, bei dem Sie benachrichtigt wurden.

  1. Wenn keine Daten von Ihrem SIEM empfangen werden, versuchen Sie auf dem neuen SIEM-Agent-Gerät, an den Port zu lauschen, den Sie für die Weiterleitung von Aktivitäten konfiguriert haben, um festzustellen, ob Daten vom Agent an den SIEM gesendet werden. Führen Sie beispielsweise aus netcat -l <port> , wobei <port> die zuvor konfigurierte Portnummer ist.

Hinweis

Wenn Sie verwenden ncat, stellen Sie sicher, dass Sie das ipv4-Flag -4angeben.

  1. Wenn Daten vom Agent gesendet, aber nicht von Ihrem SIEM empfangen werden, überprüfen Sie das SIEM-Agent-Protokoll. Wenn die Meldung "Verbindung verweigert" angezeigt wird, stellen Sie sicher, dass Ihr SIEM-Agent für die Verwendung von TLS 1.2 oder höher konfiguriert ist.

Schritt 3 – Entfernen des Wiederherstellungs-SIEM-Agents

  1. Der SIEM-Wiederherstellungs-Agent beendet automatisch das Senden von Daten und wird deaktiviert, sobald er das Enddatum erreicht hat.
  2. Überprüfen Sie in Ihrem SIEM, dass keine neuen Daten vom SIEM-Wiederherstellungs-Agent gesendet werden.
  3. Beenden Sie die Ausführung des Agents auf Ihrem Gerät.
  4. Wechseln Sie im Portal zur Seite SIEM-Agent, und entfernen Sie den SIEM-Wiederherstellungs-Agent.
  5. Stellen Sie sicher, dass Ihr ursprünglicher SIEM-Agent weiterhin ordnungsgemäß ausgeführt wird.

Allgemeine Tipps zur Problembehandlung

Stellen Sie sicher, dass die status des SIEM-Agents in Microsoft Defender for Cloud Apps nicht Verbindungsfehler oder Getrennt ist und keine Agent-Benachrichtigungen vorhanden sind. Die status wird als Verbindungsfehler angezeigt, wenn die Verbindung länger als zwei Stunden nicht mehr besteht. Die status ändert sich in Getrennt, wenn die Verbindung für mehr als 12 Stunden unterbrochen ist.

Wenn beim Ausführen des Agents einer der folgenden Fehler in der cmd-Eingabeaufforderung angezeigt wird, führen Sie die folgenden Schritte aus, um das Problem zu beheben:

Fehler Beschreibung Lösung
Allgemeiner Fehler beim Bootstrap Unerwarteter Fehler beim Agent-Bootstrap. Kontaktieren Sie den Support.
Zu viele kritische Fehler Beim Herstellen einer Verbindung mit der Konsole sind zu viele kritische Fehler aufgetreten. Herunterfahren. Kontaktieren Sie den Support.
Ungültiges Token Das bereitgestellte Token ist ungültig. Stellen Sie sicher, dass Sie das richtige Token kopiert haben. Sie können den oben genannten Prozess verwenden, um das Token erneut zu generieren.
Ungültige Proxyadresse Die angegebene Proxyadresse ist ungültig. Stellen Sie sicher, dass Sie den richtigen Proxy und Port eingegeben haben.

Überprüfen Sie nach dem Erstellen des Agents die Seite SIEM-Agent in Defender for Cloud Apps. Wenn eine der folgenden Agent-Benachrichtigungen angezeigt wird, führen Sie die folgenden Schritte aus, um das Problem zu beheben:

Fehler Beschreibung Lösung
Interner Fehler Bei Ihrem SIEM-Agent ist ein unbekannter Fehler aufgetreten. Kontaktieren Sie den Support.
Fehler beim Senden des Datenservers Sie können diesen Fehler erhalten, wenn Sie mit einem Syslog-Server über TCP arbeiten. Der SIEM-Agent kann keine Verbindung mit Ihrem Syslog-Server herstellen. Wenn dieser Fehler angezeigt wird, beendet der Agent das Pullen neuer Aktivitäten, bis er behoben ist. Stellen Sie sicher, dass Sie die Korrekturschritte ausführen, bis der Fehler nicht mehr angezeigt wird. 1. Stellen Sie sicher, dass Sie Ihren Syslog-Server ordnungsgemäß definiert haben: Bearbeiten Sie ihren SIEM-Agent auf der benutzeroberfläche von Defender for Cloud Apps wie oben beschrieben. Stellen Sie sicher, dass Sie den Namen des Servers ordnungsgemäß geschrieben haben, und legen Sie den richtigen Port fest.
2. Überprüfen der Konnektivität mit Dem Syslog-Server: Stellen Sie sicher, dass Ihre Firewall die Kommunikation nicht blockiert.
Datenserververbindungsfehler Sie können diesen Fehler erhalten, wenn Sie mit einem Syslog-Server über TCP arbeiten. Der SIEM-Agent kann keine Verbindung mit Ihrem Syslog-Server herstellen. Wenn dieser Fehler angezeigt wird, beendet der Agent das Pullen neuer Aktivitäten, bis er behoben ist. Stellen Sie sicher, dass Sie die Korrekturschritte ausführen, bis der Fehler nicht mehr angezeigt wird. 1. Stellen Sie sicher, dass Sie Ihren Syslog-Server ordnungsgemäß definiert haben: Bearbeiten Sie ihren SIEM-Agent auf der benutzeroberfläche von Defender for Cloud Apps wie oben beschrieben. Stellen Sie sicher, dass Sie den Namen des Servers ordnungsgemäß geschrieben haben, und legen Sie den richtigen Port fest.
2. Überprüfen der Konnektivität mit Dem Syslog-Server: Stellen Sie sicher, dass Ihre Firewall die Kommunikation nicht blockiert.
SIEM-Agent-Fehler Der SIEM-Agent wurde seit mehr als X Stunden getrennt. Stellen Sie sicher, dass Sie die SIEM-Konfiguration in Defender for Cloud Apps nicht geändert haben. Andernfalls könnte dieser Fehler auf Konnektivitätsprobleme zwischen Defender for Cloud Apps und dem Computer hinweisen, auf dem Sie den SIEM-Agent ausführen.
Siem-Agent-Benachrichtigungsfehler Siem-Agent-Benachrichtigungen zur Weiterleitung von Fehlern wurden von einem SIEM-Agent empfangen. Dieser Fehler gibt an, dass Sie Fehler zur Verbindung zwischen dem SIEM-Agent und Ihrem SIEM-Server erhalten haben. Stellen Sie sicher, dass ihr SIEM-Server oder der Computer, auf dem Sie den SIEM-Agent ausführen, nicht durch eine Firewall blockiert wird. Überprüfen Sie außerdem, ob die IP-Adresse des SIEM-Servers nicht geändert wurde. Wenn Sie das JrE-Update (Java Runtime Engine) 291 oder höher installiert haben, befolgen Sie die Anweisungen unter Problem mit neuen Java-Versionen.

Problem mit neuen Versionen von Java

Neuere Versionen von Java können Probleme mit dem SIEM-Agent verursachen. Wenn Sie das JrE-Update 291 (Java Runtime Engine) installiert haben, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten zum Java-Installationsordner bin.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Laden Sie jedes der folgenden Azure TLS-Zertifikate herunter, die eine Zertifizierungsstelle ausstellen.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importieren Sie jede CRT-Datei des Zertifizierungsstellenzertifikats in den Java-Schlüsselspeicher, und verwenden Sie dabei die Standard-Keystore-Kennwortänderung.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Um dies zu überprüfen, sehen Sie sich den oben aufgeführten Java-Keystore für azure TLS-ausstellende Zertifizierungsstellenzertifikataliase an.

        keytool -list -keystore ..\lib\security\cacerts

  5. Starten Sie den SIEM-Agent, und überprüfen Sie die neue Ablaufverfolgungsprotokolldatei, um eine erfolgreiche Verbindung zu bestätigen.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.